pdf

2019-11-20 01:09:45 +01:00 · 2019-11-20 01:09:45 +01:00 · 05860ef564
commit 05860ef564
parent 988240c9b6
10 changed files with 63 additions and 142 deletions
--- a/img/20thmostusedkeywalk.gif
+++ b/img/20thmostusedkeywalk.gif
--- a/img/5-most-used-passwords.png
+++ b/img/5-most-used-passwords.png
--- a/img/commonkeyboardpatterns.gif
+++ b/img/commonkeyboardpatterns.gif
--- a/index.html
+++ b/index.html
@ -39,11 +39,11 @@
         data-separator="^--$"
         data-markdown="slides/intro.md"></section>
      </section>
-      <section>
+      <!-- <section>
        <section
         data-separator="^--$"
         data-markdown="slides/liberta.md"></section>
-      </section>
+      </section> -->
      <section>
        <section
         data-separator="^--$"
@ -88,11 +88,11 @@
        data-separator="^--$"
        data-markdown="slides/dati.md"></section>
      </section>
-      <section>
+      <!-- <section>
        <section
        data-separator="^--$"
        data-markdown="slides/navigare.md"></section>
-      </section>
+      </section> -->
      <section>
        <section
         data-separator="^--$"
@ -113,11 +113,11 @@
        data-separator="^--$"
        data-markdown="slides/anonimato.md"></section>
      </section>
-      <section>
+      <!-- <section>
        <section
        data-separator="^--$"
        data-markdown="slides/strumenti-radicali.md"></section>
-      </section>
+      </section> -->
      
    </div>
    
--- a/slides/dati.md
+++ b/slides/dati.md
@ -23,12 +23,13 @@ Prima o poi succede...

 ### Backup

- disco locale (ok, ma se nel nostro modello di rischio c'e' un probabile sequestro non funziona)
+- disco locale (ok, ma se nel nostro modello di rischio c'e' il furto non funziona)
 - remoto (ok, cifrato va bene dove vogliamo, anche su google/dropbox)

 dei programmi che ci sentiamo di consigliare sono:
 - per linux [Déjà Dup](https://wiki.gnome.org/Apps/DejaDup) che si basa su [duplicity](http://duplicity.nongnu.org/)
 - per android consigliamo [adb](https://www.androidworld.it/2018/03/27/backup-android-543009/) agli smanettoni
+- e anche [EteSync](https://www.etesync.com)

 --

@ -45,7 +46,7 @@ Con una [buona passphrase](#/2/11)/pin il contenuto del disco sarà al sicuro pe
 I dati sono in chiaro a computer acceso,
 quindi non lasciarlo incustodito (per poco tempo blocca lo schermo per qualsiasi modello di rischio),
 un'alternativa e' fare un'altra partizione cifrata da aprire
-solo quando lavori con quel materiale sensibile.
+solo quando si lavora con del materiale sensibile (non protegge da altri attacchi).

 notes:
 se suonano alla porta, spegni il computer o smonta la partizione cifrata prima di aprire.
@ -63,14 +64,3 @@ il disco sia un SSD.

 Se passate la frontiera o vendete il vostro computer, consideratelo:
 esistono vari programmi per eliminare in maniera sicura i file.
-
--
-
-## Compartimentazione
-
-Ho bisogno di avere tutti i dati su ogni dispositivo?
-
- mi servono le mail sul telefono?
- ho bisogno delle chat sul computer?
-
-Spesso la miglior tutela dei dati si ottiene non avendoli ;)
--- a/slides/intro.md
+++ b/slides/intro.md
@ -57,13 +57,13 @@ in altri non vanno bene.
 Bisogna che tu capisca il tuo modello di rischio
 rispondendo alle seguenti domande:

-  - **da chi voglio proteggermi?<!-- .element: class="red"-->** (la mamma, il/la compagn*, facebook, il datore di lavoro, la digos, i rettiliani)
+  - **da chi voglio proteggermi?<!-- .element: class="red"-->** (la mamma, la coinquilina, facebook, il datore di lavoro, la digos, i rettiliani)
 <!-- .element: class="fragment" -->

  - **cosa voglio proteggere?**<!-- .element: class="red"--> (l'identità, i contatti, le preferenze sessuali, le comunicazioni)
 <!-- .element: class="fragment" -->

-  - **quali sono gli attacchi più probabili?**<!-- .element: class="red"--> (sequestro, intercettazione, leak)
+  - **quali sono gli attacchi più probabili?**<!-- .element: class="red"--> (furto, sequestro, intercettazione, leak)
 <!-- .element: class="fragment" -->

