Compare commits

...

4 commits

Author SHA1 Message Date
swasp
d738eb231a info 2018-11-24 17:49:09 +01:00
swasp
ad15ae77e8 tutto 2018-11-24 17:40:19 +01:00
swasp
d2c9f54484 porcodio 2018-11-24 17:16:57 +01:00
swasp
adc0d2423a fork slide 2018-11-24 17:10:30 +01:00
20 changed files with 96 additions and 187 deletions

View file

@ -3,7 +3,7 @@ Autodifesa Digitale I
Slides di autodifesa digitale.
## Usare
Questa presentazione e' pensata per essere fatta in 3 sessioni da 2 ore l'una
Questa presentazione e' stata usata ad Hack or Diy|e 2018 in un talk di circa un ora.
Clona questo repo con:
`git clone https://git.lattuga.net/lesion/autodifesa-digitale-parte-1.git`
@ -30,8 +30,9 @@ aprendo quell'indirizzo da un browser dovresti vedere la presentazione.
Le slides sono scritte in markdown e separate per argomenti nella
cartella `/slides`, ad ogni modifica `grunt` farà un refresh del browser,
mantenendo la slides corrente.
non mantenendo la slides corrente (fastidio!!)
[o vedi direttamente le tue slide aprendo index.html sul browser]
## Esportare
eee ti piacerebbe :) non sono ancora arrivato li', in pdf dovrebbe essere facile pero'.
gitbook tipo,ma non ancora documentato.

Binary file not shown.

Before

Width:  |  Height:  |  Size: 580 KiB

BIN
img/bluforthm.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 294 KiB

Binary file not shown.

Before

Width:  |  Height:  |  Size: 106 KiB

Binary file not shown.

Before

Width:  |  Height:  |  Size: 158 KiB

Binary file not shown.

Before

Width:  |  Height:  |  Size: 431 KiB

Binary file not shown.

Before

Width:  |  Height:  |  Size: 21 KiB

BIN
img/riotisonenight....jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 80 KiB

Binary file not shown.

Before

Width:  |  Height:  |  Size: 237 KiB

View file

Before

Width:  |  Height:  |  Size: 2.1 MiB

After

Width:  |  Height:  |  Size: 2.1 MiB

View file

@ -91,27 +91,17 @@
<section>
<section
data-separator="^--$"
data-markdown="slides/navigare.md"></section>
</section>
<section>
<section
data-separator="^--$"
data-markdown="slides/metadata.md"></section>
</section>
<section>
<section
data-separator="^--$"
data-markdown="slides/smartphone.md"></section>
data-markdown="slides/anonimato.md"></section>
</section>
<section>
<section
data-separator="^--$"
data-markdown="slides/comunicare.md"></section>
</section>
<section>
<section
data-separator="^--$"
data-markdown="slides/anonimato.md"></section>
data-markdown="slides/end.md"></section>
</section>
</div>

