Raccolta di siti web e software per navigare sicuri

[davideddu]

Oggi una mia amica mi ha contattato perché (ovviamente usando Windows) si è beccata un virus che copre tutta l'interfaccia impedendo di usarla, anche in mod. provvisoria.
Mi ha fatto venire in mente lo spunto per una discussione: secondo voi, perché -effettivamente- gli UNIX-like (Mac compreso, quindi) sono più sicuri di Windows?
Secondo me grazie allo standard POSIX e i permessi (un virus non potrà mai diventare root, a meno che non imbrogli l'utente in qualche modo), e secondo voi?

Vorrei sapere cosa ne pensate su questo argomento

[caturen]

battuta: solo perchè è poco usato, altrimenti ci vuol ben poco con l'ingegneria sociale ad abbindolare qualche sconsiderato

[davideddu]

battuta: solo perchè è poco usato, altrimenti ci vuol ben poco con l'ingegneria sociale ad abbindolare qualche sconsiderato

Mac OS X non lo è: esistono più virus per Mac rispetto a Linux ma non si possono paragonare al numero di quelli per Windows...

[shouldes]

battuta: solo perchè è poco usato, altrimenti ci vuol ben poco con l'ingegneria sociale ad abbindolare qualche sconsiderato

Secondo me è una risposta molto seria più che una battuta.
Basta dare un'occhiata a gnome-look e al gran numero di script che gli utenti lanciano... quante password gli utenti mettono per banalità?
L'altro giorno un'utente ha aperto una richiesta di aiuto perché ha scaricato uno script credo del corriere dei trasporti, senza neppure leggerlo lo ha lanciato e ha messo la password, siccome il link glielo aveva creato in /root/Desktop ha aperto la richiesta d'aiuto, alla ricerca del link perduto...
Ora mi immagino uno script che cambia il sources.list e al primo aggiornamento gli si mette un pacchetto che manda a donnine allegre il sistema, oppure che lo manda da subito il sistema a donnine allegre.

Utente Windows medio:
Lancia il programma con il malware e gli si apre una finestra che avvisa, lui conferma.
Gli si apre la finestra dell'installer con la casellina del malware aggiuntivo già spuntata e la licenza da leggere, lui clicca su avanti.
Gli si apre la licenza dal malware (adware legale in questo caso, tipo quello delle lens della 12.10 di ubuntu) e clicca di nuovo su avanti.
A questo punto, visto che l'UAC vede qualcosa che non va, mette l'altra finestra, quella che dovrebbe mettere paura, ma l'utente conferma nuovamente.
Finita l'installazione, magari il malware va in conflitto con altri malware e gli si sputtana il sistema.

L'utente più avanzato magari ha l'account amministratore e l'account utente, oltre a cliccare su conferma deve mettere la password come su Ubuntu, non contando il fatto che è più attento.
Come c'è gente su GNU/Linux che usa direttamente un'account amministratore e il sistema non avvisa, non chiede password, nulla di nulla, ma è accorta e non gli succede nulla, c'è gente su Windows che disattiva l'UAC e non gli succede nulla.

Per quanto riguarda il problema che avevo....
Evidentemente era un bug, ora per magia sono diventato invisibile al SYN scanning.
Fino a quando non mi si infileranno di nuovo nel pc mi sentirò invincibile.
O già quacuno si è infilato e mi ha reso invisibile?

Stesso test in allegato, tutto nascosto.

[davideddu]

battuta: solo perchè è poco usato, altrimenti ci vuol ben poco con l'ingegneria sociale ad abbindolare qualche sconsiderato

Secondo me è una risposta molto seria più che una battuta.
Basta dare un'occhiata a gnome-look e al gran numero di script che gli utenti lanciano... quante password gli utenti mettono per banalità?
L'altro giorno un'utente ha aperto una richiesta di aiuto perché ha scaricato uno script credo del corriere dei trasporti, senza neppure leggerlo lo ha lanciato e ha messo la password, siccome il link glielo aveva creato in /root/Desktop ha aperto la richiesta d'aiuto, alla ricerca del link perduto...
Ora mi immagino uno script che cambia il sources.list e al primo aggiornamento gli si mette un pacchetto che manda a donnine allegre il sistema, oppure che lo manda da subito il sistema a donnine allegre.