 --
@ -85,17 +85,3 @@ Siccome e' impossibile difendersi da un attaccante sufficientemente potente,
 ma soprattutto, la maggior parte di noi non deve avere a che fare con l'NSA o NSO,
 prendiamo come modello di rischio quello che vede un'autorita' locale voler
 in qualche modo indagare su di noi.
-
--
-### Dai, ma chi mi caga?
-
-Guardando la spesa statale per le tecnologie di sorveglianza ad uso poliziesco, qualcuno ti considera.
-
-
- [quanto spende il ministero dell'interno](https://motherboard.vice.com/it/article/padegg/quanto-spende-il-governo-italiano-per-le-tecnologie-di-sorveglianza)
- [quanto spende il ministero della giustizia](https://www.vice.com/it/article/43ja4q/listino-prezzi-intercettazioni-dispositivi-procura-milano-mercato-malware)
- [statistiche ministero della giustizia](https://archive.org/details/DeterminazioneDeiNuoviPrezziIntercettazioni/page/n3)
- [filiera delle intercettazioni](https://www.ilsole24ore.com/art/notizie/2018-08-03/le-intercettazioni-costano-169-milioni-2017-oltre-127mila-bersagli-190839.shtml)
- [prezzi intercettazioni](https://archive.org/details/DeterminazioneDeiNuoviPrezziIntercettazioni/page/n3)
- [paranoia gratuita](https://motherboard.vice.com/it/article/evv3xp/i-video-che-metti-online-vengono-spiati-dalla-polizia-italiana)
- [aggiornamenti legge italiana uso trojan](https://motherboard.vice.com/it/article/7xedna/la-legge-italiana-sulluso-dei-trojan-e-un-disastro)
--- a/slides/metadata.md
+++ b/slides/metadata.md
@ -82,14 +82,6 @@ solo il contenuto delle comunicazioni.  <!-- .element: class="fragment" -->

 --

-## Aneddoto
-
- [mcafee](https://www.npr.org/sections/thetwo-way/2012/12/04/166487197/betrayed-by-metadata-john-mcafee-admits-hes-really-in-guatemala?t=1543618516954)
- [mcafee
-  2](https://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/)
-
--
-
 ## Come mi proteggo?

 La consapevolezza è già un grande passo avanti.  Puoi usare alcuni
--- a/slides/navigare.md
+++ b/slides/navigare.md
@ -9,51 +9,6 @@ nostro dispositivo, considerandolo disconnesso.

 --

-### Come ci connettiamo?
-
- - Wifi? Cambiate la password di default.
- - [Disabilitate il WPS del
-   router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486).
- - Wifi pubbliche? usare VPN, vedi dopo.
- - Dal telefono, disabilitare il wifi quando non lo usate.
- - Preferite il cavo di rete quando potete.
-
-notes: i dispositivi wifi broadcastano i MAC ai router se non impostati per
-non farlo (esempio metro di londra)
-https://tfl.gov.uk/corporate/publications-and-reports/wifi-data-collection
-
--
-
-## Buone pratiche
-
- - Controlla la barra di navigazione (https? il sito è giusto?)
- - Sui link sospetti, controlla prima di cliccarci sopra
- - Cambiare motore di ricerca di default (usate
-   [duckduckgo](https://duckduckgo.com))
- - Salvare le password? (meglio di no)
- - Usate i Feed/RSS, ad esempio con [Feedbro Reader](https://addons.mozilla.org/it/firefox/addon/feedbroreader/)
- - Usate [Tor
-   Browser](https://www.torproject.org/download/download-easy.html.en)
- - Usate profili differenti o containers per non condividere cookie
- - Gli allegati delle mail sono un classico vettore di malware, occhio
-
--
-
-## Estensioni utili
-
- - [duckduckgo privacy
-   essentials](https://chrome.google.com/webstore/detail/duckduckgo-privacy-essent/bkdgflcldnnnapblkhphbgpggdiikppg)
- - ublock/[adblock plus](https://adblockplus.org/)
- - [disconnect](https://addons.mozilla.org/en-US/firefox/addon/disconnect/)
- - [facebook
-   container](https://addons.mozilla.org/en-US/firefox/addon/facebook-container/)
- - [decentraleyes](https://addons.mozilla.org/en-US/firefox/addon/decentraleyes/)
- - [multi-account
-   containers](https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/)
- - [adnauseam](https://adnauseam.io/)
-
--
-
 ### Navigazione in incognito

 Non c'entra niente con l'anonimato, vi protegge dagli attacchi del vostro
--- a/slides/password.md
+++ b/slides/password.md
@ -5,13 +5,14 @@ data-background="https://ak7.picdn.net/shutterstock/videos/25863227/thumb/5.jpg"
 # Password

 --
+Cominciamo dalle cose semplici.

