Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Tails - verifica con l'uso di OpenPGP key
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Luke_1968
Eroe
Eroe


Registrato: 13/11/13 17:59
Messaggi: 65

MessaggioInviato: 15 Dic 2015 21:21    Oggetto: Tails - verifica con l'uso di OpenPGP key Rispondi citando

Salve..

Sono un utente particolarmente attento alla privasy e sicurezza on-line.
Così documentandomi in giro per la rete sono venuto a conoscenza di un OS Live di nome Tails.

Tails (distro Live Linux Debian) Utilizzando alcuni dei migliori programmi di crittografia e protezione della privacy, promette di navigare online senza lasciare alcuna traccia.

Per utilizzare Tails occorrono 3 passaggi:

- scaricare l'ISO
- verificare l'integrità del software
- installare ed usare la Live CD o USB

Per verificare l'integrità del software viene utilizzato OpenPGP key.
Attraverso questo sistema è possibile verificare se la live scaricata è stata craccata oppure è l'originale. Questa procedura è fondamentale se vogliamo essere sicuri di non essere vittima di un attacco del tipo "man-in-the-middle". Difatti potrebbe succedere che tra l'utente vittima e la destinazione si frapponga una terza parte appunto definita come man in the middle (uomo nel mezzo) che rilasci una copia del software con tanto di backdoor.

Per fare questo occorre scaricare l'ultima ISO stabile di Tails
importare la chiave originale
e verificarla. per maggiori dettagli vedere il link:link

Dopo aver importato la chiave e verificato l'iso il software farà una comparazione delle chiavi e se la ISO ha la stessa chiave della firma crittografata PGP verremo avvisati da una notifica che ci dirà che tale firma corrisponde all'originale (Good Signature) oppure no (Bad Signature).
Chi utilizza sistemi Linux come Ubuntu dovrà prima accertarsi di aver installato ed aver la versione recente di "seahorse-nautilus" che ti consente di importare e verificare la chiave.

Quindi avendo la versione di Ubuntu 14.04 LTS ho seguito quanto detto dal sito ed installato da terminale il sudetto repository attraverso i comandi:
sudo apt update
sudo apt install seahorse-nautilus

Dopodichè ho prima importato la chiave relativa alla copia dell'ISO della Live ver.1.7 (Tails signing key) e successivamente ho fatto la verifica (Tails 1.7 Signature). Dopo aver fatto la verifica l'alert mi dice che la versione dell'ISO specificata è sconosciuta.. cioè non mi dice ne che è buona ne che è cattiva ma sconosciuta!

Vorrei capire se ho dimenticato qualche procedura o cosa sia potuto succedere e spero che qualcuno possa aiutarmi a capire il problema.
Grazie
Top
Profilo Invia messaggio privato HomePage
MK66
Moderatore Sistemi Operativi
Moderatore Sistemi Operativi


Registrato: 17/10/06 23:24
Messaggi: 8634
Residenza: dentro una cassa sotto 3 metri di terra...

MessaggioInviato: 16 Dic 2015 00:21    Oggetto: Rispondi citando

Citazione:
Quindi avendo la versione di Ubuntu 14.04 LTS ho seguito quanto detto dal sito ed installato da terminale il sudetto repository attraverso i comandi:
sudo apt update
sudo apt install seahorse-nautilus

Se hai Ubuntu 14.04 i comandi sono:
Codice:
sudo apt-get update

Codice:
sudo apt-get install seahorse-nautilus
Top
Profilo Invia messaggio privato HomePage
Luke_1968
Eroe
Eroe


Registrato: 13/11/13 17:59
Messaggi: 65

MessaggioInviato: 16 Dic 2015 14:46    Oggetto: Rispondi citando

Ciao MK66 piacere di risentirti..
Allora in effetti il comando è "apt-get" come giustamente hai osservato anche se nel sito di Tails è proprio scritto "apt install" comunque ho provato ad eseguire il comando come da te suggerito ma il repo risulta già installato alla versione più aggiornata.. per comodità di allego le screenshot..

link

link

link

PS. come potrai tu stesso constatare nella screenshot per quanto riguarda la versione di Ubuntu c'è scritto che questi comandi sono riferiti per la versione di Ubuntu 15.04 (vivid) o successiva.. Ora non vorrei che avendo una versione inferiore possa essere questo il problema?

Ho notato inoltre che nella shell mi dice che ci sono 18 files non aggiornati. a cosa si riferisce?

Come noterai dalle screenshots dopo aver importato la chiave (Tails signing key) e successivamente verificato l'originale ISO con (Tails 1.8 segnature) compare l'alert in popup che non riconosce la versione e la da per sconosciuta
Top
Profilo Invia messaggio privato HomePage
MK66
Moderatore Sistemi Operativi
Moderatore Sistemi Operativi


Registrato: 17/10/06 23:24
Messaggi: 8634
Residenza: dentro una cassa sotto 3 metri di terra...

