Debian per paranoici

[Rudolph]

Sto cercando la distro più leggera e completa orientata sulla privacy e la sicurezza ma che non sia solo live tipo Tails.
Ho letto su internet che ce ne sono alcune ma mi piacerebbe saperlo da voi.

Ciao

[marcomg]

Ciao e bentornato!

più leggera e completa orientata sulla privacy e la sicurezza

Cosa intendi per privacy e sicurezza? Definisci "per paranoici". Cioè esattamente che tipo di "attacchi" pensi di dover subire? Intrusioni a mano? Intrusioni hardware? Devi andare in cina/africa/russia?

[Rudolph]

Ma no lo uso a casa.
Intrusioni online!

[marcomg]

Intrusioni online dall'esterno? In realtà è piuttosto semplice: Debian (quella che vuoi purché sia ancora supportata) e tenerla aggiornata. Usare solamente repository ufficiali e non scaricare pacchetti non fidati. Non eseguire script non noti o non compresi. Non tenere attivi servizi (come ssh) che non si sanno gestire.
Il firewall in queste condizioni nemmeno è necessario, ma... Par paranoia puoi bloccare tutte le connessioni in ingresso e in uscita non necessarie (onestamente su di me non lo faccio).

Programmi "a rischio" se proprio vuoi puoi tenerlo sotto jail (per esempio Firefox in flatpak e se condividi molti documenti potresti valutare anche LibreOffice). Anche questa è una cosa che non faccio.

Arriva la nota dolente e super dolente: router e dispositivi connessi alla rete domestica... Router non supportati che non ricevono aggiornamenti di sicurezza andrebbero eliminati (con buona pace dell'ambiente) così come le cinesate "smart" (inclusi smartphone e qualsiasi cosa connessa Xiaomi, Huawei, e associate), lampadine e prese wifi prese sull'internet (anche Amazon se non sono di marchi affidabili).

Comunque un computer aggiornato, con servizi non attivi (una Debian appena installata) non ha problemi nemmeno su una rete compromessa.

Per navigare guarda questo https://www.debianizzati.org/ma-una-vpn ... e-davvero/

Usandolo in casa crittografia disco e compagnia bella ad eccezione di possibili ladri che rubano il computer non ti serve.

[Rudolph]

Mi sarei aspettato una risposta come questa. Infatti so anche io che debian è un sistema operativo sicuro.
Siccome ho letto su internet che ci sono distro che crittografano di default le connessioni in entrata e uscita e usano VPN/TOR di default mi chiedevo se queste sicurezze in più dessero un livello ancora maggiore (anche se in realtà non mi serve nascondere IP).
Il router che ho è cinese, collegati ad esso telecamere di sicurezza smart (credo sempre made in Cina) e televisori.

[marcomg]

mi chiedevo se queste sicurezze in più dessero un livello ancora maggiore

Dipende da cosa devi proteggerti. Sulle VPN leggiti l'articolo del blog che spiega sicuramente meglio di quanto posso fare in un post, ma se hai dubbi chiedi pure. Anche sulle reti pubbliche tende a non avere più senso perché fare uno spoofing dei certificati è molto improbabile (e comunque comunque VPN e TOR non ti aiuterebbero), soprattutto con la diffusione di DNSSEC e HSTS rendono sicura la navigazione.

Diverso è il discorso di privacy, cioè se sei in Cina e sei un reporter in incognito e ti colleghi che ne so al sito del New York Times per caricare il nuovo post non ti devi far beccare dal governo (e comunque anche TOR ha lì i suoi problemi). Ma se ti colleghi in italia Fastweb, TIM, o chi che sia non ti manderanno la SSI ad uccidere a casa se visiti debianizzati o PH. Comunque per la cifratura anche sniffando ogni dato sapranno solo che ti sei collegato a debianizzati e a PH, ma non sapranno il contenuto (cioè quale pagina hai visitato, con che account ti sei collegato, etc, etc).

Ma questo discorso è completamente differente da "mi entrano nel computer".

Ovviamente dando per scontato che tutto il traffico sia analizzato. Non è così ovviamente. Tutti i siti che i browser moderni (Firefox o Chrome) indicano come sicuri () puoi stare tranquillo.

Il router che ho è cinese, collegati ad esso telecamere di sicurezza smart (credo sempre made in Cina) e televisori.