 Le password sono la prima barriera di accesso a dati che vogliamo tenere
 per noi.


-Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare nel
-computer e nei mille servizi digitali a cui accediamo.
+Le usiamo leggere la posta, per ritirare al bancomat (pin), per accedere al
+computer, al telefono e ai mille servizi digitali a cui ci siamo iscritti/e.

 --

@ -30,6 +31,10 @@ computer e nei mille servizi digitali a cui accediamo.

 --

+![](./img/5-most-used-passwords.png)
+
+--
+
 Spinti a migliorare le nostre password

 ![img/passhint.png](./img/password-requisiti.png)
@ -46,7 +51,16 @@ scegliamo le soluzioni piu' semplici e prevedibili
 - <!-- .element: class="fragment" --> inserisci almeno un simbolo ➜
  **Facebookpassword1!**

-notes: Sono tutti schemi facilmente immaginabili.
+notes: Sono tutti schemi facilmente immaginabili e prevedibili.
+
+--
+
+o se siamo proprio fortissimi/e
+
+![img/commonkeyboardpatterns.gif](./img/commonkeyboardpatterns.gif)
+![img/commonkeyboardpatterns.gif](./img/20thmostusedkeywalk.gif)
+
+

 --

@ -62,7 +76,7 @@ chiedere perche' e' un problema....
 ### Orrore!

 <!-- .element: class="fragment" --> i dipendenti di ogni servizio hanno
-accesso ad ogni altro servizio!
+accesso ad ogni altro servizio! (si, anche se dal backend non viene salvato in chiaro).

 <!-- .element: class="fragment" --> quando (non se) uno dei servizi viene
 bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno
@ -72,6 +86,7 @@ si e l'altro pure).
 ha un servizio per fare un check ➜
 [monitor.firefox.com](https://monitor.firefox.com)

+notes: ad esempio la mail del rettore.
 --

 ### Leak
@ -83,8 +98,7 @@ drammaticamente ricorrenti e la maggior parte delle persone riusa le
 password in piu' servizi.

 Una lista di servizi la cui compromissione è pubblica è
-[qui](https://haveibeenpwned.com/PwnedWebsites).  Un posto dove poter
-studiare le statistiche
+[qui](https://haveibeenpwned.com/PwnedWebsites). 

 --

@ -96,8 +110,9 @@ vengono applicate delle regole (permutazioni, aggiunte di
 prefissi/suffissi, cambio di caratteri comuni, maiuscole/minuscole).

 Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc
-prendendo tutto il material digitale del target.  notes: Mostrare un
-piccolo esempio di `hashcat` (da preparare)
+prendendo tutto il materiale digitale del target.  
+
+> HashCat, for instance, can take 300,000 guesses at your password a second

 --

@ -115,7 +130,7 @@ Sono dei programmi che generano e si ricordano delle password sicure, in
 cambio di una sola master password (passphrase).

 notes: spiegare master password, che e' possibile fare piu' liste di
-password, suggerire buone pratiche.
+password, suggerire buone pratiche. fatevi un backup delle password

 --

@ -125,7 +140,7 @@ usiamo i seguenti accorgimenti:
 - mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
 - mai condividere una passphrase (no no no e no)
 - mai scrivere una passphrase (a parte se sai quello che stai facendo)
- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra
+- usa 4/5 parole a caso (veramente a caso) e costruiscici una storia sopra
  per ricordarle.

 notes: il `4` del primo punto e' un numero a caso.  esempio live di scelta
--- a/slides/smartphone.md
+++ b/slides/smartphone.md
@ -17,17 +17,17 @@
 Rispetto ad un computer è più complicato:
 - sostituire il sistema operativo (pensate a quanto vi abbiamo rotto con
  linux)
- investigare presenza di malware/virus
- disinstallare programmi di default (telefoni brandizzati)
+- investigare presenza di malware/virus (non abbiamo accesso di root!)
+- disinstallare programmi di default (vedi telefoni brandizzati)
 - prevenire il monitoraggio

 --

 ## Obsolescenza..

-Inoltre il produttore del telefono dichiarando lo stesso obsoleto smette di
-fornire aggiornamenti software (lasciando aperte vulnerabilità di pubblico
-dominio)
+Inoltre il produttore del telefono quando lo dichiara obsoleto smette di
+fornire aggiornamenti sul suo software, lasciando aperte vulnerabilità
+di pubblico dominio.

