Sicurezza e privacy di una postazione Linux

Non sono un sistemista e ho sempre delegato a veri esperti la configurazione di server. Ma una postazione Linux, serve un utente alla volta ed è un'altra cosa. Ecco una serie di consigli in tema di sicurezza e privacy di una postazione Linux. Sono rivolti, come sempre a principianti.

La sicurezza assoluta non esiste. E non si può restare indietro neppure di un giorno. Ma a mio parere una sottile linea separa l'aspirazione ad una ragionevole sicurezza del computer di tutti i giorni di un utente comune, dalla paranoia. Per il primo caso ci sono soluzioni, per il secondo non lo so.

Dati sulla sicurezza in Linux

Informazioni tranquillizzanti circolano sul basso impatto di virus destinati ad ambienti Linux. Specie perché i suoi utenti sarebbero una minoranza. Statistiche autorevoli dicono però il contrario. Il blog di CrowdStrike sostiene che nel 2021, rispetto all'anno precedente, sia stato scoperto il 35% in più di malware destinati a colpire proprio Linux.

Il dato è certamente dovuto al gran numero di server Linux che gestiscono la maggioranza dei servizi web e di posta elettronica. Secondo altri anche all'allargarsi del fenomeno definito IoT, Internet delle cose. Elettrodomestici intelligenti e dispositivi poco potenti, basati su kernel Linux e dotati di scheda di rete ed indirizzo IP, rappresentano infatti una ghiotta occasione per fare breccia nelle nostre reti domestiche.

Spesso poi è l'utente che compromette inconsapevolmente la sicurezza della propria installazione. È quindi fondamentale saper gestire al meglio ogni criterio di sicurezza che si intende adottare. Oppure non inoltrarsi in un terreno troppo complesso, con il rischio di peggiorare le cose piuttosto che migliorarle.

Guarda il video su YouTube

Per tranquillizzarti, però ti segnalo anche statistiche fatte da Project Zero, il team di Google che si occupa di sicurezza informatica. Project Zero rileva che gli sviluppatori di Linux e di Mozilla, stracciano letteralmente anche Apple e Microsoft quanto a rapidità nel risolvere, con aggiornamenti e patch, le rare vulnerabilità scoperte.

Insomma dai, un utente comune può usare Linux nel computer di tutti i giorni in modo più sicuro rispetto a sistemi operativi commerciali. Purché non sia coinvolto in attività illecite o bersagliato per opinioni personali o attivismo di sorta.

Criteri di sicurezza nativi di Linux

Linux adotta in modo nativo diversi accorgimenti di sicurezza. Come la differenziazione dei permessi per i singoli utenti e per i gruppi cui essi appartengono. Molte distribuzioni GNU/Linux disattivano per impostazione predefinita l'accesso come utente root. Oppure fanno sì che servizi delicati non abbiano privilegi di root quando non servono. Ubuntu, Linux Mint, Pop!_OS ed altre distribuzioni propongono la criptazione del disco o della cartella Home in fase di installazione. Molto utile nel computer portatile o se hai dati importanti in PC accessibili anche da altri.

Fedora e le distribuzioni basate su Red Hat Enterprise Linux adottano il modulo SELinux (Security-Enhanced Linux), che innalzano la sicurezza di permessi e liste di controllo degli accessi, isolando le applicazioni in compartimenti stagni, le c.d. sandbox, altamente configurabili.

AppArmor per Ubuntu svolge compiti analoghi ed è preinstallato e preconfigurato anche in altre distribuzioni tra cui Linux Mint. Se adotti un desktop KDE, Plasma Vault permette di creare cartelle crittografate che puoi salvare ovunque.

Talvolta però l'utente modifica configurazioni iniziali per soddisfare le proprie esigenze e i cambiamenti tengono raramente in considerazione l’aspetto della sicurezza. Questo può risultare pericoloso quando si eseguono servizi, perché si rischia di lasciare una porta del proprio PC aperta a tutto il mondo.

Per cominciare esegui frequenti backup dei tuoi dati

Può sembrare banale e fuori tema. Ma eseguire frequenti backup dei tuoi dati personali, azzera le conseguenze di molti eventi dannosi. Se li salvi in un supporto differente da quello in cui tali dati risiedono stabilmente.

L'ho detto anche in altre occasioni: un sistema operativo compromesso anche solo per esperimenti maldestri, può essere reinstallato e riconfigurato con un minimo di sforzo. Per dati personali importanti persi, non c'è soluzione. Puoi dare la colpa a qualcun altro o ad un bug, è umano. Ma lontano dalla realtà.

Ho conosciuto chi ha perso materiale dal valore affettivo inestimabile o mesi di lavoro tenuti solo in una chiavetta USB che si è rotta (e succede) o è andata persa. Studenti che hanno perso la tesi, di cui avevano un backup aggiornatissimo insieme al portatile, nella borsa che gli è stata rubata. Imprenditori costretti a pagare un sostanzioso riscatto in criptovalute perché un c.d. ransomware ha cifrato l'intero contenuto del PC.

Nessuno di questi scenari rappresenta il minimo problema se esegui regolarmente backup e li tieni in un posto sicuro.

Regola numero 1: applica subito gli aggiornamenti!

Ho citato la rapidità degli sviluppatori Linux nel risolvere problemi di sicurezza. Perché questo ti sia utile, il più importante accorgimento è quello di applicare prontamente gli aggiornamenti di software, di sicurezza e del kernel, non appena siano resi disponibili.

