From 5d0faa8d75162d97c9652b544860233c11b2c21b Mon Sep 17 00:00:00 2001 From: bic Date: Mon, 8 Apr 2019 19:25:36 +0200 Subject: [PATCH] fix e format Signed-off-by: bic --- slides/anonimato.md | 100 ++++++++++++++++++---------- slides/comunicare.md | 64 +++++++++++++----- slides/dati.md | 29 +++++++- slides/intro.md | 15 +++++ slides/liberta.md | 10 +++ slides/metadata.md | 94 +++++++++++++++++--------- slides/navigare.md | 55 +++++++++++----- slides/password.md | 153 ++++++++++++++++++++++++++----------------- slides/smartphone.md | 139 +++++++++++++++++++++++++++------------ 9 files changed, 458 insertions(+), 201 deletions(-) diff --git a/slides/anonimato.md b/slides/anonimato.md index 00285dd..d27e5c1 100644 --- a/slides/anonimato.md +++ b/slides/anonimato.md @@ -1,75 +1,107 @@ -## anonimato --- -## anonimato -come la sicurezza, non è una proprietà, non si compra, non si installa, -ci devi mettere il cervello. stacce. -Ci sono strumenti, da usare in determinate occasioni, -dipende dal vostro modello di rischio. +## anonimato -- + +## anonimato + +Come la sicurezza, non è una proprietà, non si compra, non si installa, ci +devi mettere il cervello. stacce. + +Ci sono strumenti, da usare in determinate occasioni, dipende dal vostro +modello di rischio. + +-- + ## chi sono? -l'indirizzo ip è un numero composto da 4 cifre da 0 a 255 che -indica il dispositivo che ci collega ad internet in un momento X (anche il telefono ne ha uno). -Gli operatori telefonici tengono dei registri delle assegnazioni di questi indirizzi. +L'indirizzo ip è un numero composto da 4 cifre da 0 a 255 che indica il +dispositivo che ci collega ad internet in un momento X (anche il telefono +ne ha uno). + +Gli operatori telefonici tengono dei registri delle assegnazioni di questi +indirizzi. Quando interagisco con un sito (ad esempio invio la foto di un corteo), quel sito e tutti quelli che sono tra me e il sito, sapranno l'indirizzo ip -del mittente, quindi se quella foto è problematica, verranno a bussarmi sotto casa. +del mittente, quindi se quella foto è problematica, verranno a bussarmi +sotto casa. + +notes: pippa su ipv6 -notes: -pippa su ipv6 -- + ## Tor + Tor è lo "strumento" più famoso per ottenere l'anonimato in rete. -In sostanza un'altra persona si prende l'accollo e la responsabilità -delle tue attività, senza poter sapere chi sei e cosa vuoi (ma perchè lo fa?). +In sostanza un'altra persona si prende l'accollo e la responsabilità delle +tue attività, senza poter sapere chi sei e cosa vuoi (ma perchè lo fa?). -Un'eventuale ascoltatore (attaccante) vedrà che stai interagendo attraverso la rete Tor, -ma non cosa fai e con chi. +Un'eventuale ascoltatore (attaccante) vedrà che stai interagendo attraverso +la rete Tor, ma non cosa fai e con chi. + +Numeri: utenti: più di 2milioni al giorno nodi: 7mila -Numeri: -utenti: più di 2milioni al giorno -nodi: 7mila -- + -- + ## Tor Browser -Tor Browser è un browser appositamente studiato per funzionare attraverso la rete Tor in automatico -e senza troppo sbattimento. + +Tor Browser è un browser appositamente studiato per funzionare attraverso +la rete Tor in automatico e senza troppo sbattimento. Si occupa anche di preservare l'anonimato in altri modi. + +Su android ci sono Tor Browser e Orbot! + -- + ## Deanonimizzare + La tua identità non è correlata solamente ad un indirizzo ip. -Se postate un commento dal vostro account facebook con Tor Browser, -mi serve l'ip per capire chi ha scritto quel commento? +Se postate un commento dal vostro account facebook con Tor Browser, mi +serve l'ip per capire chi ha scritto quel commento? + -- + ### Deanonimizzare Ci sono mille altri modi per deanonimizzare, in sostanza si cerca di creare un'impronta univoca vostra, attraverso varie tecniche: - la risoluzione del monitor che state usando -- caratteristiche del browser (lingue supportate, font, sistema operativo, plugin installati, impostazioni, velocità) +- caratteristiche del browser (lingue supportate, font, sistema operativo, + plugin installati, impostazioni, velocità) - attacchi basati su tempo/spazio particolari. -- comportamenti particolari ([biometria](https://www.typingdna.com/) [comportamentale](https://www.keytrac.net/en/tryout)) +- comportamenti particolari ([biometria](https://www.typingdna.com/) + [comportamentale](https://www.keytrac.net/en/tryout)) +- aneddoto hardvard + +[Tor Browser](https://www.torproject.org/download/download-easy.html.en) +cerca di risolvere la maggior