creazione partizione per internet banking

[simone_t]

Salve a tutti.
Ho letto praticamente tutte le discussioni qui sul forum rispetto alla sicurezza di browser e sistema operativo, ecc ecc in riferimento a internet banking o affini.
A prescindere dalle "difese" delle varie banche (chiavette, carte di credito con codici usa e getta, ecc ecc), mi sono fatto l'idea che il modo più semplice e meno dispendioso, nonché più fruibile e gestibile, per avere un sistema "protetto" per gestire il proprio "internet banking" è quello di creare una partizione ad hoc in cui installare una versione linux leggera (per me che non sono un "navigatore di distribuzioni", una *buntu...) e liberarla di ogni orpello o programma non necessario, in modo che sia "minimale" ma "funzionale". Nei fatti, deve solo navigare e leggere pdf (visto che almeno la mia banca crea solo pdf per i vari documenti), un writer di libreoffice e tutto quanto concerne la sicurezza. Anche il browser, in questo caso, si può "riempire" di protezioni, permettendogli di andare solo in quel sito preciso o in altri decisi manualmente, e avere un controllo totale delle connessioni in entrata e uscita. In questo modo si dovrebbe creare una partizione più "sicura" delle altre, anche solo per l'uso limitato e autarchico che se ne fa, ma con un sistema (e programmi e applicazioni) sempre aggiornati. Creare una live session tramite usb ogni volta può essere paragonabile, ma questo comporterebbe una creazione di una diversa ogni tot tempo per avere risolte le varie falle di sicurezza che man mano compaiono. Non so se mi sono spiegato...
Prima di cominciare a pensarci "fattivamente" (che distro scegliere, come istallarla, cosa eliminare, cosa aggiungere), volevo chiedere se è una cosa già "pensata" e che mi è sfuggita, e se è in effetti fattibile. Alla fine, si tratta di sacrificare pochi GB di un HD (anche qui sarebbe da trovare il giusto compromesso tra la grandezza della distro installata e la grandezza della distro dopo la pulizia....) per avere un sistema estremamente protetto e allo stesso tempo di utilizzo immediato e sempre aggiornato.

Spoiler

Mostra

Scrivo qui, ma non so se è più una discussione da bar tecnico, e nel caso mi scuso subito... In realtà questo è un post di "presentazione", che spero continui con una discussione pratica su come procedere e dove meglio indirizzarsi. Per questo non sicuro rispetto alla sezione adeguata...

[thece]

la discussione è già stata affrontata qui Quale distro per home banking e acquisti online?

[simone_t]

la discussione è già stata affrontata qui Quale distro per home banking e acquisti online?

Ti ringrazio... ci ho partecipato anche io!

Volevo fare un passo in avanti "pratico" rispetto al discorso che è emerso, rispetto a quanto ha scritto GreYOwl, che condivido appieno:

[Tra una live e un s.o. in una partizione ad hoc, ripulito di tutto, ma però aggiornato con i canali usuali, e usato solo per home banking, con accesso con password e home criptata, che differenza di sicurezza c'è?]
nessuna. Dipende appunto da cosa devi fare con il pc.
Se devi partire, usare un pc in comune, e la cosa non è per un periodo lungo, la live su pennetta ha un senso.
Se il pc è tuo, ti serve comunque per un periodo di tempo indefinito, la soluzione della partizione ha dei vantaggi anche sul lato sicurezza: hai la possibilità di avere gli aggiornamenti di sicurezza, appunto.
Puoi farci anche altre cose ed installare programmi nuovi.

In questo senso volevo partire da questa riflessione per renderla "operativa..."

[GreYOwL]

Guarda per quello che devi fare te, ubuntu in versione xfce (xubuntu) con firefox, libreoffice e poco altro, su una partizione di 20 gb + eventuale swap, va benissimo. Ovviamente se il sito della banca, lo permette, io non installerei neanche flashplayer.
Anche secondo la mia modestissima opinione, avere una partizione e un sistema "fisico" offre gli stessi standard di sicurezza di una live, con in più molti altri vantaggi. Se poi devi solo usarla per il banking ti proporrei anche una distribuzione basata su BSD, ma non so quanto possa essere realizabile.
Ripeto, in tanti anni ho utilizzato linux, non solo per l´home banking, ma anche per diletto, quindi ci ho visto film, navigato in tanti forum, ho gestito playlist di musica, creato video e lavorato foto, senza mai grossi problemi.
Quindi ricapitolando, per me:
1) crei una partizione di 20 gb
2) crei una eventuale area di swap
3) installi una derivata qualsiasi di ubuntu, ubuntu mate o xubuntu se vuoi qualcosa di leggero
4) NON INSTALLI ne codec, ne flash ne altro software che ritieni superfluo
5) aggiorni la distribuzione quotidianamente
6) se proprio vuoi, puoi sentirti più sicuro installando Gufw (interfaccia grafica per il firewall)
7) usi una password sicura e ti assicuri che solo tu ti possa loggare.
stop

[thece]

@GreYOwL

la domanda è provocatoria

6) se proprio vuoi, puoi sentirti più sicuro installando Gufw (interfaccia grafica per il firewall)

mi spieghi come questo punto "dovrebbe farmi sentire più sicuro"?

