Il problema: il tuo computer è un condominio senza porte
Normalmente, quando usi un computer, tutti i programmi vivono nello stesso spazio. Il browser, la posta, i documenti — tutti nella stessa stanza. Se un programma viene infettato da un virus, può curiosare nella tua email, rubare i tuoi file, spiare quello che digiti. È come vivere in un monolocale con uno sconosciuto che potrebbe essere un ladro: non hai porte da chiudere.
L'idea geniale di Qubes OS: metti ogni cosa in una stanza separata
Qubes OS ha avuto un'idea brillante. Invece di far girare tutto nello stesso ambiente, crea tanti "computer virtuali" separati — uno per navigare, uno per la posta, uno per i documenti. Se il browser prende un virus, il virus resta chiuso lì dentro. Non può raggiungere la posta né i documenti. È come avere un appartamento con porte blindate tra una stanza e l'altra.
Il problema? Per creare questi computer virtuali, Qubes OS usa la virtualizzazione: fa finta di avere tanti computer dentro al tuo computer vero. Questo richiede molta RAM (almeno 8 GB), molto spazio su disco (30+ GB), e un'installazione che può durare ore. È come costruire un condominio in cemento armato quando ti bastavano tre pareti in cartongesso. La complessità stessa diventa un rischio: più codice c'è, più bug ci sono, più falle di sicurezza si nascondono.
La scommessa di dropQbsd: stessa sicurezza, zero zavorra
dropQbsd prende la stessa idea di Qubes OS — isolare le funzioni in compartimenti separati — ma la realizza senza virtualizzazione. Invece di creare computer virtuali, usa una funzionalità che esiste in Unix da quarant'anni: gli utenti separati.
Su OpenBSD (il sistema operativo più sicuro e controllato al mondo, zero telemetria, due falle remote in venticinque anni), dropQbsd crea quattro utenti:
userweb— solo per navigare su internet. Non può toccare la tua posta né i tuoi documenti. Non può nemmeno vedere la rete locale.usermail— solo per la posta elettronica. Non può navigare sul web né accedere ai tuoi file.userdoc— solo per documenti e sincronizzazione. Non può andare su internet.user— il direttore d'orchestra. Non fa niente direttamente: non naviga, non scrive mail, non archivia file. Si limita a lanciare le applicazioni nei domini giusti. Non ha privilegi di amministratore.
Questi quattro utenti condividono una sola cartella — la drop zone — per scambiarsi file in modo controllato. Ogni 60 secondi uno script controlla che tutto sia in ordine. Se qualcosa non va, il file incriminato finisce in quarantena con un verbale.
Il browser che si autodistrugge
La parte più esposta di qualsiasi computer è il browser. È la porta d'ingresso principale per virus, tracker e malware. dropQbsd lo tratta come un ambiente usa e getta: ogni volta che apri il browser, viene creato in RAM. Quando lo chiudi, tutto scompare. Cookie, cronologia, credenziali, eventuali malware — polverizzati. La sessione successiva riparte da zero.
I bookmark e le password non li salvi nel browser — li tieni in un gestore di password come KeePassXC. Così il browser è una stanza vuota che distruggi ogni volta che esci.
Da cosa ti protegge
- Un virus nel browser non può leggere la tua posta. I domini sono isolati.
- Un virus nella posta non può raggiungere la rete locale. Il firewall lo blocca.
- Un browser compromesso viene distrutto alla chiusura. La prossima volta è pulito.
- Nessun file passa tra i domini senza controllo. La drop zone è sorvegliata ogni 60 secondi.
- L'account principale non può diventare amministratore. Non ha il permesso
doas. L'unica via per i privilegi di root è un binario di 10 righe che può solo lanciare applicazioni nei domini — nient'altro.
Da cosa NON ti protegge
- Un utente malintenzionato che usa la tua stessa tastiera può intercettare ciò che digiti negli altri domini. È un limite del sistema grafico X11, non di dropQbsd. Se il tuo nemico è seduto fisicamente al tuo computer o ha già compromesso un dominio con accesso allo schermo, può spiare la digitazione. Per questa minaccia specifica, Qubes OS resta superiore.
- Se l'account
user(il direttore d'orchestra) viene compromesso, tutto è perduto. È il punto debole:userha le chiavi per lanciare app in tutti i domini. Per questo motivousernon deve mai navigare, aprire allegati sospetti o eseguire programmi di cui non si fida. La sua home va tenuta vuota e pulita. - Un attacco che sfrutta una falla nel kernel di OpenBSD colpisce tutti i domini. Condividono lo stesso kernel. È il prezzo da pagare per evitare la virtualizzazione.
Il confronto
| dropQbsd | Qubes OS | |
|---|---|---|
| Come isola | Utenti Unix separati | Computer virtuali (Xen) |
| RAM minima | 512 MB | 8 GB |
| Spazio su disco | ~2 GB | 30+ GB |
| Tempo di installazione | 10 minuti | 1–2 ore |
| Si può ricostruire da zero in | 30 minuti | Ore/giorni |
| Codice da verificare | ~500 righe di script + 10 righe di C | Milioni di righe |
| Protegge da | Virus, attacchi di rete, fughe di dati | Virus, attacchi di rete, fughe di dati, attacchi al kernel, intercettazione tastiera |
Scegli dropQbsd se vuoi compartimentazione senza la pesantezza della virtualizzazione. Scegli Qubes OS se il tuo avversario ha la capacità di sfruttare falle nel kernel o di intercettare ciò che digiti a livello di sistema grafico.
Perché OpenBSD e non Linux
Le distribuzioni Linux sono piene di codice che nessuno ha controllato riga per riga. Systemd, pulseaudio, dbus — milioni di righe. Molte distribuzioni oggi includono telemetria, crash reporter, contatti automatici a server esterni.
OpenBSD no. È l'unico sistema operativo al mondo sottoposto a revisione continua del codice, finanziata e metodica, riga per riga. Zero telemetria. Abbastanza piccolo da essere capito da una persona sola. Non è marketing — è un processo ingegneristico che ha prodotto esattamente due falle remote nell'installazione predefinita in oltre venticinque anni.
La sicurezza è semplicità. La privacy è verificabilità. OpenBSD è l'unico sistema operativo che offre entrambe come disciplina ingegneristica, non come slogan pubblicitario.
Quanto costa?
Niente. OpenBSD è gratuito. dropQbsd è gratuito e open source (licenza ISC). Gira su computer che hai già, anche vecchi di dieci anni. Non servono licenze, non serve antivirus, non serve cambiare hardware ogni cinque anni.
Ti serve?
- Se sei un professionista che tratta dati sensibili (avvocati, commercialisti, giornalisti, medici) e vuoi dormire tranquillo.
- Se sei un'azienda che deve rispettare il GDPR e vuole che la conformità sia tecnica, non solo cartacea.
- Se sei un utente normale stufo di telemetria, antivirus che rallentano tutto, e sistemi operativi che decidono loro cosa puoi e non puoi fare.
- Se sei un utente curioso che vuole vedere quanto può essere semplice e pulito un computer.
Repository: github.com/nobraininside/dropQbsd
**Dieci minuti per installare. Trenta per ricostruire da zero. Zero vincoli.