parte di questi attacchi. -[Tor Browser](https://www.torproject.org/download/download-easy.html.en) cerca di risolvere la maggior parte di questi attacchi. -- + ## VPN + Le VPN sono un modo sicuro di collegare computer su internet. -Vengono utilizzate ad esempio per collegare uffici di una stessa azienda senza che nessuno -possa sbirciare il traffico (il collegamento è cifrato). + +Vengono utilizzate ad esempio per collegare uffici di una stessa azienda +senza che nessuno possa sbirciare il traffico (il collegamento è cifrato). + -- + ## VPN -Ci sono VPN che vengono invece usate per offrire protezione agli utenti facendoli accedere -ad internet attraverso di loro ([autistici](https://vpn.autistici.org/help/index-it.html), [protonvpn](https://protonvpn.com/)) + +Ci sono VPN che vengono invece usate per offrire protezione agli utenti +facendoli accedere ad internet attraverso di loro +([riseup](https://riseup.net/en/vpn) [protonvpn](https://protonvpn.com/)) - proteggervi dal controllo da parte dei provider (ISP) - ovviare alla censura di stato @@ -78,11 +110,13 @@ ad internet attraverso di loro ([autistici](https://vpn.autistici.org/help/index - rendere più sicuro il vostro traffico su reti Wi-Fi non protette -- + ## Tails + [The amnesic incognito live system](https://tails.boum.org/index.it.html) -E' un sistema operativo live, vuole dire che non lo -installi ma parte da una pennetta USB: +E' un sistema operativo live, vuole dire che non lo installi ma parte da +una pennetta USB: - non lascia tracce delle tue scorribande perche' non salva niente. - usa Tor per tutto. \ No newline at end of file diff --git a/slides/comunicare.md b/slides/comunicare.md index 49f54ed..d07a173 100644 --- a/slides/comunicare.md +++ b/slides/comunicare.md @@ -1,21 +1,51 @@ + ## Comunicazione + -- - ## uno a uno - - mail - - telefonata - - sms - - whatsapp - - telegram - - jabber - - cifrare lecomunicazioni + +## uno a uno + +- mail +- telefonata +- sms +- whatsapp +- telegram +- jabber +- cifrare lecomunicazioni + -- - ## molti a molti (gruppi) - - whatsapp - - telegram - - facebook - - mailing list - - jabber - - irc - - mastodon - - cifrare le comunicazioni + +## molti a molti (gruppi) + +- whatsapp +- telegram +- facebook +- mailing list +- jabber +- irc +- mastodon +- cifrare le comunicazioni + +-- + +## Ma quindi... + +-- + +## PGP (mail cifrate) + +- criptografia forte +- funziona +- è un casino da usare + +-- + +## Signal + +- criptografia forte +- come qualsiasi app di messaggistica +- comunicazione real time +- autodistruzione dei messaggi +- si può impostare il pin (fatelo!) + diff --git a/slides/dati.md b/slides/dati.md index c7ce963..804a7fc 100644 --- a/slides/dati.md +++ b/slides/dati.md @@ -1,6 +1,9 @@ + ### Sicurezza dei dati + -- + ### Sicurezza dei dati Puoi perdere/rompere un dispositivo o possono sequestrarlo. @@ -8,27 +11,37 @@ Prima o poi succede... ![think](img/think.jpg) + -- + ## Come risolvo? - con frequenti backup - cifrando i dati + -- + ### Backup + - disco locale (ok, ma se nel nostro modello di rischio c'e' un probabile sequestro non funziona) - remoto (ok, cifrato va bene dove vogliamo, anche su google/dropbox) dei programmi che ci sentiamo di consigliare sono: - per linux [Déjà Dup](https://wiki.gnome.org/Apps/DejaDup) che si basa su [duplicity](http://duplicity.nongnu.org/) - per android consigliamo [adb](https://www.androidworld.it/2018/03/27/backup-android-543009/) agli smanettoni + -- ## Cifratura disco + E' facile! Richiede solo l'inserimento di una passphrase all'avvio del computer o di un pin all'avvio del telefono. Con una [buona passphrase](#/2/11)/pin il contenuto del disco sarà al sicuro per un po'. + -- + ## Alcune precisazioni + I dati sono in chiaro a computer acceso, quindi non lasciarlo incustodito (per poco tempo blocca lo schermo per qualsiasi modello di rischio), un'alternativa e' fare un'altra partizione cifrata da aprire @@ -36,8 +49,11 @@ solo quando lavori con quel materiale sensibile. notes: se suonano alla porta, spegni il computer o smonta la partizione cifrata prima di aprire. + -- + ## Cancellazione sicura dei dati + Per ottimizzare, quando eliminiamo un file, il sistema operativo segna solo come libero il posto che occupa, non ne sovrascrive il contenuto. E' possibile recuperarne il contenuto. @@ -45,5 +61,16 @@ E' possibile recuperarne il contenuto. Nel caso il disco sia cifrato il pericolo e' minore, anche nel caso il disco sia un SSD. -Se passate la frontiera o vendete il vostro computer, consideraterlo: +Se passate la frontiera o vendete il vostro computer, consideratelo: esistono vari programmi per eliminare in maniera sicura i file. + +-- + +## Compartimentazione + +Ho bisogno di avere tutti i dati su ogni dispositivo? + +- mi servono le mail sul telefono? +- ho bisogno delle chat sul computer? + +Spesso la miglior tutela dei dati si ottiene non avendoli ;) diff --git a/slides/intro.md b/slides/intro.md index 1bca4bf..8242c89 100644 --- a/slides/intro.md +++ b/slides/intro.md @@ -1,4 +1,5 @@ + ## Autodifesa