Anche secondo la mia modestissima opinione, avere una partizione e un sistema "fisico" offre gli stessi standard di sicurezza di una live, con in più molti altri vantaggi.

No. Come già dibattuto offrono vantaggi diversi

[simone_t]

A parte i problemi specifici (la swap c'è già, nel mio caso), non sono tanti 20 Gb visto che il sistema sarebbe vuoto?
La live è molto comoda in certi casi, ma in un pc "casalingo" e ci n utenza "adulta" che non varia, una partizione ad hoc protetta credo sia la scelta migliore.

Rispetto al firewall, non saprei. Nella mia idea vorrei che tutto fosse bloccato tranne qualche indirizzo IP che sono io ad "aprire"...

[thece]

Rispetto al firewall, non saprei. Nella mia idea vorrei che tutto fosse bloccato tranne qualche indirizzo IP che sono io ad "aprire"...

Non sono un esperto di IPTables, ma non penso che questa soluzione sia praticabile.

Quando tu punti il tuo browser verso il sito della tua banca http://www.NotoIstitutoBancario.it in realtà il tuo browser apre N connessioni, sia verso l'indirizzo IP ottenuto dalla risoluzione dell'host http://www.NotoIstitutoBancario.it, sia verso altri indirizzi IP. Ottenere tutti gli indirizzi IP necessari, affinchè il sito di cui sopra lavori correttamente potrebbe essere un lavoraccio, e anche se ottenibili, questa soluzione potrebbe non essere duratura in quanto quegli indirizzi IP potrebbero cambiare, a tua insaputa, senza preavviso

Aspetto smentite



Di seguito un paio di script per impostare IPTables secondo la tua idea di soluzione

IPTablesSetRules.sh

Codice: Seleziona tutto

#!/bin/bash



IPTABLES="/sbin/iptables"

declare -a SITE_LIST=(
			"www.NotoIstitutoBancario.it"
			"altroHostCollegatoANotoIstitutoBancario.it"
			)



echo "Setting IPTables rules ..."

#
# INPUT
#
# Loopback
$IPTABLES -A INPUT -i lo -j ACCEPT
# DNS
$IPTABLES -A INPUT -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
# HTTP / HTTPS
for SITE in "${SITE_LIST[@]}"; do
	$IPTABLES -A INPUT -p tcp --sport 80 --src $SITE -m state --state ESTABLISHED,RELATED -j ACCEPT
	$IPTABLES -A INPUT -p tcp --sport 443 --src $SITE -m state --state ESTABLISHED,RELATED -j ACCEPT
done
$IPTABLES -A INPUT -j DROP



#
# OUTPUT
#
# Loopback
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# DNS
$IPTABLES -A OUTPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
# HTTP / HTTPS
for SITE in "${SITE_LIST[@]}"; do
	$IPTABLES -A OUTPUT -p tcp --dport 80 --dst $SITE -m state --state NEW,ESTABLISHED -j ACCEPT
	$IPTABLES -A OUTPUT -p tcp --dport 443 --dst $SITE -m state --state NEW,ESTABLISHED -j ACCEPT
done
$IPTABLES -A OUTPUT -j DROP



#
# FORWARD
#
$IPTABLES -A FORWARD -j DROP



exit 0

(basterebbe un solo ciclo for, ma per chiarezza espositiva ne ho inseriti due, uno per ogni catena)

IPTablesResetRules.sh

Codice: Seleziona tutto

#!/bin/bash

IPTABLES="/sbin/iptables"

echo "Resetting IPTables rules ..."

$IPTABLES -t filter -X
$IPTABLES -t filter -F
$IPTABLES -t filter -Z

$IPTABLES -t nat -X
$IPTABLES -t nat -F
$IPTABLES -t nat -Z

$IPTABLES -t mangle -X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -Z

$IPTABLES -t raw -X
$IPTABLES -t raw -F
$IPTABLES -t raw -Z

$IPTABLES -t filter -P INPUT ACCEPT
$IPTABLES -t filter -P FORWARD ACCEPT
$IPTABLES -t filter -P OUTPUT ACCEPT

$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT

$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT

$IPTABLES -t raw -P PREROUTING ACCEPT
$IPTABLES -t raw -P OUTPUT ACCEPT

exit 0

Ho provato lo script con il mio sito di Home Banking e, seppur con qualche ritardo nel caricamento delle pagine e qualche differenza estetica di poco conto, sembra funzionare. Tuttavia rimango scettico sulla soluzione

[simone_t]

Beh, hai ragione sulla questione ip. Non stavo pensando alla fattibilità di un ip fisso a cui collegarsi ma una specie di parental control al contrario, dove io posso impostare che tutto il web è blacklisted tranne www.miabanca.it, www.miasecondabanca.com (se l'avessi...una basta e avanza). In questo modo non dovrebbe essere il sistema a gestire quei problemi che potevi e allo stesso tempo, se ad esempio mi dovessi collegare oltre a www.miabanca.it anche a www.fondidellamiabanca.it non dovrei modificare le iptables ma solo mettere quel secondo sito nella whitelist della mia eccezione generalizzata?

