Primero, una palabra sobre seguridad: la seguridad no existe en un vacío; es completamente dependiente de la circunstancia.
Defender contra una amenaza no realizada es un desperdicio. No defenderse contra un ataque trivial hace que su sistema sea inútil. Como tal, agregar ciegamente medidas de seguridad es un ejercicio inútil. Uno debe tener un conjunto bien definido de objetivos para un sistema, también conocido como modelo de amenaza .
Si pretende lograr la "privacidad en línea", debe definir su propio modelo de amenaza. Algunas preguntas que debe hacerse:
- ¿Quién es tu adversario? (¿Estás defendiendo contra los niños guión? ¿La NSA?)
- ¿Qué comportamiento piensa mantener confidencial?
¿Qué pasa con el sistema que utilizarías para abordar este modelo?
- ¿Qué compromisos está dispuesto a hacer para mantener su comportamiento confidencial?
- ¿Cuáles son las limitaciones de su solución? (por ejemplo, tiempo, presupuesto, hardware, etc.)
Ahora que ha definido los límites de su problema y los de su solución, debe determinar qué parte de esto puede cumplir y a qué costo. Aquí es donde entra tu pregunta:
¿Es menos seguro usar Tails que construir mi propia pila centrada en la privacidad ...?
En última instancia, se trata de la compensación entre la cobertura de amenazas y el costo (su tiempo de desarrollo). Esencialmente: ¿Qué seguridad obtiene al compilar un sistema operativo en vivo seguro que no tendría con un producto como Tails (y viceversa)? Su propuesta es que un sistema que diseñe tendrá 1. Tener menos errores / vulnerabilidades y / o 2. Tener menos conocidos errores / explotaciones.
Primero, es completamente posible (aunque improbable) que, en cualquier momento, un sistema que haya construido con "bloques" disponibles públicamente tenga menos errores que un sistema de código abierto que ya esté en uso. El beneficio de FOSS es que muchos ojos en el código significan una mayor probabilidad de que un error se descubra y se solucione. El código que escribas inevitablemente tendrá errores que será mucho menos probable que atrapes a menos que pases tus días revisando la fuente (incluso entonces puede haber algunos problemas que ni siquiera puedas detectar).
Abordando el problema de los errores conocidos, el sistema "rodar tu propio" es esencialmente seguridad a través de la oscuridad (o, quizás más exactamente, seguridad a través de minoría ), es decir, confiar en la falta de familiaridad de un atacante con un sistema para garantizar su seguridad. En general, esto no representa un aumento notable en la seguridad, ciertamente no si utiliza los componentes básicos de FOSS.
El proyecto de Tails en sí mismo es bastante similar al "combo de software" que usted describe. Citar directamente desde página de Contribute de Tails :
... Intentamos no reinventar la rueda y huimos del síndrome de No se ha inventado aquí como la plaga. En realidad, se escribe muy poco código específicamente para Tails ... Pegamos las piezas existentes.
Esto subraya el compromiso inherente en el desarrollo de un sistema de seguridad: cada línea de código y cada nueva decisión de diseño aumenta la probabilidad de que se introduzca un error.
Si bien puede ser tentador leer acerca de estas revelaciones de 0 días y decir "podría hacerlo mejor", es importante darse cuenta de los beneficios que acompañan a las herramientas de código abierto ampliamente disponibles. Si no está dispuesto a dedicar el tiempo y el esfuerzo necesarios para desarrollar y mantener un sistema operativo seguro completo (una tarea desalentadora para un equipo grande y mucho menos para un solo desarrollador), entonces podría considerar agregar otro conjunto de ojos (lea: el suyo) ) a un proyecto existente. Pero eso es solo mi 2 ¢.