Intrusioni interne rete LAN, sicurezza, VPN, TOR e Firewall

[steff]

Vorrei ricordarvi che a) questa è una discussione tecnica e non una al Bar b) anche se fosse al Bar non si parla di politica.
Quindi tornate a parlare di aspetti tecnici a basta, grazie.

[Eresia]

Un ultimissimo chiarimento in merito alla protezione dei miei dati, poi possiamo anche chiudere questa discussione finalmente:

Non ci siamo intesi con la terminologia. Se vuoi criptare criptare l’intero hard disk, su linux solitamente si crea una partizione LUKS che fa da “contenitore”, quindi formatti quest’ultimo col file system ext4.
Quando vuoi accedere all’hard disk (o anche accendere il pc con l’hard disk criptato), ti viene chiesta la password per il contenitore e poi viene montato il file system come avverrebbe normalmente.
Se invece vuoi utilizzare l’hard disk su altri computer ma vuoi comunque proteggere alcuni files, puoi creare un file speciale all’interno dell hard disk, penna usb, quello che vuoi, che fa esso stesso da contenitore dove inserisci i file da proteggere. Il vantaggio è che il file lo puoi spostare dove ti pare.

Ho trovato alcuni programmi che consentono di proteggere le cartelle creando un'unità virtuale, come TrueCrypt (forse il più semplice da utilizzare), CryptKeeper ed eCryptFS che consente di proteggere anche la Home di ubuntu.
A me non serve proteggere l'intero hard disk interno (sul quale è installato ubuntu) e neanche l'intera Home... mi basta proteggere l'hard disk esterno creando all'interno di esso una cartella protetta (quindi un'inevitabile creazione di un'unità virtuale) e mi interessa inoltre creare una cartella protetta (quindi sempre unità virtuale) e ben visibile sul desktop, visto che la utilizzerei spesso...tanto se la cartella è protetta da password che mi importa se è ben visibile, visto che riguardo ai miei coinquilini non stiamo parlando di gente esperta.

Voi che dite, un programma come TrueCrypt può andar bene lo stesso?

So che è possibile proteggere i files importandoli in una cartella compressa e protetta da password...il problema però è che dopo aver fatto una prova, la password mi viene chiesta non per accedere alla cartella, bensì per accedere ai singoli files. Cioè i nomi di questi files sono ben visibili all'interno della cartella compressa e protetta da password. Semplicemente la password mi viene richiesta nel solo caso in cui tento di accedere ad un file.

Esempio: creo una cartella compressa, gli assegno una password e ci metto un file chiamato pippo.pdf e chiudo la cartella. Successivamente apro la cartella compressa con doppio click, non mi viene chiesta nessuna password e quindi visualizzo all'interno di essa il file pippo.pdf ...poi provo ad aprire il file pippo.pdf con doppio click e solo a questo punto mi viene chiesta la password per poter aprire il pdf. Dunque la password serve solo per poter aprire i files all'interno della cartella compressa ma non per accedere alla cartella e quindi non per nascondere i medesimi files.

Poi quando creo la cartella compressa ed imposto la password, vedo che sotto il campo password c'è un'opzione chiamata "cifra anche l'elenco dei files"...però non mi fa selezionare questa opzione.

Anzi, ancora peggio... ho provato a comprimere una cartella con dentro un file pdf ed ho impostato una password. Successivamente ho creato un nuovo file e l'ho inserito nella cartella compressa...poi ho provato ad aprire e anche copiare sulla scrivania l'ultimo file creato e nessuna password mi viene chiesta...mi vien chiesta la password solo se provo ad aprire o copiare il primo file creato.

Dunque per il mio caso ho bisogno di un programma come TrueCrypt oppure c'è un modo per far chiedere la password anche alla sola apertura della cartella compressa prima di far visualizzare i files all'interno di essa e per far chiedere la password anche per aprire e copiare i files successivamente importati?

P.s.:
TrueCrypt https://appuntilinux.it/come-criptare-i ... ntu-linux/
Cryptkeeper https://www.chimerarevo.com/linux/ubunt ... per-31866/
eCryptFS https://emarket.pe/it/blog/ecryptfs-cri ... su-ubuntu/

https://www.gnupg.org/gph/en/manual/x110.html

[thece]

2° Ma tu davvero credi che non possono Decriptare un computer?

