Anoniem internet gebruiken met Whonix

Veel websites volgen hun bezoekers via allerlei slimme trackingmechanismen het halve internet over. ­Whonix maakt daar een eind aan, en daar hoef je de browserinstellingen niet voor te veranderen. Met behulp van Whonix kun je anoniem internet gebruiken (niet alleen de browser) en blijft je pc bovendien veilig voor malware.

Het gebruik van Whonix is relatief eenvoudig. Je hoeft alleen de virtuele machine met Whonix te downloaden en met het gratis programma VirtualBox (voor Linux, Windows en macOS) te starten. Je kunt dan meteen internet op. Kennis van Linux is daarbij niet expliciet nodig.

Het Whonix-project heeft een voorgeconfigureerd Linux-systeem in een virtuele machine gezet. Die leidt het internetverkeer uitsluitend door via het Tor-netwerk, dat de identiteit van zijn gebruikers versluiert door de communicatie via meerder Tor-knooppunten om te leiden. De ­gebruikte ­internetdienst ziet dan alleen nog het IP-adres van de laatste server in de keten, de zogeheten Tor-exit-node. Door een meervoudig gelaagde versleuteling kunnen de servers van het Tor-netwerk (Tor-nodes) de communicatie niet meelezen.

Om ervoor te zorgen dat Whonix zonder problemen draait, moet je systeem over 4 GB werkgeheugen of meer beschikken, het minimum ligt wel bij 2 GB. Daarnaast moet je processor de virtualisatiefunctie Intel VT-x of AMD-V aanbieden. Die wordt door ­VirtualBox gebruikt om de software in de virtuele machine zo ­soepel mogelijk te laten draaien. Als vuistregel geldt: hoe krachtiger je systeem, des te sneller Whonix draait. Het Whonix-systeem is er alleen in een versie voor 64-bit processors.

Als je systeem aan alle hardware-eisen voldoet, installeer je eerst VirtualBox als dat er nog niet op staat. Bij de meeste Linux-distributies kun je die ­virtualisatie-oplossing via het aanwezige softwarebeheer vinden. Windows- en macOS-gebruikers kunnen op de website van VirtualBox bij de downloads de bijpassende installatiepakketten opduikelen.

Je kunt Whonix in principe ook met VMware starten in plaats van met VirtualBox. Voor die virtualisatieomgeving zit Whonix echter nog expliciet in het ­experimentele stadium. Als je het desondanks toch wilt proberen, vind je op de Whonix-wiki een handleiding. Bij de downloadsectie van Whonix staan bovendien nog varianten voor Qubes, de Raspberry Pi 3 en de virtualisatie-oplossing KVM. Die versies zijn echter expliciet bedoeld voor meer ervaren gebruikers. Whonix voor de Raspberry Pi bevindt zich ook nog in een experimenteel stadium.

Voor de Raspberry Pi en andere systemen zijn speciale versies van Whonix, maar die zijn experimenteel.

Het Whonix-project stelt twee verschillende varianten ter beschikking: een versie van bijna 1,7 GB die van de grafische desktopinterface Xfce is voorzien, die de bediening een stuk makkelijker maakt. De beduidend kleinere Whonix-variant van amper 900 MB is bedoeld voor mensen met wat meer Linux-­ervaring. Die heeft geen gebruikersinterface, waardoor de hardware-eisen ook lager zijn, maar dat betekent wel dat je alles via de commandline moet zien te regelen. In geval van twijfel kun je beter de Xfce-versie gebruiken. Als je besloten hebt voor welke versie je wilt gaan, kun je die vervolgens van whonix.org downloaden.

Start VirtualBox en importeer het gedownloade bestand met de extensie .ova via ‘Bestand / ­Appliance importeren’. Bij de wizard klik je dan simpelweg op ­Volgende en dan Importeren, waarna je nog twee keer op ­Akkoord klikt om het importeren te starten.

VirtualBox laat in het linkerdeel van het hoofdvenster dan twee nieuwe items zien voor gelijk twee nieuwe virtuele machines: de Whonix Gateway, die de verbinding met het Tor-netwerk verzorgt, en het Whonix Workstation, die de browser, een e-mailclient en andere internetprogramma’s bevat die op hun beurt uitsluitend via de Whonix Gateway op internet uitkomen. De gateway zorgt er daarbij voor dat de communicatie via Tor verloopt, terwijl alle verbindingspogingen om buiten het Tor-netwerk langs te komen door de geïntegreerde firewall ­keurig worden ­geblokkeerd.