digitale @@ -11,7 +12,9 @@ notes: qui compariranno delle note... + -- + ## INTRO Queste slide intendono essere una panoramica concisa di autodifesa digitale. @@ -19,7 +22,9 @@ Rappresentano un'insieme di conoscenze e buone pratiche tratte da varie fonti ed esperienze. Sono pensate per essere usufruibili anche da web quindi abbiamo scritto tanto. + -- + ### Riservatezza, sicurezza, intimità digitali - Non sono proprietà. @@ -27,11 +32,15 @@ Sono pensate per essere usufruibili anche da web quindi abbiamo scritto tanto. - E' un processo, bisogna provare, sbagliare, imparare, **metterci attenzione**, stacce. - E' un approccio mentale. - In generale, stai delegando, cerca di farlo il meno possibile e fallo almeno in rapporti di fiducia. + -- + ### Ma è sicuro? - La sicurezza non è mai 100%, dobbiamo attuare una politica di riduzione del danno, non abbiamo altro. - L'illusione della sicurezza è decisamente peggio della consapevolezza di essere vulnerabili. + -- + Inoltre comportamenti e strumenti da adottare in alcuni casi, in altri non vanno bene. @@ -39,7 +48,9 @@ in altri non vanno bene. ![](./img/brodino.jpg) + -- + ### Modello di rischio Bisogna che tu capisca il tuo modello di rischio rispondendo alle seguenti domande: @@ -54,6 +65,7 @@ rispondendo alle seguenti domande: -- + ### Esempi - rapporto teso con un/a ex @@ -61,13 +73,16 @@ rispondendo alle seguenti domande: - sequestro notes: proporre una riflessione collettiva su uno scenario + --- + ### E quindi? Che modello di rischio scegliamo noi? Siccome e' impossibile difendersi da un attaccante sufficientemente potente, ma soprattutto, la maggior parte di noi non deve avere a che fare con l'NSA, prendiamo come modello di rischio quello che vede un'autorita' locale voler in qualche modo indagare su di noi. + -- ### Dai, ma chi mi caga? diff --git a/slides/liberta.md b/slides/liberta.md index cbc89e0..43735b6 100644 --- a/slides/liberta.md +++ b/slides/liberta.md @@ -1,7 +1,10 @@ + ### Free ### Software + -- + ### Free Software Per parlare del software libero (free non vuol dire gratuito) ci vorrebbero ore, @@ -9,7 +12,9 @@ ma qui ci interessa solo sottolineare quali sono le principali differenze, tra i sistemi operativi e le applicazioni dal punto di vista della **sicurezza**. -- + ### Proprietario? No thanks + I sistemi operativi e le applicazioni proprietarie (es. Windows, MacOS, iOS), sono sistemi chiusi. @@ -18,6 +23,7 @@ Significa che nessuno puo' conoscerne il contenuto. Svolgono delle funzioni, ma come lo fanno o se mentre svolgono le loro funzioni facciano anche altre cose noi non lo sappiamo. -- + ### Se è Libero ... MEGLIO! Il software libero, invece è accessibile a tutti. @@ -29,6 +35,7 @@ Chiunque abbia la giusta competenza può controllare cosa e come svolgono le loro funzioni. -- + ### Fiducia La comunità che collabora allo sviluppo del software libero è, @@ -38,13 +45,16 @@ Su una comunità così numerosa si può essere confidenti che eventuali, problemi siano tempestivamente individuati e segnalati. -- + ### Consigli + - Sul computer installate [linux](http://www.linux.it/distro) (facile) - Se avete un telefono con android potete installare [LineageOS](https://www.lineageos.org/) (meno facile) notes: parlare di fdroid (https://www.reddit.com/r/privacy/comments/3cjj2e/how_secure_is_fdroid/) https://f-droid.org/en/docs/Security_Model/ + -- ### Alcuni numeri diff --git a/slides/metadata.md b/slides/metadata.md index f4ae09c..da8ce86 100644 --- a/slides/metadata.md +++ b/slides/metadata.md @@ -1,66 +1,100 @@ + -- + ## MetaDati > We kill people based on metadata -Michael Hayden, former CIA and NSA director / [source](https://www.youtube.com/watch?v=UdQiz0Vavmc#t=27s) +Michael Hayden, former CIA and NSA director / +[source](https://www.youtube.com/watch?v=UdQiz0Vavmc#t=27s) -- + ## Metadati -Sono dati che descrivono pezzi di informazione tranne l'informazione stessa. -Il contenuto di un messaggio