Faccio un piccolo escursus sulla teoria e arrivo poi a risponderti.

Prendiamo un qualsiasi algoritmo di cifratura / decifratura, open source - quindi il cui algoritmo e il cui codice siano perfettamente noti. Supponiamo, per assurdo, che riusciamo a dimostrare la correttezza sia dell'algoritmo che del codice, quindi la loro inviolabilità. Con queste premesse, prendiamo il nostro testo "in chiaro" e cifriamolo con l'algoritmo. Il testo "cifrato" ottenuto come risultato sarà decifrabile unicamente con la chiave di cifratura utilizzata.
Poichè esiste una chiave di decifratura corretta, con un algoritmo di brute force, utilizzando risorse computazionali grandi a piacere ma finite, in un tempo X la chiave di decifratura verrà scoperta.

La mia risposta alla tua domanda: no, non credo assolutamente che esista alcun algoritmo di decifratura inviolabile. Ma rendendo il tempo X di cui sopra sufficientemente grande, nella pratica l'algoritmo di cifratura può essere ritenuto sufficientemente sicuro.

Se per calcolare la chiave di decifratura ci metto 10000 anni, che c...o me ne faccio?

[Filoteo]

@Edwhard

TrueCrypt va bene ed è anche cross platform, però non è più supportato, installa il fork VeraCrypt che è attivamente sviluppato.

L’archivio criptato secondo me non è una buona idea, sia perché devi estrare il file prima di usarlo (cioè non puoi aprirlo direttamente), sia perché è probabile che la copia non criptata rimanga nella cache del programma di gestione degli archivi.

Se ti va di usare il terminal puoi anche creare un disco virtuale usando gli strumenti integrati della distro

1- Per prima cosa creiamo un file contenitore, in questo esempio creo un file chiamato prova.img grande 128 MB

Codice: Seleziona tutto

dd if=/dev/zero of=prova.img bs=1M count=128

2 - Adesso inizializziamo il contenitore LUKS, ti verrà chiesto di inserire una password per criptare i dati.

Codice: Seleziona tutto

cryptsetup -y -q luksFormat prova.img

3 - Apriamo il contenitore:

Codice: Seleziona tutto

sudo cryptsetup luksOpen prova.img prova

4 - Creiamo il file system proprio come se fosse una partizione di un disco:

Codice: Seleziona tutto

mkfs.ext4 /dev/mapper/prova

5 - Crea una cartella dove vuoi montare l’immagine disco (in questo caso nella home):

Codice: Seleziona tutto

mkdir segreto

6 - Montiamo il file system:

Codice: Seleziona tutto

sudo mount /dev/mapper/prova segreto

7 - Impostiamo i permessi corretti (sostituisci a utente il tuo nome utente):

Codice: Seleziona tutto

sudo chown utente:utente segreto

8 - Da questo momento puoi trasferire tutti i files che vuoi proteggere nella cartella segreto. Quando hai finito lo puoi smontare in questo modo:

Codice: Seleziona tutto

sudo umount /dev/mapper/prova

9 - Quindi chiudi il contenitore la cartella segreto ti apparirà vuota e file saranno inaccessibili.

Codice: Seleziona tutto

sudo cryptsetup luksClose prova

Le volte successive fai i passaggi 3 e 6 per montare e 8 e 9 per smontare.

Aggiungo qualcosa alla risposta di @thece, la sicurezza di AES (crittografia simmetrica) è stata provata nel corso di anni di crittanalisi. Ci sono casi limite in cui la crittografia è più debole ma non cambia nulla se il tempo necessario per trovare la chiave passa da 100000 anni a 70000 anni.

Stesso ragionamento per RSA (crittografia asimmetrica), il problema della fattorizzazione, su cui si basa, è studiato da 2000+ anni e nessuno è ancora riuscito a trovare un modo per fattorizzare un numero in un tempo polinomiale (leggasi: “ragionevole”).

[OMBRA_Linux]

Un ultimissimo chiarimento in merito alla protezione dei miei dati, poi possiamo anche chiudere questa discussione finalmente:

Non ci siamo intesi con la terminologia. Se vuoi criptare criptare l’intero hard disk, su linux solitamente si crea una partizione LUKS che fa da “contenitore”, quindi formatti quest’ultimo col file system ext4.
Quando vuoi accedere all’hard disk (o anche accendere il pc con l’hard disk criptato), ti viene chiesta la password per il contenitore e poi viene montato il file system come avverrebbe normalmente.
Se invece vuoi utilizzare l’hard disk su altri computer ma vuoi comunque proteggere alcuni files, puoi creare un file speciale all’interno dell hard disk, penna usb, quello che vuoi, che fa esso stesso da contenitore dove inserisci i file da proteggere. Il vantaggio è che il file lo puoi spostare dove ti pare.