De twee virtuele machines van Whonix zijn via een afgeschermd intern netwerk met elkaar verbonden. Alleen de Gateway heeft een verbinding naar buiten.

Die tweedeling zorgt niet alleen voor anonimiteit, maar maak het rondsurfen op internet ook nog een stuk veiliger: als het een aanvaller mocht lukken om via de browser een weg naar het systeem te vinden, dan kan hij alleen in de afgeschermde virtuele machine schade aanrichten. Omdat het gehele netwerk­verkeer via de Whonix Gateway loopt, kan die aanvaller echter niet bij het echte netwerk komen.

De beide virtuele machines met de Whonix-­gateway en het Whonix-workstation zijn via een ­eigen virtueel netwerk met elkaar verbonden. Voor de toegang tot het Tor-netwerk heeft de Whonix-gateway een tweede virtuele netwerkinterface, die in de modus NAT geconfigureerd is. De programma’s van de Whonix-gateway kunnen daarmee wel het internet op, maar omgekeerd kan geen software van buitenaf toegang tot het netwerk krijgen. Omdat het interne netwerk eigen IP-adressen gebruikt, komt een aanvaller of dataverzamelaar nooit achter het echte IP-adres. Deze slimme werkwijze zorgt ervoor dat ook DNS-requests via Tor verlopen, wat voorkomt dat derden kunnen achterhalen welke websites een gebruiker opgevraagd heeft.

Het Whonix-systeem is zo geconfigureerd dat de browser, mailclient en veel andere programma’s verschillende wegen over het Tor-netwerk bewandelen en op die manier internet opgaan. Deze ‘Stream ­Isolation’ genoemde manier van werken zorgt ervoor dat het lijkt alsof ieder programma op een andere computer draait. Daardoor kunnen datakrakers en internetproviders de requests niet meer eenvoudig aan een concrete gebruiker koppelen.

Om Whonix te starten, klik je bij VirtualBox eerst ­dubbel op de Whonix Gateway of kik je op de groene Starten-knop. Dan opent een nieuw venster met een startmenu. Druk daar op de Enter-toets of wacht tot het aftellen vanzelf stopt. Vervolgens ga je bij de Whonix Setup Wizard naar het item ‘Understood / Verstanden’ en klik je op Next. Herhaal beide acties en sluit de wizard af met Finish. Dan verschijnt er een dialoog die naar de verbindingsmanier met het Tor-netwerk vraagt. Laat de voorinstelling op Connect staan.

Als je alleen via een proxyserver toegang tot internet krijgt, klik je op Configure. Daarna kun je met twee keer klikken of Next weer verder. Als je op Configure geklikt hebt, moet je ‘Use proxy before connecting to the Tor network’ selecteren en de toegangsgegevens voor de proxy in de desbetreffende velden invullen en weer tweemaal op Next klikken.

De Anon Connection Wizard regelt toegang tot het Tor-netwerk.

De Whonix-gateway maakt verbinding met het Tor-netwerk. Als dat gelukt is, sluit je de Anon Connection Wizard af met Finish. Het systeem test vervolgens de toegang tot het Tor-netwerk. Een paar seconden lang wordt een venster geopend met een voortgangsbalk. Als de verbinding gemaakt is, gaat Whonix op zoek naar systeemupdates. Vervolgens verschijnt er een melding met een samenvatting. Als Whonix daar aangeeft dat er updates zijn, moet je die handmatig installeren – daarover zometeen meer. In dit geval sluit je de melding eenvoudig met OK.

Zodra de Whonix Gateway draait, dubbelklik je in het hoofdvenster van VirtualBox op Whonix Workstation. Ook hier verschijnt na het starten de Whonix Setup Wizard. Bevestig de beide eerste stappen met ‘Understood / Verstanden’ en beëindig de wizard met Finish. Het systeem maakt dan verbinding via de Whonix Gateway met het Tor-netwerk, test de verbinding en kijkt ook weer naar eventuele systeemupdates. Ook hier verschijnt na een tijdje weer een voortgangsbalk en krijg je een venster met een samenvatting. Als je op gegeven moment klaar bent met internetten, moet je de beide virtuele machines weer afsluiten. Daarvoor klik je linksonder in de vensterhoek op het pictogram met de muis. Er klapt dan een startmenu van het Linux-systeem uit, waar je rechtsboven op het deurpictogram klikt en dan ‘Shut Down’ selecteert. Je kunt ook bij VirtualBox het menu-item ‘Machine / Sluiten / Uitzetten via ACPI’ gebruiken. In het vervolg start je dan altijd eerst weer de Gateway en activeer je dan de Workstation.