MessaggioInviato: 16 Dic 2015 23:36    Oggetto: Rispondi citando

Ciao Luke

Ho visto che si parla di "apt install" e ti posso dire che il comando apt (senza -get) l'ho visto nell'attuale versione testing di Debian (e sicuramente anche su sid) quindi dedurrei che è probabilmente attivo nelle recenti versioni di Ubuntu (15.04/15.10) e sicuramente si troverà anche nella prossima LTS (16.04) ma sulla 14.04 il comando è ancora il "vecchio" apt-get install (questo te lo posso assicurare Wink )

I file non aggiornati? Vuol dire semplicemente che hai degli aggiornamenti da fare, ma il comando a terminale serve a installare solo quel particolare programma, quindi ti avvisa che ce ne sono anche altri da aggiornare: i comandi relativi, se vuoi farlo a terminale, sono:
Codice:
sudo apt-get update && sudo apt-get upgrade
(scritto in questo modo, su una riga sola, esegue il primo comando e, se tutto è andato bene, passa a eseguire il secondo: la doppia && ha questa funzione)

La versione installata nei repo della 14.04 mi sa che è un po' vecchiotta, e probabilmente questa è la causa delle difficoltà che stai riscontrando, ma personalmente non ho notizia di eventuali PPA per ottenerne una versione più recente: se vuoi, dovrai scaricarla direttamente dal sito ufficiale e, se è .deb installarla automaticamente, altrimenti compilarla...
Alternativamente, puoi cercare in packages il pacchetto corrispondente per una versione più recente (quindi maggiormente aggiornato rispetto a quello presente in trusty)
Se vuoi farlo, sappi però che il rischio è quello di scombinarti completamente la distribuzione attuale, forse arrivando anche a rovinarla irrimediabilmente, e spero non ci sia da impazzire con le dipendenze, che a quel punto fai prima a installare una nuova versione... Shocked

A questo punto, mi sono incuriosito e sono andato a vedere di cosa si tratta: Tails è riportata da distrowatch e vedo che è adatta per "navigare in incognito" e senza lasciare traccia.
Ora, personalmente non sono ferrato in materia, ma sulla mia Xubuntu 14.04 (la stessa versione che hai te, anche se diverso ambiente grafico) posso tranquillamente navigare in incognito usando Tor senza problemi: ho scaricato dal sito il browser e lo lancio senza nemmeno installarlo (esattamente come fosse una applicazione portatile) e ho anche provato ad attivare la "sessione ospite", copiando su una chiavetta la stessa cartella di tor_browser, lanciando il browser proprio dalla sessione ospite via chiavetta usb.
Ho riscontrato che, per quanto fattibile, una situazione simile mi offre il massimo anonimato che mi serve, la chiavetta che ospita la cartella di tor è adatta anche per ospitare eventuali file scaricati durante la sessione, dato che all'uscita della sessione ospite ogni cosa viene cancellata automaticamente.
Sinceramente, non so quanto questa Tails possa fare in più per garantirmi l'anonimato (che poi non è che mi serva davvero vivere in incognito, anzi, sono pochissimi quelli che realmente non mi conoscono e che non hanno ancora trovato il profilo del mio alter-ego umanoide...)
Top
Profilo Invia messaggio privato HomePage
Luke_1968
Eroe
Eroe


Registrato: 13/11/13 17:59
Messaggi: 65

MessaggioInviato: 17 Dic 2015 14:36    Oggetto: Rispondi citando

umanoide? ahahaha beh ollara io rappresento una delle rarissime eccezioni Very Happy

Comunque.. ok ho capito mi sa che a questo punto dovrò aspettare la nuova LTS per la verifica dell'ISO live..

Pensavo ma se usassi una Live di Ubuntu successiva tipo (15.04/15.10) solo per effettuare la verifica si potrebbe fare? e che se non hanno già installato il comando relativo al "seahorse-nautilus" essendo una versione Live non la installerà Sad

quindi dici che basta usare la sezione guest per eliminare definitivamente qualunque file log sul computer che non sia già stato presente all'origine?

Ma i files cancellati nella sezione ospite al termine della sezione fungono come un wipe? o si possono recuperare?

Hai saputo della scelta tanto discussa di canonical di introdurre Amazon ed altro che comprometterebbero la privacy della distro. so che c'è un tool che rimuove questi "intrusi" ma che rimangono nella sezione ospite.. come si fa ad eliminarli anche la?

scusate l'OT Very Happy tornando a noi..

