Come viene testato il sistema operativo Tails per verificarne l'autenticità

0

Si dice che Tails sia il sistema operativo più sicuro di sempre, ma qualcuno lo ha testato? Ad esempio, come è noto che la coda non esegue operazioni come:

  • sniffing sulla tua rete e invio dei tuoi dati a una terza parte
  • invio delle informazioni hardware della macchina a terzi e così via

Come è dimostrato che è effettivamente sicuro e non creato da un gruppo di hacker.

    
posta cordless phone 27.10.2015 - 02:54
fonte

3 risposte

4

L'Amnesiac Incognito Live System , o TAILS, è un progetto del progetto Tor.

Si può tentare di verificare se un SO di questo tipo sia o meno benigno da solo in un ambiente di laboratorio. Naturalmente, esiste la possibilità di verifica da parte di terzi, combinando le firme, cercando codice anomalo, guardando il traffico di rete e cercando altrimenti di vedere cosa fa il sistema operativo su macchine test / lab per vedere se funziona come indicato.

Come Bruce Schneier ha astutamente elucidato, i problemi di sicurezza si riducono a una questione di fiducia. In questo caso la domanda è: ti fidi del progetto Tor e degli sviluppatori di TAILS?

Come fai a sapere se ti puoi fidare di Tor?

Inizia con le persone: link Puoi vedere uno dei loro principali sviluppatori è Jacob Appelbaum , di sorveglianza della NSA / fama di WikiLeaks, tra gli altri.

Quindi guarda il track record dell'organizzazione .

Da lì potresti essere in grado di arrivare alle tue conclusioni sull'organizzazione di Tor e se ti fideresti o meno di loro. La mia opinione personale è, sì, per ora mi fido di loro e hanno una strong e buona etica.

Ricorda inoltre di verificare le firme quando scarichi ISO per garantire l'integrità durante il trasporto.

    
risposta data 27.10.2015 - 03:52
fonte
3

TAILS è open source e può essere controllato liberamente e quindi costruito dalla fonte. La sua attrazione principale non è la sicurezza (è basata su Debian standard), ma piuttosto preservare l'anonimato e la privacy dell'utente.

Ci sono diversi modi in cui un tale pacchetto software può essere controllato.

Uno è quello di incanalare tutto il traffico attraverso un proxy, come un altro computer LAN, per analizzare il traffico. Questo può anche essere fatto in una macchina virtuale.

Un altro è controllare il codice sorgente stesso. Poiché TAILS è open source, puoi accedere al codice sorgente e verificare la presenza di codice insolito.

Nessuno dei due metodi è infallibile, tuttavia, sono abbastanza buoni per la maggior parte delle persone e andare oltre richiederebbe la verifica del compilatore.

    
risposta data 27.10.2015 - 03:45
fonte
1

Se la tua macchina è compromessa, ad esempio, supponiamo che il tuo BIOS sia infetto o che un utente malintenzionato con accesso fisico alla tua macchina abbia installato un software malevolo allora sì, tali informazioni potrebbero essere trapelate.

Ma in pratica, per quanto riguarda le informazioni precise che volevi sapere attraverso i due proiettili che hai evidenziato, non ne ho mai sentito parlare prima e potrei dire di no -ma non sono sicuro- AFAIK riguardo a come funziona l'intero sistema Tails beneficia dei continui controlli ed è possibile eseguire questo sistema operativo direttamente da una chiavetta USB.

Oltre alle vulnerabilità che compromettono l'anonimato dell'utente, come rivelare gli indirizzi IP reali dell'utente, come nel caso del questo vulnerabilità con la versione di Tails 1.1, ci sono due informazioni che potresti dover conoscere e che potrebbero rispondere in parte alle domande che hai sollevato ( Tails raccoglie informazioni sui suoi utenti? ):

When Tails starts, two HTTPS requests are made automatically to our website through Tor:

  • A security check is performed to know if security issues have been announced for this version of Tails. The language of the working session is passed along with this request to display the notification in the preferred language of the user.
  • Tails Upgrader checks for newer versions. The version of the running Tails is passed along with this request.

We believe it is important to notify the user of known security issues and newer versions. We calculate statistics based on the security check to know how many times Tails has been started and connected to Tor. Those statistics are published in our monthly reports.

Mentre Tails è raccomandato da Edward Snowden per l'anonimato e le preoccupazioni sulla privacy, non è un sistema infallibile. Puoi trovare qui un elenco completo delle vulnerabilità di sicurezza di Tails segnalate.

Anche se Tails potrebbe essere il miglior sistema operativo per questioni di privacy / anonimato, e ci si può fidare più di altri sistemi operativi per questo scopo, mi piacerebbe citarlo da Silver Bullets and Fairy Tails :

We publicized the fact that we’ve discovered these issues for a very simple reason: no user should put full trust into any particular security solution. By bringing to light the fact that we have found verifiable flaws in such a widely trusted piece of code, we hope to remind the Tails userbase that no software is infallible. Even when the issues we’ve found are fixed by the Tails team, the community should keep in mind that there are most certainly other flaws still present and likely known to others.

E ricorda che non tutte le vulnerabilità di sicurezza di Tails sono segnalate perché c'è chi le trova ma non le rivela e preferisce fare affari con loro; Exodus (da dove ho citato il testo sopra) vende se stesso vulnerabilità di 0 giorni.

Nota che una conferenza sulla sicurezza di Black Hat ha cancellato la conversazione Non devi essere la NSA di Break Tor: De-anonymizing Users on a Budget dove i presentatori intendevano spiegare come, con un budget di $ 3000, centinaia di migliaia di utenti Tor potrebbero essere resi anonimi.

    
risposta data 27.10.2015 - 05:55
fonte

Leggi altre domande sui tag