View file

@ -1,15 +1,12 @@
<!-- .slide: data-background="img/anon.jpg" -->
## anonimato
## anonimato e altre chicche
--
## anonimato
come la sicurezza, non è una proprietà, non si compra, non si installa,
ci devi mettere il cervello. stacce.
Ci sono strumenti, da usare in determinate occasioni,
dipende dal vostro modello di rischio.
--
## chi sono?
notes:chi sono?
l'indirizzo ip è un numero composto da 4 cifre da 0 a 255 che
indica il dispositivo che ci collega ad internet in un momento X (anche il telefono ne ha uno).
@ -18,9 +15,24 @@ Gli operatori telefonici tengono dei registri delle assegnazioni di questi indir
Quando interagisco con un sito (ad esempio invio la foto di un corteo),
quel sito e tutti quelli che sono tra me e il sito, sapranno l'indirizzo ip
del mittente, quindi se quella foto è problematica, verranno a bussarmi sotto casa.
--
## Deanonimizzare
La tua identità non è correlata solamente ad un indirizzo ip.
notes:
pippa su ipv6
Se postate un commento dal vostro account facebook con Tor Browser,
mi serve l'ip per capire chi ha scritto quel commento?
--
### Deanonimizzare
Ci sono mille altri modi per deanonimizzare, in sostanza si cerca di creare
un'impronta univoca vostra, attraverso varie tecniche:
- la risoluzione del monitor che state usando
- caratteristiche del browser (lingue supportate, font, sistema operativo, plugin installati, impostazioni, velocità)
- attacchi basati su tempo/spazio particolari.
- comportamenti particolari ([biometria](https://www.typingdna.com/) [comportamentale](https://www.keytrac.net/en/tryout))
[Tor Browser](https://www.torproject.org/download/download-easy.html.en) cerca di risolvere la maggior parte di questi attacchi.
--
## Tor
Tor è lo "strumento" più famoso per ottenere l'anonimato in rete.
@ -43,40 +55,6 @@ Tor Browser è un browser appositamente studiato per funzionare attraverso la re
e senza troppo sbattimento.
Si occupa anche di preservare l'anonimato in altri modi.
--
## Deanonimizzare
La tua identità non è correlata solamente ad un indirizzo ip.
Se postate un commento dal vostro account facebook con Tor Browser,
mi serve l'ip per capire chi ha scritto quel commento?
--
### Deanonimizzare
Ci sono mille altri modi per deanonimizzare, in sostanza si cerca di creare
un'impronta univoca vostra, attraverso varie tecniche:
- la risoluzione del monitor che state usando
- caratteristiche del browser (lingue supportate, font, sistema operativo, plugin installati, impostazioni, velocità)
- attacchi basati su tempo/spazio particolari.
- comportamenti particolari ([biometria](https://www.typingdna.com/) [comportamentale](https://www.keytrac.net/en/tryout))
[Tor Browser](https://www.torproject.org/download/download-easy.html.en) cerca di risolvere la maggior parte di questi attacchi.
--
## VPN
Le VPN sono un modo sicuro di collegare computer su internet.
Vengono utilizzate ad esempio per collegare uffici di una stessa azienda senza che nessuno
possa sbirciare il traffico (il collegamento è cifrato).
--
## VPN
Ci sono VPN che vengono invece usate per offrire protezione agli utenti facendoli accedere
ad internet attraverso di loro ([autistici](https://vpn.autistici.org/help/index-it.html), [protonvpn](https://protonvpn.com/))
- proteggervi dal controllo da parte dei provider (ISP)
- ovviare alla censura di stato
- accedere a servizi vietati nel vostro paese
- bypassare il firewall del vostro ufficio
- rendere più sicuro il vostro traffico su reti Wi-Fi non protette
--
## Tails
[The amnesic incognito live system](https://tails.boum.org/index.it.html)

View file

@ -1,4 +1,3 @@
<!-- .slide: data-background="img/comunicazione.jpg" -->
## Comunicazione
--
## uno a uno
@ -17,5 +16,4 @@
- mailing list
- jabber
- irc
- mastodon
- cifrare le comunicazioni

View file

@ -1,6 +1,3 @@
<!-- .slide: data-background="img/hd.jpg" -->
### Sicurezza dei dati
--
### Sicurezza dei dati
Puoi perdere/rompere un dispositivo o possono sequestrarlo.

