Compare commits
4 commits
Author | SHA1 | Date | |
---|---|---|---|
|
d738eb231a | ||
|
ad15ae77e8 | ||
|
d2c9f54484 | ||
|
adc0d2423a |
|
@ -3,7 +3,7 @@ Autodifesa Digitale I
|
|||
Slides di autodifesa digitale.
|
||||
|
||||
## Usare
|
||||
Questa presentazione e' pensata per essere fatta in 3 sessioni da 2 ore l'una
|
||||
Questa presentazione e' stata usata ad Hack or Diy|e 2018 in un talk di circa un ora.
|
||||
|
||||
Clona questo repo con:
|
||||
`git clone https://git.lattuga.net/lesion/autodifesa-digitale-parte-1.git`
|
||||
|
@ -30,8 +30,9 @@ aprendo quell'indirizzo da un browser dovresti vedere la presentazione.
|
|||
|
||||
Le slides sono scritte in markdown e separate per argomenti nella
|
||||
cartella `/slides`, ad ogni modifica `grunt` farà un refresh del browser,
|
||||
mantenendo la slides corrente.
|
||||
non mantenendo la slides corrente (fastidio!!)
|
||||
|
||||
[o vedi direttamente le tue slide aprendo index.html sul browser]
|
||||
|
||||
## Esportare
|
||||
eee ti piacerebbe :) non sono ancora arrivato li', in pdf dovrebbe essere facile pero'.
|
||||
gitbook tipo,ma non ancora documentato.
|
||||
|
|
BIN
img/anon.jpg
Before Width: | Height: | Size: 580 KiB |
BIN
img/bluforthm.jpg
Normal file
After Width: | Height: | Size: 294 KiB |
Before Width: | Height: | Size: 106 KiB |
BIN
img/freedom.jpg
Before Width: | Height: | Size: 158 KiB |
BIN
img/hd.jpg
Before Width: | Height: | Size: 431 KiB |
BIN
img/metadata.jpg
Before Width: | Height: | Size: 21 KiB |
BIN
img/riotisonenight....jpg
Normal file
After Width: | Height: | Size: 80 KiB |
Before Width: | Height: | Size: 237 KiB |
Before Width: | Height: | Size: 2.1 MiB After Width: | Height: | Size: 2.1 MiB |
14
index.html
|
@ -91,27 +91,17 @@
|
|||
<section>
|
||||
<section
|
||||
data-separator="^--$"
|
||||
data-markdown="slides/navigare.md"></section>
|
||||
</section>
|
||||
<section>
|
||||
<section
|
||||
data-separator="^--$"
|
||||
data-markdown="slides/metadata.md"></section>
|
||||
</section>
|
||||
<section>
|
||||
<section
|
||||
data-separator="^--$"
|
||||
data-markdown="slides/smartphone.md"></section>
|
||||
data-markdown="slides/anonimato.md"></section>
|
||||
</section>
|
||||
<section>
|
||||
<section
|
||||
data-separator="^--$"
|
||||
data-markdown="slides/comunicare.md"></section>
|
||||
</section>
|
||||
<section>
|
||||
<section
|
||||
data-separator="^--$"
|
||||
data-markdown="slides/anonimato.md"></section>
|
||||
data-markdown="slides/end.md"></section>
|
||||
</section>
|
||||
|
||||
</div>
|
||||
|
|
|
@ -1,15 +1,12 @@
|
|||
<!-- .slide: data-background="img/anon.jpg" -->
|
||||
## anonimato
|
||||
## anonimato e altre chicche
|
||||
--
|
||||
## anonimato
|
||||
come la sicurezza, non è una proprietà, non si compra, non si installa,
|
||||
ci devi mettere il cervello. stacce.
|
||||
|
||||
Ci sono strumenti, da usare in determinate occasioni,
|
||||
dipende dal vostro modello di rischio.
|
||||
|
||||
--
|
||||
## chi sono?
|
||||
notes:chi sono?
|
||||
l'indirizzo ip è un numero composto da 4 cifre da 0 a 255 che
|
||||
indica il dispositivo che ci collega ad internet in un momento X (anche il telefono ne ha uno).
|
||||
|
||||
|
@ -18,9 +15,24 @@ Gli operatori telefonici tengono dei registri delle assegnazioni di questi indir
|
|||
Quando interagisco con un sito (ad esempio invio la foto di un corteo),
|
||||
quel sito e tutti quelli che sono tra me e il sito, sapranno l'indirizzo ip
|
||||
del mittente, quindi se quella foto è problematica, verranno a bussarmi sotto casa.
|
||||
--
|
||||
## Deanonimizzare
|
||||
La tua identità non è correlata solamente ad un indirizzo ip.