Als je het venster met de virtuele machine te klein vindt, kun je dat net als normaal groter maken met de muis. Na een paar seconden past het Linux-systeem zich dan aan de nieuwe venstergrootte aan. Mocht dat niet lukken, dan kun je via het startmenu bij ‘Settings / Display’ altijd nog een bepaalde resolutie instellen. Selecteer de schermgrootte die je hebben wilt en klik op Apply. Als dat ook niet tot een grotere desktop leidt of als er zelfs weergaveproblemen optreden, verander dan de resolutie in het menu ‘Weergeven / Virtueel Scherm 1’. Soms moet je de virtuele machine een keer herstarten om het nieuwe formaat actief te krijgen.

De instellingen van het virtuele beeldscherm zijn aan te passen voor een grotere desktop.

Zowel de Gateway als de Workstation van Whonix gebruiken standaard een Engels toetsenbord. Dat kun je bij de Settings veranderen, net als bijvoorbeeld een andere achtergrondafbeelding instellen en allerlei dingen van de Xfce-desktop aanpassen.

De virtuele Whonix-machines beschikken ieder over een 100 GB grote harde schijf. Op de fysieke schijf nemen die twee echter alleen net zoveel ruimte in beslag als de bestanden die er in zitten innemen. Afhankelijk van bestanden die je downloadt en hoeveel updates er op het systeem komen te staan, groeit ook de benodigde schijfruimte continu. Je moet er dus rekening mee houden dat Whonix in zijn totaliteit op een gegeven moment 200 GB aan schijfruimte in beslag zou kunnen gaan nemen.

Als je minder dan 4 GB werkgeheugen in je computer hebt zitten, kun je ook minder RAM aan de virtuele machines toebedelen. Als je dat wilt doen, moet je eerst zorgen dat beide machines zijn uitgeschakeld. Selecteer vervolgens in het venster ‘Oracle VM VirtualBox Manager’ de Whonix Gateway en dan in het menu Machine het item Instellingen. Ga naar het tabblad Systeem en zet het Basisgeheugen op 256 MB. Herhaal die procedure voor Whonix Workstation, maar reserveer daar in ieder geval 756 MB aan werkgeheugen. Met zo weinig geheugen moet je er wel rekening mee houden dat Whonix trager wordt en je waarschijnlijk niet meerdere programma’s parallel kunt gebruiken.

Het ova-bestand bevat twee virtuele machines en de benodigde instellingen. Met name de netwerkinstellingen moet je zo laten zoals ze zijn.

Je kunt nu via Whonix anoniem internet op, maar dan wel alleen via het venster van Whonix Workstation. Maar geen zorgen: als je per ongeluk probeer om binnen de virtuele gateway een browservenster te openen, dan weigert Whonix Gateway dat met een foutmelding.

Je kunt bij de virtuele Workstation-machine met het wereldbolpictogram onderaan de schermrand de zogeheten Tor-browser starten. Daarachter verschuilt zich een aangepaste Firefox-browser, die helemaal toegesneden is op anoniem surfen op internet. Bij het afsluiten van de browser worden bijvoorbeeld alle cookies en de geschiedenis verwijderd. Bij de huidige Whonix-versie is de Tor-browser gebaseerd op Firefox 60 ESR, wat een Firefox-versie van Mozilla is die long-term-support krijgt. Of de Tor-browser daadwerkelijk het Tor-netwerk gebruikt, kun je controleren met een website zoals ip-check.info.

De Tor-browser is een Firefox ESR-versie die door het Tor-project onderhouden wordt.

Helemaal linksboven op de adresbalk van de Tor-­browser zit een pictogram van een ui (de groente). Als je daarop klikt verschijnt een menu waarmee je ook de Security Settings kunt bereiken. Met de schuifregelaar kun je de veiligheid en anonimiteit met twee niveaus verder verhogen. Daarmee blokkeer je echter ook meteen een paar websitefuncties. De Tor-browser laadt dan bijvoorbeeld sommige lettertypen niet meer, waardoor bepaalde websites er anders uit komen te zien dan normaal het geval zou zijn.