9
slides/end.md Normal file
View file

@ -0,0 +1,9 @@
## Domande?
<small> swasp at posta dot indivia punto net </small>

View file

@ -1,32 +1,45 @@
<!-- .slide: data-background="https://andreastaid.files.wordpress.com/2017/02/1464699978268276.png" -->
<!-- .slide: data-background="img/bluforthm.jpg" -->
## Autodifesa<br/>digitale
[_TO* hacklab](https://autistici.org/underscore)
**HacklabBo<br/>Hack or di(y|e) 2018**
<footer>
<small>per presentazioni premi `s` e abilita i popup</small>
<small>premi `ESC` per una panoramica</small>
<small>premi `F11` per fullscreen (must)</small>
<small>premi `s` e abilita i popup</small>
<small>premi F11</small>
</footer>
notes:
qui compariranno delle note...
--
## INTRO
Queste slide intendono essere una panoramica concisa di autodifesa digitale,
con un focus particolare per chiunque lotti contro strutture di potere.
<!-- .slide: data-background="img/bluforthm.jpg" style="height:10%" -->
Rappresentano un'insieme di conoscenze e buone pratiche tratte da varie fonti
ed esperienze,
notes:
visione generica, di cosa parliamo
intro
dati
metadati
critta tutto
Sono pensate per essere usufruibili anche da web quindi abbiamo scritto tanto.
di cosa non parliamo
internet-browser
cellulari
comunicazioni
>ma ne possiamo parlare!
--
### Riservatezza, sicurezza, intimità digitali
### Privacy, sicurezza, intimità digitali
- Non sono proprietà.
- Non si comprano, non è un programma che installi e bona.
- E' un processo, bisogna provare, sbagliare, imparare, **metterci attenzione**<!-- .element: class="fragment highlight-red" -->, stacce.
- E' un approccio mentale.
- In generale, stai delegando, cerca di farlo il meno possibile e fallo almeno in rapporti di fiducia.
- E' una catena:l'anello piu' debole rompe la sicurezza di tutta la catena-il processo. sia individuale, sia collettivo
- In generale, stai delegando, cerca di farlo il meno possibile.
--
### Ma è sicuro?
- La sicurezza non è mai 100%, dobbiamo attuare una politica di riduzione del danno, non abbiamo altro.
@ -61,13 +74,6 @@ rispondendo alle seguenti domande:
- sequestro
notes: proporre una riflessione collettiva su uno scenario
---
### E quindi?
Che modello di rischio scegliamo noi?
Siccome e' impossibile difendersi da un attaccante sufficientemente potente,
ma soprattutto, la maggior parte di noi non deve avere a che fare con l'NSA,
prendiamo come modello di rischio quello che vede un'autorita' locale voler
in qualche modo indagare su di noi.
--
### Dai, ma chi mi caga?

View file

@ -1,7 +1,3 @@
<!-- .slide: data-background="img/freedom.jpg" -->
### Free
### Software
--
### Free Software
Per parlare del software libero (free non vuol dire gratuito) ci vorrebbero ore,
@ -15,7 +11,7 @@ Free and Open Source Software.
### Proprietario? No thanks
I sistemi operativi e le applicazioni proprietarie (es. Windows, MacOS, iOS),
sono sistemi chiusi.
Chiusi vuol dire che nessuno (tranne gli sviluppatori) sa cosa contengono.
Chiusi vuol dire che nessuno (tranne chi gli sviluppa) sa cosa contengono.
Noi li usiamo perchè fanno delle cose, svolgono delle funzioni.
Ma come lo fanno o se mentre svolgono le loro funzioni facciano anche altre
@ -24,7 +20,7 @@ cose noi non lo sappiamo.
--
### Se è Libero ... MEGLIO!
Il software libero, invece è accessibile a tutti.
Il software libero, invece è accessibile a tutt*.
Di qualsiasi programma o parte del sistema sono disponibili e pubblici,
i sorgenti.
@ -48,7 +44,11 @@ problemi siano tempestivamente individuati e segnalati.
dal 2005 ad oggi circa 13500 sviluppatori hanno contribuito al solo sviluppo del kernel linux.
- [GitHub](https://github.com): conta quasi 5M di repositories.
- [Debian](https://contributors.debian.org/) 1583 persone che contribuiscono in 19 gruppi di lavoro
- Wordpress
- Firefox
- Thunderbird
- [SourceForge](https://sourceforge.net) ospita 324000 progetti.
- [Ohloh](https://www.openhub.net) ospita 550000 progetti.
- [Queste slides](https://git.lattuga.net/lesion/autodifesa-digitale-parte-1/) sono libere (sono un fork bolognese).
- [Queste slides](https://git.lattuga.net/swasp/autodifesa-digitale-parte-1/) sono libere (sono un fork bolognese di un fork torinese).