Ho trovato alcuni programmi che consentono di proteggere le cartelle creando un'unità virtuale, come TrueCrypt (forse il più semplice da utilizzare), CryptKeeper ed eCryptFS che consente di proteggere anche la Home di ubuntu.
A me non serve proteggere l'intero hard disk interno (sul quale è installato ubuntu) e neanche l'intera Home... mi basta proteggere l'hard disk esterno creando all'interno di esso una cartella protetta (quindi un'inevitabile creazione di un'unità virtuale) e mi interessa inoltre creare una cartella protetta (quindi sempre unità virtuale) e ben visibile sul desktop, visto che la utilizzerei spesso...tanto se la cartella è protetta da password che mi importa se è ben visibile, visto che riguardo ai miei coinquilini non stiamo parlando di gente esperta.

Voi che dite, un programma come TrueCrypt può andar bene lo stesso?

So che è possibile proteggere i files importandoli in una cartella compressa e protetta da password...il problema però è che dopo aver fatto una prova, la password mi viene chiesta non per accedere alla cartella, bensì per accedere ai singoli files. Cioè i nomi di questi files sono ben visibili all'interno della cartella compressa e protetta da password. Semplicemente la password mi viene richiesta nel solo caso in cui tento di accedere ad un file.

Esempio: creo una cartella compressa, gli assegno una password e ci metto un file chiamato pippo.pdf e chiudo la cartella. Successivamente apro la cartella compressa con doppio click, non mi viene chiesta nessuna password e quindi visualizzo all'interno di essa il file pippo.pdf ...poi provo ad aprire il file pippo.pdf con doppio click e solo a questo punto mi viene chiesta la password per poter aprire il pdf. Dunque la password serve solo per poter aprire i files all'interno della cartella compressa ma non per accedere alla cartella e quindi non per nascondere i medesimi files.

Poi quando creo la cartella compressa ed imposto la password, vedo che sotto il campo password c'è un'opzione chiamata "cifra anche l'elenco dei files"...però non mi fa selezionare questa opzione.

Anzi, ancora peggio... ho provato a comprimere una cartella con dentro un file pdf ed ho impostato una password. Successivamente ho creato un nuovo file e l'ho inserito nella cartella compressa...poi ho provato ad aprire e anche copiare sulla scrivania l'ultimo file creato e nessuna password mi viene chiesta...mi vien chiesta la password solo se provo ad aprire o copiare il primo file creato.

Dunque per il mio caso ho bisogno di un programma come TrueCrypt oppure c'è un modo per far chiedere la password anche alla sola apertura della cartella compressa prima di far visualizzare i files all'interno di essa e per far chiedere la password anche per aprire e copiare i files successivamente importati?

P.s.:
TrueCrypt https://appuntilinux.it/come-criptare-i ... ntu-linux/
Cryptkeeper https://www.chimerarevo.com/linux/ubunt ... per-31866/
eCryptFS https://emarket.pe/it/blog/ecryptfs-cri ... su-ubuntu/

Puoi trovare quello che ti pare se ti entrano da Remoto nel computer avranno accesso ai tuoi file.
Fai una prova che magari mi sbaglio io.
Cripta un computer e installaci Teamviewer poi con un'altro Computer con Teamviewer accedi a quello Criptato e controlla se riesci a leggere i file che hai sul Pc Criptato.

Se funziona allora pensa che si può fare sia se accedo on-line e sia Fisicamente al tuo computer.

Edit Volendo se uno accede da remoto al tuo Computer può sempre Disabilitare tutto quello che hai Abilitato e farsi una copia dei tuoi dati.

[Filoteo]

Difatti criptare il disco serve per proteggere i dati in caso di accesso fisico. Fintanto che il file system sulla partizione è montato e in uso, i dati sono accessibili dall’utilizzatore del sistema e quindi anche da remoto. Sono inacessibili quando il computer è spento o il file contenitore è smontato.

