lesion 5 years ago
parent
commit
8b1089874a
10 changed files with 101 additions and 70 deletions
  1. 3 3
      css/reveal.css
  2. 2 2
      css/theme/black.css
  3. 2 2
      css/theme/source/black.scss
  4. 11 0
      lib/css/zenburn.css
  5. 5 0
      slides/dati.md
  6. 6 6
      slides/intro.md
  7. 14 9
      slides/liberta.md
  8. 46 45
      slides/metadata.md
  9. 9 1
      slides/navigare.md
  10. 3 2
      slides/password.md

+ 3 - 3
css/reveal.css

@@ -219,7 +219,7 @@ body {
     visibility: hidden;
     opacity: 0;
     -webkit-appearance: none;
-    -webkit-tap-highlight-color: transparent; }
+    -webkit-tap-highlight-color: rgba(0, 0, 0, 0); }
   .reveal .controls .controls-arrow:before,
   .reveal .controls .controls-arrow:after {
     content: '';
@@ -888,7 +888,7 @@ body {
   opacity: 0;
   visibility: hidden;
   overflow: hidden;
-  background-color: transparent;
+  background-color: rgba(0, 0, 0, 0);
   background-position: 50% 50%;
   background-repeat: no-repeat;
   background-size: cover;
@@ -1268,7 +1268,7 @@ body {
   z-index: 30;
   cursor: pointer;
   transition: all 400ms ease;
-  -webkit-tap-highlight-color: transparent; }
+  -webkit-tap-highlight-color: rgba(0, 0, 0, 0); }
 
 .reveal.overview .playback {
   opacity: 0;

+ 2 - 2
css/theme/black.css

@@ -15,7 +15,7 @@ body {
   background-color: #222; }
 
 .reveal {
-  font-family: Lato Light, Source Sans Pro, Helvetica, sans-serif;
+  font-family: "Lato Light", "Source Sans Pro", Helvetica, sans-serif;
   font-size: 42px;
   font-weight: normal;
   color: #fff; }
@@ -46,7 +46,7 @@ body {
 .reveal h6 {
   margin: 0 0 20px 0;
   color: #fff;
-  font-family: Lato Light, Source Sans Pro, Helvetica, sans-serif;
+  font-family: "Lato Light", "Source Sans Pro", Helvetica, sans-serif;
   font-weight: 600;
   line-height: 1.2;
   letter-spacing: normal;

+ 2 - 2
css/theme/source/black.scss

@@ -22,8 +22,8 @@ $mainColor: #fff;
 $headingColor: #fff;
 
 $mainFontSize: 42px;
-$mainFont: 'Source Sans Pro', Helvetica, sans-serif;
-$headingFont: 'Source Sans Pro', Helvetica, sans-serif;
+$mainFont: 'Lato Light', 'Source Sans Pro', Helvetica, sans-serif;
+$headingFont: 'Lato Light', 'Source Sans Pro', Helvetica, sans-serif;
 $headingTextShadow: none;
 $headingLetterSpacing: normal;
 $headingTextTransform: uppercase;

+ 11 - 0
lib/css/zenburn.css

@@ -78,3 +78,14 @@ based on dark.css by Ivan Sagalaev
 .hljs-strong {
   font-weight: bold;
 }
+
+
+input, button {
+  font-size: 100%;
+  margin: 0px;
+  border: 0px;
+}
+
+button {
+  margin-left: -10px;
+}

+ 5 - 0
slides/dati.md

@@ -17,6 +17,10 @@ Prima o poi succede...
 ### Backup
 - disco locale (ok, ma se nel nostro modello di rischio c'e' un probabile sequestro non funziona)
 - remoto (ok, cifrato va bene dove vogliamo, anche su google/dropbox)
+
+dei programmi che ci sentiamo di consigliare sono:
+- per linux [Déjà Dup](https://wiki.gnome.org/Apps/DejaDup) che si basa su [duplicity](http://duplicity.nongnu.org/)
+- per android consigliamo [adb](https://www.androidworld.it/2018/03/27/backup-android-543009/) agli smanettoni
 --
 
 ## Cifratura disco
@@ -30,6 +34,7 @@ quindi non lasciarlo incustodito (per poco tempo blocca lo schermo per qualsiasi
 un'alternativa e' fare un'altra partizione cifrata da aprire
 solo quando lavori con quel materiale sensibile.
 
