Whonix is bijzonder geschikt voor gebruikers die maximale metadata-bescherming zoeken en bereid zijn de extra complexiteit te accepteren. Denk aan journalisten, onderzoekers, klokkenluiders of threat hunters. Voor incidenteel anoniem surfen is Tails, een hardened browser over VPN/Tor of een goed geconfigureerde Firefox ESR waarschijnlijk praktischer.

Belangrijkste vraag: Waar wil je jezelf tegen beschermen? Dat hangt af van de tegenstander en de aard van de dreiging.

https://www.security.nl/posting/539597/Qubes+OS%2C+Tails+or+Whonix%3F#posting539689

Op je vraag over eigen ervaring aangaande Whonix zelf heb ik geen en er ook geen behoefte aan. Ik compile wel mijn eigen browser en patch deze eveneens kleed ik mijn OS en kernels uit nog. Dat doe ik echter niet voor privacy wel voor veiligheid.

Maar ik ben wel redelijk bekend met systemen als Whonix wat ze doen en wat beperkingen zijn. Vroeger (20+ jaar terug) gewerkt als vrijwilliger binnen een OSINT team in samenwerking met HUMINT voor internationale humanitaire projecten in conflict gebieden. Alsmede begeleiden van malware research projecten waar we regelmatig voor quick deploys JanusVM faciliteerde. Dat was in 2010 redelijke bekende setup voor verhoogde beveiliging en anonimiteit onder professionals tijdens lopende onderzoeken. Was toen allemaal nog sterk in de kinderschoenen qua virtualisatie technieken maar principe what Whonix doet deden wij twee decenia plus terug ook al. Vele malen minder complex, rete traag en heel fout gevoelig qua code.

Om beetje idee te geven hier wat oude info daar over. (Niet meer gebruiken voor productie)
https://www.malwarebytes.com/blog/news/2012/04/anonymizing-traffic-for-your-vm
Maar genoeg over mijn eigen achtergrond.


Om systemen als Whonix te gebruiken moet je niet alleen de extra complexiteit maar ook de beperkingen begrijpen als je *echt* de bescherming wilt gebruiken en niet enkel het ziet als hobbymatig gebruik. Een privacy gericht systeem maakt je niet veiliger op zichzelf dat doe je door middel van eigen gedrag aanpassing door heel bewust nadenken waar je wat opzoekt, intypt met wat je communiceert en welke services je nooit moet gebruiken op je systeem zelf. En dat kan ook heel vermoeiend zijn want we werken heel veel op muscle memory in ons dagelijkse leven en ook in de IT.

Dit zijn geen sub systemen die je in productie moet gebruiken als je niet de bescherming nodig hebt vanuit je vak, rol en risico profiel. Dan zijn de meer mainstream oplossingen echt stukken beter om ervaring op te doen en vaak ook om actief te gebruiken. Houdt ook rekening ermee dat dit soort projecten er van uit gaan dat hun gebruikers zeer bekwaam zijn in het IT beheer deel, reken er niet op dat ze snelle updates uitvoeren voor aanverwante beveiliging kwesties. Ze bieden enkel point releases en de rest qua patching is really up to you.

Onthou verder ook dat je veiligheid qua gebruik van dit soort subsystemen sterk afhankelijk blijft van hoe veilig je host machine is en de rest van je netwerk infra. Hoe vaak ik niet in verleden heb meegemaakt dat pentesters vergaten om hun primaire OS via liveboot qua software, firmware te updaten voor een volgend project en dan onionrouting aangooide terwijl ze nog dus updates moesten binnenhalen.

En dat alles gezegd hebbende is er nog iets belangrijks om rekening mee te houden namelijk een paradox en dit wordt te vaak vergeten. Je kan ook jezelf heel gemakkelijk in de schijnwerpers zetten als je te veel maatregelen stapelt. Een simpel voorbeeld browser fingerprinting. Je kan pletora aan beveiliging doorvoeren maar daarmee kan je zo een uniek browserprofiel onbewust maken dat je nog te vinden bent in een groep van een miljoen bezoekers. Zo vonden we heel vaak bewegingen van assets niet door wat ze prijsgaven maar wat ze juist niet prijsgaven.

Soms is privacy dus bewust blenden met je omgeving in plaats van barricades opwerpen. Om het te versimpelen je gaat ook niet met een ski masker zonnebril en compleet zwartgekleed midden in een publiek van een concert staan waar gefilmd wordt. Ik geef het nog geen vijf minuten of je wordt dan al door beveiliging aangesproken of je staat op het grote scherm.

Voor verdere kennis opbouw mijn advies geen Youtube tutorials volgen nog GPT achtige hulp aanroepen. Doe gedegen ouderwets onderzoek. De kans is heel groot dat de video auteurs geen verstand van zaken hebben voor operationeel gebruik en puur banked op clicks van beveiliging, privacy addicts zonder in te gaan op de pro, cons, kanttekeningen. Zelfde met het risico op misinformatie met iets als GPT dat is veel te hoog voor dit soort onderwerpen. Hoewel saai zou ik eerst kijken naar iets als een conference talk over privacy en uitdagingen, security trends, de leverancier documentatie goed bestuderen, hun project forum volgen en indien nog meer nodig is daar goede vervolg bronnen vragen als je het serieus wilt gaan overwegen als sub systeem.


TL;DR
Privacy verhoging rust voor een groot gedeelte op eigen gedragsverandering en niet op techniek. Software is altijd ondersteunend als rol in privacy maar niet de oplossing. Ken je risico profiel en begrijp dat de beveiliging voor jouw situatie niet altijd synoniem staat voor de hoogste systeem beveiliging doorvoeren.


PS
Ik monitor niet dit topic dus als je vragen hebt moet je ze niet specifiek aan mij richten. Verdere reacties zijn niet van mij.
Als laatste wens ik je veel succes met enige implementatie als je er verder mee gaat werken.

Dan hebben we ook nog Qubes O.S.

https://www.qubes-os.org/