non è il metadato, ma chi l'ha mandato, a chi, da dove e -quando sono tutti esempi di metadati. + +Sono dati che descrivono pezzi di informazione tranne l'informazione +stessa. Il contenuto di un messaggio non è il metadato, ma chi l'ha +mandato, a chi, da dove e quando sono tutti esempi di metadati. + -- + ## Metadati -Ogni informazione digitalizzata di porta dietro dei metadati: + +Ogni informazione digitalizzata si porta dietro dei metadati: - le comunicazioni (sms/telefonate/chat/WA) - immagini/pdf (autore, geolocalizzazione, etc..) - email (soggetto, destinatario, ora invio) + -- + ## A che servono i contenuti se... - so che hai chiamato una sex line alle 2.24 e hai parlato per 18 minuti - -- che alle 4 del pomeriggio hai chiamato un numero verde per la prevenzione suicidi. - -- hai ricevuto una mail da un servizio di check HIV e poi hai chiamato il tuo medico di base e visitato un forum di sieropositivi nella stessa ora. - -- hai chiamato la tua ginecologa, ci hai parlato per mezz'ora e poi hai chiamato una clinica privata specializzata in aborti - + +- che alle 4 del pomeriggio hai chiamato un numero verde per la prevenzione + suicidi. + +- hai ricevuto una mail da un servizio di check HIV e poi hai chiamato il + tuo medico di base e visitato un forum di sieropositivi nella stessa ora. + +- hai chiamato la tua ginecologa, ci hai parlato per mezz'ora e poi hai + chiamato una clinica privata specializzata in aborti + + -- + ## E quindi? -In molti sistemi legali solitamente si progettono i contenuti molto meglio dei metadati, ad esempio in italia le telefonate vengono registrate -solamente in caso di indagini in corso per reati di un certo livello, mentre gli operatori telefonici sono per legge obbligati a mantenere i + +In molti sistemi legali solitamente si progettono i contenuti molto meglio +dei metadati, ad esempio in italia le telefonate vengono registrate +solamente in caso di indagini in corso per reati di un certo livello, +mentre gli operatori telefonici sono per legge obbligati a mantenere i metadati delle telefonate per 24 mesi, i famosi tabulati telefonici. + -- + ## METADATI vs CONTENUTI -La narrazione riguardo questa distinzione, cioe' il trattamento differente dei contenuti rispetto a quello dei metadati, descrive i metadati -come se non fossero un grande problema, come se fossero molto meno invasivi della persona rispetto al contenuto vero e proprio delle comunicazioni. -In realtà è vero il contrario -notes: -per quanto riguarda il controllo massivo... +La narrazione riguardo questa distinzione, cioe' il trattamento differente +dei contenuti rispetto a quello dei metadati, descrive i metadati come se +non fossero un grande problema, come se fossero molto meno invasivi della +persona rispetto al contenuto vero e proprio delle comunicazioni. In +realtà è vero il contrario + +notes: per quanto riguarda il controllo massivo... + -- + ## issue + I metadati sono in forma testuale ed e' quindi possibile fare delle -ricerche massive su di essi, indicizzarli, categorizzarli, cosa impossibile da fare con le comunicazioni vere e proprie. +ricerche massive su di essi, indicizzarli, categorizzarli, cosa impossibile +da fare con le comunicazioni vere e proprie. -Avendone i metadati e' possibile cercare tutte le telefonate effettuate verso un numero, o da un numero, o in un lasso di tempo, -o da un luogo specificato, nessuna di queste ricerche risulta possibile invece avendo solo il contenuto delle comunicazioni. - +Avendo i metadati e' possibile cercare tutte le telefonate effettuate verso +un numero, o da un numero, o in un lasso di tempo, o da un luogo +specificato, nessuna di queste ricerche risulta possibile invece avendo +solo il contenuto delle comunicazioni. -- + ## Aneddoto -- [mcafee](https://www.npr.org/sections/thetwo-way/2012/12/04/166487197/betrayed-by-metadata-john-mcafee-admits-hes-really-in-guatemala?t=1543618516954) -- [mcafee 2](https://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/) --- -## Come mi proteggo? -La consapevolezza è già un grande passo avanti. -Puoi usare alcuni strumenti per rimuovere i metadati dai file: -- per android c'è [Scrambled Exif](https://f-droid.org/en/packages/com.jarsilio.android.scrambledeggsif/) +- [mcafee](https://www.npr.org/sections/thetwo-way/2012/12/04/166487197/betrayed-by-metadata-john-mcafee-admits-hes-really-in-guatemala?t=1543618516954) +- [mcafee + 2](https://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/) + +-- + +## Come