Ciò anche perché, appena una falla viene scoperta, i dettagli divengono di dominio pubblico e quanto più attendi ad aggiornare, più sei esposto.

Se non hai problemi di soglie dati o se non vuoi provvedere manualmente, puoi impostarne l'installazione automatica. Linux Mint ad esempio, aprendo Gestore Aggiornamenti dall'icona a scudo nel pannello applet, ti consente di includere anche flatpak, applet e desklet oltre ai pacchetti software dai repository.

Aggiornamenti disponibili per Linux Mint

Voglio rimarcare questo aspetto. Applica prontamente gli aggiornamenti e non utilizzare un sistema operativo dopo la scadenza del periodo di supporto e sarai già ad un ottimo punto. Anzi puoi anche fermarti qui! Le indicazioni che seguono fanno volume ma sono rifiniture. Però totalmente inutili se il sistema non è aggiornato.

Un antivirus? Non necessariamente

Avrai sentito spesso dire in giro che Linux non ha bisogno di antivirus e penso si possa essere d'accordo, in linea di principio. Se ti limiti ad installare software dallo "store" della tua distribuzione, hai certezza che sia verificato e sicuro. Quando un raro problema viene scoperto, come anticipato, gli sviluppatori Linux sono rapidissimi a porvi rimedio e riceverai prestissimo un aggiornamento.

Che Linux, almeno in una c.d. workstation, non sia un sistema per cui preoccuparsi di installare un antivirus, lo dimostra anche il fatto che l'autorevole istituto indipendente AV-Test, che verifica e documenta prestazioni ed efficienza di antivirus gratuiti e commerciali, prende in considerazione solo Windows, MacOS e Android.

Antivirus per Windows tra cui NOD32, Comodo, F-Secure e Sophos prevedono anche versioni per Linux. Ma le definizioni dei virus includono di regola solo quelli noti per ambiente Windows.

Se la tua postazione Linux è in rete assieme a numerose postazioni Windows, uno di questi antivirus può aiutarti a limitare la diffusione di minacce a beneficio degli altri ma non direttamente a te.

Se adoperi WINE per eseguire programmi per Windows, puoi rendere il tuo sistema vulnerabile alle minacce per Windows e allora un antivirus fa comodo anche a te. Questa è una delle ragioni per cui sconsiglio di usare WINE e suggerisco casomai di mantenere una partizione Windows se proprio credi di non poter fare a meno di software prodotti da aziende che degli utenti Linux se ne fregano!

ClamAv: l'unico vero antivirus per Linux

logo di ClamAv antivirus per Linux

Un antivirus proprio per Linux esiste: è ClamAV. Se non vuoi usarlo da riga di comando, puoi scaricarlo con interfaccia grafica cercando nel tuo centro software il pacchetto ClamTK. Il programma magari non è aggiornatissimo ma le liste di definizioni di virus sono ancora saltuariamente aggiornate.

L'installazione di ClamTK non include anche il demone dell'antivirus, cioè il servizio che resta sempre in esecuzione per monitorare ogni file che apri. Questo è bene perché può rallentare il sistema e utilizzare molta memoria.

Puoi effettuare scansioni di file e cartelle manualmente. Oppure pianificare controlli, ad esempio nelle ore notturne, della tua cartella Home e del suo contenuto. Di controllare il resto del sistema non c'è bisogno.

Non è affatto indispensabile, ma puoi anche integrare liste di definizioni non ufficiali in ClamAV. Estremeshok è una fonte fidata. Sono incluse le definizioni previste per uno strumento chiamato Linux Malware Detect. Ampliando l'elenco delle definizioni, però possono aumentare anche i c.d. falsi positivi.

Proteggi la rete con il firewall

Con i moderni modem/router a gestire le nostre connessioni in casa e ufficio, alcuni sostengono che attivare il firewall in una postazione singola, non sia davvero indispensabile. Perché Linux, di fatto non apre porte accessibili dall'esterno verso il tuo PC. Ma molti sostengono il contrario.

Nel tutorial Post installazione di Linux Mint 20 suggerisco, anzi lo suggerisce il team nella schermata di benvenuto, di attivare immediatamente il firewall attraverso l'interfaccia grafica preinstallata insieme al firewall UFW. Non solo in Linux Mint ma in tante altre distribuzioni GNU/Linux.

attivazione del firewall di Linux Mint

Se usi sistemi P2P come la gloriosa rete edonkey ancora funzionante o torrent, o anche per le condivisioni in rete locale con Samba o Warpinator, dovrai aggiungere specifiche regole perché il tuo computer sia raggiungibile da questi servizi. Ce ne sono tante già preconfigurate e suddivise in categorie. Una volta trovato il servizio che vuoi rendere accessibile, basta un clic su Aggiungi regola.

I più smanettoni, e io con l'avanzare dell'età lo sono sempre meno, saranno anche in grado di riciclare un vecchio computer o usare una Raspberry PI con un paio di schede di rete per creare un firewall hardware.

Non è proprio in tema con l'argomento ma, negli anni, molti modelli di router sono risultati affetti da gravi vulnerabilità. Ti consiglio di verificare il firmware del tuo router e se possibile aggiornarlo. Ma prima ancora suggerisco di cambiare le password preimpostate dal produttore del dispositivo o dal fornitore di servizi internet.