Tails il sistema operativo preferito da Eric Snowden non si limita all'utilizzo di Tor.. ma ha integrato un tool di sicurezza e privacy oltre ad essere incognito. Non per niente è considerato uno dei sistemi informatici più sicuri, in grado di navigare nel web senza lasciare tracce e proteggere la privacy e i dati personali di chi lo utilizza.Presenta decine di programmi (browser web, client email e client chat, suite di programmi per la produttività, editor audio ed editor di immagini e altro ancora) dotati di configurazione ad hoc per la protezione della privacy e dei dati personali. Naturalmente non va dimenticata la regola numero uno sulla sicurezza e la privacy.. che riassumendo dice: La sicurezza e la privacy in rete semplicemente non esiste.. qualunque sistema o file puo' essere violato. l'unico computer sicuro è un computer spento. aggiungerei la seconda regola di conseguenza che dice.. il grado di sicurezza e di privacy ottenuta non dipende esclusivamente dal sistema informatico o dai software utilizzati bensi' dall'uso che se ne fanno. cioè molto dipende dall'utilizzatore e da quante sciocchezze puo' commettere. concludo con il paradosso della privacy che dice: Tanto più cercherai di nasconderti e tanto più sarai esposto a chi è interessato a scoprire chi sei e cosa fai.. Lo stesso Tor non nasconde il tuo IP bensi' lo inserire nel circuito e lo mischia insieme ad altri IP prendendone alcuni in prestito.. Tutto si può fare se lo si vuole veramente.. ripercorrere a ritroso tutti i movimenti e i nodi a cui ci si è appoggiati fino ad arrivare a quello originale.. anche la crittografia per quanto complessa non è infallibile come le VPN ecc.. per agenzie come la NSA. Tails stesso nel suo sito web ci dice che pur essendo progettato per la sicurezza e la privacy non si può ritenere infallibile al 100% Esistono dei tipi di attacchi informatici che craccano il BIOS o il firmware a cui niente e nessuno può proteggersi se non cambiando HDD o cambiando PC neanche una formattazione a basso livello è sufficiente..
Top
Profilo Invia messaggio privato HomePage
Danielix
Amministratore
Amministratore


Registrato: 31/10/07 16:30
Messaggi: 9729
Residenza: All'inferno. Con Jimi Hendrix. E con gusto.

MessaggioInviato: 18 Dic 2015 00:07    Oggetto: Rispondi citando

In sostanza Tails è il sistema operativo di chi è affetto da seri disturbi di tipo paranoide, se ho capito bene.
Top
Profilo Invia messaggio privato HomePage
MK66
Moderatore Sistemi Operativi
Moderatore Sistemi Operativi


Registrato: 17/10/06 23:24
Messaggi: 8634
Residenza: dentro una cassa sotto 3 metri di terra...

MessaggioInviato: 18 Dic 2015 00:35    Oggetto: Rispondi citando

Non saprei che dirti: credo dipenda dalle proprie necessità ed esigenze.
Se io avessi necessità di agire in incognito credo che potrebbe essermi sufficiente anche la sessione ospite (che si azzera a ogni utilizzo) e l'uso di applicativi portatili.
Sicuramente è un anonimato farlocco, in quanto i gestori del servizio internet saprebbero comunque dove sono andato a navigare (peraltro, se non sbaglio, lo stesso tor è sponsorizzato proprio dal governo degli USA, quindi anche al riguardo del "suo" anonimato ho alcuni dubbi... Think )
Nella realtà, personalmente non ho alcuna necessità di restare in incognito, quindi non mi pongo proprio il problema: se qualcuno è interessato a quello che faccio col computer, libero di perdere il suo tempo come vuole... se proprio vuole davvero saperlo, basterebbe semplicemente chiedermelo: non ho alcun problema a confessare che non sto progettando attentati e nemmeno ho segreti industriali da proteggere con la vita nel mio computer... Wink
Top
Profilo Invia messaggio privato HomePage
Giunone
Dio maturo
Dio maturo


Registrato: 21/02/13 09:49
Messaggi: 4405

MessaggioInviato: 18 Dic 2015 16:23    Oggetto: Rispondi

MK66 ha scritto:
... non ho alcun problema a confessare che non sto progettando attentati e nemmeno ho segreti industriali da proteggere con la vita nel mio computer...


Confesso alcuni download "Illegali" o presunti tali: è grave Padre?..... ROTFL ROTFL ROTFL

Oltretutto più si cerca di nascondere e più si rischia: andare a tracciare un singolo in rete è come cercare un ago in un pagliaio, nel frattempo l'ISP cancella il file di log e................................ Ciao Quindi mi sembra tempo perso, IMHO naturalmente

Un sorriso Very Happy
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi