Precedente :: Successivo |
Autore |
Messaggio |
Luke_1968 Eroe

Registrato: 13/11/13 17:59 Messaggi: 65
|
Inviato: 15 Dic 2015 21:21 Oggetto: Tails - verifica con l'uso di OpenPGP key |
|
|
Salve..
Sono un utente particolarmente attento alla privasy e sicurezza on-line.
Così documentandomi in giro per la rete sono venuto a conoscenza di un OS Live di nome Tails.
Tails (distro Live Linux Debian) Utilizzando alcuni dei migliori programmi di crittografia e protezione della privacy, promette di navigare online senza lasciare alcuna traccia.
Per utilizzare Tails occorrono 3 passaggi:
- scaricare l'ISO
- verificare l'integrità del software
- installare ed usare la Live CD o USB
Per verificare l'integrità del software viene utilizzato OpenPGP key.
Attraverso questo sistema è possibile verificare se la live scaricata è stata craccata oppure è l'originale. Questa procedura è fondamentale se vogliamo essere sicuri di non essere vittima di un attacco del tipo "man-in-the-middle". Difatti potrebbe succedere che tra l'utente vittima e la destinazione si frapponga una terza parte appunto definita come man in the middle (uomo nel mezzo) che rilasci una copia del software con tanto di backdoor.
Per fare questo occorre scaricare l'ultima ISO stabile di Tails
importare la chiave originale
e verificarla. per maggiori dettagli vedere il link:link
Dopo aver importato la chiave e verificato l'iso il software farà una comparazione delle chiavi e se la ISO ha la stessa chiave della firma crittografata PGP verremo avvisati da una notifica che ci dirà che tale firma corrisponde all'originale (Good Signature) oppure no (Bad Signature).
Chi utilizza sistemi Linux come Ubuntu dovrà prima accertarsi di aver installato ed aver la versione recente di "seahorse-nautilus" che ti consente di importare e verificare la chiave.
Quindi avendo la versione di Ubuntu 14.04 LTS ho seguito quanto detto dal sito ed installato da terminale il sudetto repository attraverso i comandi:
sudo apt update
sudo apt install seahorse-nautilus
Dopodichè ho prima importato la chiave relativa alla copia dell'ISO della Live ver.1.7 (Tails signing key) e successivamente ho fatto la verifica (Tails 1.7 Signature). Dopo aver fatto la verifica l'alert mi dice che la versione dell'ISO specificata è sconosciuta.. cioè non mi dice ne che è buona ne che è cattiva ma sconosciuta!
Vorrei capire se ho dimenticato qualche procedura o cosa sia potuto succedere e spero che qualcuno possa aiutarmi a capire il problema.
Grazie |
|
Top |
|
 |
MK66 Moderatore Sistemi Operativi


Registrato: 17/10/06 23:24 Messaggi: 8634 Residenza: dentro una cassa sotto 3 metri di terra...
|
Inviato: 16 Dic 2015 00:21 Oggetto: |
|
|
Citazione: | Quindi avendo la versione di Ubuntu 14.04 LTS ho seguito quanto detto dal sito ed installato da terminale il sudetto repository attraverso i comandi:
sudo apt update
sudo apt install seahorse-nautilus |
Se hai Ubuntu 14.04 i comandi sono:
Codice: | sudo apt-get update |
Codice: | sudo apt-get install seahorse-nautilus |
|
|
Top |
|
 |
Luke_1968 Eroe

Registrato: 13/11/13 17:59 Messaggi: 65
|
Inviato: 16 Dic 2015 14:46 Oggetto: |
|
|
Ciao MK66 piacere di risentirti..
Allora in effetti il comando è "apt-get" come giustamente hai osservato anche se nel sito di Tails è proprio scritto "apt install" comunque ho provato ad eseguire il comando come da te suggerito ma il repo risulta già installato alla versione più aggiornata.. per comodità di allego le screenshot..
link
link
link
PS. come potrai tu stesso constatare nella screenshot per quanto riguarda la versione di Ubuntu c'è scritto che questi comandi sono riferiti per la versione di Ubuntu 15.04 (vivid) o successiva.. Ora non vorrei che avendo una versione inferiore possa essere questo il problema?
Ho notato inoltre che nella shell mi dice che ci sono 18 files non aggiornati. a cosa si riferisce?
Come noterai dalle screenshots dopo aver importato la chiave (Tails signing key) e successivamente verificato l'originale ISO con (Tails 1.8 segnature) compare l'alert in popup che non riconosce la versione e la da per sconosciuta |
|
Top |
|
 |
MK66 Moderatore Sistemi Operativi


Registrato: 17/10/06 23:24 Messaggi: 8634 Residenza: dentro una cassa sotto 3 metri di terra...
|
Inviato: 16 Dic 2015 23:36 Oggetto: |
|
|
Ciao Luke
Ho visto che si parla di "apt install" e ti posso dire che il comando apt (senza -get) l'ho visto nell'attuale versione testing di Debian (e sicuramente anche su sid) quindi dedurrei che è probabilmente attivo nelle recenti versioni di Ubuntu (15.04/15.10) e sicuramente si troverà anche nella prossima LTS (16.04) ma sulla 14.04 il comando è ancora il "vecchio" apt-get install (questo te lo posso assicurare )
I file non aggiornati? Vuol dire semplicemente che hai degli aggiornamenti da fare, ma il comando a terminale serve a installare solo quel particolare programma, quindi ti avvisa che ce ne sono anche altri da aggiornare: i comandi relativi, se vuoi farlo a terminale, sono: Codice: | sudo apt-get update && sudo apt-get upgrade | (scritto in questo modo, su una riga sola, esegue il primo comando e, se tutto è andato bene, passa a eseguire il secondo: la doppia && ha questa funzione)
La versione installata nei repo della 14.04 mi sa che è un po' vecchiotta, e probabilmente questa è la causa delle difficoltà che stai riscontrando, ma personalmente non ho notizia di eventuali PPA per ottenerne una versione più recente: se vuoi, dovrai scaricarla direttamente dal sito ufficiale e, se è .deb installarla automaticamente, altrimenti compilarla...
Alternativamente, puoi cercare in packages il pacchetto corrispondente per una versione più recente (quindi maggiormente aggiornato rispetto a quello presente in trusty)
Se vuoi farlo, sappi però che il rischio è quello di scombinarti completamente la distribuzione attuale, forse arrivando anche a rovinarla irrimediabilmente, e spero non ci sia da impazzire con le dipendenze, che a quel punto fai prima a installare una nuova versione...
A questo punto, mi sono incuriosito e sono andato a vedere di cosa si tratta: Tails è riportata da distrowatch e vedo che è adatta per "navigare in incognito" e senza lasciare traccia.
Ora, personalmente non sono ferrato in materia, ma sulla mia Xubuntu 14.04 (la stessa versione che hai te, anche se diverso ambiente grafico) posso tranquillamente navigare in incognito usando Tor senza problemi: ho scaricato dal sito il browser e lo lancio senza nemmeno installarlo (esattamente come fosse una applicazione portatile) e ho anche provato ad attivare la "sessione ospite", copiando su una chiavetta la stessa cartella di tor_browser, lanciando il browser proprio dalla sessione ospite via chiavetta usb.
Ho riscontrato che, per quanto fattibile, una situazione simile mi offre il massimo anonimato che mi serve, la chiavetta che ospita la cartella di tor è adatta anche per ospitare eventuali file scaricati durante la sessione, dato che all'uscita della sessione ospite ogni cosa viene cancellata automaticamente.
Sinceramente, non so quanto questa Tails possa fare in più per garantirmi l'anonimato (che poi non è che mi serva davvero vivere in incognito, anzi, sono pochissimi quelli che realmente non mi conoscono e che non hanno ancora trovato il profilo del mio alter-ego umanoide...) |
|
Top |
|
 |
Luke_1968 Eroe

