sistema linux più adatto alla sicurezza

[toni00c]

qualcuno ha provato la live usb-cd di openBsd ?
liveUsb OpenBsd

[a323109]

qualcuno ha provato la live usb-cd di openBsd ?
liveUsb OpenBsd

http://forum.ubuntu-it.org/viewtopic.ph ... start=4080

No, anche perche' se kimj (che paragonato a me' e' un gigante e io una formica) ci trova delle difficolta', io non ci provo nemmeno.
Condizione necessaria e' che si connetta attraverso un modem (Internet key), se non c'e' il network manager come fai?

[toni00c]

La rete ethernet di solito va con BSD.perche' dici?

[kimj]

Gradirei non essere citato fuori contesto. Che era quello di OS principale su un portatile con 3g.

Ethernet e wifi vanno come anche il 3g. Ma sono scomodi da gestire a mano in mobilità. Problema che col tuo uso non si porrebbe.

Non vedo però alcun vantaggio nell'usare openbsd per il tuo scopo rispetto a Linux. Fa ottimo os per router/gw/firewall server base (posta, etc) ma per il resto i pacchetti sono quelli di linux, e forse alcuni non vanno o non sono aggiornati, e le vm puoi scordartele

[kimj]

ah ho letto ora che era per ebanking. avevo dimenticato questo topic.
in ogni caso direi di scartare bsd che e' appunto senza gui, installandolo per intallare una interfaccia grafica verrebbe a meno il vantaggio di avere una live. certo ci sono pcbsd ed altri con grafica in live, ma non vedo il vantaggio in termini di sicurezza rispetto ad una live linux. Semmai, l'architettura diversa [se non hanno abilitato compatibilita' linux] che pero' da vantaggi prossimi allo zero. Qualsiasi attacco diretto ad un utente domestico, linux, nel 2014, che sfrutta eseguibili nativi per la sua piattaforma sarebbe comunque mirato e mirabile per bsd.

Direi di puntare su una live, va benissimo la classica ubuntu, come anche TAILS fatta apposta per queste cose e costantemente rigenerata a patchare falle di sicurezza.
c'e' da dire che tails l'ho trovata ostica, limita troppo l'utente e se si ingrippa qualcosa nel percorso non esiste modo semplice di recuperare il lavoro svolto. ignorano poi tutta la parte email/gpg che e' praticamente inutilizzabile.

come os installato c'e' qubes, basato su xen e fedora. molto probabilmente sara' gia' stato citato [edit: da me]. e' oramai molto utlilizzabile capiti i concetti alla base e se non si hanno esigenze troppo esotiche, ma richiede molta, molta ram.
openbsd lo vedo come un os dove tenere installazione minimale da cli e varie chiavi ssh per accesso a macchine remote, per fare un esempio in ambito di sicurezza casalinga, non come live per ebanking

riedit: visto ora il link, c'e' anche live openbsd con gnome. ma non e' ufficiale ne aggiornata, sarei cauto ad usarla per gestire i soldi.

ririedit: una buona cosa che si puo' fare in ambito casalingo e' usare un router senza interfaccia web, amministrabile solo via seriale con accesso fisico. ti proteggi da molti attacchi a quei fragili dispositivi.
fai backup contro ransomware, poi boh non vedo altro di utile oltre ad usare live per sessioni di navigazione sensibili.
un tempo mi ero messo a dividere per utenti e dispositivi la rete (piu' wifi), con regole iptables sul mikrotik, accesso da alcune alle stampanti condivise e cose simili.
e' totalmente inutile in ambito domestico.
la sicurezza sui server non si applica ai desktop linux. i server hanno problemi che non esistono sui desktop e viceversa: per esempio, la maggior superficie d'attacco per un desktop e' il browser e programmi visualizzazione pdf, un problema inesistente sulle altre macchine.
puoi usare sandbox di selinux se sei su distro del cappello rosso per lanciare questi programmi.

c'e' da dire che non so niente di sicurezza, non ho mai saputo niente, non ho mai raggiunto alcuno scopo ne positivo ne negativo, non ho mai studiato l'argomento. qualche mese fa ho cercato di buttarmici e di trovare qualcosa, in un impeto di narcisismo, ma si e' trattato di un errore che spero di non ripetere. non sono qualcuno da interpellare in queste discussioni. come ci si disiscrive?

[toni00c]

Gradirei non essere citato fuori contesto. Che era quello di OS principale su un portatile con 3g.