Utente Windows medio:
Lancia il programma con il malware e gli si apre una finestra che avvisa, lui conferma.
Gli si apre la finestra dell'installer con la casellina del malware aggiuntivo già spuntata e la licenza da leggere, lui clicca su avanti.
Gli si apre la licenza dal malware (adware legale in questo caso, tipo quello delle lens della 12.10 di ubuntu) e clicca di nuovo su avanti.
A questo punto, visto che l'UAC vede qualcosa che non va, mette l'altra finestra, quella che dovrebbe mettere paura, ma l'utente conferma nuovamente.
Finita l'installazione, magari il malware va in conflitto con altri malware e gli si sputtana il sistema.

L'utente più avanzato magari ha l'account amministratore e l'account utente, oltre a cliccare su conferma deve mettere la password come su Ubuntu, non contando il fatto che è più attento.
Come c'è gente su GNU/Linux che usa direttamente un'account amministratore e il sistema non avvisa, non chiede password, nulla di nulla, ma è accorta e non gli succede nulla, c'è gente su Windows che disattiva l'UAC e non gli succede nulla.

Hai ragione anche tu...
Forse però si dovrebbe impostare meglio PolicyKit: quando l'utente installa un programma, gli viene sempre richiesta la password: è un po' palloso metterla ogni volta - io preferisco metterla, ma molti piuttosto mettono una regola in /etc/sudoers...
Dicevo, bisognerebbe impostare PolicyKit per fare in modo che solo gli stumenti ufficiali (Ubuntu Software Center, Update Manager, Sorgenti software), non richiedano la password per:

• Installare/aggiornare pacchetti certificati/aggiornati da Canonical
  oppure
• Installare/aggiornare pacchetti dai repository ufficiali - main, universe, multiverse e l'altro che non ricordo , da partners e da extra, e quelli da comprare nell'USC, che comunque vengono verificati direttamente da Canonical
• Attivare o disattivare i suddetti repository e cambiare il server di scaricamento dei pacchetti

Dovrebbe essere sempre chiesta per:

• Installare/aggiornare software da repository e PPA sconosciuti (es. Medibuntu va bene, un ppa qualsiasi no)
• Aggiungere o rimuovere PPA
• Attivare o disattivare i canali proposed e unsupported

Inoltre, sarebbe opportuno impostare sudo, gksudo, kdesudo, PolicyKit in modo da mostrare sempre alla richiesta della password un avviso che allerti gli utenti sul fatto che avviando software sconosciuto come root può danneggiare gravemente il sistema, un po' come accade su Mac OS X e su Arch Linux, ma usando una frase più concisa, spaventosa e rossa

Tornando alla mia tesi iniziale e riproponendola, secondo voi quanto influisce il fatto che FAT/NTFS e Ext/Hfs gestiscano in modo totalmente diverso i permessi?

[mutaforme]

Si però un conto è il malware generico e un conto i virus. La differenza è che su windows puoi prendere un virus autoreplicante anche se non installi nulla. Per sistemi *nix non esistono veri virus o quanto meno deve esserci il fattore umano (utente che li installa).

[shouldes]

OS X non so come funzioni, ma Arch con l'utente nel sudoers mi funziona come mi funziona Ubuntu, sarà perché in entrambi faccio tutto a mano (ubuntu 12.10 installata da livecd se non sbaglio fa gli updates senza chiedere password ad esempio e ha il root disattivato, cosa diversa se usi la mini.iso, dove hai molta più scelta), ma non mi pare ci sia tutta questa differenza a livello amministrativo, almeno da utente (sudo).