+notes:
 se suonano alla porta, spegni il computer o smonta la partizione cifrata prima di aprire.
 --
 ## Cancellazione sicura dei dati

+ 6 - 6
slides/intro.md

@@ -2,21 +2,21 @@
 ## Autodifesa<br/>digitale
     
     
-[_TO* hacklab](https://autistici.org/underscore)
+[underscore_to hacklab](https://autistici.org/underscore)
 <footer>
 <small>per presentazioni premi `s` e abilita i popup</small>  
-<small>premi `ESC` per una panoramica</small>  
-<small>premi `F11` per fullscreen (must)</small>
+<small>premi **ESC** per una panoramica</small>  
+<small>premi **F11** per fullscreen (must)</small>  
+<small>per domande scrivici a **underscore [at] autistici.org** </small>
 </footer>
 notes:
 qui compariranno delle note...
 --
 ## INTRO
-Queste slide intendono essere una panoramica concisa di autodifesa digitale,
-con un focus particolare per chiunque lotti contro strutture di potere.
+Queste slide intendono essere una panoramica concisa di autodifesa digitale.
 
 Rappresentano un'insieme di conoscenze e buone pratiche tratte da varie fonti
-ed esperienze,
+ed esperienze.
 
 Sono pensate per essere usufruibili anche da web quindi abbiamo scritto tanto.
 --

+ 14 - 9
slides/liberta.md

@@ -8,18 +8,14 @@ Per parlare del software libero (free non vuol dire gratuito) ci vorrebbero ore,
 ma qui ci interessa solo sottolineare quali sono le principali differenze,
 tra i sistemi operativi e le applicazioni dal punto di vista della **sicurezza**<!-- .element: class="fragment highlight-red" -->.
 
-Ci basti per ora sapere che FOSS significa,
-Free and Open Source Software.
-
 --
 ### Proprietario? No thanks
 I sistemi operativi e le applicazioni proprietarie (es. Windows, MacOS, iOS),
 sono sistemi chiusi.
-Chiusi vuol dire che nessuno (tranne gli sviluppatori) sa cosa contengono.
 
-Noi li usiamo perchè fanno delle cose, svolgono delle funzioni.
-Ma come lo fanno o se mentre svolgono le loro funzioni facciano anche altre
-cose noi non lo sappiamo.
+Significa che nessuno puo' conoscerne il contenuto.
+
+Svolgono delle funzioni, ma come lo fanno o se mentre svolgono le loro funzioni facciano anche altre cose noi non lo sappiamo.
 
 --
 ### Se è Libero ... MEGLIO!
@@ -32,8 +28,6 @@ i sorgenti.
 Chiunque abbia la giusta competenza può controllare cosa e come svolgono
 le loro funzioni.
 
-E questo quando si parla di sicurezza fa una bella differenza.
-
 --
 ### Fiducia
 
@@ -44,6 +38,14 @@ Su una comunità così numerosa si può essere confidenti che eventuali,
 problemi siano tempestivamente individuati e segnalati.
 
 --
+### Consigli
+- Sul computer installate [linux](http://www.linux.it/distro) (facile)
+- Se avete un telefono con android potete  
+  installare  [LineageOS](https://www.lineageos.org/) (meno facile)
+
+notes:
+parlare di fdroid (https://www.reddit.com/r/privacy/comments/3cjj2e/how_secure_is_fdroid/) https://f-droid.org/en/docs/Security_Model/
+--
 ### Alcuni numeri
 
 dal 2005 ad oggi circa 13500 sviluppatori hanno contribuito al solo sviluppo del kernel linux.  
@@ -52,3 +54,6 @@ dal 2005 ad oggi circa 13500 sviluppatori hanno contribuito al solo sviluppo del
 - [SourceForge](https://sourceforge.net) ospita 324000 progetti.
 - [Ohloh](https://www.openhub.net) ospita 550000 progetti.
 - [Queste slides](https://git.lattuga.net/lesion/autodifesa-digitale-parte-1/) sono libere (sono un fork bolognese).
+
+notes:
+vlc, android, gnome, arduino, open hardware