Ethernet e wifi vanno come anche il 3g. Ma sono scomodi da gestire a mano in mobilità. Problema che col tuo uso non si porrebbe.

Non vedo però alcun vantaggio nell'usare openbsd per il tuo scopo rispetto a Linux. Fa ottimo os per router/gw/firewall server base (posta, etc) ma per il resto i pacchetti sono quelli di linux, e forse alcuni non vanno o non sono aggiornati, e le vm puoi scordartele

openbsd e' il sistema piu sicuro del mondo : come non vedi vantaggi? parliamo di sicurezza

[Wilson]

La parola "sicurezza" è come "libertà": vuol dire tutto è niente.

Il fatto che BDS (o meglio, alcuni BSD, ché BSD è solo il kernel) abbia uno sviluppo particolarmente attento alla sicurezza non significa che sia magicamente migliore per ogni scopo.

Per esempio, se lo metti su un server mail o web o come router, un sistema BSD molto aggiornato darà pochissime possibilità d'attacco a uno spione; ma se lo usi come desktop per accedere alla banca la quasi totalità della sicurezza dipende dal browser, che sarà lo stesso Firefox che hai sugli altri SO (anzi, potrebbe pure essere meno aggiornato) e il vantaggio sarebbe sostanzialmente nullo.

ps: purtroppo non ci si disiscrive (se intendi dalla pagina "Visualizza propri interventi", se ti sei iscritto e ricevi le mail ci dovrebbe essere un controllo comodo).

[toni00c]

ciao wilson il tuo ragionamento e' valido , ma
.. tu intendi che il solo punto di attacco e' il browser il che non e' vero pero' a mio avviso

[Wilson]

Non il solo, ma il principale, e poi lo stesso vale per tutti i pacchetti desktop: non è che una distro BSD possa avere una versione di Gnome più sicura

[a323109]

Se avete visto la TV ieri sera.

Facevano vedere un'intervista ad un tizio che sta' a Panama (noto paradiso fiscale) e si occupa di trasferimento di soldi. Cioe' tu gli dici che vuoi portare 100.000 euro a Panama in maniera anonima e lui si occupa della cosa. Sapete che sistema usa sul suo computer??? Linux installato su chiavetta usb!!! Non una live, sistema installato, dice che serve a non lasciare tracce sul computer.

E poi...ma non ho visto bene purtroppo...per comunicare manda degli SMS che quando il ricevente li apre automaticamente spariscono anche dal server.
Credo che i messaggi rimangono sulla RAM in locale, per poter leggere, solo che mentre uno legge il messaggio gia' non esiste piu' nel server.

Bisogna dirlo a Tony00

Se quello che e' un professionista fa' cosi! Vuol dire che meglio di cosi' non si puo'.

E muove milioni e milioni di $$ al giorno!

[Wilson]

praticamente, the snappening

[pigi2pigi]

Si installa un linux minimale su disco o meglio su chiavetta (che poi mette in cassaforte), con una scheda di rete seria, chiude tutte le porte, ci fa un po' di penetration test con backtack, lo usa solo per accedere ad un sito sicuro (la banca) in https e poi lo spegne

[a323109]

Si installa un linux minimale su disco o meglio su chiavetta (che poi mette in cassaforte), con una scheda di rete seria, chiude tutte le porte, ci fa un po' di penetration test con backtack, lo usa solo per accedere ad un sito sicuro (la banca) in https e poi lo spegne

Esatto!

E quando lo beccano?

"sistema linux più adatto alla sicurezza"

Piu' sicuro di cosi' non si puo'

[toni00c]

Si installa un linux minimale su disco o meglio su chiavetta (che poi mette in cassaforte), con una scheda di rete seria, chiude tutte le porte, ci fa un po' di penetration test con backtack, lo usa solo per accedere ad un sito sicuro (la banca) in https e poi lo spegne

Esatto!

E quando lo beccano?

"sistema linux più adatto alla sicurezza"

Piu' sicuro di cosi' non si puo'

bisogna capire cosa si intende per minimale : minimo ci vuole X e un browser web... a quel punto non è meglio bsd?