De Firefox-add-ons NoScript en HTTPS Everywhere zijn al voorgeïnstalleerd. Die laatste dwingt een versleutelde verbinding met websites af, wat voor de verbinding tussen de Tor-exit-node naar de internetdienst relevant is. NoScript blokkeert op zijn beurt het uitvoeren van JavaScript. Dat kan er echter ook toe leiden dat sommige websites niet meer werken zoals ze zouden moeten.

Als je met de muis op het eerste S-pictogram rechts naast de adresbalk klikt, laat een tooltip zien hoeveel elementen NoScript op die pagina blokkeert. Een klik op het pictogram leidt naar de instellingen van NoScript, waarbij je met een klik op de klok met het uitroepteken de scripts op de openstaande webpagina tijdelijk kunt activeren.

Er is wel één ding waar je bij het gebruik van Tor en Whonix aan moet denken: ook de manier waarop je op internet surft, je woordkeuze en dergelijke, kunnen ertoe leiden dat je toch op de een of andere manier herkend wordt. Tor kan wel je identiteit effectief verhullen, maar als je persoonlijke gegevens bij webformulieren en dergelijke gaat invullen, ben je te identificeren. En je kunt niet weten wie de exploitant van de laatste Tor-node is en of die wel te vertrouwen is.

Het Tor-netwerk stuurt een request over meerdere Tor-nodes. De webserver communiceert dan alleen met de laatste Tor-node in de keten, de Tor-exit-node, en ziet dan ook alleen het IP-adres daarvan. Dat heeft dan wel gevolgen voor websites die de locatie van een gebruiker bepalen aan de hand van zijn IP-adres. Als de laatste Tor-server bijvoorbeeld in Duitsland staat, dan begroet die website je in het Duits. In dat geval moet je de taal handmatig aanpassen. Als je niet wil dat een website weet welke taal je spreekt, kun je daar altijd nog Engels instellen.

Via het Tor-netwerk kun je overal vandaan lijken te komen, dus zit je hier in Duitsland.

Sommige websites verzamelen informatie via je browser en stellen op die manier een soort vingerafdruk van je systeem samen (‘fingerprinting’). Bij die gegevens hoort bijvoorbeeld ook de beeldschermresolutie. Die krijgt de website als je het browservenster met het maximaliseren-pictogram opblaast tot de complete virtuele beeldschermresolutie. Laat daarom daar waar mogelijk de standaard venstergrootte zoals die is. Als je de Tor-browser dan toch maximaliseert, waarschuwt hij je met een gele mededeling uitdrukkelijk voor de consequenties.

Door het achter elkaar schakelen van de Tor-servers verloopt de communicatie duidelijk langzamer. Bij een eenvoudige website merk je daar niet zoveel van, maar video- en audiobestanden komen toch duidelijk een stuk stroperiger van internet af. Bij films en video’s in full-hd is het eigenlijk al niet te doen en al helemaal niet bij allerlei tijdkritieke online games.

Omdat de Tor-browser binnen een virtuele machine draait, komen daar ook alle downloads in ­terecht. Om die bestanden uit het gastsysteem te krijgen, moet je even weten hoe de mechanismes van VirtualBox werken. De Whonix-ontwikkelaars adviseren bestanden uit te wisselen via de mogelijkheid van VirtualBox om gedeelde mappen te gebruiken. Daarbij stelt VirtualBox een map ergens op je systeem beschikbaar aan de virtuele machine. Om daarbij te kunnen, moet je eerst Whonix Workstation uitschakelen. Bij de Oracle VM Virtual Manager selecteer je Whonix Workstation, druk je op Ctrl+S (Instellingen) en ga je links naar ‘Gedeelde mappen’. Daar klik je op het plusteken aan de rechterkant en selecteer je een map op je hostcomputer bij ‘Pad naar map’. Bij ‘Naam van map’ typ je bijvoorbeeld het woord ‘uitwisseling’ in. Zet een vinkje voor ‘Automatisch koppelen’ en bevestig dat alles met OK. Vervolgens sluit je het Instellingen-venster ook met OK.

Start dan Whonix Workstation opnieuw op. Als je daar de filemanager in opent, zie je daar de directory ‘sf-uitwisseling’, waarmee je bestanden met het hostsysteem kunt uitwisselen. Voor Linux-kenners is het wellicht interessant dat Whonix die directory koppelt onder /media/sf_uitwisseling.