· Attivare o disattivare i suddetti repository e cambiare il server di scaricamento dei pacchetti
Su questo punto sono totalmente in disaccordo, il sources.list senza password non si deve poter toccare, non esiste andare a creare un buco del genere senza una motivazione valida, uno perché non è una cosa che fai spesso, due perché se lanci l'interfaccia per la gestione del sources.list da synaptic, che hai già aperto con password, non te la chiede di nuovo, te la chiede se lo lanci da non autenticato, come è giusto che sia.
Chiunque potrebbe sputtanare il sistema dell'ufficio disattivando una componente e creando casini nel sistema di dipendenze, solo per prendersi mezza giornata di cazzeggio.

Si però un conto è il malware generico e un conto i virus. La differenza è che su windows puoi prendere un virus autoreplicante anche se non installi nulla. Per sistemi *nix non esistono veri virus o quanto meno deve esserci il fattore umano (utente che li installa).

Ormai anche sui nuovi Windows ci deve essere il fattore umano per beccarsi qualcosa, per questo l'ho un po' difeso.
L'ultimo virus on air l'ho preso 12 anni fa, prima del service pack1 di xp e microsoft dovette farci un service pack per il temibile worm-blaster (non c'era antivirus in grado di tenerlo a bada prima che la casa famosa oggi per spyware-blaster rilasciasse un demone anti-worm-blaster e prima del primo service pack).
Quando parlo di Windows ormai xp non lo considero neppure, roba dell'altro secolo anche per Microsoft.

[davideddu]

OS X non so come funzioni, ma Arch con l'utente nel sudoers mi funziona come mi funziona Ubuntu, sarà perché in entrambi faccio tutto a mano (ubuntu 12.10 installata da livecd se non sbaglio fa gli updates senza chiedere password ad esempio e ha il root disattivato, cosa diversa se usi la mini.iso, dove hai molta più scelta), ma non mi pare ci sia tutta questa differenza a livello amministrativo, almeno da utente (sudo).

Non ti chiede la password se usi il gestore degli aggiornamenti, perché PolicyKit è impostato per non chiedere la password se si deve solo aggiornare. Se usi sudo apt-get upgrade te la chiede.

· Attivare o disattivare i suddetti repository e cambiare il server di scaricamento dei pacchetti
Su questo punto sono totalmente in disaccordo, il sources.list senza password non si deve poter toccare, non esiste andare a creare un buco del genere senza una motivazione valida, uno perché non è una cosa che fai spesso, due perché se lanci l'interfaccia per la gestione del sources.list da synaptic, che hai già aperto con password, non te la chiede di nuovo, te la chiede se lo lanci da non autenticato, come è giusto che sia.
Chiunque potrebbe sputtanare il sistema dell'ufficio disattivando una componente e creando casini nel sistema di dipendenze, solo per prendersi mezza giornata di cazzeggio.

PolicyKit andrebbe impostato per non chiedere la password solo se si attivano/disattivano i repo ufficiali - main, universe, multiverse, restricted, partner di canonical e extras, e per i canali security e updates - cosa pensi che i MOTU mettano virus nei repo? Per tutti gli altri repo deve assolutamente essere chiesta la password.
Tutto questo naturalmente si riferisce ai soli utenti amministratori, agli utenti normali deve essere chiesto il permesso dell'admin. Agli utenti normali non dev'essere chiesta solo se installano software dai repository già indicati, e deve essere chiesta qualvolta una versioni più recente fosse disponibile in un PPA, anche se il pacchetto è nei repo ufficiali.

Si però un conto è il malware generico e un conto i virus. La differenza è che su windows puoi prendere un virus autoreplicante anche se non installi nulla. Per sistemi *nix non esistono veri virus o quanto meno deve esserci il fattore umano (utente che li installa).

Ormai anche sui nuovi Windows ci deve essere il fattore umano per beccarsi qualcosa, per questo l'ho un po' difeso.
L'ultimo virus on air l'ho preso 12 anni fa, prima del service pack1 di xp e microsoft dovette farci un service pack per il temibile worm-blaster (non c'era antivirus in grado di tenerlo a bada prima che la casa famosa oggi per spyware-blaster rilasciasse un demone anti-worm-blaster e prima del primo service pack).
Quando parlo di Windows ormai xp non lo considero neppure, roba dell'altro secolo anche per Microsoft.