View file

@ -1,20 +1,14 @@
<!-- .slide: data-background="img/metadata.jpg" -->
--
## MetaDati
> We kill people based on metadata
Michael Hayden, former CIA and NSA director / [source](https://www.youtube.com/watch?v=UdQiz0Vavmc#t=27s)
--
Sono costituiti da una serie di informazioni che le applicazioni appiccicano,
automaticamente ai files che noi creiamo, elaboriamo, copiamo, vediamo o ascoltiamo.
I MetaDati sono un sacco di roba e normalmente non si palesano.
Forse uno dei pochi casi in cui si manifestano è sui files musicali.
Per esempio se inseriamo una chiavetta con dei files mp3 in un riproduttore,
ci può comparire sul display il nome dell'autore, il titolo del brano, la raccolta,
di cui il brano fa parte, la durata etc.
Normalmente non si palesano. Forse uno dei pochi casi in cui si manifestano è sui files musicali.
Per esempio se inseriamo una chiavetta con dei files mp3 in un riproduttore, ci può comparire sul display il titolo del brano, la durata etc.
Queste informazioni sono appunto MetaDati.
--
@ -47,19 +41,11 @@ organizzazioni governative a scopo di sorveglianza.
ci basta?, si ... direi proprio che ci basta.
--
## Immagini
## Remember
Guardiamo ad esempio quali dati contiene un'immagine scattata con uno smartphone.
![think](img/riotisonenight....jpg)
<!-- .element: class="fragment" -->
Questa immagine [inserire immagine qui]
contiene questi MetaDati [inserire immagine qui]
:nota:
note:
pippone sui dati che identificano data, ora, luogo, ecc.
--
--
## work in progress
Guardiamo ad esempio quali dati contiene un'immagine scattata con uno smartphone.