[Wilson]

Rinnego la live bsd e punto su Tails: queste soluzioni fai da te (live minimale, bsd, etc...) hanno un incremento di sicurezza minimale (e forse nullo) nella loro versione più perfetta, ma generano un sacco di possibilità nuove di sbagliare o dimenticare qualcosa.

ps: oltretutto Tails è stata sufficiente per ricevere ed elaborare documenti segreti rubati a NSA (e comunicare con la fonte dei documenti stessi, concordando pure un incontro fisico): https://firstlook.org/theintercept/2014 ... n-secrets/ )

[pigi2pigi]

Il problema quando si parla di sicurezza è in base a quello che si vuole fare.
Il dilemma iniziale era di collegarsi alla propria banca. Il fatto di navigare in rete tor con Tail che non è altro che un debian carrozzarto (e più si carrozza e più si rischiano buch) a che serve, da noi solo ad andare lenti, il problema non era di non farsi riconoscere dalla banca,

Quello che dicono, e cioè che siccome è un software open e quindi controllabile si dice di linux da sempre.

[a323109]

bisogna capire cosa si intende per minimale : minimo ci vuole X e un browser web... a quel punto non è meglio bsd?

Per forza! Minimo minimo serve un broswer.
Meno cose ci sono meglio e', la protezione in locale e' perfetta coi sistemi su usb basta che non ti fai fregare la chiavetta.
Per la navigazione se ti connetti solo alla banca e in piu' cambi ip ad ogni avvio come fanno a trovarti?
Se non sanno che ip associare a te.

Solo il provider potrebbe, ma e' una cosa talmente remota.
Non ce lo vedo un impiegato vodafone di 55 anni col suo terminale windows 8.1 che si impalla a farti man in the middle

[Wilson]

Non capisco il senso, stai parlando di evitare che si fingano te nei confronti della tua banca?
In quel caso: che se ne farebbero di associare il tuo ip a te?

in ogni caso:
- alcune cose diverse dal browser è meglio quando ci sono, non sempre di meno è meglio
- la banca lo sa che sei tu, ovviamente. Non solo: pretende che lo dimostri con codici vari. Non ha bisogno di sapere il tuo ip (però, per sicurezza, se ha un ip improbabile potrebbe bloccarti l'accesso).
- dubito che una grande azienda abbia già Win 8.1 su tutti i terminali
- in ogni caso non c'è motivo di limitare la figura della possibile minaccia a un impiegato del provider (e comunque ce ne sono di età diverse).

[a323109]

Non capisco il senso, stai parlando di evitare che si fingano te nei confronti della tua banca?
In quel caso: che se ne farebbero di associare il tuo ip a te?

Per fingere di essere me' agli occhi della banca devono stare 'in the middle' tra me' e la banca mentre sono collegato e magari se sono fortunati sniffano il pacchetto con la password (che sara' un sha...qualcosa, non sara' in chiaro). tra i milioni di ip dove mi trovano?

Questo e' il senso.

- la banca lo sa che sei tu, ovviamente. Non solo: pretende che lo dimostri con codici vari. Non ha bisogno di sapere il tuo ip (però, per sicurezza, se ha un ip improbabile potrebbe bloccarti l'accesso).

La banca lo sa' che sono io certo! Non si basa sull'ip per niente. mi sono collegato con gli ip piu' strampalati anche da un pc nell Hotel a Caracas oppure in mezzo alla savana del sudamerica in paesi sperduti che hanno internet via satellite perche' i cavi non ci sono proprio (altro che doppino) e la banca mi ha sempre riconosciuto.

[Wilson]

E se avessero il tuo ip, come ti troverebbero (e una volta trovato, che se ne fanno)?

per fare MITM ci sono un sacco di modi e credo di non conoscerne la maggior parte, però si può (si fa per dire: molti casi sono da film), ad esempio:
- manipolare il traffico della rete a cui sei collegato (vale sopratutto per le reti wifi "pubbliche", tipo internet point, aereoporti, etc; immagino tu eviti di usarle a quello scopo, ma non ne hai parlato, quindi aggiungo per completezza).
- dirottare il traffico manipolando i dns (in locale, con un attacco all'ISP, con un malware...)
- fare un "defacement" del sito della banca (non della parte sicura, della home) in modo da dirigerti verso un sito civetta

Tutti questi casi hanno in comune due cose:
- nessuno usa il tuo ip o ti prende di mira direttamente: gettano la rete in una certa area e poi vedono cosa hanno catturato
- le contromisure locali prevedono l'aggiornamento continuo del browser e del SO e/o l'uso di software aggiuntivi, quali una VPN (ben configurati)

ps: morale: la sicurezza è difficile e pure i professionisti sbagliano qualcosa, non esiste un sistema facile per essere sicuri (e crederlo è particolarmente pericoloso), non è possibile essere consapevoli di ogni possibile pericolo.