Almeno su Ubuntu GNU/Linux - a meno che non si trovi un exploit nel browser - i file non vengono eseguiti, e se anche il browser dovesse combinarne qualcuna ci vuole anche il permesso per l'esecuzione...

[schizoid man]

Salve a tutti.
Provando a seguire le istruzioni per modificare il file /etc/hosts ho dato il comando indicato nella guida http://wiki.ubuntu-it.org/Sicurezza/Rac ... nSicurezza

Codice: Seleziona tutto

sudo bash -c 'wget -O "-" http://someonewhocares.org/hosts/hosts > /etc/hosts
python -c "hostname = open(\"/etc/hostname\", \"r\")
print(\'\'\'    127.0.0.1       localhost
    127.0.1.1       {0}

    # The following lines are desirable for IPv6 capable hosts
    ::1     ip6-localhost ip6-loopback
    fe00::0 ip6-localnet
    ff00::0 ip6-mcastprefix
    ff02::1 ip6-allnodes
    ff02::2 ip6-allrouters
\'\'\'.format(hostname.read().replace(\'\\n\', \'\')))
hostname.close()" | cat - /etc/hosts > /tmp/out && mv > /etc/hosts'

Ma mi restituisce il seguente errore:

Codice: Seleziona tutto

--2013-01-23 17:52:48--  http://someonewhocares.org/hosts/hosts
Risoluzione di someonewhocares.org (someonewhocares.org)... 72.2.4.176
Connessione a someonewhocares.org (someonewhocares.org)|72.2.4.176|:80... connesso.
Richiesta HTTP inviata, in attesa di risposta... 200 OK
Lunghezza: 306091 (299K) [text/plain]
Salvataggio in: "STDOUT"

100%[=======================================>] 306.091     91,8K/s   in 3,3s    

2013-01-23 17:52:52 (91,8 KB/s) - scritto su stdout [306091/306091]

127.0.0.1: -c: riga 1: EOF non atteso durante la ricerca di """
127.0.0.1: -c: riga 3: errore di sintassi: EOF non atteso

Provato su kubuntu 12.04
Python e wget regolarmente installati.
Sbaglio qualcosa io oppure c'è un errore da qualche parte?
Grazie per l'attenzione.

EDIT: la lista degli hosts da bloccare la scarica regolarmente, ma non sostituisce le righe in #<localhosts>.

[davideddu]

Salve a tutti.
Provando a seguire le istruzioni per modificare il file /etc/hosts ho dato il comando indicato nella guida http://wiki.ubuntu-it.org/Sicurezza/Rac ... nSicurezza

Codice: Seleziona tutto

sudo bash -c 'wget -O "-" http://someonewhocares.org/hosts/hosts > /etc/hosts
python -c "hostname = open(\"/etc/hostname\", \"r\")
print(\'\'\'    127.0.0.1       localhost
    127.0.1.1       {0}

    # The following lines are desirable for IPv6 capable hosts
    ::1     ip6-localhost ip6-loopback
    fe00::0 ip6-localnet
    ff00::0 ip6-mcastprefix
    ff02::1 ip6-allnodes
    ff02::2 ip6-allrouters
\'\'\'.format(hostname.read().replace(\'\\n\', \'\')))
hostname.close()" | cat - /etc/hosts > /tmp/out && mv > /etc/hosts'

Ma mi restituisce il seguente errore:

Codice: Seleziona tutto

--2013-01-23 17:52:48--  http://someonewhocares.org/hosts/hosts
Risoluzione di someonewhocares.org (someonewhocares.org)... 72.2.4.176
Connessione a someonewhocares.org (someonewhocares.org)|72.2.4.176|:80... connesso.
Richiesta HTTP inviata, in attesa di risposta... 200 OK
Lunghezza: 306091 (299K) [text/plain]
Salvataggio in: "STDOUT"

100%[=======================================>] 306.091     91,8K/s   in 3,3s    

2013-01-23 17:52:52 (91,8 KB/s) - scritto su stdout [306091/306091]

127.0.0.1: -c: riga 1: EOF non atteso durante la ricerca di """
127.0.0.1: -c: riga 3: errore di sintassi: EOF non atteso

Provato su kubuntu 12.04
Python e wget regolarmente installati.
Sbaglio qualcosa io oppure c'è un errore da qualche parte?
Grazie per l'attenzione.

