Consigli su Antivirus

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
EagleBuntu
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 324
Iscrizione: domenica 28 luglio 2013, 0:22
Desktop: Gnome
Distribuzione: Ubuntu 22.04.4LTS 64bit

Re: Consigli su Antivirus

Messaggio da EagleBuntu »

Se posso rassenerare questa diatriba sul secure boot, vorrei rassicurare che adesso l'ho attivato da bios e non ho avuto problemi nè per l'avvio di ubuntu nè di win10. Dai miei "appunti" ho visto che l'avevo disattivato per far fronte a difficoltà d'installazione di ubuntu, evidentemente è rimasto così da allora.
Quando ho un po' di tempo a disposizione faccio quelle prove di scansione che avevo indicato.
Avatar utente
frapox
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3649
Iscrizione: sabato 31 dicembre 2005, 19:22

Re: Consigli su Antivirus

Messaggio da frapox »

woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162226#p5162226][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Oggi possiamo compilare un kernel personalizzato e firmarlo noi stessi...però rimane il fatto che dovrebbero a mio parere consentirne la disabilitazione, ma sarà sempre il produttore a deciderlo, non fanno referendum per queste cose, tuttavia abbiamo la possibilità di scegliere di comprare quelli che offrono questa possibilità.
Ma il SecureBoot è sempre possibile spegnerlo, credo. Non è questo il problema.

Il problema è che per sfruttare questa feature di sicurezza (il SB) le chiavi primarie (PK) utilizzate per firmare i certificati secondari (Quelli di canonical e altri vendor Linux o i kernel autocompilati e relativi initrd) sono chiavi Microsoft! Quindi in pratica tutta la baracca sta in piedi se l'assunzione "ci fidiamo di Microsoft e delle sue chiavi" è vera. Se fosse falsa, addios amigos! :D
Most x86 hardware comes from the factory pre-loaded with Microsoft keys. This means we can generally rely on the firmware on these systems to trust binaries that are signed by Microsoft, and the Linux community heavily relies on this assumption for Secure Boot to work. This is the same process used by Red Hat and SUSE, for instance.

On Ubuntu, all pre-built binaries intended to be loaded as part of the boot process, with the exception of the initrd image, are signed by Canonical's UEFI certificate, which itself is implicitly trusted by being embedded in the shim loader, itself signed by Microsoft.
https://wiki.ubuntu.com/UEFI/SecureBoot

Quindi in quest'ottica il discorso di una "maggiore collaborazione" tra soggetti interessati che faceva Ombra, ha perfettamente senso, imo.
Messaggi privati (via Jabber/XMPP): frapox@suchat.org
Avatar utente
woddy68
Rampante Reduce
Rampante Reduce
Messaggi: 8642
Iscrizione: sabato 12 febbraio 2011, 14:23
Desktop: Kde Plasma5
Distribuzione: openSUSE Tumbleweed - KDE Neon
Sesso: Maschile

Re: Consigli su Antivirus

Messaggio da woddy68 »

Il problema è che per sfruttare questa feature di sicurezza (il SB) le chiavi primarie (PK) utilizzate per firmare i certificati secondari (Quelli di canonical e altri vendor Linux o i kernel autocompilati e relativi initrd) sono chiavi Microsoft! Quindi in pratica tutta la baracca sta in piedi se l'assunzione "ci fidiamo di Microsoft e delle sue chiavi" è vera. Se fosse falsa, addios amigos!
Non è così, informati meglio...Canonical non ha mai comprato chiavi da Microsoft, altre distribuzioni come Fedora e openSUSE lo hanno fatto ad un costo simbolico, ma lo hanno fatto solo per comodità, avrebbero potuto fare come Canonical che distribuisce la sua chiave ai produttori hardware.
Desktop - DELL Optiplex 7010 - Notebook HP 250
-Ho sempre accettato caramelle dagli sconosciuti-
🇺🇦 🇺🇦 🇺🇦
Avatar utente
OMBRA_Linux
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2696
Iscrizione: mercoledì 18 febbraio 2015, 14:24
Desktop: HP / Lenovo / Samsung
Distribuzione: Android / Linux / Windows10-11
Sesso: Maschile
Località: Napoli