mi proteggo? + +La consapevolezza è già un grande passo avanti. Puoi usare alcuni +strumenti per rimuovere i metadati dai file: + +- per android c'è [Scrambled + Exif](https://f-droid.org/en/packages/com.jarsilio.android.scrambledeggsif/) - su linux c'è [mat](https://0xacab.org/jvoisin/mat2) \ No newline at end of file diff --git a/slides/navigare.md b/slides/navigare.md index 38f05d6..a81a9ea 100644 --- a/slides/navigare.md +++ b/slides/navigare.md @@ -1,47 +1,66 @@ + ## Navigazione nell'Internet --- -Finora non abbiamo parlato dei pericoli della rete, -ma solo quelli del nostro dispositivo, considerandolo disconnesso. -- + +Finora non abbiamo parlato dei pericoli della rete, ma solo quelli del +nostro dispositivo, considerandolo disconnesso. + +-- + ### Come ci connettiamo? - Wifi? Cambiate la password di default. - - [Disabilitate il WPS del router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486). + - [Disabilitate il WPS del + router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486). - Wifi pubbliche? usare VPN, vedi dopo. - Dal telefono, disabilitare il wifi quando non lo usate. - Preferite il cavo di rete quando potete. -notes: -i dispositivi wifi broadcastano i MAC ai router se non impostati per non farlo (esempio metro di londra) +notes: i dispositivi wifi broadcastano i MAC ai router se non impostati per +non farlo (esempio metro di londra) https://tfl.gov.uk/corporate/publications-and-reports/wifi-data-collection + -- + ## Buone pratiche - Controlla la barra di navigazione (https? il sito è giusto?) - Sui link sospetti, controlla prima di cliccarci sopra - - Cambiare motore di ricerca di default (usate [duckduckgo](https://duckduckgo.com)) + - Cambiare motore di ricerca di default (usate + [duckduckgo](https://duckduckgo.com)) - Salvare le password? (meglio di no) - Usate i Feed/RSS - - Usate [Tor Browser](https://www.torproject.org/download/download-easy.html.en) + - Usate [Tor + Browser](https://www.torproject.org/download/download-easy.html.en) - Usate profili differenti o containers per non condividere cookie - Gli allegati delle mail sono un classico vettore di malware, occhio + -- + ## Estensioni utili - - [duckduckgo privacy essentials](https://chrome.google.com/webstore/detail/duckduckgo-privacy-essent/bkdgflcldnnnapblkhphbgpggdiikppg) + + - [duckduckgo privacy + essentials](https://chrome.google.com/webstore/detail/duckduckgo-privacy-essent/bkdgflcldnnnapblkhphbgpggdiikppg) - ublock/[adblock plus](https://adblockplus.org/) - [disconnect](https://addons.mozilla.org/en-US/firefox/addon/disconnect/) - - [facebook container](https://addons.mozilla.org/en-US/firefox/addon/facebook-container/) + - [facebook + container](https://addons.mozilla.org/en-US/firefox/addon/facebook-container/) - [decentraleyes](https://addons.mozilla.org/en-US/firefox/addon/decentraleyes/) - - [multi-account containers](https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/) + - [multi-account + containers](https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/) - [adnauseam](https://adnauseam.io/) --- -### Navigazione in incognito -Non c'entra niente con l'anonimato, vi protegge dagli attacchi del -vostro coinquilino che vi guarda la cronologia mentre andate in bagno. -E' una modalità di navigazione che, contrariamente a quanto avviene normalmente: +-- + +### Navigazione in incognito + +Non c'entra niente con l'anonimato, vi protegge dagli attacchi del vostro +coinquilino che vi guarda la cronologia mentre andate in bagno. + +E' una modalità di navigazione che, contrariamente a quanto avviene +normalmente: - non salva la cronologia - i file scaricati non vengono mostrati nei download - niente cache @@ -52,5 +71,5 @@ https://blog.mozilla.org/security/2010/03/31/plugging-the-css-history-leak/ https://www.ghacks.net/2018/11/04/browser-history-sniffing-is-still-a-thing/ l'attacco permette attivamente a un sito web di provare diverse url e -vedere se sono gia state visitate dal browser di chi lo visita, -nell'ordine di migliaia di url al secondo. +vedere se sono gia state visitate dal browser di chi lo visita, nell'ordine +di migliaia di url al secondo. diff --git a/slides/password.md b/slides/password.md index 17bfedf..d69f094 100644 --- a/slides/password.md +++ b/slides/password.md @@ -1,97 +1,132 @@ - -

+

