¿Cómo se prueba el sistema operativo Tails para asegurarse de su autenticidad?

0

Se dice que las colas son el sistema operativo más seguro de la historia, pero ¿alguien lo ha probado? es decir, cómo se sabe que las colas no realizan operaciones como:

  • rastrear en su propia red y enviar sus datos a un tercero
  • enviar la información del hardware de su máquina a un tercero y así sucesivamente

¿Cómo se ha demostrado que es realmente seguro y no está hecho por un grupo de hackers?

    
pregunta cordless phone 27.10.2015 - 02:54
fuente

3 respuestas

4

El sistema de incógnito en vivo de Amnesiac , o TAILS, es un proyecto del Tor Project.

Uno puede intentar verificar si un sistema operativo de este tipo es o no benigno en un entorno de laboratorio. Por supuesto, existe la posibilidad de verificación por parte de terceros al combinar firmas, buscar códigos anómalos, observar el tráfico de la red y, de otro modo, ver qué hace el sistema operativo en las máquinas de laboratorio / prueba para ver si funciona como se indica.

Como Bruce Schneier ha dilucidado astutamente, los problemas de seguridad se convierten en una cuestión de confianza. En este caso, la pregunta es: ¿confías en el proyecto Tor y en los desarrolladores de TAILS?

¿Cómo sabes si puedes confiar en Tor?

Comience con la gente: enlace Puede ver que uno de sus desarrolladores principales es Jacob Appelbaum , de la excursión de vigilancia de la NSA / WikiLeaks fame, entre otros.

Luego mire el registro de seguimiento de la organización .

Desde allí, puedes llegar a tus propias conclusiones sobre la organización Tor y si confías o no en ellas. Mi opinión personal es, sí, por ahora sí confío en ellos y tienen una ética sólida y buena.

También recuerde verificar las firmas al descargar ISO para garantizar la integridad en tránsito.

    
respondido por el Herringbone Cat 27.10.2015 - 03:52
fuente
3

TAILS es de código abierto y puede ser auditado libremente, y luego construido desde la fuente. Su principal atractivo no es la seguridad (se basa en Debian estándar), sino que preserva el anonimato y la privacidad del usuario.

Hay varias formas de auditar un paquete de software de este tipo.

Uno es canalizar todo el tráfico a través de un proxy, como otra computadora LAN, para analizar el tráfico. Esto también se puede hacer en una máquina virtual.

Otra es comprobar el código fuente en sí. Ya que TAILS es de código abierto, puede acceder al código fuente y verificar si hay un código inusual.

Ninguno de los métodos es infalible, sin embargo, son lo suficientemente buenos para la mayoría de las personas y, para ir más lejos, será necesario que audites tu compilador.

    
respondido por el timuzhti 27.10.2015 - 03:45
fuente
1

Si su máquina está comprometida, por ejemplo, digamos que su BIOS está infectada, o si un atacante con acceso físico a su máquina instaló un software diferente, entonces sí, esa información puede filtrarse.

Pero en la práctica, en cuanto a la información precisa que quería conocer a través de las dos viñetas que destacó, no he oído hablar de eso antes y puedo decir que no -pero no estoy seguro- AFAIK con respecto a cómo funciona todo el sistema, especialmente eso Tails se beneficia de las auditorías continuas y puede ejecutar este sistema operativo directamente desde una memoria USB.

Aparte de las vulnerabilidades que comprometen el anonimato del usuario, como revelar las direcciones IP reales del usuario como fue el caso con esto Vulnerabilidad con la versión Tails 1.1, hay dos datos que puede necesitar conocer y que pueden responder en parte a las preguntas que hizo ( ¿Tails recopila información sobre sus usuarios? ):

  

Cuando se inicia Tails, dos solicitudes HTTPS se realizan automáticamente a nuestro   sitio web a través de Tor:

     
  • Se realiza una comprobación de seguridad para saber si se han anunciado problemas de seguridad para esta versión de Tails. El lenguaje del trabajo.   sesión se pasa junto con esta solicitud para mostrar la notificación   en el idioma preferido del usuario.
  •   
  • Tails Upgrader busca nuevas versiones. La versión de los Tails en ejecución se pasa junto con esta solicitud.
  •   

Creemos que es importante notificar al usuario sobre problemas de seguridad conocidos   y nuevas versiones. Calculamos estadísticas basadas en la seguridad.   Comprueba para saber cuántas veces se ha iniciado y conectado Tails.   Colina. Estas estadísticas se publican en nuestros informes mensuales .

Aunque Edward Snowden recomienda Tails para problemas de anonimato y privacidad, no es un sistema infalible. Puede encontrar aquí una lista completa de las vulnerabilidades de seguridad de Tails notificadas.

Si bien Tails es el mejor sistema operativo para problemas de privacidad / anonimato, y puede confiar en él más que en otros sistemas operativos para este propósito, me gustaría citarlo en el blog Balas de plata y Fairy Tails :

  

Hemos publicado el hecho de que hemos descubierto estos problemas por un tiempo muy   razón simple: ningún usuario debe confiar plenamente en ningún particular   Solución de seguridad. Al sacar a la luz el hecho de que hemos encontrado   fallas verificables en una pieza de código tan confiable, esperamos   Recuerde a la base de usuarios de Tails que ningún software es infalible. Incluso cuando   Los problemas que hemos encontrado están resueltos por el equipo de Tails, la comunidad   Hay que tener en cuenta que, sin duda, todavía existen otros defectos.   presente y probablemente conocido por otros.

Y recuerde que no todas las vulnerabilidades de seguridad de Tails se notifican, ya que hay quienes las encuentran pero no las revelan y prefieren hacer negocios con ellas; Exodus (de donde cité el texto de arriba) en sí mismo vende vulnerabilidades de 0 días.

Tenga en cuenta que una conferencia de seguridad de Black Hat canceló la conversación No tiene que hacerlo. ser la NSA para romper Tor: desanonizar a los usuarios con un presupuesto donde los presentadores intentaron explicar cómo, con un presupuesto de $ 3000, cientos de miles de usuarios de Tor podrían ser anonimizados.

    
respondido por el user45139 27.10.2015 - 05:55
fuente

Lea otras preguntas en las etiquetas