Consenso all'uso dei cookies

SITO1 -- SITO2 -- Forum1 -- CercaGlobale -- Informativa su Cookie e Privacy


Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
TOR - Accorgimenti e Strumenti di verifica per l'autentificazione del software
#1
Salve a tutti gente..

TOR si è rivelato un ottimo strumento per salvaguardare la nostra sicurezza e privacy in rete MA limitarsi a scaricare Tor (Vidalia) o Tor Browser Bundle non basta se poi non verifichiamo l'autenticità del software scaricato. Esistono infatti diversi sistemi che permetterebbero a un attaccante di manipolare il software affinchè possa scoprire la nostra identità.

1) A tal proposito è sempre importante verificare che il software scaricato provenga effettivamente dal sito ufficiale di Tor. Ecco perchè è importante scaricare il software prestando attenzione che l'URL del sito sia di tipo: "https" (Secure) non http. lìURL ovvero il link originale dove prelevare il software è: https://www.torproject.org
Scaricando da un protocollo https essendo un protocollo criptato ci da un margine di sicurezza in più che il nostro browser ha effettivamente visitato e scaricato tor dal sito ufficiale anzichè da un fake web site (sito fasullo).

2) Utilizzare un protocollo criptato e quindi un buon sistema ma talvolta non basta. Difatti è possibile (anche se molto più difficile) che malgrado visualiziamo il nostro Url che inizia con https questo venga rediretto (redirect) ovvero dirottato su un fake web site cioè su un sito fasullo oppure con dei sistemi piu' sofisticati un attaccante potrebbe creare una pagina https falsa SSLStrip e MITM. Con questi sistemi è possibile far credere al nostro browser che il certificato SSL sia genuino quando invece si tratta di un fake. Per saperne di più potete consultare questa pagina https://www.bestvpn.com/blog/15566/googl...tificates/ (pagina in inglese) o semplicemente digitare nel vostro motore di ricerca: "Fake SSL certificates".

3) Checksums
Ecco perchè dopo aver scaricato il software Tot occorre fare una verifica sulla sua autenticità proprio per evitare che attraverso un attacco di tipo: Man In The Middle vi ritrovaste un software alterato e manipolato quindi non autentico. Un tipo di checksums o verifica dell'integrità del software si chiama: "Sha" https://en.wikipedia.org/wiki/Cryptograp...h_function (inglese) che ci permette di stabilire se il software è autentico o è stato alterato. MA il problema si potrebbe complicare nel caso in cui avendo l'illusione di aver scaricato da un sito https con certificato SSL che il nostro browser ritiene autentico è invece un fake. Perchè in tal caso anche scaricando da quel sito essendo un fake scaricheremmo ANCHE un checksums sha fatto a posta per il software modificato dall'attaccante.

Ecco perchè divenda di fondamentale importanza l'utilizzo di altri tipi di verifiche. In questa pagina https://www.torproject.org/download/download.html.en (inglese) noterete che insieme ad ogni versione di Tor è presente anche la chiave di verifica "PGP Signature" che solitamente appare cosi'

-----BEGIN PGP SIGNATURE-----
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=GNIC
-----END PGP SIGNATURE----

Questo sistema di verifica ci consentirà di sapere esattamente quello che abbiamo scaricato.

Insieme al pacchetto da scaricare avremo anche lo stesso nome del pacchetto seguito dall'estenzione "asc" tale estenzione sta a indicare che si tratta di una firma GPG. Quindi ad esempio avremo:

torbrowser-install-5.0.7_en-US.exe (software ToR)
e anche
torbrowser-install-5.0.7_en-US.exe.asc. (Chiave di verifica GPG)

Per ulteriori info sulla chiave GPG guardare il link seguente https://www.torproject.org/docs/signing-keys.html.en (inglese)

Purtroppo come avrete notato molti links sono in lingua inglese quindi per chi non conosce la lingua diventa un po piu' problematico.
Per fortuna ho trovato un sito di Tor creato come un mirrow TUTTO IN ITALIANO! utile per tutti coloro che non hanno familiarità con la lingua inglese il sito in italiano lo potete trovare qui' http://frgd.szb66.net/tor/verifying-signatures.html.it

Quindi:
di seguito elenchero' le verifiche da fare dopo aver scaricato Tor dal sito
https://www.torproject.org

Come verificare le firme dei pacchetti

Primo: Importa le chiavi
Secondo: verifica i fingerprint
Terzo: verifica i pacchetti scaricati
"Affermare che non si è interessati al diritto alla privacy perché non si ha nulla da nascondere è come dire che non si è interessati alla libertà di parola perché non si ha nulla da dire!" Edward Snowden  Tongue
Cita messaggio
Grazie da:


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)