+ # Password --- -Le password sono la prima barriera di accesso a dati che vogliamo -tenere per noi. - - -Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare -nel computer e nei mille servizi digitali a cui accediamo. --- -### Ma... -Non siamo bravi a scegliere delle buone password - - - E' la password di gmail? - ➜ ci mettiamo `gmail` in mezzo - - Usiamo concetti ricordabili - ➜ date di nascita, nomi di amic\*/compagn\* - - Riusiamo la stessa password in molti posti. - -
-In pratica scegliamo password facilmente indovinabili. - -- + +Le password sono la prima barriera di accesso a dati che vogliamo tenere +per noi. + + +Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare nel +computer e nei mille servizi digitali a cui accediamo. + +-- + +### Ma... Non siamo bravi a scegliere delle buone password + + - E' la password di gmail? ➜ + ci mettiamo `gmail` in mezzo + - Usiamo concetti ricordabili ➜ + date di nascita, nomi di amic\*/compagn\* + - Riusiamo la stessa password in + molti posti. + +
In pratica scegliamo password facilmente indovinabili. + +-- + Spinti a migliorare le nostre password ![img/passhint.png](./img/password-requisiti.png) --- -scegliamo le soluzioni piu' semplici e prevedibili -- e' la password di facebook ➜ **facebookpassword** -- inserisci almeno una maiuscola ➜ **Facebookpassword** -- inserisci almeno un numero ➜ **Facebookpassword1** -- inserisci almeno un simbolo ➜ **Facebookpassword1!** -notes: -Sono tutti schemi facilmente immaginabili. -- + +scegliamo le soluzioni piu' semplici e prevedibili +- e' la password di facebook ➜ + **facebookpassword** +- inserisci almeno una maiuscola ➜ + **Facebookpassword** +- inserisci almeno un numero ➜ + **Facebookpassword1** +- inserisci almeno un simbolo ➜ + **Facebookpassword1!** + +notes: Sono tutti schemi facilmente immaginabili. + +-- + ### Ma soprattutto.. Usiamo la stessa password per più siti/servizi -![scimmia](./img/scimmia.jpg) - -notes: +![scimmia](./img/scimmia.jpg) notes: chiedere perche' e' un problema.... + -- + ### Orrore! - i dipendenti di ogni servizio hanno accesso ad ogni altro servizio! + i dipendenti di ogni servizio hanno +accesso ad ogni altro servizio! - quando (non se) uno dei servizi viene bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno si e l'altro pure). + quando (non se) uno dei servizi viene +bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno +si e l'altro pure). - E' talmente diffusa la cosa che mozilla ha un servizio per fare -un check ➜ [monitor.firefox.com](https://monitor.firefox.com) + E' talmente diffusa la cosa che mozilla +ha un servizio per fare un check ➜ +[monitor.firefox.com](https://monitor.firefox.com) -- + ### Leak -Negli ultimi anni sono stati bucati tanti servizi e milioni di password sono diventate pubbliche (leak) -permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e `password`, -gli schemi usati sono drammaticamente ricorrenti e la maggior parte delle persone riusa -le password in piu' servizi. -Una lista di servizi la cui compromissione è pubblica è [qui](https://haveibeenpwned.com/PwnedWebsites). -Un posto dove poter studiare le statistiche +Negli ultimi anni sono stati bucati tanti servizi e milioni di password +sono diventate pubbliche (leak) permettendo di farci ricerca sopra e si, le +password piu' usate sono `123456` e `password`, gli schemi usati sono +drammaticamente ricorrenti e la maggior parte delle persone riusa le +password in piu' servizi. + +Una lista di servizi la cui compromissione è pubblica è +[qui](https://haveibeenpwned.com/PwnedWebsites). Un posto dove poter +studiare le statistiche + -- + ### Password Cracking -Esistono programmi e servizi che tentano ripetutamente password basandosi sulla nostra prevedibilità -e si basano comunemente su dizionari a cui vengono applicate delle regole (permutazioni, aggiunte di prefissi/suffissi, -cambio di caratteri comuni, maiuscole/minuscole). -Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target. -notes: -Mostrare un piccolo esempio di `hashcat` (da preparare) +Esistono programmi e servizi che tentano ripetutamente password basandosi +sulla nostra prevedibilità e si basano comunemente su dizionari a cui +vengono applicate delle regole (permutazioni, aggiunte di +prefissi/suffissi, cambio di caratteri comuni, maiuscole/minuscole). + +Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc +prendendo tutto il material digitale del target. notes: Mostrare un +piccolo esempio di `hashcat` (da preparare) + -- + ### E quindi? + Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo. + -- + ### Password manager + Usiamo i password manager. -Sono dei programmi che generano e si