+ 46 - 45
slides/metadata.md

@@ -7,59 +7,60 @@
 Michael Hayden, former CIA and NSA director / [source](https://www.youtube.com/watch?v=UdQiz0Vavmc#t=27s)
 
 --
-Sono costituiti da una serie di informazioni che le applicazioni appiccicano,
-automaticamente ai files che noi creiamo, elaboriamo, copiamo, vediamo o ascoltiamo.
-
-I MetaDati sono un sacco di roba e normalmente non si palesano.
-Forse uno dei pochi casi in cui si manifestano è sui files musicali.
-Per esempio se inseriamo una chiavetta con dei files mp3 in un riproduttore,
-ci può comparire sul display il nome dell'autore, il titolo del brano, la raccolta,
-di cui il brano fa parte, la durata etc.
-
-Queste informazioni sono appunto MetaDati.
+## Metadati
+Sono dati che descrivono pezzi di informazione tranne l'informazione stessa.  
+Il contenuto di un messaggio non è il metadato, ma chi l'ha mandato, a chi, da dove e
+quando sono tutti esempi di metadati.
 --
-## ma anche
-
-Oggi se diciamo MetaDati pensiamo subito a qualcosa che ha a che fare con il digitale,
-ma in realtà esistono esempi risalenti ad epoche ben precedenti.
-
-Si pensi ad esempio alle schede cartacee che i bibliotecari usano da secoli per catalogare,
-i libri in loro possesso.
-
-anche questi sono MetaDati
-
-![](https://upload.wikimedia.org/wikipedia/commons/thumb/7/7e/Schlagwortkatalog.jpg/200px-Schlagwortkatalog.jpg)
+## Metadati
+Ogni informazione digitalizzata di porta dietro dei metadati:
+- le comunicazioni (sms/telefonate/chat/WA)
+<!-- .element: class="fragment" -->
+- immagini/pdf (autore, geolocalizzazione, etc..)
+<!-- .element: class="fragment" -->
+- email (soggetto, destinatario, ora invio)
 <!-- .element: class="fragment" -->
-
 --
-## MetaDati? NO Grazie
-
-Ma perchè ne parliamo?.
-
-Perchè ce ne dobbiamo occupare in questo talk?.
-
-Cosa ci possono fare di male i MetaDati?
-
-I MetaDati relativi alle comunicazione (e-mail, chiamate telefoniche, pagine Web visitate, traffico video,
-connessioni IP e posizioni dei telefoni cellulari) in alcuni paesi sono regolarmente archiviati dalle
-organizzazioni governative a scopo di sorveglianza.
-
-ci basta?, si ... direi proprio che ci basta.
+## A che servono i contenuti se...
 
+- so che hai chiamato una sex line alle 2.24 e hai parlato per 18 minuti
+<!-- .element: class="fragment" -->
+- che alle 4 del pomeriggio hai chiamato un numero verde per la prevenzione suicidi.
+<!-- .element: class="fragment" -->
+- hai ricevuto una mail da un servizio di check HIV e poi hai chiamato il tuo medico di base e visitato un forum di sieropositivi nella stessa ora.
+<!-- .element: class="fragment" -->
+- hai chiamato la tua ginecologa, ci hai parlato per mezz'ora e poi hai chiamato una clinica privata specializzata in aborti
+<!-- .element: class="fragment" -->
 --
-## Immagini
-
-Guardiamo ad esempio quali dati contiene un'immagine scattata con uno smartphone.
-
-Questa immagine [inserire immagine qui]
+## E quindi?
+In molti sistemi legali solitamente si progettono i contenuti molto meglio dei metadati, ad esempio in italia le telefonate vengono registrate
+solamente in caso di indagini in corso per reati di un certo livello, mentre gli operatori telefonici sono per legge obbligati a mantenere i
+metadati delle telefonate per 24 mesi, i famosi tabulati telefonici.
+--
+## METADATI vs CONTENUTI
+La narrazione riguardo questa distinzione, cioe' il trattamento differente dei contenuti rispetto a quello dei metadati, descrive i metadati
+come se non fossero un grande problema, come se fossero molto meno invasivi della persona rispetto al contenuto vero e proprio delle comunicazioni.  
+In realtà è vero il contrario
 