EDIT: la lista degli hosts da bloccare la scarica regolarmente, ma non sostituisce le righe in #<localhosts>.

No, l'errore è mio...
Usa questo:

Codice: Seleziona tutto

wget https://dl.dropbox.com/u/20762508/hosts.py -O ~/.hosts.py
sudo python ~/.hosts.py
rm ~/.hosts.py

[caturen]

sicuro che sia giusto? a me da errore

Codice: Seleziona tutto

[sudo] password for caturen: 
  File "/home/caturen/.hosts.py", line 23
    """.format(hostname.read().replace(\'\\n\', \'\')))
                                                      ^
SyntaxError: unexpected character after line continuation character
caturen@caturen:~$ 

[davideddu]

sicuro che sia giusto? a me da errore

Codice: Seleziona tutto

[sudo] password for caturen: 
  File "/home/caturen/.hosts.py", line 23
    """.format(hostname.read().replace(\'\\n\', \'\')))
                                                      ^
SyntaxError: unexpected character after line continuation character
caturen@caturen:~$ 

Sorry, riprova ora...

[caturen]

sicuro che sia giusto? a me da errore

Codice: Seleziona tutto

[sudo] password for caturen: 
  File "/home/caturen/.hosts.py", line 23
    """.format(hostname.read().replace(\'\\n\', \'\')))
                                                      ^
SyntaxError: unexpected character after line continuation character
caturen@caturen:~$ 

Sorry, riprova ora...

ok ora funziona anche se io già uso ghostery che credo faccia lo stesso lavoro

[davideddu]

sicuro che sia giusto? a me da errore

Codice: Seleziona tutto

[sudo] password for caturen: 
  File "/home/caturen/.hosts.py", line 23
    """.format(hostname.read().replace(\'\\n\', \'\')))
                                                      ^
SyntaxError: unexpected character after line continuation character
caturen@caturen:~$ 

Sorry, riprova ora...

ok ora funziona anche se io già uso ghostery che credo faccia lo stesso lavoro

No, non fa lo stesso lavoro: mentre Ghostery impedisce al browser di usare i siti nella blacklist, con questo sistema tutti i programmi vengono reindirizzati al proprio computer, senza quindi eseguire nessuna connessione all'esterno. Inoltre Ghostery non è open-source, e non sai se registra le visite ai siti o qualcos'altro. Invece con questo sistema sai esattamente quello che succede.

[davideddu]

DuckDuckGo, il motore di ricerca anti-tracciamento, ha aperto un nuovo sito: FixTracking.
Questo sito fornisce alcune estensioni e consigli per ogni browser per proteggersi dal tracciamento, alcuni dei quali sono già stati segnalati qui...

[Darren]

Salve a tutti.
Provando a seguire le istruzioni per modificare il file /etc/hosts ho dato il comando indicato nella guida http://wiki.ubuntu-it.org/Sicurezza/Rac ... nSicurezza

Codice: Seleziona tutto

sudo bash -c 'wget -O "-" http://someonewhocares.org/hosts/hosts > /etc/hosts
python -c "hostname = open(\"/etc/hostname\", \"r\")
print(\'\'\'    127.0.0.1       localhost
    127.0.1.1       {0}

    # The following lines are desirable for IPv6 capable hosts
    ::1     ip6-localhost ip6-loopback
    fe00::0 ip6-localnet
    ff00::0 ip6-mcastprefix
    ff02::1 ip6-allnodes
    ff02::2 ip6-allrouters
\'\'\'.format(hostname.read().replace(\'\\n\', \'\')))
hostname.close()" | cat - /etc/hosts > /tmp/out && mv > /etc/hosts'