 --

@ -41,31 +41,8 @@ tempo questa informazione.

 ## Geolocalizzazione - Cell

-E' possibile triangolare un dispositivo stimando la potenza del segnale
-ricevuto da celle vicine, si attiva chiamando il 118 e tipo se siete sotto
-sorveglianza.
-
-Non c'è modo di evitare questo attacco se non lasciando il telefono a casa
-:)
-
--
-
-## Geolocalizzazione - IMSI
-
-IMSI Catcher, un simulatore di antenne telefoniche sicuramente
-[usato](https://www.ilfattoquotidiano.it/2015/06/13/con-limsi-catcher-cellulari-a-rischio-attenzione-il-cacciatore-ti-ascolta/1770363/)
-[in
-Italia](https://duckduckgo.com/?q=capitolatotecnicoradiomobili+site%3Apoliziadistato.it).
-
-Può rispondere a domande del tipo: "dammi tutti i numeri di telefono
-presenti in questa zona, quel giorno" senza farne richiesta al magistrato.
-
-E'
-[diffuso](https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector/wiki/Unmasked-Spies),
-se volete divertirvi potete costruire un [imsi catcher
-detector](https://seaglass.cs.washington.edu/)
-
-notes: disabilitare 2g/3g e il roaming
+E' possibile ma rarissimo triangolare un dispositivo stimando la potenza
+del segnale ricevuto da celle vicine, si attiva chiamando il 118.

 --

@ -96,6 +73,23 @@ te.  notes:

 --

+
+## Geolocalizzazione - IMSI
+
+IMSI Catcher, un simulatore di antenne telefoniche sicuramente
+[usato](https://www.ilfattoquotidiano.it/2015/06/13/con-limsi-catcher-cellulari-a-rischio-attenzione-il-cacciatore-ti-ascolta/1770363/)
+[in
+Italia](https://duckduckgo.com/?q=capitolatotecnicoradiomobili+site%3Apoliziadistato.it).
+
+-- 
+
+E'
+[diffuso](https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector/wiki/Unmasked-Spies),
+se volete divertirvi potete costruire un [imsi catcher
+detector](https://seaglass.cs.washington.edu/)
+
+notes: disabilitare 2g/3g e il roaming
+
 ## Malware Vedi

 [qui](https://www.autistici.org/underscore/di-trojan-di-stato.html) e
@ -108,21 +102,10 @@ libero](https://lineageos.org/).

 --

-## Buone pratiche
-
- Ma ascolta anche quando è spento?
- Devo togliere la batteria?
-
-Per discorsi sensibili, lasciate i telefoni in un'altra stanza, se 20
-persone contemporaneamente spengono il telefono in uno stesso luogo
-l'operatore lo sa.
-
--
-
 ## Attacchi fisici

 - Inserite un pin, una passphrase o una sequenza per sbloccare lo schermo
- No impronte digitali (stanno sul
+- No impronte digitali o altra paccottiglia biometrica per autenticarsi (stanno sul
  [telefono](https://www.ccc.de/en/updates/2014/ursel) e sui
  [server](https://apple.slashdot.org/story/19/03/24/0015213/how-the-fbi-easily-retrieved-michael-cohens-data-from-both-apple-and-google))
 - [Cifrate il
@ -130,9 +113,9 @@ l'operatore lo sa.

 notes: che sia il vostro coinquilino dell'altra stanza, un vostro ex, il
 vostro capo o la digos, se qualcuno prende il vostro telefono in mano e non
-c'e' protezione alcuna, non e' una bella cosa, Anche se non vi sequestrano
+c'e' protezione alcuna, non e' una bella cosa, Anche se non vi rubano
 il telefono, in poco tempo e' possibile installare malware o addirittura in
 alcuni casi reinstallare l'intero sistema operativo avendone accesso
 fisico.  Altra cosa, cifrate il telefono, nelle impostazioni -> sicurezza
 potete mettere la stessa sequenza/pin/password per accendere il telefono e
-per abilitarlo
+per abilitarlo.