ricordano delle password sicure, -in cambio di una sola master password (passphrase). -notes: -spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche. +Sono dei programmi che generano e si ricordano delle password sicure, in +cambio di una sola master password (passphrase). + +notes: spiegare master password, che e' possibile fare piu' liste di +password, suggerire buone pratiche. + -- -### E la master password? -Per le poche passphrase che non possiamo salvare usiamo i seguenti accorgimenti: + +### E la master password? Per le poche passphrase che non possiamo salvare +usiamo i seguenti accorgimenti: - mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce) - mai condividere una passphrase (no no no e no) - mai scrivere una passphrase (a parte se sai quello che stai facendo) -- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle. +- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra + per ricordarle. -notes: -il `4` del primo punto e' un numero a caso. -esempio live di scelta passphrase. +notes: il `4` del primo punto e' un numero a caso. esempio live di scelta +passphrase. diff --git a/slides/smartphone.md b/slides/smartphone.md index 88f6b28..3447361 100644 --- a/slides/smartphone.md +++ b/slides/smartphone.md @@ -1,85 +1,138 @@ + ## Smartphone -- + ## Smartphone + - Sono ovunque, sono Lo strumento usato per comunicare - Telefonate, internet, chat, foto, video, etc.. - Non sono stati progettati per essere sicuri + -- + ## Meno controllo + Rispetto ad un computer è più complicato: -- sostituire il sistema operativo (pensate a quanto vi abbiamo rotto con linux) +- sostituire il sistema operativo (pensate a quanto vi abbiamo rotto con + linux) - investigare presenza di malware/virus - disinstallare programmi di default (telefoni brandizzati) - prevenire il monitoraggio + -- + ## Obsolescenza.. + Inoltre il produttore del telefono dichiarando lo stesso obsoleto smette di fornire aggiornamenti software (lasciando aperte vulnerabilità di pubblico dominio) --- -## Geolocalizzazione - Cell -Un telefono acceso si collega ad una cella della rete telefonica, -quale cella e quale telefono vengono segnati dall'operatore, che tiene per molto -tempo questa informazione. --- -## Geolocalizzazione - Cell -E' possibile triangolare un dispositivo stimando la potenza del segnale ricevuto da celle vicine, si attiva chiamando il 118 e tipo se siete sotto sorveglianza. -Non c'è modo di evitare questo attacco se non lasciando il telefono a casa :) -- + +## Geolocalizzazione - Cell + +Un telefono acceso si collega ad una cella della rete telefonica, quale +cella e quale telefono vengono segnati dall'operatore, che tiene per molto +tempo questa informazione. + +-- + +## Geolocalizzazione - Cell + +E' possibile triangolare un dispositivo stimando la potenza del segnale +ricevuto da celle vicine, si attiva chiamando il 118 e tipo se siete sotto +sorveglianza. + +Non c'è modo di evitare questo attacco se non lasciando il telefono a casa +:) + +-- + ## Geolocalizzazione - IMSI -IMSI Catcher, un simulatore di antenne telefoniche sicuramente [usato](https://www.ilfattoquotidiano.it/2015/06/13/con-limsi-catcher-cellulari-a-rischio-attenzione-il-cacciatore-ti-ascolta/1770363/) [in Italia](https://duckduckgo.com/?q=capitolatotecnicoradiomobili+site%3Apoliziadistato.it). +IMSI Catcher, un simulatore di antenne telefoniche sicuramente +[usato](https://www.ilfattoquotidiano.it/2015/06/13/con-limsi-catcher-cellulari-a-rischio-attenzione-il-cacciatore-ti-ascolta/1770363/) +[in +Italia](https://duckduckgo.com/?q=capitolatotecnicoradiomobili+site%3Apoliziadistato.it). -Può rispondere a domande del tipo: "dammi tutti i numeri di telefono presenti in questa zona, quel giorno" senza farne richiesta al magistrato. +Può rispondere a domande del tipo: "dammi tutti i numeri di telefono +presenti in questa zona, quel giorno" senza farne richiesta al magistrato. -E' [diffuso](https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector/wiki/Unmasked-Spies), se volete divertirvi potete costruire un [imsi catcher detector](https://seaglass.cs.washington.edu/) +E' +[diffuso](https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector/wiki/Unmasked-Spies), +se volete divertirvi potete costruire un [imsi catcher +detector](https://seaglass.cs.washington.edu/) + +notes: disabilitare 2g/3g e il roaming -notes: -disabilitare 2g/3g e il roaming -- -## Geolocalizzazione - WIFI -Il telefono va' in giro [urlando ai quattro venti un suo