Limita installazioni al di fuori dei repository ufficiali

Se non conosci i concetti di repository e PPA, ne ho parlato nel tutorial Verificare e installare programmi in Linux. Comunque i repository sono archivi di software installato e installabile nella tua distribuzione GNU/Linux. Quelli preimpostati sono definibili ufficiali, contengono pacchetti e programmi verificati e sono quindi sicuri da installare.

Puoi aggiungere alle tue fonti software fidate anche repository di terze parti e, per le distribuzioni basate su Ubuntu, nuovi PPA. Puoi anche installare programmi da file .deb o .rpm scaricati da Internet. Ma tutti questi programmi, di regola, non sono testati né verificati dagli sviluppatori della tua distribuzione GNU/Linux. Perciò possono compromettere la stabilità oltre che la sicurezza del sistema.

L'aggiunta di un PPA alle fonti software, autorizza chi lo gestisce ad immettere nuovi pacchetti nel tuo sistema. Come è facile intuire si tratta di enormi privilegi sul tuo sistema.

Anche l'installazione da un pacchetto scaricato da internet può aggiungere un repository alle tue fonti fidate senza che tu lo sappia. Lo fa anche Google Chrome ad esempio. Immagina le conseguenze se installi un pacchetto di cui non sia garantita la provenienza.

Non sto dicendo di accontentarti dei programmi che trovi nel centro software della tua distribuzione GNU/Linux. Anche se ormai sono in grado di integrare programmi ogni genere. Ma sono effettivamente gli unici che puoi installare con la massima tranquillità.

Dico che è bene ricorrere a PPA solo se non c'è alternativa per utilizzare al meglio un determinato programma. E anche per quanto riguarda file .deb e .rpm o .apk scaricati da Internet, ci vuole buon senso. Se il programma è assai noto oppure scarichi driver di scanner e stampanti dai siti ufficiali dei produttori, una volta verificata, se possibile, la firma del file, puoi certamente fidarti.

Ma non scaricare e installare programmi di cui non hai mai sentito parlare prima di aver accertato su internet o nei forum della tua distribuzione. Oppure verifica se esistono tutorial o recensioni che lo riguardano. Ma anche che queste informazioni provengano da molteplici siti web noti ed affidabili.

Limita il ricorso a operazioni con autorità root

L'accesso ad una sessione desktop come root vanifica molti criteri di sicurezza cui ho accennato all'inizio. Tanto che molte distribuzioni come Ubuntu o Linux Mint disattivano tale account per impostazione predefinita.

Le applicazioni che usiamo quotidianamente sono previste per essere eseguite con permessi di utente non amministratore e non possono quindi modificare il sistema sottostante.

Solo compiti di amministrazione del sistema dovrebbero venire eseguiti con privilegi di root e solo in caso di bisogno. Ad esempio ricorrendo al comando sudo prima di altro comando, stai temporaneamente attribuendoti privilegi di amministratore di sistema per eseguirlo.

L'uso inconsapevole di sudo quando non necessario, oltre a costituire un rischio per la sicurezza, può anche solo compromettere la stabilità del sistema e causare problemi di vario genere.

Ad esempio, se lanci da terminale, con sudo, un programma di uso quotidiano, saranno creati file e cartelle di cui root è proprietario e non il tuo utente. Ed è anche possibile che la proprietà di file e cartelle di configurazione sia rimossa dal tuo utente ed assegnata a root.

Utilizza un password manager

Si dice che l'unica password sicura sia una tanto complessa che non puoi ricordarla. Se ci mettiamo il numero di servizi, account e relative password di cui ognuno di noi dispone oggi, ci sarebbe di che impazzire.

Se non affidi le tue password più importanti ad un browser che per sincronizzarle le spedisce in giro per il mondo e non le salvi in un documento di testo, già sei a buon punto sulla protezione dei tuoi dati personali.

Per semplificare e rendere più sicura l'archiviazione di credenziali come quelle relative a identità digitale, banche o altro, consiglio di ricorrere ad un password manager. Tramite il centro software della tua distribuzione GNU/Linux, troverai sicuramente KeePass Password Safe, KeePassX o KeePassXC. Sono simili ed anche il nome può creare confusione, ma si tratta di progetti differenti.

schermata del programma KeePassXC

Il ricorso ad una di queste utilità open-source consente di impostare un'unica password per proteggere, con robusti algoritmi di cifratura, un infinito database di credenziali. In quanto open-source, il codice sorgente è ispezionabile e ispezionato. Non spiano ciò che vi conservi né trasmettono dati chissà dove.

Rappresentano quindi un'ottima opportunità di limitare rischi di far finire dati assai sensibili nelle mani sbagliate in caso di compromissioni del sistema o smarrimento del computer portatile e li consiglio vivamente.

Verificando gli screenshot dalle singole pagine o installandoli, potrai scegliere quello che più soddisfa le tue esigenze.

Sicurezza del browser: un capitolo a sé

Il programma certamente più usato in ogni dispositivo e non solo nel computer con Linux, merita una serie di approfondimenti a parte. Anche se non è argomento che interessi soltanto Linux.

Ovviamente non c'è pace per gli sprovveduti alla ricerca di software pirata, streaming illegale e compagnia brutta. Perché sono i primi responsabili di fughe di dati dal proprio computer.

La prima regola vale ancora: applica tempestivamente gli aggiornamenti rilasciati per il tuo o i tuoi browser preferiti e avrai già fatto molto. Puoi anche scegliere uno dei browser particolarmente orientati alla sicurezza come Brave oppure Opera. Ne ho parlato a proposito di Browser alternativi per GNU/Linux. Molti di essi bloccano in anticipo annunci pubblicitari che tracciano le tue attività o ti identificano. Oppure integrano un servizio gratuito di VPN come nel caso di Opera.