Ma mi restituisce il seguente errore:

Codice: Seleziona tutto

--2013-01-23 17:52:48--  http://someonewhocares.org/hosts/hosts
Risoluzione di someonewhocares.org (someonewhocares.org)... 72.2.4.176
Connessione a someonewhocares.org (someonewhocares.org)|72.2.4.176|:80... connesso.
Richiesta HTTP inviata, in attesa di risposta... 200 OK
Lunghezza: 306091 (299K) [text/plain]
Salvataggio in: "STDOUT"

100%[=======================================>] 306.091     91,8K/s   in 3,3s    

2013-01-23 17:52:52 (91,8 KB/s) - scritto su stdout [306091/306091]

127.0.0.1: -c: riga 1: EOF non atteso durante la ricerca di """
127.0.0.1: -c: riga 3: errore di sintassi: EOF non atteso

Provato su kubuntu 12.04
Python e wget regolarmente installati.
Sbaglio qualcosa io oppure c'è un errore da qualche parte?
Grazie per l'attenzione.

EDIT: la lista degli hosts da bloccare la scarica regolarmente, ma non sostituisce le righe in #<localhosts>.

quanta roba...
ma non è + semplice un banale "sudo gedit /etc/hosts" mah...

[davideddu]

Salve a tutti.
Provando a seguire le istruzioni per modificare il file /etc/hosts ho dato il comando indicato nella guida http://wiki.ubuntu-it.org/Sicurezza/Rac ... nSicurezza

Codice: Seleziona tutto

sudo bash -c 'wget -O "-" http://someonewhocares.org/hosts/hosts > /etc/hosts
python -c "hostname = open(\"/etc/hostname\", \"r\")
print(\'\'\'    127.0.0.1       localhost
    127.0.1.1       {0}

    # The following lines are desirable for IPv6 capable hosts
    ::1     ip6-localhost ip6-loopback
    fe00::0 ip6-localnet
    ff00::0 ip6-mcastprefix
    ff02::1 ip6-allnodes
    ff02::2 ip6-allrouters
\'\'\'.format(hostname.read().replace(\'\\n\', \'\')))
hostname.close()" | cat - /etc/hosts > /tmp/out && mv > /etc/hosts'

Ma mi restituisce il seguente errore:

Codice: Seleziona tutto

--2013-01-23 17:52:48--  http://someonewhocares.org/hosts/hosts
Risoluzione di someonewhocares.org (someonewhocares.org)... 72.2.4.176
Connessione a someonewhocares.org (someonewhocares.org)|72.2.4.176|:80... connesso.
Richiesta HTTP inviata, in attesa di risposta... 200 OK
Lunghezza: 306091 (299K) [text/plain]
Salvataggio in: "STDOUT"

100%[=======================================>] 306.091     91,8K/s   in 3,3s    

2013-01-23 17:52:52 (91,8 KB/s) - scritto su stdout [306091/306091]

127.0.0.1: -c: riga 1: EOF non atteso durante la ricerca di """
127.0.0.1: -c: riga 3: errore di sintassi: EOF non atteso

Provato su kubuntu 12.04
Python e wget regolarmente installati.
Sbaglio qualcosa io oppure c'è un errore da qualche parte?
Grazie per l'attenzione.

EDIT: la lista degli hosts da bloccare la scarica regolarmente, ma non sostituisce le righe in #<localhosts>.

quanta roba...
ma non è + semplice un banale "sudo gedit /etc/hosts" mah...

L'ho aggiornato, ed è più semplice e banale adesso.

[randlep]

mi scuso per la banalità del quesito, ma ho questo piccolo dubbio e non ho trovato risposta.
Nel ringraziare l'autore Davideddu per il comodissimo script che uso per aggiornare il file hosts, volevo sapere se adblock di FF e il sistema del file hosts possono convivere senza problemi, o se per caso possono andare "in conflitto" in qualche modo

[steff]

Non ci sono conflitti, secondo me.

[randlep]

grazie della risposta. Effettivamente al momento li ho entrambi e su Firefox non sto notando problemi