identificativo univoco](http://www.gizmodo.co.uk/2017/02/heres-what-tfl-learned-from-tracking-your-phone-on-the-tube/). -notes: -Disabilita il bluetooth e il wifi quando esci di casa. +## Geolocalizzazione + +- WIFI Il telefono va' in giro [urlando ai quattro venti un suo + identificativo + univoco](http://www.gizmodo.co.uk/2017/02/heres-what-tfl-learned-from-tracking-your-phone-on-the-tube/). + +notes: Disabilita il bluetooth e il wifi quando esci di casa. + -- -## Geolocalizzazione - GPS -Il vostro telefono non parla con i satelliti, avviene il contrario. -Ma quando conosce la sua posizione puo' comunicarla su altri canali. -La geolocalizzazione usa anche la [lista delle reti wireless]((https://location.services.mozilla.com/map) che trova intorno a te. -notes: +## Geolocalizzazione + +- GPS Il vostro telefono non parla con i satelliti, avviene il contrario. + Ma quando conosce la sua posizione puo' comunicarla su altri canali. + +La geolocalizzazione usa anche la [lista delle reti +wireless]((https://location.services.mozilla.com/map) che trova intorno a +te. notes: - Il GPS riceve solamente (accuracy ~5 metri a scopo civile) -- Si geolocalizza anche senza GPS ma col [WIFI](https://location.services.mozilla.com/map#2/15.0/10.0) (~78 metri) - Faccio una lista delle reti wifi nel posto dove mi trovo e - mi segno la potenza del segnale di ognuna e/o il tempo di risposta. +- Si geolocalizza anche senza GPS ma col + [WIFI](https://location.services.mozilla.com/map#2/15.0/10.0) (~78 metri) + Faccio una lista delle reti wifi nel posto dove mi trovo e mi segno la + potenza del segnale di ognuna e/o il tempo di risposta. - O con il cellular positioning (~600 metri) -- -## Malware -Vedi [qui](https://www.autistici.org/underscore/di-trojan-di-stato.html) e [qui](https://www.autistici.org/underscore/di-trojan-di-stato-details.html) che ne abbiamo parlato un sacco. -Tenete aggiornati i vostri dispositivi, installate solo le app che vi servono, disinstallate le app di default, usate [software libero](https://lineageos.org/). +## Malware Vedi + +[qui](https://www.autistici.org/underscore/di-trojan-di-stato.html) e +[qui](https://www.autistici.org/underscore/di-trojan-di-stato-details.html) +che ne abbiamo parlato un sacco. + +Tenete aggiornati i vostri dispositivi, installate solo le app che vi +servono, disinstallate le app di default, usate [software +libero](https://lineageos.org/). + -- + ## Buone pratiche + - Ma ascolta anche quando è spento? - Devo togliere la batteria? -Per discorsi sensibili, lasciate i telefoni in un'altra stanza, -se 20 persone contemporaneamente spengono il telefono in uno stesso luogo +Per discorsi sensibili, lasciate i telefoni in un'altra stanza, se 20 +persone contemporaneamente spengono il telefono in uno stesso luogo l'operatore lo sa. --- -## Attacchi fisici -- Inserite un pin, una passphrase o una sequenza per sbloccare lo schermo -- [Cifrate il telefono](https://trovalost.it/come-cifrare-un-telefono-android/) -notes: -che sia il vostro coinquilino dell'altra stanza, un vostro ex, -il vostro capo o la digos, se qualcuno prende il vostro telefono in mano e non c'e' -protezione alcuna, non e' una bella cosa, Anche se non vi sequestrano il telefono, in poco -tempo e' possibile installare malware o addirittura in alcuni casi reinstallare l'intero sistema operativo avendone accesso fisico. -Altra cosa, cifrate il telefono, nelle impostazioni -> sicurezza -potete mettere la stessa sequenza/pin/password per accendere il telefono e per abilitarlo +-- + +## Attacchi fisici + +- Inserite un pin, una passphrase o una sequenza per sbloccare lo schermo +- No impronte digitali (stanno sul + [telefono](https://www.ccc.de/en/updates/2014/ursel) e sui + [server](https://apple.slashdot.org/story/19/03/24/0015213/how-the-fbi-easily-retrieved-michael-cohens-data-from-both-apple-and-google)) +- [Cifrate il + telefono](https://trovalost.it/come-cifrare-un-telefono-android/) + +notes: che sia il vostro coinquilino dell'altra stanza, un vostro ex, il +vostro capo o la digos, se qualcuno prende il vostro telefono in mano e non +c'e' protezione alcuna, non e' una bella cosa, Anche se non vi sequestrano +il telefono, in poco tempo e' possibile installare malware o addirittura in +alcuni casi reinstallare l'intero sistema operativo avendone accesso +fisico. Altra cosa, cifrate il telefono, nelle impostazioni -> sicurezza +potete mettere la stessa sequenza/pin/password per accendere il telefono e +per abilitarlo