Usa motori di ricerca che non ti identificano e non ti tracciano

Non c'è vera sicurezza senza privacy. I motori di ricerca web tradizionali vogliono sapere tutto di te e di ciò che cerchi. Per fornire agli inserzionisti informazioni su di te. Questi consente di mostrarti, attraverso le pagine di risultati ma non solo, annunci pubblicitari molto rispondenti a tuoi interessi.

Finalmente si stanno facendo strada anche modelli di business differenti. Motori che si sostentano certamente grazie alla pubblicità pagate da inserzionisti in base ai tuoi termini di ricerca. Però non intercettano, non salvano e quindi non rivendono alcun dato. Che si tratti del tuo dispositivo, delle tue abitudini e delle tue informazioni personali.

DuckDuckGo

Certamente il più noto motore di ricerca alternativo è DuckDuckGo e merita la sua crescente popolarità. Se già lo conosci e lo usi, un'occhiata alle informazioni aggiuntive fornite sulla sua filosofia, ti renderanno ancora più contento di usarlo. Scoprirai che Google ti traccia non solo sulle sue applicazioni ma anche sul 75% dei siti web al mondo che ospitano campagne AdSense.

Quando entri nelle impostazioni di DuckDuckGo scopri tantissime interessanti funzioni come la possibilità di disattivare completamente gli annunci sponsorizzati dai risultati. Però in cambio ti chiede almeno di contribuire a far conoscere e ad adottare il motore di ricerca ad altri.

Puoi anche usare bangs, scorciatoie per cercare direttamente tra le pagine di siti web tra i più noti. Disattivare il caricamento automatico di immagini o video e passare i parametri delle tue ricerche con metodo POST anziché GET del linguaggio HTML, senza che i termini siano visibili nella barra dell'indirizzo.

DuckDuckGo logo

StartPage

Il mio motore di ricerca è Startpage. Mi ha ispirato simpatia e fiducia fin dall'inizio. Grazie anche alle pagine esplicative del suo funzionamento. Scopri che il tuo indirizzo IP ed altre informazioni personali non vengono salvati nel primo livello di server. I tuoi termini di ricerca sono quindi trasmessi ad un secondo livello di server che li confronta con i risultati di Google. Per restituirteli in forma anonima.

Con StartPage posso passare comandi e opzioni di ricerca avanzate di Google per raffinare ricerche, conoscere quali e quante pagine sono indicizzate di un sito web, verificare quali contengono un link che rimanda a siti miei o di miei clienti.

StartPage offre anche un servizio a pagamento per la gestione di email crittografata.

logo di StartPage

Solo estensioni e plugin del browser necessari

I controlli umani e automatizzati sul Chrome Web Store o nella pagina di estensioni di Firefox non fanno miracoli. Ma è successo raramente di introdurre malware attraverso estensioni e plugin.
L'importante è sapere che estensioni e plugin, per funzionare, di regola monitorano e tracciano ogni attività di navigazione. E finiscono in mano a chi le realizza. Spesso però, durante sessioni impropriamente chiamate anonime o private, tali estensioni non sono abilitate e quindi questo non succede.

È comunque buona regola limitare il numero di estensioni e plugin, sia per motivi di sicurezza che di prestazioni e stabilità. Ma alcune sono molto utili per la sicurezza e per la privacy e mi sento di segnalarle.

Ad-block

icona di AdBlock

Ad-block è la mia estensione preferita contro le pubblicità invadenti, per Firefox, per Chrome ed è preinstallata in Brave. Consente di bloccare gli annunci più invadenti che si trovando durante la navigazione.
Si possono modificare le impostazioni anche in modo più aggressivo. Altre note estensioni simili sono uBlock Origin e AdBlock Plus. Sono tutte disponibili sia per Chrome che per Firefox.

Https Everywhere

icona di https everywhere

Https Everywhere, disponibile come estensione per Firefox e nel Chrome Web Store, per i siti che lo consentono, passa automaticamente dal protocollo non sicuro http a quello sicuro https. Così viene cifrata ogni comunicazione tra te ed il sito, impedendo che le informazioni siano trasmesse "in chiaro". Questo consente di proteggersi da diverse forme di sorveglianza indesiderata delle attività, da sottrazioni dati e alcune forme di censura.

NoScript

icona di NoScript

NoScript, anch'esso disponibile per Chrome e Firefox, consente di disattivare l'esecuzione di programmi potenzialmente pericolosi o lesivi della privacy che sfruttano i linguaggi Javascript, Java e l'ormai tramontato Flash Player. La disattivazione completa, che trovi spesso tra le impostazioni dei singoli browser, può impedire di fruire al meglio di tanti servizi web.

Con NoScript puoi creare apposite regole per autorizzare a vari livelli i siti web che ritieni più raccomandabili come quello della banca ad esempio. Per imparare ad usare NoScript in modo efficiente dovrai studiarci un po'. Visto che solo singole funzioni dei linguaggi citati sono autorizzate, ciò consente di proteggersi anche da nuovi e futuri stratagemmi che malintenzionati cerchino di sfruttare.