Re: Consigli su Antivirus

Messaggio da OMBRA_Linux »

woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162146#p5162146][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
OMBRA_Linux [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162116#p5162116][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Fin quando ci daranno la possibilità di poter scegliere si, ma non dipende da noi perchè possono sempre cambiare le cose.
Per questo ho sempre sostenuto che Linux dovrebbe accordarsi con una casa produttrice Hardware e fa produrre un proprio Pc con Linux compatibile al 100% senza ogni volta risolvere problemi causati di proposito dalla concorrenza.
Ma ci sono già ! Basta cercare e non comprare alla cieca...alcuni prodotti hanno Linux pre-installato e lo supportano attivamente.
Qui trovi direttamente su Amazon molti notebook con Linux pre-installato https://www.amazon.it/Dell-Portatili-Li ... A518106031
Se parti dal presupposto, che ora si può ma forse un giorno non si potrà, non vivi più ! Tutto può cambiare... se cerchi un'auto nuova con i finestrini a manovella è probabile che non la troverai, il mondo va avanti, personalmente mi preoccuperei se non fosse supportato da Linux, ma lo è per cui non limita la scelta.
Poi se dietro a ogni scelta ci dobbiamo vedere complotti e quant'altro, a mio parere ha poco senso.

Da premettere che non ho mai comprato un computer con Linux preinstallato.
Ma siccome leggo sul Web di molti utenti lamentarsi che non funziona qualcosa quando avanzano di versione, mi viene da pensare che se succede la stessa cosa con quei Computer con Linux preinstallato alla fine ti ritrovi con un Pc con un Sistema Obsoleto.
Se per vivere devi strisciare, alzati e muori.
Avatar utente
woddy68
Rampante Reduce
Rampante Reduce
Messaggi: 8642
Iscrizione: sabato 12 febbraio 2011, 14:23
Desktop: Kde Plasma5
Distribuzione: openSUSE Tumbleweed - KDE Neon
Sesso: Maschile

Re: Consigli su Antivirus

Messaggio da woddy68 »

OMBRA_Linux [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162271#p5162271][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162146#p5162146][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
OMBRA_Linux [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162116#p5162116][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Fin quando ci daranno la possibilità di poter scegliere si, ma non dipende da noi perchè possono sempre cambiare le cose.
Per questo ho sempre sostenuto che Linux dovrebbe accordarsi con una casa produttrice Hardware e fa produrre un proprio Pc con Linux compatibile al 100% senza ogni volta risolvere problemi causati di proposito dalla concorrenza.
Ma ci sono già ! Basta cercare e non comprare alla cieca...alcuni prodotti hanno Linux pre-installato e lo supportano attivamente.
Qui trovi direttamente su Amazon molti notebook con Linux pre-installato https://www.amazon.it/Dell-Portatili-Li ... A518106031
Se parti dal presupposto, che ora si può ma forse un giorno non si potrà, non vivi più ! Tutto può cambiare... se cerchi un'auto nuova con i finestrini a manovella è probabile che non la troverai, il mondo va avanti, personalmente mi preoccuperei se non fosse supportato da Linux, ma lo è per cui non limita la scelta.
Poi se dietro a ogni scelta ci dobbiamo vedere complotti e quant'altro, a mio parere ha poco senso.

Da premettere che non ho mai comprato un computer con Linux preinstallato.
Ma siccome leggo sul Web di molti utenti lamentarsi che non funziona qualcosa quando avanzano di versione, mi viene da pensare che se succede la stessa cosa con quei Computer con Linux preinstallato alla fine ti ritrovi con un Pc con un Sistema Obsoleto.
Il discorso degli avanzamenti di versione non ha nulla a che fare con il pc in se, gli avanzamenti di versione vengono testati solo con software il software ufficiale e predefinito, perché esistono migliaia di variabili e se poi si aggiunge software dai ppa diventa sempre più difficile.
L'avanzamenti di versione va fatto previo back up e è risaputo che non è detto che vada a buon fine, ma se uno ha una /home separata o partizione dati fa prima a re-installarlo, avrà un sistema pulito e con meno problemi, alcuni sostengono che l'avanzamento da usb è il più sicuro, ma non lo mai fatto.
Desktop - DELL Optiplex 7010 - Notebook HP 250
-Ho sempre accettato caramelle dagli sconosciuti-
🇺🇦 🇺🇦 🇺🇦
Avatar utente
frapox
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3649
Iscrizione: sabato 31 dicembre 2005, 19:22