Sommige van de meegeleverde programma’s vragen om een wachtwoord, maar dat heb je nog niet ingesteld. Standaard wordt changeme als wachtwoord gebruikt, en dat zegt eigenlijk al genoeg: vanuit veiligheidsoverwegingen moet je het wachtwoord veranderen door in het startmenu de Terminal Emulator te starten en het commando passwd uit te voeren. Na het bevestigen met de Enter-toets typ je het oude wachtwoord (changeme) nog een keer in, gevolgd door het nieuwe wachtwoord – en dat laatste nog een keer. Whonix laat de ingetypte letters daarbij niet zien, je moet het dus ‘blind’ typen. Op de achtergrond is er nog een gebruiker met de naam root, die aan alle mogelijke instellingen van het systeem mag komen. Ook het wachtwoord van dat account is standaard ‘changeme’, zodat je dat maar beter ook meteen mee kunt aanpassen met het commando sudo passwd root.

In het startmenu staat bij de categorie System de tool WhonixCheck. Die tool controleert de verbinding met Tor en kijkt of er updates voor het systeem zijn. De resultaten van al die controles en adviezen worden verzameld en krijg je te zien in een venster. Systeemupdates moet je echter handmatig uitvoeren. Om dat te doen, voer je in de Terminal Emulator het volgende commando uit:

sudo apt-get-update-plus -y dist-upgrade

Na het drukken op de Enter-toets bevestig je het installeren met je (nieuwe) wachtwoord. Whonix haalt de updates via het Tor-netwerk binnen, waardoor het installeren onder omstandigheden meerdere minuten kan duren.

Op de gateway staan er bij System meerdere items waarmee je de verbinding met het Tor-netwerk in en uit kunt schakelen en kunt configureren. Met ‘Reload Tor’ dwing je een herstart van de Tor-dienst af. Dat kan nodig zijn als de verbinding niet meer lekker loopt of je de configuratie handmatig aangepast hebt. Dat laatste kun je makkelijk doen met de Anon Connection Wizard, die je bij de eerste keer starten van Whonix Gateway al tegengekomen bent. Als alternatief is er ook het Tor Control Panel, dat Tor-kenners laat zien wat de gebruikte Onion Circuits zijn.

Op de Whonix-gateway kun je realtime informatie krijgen over de verbinding met het Tor-netwerk.

Bij beide virtuele machines draait de Linux-distributie Debian GNU/Linux met op het moment van schrijven versie 9.8. Een upgrade naar Buster zit ­eraan te komen – en kan er misschien al wel zijn op het moment dat je dit leest. Als gebruikersinterface wordt Xfce 4.12 gebruikt. De standaardgebruiker heet user, die met sudo beheertaken mag uitvoeren.

De op de gateway draaiende firewall hoef je normaal gesproken niet aan te passen. Als je daar toch iets aan wilt of moet wijzigen, dan kun je dat doen door bij de categorie System de ‘Global Firewall Settings’ te starten. Dat opent het gebruikte configuratiebestand voor de firewall met een eenvoudige ­teksteditor. Met commentaren is aangegeven wat de betreffende instellingen doen.

Je eigen of meer uitgebreide firewall-regels horen in een ander configuratiebestand, dat je via het startmenu onder System met het item ‘User Firewall Settings’ in een teksteditor kunt openen. De regels die in het standaard lege bestand gezet worden overschrijven daarbij de globale instellingen. Als je veranderingen aangebracht hebt, moet je de firewall herstarten door bij het startmenu bij de categorie System het item ‘Reload Firewall’ uit te voeren.

Mocht een aanvaller het systeem overnemen waarop Whonix draait, dan kan hij de complete communicatie meelezen en de virtuele machines manipuleren. Whonix is daarom ook maar net zo veilig als het hostsysteem waar het op draait. Zorg er dan ook voor dat je ook op het hostsysteem altijd de laatste updates installeert en laat een virusscanner het systeem continu in de gaten houden.

Meer over de opbouw van de beide virtuele ­machines en alle beveiligingsaspecten kun je vinden op de wiki van Whonix. Over alternatieven zoals Tails of de Tor-Browser en de voor- en nadelen hiervan kun je meer lezen in c’t magazine.

(Tim Schürmann en Noud van Kruysbergen, c’t magazine)