Firefox Multi-account containers

icona di Firefox multi account cointainers

Firefox Multi-account containers impedisce anzitutto che un sito aperto in una scheda possa accedere anche ai cookie e alle attività che stai compiendo in altre schede. Che è purtroppo la regola. Per esempio, tieni aperto facebook in una scheda, e il signor Z otterrà informazioni anche su ciò che stai facendo nelle altre.

Questa estensione consente anche di tenere aperto un servizio come un social o gmail, con account differenti contemporaneamente senza alcuna interferenza tra di essi. Alla chiusura del browser i cookie sono eliminati automaticamente. Purtroppo non mi risultano estensioni nel Chrome Web Store con le medesime possibilità o che funzionino altrettanto bene.

Navigazione riservata con TOR browser

Il dark web o darknet, la terra dei domini .onion e luogo di attività illegali di ogni genere. Ma non c'è solo questo per fortuna. Ed il meccanismo su cui si basa la navigazione TOR è assai valido per incrementare privacy e anonimato nelle tue attività online.

Normalmente la richiesta di visitare una pagina web, viene passata dal tuo provider internet al gestore del sito. Ottenuta la risorsa che stai chiedendo, essa compie il cammino inverso per tornare alla tua postazione. Se il sito web adotta un certificato SSL, il browser mostra un lucchetto chiuso accanto all'indirizzo. Ciò indica che le comunicazioni sono scambiate attraverso il protocollo sicuro HTTPS. E anche se intercettate nel tragitto, la cifratura garantisce che siano incomprensibili allo spione di turno.

Attraverso la rete TOR, invece, la richiesta di una risorsa web viene passata, sempre in forma cifrata e sicura, ad un server tra le migliaia gestiti gratuitamente da volontari in tutto il mondo. Dal primo viene passata ad un secondo, poi ad un terzo. Ogni nodo della rete TOR può trovarsi in un luogo differente del pianeta. Ed ogni passaggio avviene con una differente connessione sicura.

Identificarti diviene quasi impossibile per il gestore del sito che stai visitando. Il tuo provider Internet o l'amministratore del tuo WiFi o router possono sapere che stai usando TOR, ma non sapranno cosa stai facendo.

Il bello della navigazione con TOR browser, che si basa su di una versione modificata di Firefox, è che Https Everywhere, NoScript e uBlock Origin, appena citati, sono già installati e configurati.

Il modo più semplice per sfruttare la rete TOR è quello di scaricare TOR browser per Linux dal sito web del progetto e seguire le semplici istruzioni di installazione di TOR in italiano.

Ciò perché browser differenti da quello ufficiale, tra cui ad esempio Brave, che integrano nativamente TOR, non garantiscono i medesimi livelli di anonimato.

Ricorrere al file ufficiale è anche il modo più semplice per tenere TOR sempre prontamente aggiornato. Il pacchetto tor-browser-launcher, che puoi trovare nel centro software della tua distribuzione, anche se in formato flatpak e più aggiornato di quello nei repository ufficiali, potrebbe non garantire la stessa rapidità di aggiornamento. Che è fondamentale.

logo di TOR

Circa il ricorso ad un servizio di VPN, associato alla navigazione TOR, le pagine di supporto di TOR riportano una serie dettagliata di vantaggi e svantaggi. Per valutarli è indispensabile comprendere a pieno le indicazioni ed essere impeccabili nella eventuale messa a punto. Il minimo difetto di configurazione può peggiorare le cose invece che migliorarle.

Crea un account di email crittografata

Sempre a proposito di sicurezza e privacy, benché non riguardino specificamente Linux, vorrei citare, i servizi open-source e gratuiti di ProtonMail e TutaNota.

ProtonMail

ProtonMail si propone come alternativa sicura a servizi di posta elettronica comuni perché i tuoi messaggi, contrariamente a quanto avviene di regola, sono inviati in forma crittografata. Riporto la descrizione sintetica del servizio come riportata, in italiano, nel sito web:

"I messaggi sono archiviati in un formato criptato nei server ProtonMail. Inoltre, vengono anche tenuti criptati durante la trasmissione tra i nostri server e i dispositivi dell'utente. Anche i messaggi tra utenti ProtonMail sono trasmessi criptati dall'interno della nostra rete. Poiché i dati vengono mantenuti cifrati in ogni passaggio, il rischio che vengano intercettati è pressoché eliminato".

homepage di ProtonMail

Se non ti ispirano sufficiente fiducia un'azienda svizzera e le rigide disposizioni sulla privacy del Paese, ProtonMail garantisce che le chiavi crittografiche con cui i tuoi messaggi sono spediti ai loro server, vengono create nel tuo dispositivo. I messaggi risultano quindi indecifrabili anche ai responsabili del servizio.

ProtonMail integra un calendario e uno spazio cloud per i documenti che sono anch'essi sincronizzati con i loro server tramite connessioni cifrate.

Ma la caratteristica che rende unico il servizio è la disponibilità di un sistema di accesso al servizio anche nello spazio dei domini .onion della rete TOR. Ciò significa che se attivi e gestisci il tuo account con il solo ricorso a questo gateway, le tue comunicazioni mail, oltreché cifrate, ti consentono di restare completamente anonimo.

ProtonMail è fruibile via web ma sono disponibili anche app per Android e iOS. Offre anche un servizio gratuito le cui caratteristiche sono piuttosto limitate. Il servizio chiamato PLUS ha un costo di circa € 4.00 mensili alla data di pubblicazione del tutorial. Prevedere più spazio, personalizzazioni e l'invio ad utenti esterni al servizio, e contribuisce ad un supporto importante per il continuo miglioramento dei servizi offerti.

