Безопасно ли использовать Ubuntu Live CD для онлайн-транзакций?

Question

Я подумал, что было бы неплохо использовать Live CD Ubuntu для выполнения всех моих финансовых транзакций в Интернете. Я полагаю, это самый безопасный способ, поскольку ни один вирус / троян не может заразить Live CD?

Только один вопрос, насколько безопасно использовать Linux в целом для такого рода использования? (Я имею в виду, что Linux и все приложения с открытым исходным кодом написаны практически кем угодно, так как я могу быть уверен, что даже на Ubuntu Live CD не установлен какой-либо кейлоггер и т.д.? В конце концов, с таким количеством строк кода, я уверен, что кто-то мог пробраться в нечто подобное?)

Я не знаю, являюсь ли я параноиком, но было бы полезно, если у кого-то есть ответы или ссылки, говорящие об этом конкретном аспекте? Кроме того, есть ли какое-то чудное слово для такого "проникновения вредоносного ПО" (кроме "трояна", конечно :)

Answer 1

Я имею в виду, что Linux и все приложения с открытым исходным кодом и написаны практически кем угодно

Программы OSS могут быть написаны кем угодно и кем угодно, но это не значит, что я создаю приложение без имени, и оно будет включено в LiveCD. Существуют правила, стандарты и процедуры, которые необходимо соблюдать, если мне нужно, чтобы приложение было добавлено в LiveCD, и что-то не будет отображаться "просто так". Получение кейлоггера для запуска с LiveCD будет означать, что нужно будет вмешиваться в сценарии выскочки, и я могу сказать, что никто не пропустит это.

Answer 2

Да, это максимально безопасно.

С меньшим проектом с открытым исходным кодом, написанным почти исключительно 1-2 людьми, есть некоторый риск, что они могут что-то скрыть. Но с большим, хорошо известным и хорошо протестированным программным обеспечением, таким как ядро Linux, Firefox, и большинством пакетов, которые являются частью большого дистрибутива по умолчанию, вы можете быть достаточно уверены, что множество независимых глаз увидели каждую строку кода. Вы, вероятно, больше подвержены риску того, что сотрудник Microsoft проникнет в кейлоггер в Windows незадолго до истечения срока.

Второй момент: Linux не является более безопасным только потому, что написано меньше вредоносных программ для Linux. Он был разработан с лучшей моделью безопасности. В Windows почти все работали с правами администратора до Win XP, и из-за аварии с юзабилити UAC в Vista большинство людей продолжают это сегодня даже 7. Смысл работы в качестве администратора не в том, чтобы спасти вас от себя - если это ваш собственный компьютер, он попросит вас ввести пароль администратора для удаления System32, и вы предоставите его, - но программные процессы запускались, пока вы если вы работаете как пользователь без прав администратора, у вас нет прав администратора, поэтому им запрещено пользоваться всеми правами пользователя без прав администратора. Кроме того, есть дополнительные механизмы безопасности, встроенные в операционные системы, но многие из них были встроены в Windows позже, чем их аналоги из Linux, и недавние исследования показывают, что стороннее программное обеспечение не использует их. Ссылка на сайт

И кроме того, вы не первый, кто подумал об этом. Большой компьютерный журнал в Германии, на самом деле, регулярно выпускает "банковский CD" со своим журналом. Это, как вы описали, LiveCD, основанный на Ubuntu, с некоторой маркировкой. Я не знаю, предоставляют ли они специальные инструменты для этого, но если вы считаете, что он более безопасен, чем "обычный" Ubuntu LiveCD, вы можете заказать прошлую проблему с этим CD на heise.de. Лично я бы не стал беспокоиться и просто взять LiveCD какого-нибудь большого дистрибутива.

Answer 3

Вы можете быть уверены, что в Linux нет кейлоггеров или других вредоносных программ, ПОТОМУ ЧТО это открытый код. Вы можете просмотреть каждый исходный файл и проверить его самостоятельно - я прочитал довольно много исходного текста. Canonical (Ubuntu) не просто вводит случайный сценарий, не глядя на него. Я работаю над проектом с открытым исходным кодом, и если что-то будет вставлено, мы узнаем. Новые вещи почти всегда ломают старые. Мы смотрим на то, что происходит, когда загружается ОС, и мы знаем, какие процессы должны быть запущены.

С другой стороны, закрытый источник может иметь миллион "функций", о которых вы никогда не узнаете.

Запуск с загрузочного компакт-диска Linux будет означать, что ни одно из вредоносных программ, которые вы можете иметь на вашем компьютере, не запустится, и ничего, что вы введете в свой браузер, не будет храниться где-либо на вашем компьютере, как только ваш оперативный диск будет очищен. Значит ли это, что вы в полной безопасности? Нет. Возможно, кто-то собирает пакеты между вами и банком и знает, как обойти шифрование https. Может быть, кто-то в банке делает что-то для этого.

Answer 4

Во-первых, нет ничего плохого в том, чтобы быть немного параноиком :)

Во-вторых, я думаю, что использование Linux Live CD - отличная идея.

Заражения от клавиатурных шпионов и тому подобное очень реальная угроза, и загрузка с Live CD дает вам хороший чистый лист каждый раз. Подавляющее большинство всех вирусов и вредоносных программ нацелено на системы Windows, поэтому с Linux вам больше не придется беспокоиться об этом.

Как вы упомянули, в разработке с открытым исходным кодом участвует много людей, которые вместе делают проекты типа Ubuntu возможными, но это также означает, что существует много экспертных проверок и проверок.

Если бы кто-то действительно попытался внедрить что-то вредоносное в программу, которая включена в Live CD, наверняка это было бы замечено многими другими людьми, вовлеченными в эти проекты.

В конце концов, 700 МБ не так много места для работы, и только лучшие и наиболее важные приложения одобрены для поставки с Live CD.

Для дальнейшего чтения эксперт по безопасности Брайан Кребс в прошлом году написал статью о банковском деле с помощью компакт-диска Ubuntu Live для Washington Post: ссылка.

Answer 5

Обязательно проверьте наличие ошибок в программном обеспечении. На живых компакт-дисках установлены более старые версии программного обеспечения, и они могут представлять угрозу безопасности.