Registrato: 13/11/13 17:59 Messaggi: 65
|
Inviato: 17 Dic 2015 14:36 Oggetto: |
|
|
umanoide? ahahaha beh ollara io rappresento una delle rarissime eccezioni
Comunque.. ok ho capito mi sa che a questo punto dovrò aspettare la nuova LTS per la verifica dell'ISO live..
Pensavo ma se usassi una Live di Ubuntu successiva tipo (15.04/15.10) solo per effettuare la verifica si potrebbe fare? e che se non hanno già installato il comando relativo al "seahorse-nautilus" essendo una versione Live non la installerà
quindi dici che basta usare la sezione guest per eliminare definitivamente qualunque file log sul computer che non sia già stato presente all'origine?
Ma i files cancellati nella sezione ospite al termine della sezione fungono come un wipe? o si possono recuperare?
Hai saputo della scelta tanto discussa di canonical di introdurre Amazon ed altro che comprometterebbero la privacy della distro. so che c'è un tool che rimuove questi "intrusi" ma che rimangono nella sezione ospite.. come si fa ad eliminarli anche la?
scusate l'OT tornando a noi..
Tails il sistema operativo preferito da Eric Snowden non si limita all'utilizzo di Tor.. ma ha integrato un tool di sicurezza e privacy oltre ad essere incognito. Non per niente è considerato uno dei sistemi informatici più sicuri, in grado di navigare nel web senza lasciare tracce e proteggere la privacy e i dati personali di chi lo utilizza.Presenta decine di programmi (browser web, client email e client chat, suite di programmi per la produttività, editor audio ed editor di immagini e altro ancora) dotati di configurazione ad hoc per la protezione della privacy e dei dati personali. Naturalmente non va dimenticata la regola numero uno sulla sicurezza e la privacy.. che riassumendo dice: La sicurezza e la privacy in rete semplicemente non esiste.. qualunque sistema o file puo' essere violato. l'unico computer sicuro è un computer spento. aggiungerei la seconda regola di conseguenza che dice.. il grado di sicurezza e di privacy ottenuta non dipende esclusivamente dal sistema informatico o dai software utilizzati bensi' dall'uso che se ne fanno. cioè molto dipende dall'utilizzatore e da quante sciocchezze puo' commettere. concludo con il paradosso della privacy che dice: Tanto più cercherai di nasconderti e tanto più sarai esposto a chi è interessato a scoprire chi sei e cosa fai.. Lo stesso Tor non nasconde il tuo IP bensi' lo inserire nel circuito e lo mischia insieme ad altri IP prendendone alcuni in prestito.. Tutto si può fare se lo si vuole veramente.. ripercorrere a ritroso tutti i movimenti e i nodi a cui ci si è appoggiati fino ad arrivare a quello originale.. anche la crittografia per quanto complessa non è infallibile come le VPN ecc.. per agenzie come la NSA. Tails stesso nel suo sito web ci dice che pur essendo progettato per la sicurezza e la privacy non si può ritenere infallibile al 100% Esistono dei tipi di attacchi informatici che craccano il BIOS o il firmware a cui niente e nessuno può proteggersi se non cambiando HDD o cambiando PC neanche una formattazione a basso livello è sufficiente.. |
|
Top |
|
 |
Danielix Amministratore


Registrato: 31/10/07 16:30 Messaggi: 9729 Residenza: All'inferno. Con Jimi Hendrix. E con gusto.
|
Inviato: 18 Dic 2015 00:07 Oggetto: |
|
|
In sostanza Tails è il sistema operativo di chi è affetto da seri disturbi di tipo paranoide, se ho capito bene. |
|
Top |
|
 |
MK66 Moderatore Sistemi Operativi


Registrato: 17/10/06 23:24 Messaggi: 8634 Residenza: dentro una cassa sotto 3 metri di terra...
|
Inviato: 18 Dic 2015 00:35 Oggetto: |
|
|
Non saprei che dirti: credo dipenda dalle proprie necessità ed esigenze.
Se io avessi necessità di agire in incognito credo che potrebbe essermi sufficiente anche la sessione ospite (che si azzera a ogni utilizzo) e l'uso di applicativi portatili.
Sicuramente è un anonimato farlocco, in quanto i gestori del servizio internet saprebbero comunque dove sono andato a navigare (peraltro, se non sbaglio, lo stesso tor è sponsorizzato proprio dal governo degli USA, quindi anche al riguardo del "suo" anonimato ho alcuni dubbi... )
Nella realtà, personalmente non ho alcuna necessità di restare in incognito, quindi non mi pongo proprio il problema: se qualcuno è interessato a quello che faccio col computer, libero di perdere il suo tempo come vuole... se proprio vuole davvero saperlo, basterebbe semplicemente chiedermelo: non ho alcun problema a confessare che non sto progettando attentati e nemmeno ho segreti industriali da proteggere con la vita nel mio computer...  |
|
Top |
|
 |
Giunone Dio maturo


Registrato: 21/02/13 09:49 Messaggi: 4405
|
Inviato: 18 Dic 2015 16:23 Oggetto: |
|
|
MK66 ha scritto: | ... non ho alcun problema a confessare che non sto progettando attentati e nemmeno ho segreti industriali da proteggere con la vita nel mio computer... |
Confesso alcuni download "Illegali" o presunti tali: è grave Padre?.....
Oltretutto più si cerca di nascondere e più si rischia: andare a tracciare un singolo in rete è come cercare un ago in un pagliaio, nel frattempo l'ISP cancella il file di log e................................ Quindi mi sembra tempo perso, IMHO naturalmente
Un sorriso  |
|
Top |
|
 |
|