TutaNota

Tuta nota è un latinismo che significa messaggio sicuro. Non ha quindi niente a che vedere con abbigliamento sportivo di marca! 😀

I principi cardine del servizio offerto da Tutanota sono i medesimi di ProtonMail. Le comunicazioni email sono crittografate, ma lo sono anche calendario, contatti e file sincronizzati con i server in Germania. Per attivare un account gratuito di Tutanota, non sono neppure richiesti dati personali.

Homepage di Tutanota per email crittografate

Puoi usare il tuo account Tutanota via web ma oltre alle app per Android e iOS, sono disponibili anche versioni desktop per Windows e MacOS. Sempre gratuite.

A differenza di ProtonMail, le formule a pagamento per i servizi aggiuntivi sono più articolate. Prevedono differenti tipi di account dal costo rispettivamente di € 1,00 e € 4,00 mensili se versati annualmente e qualche spicciolo in più per i pagamenti mensili.

L'offerta di servizi è molto variegata e può essere personalizzata in base a esigenze di spazio (fino a 1 TB!), di indirizzi alias, di altri servizi come quelli di condivisione sicura di dati ed eventi di calendario. È anche previsto un servizio che consente di integrare nel tuo sito web un modulo di contatto che si collega direttamente ai server Tutanote e tramite cui i tuoi utenti possono inviarti mail crittografate.

Elimina dati temporanei e file aperti di recente con Stacer

Ho già detto che la privacy è aspetto fortemente legato a quello della sicurezza. Se nel tuo computer Linux la cartella home non è cifrata in fase di installazione, oppure se altri hanno accesso alla tua postazione, è buona regola eliminare tracce di attività recenti come i file che hai aperto ultimamente. Linux Mint ed altre distribuzioni GNU/Linux consentono con un solo clic, di non tenere traccia dei file e cartelle che apri e non è poco.

Ma anche dati temporanei, anteprime di file aperti, registri di installazione, nelle mani giuste, possono fornire molte indicazioni sulle tue attività.

Io non consiglio solitamente applicazioni per la pulizia e ottimizzazione. Utenti abituati a Windows sono spesso fissati di questi programmi e non si rilassano neppure con Linux che non ne ha affatto bisogno. Ad esempio non consiglio BleachBit perché l'istinto di modificare le impostazioni iniziali è forte. E le conseguenze possibili sono anche disastri nella configurazione o una quantità di file spazzatura che si accumula in misura superiore.

Per Stacer però faccio un'eccezione. Le funzioni legate alla pulizia non sono nulla che chi abbia un po' di confidenza con la shell Linux, non riesca a fare anche da riga di comando. Però, anzitutto le impostazioni di pulizia di Stacer sono limitate e non aggressive, divise in chiare opzioni selezionabili singolarmente. E con una ricerca web troverai tantissimi tutorial e video.

pulizie in Linux con Stacer

Il progetto è fermo dal 2019, ma Stacer si dimostra ancora validissimo per monitorare processi, servizi, risorse impegnate.

Se non sai esattamente cosa combini modificando impostazioni di servizi, di applicazioni con avvio automatico, disattivando repository, ti sconsiglio fortissimamente di toccare altro. Se lo fai, ricorda la regola di avere al sicuro i tuoi dati personali importanti. Perché puoi facilmente compromettere la tua installazione di Linux ed essere costretto a formattare e reinstallare.

Quasi certamente potrai trovare e installare Stacer con un clic dal centro software della tua distro.

Distribuzioni GNU/Linux orientate alla privacy e alla sicurezza

Vorrei chiudere questa lunga panoramica di soluzioni, alla portata di tutti, per incrementare sicurezza e privacy nella propria postazione Linux, citando due distribuzioni che di tali esigenze fanno il loro cavallo di battaglia.

Tails

Tails è un sistema operativo basato sulla versione stabile di Debian. Viene rilasciato con l'ambiente grafico GNOME. Il protocollo TOR per la navigazione è integrato nativamente. Tails non si installa ma si esegue esclusivamente in sessioni Live. Sicurezza e privacy delle attività internet sono infatti gli scopi primari.

Homepage di Tails OS Linux

A ben vedere, molte delle caratteristiche che il sito ufficiale di Tails mette maggiormente in evidenza, sono quelle di una comune distribuzione GNU/Linux eseguita in sessioni c.d. Live. Non importa quale sistema operativo sia eventualmente già installato nel disco fisso, l'avvio di TailsOS da DVD o supporto USB, non lo tocca perché Linux viene caricato nella memoria RAM ed ogni traccia di attività svanisce al termine della sessione con lo spegnimento del computer.

DI certo è una nota interessante che la navigazione TOR ed altri strumenti utili a fini di privacy siano previsti nel file originale che puoi scaricare dal sito ufficiale.

In teoria il sistema diviene meno sicuro, ma la chiavetta USB consente di effettuare aggiornamenti o installare nuovi programmi grazie ad una partizione c.d. persistente. Una pagina di supporto, in italiano consente di verificare programmi e funzionalità inclusi in Tails.

Qubes OS

Quanto a Qubes OS, nella homepage campeggia a grandi lettere anche l'apprezzamento da parte di Edward Snowden.

Qubes OS ha requisiti hardware molto molto specifici per poterlo installare. Si basa sulla virtualizzazione hardware oltreché software.
Per isolare dall'amministrazione del sistema e dalle altre applicazioni di uso comune, ogni attività che si compia.