|
||||
|
||||
notes:
|
||||
pippa su ipv6
|
||||
Se postate un commento dal vostro account facebook con Tor Browser,
|
||||
mi serve l'ip per capire chi ha scritto quel commento?
|
||||
--
|
||||
### Deanonimizzare
|
||||
|
||||
Ci sono mille altri modi per deanonimizzare, in sostanza si cerca di creare
|
||||
un'impronta univoca vostra, attraverso varie tecniche:
|
||||
|
||||
- la risoluzione del monitor che state usando
|
||||
- caratteristiche del browser (lingue supportate, font, sistema operativo, plugin installati, impostazioni, velocità)
|
||||
- attacchi basati su tempo/spazio particolari.
|
||||
- comportamenti particolari ([biometria](https://www.typingdna.com/) [comportamentale](https://www.keytrac.net/en/tryout))
|
||||
|
||||
[Tor Browser](https://www.torproject.org/download/download-easy.html.en) cerca di risolvere la maggior parte di questi attacchi.
|
||||
--
|
||||
## Tor
|
||||
Tor è lo "strumento" più famoso per ottenere l'anonimato in rete.
|
||||
|
@ -43,40 +55,6 @@ Tor Browser è un browser appositamente studiato per funzionare attraverso la re
|
|||
e senza troppo sbattimento.
|
||||
|
||||
Si occupa anche di preservare l'anonimato in altri modi.
|
||||
--
|
||||
## Deanonimizzare
|
||||
La tua identità non è correlata solamente ad un indirizzo ip.
|
||||
|
||||
Se postate un commento dal vostro account facebook con Tor Browser,
|
||||
mi serve l'ip per capire chi ha scritto quel commento?
|
||||
--
|
||||
### Deanonimizzare
|
||||
|
||||
Ci sono mille altri modi per deanonimizzare, in sostanza si cerca di creare
|
||||
un'impronta univoca vostra, attraverso varie tecniche:
|
||||
|
||||
- la risoluzione del monitor che state usando
|
||||
- caratteristiche del browser (lingue supportate, font, sistema operativo, plugin installati, impostazioni, velocità)
|
||||
- attacchi basati su tempo/spazio particolari.
|
||||
- comportamenti particolari ([biometria](https://www.typingdna.com/) [comportamentale](https://www.keytrac.net/en/tryout))
|
||||
|
||||
[Tor Browser](https://www.torproject.org/download/download-easy.html.en) cerca di risolvere la maggior parte di questi attacchi.
|
||||
--
|
||||
## VPN
|
||||
Le VPN sono un modo sicuro di collegare computer su internet.
|
||||
Vengono utilizzate ad esempio per collegare uffici di una stessa azienda senza che nessuno
|
||||
possa sbirciare il traffico (il collegamento è cifrato).
|
||||
--
|
||||
## VPN
|
||||
Ci sono VPN che vengono invece usate per offrire protezione agli utenti facendoli accedere
|
||||
ad internet attraverso di loro ([autistici](https://vpn.autistici.org/help/index-it.html), [protonvpn](https://protonvpn.com/))
|
||||
|
||||
- proteggervi dal controllo da parte dei provider (ISP)
|
||||
- ovviare alla censura di stato
|
||||
- accedere a servizi vietati nel vostro paese
|
||||
- bypassare il firewall del vostro ufficio
|
||||
- rendere più sicuro il vostro traffico su reti Wi-Fi non protette
|
||||
|
||||
--
|
||||
## Tails
|
||||
[The amnesic incognito live system](https://tails.boum.org/index.it.html)
|
||||
|
|
|
@ -1,4 +1,3 @@
|
|||
<!-- .slide: data-background="img/comunicazione.jpg" -->
|
||||
## Comunicazione
|
||||
--
|
||||
## uno a uno
|
||||
|
@ -17,5 +16,4 @@
|
|||
- mailing list
|
||||
- jabber
|
||||
- irc
|
||||
- mastodon
|
||||
- cifrare le comunicazioni
|
||||
|
|
|
@ -1,6 +1,3 @@
|
|||
<!-- .slide: data-background="img/hd.jpg" -->
|
||||
### Sicurezza dei dati
|
||||
--
|
||||
### Sicurezza dei dati
|
||||
|
||||
Puoi perdere/rompere un dispositivo o possono sequestrarlo.