[steff]

Mi sembra complicato, si può avviare una live da grub, si può avviare una live in macchina virtuale con molto meno fatica e molto più sicurezza o usare una macchina virtuale preconfigurata.

Per la whitelist degli indirizzi si può farlo con /etc/hosts, disabilitare i DNS e inserirli, così il browser si connette solo a questi indirizzi
#witelist:

Codice: Seleziona tutto

203.167.0.3     http://www.miobanca.it 
174.133.252.146 http://altro.server.it

[GreYOwL]

@GreYOwL

la domanda è provocatoria

6) se proprio vuoi, puoi sentirti più sicuro installando Gufw (interfaccia grafica per il firewall)

mi spieghi come questo punto "dovrebbe farmi sentire più sicuro"?

Anche secondo la mia modestissima opinione, avere una partizione e un sistema "fisico" offre gli stessi standard di sicurezza di una live, con in più molti altri vantaggi.

No. Come già dibattuto offrono vantaggi diversi

non ci sono problemi rispondo tranquillamente.
punto primo il firewall: ho scritto un pochino ovunque che su un desktop con linux, ben configurato, con i servizi aperti al minimo indispensabile, il firewall è praticamente inutile. Forse quello che ho scritto non rendeva il senso di quello che volevo dire: quel proprio più sicuro, era perchÈ in molti, il firewall ha l´effetto "placebo". tranquillizza. Che so, al paro di: "prendo una spremuta di arancie al giorno perchÈ faccio il pieno di vitamina C e non mi viene il raffreddore...
per il secondo punto:
se il pc È mio, una installazione fisica, da più vantaggi di una chiavetta usb. La memoria flash di una chiavetta, se usata di continuo, ad esempio, ti può lasciare a piedi con maggior facilitÀ di un hard disk. Senza contare poi il pericolo di perderla, dello spazio per archivizione, se hai poca RAM i tempi per il boot sono maggiori... diverso invece, il discorso, come nel caso della discussione da te linkata, di un portatile usato da più persone. Io ho il mio sistema portatile, voi fate quello che vi pare, ma quando lo uso io non lascio tracce...
Insomma, poi appunto dipende da come si usa il pc, cosa ci vuoi fare, a cosa ti serve.

[GreYOwL]

A parte i problemi specifici (la swap c'è già, nel mio caso), non sono tanti 20 Gb visto che il sistema sarebbe vuoto?
La live è molto comoda in certi casi, ma in un pc "casalingo" e ci n utenza "adulta" che non varia, una partizione ad hoc protetta credo sia la scelta migliore.

Rispetto al firewall, non saprei. Nella mia idea vorrei che tutto fosse bloccato tranne qualche indirizzo IP che sono io ad "aprire"...

Per lo spazio, non cÈ un una risposta definitiva. 20 gb se hai il solo sistema può essere sufficente. se cominci a metterci dentro che so, documenti pdf, preventivi, foto di progetti, ecc. porebbero essere ridicoli. Dipende da te, te devi fare una valutazione del tutto.
A questo punto, io cripterei tutta la partizione, non solo la home.
Per il firewall, ripeto, non serve. e te lo ripeto, anche il perchÈ. nel momento dell´accesso alla tua banca, tu accetti tutto il traffico in entrate e in uscita. Tutto questo in una connessione "protetta". Se il pc è "pulito" non serve togliere tutto il resto.
Comunque, con iptables, si puoi bloccare tutto il traffico in entrata e in uscita lasciando aperte solo le porte che decidi te.

[thece]

@steff

Mi sembra complicato ...

Non ho capito se è riferito al mio script o altro

@simone_t

Non stavo pensando alla fattibilità di un ip fisso a cui collegarsi ma una specie di parental control al contrario, dove io posso impostare che tutto il web è blacklisted tranne ...

Il mio script per IPTables fa esattamente questo: impedisce tutto il traffico sia in ingresso, sia in uscita dal tuo PC, tranne le richieste verso DNS dal tuo PC e le connessioni HTTP/HTTPS verso i siti specificati nella lista ... quindi: ti basta modificare la lista con i siti di tuo gradimento e poi far girare lo script. O meglio gli script: prima sempre quello di reset, poi quello di set