Sono previsti compartimenti stagni definiti qubes, che puoi creare, partendo anche da modelli preimpostati, per semplificare e rendere più rapido l'uso del sistema. Puoi creare quanti cubi desideri: uno per il lavoro, uno per attività personali, uno per la gestione dei conti bancari e via dicendo.

logo di Qubes OS

Semplificando molto, grazie alla virtualizzazione, ciascun cubo è come un computer differente con un sistema operativo a sé, eseguito in una specifica finestra. A seconda delle esigenze, i modelli di cubi preimpostati, sono basati su sistemi operativi differenti tra cui Fedora, Debian e Windows. È come avere molteplici sistemi operativi avviati contemporaneamente, ciascuno modificato e configurato per svolgere solo specifiche operazioni con il massimo della sicurezza possibile. E totalmente separato dagli altri.

Anche se uno dei cubi viene compromesso, nessuno degli altri cubi, anche se basati sullo stesso modello, può venire scalfito. Supponendo che tu includa in più cubi il browser, se uno dei cubi in cui si trova viene violato, il medesimo browser, in esecuzione in altri cubi sarà toccato. Se la scheda di rete o un componente hardware, malgrado la navigazione TOR inclusa nel sistema operativo che esegue il browser, viene compromessa, gli effetti non si propagheranno ad altri cubi che la usano. E una volta che arresti QubesOS, i rischi di eventuali compromissioni a livello hardware sono assai remoti.

Come ogni sistema operativo su base Linux, QubesOS può essere scaricato in un file .ISO da quasi 6 GB dal sito ufficiale o dal circuito torrent. Se il tuo hardware è compatibile e vuoi provarlo non vorrai certo evitare di verificare la firma e l'identità del file scaricato.

Conclusioni

Il tempo trascorso dal concepimento alla pubblicazione di questo tutorial non è inferiore a quello che ci vuole per una gestazione. Ma finalmente ho messo ordine a tante informazioni in tema di sicurezza e privacy su Linux. Credo siano alla portata di principianti di Linux cui sempre mi rivolgo.

Su certi esperti che mi lasciano commenti, sperabilmente anche questi alla portata del principiante, ormai ci conto. Perché mi suggeriscono come correggere informazioni incomplete o inesatte. Aiutando me, prima di tutti gli altri, a migliorare la conoscenza di questo fantastico mondo del software libero!

Diffondi la conoscenza!

14 commenti su “Sicurezza e privacy di una postazione Linux”

  1. Aspettavo un articolo del genere da tanto tempo e finalmente è arrivato. Grazie Dario per la tua condivisione e soprattutto per i riferimenti (anche di personaggi) citati.

    Rispondi
    • Ciao Giuseppe, grazie a te! Certi miei riferimenti sono cauti, perché se ci metti che indagando su di me, si scopre che non uso social né app che molti considerano standard da tanti anni, questo fa di me un soggetto potenzialmente pericolosissimo! E allora a voglia firewall o browser sicuri!

      Rispondi
  2. Grazie per questo articolo veramente interessante e denso di informazioni utili e comprensibili a chi fa di Linux un uso casalingo.
    Apprezzo veramente tanto la tua capacità di “snocciolare” concetti ad uso di tecnici o comunque di esperti di settore.
    Fai inoltre delle bellissime panoramiche a 360 gradi su tutti gli argomenti inserendo notizie e aspetti che riguardano i vari settori della sicurezza.
    Per quello che riguarda Startpage volevo chiederti una cosa, sulla sua home in alto, c’è scritto che esiste una estensione per Firefox, ce la suggerisci?

    Rispondi
    • Ciao Damiano, ti ringrazio tanto per i tuoi apprezzamenti! Startpage prevede molteplici estensioni per Firefox. Mentre merita certamente l’aggiunta del motore di ricerca tra quelli preimpostati, non sono sicuro che il blocco di pubblicità funzioni altrettanto bene quanto con le altre estensioni che cito. Io uso adblock e non mi verrebbe in mente di installare più estensioni per lo stesso scopo.

      Rispondi
  3. Grazie per questo articolo molto interessante, e per come esponi i vari argomenti.
    Purtroppo le minacce alla sicurezza e riservatezza delle persone é costantemente minacciata proprio dai governi e non solo dalle “grandi case”.
    Proprio qualche giorno fa mi è capitato di vedere su YouTube un video, mi pare di un Americano, che spiegava che ormai lo spionaggio degli utenti avviene a livello anche ardware, cioè sia intel che amd,nei loro processori moderni hanno una specie di piccolo programma che informa la casa madre dei programmi che stai usando.
    Ufficialmente , dicono loro, per sapere, in modo anonimo i programmi più usati, e come migliorare le prestazioni dei processori, proprio su tali programmi.
    Bello se fosse vero, ma mi sembra solo una scusa, mediamente si sa già cosa una persona usa, in base al processore… se uno poniamo ha un I3 difficilmente ci farà montaggio video, se uno ha un I7 o meglio un I9, magari con il massimo della RAM installabile installata, non lo userà per lavori di ufficio ma per gaming, striming il tutto in 4K o anche 8K
    Ma si sa “viviamo in paesi democratici ”
    Ciao e continua con i tuoi articoli, sempre interessanti