[thece]

Puoi trovare quello che ti pare se ti entrano da Remoto nel computer avranno accesso ai tuoi file.
Fai una prova che magari mi sbaglio io.
Cripta un computer e installaci Teamviewer poi con un'altro Computer con Teamviewer accedi a quello Criptato e controlla se riesci a leggere i file che hai sul Pc Criptato.

Se funziona allora pensa che si può fare sia se accedo on-line e sia Fisicamente al tuo computer.

Edit Volendo se uno accede da remoto al tuo Computer può sempre Disabilitare tutto quello che hai Abilitato e farsi una copia dei tuoi dati.

Se un computer (acceso) viene attaccato con successo, l'attaccante per forza di cose assumerà l'identità di un utente del computer compromesso, quindi tutto quello che potrà fare su questo sistema sarà solamente limitato dai diritti dell'utente assunto. Corollario: se l'attaccante riesce ad ottenere i diritti di root ... game over!

Però ciò non significa che non si può provare ad aumentare la sicurezza dei propri dati occultando informazioni sensibili in file (o in contenitori di file) cifrati, da montare solamente nel momento del bisogno e da smontare subito dopo. Anche l'utente root per poter accedere ai file (o ai contenitori di file) cifrati deve conoscerne la chiave di decifratura.

[OMBRA_Linux]

Sulle macchine Linux si può accedere come root sia Fisicamente che da Remoto.
Su Windows è ancora peggio.

Ma quello che conta è sapere che ce sempre un modo per accedere ai dati il che può sembrare un controsenso ma è meglio cosi.
Immaginiamo un Pinco Pallino che compie dei crimini e che le prove che consentono di incastrarlo siano sul suo computer Criptato, tipo dei video o delle e-mail minacciose o altro.
L'unico modo per incastrarlo, visto che non ci sono prove di altro genere è accedere ai suoi file per ottenere qualche prova ecco l'utilità di un piano (B).
Se il piano (B) non ci fosse allora si che la Sicurezza è limitata e non potrebbe chiamarsi tale.

[thece]

Su Windows è ancora peggio.

Cosa può esserci di peggio di essere compromessi da un attaccante che ottiene i diritti di amministrazione? La moria delle vacche? (cit. Totò)

Se il piano (B) non ci fosse allora si che la Sicurezza è limitata e non potrebbe chiamarsi tale.

Che Sicurezza può mai esserci nel sapere che comunque c'è qualcuno che può accedere indiscriminatamente a qualunque tua informazione? Mi sa che il film su Snowden lo hai visto ... ma non lo hai proprio capito!

Se sei uno di quelli che pensa: "io non faccio del male a nessuno quindi io non ho nulla da nascondere" allora posta qui sul Forum tutte le tue login e le tue password, poi vediamo. Obietti con: "ma qui sul Forum i miei dati sarebbero alla mercè di troppi, anche dei maleintenzionati". Non c'è problema, mandamele in privato solo a me. Io non sono maleintenzionato. Il discorso non cambia.

[OMBRA_Linux]

Su Windows è ancora peggio.

Cosa può esserci di peggio di essere compromessi da un attaccante che ottiene i diritti di amministrazione? La moria delle vacche? (cit. Totò)

Se il piano (B) non ci fosse allora si che la Sicurezza è limitata e non potrebbe chiamarsi tale.

Che Sicurezza può mai esserci nel sapere che comunque c'è qualcuno che può accedere indiscriminatamente a qualunque tua informazione? Mi sa che il film su Snowden lo hai visto ... ma non lo hai proprio capito!

Se sei uno di quelli che pensa: "io non faccio del male a nessuno quindi io non ho nulla da nascondere" allora posta qui sul Forum tutte le tue login e le tue password, poi vediamo. Obietti con: "ma qui sul Forum i miei dati sarebbero alla mercè di troppi, anche dei maleintenzionati". Non c'è problema, mandamele in privato solo a me. Io non sono maleintenzionato. Il discorso non cambia.

La differenza e che Windows lo possono attaccare anche i Lamer mentre per Linux devi essere un po più smanettone ma a prescindere da tutto ciò vedi che nessuno è mai sicuro al 100%.
Il film di Snowden non l'ho visto mi è bastato ampliare la mente su altri fattori prendendo spunto da quello che ho sempre sostenuto e cioè che solo la Morte è sicura tutto il resto è opinabile.