Non è il made in cina il problema, è la società che lo gestisce. Comunque era per dire che se uno dovesse essere paranoico dovrebbe prima tenere in conto questo fattore. Cioè io non butterei tutte le cose della tp-link che possiedo o altro.
Cioè io roba cinese con software cinese la possiedo eh, per dire la smartv che mi sono acquistato è della TCL. Non è la cosa sicura, possiamo dire che non sono paranoico (o un paranoico direbbe che sono pazzo forse).
Però se hai un modem che non riceve un aggiornamento firmware da 5 anni forse sarebbe il caso di comprarne uno nuovo o vedere se si riesce comunque ad aggiornare (tipo openwrt).

Modelli ultra-vecchi di modem (anche netgear) hanno grossi problemi di sicurezza.

Le telecamere (sicuramente made in china) anche dipende se sono in cloud e che tipo di cloud hanno. Ci sono vere merde cinesi che meh, alcuni su certi modelli ci hanno fatto delle botnet. Diciamo sempre che bisogna sganciare la sicurezza intesa come ci entra dentro la qualunque o la sicurezza intesa che non ci può guardare dentro nessuno (nemmeno un governo) che se le stai installando in casa tua la seconda non è un grosso problema, non sei il senato della repubblica italiana.

Ora temo di averti confuso. Il punto è che è un discorso molto complicato e che tiene dentro il concetto di rischio (parlare di pericolo non ha troppo senso). La sicurezza assoluta non esiste, esiste un rischio accettabile. Il rischio accettabile è soggettivo.

Riassumendo, per avere un PC sicuro inteso come, non vedono che cacchio faccio, le foto che ho dentro sono al sicuro, non mi rubano la carta di credito da quel pc, voglio minacciare politici su facebook usando un profilo falso, puoi tranquillamente fare affidamento al post precedente, cioè extra riassunto Debian aggiornata senza aver installato cose strane. Sei ok.

Per la paranoia possiamo parlare di paranoia a moltissimi livelli e diventa complicato, ma comunque anche su una rete insicura gli accorgimenti che ti ho detto (che alla fine sono quelli base) lasciano l'uso di quel dispositivo relativamente sicuro (relativamente al concetto di sicurezza che ho definito prima)

[luxtux]

Modelli ultra-vecchi di modem (anche netgear) hanno grossi problemi di sicurezza.

Ciao MarcoMg,
mi allaccio a questo frammento del tuo interessante contributo per chiederti se, da collezionista di cianfrusaglie d'epoca quale sono, connettere un router-ciofeca come quelli da te elencati a valle di un brillante e moderno Fastgate (Fastweb) può compromettere la sicurezza della rete. Il riferimento non è alla Macchina-Mamma always-on, già ben equipaggiata di suo con una corretta configurazione di IPtables/Netfilter bensì alle eventuali "debolezze" dei suddetti pezzi d'antiquariato (Linksys WAG200G, Tiscali TG582n, Alice Gate VoIP 2 Plus) ai quali connetto hardware datato - altrimenti destinato ai rifiuti speciali - che riporto in vita con installazioni GNU/Linux minimali da destinare prevalentemente ad associazioni che a loro volta li girano ai meno abbienti.

Ciao.

[marcomg]

Mah, è tutta una questione di rischio accettabile. Dove Rischio = Possibile danno * Probabilità di danno

Quindi ovviamente la risposta è sì, in linea teorica. Poi dobbiamo applicare il buon senso. Se fosse quale è il danno effettivo? E soprattutto quale è la probabilità che questo danno si verifichi?

Esistevano modem che avevano la pagina di configurazione che di default rispondeva su wan e che accettava firmware di aggiornamento direttamente da richiesta GET non autenticata. Giusto per capire della follia che erano. In pratica chi conosceva l’ip poteva cambiare a piacimento il firmware del router

Non è detto che i modelli che hai abbino questa follia di falla (magari non ne hanno anche se sono obsoleti, magari ne hanno altre più difficili da sfruttare). Comunque anche se fosse ovviamente il rischio se è sotto NAT è molto più basso (l’attacco dovrebbe venire dalla LAN).
Non è sicuramente un “buon modello” di rete (non è zero trust) però alla fine è una cosa che in casa, alle tue condizioni userei

[dring]

Porsi tre quesiti.
Innanzitutto stabilire CHI è il bersaglio e se QUELLI ti conoscono.
Hai QUALCOSA che loro vogliono?