Garantire la miglior sicurezza online, quali alternative?

[matteo170693]

Da qualche giorno mi sto interessando in maniera relativamente approfondita all'argomento sicurezza, in particolare in ambito online.
Per intendersi parlo della possibilità di utilizzare in totale tranquillità i propri account Amazon, Paypal, Ebay, Internet Banking ecc senza il pericolo che un qualche malware sia in grado di carpire ID, password e dati di varia natura.

Vorrei capire quale, secondo voi, è il sistema più sicuro per poter utilizzare tutti i propri dati sensibili online, ovviamente mi riferisco ai dati di cui sopra, non certo alla mia password per accedere al forum (che sarà anche importante ma non ha la stessa importanza della password di Paypal ovviamente).

Facendo una rapida ricerca online mi pare di capire che su sistema Windows il massimo possa essere utilizzare un buon AV e magari una VPN o addirittura un browser TOR....spulciando però tra le distro Linux si trovano cose molto interessanti tipo TAILS https://tails.boum.org/index.it.html che consente di fare girare tutto in modo live, con crittografia, rete Tor ecc ecc.

Avete esperienze maggiori su questo argomento?

[Ryddyck]

È un argomento ostico e vasto, non esiste una soluzione semplice che vada bene per tutti (o per meglio dire, non esiste proprio una soluzione). Sicuramente per mitigare il rischio di malware, keylogger, etc sarebbe meglio utilizzare sistemi operativi differenti da windows, ad esempio già utilizzare una distro linux riduce notevolmente questi rischi o ancora meglio utilizzare sistemi bsd. In alternativa puoi sempre utilizzare una macchina virtuale o una sandbox per determinati scopi.

Ma se da una parte abbassi i rischi in locale, dall'altra parte ci sono altri rischi che puoi relativamente attenuare... ad esempio connessioni wireless in genere, wireless pubblici, ed ovviamente lato server (per non parlare poi di hw buggato in generale, tipo i router economici che ti regalano o danno in comodato d'uso).

Le vpn sono belle - per carità - ma non si sa quasi mai dove finiscano i dati soprattutto se consideri quelle commerciali sotto magari giurisdizione statunitense (in passato avevo trovato una bella lista di vpn con annesse nazioni e politiche). Per la rete tor - bella anche questa - ci sono sempre molte cose da considerare, come chi opera come nodo in uscita senza usare una connessione criptata tls/ssl (https per capirci, anche se qui si può aprire l'altro argomento su come intercettare ed analizzare le connessioni criptate).

[BlueRaven]

Quote:

Originariamente inviato da matteo170693

Vorrei capire quale, secondo voi, è il sistema più sicuro per poter utilizzare tutti i propri dati sensibili online, ovviamente mi riferisco ai dati di cui sopra, non certo alla mia password per accedere al forum (che sarà anche importante ma non ha la stessa importanza della password di Paypal ovviamente).

Quoto tutto quanto ha detto Ryddyck, aggiungo solo un paio di cose: doppia autenticazione - ovunque sia supportata - e soprattutto tanto, ma tanto usare il cervello.

[Ryddyck]

Ottima cosa anche quella, a volte credo che finiremo a fare 350 tipi di autenticazioni per ridurre la possibilità di essere fregati ma così facendo per fare una operazione si perdono due ore e sarebbe più conveniente tornare nell'era pre internet.
In alternativa alla doppia autenticazione, trovo utile invece per l'internet banking o l'ecommerce in generale l'avviso sugli ordini/pagamenti e mal che vada si riesce (si spera) ad agire in tempo per bloccare tutto (soprattutto per le carte di credito).

[matteo170693]

Quote:

Originariamente inviato da Ryddyck

È un argomento ostico e vasto, non esiste una soluzione semplice che vada bene per tutti (o per meglio dire, non esiste proprio una soluzione). Sicuramente per mitigare il rischio di malware, keylogger, etc sarebbe meglio utilizzare sistemi operativi differenti da windows, ad esempio già utilizzare una distro linux riduce notevolmente questi rischi o ancora meglio utilizzare sistemi bsd. In alternativa puoi sempre utilizzare una macchina virtuale o una sandbox per determinati scopi.

Ma se da una parte abbassi i rischi in locale, dall'altra parte ci sono altri rischi che puoi relativamente attenuare... ad esempio connessioni wireless in genere, wireless pubblici, ed ovviamente lato server (per non parlare poi di hw buggato in generale, tipo i router economici che ti regalano o danno in comodato d'uso).

Le vpn sono belle - per carità - ma non si sa quasi mai dove finiscano i dati soprattutto se consideri quelle commerciali sotto magari giurisdizione statunitense (in passato avevo trovato una bella lista di vpn con annesse nazioni e politiche). Per la rete tor - bella anche questa - ci sono sempre molte cose da considerare, come chi opera come nodo in uscita senza usare una connessione criptata tls/ssl (https per capirci, anche se qui si può aprire l'altro argomento su come intercettare ed analizzare le connessioni criptate).

