mi amigo quiere asegurarse de que visite ciertos sitios web de forma muy segura. ¿Es seguro iniciar desde el CD de Linux y visitar el sitio web https, lo que significa que solo tendrá acceso a los datos? Estará en el wi-fi de un enrutador doméstico que es WPA2-Personal como tipo de seguridad.
Sí, este es un enfoque bueno y pragmático que debería proporcionar un nivel razonable de seguridad contra muchas amenazas que podría enfrentar. No es perfecto (por ejemplo, no impide que los sitios que visita incluyan recursos externos a través de HTTP), pero probablemente sea lo suficientemente bueno para la mayoría de los propósitos, incluidos, por ejemplo, la banca en línea.
Si usa Firefox, si puede organizar que la copia de Firefox en su CD de arranque de Linux tenga instalada la extensión HTTPS Everywhere, sería una buena adición. HTTPS Everywhere está destinado a ayudarlo a dirigirse a la versión HTTPS de los sitios populares a los que se puede acceder a través de HTTPS. Pero esto puede ser innecesario, dependiendo de sus hábitos. Por ejemplo, si solo ve uno o dos sitios web, y tiene cuidado de escribir siempre "https" en la barra de direcciones, HTTPS en todas partes puede ser innecesario.
Si él también necesita proteger su privacidad o anonimato, podría considerar usar el Live CD de Tor, que viene incluido con Tor para el anonimato.
P.S. Consulte también la pregunta en Secure Linux Desktop .
WPA2-Personal cuando se usa con contraseñas débiles es vulnerable a ataques de fuerza bruta. El uso de una contraseña aleatoria de longitud suficiente o una frase de contraseña muy larga brindará cierta protección contra estos tipos de ataques. Además, la revisión periódica de los registros del enrutador WiFi ayudará en la detección de uso malicioso.
Mantenga un registro escrito o una página impresa de la huella digital de los certificados SSL que utiliza para las sesiones de alto valor. Limite esto a muy pocos sitios y verifique la huella digital de SSL antes de realizar cualquier acción crítica.
Para la banca y la protección de transacciones financieras, limite las transacciones sobre una cantidad determinada solo en sucursales. Eso limitará la responsabilidad de las transacciones individuales. Otra precaución útil es pedirle al banco que llame a su número de casa / celular para verificar las transacciones por un monto determinado. Estoy de acuerdo con la sugerencia de @gowenfawr de limitar las capacidades en línea para ver los saldos de las cuentas y no permitir que se inicien transferencias desde las sesiones en línea.
La respuesta de @ DW es buena. Mencionó que existe la posibilidad de que los sitios lo redireccionen a HTTPS, y si el usuario ingresa las URL de HTTP directamente por error (después de todo, son las predeterminadas), terminará con las solicitudes no cifradas. HTTPS Everywhere, como señala DW, es una gran ayuda, pero no es perfecto.
Otra forma de abordar el problema (dependiendo de las necesidades de su amigo) puede ser obtener un VPS en algún lugar por, digamos, $ 20 / mes, y ejecutar OpenVPN en ese servidor (con el túnel dividido desactivado, por supuesto), y NAT todo el tráfico de navegación a través de ese servidor. Esto debería proporcionar cierto grado de seguridad con respecto a la resolución del DNS, así como la privacidad de la indagación por parte de otros en la ruta del paquete entre la computadora y el VPS OpenVPN.
El interrogador no dijo si la resistencia a los rastreadores era o no una preocupación importante, por lo que este punto puede estar completamente fuera de lugar, pero esta configuración me ha funcionado bien en el pasado.
Es más difícil mantenerse actualizado con los parches de seguridad al arrancar desde el CD.
El uso de un sistema operativo de solo lectura de hecho protegerá contra varios ataques, y es particularmente adecuado para implementaciones de servidores que utilizan una base de software relativamente pequeña que no recibe muchas actualizaciones de seguridad.
Pero cuando se introduce todo el X11 y el escritorio y la pila del navegador, la frecuencia de las actualizaciones de seguridad se hace más grande, y la sobrecarga de volver a grabar un CD cada vez que se produce una actualización puede resultar difícil. Muchos sitios bancarios también confían en flash.
Puede ser más fácil arrancar desde una memoria USB con un interruptor físico de solo lectura, o algún otro medio que sea más fácil de mantener actualizado.
Chrome OS de Google, y Chromium OS relacionados, son relativamente nuevos, pero pueden ser una buena alternativa si tiene el hardware adecuado. En el hardware compatible, aprovecha la protección TPM para verificar de manera más conveniente la integridad del arranque, y tiene una serie de otras buenas características de fortalecimiento.
Ver, por ejemplo,
Sin embargo, tenga en cuenta que todavía existen riesgos y que el proyecto aún es joven. P.ej. la conferencia Blackhat de 2011 tuvo una presentación sobre cómo los errores de extensión y XSS aún pueden conducir a violaciones de seguridad desagradables:
Lea otras preguntas en las etiquetas client-side