    Rispondi
    • Ciao e grazie tante per gli apprezzamenti graditi. Purtroppo è come dici sullo scenario della privacy e sono anni che si sa che le CPU integrino tecnologia per identificarli in modo univoco ma ignoro se le informazioni accessibili ai produttori siano quelle che dici ma ci sta. SE per caso hai letto il numero 100 di wired si parla anche del fatto che la cifratura end-to-end di molte piattaforme stia complicando il “controllo” e governi e agenzie richiederebbero una porta di accesso. L’articolo dice che la tecnologia non fa distinzione tra buoni e cattivi: se esiste una backdoor, può essere usata comunque. Il solito discorso che mette su due piatti della bilancia, esigenze di sicurezza e limitazioni di libertà individuali. Ma come dici te viviamo in paesi democratici e siamo arrivati all’assurdo per cui ho sentito per radio un avviso che mette in guardia dall’uso distorto di occhiali smart in grado di scattare foto e video. E la comunicazione proviene da Meta! Se il signor Z ci dice che ha a cuore la nostra privacy siamo spacciati!
      Ciao

      Rispondi
  4. Ciao Dario

    Ottimo articolo.

    Per quanto riguarda l’Antivirus, AVTEST aveva eseguito un test nel 2015, link:

    https://www.av-test.org/en/news/linux-16-security-packages-against-windows-and-linux-malware-put-to-the-test/

    Ad oggi, molti di questi Antivirus, sono stati integrati nelle versioni Endepoint.

    In questo momento io uso ( Dr.Web Security Space (per Linux) link:

    https://products.drweb-av.it/linux/

    Per il Motore di Ricerca uso ( Swisscows ) link:

    https://swisscows.com/

    Per estensioni e plugin, uso queste, link:

    https://imgur.com/paO66Qo

    In oltre per Firefox uso l’Area Virtuale ( Firejail ) nella versione da Terminale, link:

    https://sourceforge.net/projects/firejail/

    Per la Posta, uso ( Gmail per Pubblicità / ecc… ) per le cose importanti ( ProtonMail ).

    Per la pulizia:

    4 comandi da Terminale e 2 di verifica

    Gestore pacchetti / Impostazioni / Preferenze / File

    Sweeper

    Stacer

    Ciao.

    Rispondi
  5. Ciao Dario, ho fatto una scansione con Clamtk e ho avuto un avviso per un virus trovato.
    Si trova in var/lib/flatpak/repo/objects/59/9c3edf9b0fc279a18e292694b920e0a8ebc600669ef5fb699024fc5fdeff78.file
    mi dice che si tratta di unix.dropper.python-9950644-0

    Essendo un file all’interno del file system non so bene cosa fare, non so se creo instabilità a cancellarlo o a metterlo in quarantena.
    Ho provato a fare una ricerca veloce ma non ha dato risultati.
    Puoi aiutarmi?

    Massimo

    Rispondi
    • Ciao Massimo, conosco genericamente il significato di dropper ma non ho quel file nel mio sistema in quel percorso e anche io non trovo informazioni.
      Ignorando se si tratti effettivamente di una minaccia, terrei a mente se hai programmi installati come flatpak.
      E comunque, per tranquillità comprimerei quel file e lo metterei da parte per poi eliminare l’originale fino all’insorgere di eventuali problemi.
      Un sudo flatpak repair fa pulizia nei repository e, a seconda dei flatpak che hai installati, potrebbe rimuovere l’inutile e magari anche quel file

      Rispondi
      • Fatto il sudo flatpak repair ma il file è rimasto li.
        Dunque, ho fatto fare a Clamtk un ulteriore analisi di quel file e praticamente di tutte le marche di antivirus esistenti solo Clamtk e Cyren lo riconoscono come virus.
        Cyren lo vede come E64/Agent.A
        Ma tutte le altre marche di antivirus non risulta la positività.
        Questi comunque sono i risultati che mi da Clamtk.
        A questo punto mi viene il dubbio possa trattarsi di un falso positivo…
        Non trovo neanche informazioni su questo E64/Agent.A…
        Sarei tentato di lasciarlo li…

        Rispondi
        • Non sono adatto a darti un consiglio ma ho approfondito un po’ e vedo che Clam non è nuovo ad identificare negli oggetti dei repo Flatpak, file che poi sono riconosciuti come falsi positivi. Se qualche malware entrasse nei repository di flathub cui Mint si collega per i flatpak, credo che verrebbe identificato e una soluzione rapidamente trovata.
          Per come sono fatto io e per la rapidità con cui riconfiguro una installazione, non rimanderei una reinstallazione del sistema..

          Rispondi
          • Potrei anche reinstallare, sarebbe la cosa più sicura da fare, però è fastidioso in questo momento perché sono impegnato e sinceramente non ho tempo da dedicargli.
            Stavo pensando anche che reinstallando gli stessi programmi che uso abitualmente rischio di ritrovarmi con lo stesso identico problema anche dopo.
            Farò due tentativi, proverò a far analizzare il file da un analizzatore online, di quelli che fanno l’analisi di singoli files, non so se puoi suggerirmene qualcuno, e poi farò come mi avevi proposto tu inizialmente cioè di provare ad isolare il file comprimendolo e vedere se tutto funziona come dovrebbe.
            Che ne pensi?
            Grazie comunque per i tuoi suggerimenti Dario sei sempre molto disponibile.

          • Non so quali programmi in flatpak tu abbia installati o se ne avevi e hai disinstallato qualcosa.
            La tua idea è buona ma non conosco i vari servizi di verifica online.
            Tenere copia del file e toglierlo al massimo rischia che ti venga ricreato.

Lascia un commento