Re: Consigli su Antivirus

Messaggio da frapox »

woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162270#p5162270][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
Il problema è che per sfruttare questa feature di sicurezza (il SB) le chiavi primarie (PK) utilizzate per firmare i certificati secondari (Quelli di canonical e altri vendor Linux o i kernel autocompilati e relativi initrd) sono chiavi Microsoft! Quindi in pratica tutta la baracca sta in piedi se l'assunzione "ci fidiamo di Microsoft e delle sue chiavi" è vera. Se fosse falsa, addios amigos!
Non è così, informati meglio...Canonical non ha mai comprato chiavi da Microsoft, altre distribuzioni come Fedora e openSUSE lo hanno fatto ad un costo simbolico, ma lo hanno fatto solo per comodità, avrebbero potuto fare come Canonical che distribuisce la sua chiave ai produttori hardware.
A parte che la frase "informati meglio" dopo che ti riporto le citazioni esatte e pertinenti sulla questione, prese dalla wiki ubuntu, mi fa abbastanza ridere... :lol: Comunque semmai dovresti rileggere e capire meglio prima di dire quello.

Non ho mai scritto da nessuna parte che Canonical abbia pagato le chiavi... :nono: E anche se fosse... sticazzi? Non è quello il punto.

Ho scritto, citandoti una fonte affidabile, che l'intera infrastruttura di Secure Boot per Linux dipende da MS, confermando il mio dubbio iniziale che MS sia l'unico soggetto abilitato a installare le chiavi primarie direttamente nel firmware, e che tutti gli altri soggetti della questione tra cui i vendor Linux siano obbligati a passare da MS per farsi firmare i loro certificati (secondari) coi quali infine si firmano i kernel, i moduli richiesti al boot (tranne l'initrd).

Così è più chiaro? Speriamo.
Since the shim binary is signed by Microsoft; it is validated and accepted by the firmware when verifying against certificates already present in firmware. Since the shim binary embeds a Canonical certificate as well as its own trust database, further elements of the boot environment can, in addition to being signed by one of the acceptable certificates pre-loaded in firmware, be signed by Canonical's UEFI key.
Se non capisci l'inglese posso farti una traduzione, ma mi pare piuttosto semplice da tradurre.

Forse, gli unici device dove non c'è questa stretta dipendenza tra MS e SB sono quelli che montano Coreboot, ma su quello so poco e nulla, quindi non mi esprimo.
Ultima modifica di frapox il mercoledì 13 novembre 2019, 1:08, modificato 1 volta in totale.
Messaggi privati (via Jabber/XMPP): frapox@suchat.org
Avatar utente
woddy68
Rampante Reduce
Rampante Reduce
Messaggi: 8642
Iscrizione: sabato 12 febbraio 2011, 14:23
Desktop: Kde Plasma5
Distribuzione: openSUSE Tumbleweed - KDE Neon
Sesso: Maschile

Re: Consigli su Antivirus

Messaggio da woddy68 »

Perdonami per avere utilizzato un'espressione poco felice, ma non era mia intenzione offenderti.
Io credo che questo sia più dettagliato https://wiki.debian.org/SecureBoot io però mi riferivo alla chiave, ai tempi dell'implementazione di secure boot ci fu una lunga discussione su come farlo, alcune distribuzioni preferirono "comprare" una chiave da microsoft, altre come Ubuntu preferirono una chiave propria, che però da quel che capii, comportava la possibilità che qualche produttore non la implementasse. Non tutti hanno implementato secure boot allo stesso modo, da qui la mia obiezione, in quanto pensavo ti riferissi proprio a questo.
Desktop - DELL Optiplex 7010 - Notebook HP 250
-Ho sempre accettato caramelle dagli sconosciuti-
🇺🇦 🇺🇦 🇺🇦
Avatar utente
frapox
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3649
Iscrizione: sabato 31 dicembre 2005, 19:22