|
||||
|
|
9
slides/end.md
Normal file
|
@ -0,0 +1,9 @@
|
|||
## Domande?
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
<small> swasp at posta dot indivia punto net </small>
|
||||
|
||||
|
|
@ -1,32 +1,45 @@
|
|||
<!-- .slide: data-background="https://andreastaid.files.wordpress.com/2017/02/1464699978268276.png" -->
|
||||
<!-- .slide: data-background="img/bluforthm.jpg" -->
|
||||
|
||||
|
||||
|
||||
## Autodifesa<br/>digitale
|
||||
|
||||
|
||||
[_TO* hacklab](https://autistici.org/underscore)
|
||||
|
||||
|
||||
**HacklabBo<br/>Hack or di(y|e) 2018**
|
||||
<footer>
|
||||
<small>per presentazioni premi `s` e abilita i popup</small>
|
||||
<small>premi `ESC` per una panoramica</small>
|
||||
<small>premi `F11` per fullscreen (must)</small>
|
||||
<small>premi `s` e abilita i popup</small>
|
||||
<small>premi F11</small>
|
||||
</footer>
|
||||
notes:
|
||||
qui compariranno delle note...
|
||||
--
|
||||
## INTRO
|
||||
Queste slide intendono essere una panoramica concisa di autodifesa digitale,
|
||||
con un focus particolare per chiunque lotti contro strutture di potere.
|
||||
<!-- .slide: data-background="img/bluforthm.jpg" style="height:10%" -->
|
||||
|
||||
Rappresentano un'insieme di conoscenze e buone pratiche tratte da varie fonti
|
||||
ed esperienze,
|
||||
notes:
|
||||
visione generica, di cosa parliamo
|
||||
intro
|
||||
dati
|
||||
metadati
|
||||
critta tutto
|
||||
|
||||
Sono pensate per essere usufruibili anche da web quindi abbiamo scritto tanto.
|
||||
di cosa non parliamo
|
||||
internet-browser
|
||||
cellulari
|
||||
comunicazioni
|
||||
|
||||
>ma ne possiamo parlare!
|
||||
--
|
||||
### Riservatezza, sicurezza, intimità digitali
|
||||
### Privacy, sicurezza, intimità digitali
|
||||
|
||||
- Non sono proprietà.
|
||||
- Non si comprano, non è un programma che installi e bona.
|
||||
- E' un processo, bisogna provare, sbagliare, imparare, **metterci attenzione**<!-- .element: class="fragment highlight-red" -->, stacce.
|
||||
- E' un approccio mentale.
|
||||
- In generale, stai delegando, cerca di farlo il meno possibile e fallo almeno in rapporti di fiducia.
|
||||
- E' una catena:l'anello piu' debole rompe la sicurezza di tutta la catena-il processo. sia individuale, sia collettivo
|
||||
- In generale, stai delegando, cerca di farlo il meno possibile.
|
||||
--
|
||||
### Ma è sicuro?
|
||||
- La sicurezza non è mai 100%, dobbiamo attuare una politica di riduzione del danno, non abbiamo altro.
|
||||
|
@ -61,13 +74,6 @@ rispondendo alle seguenti domande:
|
|||
- sequestro
|
||||
|
||||
notes: proporre una riflessione collettiva su uno scenario
|
||||
---
|
||||
### E quindi?
|
||||
Che modello di rischio scegliamo noi?
|
||||
Siccome e' impossibile difendersi da un attaccante sufficientemente potente,
|
||||
ma soprattutto, la maggior parte di noi non deve avere a che fare con l'NSA,
|
||||
prendiamo come modello di rischio quello che vede un'autorita' locale voler
|
||||
in qualche modo indagare su di noi.
|
||||
--
|
||||
### Dai, ma chi mi caga?
|
||||
|
||||
|
|
|
@ -1,7 +1,3 @@
|
|||
<!-- .slide: data-background="img/freedom.jpg" -->
|
||||
### Free
|
||||
### Software
|
||||
--
|
||||
### Free Software
|
||||
|
||||
Per parlare del software libero (free non vuol dire gratuito) ci vorrebbero ore,
|
||||
|
@ -15,7 +11,7 @@ Free and Open Source Software.
|
|||
### Proprietario? No thanks
|
||||
I sistemi operativi e le applicazioni proprietarie (es. Windows, MacOS, iOS),
|
||||
sono sistemi chiusi.
|
||||
Chiusi vuol dire che nessuno (tranne gli sviluppatori) sa cosa contengono.
|
||||
Chiusi vuol dire che nessuno (tranne chi gli sviluppa) sa cosa contengono.
|
||||
|
||||
Noi li usiamo perchè fanno delle cose, svolgono delle funzioni.
|
||||
Ma come lo fanno o se mentre svolgono le loro funzioni facciano anche altre
|
||||
|
@ -24,7 +20,7 @@ cose noi non lo sappiamo.
|
|||
--
|
||||
### Se è Libero ... MEGLIO!
|
||||
|
||||
Il software libero, invece è accessibile a tutti.
|
||||
Il software libero, invece è accessibile a tutt*.
|
||||
|
||||
Di qualsiasi programma o parte del sistema sono disponibili e pubblici,
|
||||
i sorgenti.
|
||||
|
@ -48,7 +44,11 @@ problemi siano tempestivamente individuati e segnalati.