Per quanto riguarda la rete fisica dalla quale accedo ovviamente prendo le dovute precauzioni ovvero utilizzo dati sensibili unicamente attraverso l'adsl di casa. Non utilizzo mai le reti mobile o eventuali wifi pubblici per andare sull'internet banking per esempio.

Il discorso linux (magari con distro ad-hoc) vs sandbox\virtualizzazione effettivamente è interessante, non penso sia però facile valutarne concretamente pro e contro perchè entrambi i sistemi alla fine possono avere vulnerabilità.

Sul discorso VPN in effetti è una cosa della serie: "mi fido o non mi fido?". Io tanto per provare ho preso 1 mese di prova con Private Internet Access (PIA) dopo aver letto accuratamente diverse recensioni ed essermi assicurato che adottassero una politica zero-log...poi cosa facciano effettivamente non lo so.

Tor è una cosa che mi ha sempre affascinato, come è logico che sia dato che è un mondo "a parte" in un certo senso e chiunque abbia anche solo un minimo di curiosità si ritrova certamente invogliato a sperimentare per capire come funziona. Mi sono comunque risposto che "non è il caso" di andarsi ad immischiare nel traffico di chi utilizza quel tipo di protocollo per fini tutt'altro che leciti.

Quote:

Originariamente inviato da BlueRaven

Quoto tutto quanto ha detto Ryddyck, aggiungo solo un paio di cose: doppia autenticazione - ovunque sia supportata - e soprattutto tanto, ma tanto usare il cervello.

Assolutamente, l'utente è sempre il miglior "antivirus".

Quote:

Originariamente inviato da Ryddyck

Ottima cosa anche quella, a volte credo che finiremo a fare 350 tipi di autenticazioni per ridurre la possibilità di essere fregati ma così facendo per fare una operazione si perdono due ore e sarebbe più conveniente tornare nell'era pre internet.
In alternativa alla doppia autenticazione, trovo utile invece per l'internet banking o l'ecommerce in generale l'avviso sugli ordini/pagamenti e mal che vada si riesce (si spera) ad agire in tempo per bloccare tutto (soprattutto per le carte di credito).

Gli avvisi automatici sono utilissimi e ovviamente li ho abilitati subito, diciamo che la mia ricerca è volta a trovare un modo che possa scongiurare il più possibile il fatto di dover dire "meno male che mi è arrivato l'sms così ho bloccato il conto".

Diciamo che non sono sicuro al 100% che utilizzare il cervello e autenticazione in 2 step con password da oltre 20 caratteri siano sempre sufficienti, ma forse sono io che sono paranoico

[Ryddyck]

Beh per quel che riguarda una macchina virtuale ti posso dire che funziona, ma sempre dipende dall'uso che ne fai. Cioè se usi la macchina virtuale per provare software o scaricare roba di cui non ti fidi va bene, è chiaro che se la macchina virtuale è bucata (vedi vmware, c'è chi dice chi ha detto su questo forum che è molto improbabile arrivare all'host... infatti poco dopo il team qihoo 360 l'ha bucato a dovere) oppure passi i file dalla vm all'host in qualche modo ti infetti (vedi il caso gootkit, specifico per le banche che rileva se è su vm o meno).

Per quel che riguarda le password... dipende: se bucano il server puoi avere anche una password lunga 1km, gli importa poco... poi bisogna anche vedere com'è fatta questa password, ormai le botnet hanno potenze di calcolo allarmanti...

[matteo170693]

Quote:

Originariamente inviato da Ryddyck

Beh per quel che riguarda una macchina virtuale ti posso dire che funziona, ma sempre dipende dall'uso che ne fai. Cioè se usi la macchina virtuale per provare software o scaricare roba di cui non ti fidi va bene, è chiaro che se la macchina virtuale è bucata (vedi vmware, c'è chi dice chi ha detto su questo forum che è molto improbabile arrivare all'host... infatti poco dopo il team qihoo 360 l'ha bucato a dovere) oppure passi i file dalla vm all'host in qualche modo ti infetti (vedi il caso gootkit, specifico per le banche che rileva se è su vm o meno).

Per quel che riguarda le password... dipende: se bucano il server puoi avere anche una password lunga 1km, gli importa poco... poi bisogna anche vedere com'è fatta questa password, ormai le botnet hanno potenze di calcolo allarmanti...

diciamo che anche con un brute-force da parte di una botnet sono tranquillo (questo in base a quanto dicono i vari tool che permettono di valutare l'efficacia di una password).

poi è ovvio che se lato server sono conservate in malo modo non c'è nulla da fare...ma voglio sperare che un po' tutti abbiano cominciato a cifrare decentemente i database, anche se di figuracce di questo genere in passato ne abbiamo viste diverse.