Re: Consigli su Antivirus

Messaggio da frapox »

woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162286#p5162286][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Perdonami per avere utilizzato un'espressione poco felice, ma non era mia intenzione offenderti.
Tranquillo, non c'è problema. ;)
woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162286#p5162286][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Io credo che questo sia più dettagliato https://wiki.debian.org/SecureBoot io però mi riferivo alla chiave, ai tempi dell'implementazione di secure boot ci fu una lunga discussione su come farlo, alcune distribuzioni preferirono "comprare" una chiave da microsoft, altre come Ubuntu preferirono una chiave propria, che però da quel che capii, comportava la possibilità che qualche produttore non la implementasse. Non tutti hanno implementato secure boot allo stesso modo, da qui la mia obiezione, in quanto pensavo ti riferissi proprio a questo.
Io dal link che hai postato (che domani mi spulcio meglio) trovo conferme di quanto detto:

1- Shim agisce come Uefi loader in caso di Secure Boot abilitato; è firmato con la PK di MS che agisce da CA primaria (appunto, quello che dicevo prima);
2- dentro a Shim stanno i cert. secondari delle varie distro;
3- le varie distro firmano con i cert. del punto 2. ogni altro pacchetto/modulo di modo che possa essere caricato col secure boot attivo;
4- tramite MOK possono essere generate ulteriori chiavi utente, firmandole coi cert. delle distro.

Quindi avviene la delega della fiducia (trust delegation) è così schematizzabile: MS > shim (distro) > Mok (utente).

Non conosco altre vicende di chiavi comprate da MS e non intendevo riferirmi a quelle.
Messaggi privati (via Jabber/XMPP): frapox@suchat.org
Avatar utente
OMBRA_Linux
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2696
Iscrizione: mercoledì 18 febbraio 2015, 14:24
Desktop: HP / Lenovo / Samsung
Distribuzione: Android / Linux / Windows10-11
Sesso: Maschile
Località: Napoli

Re: Consigli su Antivirus

Messaggio da OMBRA_Linux »

woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162274#p5162274][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
OMBRA_Linux [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162271#p5162271][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
woddy68 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162146#p5162146][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:
OMBRA_Linux [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162116#p5162116][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Fin quando ci daranno la possibilità di poter scegliere si, ma non dipende da noi perchè possono sempre cambiare le cose.
Per questo ho sempre sostenuto che Linux dovrebbe accordarsi con una casa produttrice Hardware e fa produrre un proprio Pc con Linux compatibile al 100% senza ogni volta risolvere problemi causati di proposito dalla concorrenza.
Ma ci sono già ! Basta cercare e non comprare alla cieca...alcuni prodotti hanno Linux pre-installato e lo supportano attivamente.
Qui trovi direttamente su Amazon molti notebook con Linux pre-installato https://www.amazon.it/Dell-Portatili-Li ... A518106031
Se parti dal presupposto, che ora si può ma forse un giorno non si potrà, non vivi più ! Tutto può cambiare... se cerchi un'auto nuova con i finestrini a manovella è probabile che non la troverai, il mondo va avanti, personalmente mi preoccuperei se non fosse supportato da Linux, ma lo è per cui non limita la scelta.
Poi se dietro a ogni scelta ci dobbiamo vedere complotti e quant'altro, a mio parere ha poco senso.