File diff suppressed because one or more lines are too long

View file

@ -1,85 +1,29 @@
<!-- .slide: data-background="img/this-is-your-brain-on-apps.jpg" -->
## Mobile
## Smartphone
Gli smartphone ...
--
## Smartphone
- Sono ovunque, sono Lo strumento usato per comunicare
- Telefonate, internet, chat, foto, video, etc..
- Non sono stati progettati per essere sicuri
--
## Meno controllo
Rispetto ad un computer è più complicato:
- sostituire il sistema operativo (pensate a quanto vi abbiamo rotto con linux)
- investigare presenza di malware/virus
- disinstallare programmi di default (telefoni brandizzati)
- prevenire il monitoraggio
--
## Obsolescenza..
Inoltre il produttore del telefono dichiarando lo stesso obsoleto smette di
fornire aggiornamenti software (lasciando aperte vulnerabilità di pubblico
dominio)
--
## Geolocalizzazione - Cell
Un telefono acceso si collega ad una cella della rete telefonica,
quale cella e quale telefono vengono segnati dall'operatore, che tiene per molto
tempo questa informazione.
--
## Geolocalizzazione - Cell
E' possibile triangolare un dispositivo stimando la potenza del segnale ricevuto da celle vicine, si attiva chiamando il 118 e tipo se siete sotto sorveglianza.
Non c'è modo di evitare questo attacco se non lasciando il telefono a casa :)
--
## Geolocalizzazione - IMSI
IMSI Catcher, un simulatore di antenne telefoniche sicuramente [usato](https://www.ilfattoquotidiano.it/2015/06/13/con-limsi-catcher-cellulari-a-rischio-attenzione-il-cacciatore-ti-ascolta/1770363/) [in Italia](https://duckduckgo.com/?q=capitolatotecnicoradiomobili+site%3Apoliziadistato.it).
Può rispondere a domande del tipo: "dammi tutti i numeri di telefono presenti in questa zona, quel giorno" senza farne richiesta al magistrato.
E' [diffuso](https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector/wiki/Unmasked-Spies), se volete divertirvi potete costruire un [imsi catcher detector](https://seaglass.cs.washington.edu/)
notes:
disabilitare 2g/3g e il roaming
--
## Geolocalizzazione - WIFI
Il telefono va' in giro [urlando ai quattro venti un suo identificativo univoco](http://www.gizmodo.co.uk/2017/02/heres-what-tfl-learned-from-tracking-your-phone-on-the-tube/).
notes:
Disabilita il bluetooth e il wifi quando esci di casa.
--
## Geolocalizzazione - GPS
Il vostro telefono non parla con i satelliti, avviene il contrario.
Ma quando conosce la sua posizione puo' comunicarla su altri canali.
La geolocalizzazione usa anche la [lista delle reti wireless]((https://location.services.mozilla.com/map) che trova intorno a te.
notes:
- Il GPS riceve solamente (accuracy ~5 metri a scopo civile)
## Geolocalizzazione
- Il GPS riceve solamente (accuracy ~8 metri)
- Si geolocalizza anche senza GPS ma col [WIFI](https://location.services.mozilla.com/map#2/15.0/10.0) (~78 metri)
Faccio una lista delle reti wifi nel posto dove mi trovo e
mi segno la potenza del segnale di ognuna e/o il tempo di risposta.
- O con il cellular positioning (~600 metri)
--
## Malware
Vedi [qui](https://www.autistici.org/underscore/di-trojan-di-stato.html) e [qui](https://www.autistici.org/underscore/di-trojan-di-stato-details.html) che ne abbiamo parlato un sacco.
Tenete aggiornati i vostri dispositivi, installate solo le app che vi servono, disinstallate le app di default, usate [software libero](https://lineageos.org/).
--
## Buone pratiche
- Ma ascolta anche quando è spento?
- Devo togliere la batteria?
Per discorsi sensibili, lasciate i telefoni in un'altra stanza,
se 20 persone contemporaneamente spengono il telefono in uno stesso luogo
l'operatore lo sa.
--
## Attacchi fisici
- Inserite un pin, una passphrase o una sequenza per sbloccare lo schermo
- [Cifrate il telefono](https://trovalost.it/come-cifrare-un-telefono-android/)
## Si ma ho un nokia..
Ci sono altri attacchi possibili oltre le classiche intercettazioni telefoniche:
notes:
che sia il vostro coinquilino dell'altra stanza, un vostro ex,
il vostro capo o la digos, se qualcuno prende il vostro telefono in mano e non c'e'
protezione alcuna, non e' una bella cosa, Anche se non vi sequestrano il telefono, in poco
tempo e' possibile installare malware o addirittura in alcuni casi reinstallare l'intero sistema operativo avendone accesso fisico.
Altra cosa, cifrate il telefono, nelle impostazioni -> sicurezza
potete mettere la stessa sequenza/pin/password per accendere il telefono e per abilitarlo
L'imsi catcher e' un simulatore di antenne telefoniche sicuramente [usato](https://www.ilfattoquotidiano.it/2015/06/13/con-limsi-catcher-cellulari-a-rischio-attenzione-il-cacciatore-ti-ascolta/1770363/) [in Italia](https://duckduckgo.com/?q=capitolatotecnicoradiomobili+site%3Apoliziadistato.it).
E' possibile ad esempio sapere se eri ad un corteo (o meglio, se il tuo telefono era li'.....
)
note:
android e google, ios e apple, lineageos, sim / imei / celle / gps / imsi catcher
la spiega sui tabulati/metadati per quali reati, quando possono intercettare,
cosa possono intercettare. celle di aggancio, quando come perche', cenno trojan,
lineageos
comportamenti consigliati, lasciare il telefono acceso in altra stanza e a casa,
secondo telefono scrauso quando vai in situazioni particolari, etc..