[thece]

Guardatevi questo Film Youtube se non lo avete ancora visto, è molto interessante.

Il film di Snowden non l'ho visto ...

Prima di suggerirne la visione ad altri, non era forse il caso che lo guardassi prima tu? IMHO questo fotografa perfettamente il tuo "pressapochismo".



PS: sto aspettando la lista delle login e delle password

[Edwhard]

https://www.gnupg.org/gph/en/manual/x110.html

@Edwhard

TrueCrypt va bene ed è anche cross platform, però non è più supportato, installa il fork VeraCrypt che è attivamente sviluppato.

L’archivio criptato secondo me non è una buona idea, sia perché devi estrare il file prima di usarlo (cioè non puoi aprirlo direttamente), sia perché è probabile che la copia non criptata rimanga nella cache del programma di gestione degli archivi.

Se ti va di usare il terminal puoi anche creare un disco virtuale usando gli strumenti integrati della distro

Eccomi, ci sono! Credevate fossi stato risucchiato dal terminale di Linux?!

Creare da terminale una partizione è veramente fico, da veri smanettoni, sopratutto se si vuole nascondere il fatto di avere un programma per la creazione di partizioni criptate e quindi nascondere il fatto di avere una partizione criptata da qualche parte nel pc o in un dispositivo esterno. Proprio per questo motivo voglio conservare le righe di comando postate da Filoteo ed il link fornito da Eresia.

Tuttavìa per il momento preferisco utilizzare VeraCrypt, che non conoscevo, grazie Filoteo. È molto più semplice da utilizzare rispetto al terminale, è proprio quello che cercavo
Comunque ho notato che il file creato per montare la partizione è tranquillamente eliminabile, quindi un bastardello potrebbe farmi un danno del genere...certo dovrei tenere una copia, però intanto questo file si può comunque spostare, copiare, rinominare ed eliminare! Dovrebbe esserci un modo per bloccare (BLINDARE) questo file nella directory in cui è stato creato assegnando i permessi da terminale...ho già dato un'occhiata in giro e pare proprio di si, lo spero! Forse ci sarà anche un programma che svolge questo lavoro(?)

@Edwhard
L’archivio criptato secondo me non è una buona idea, sia perché devi estrare il file prima di usarlo (cioè non puoi aprirlo direttamente), sia perché è probabile che la copia non criptata rimanga nella cache del programma di gestione degli archivi.

Ho provato a creare un file .doc, l'ho messo in una cartella normale e quest'ultima l'ho compressa con password, poi ho aperto la cartella compressa ed il file .doc all'interno di essa e quindi mi chiede la password per aprirlo, così OpenOffice mi consente di modificarlo e di salvarlo, poi il gestore di archivi mi chiede se voglio aggiornare il documento modificato all'interno della cartella compressa...clicco su aggiorna, provo a riaprire il file .doc modificato e infatti OpenOffice mi apre il .doc correttamente modificato. Poi nella cache del programma di gestione degli archivi c'è solo l'elenco delle cartelle compresse aperte, non dei files aperti (almeno da me).

Comunque con VeraCrypt risolvo tutto, a parte il fatto che il file creato per montare la partizione si può spostare, copiare, rinominare ed eliminare...spero ci sìa un modo per bloccare questo file e dovrebbe essere possibile assegnando i permessi.

Puoi trovare quello che ti pare se ti entrano da Remoto nel computer avranno accesso ai tuoi file.
Fai una prova che magari mi sbaglio io.
Cripta un computer e installaci Teamviewer poi con un'altro Computer con Teamviewer accedi a quello Criptato e controlla se riesci a leggere i file che hai sul Pc Criptato.

Se funziona allora pensa che si può fare sia se accedo on-line e sia Fisicamente al tuo computer.

Volendo se uno accede da remoto al tuo Computer può sempre Disabilitare tutto quello che hai Abilitato e farsi una copia dei tuoi dati.

Posso sempre scollegare il cavo di rete oppure disabilitare la connessione prima di utilizzare l'HD esterno o la partizione criptata
E anche con la connessione attiva, se qualcuno dovesse spiare quello che faccio dovrebbe comunque bypassare o indovinare la password della mia partizione criptata (e parliamo di utenti medi, i miei coinquilini... non ingegneri )

[steff]

Mi sembra 6 pagine bastano, sta piegando un altra volta in direzione discorsi da tenere al Bar Ubuntu.