Da premettere che non ho mai comprato un computer con Linux preinstallato.
Ma siccome leggo sul Web di molti utenti lamentarsi che non funziona qualcosa quando avanzano di versione, mi viene da pensare che se succede la stessa cosa con quei Computer con Linux preinstallato alla fine ti ritrovi con un Pc con un Sistema Obsoleto.
Il discorso degli avanzamenti di versione non ha nulla a che fare con il pc in se, gli avanzamenti di versione vengono testati solo con software il software ufficiale e predefinito, perché esistono migliaia di variabili e se poi si aggiunge software dai ppa diventa sempre più difficile.
L'avanzamenti di versione va fatto previo back up e è risaputo che non è detto che vada a buon fine, ma se uno ha una /home separata o partizione dati fa prima a re-installarlo, avrà un sistema pulito e con meno problemi, alcuni sostengono che l'avanzamento da usb è il più sicuro, ma non lo mai fatto.


Quindi confermi quanto dico.
Per quanto riguarda i PPA esterni, beh quello è risaputo che il problema può presentarsi come avviene anche per i Pc che non hanno Linux Preinstallato. Ma io non faccio un discorso di Software, il mio è un discorso che riguarda il Sistema e di Driver essenziali ( Di sistema ) che prima funzionano correttamente e dopo con una nuova versione non funziona più.
Questa è una delle Pecche di Linux che ogni volta ad una nuova versione riscontri problemi che prima non avevi pur avendo installato il Sistema sullo stesso Pc. ( Tutto questo non ha senso )
Windows a differenza di Linux pur non essendo perfetto i driver funzionano correttamente anche quelli esterni. Ed'è questo uno dei motivi che mi convincono sempre di più che Linux dovrebbe lavorare con una singola Casa Produttrice, crearsela da sola risparmiandosi cosi la fatica di dover Aggiustare/Adattare Software altrui
Se per vivere devi strisciare, alzati e muori.
Avatar utente
woddy68
Rampante Reduce
Rampante Reduce
Messaggi: 8642
Iscrizione: sabato 12 febbraio 2011, 14:23
Desktop: Kde Plasma5
Distribuzione: openSUSE Tumbleweed - KDE Neon
Sesso: Maschile

Re: Consigli su Antivirus

Messaggio da woddy68 »

...e secondo te perché io sono passato a un sistema rolling release ? Ovviamente non può essere una soluzione per tutti, ma una rolling release una volta installata devi solo fare gli aggiornamenti si sistema, che possono a volte essere corposi, ma non devi mai avanzare.
Sulle versioni fix piaccia o meno è così, i driver proprietari sono sempre un problema a volte persino sulle rolling, perché non fanno parte del sistema, per questo sconsiglio sempre Nvidia, non perché non sia supportato, ma perché creano problemi molto più spesso di altri. Il mio desktop montava una Nvidia e per anni era un terno all'otto negli avanzamenti e non solo, da quando sono passato a Amd non ho più avuto un problema.
C'è di positivo che ormai è rimasta solo Nvidia a rilasciare driver proprietari, ogni tanto c'è qualche driver wifi ma raramente e solitamente c'è il corrispettivo open.
Desktop - DELL Optiplex 7010 - Notebook HP 250
-Ho sempre accettato caramelle dagli sconosciuti-
🇺🇦 🇺🇦 🇺🇦
Avatar utente
frapox
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 3649
Iscrizione: sabato 31 dicembre 2005, 19:22

Re: Consigli su Antivirus

Messaggio da frapox »

Scusate ma tutto questo discorso cosa c'entra con gli antivirus/malware o con la sicurezza?
Messaggi privati (via Jabber/XMPP): frapox@suchat.org
Avatar utente
woddy68
Rampante Reduce
Rampante Reduce
Messaggi: 8642
Iscrizione: sabato 12 febbraio 2011, 14:23
Desktop: Kde Plasma5
Distribuzione: openSUSE Tumbleweed - KDE Neon
Sesso: Maschile

Re: Consigli su Antivirus

Messaggio da woddy68 »

frapox [url=https://forum.ubuntu-it.org/viewtopic.php?p=5162494#p5162494][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Scusate ma tutto questo discorso cosa c'entra con gli antivirus/malware o con la sicurezza?
...hai ragione mi sono fatto trascinare. :ciao:
Desktop - DELL Optiplex 7010 - Notebook HP 250
-Ho sempre accettato caramelle dagli sconosciuti-
🇺🇦 🇺🇦 🇺🇦
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 3 ospiti