-contiene questi MetaDati [inserire immagine qui]
+notes:
+per quanto riguarda il controllo massivo...
+--
+## issue
+I metadati sono in forma testuale ed e' quindi possibile fare delle
+ricerche massive su di essi, indicizzarli, categorizzarli, cosa impossibile da fare con le comunicazioni vere e proprie.  
 
-:nota:
-pippone sui dati che identificano data, ora, luogo, ecc.
+Avendone i metadati e' possibile cercare tutte le telefonate effettuate verso un numero, o da un numero, o in un lasso di tempo,
+o da un luogo specificato, nessuna di queste ricerche risulta possibile invece avendo solo il contenuto delle comunicazioni.
+<!-- .element: class="fragment" -->
 
 --
-
+## Aneddoto
+- [mcafee](https://www.npr.org/sections/thetwo-way/2012/12/04/166487197/betrayed-by-metadata-john-mcafee-admits-hes-really-in-guatemala?t=1543618516954)
+- [mcafee 2](https://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/)
 --
-## work in progress 
+## Come mi proteggo?
+La consapevolezza è già un grande passo avanti.  
+Puoi usare alcuni strumenti per rimuovere i metadati dai file:
 
+- per android c'è [Scrambled Exif](https://f-droid.org/en/packages/com.jarsilio.android.scrambledeggsif/)
+- su linux c'è [mat](https://0xacab.org/jvoisin/mat2)

+ 9 - 1
slides/navigare.md

@@ -45,4 +45,12 @@ E' una modalità di navigazione che, contrariamente a quanto avviene normalmente
 - non salva la cronologia
 - i file scaricati non vengono mostrati nei download
 - niente cache
-- non salva i cookie (non sono loggato in sessioni successive)
+- non salva i cookie (non sono loggato in sessioni successive)
+
+notes:
+https://blog.mozilla.org/security/2010/03/31/plugging-the-css-history-leak/
+https://www.ghacks.net/2018/11/04/browser-history-sniffing-is-still-a-thing/
+
+l'attacco permette attivamente a un sito web di provare diverse url e
+vedere se sono gia state visitate dal browser di chi lo visita,
+nell'ordine di migliaia di url al secondo.

+ 3 - 2
slides/password.md

@@ -49,7 +49,7 @@ chiedere perche' e' un problema....
 
 <!-- .element: class="fragment" --> i dipendenti di ogni servizio hanno accesso ad ogni altro servizio!
 
-<!-- .element: class="fragment" --> quando (non se) uno dei servizi viene bucato, gente a caso ha accesso ad ogni vostro servizio (se leggete i giornali, succede un giorno si e l'altro pure).
+<!-- .element: class="fragment" --> quando (non se) uno dei servizi viene bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno si e l'altro pure).
 
 <!-- .element: class="fragment" --> E' talmente diffusa la cosa che mozilla ha un servizio per fare
 un check ➜ [monitor.firefox.com](https://monitor.firefox.com)
@@ -61,7 +61,8 @@ permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e
 gli schemi usati sono drammaticamente ricorrenti e la maggior parte delle persone riusa
 le password in piu' servizi.
 
-Una lista di servizi la cui compromissione è pubblica è [qui](https://haveibeenpwned.com/PwnedWebsites)
+Una lista di servizi la cui compromissione è pubblica è [qui](https://haveibeenpwned.com/PwnedWebsites).
+Un posto dove poter studiare le statistiche 
 --
 ### Password Cracking
 Esistono programmi e servizi che tentano ripetutamente password basandosi sulla nostra prevedibilità