|
|||
|
||||
dal 2005 ad oggi circa 13500 sviluppatori hanno contribuito al solo sviluppo del kernel linux.
|
||||
|
||||
- [GitHub](https://github.com): conta quasi 5M di repositories.
|
||||
- [Debian](https://contributors.debian.org/) 1583 persone che contribuiscono in 19 gruppi di lavoro
|
||||
- Wordpress
|
||||
- Firefox
|
||||
- Thunderbird
|
||||
- [SourceForge](https://sourceforge.net) ospita 324000 progetti.
|
||||
- [Ohloh](https://www.openhub.net) ospita 550000 progetti.
|
||||
- [Queste slides](https://git.lattuga.net/lesion/autodifesa-digitale-parte-1/) sono libere (sono un fork bolognese).
|
||||
- [Queste slides](https://git.lattuga.net/swasp/autodifesa-digitale-parte-1/) sono libere (sono un fork bolognese di un fork torinese).
|
||||
|
||||
|
|
|
@ -1,20 +1,14 @@
|
|||
<!-- .slide: data-background="img/metadata.jpg" -->
|
||||
--
|
||||
## MetaDati
|
||||
|
||||
> We kill people based on metadata
|
||||
|
||||
Michael Hayden, former CIA and NSA director / [source](https://www.youtube.com/watch?v=UdQiz0Vavmc#t=27s)
|
||||
|
||||
--
|
||||
Sono costituiti da una serie di informazioni che le applicazioni appiccicano,
|
||||
automaticamente ai files che noi creiamo, elaboriamo, copiamo, vediamo o ascoltiamo.
|
||||
|
||||
I MetaDati sono un sacco di roba e normalmente non si palesano.
|
||||
Forse uno dei pochi casi in cui si manifestano è sui files musicali.
|
||||
Per esempio se inseriamo una chiavetta con dei files mp3 in un riproduttore,
|
||||
ci può comparire sul display il nome dell'autore, il titolo del brano, la raccolta,
|
||||
di cui il brano fa parte, la durata etc.
|
||||
Normalmente non si palesano. Forse uno dei pochi casi in cui si manifestano è sui files musicali.
|
||||
Per esempio se inseriamo una chiavetta con dei files mp3 in un riproduttore, ci può comparire sul display il titolo del brano, la durata etc.
|
||||
|
||||
Queste informazioni sono appunto MetaDati.
|
||||
--
|
||||
|
@ -47,19 +41,11 @@ organizzazioni governative a scopo di sorveglianza.
|
|||
ci basta?, si ... direi proprio che ci basta.
|
||||
|
||||
--
|
||||
## Immagini
|
||||
## Remember
|
||||
|
||||
Guardiamo ad esempio quali dati contiene un'immagine scattata con uno smartphone.
|
||||
![think](img/riotisonenight....jpg)
|
||||
<!-- .element: class="fragment" -->
|
||||
|
||||
Questa immagine [inserire immagine qui]
|
||||
|
||||
contiene questi MetaDati [inserire immagine qui]
|
||||
|
||||
:nota:
|
||||
note:
|
||||
pippone sui dati che identificano data, ora, luogo, ecc.
|
||||
|
||||
--
|
||||
|
||||
--
|
||||
## work in progress
|
||||
|
||||
Guardiamo ad esempio quali dati contiene un'immagine scattata con uno smartphone.
|
||||
|
|
|
@ -1,85 +1,29 @@
|
|||
<!-- .slide: data-background="img/this-is-your-brain-on-apps.jpg" -->
|
||||
|
||||
## Mobile
|
||||
|
||||
## Smartphone
|
||||
Gli smartphone ...
|
||||
|
||||
--
|
||||
## Smartphone
|
||||
- Sono ovunque, sono Lo strumento usato per comunicare
|
||||
- Telefonate, internet, chat, foto, video, etc..
|
||||
- Non sono stati progettati per essere sicuri
|
||||
--
|
||||
## Meno controllo
|
||||
Rispetto ad un computer è più complicato:
|
||||
- sostituire il sistema operativo (pensate a quanto vi abbiamo rotto con linux)
|
||||
- investigare presenza di malware/virus
|
||||
- disinstallare programmi di default (telefoni brandizzati)
|
||||
- prevenire il monitoraggio
|
||||
--
|
||||
## Obsolescenza..
|
||||
Inoltre il produttore del telefono dichiarando lo stesso obsoleto smette di
|
||||
fornire aggiornamenti software (lasciando aperte vulnerabilità di pubblico
|
||||
dominio)
|
||||
--
|
||||
## Geolocalizzazione - Cell
|
||||
Un telefono acceso si collega ad una cella della rete telefonica,
|
||||
quale cella e quale telefono vengono segnati dall'operatore, che tiene per molto
|
||||
tempo questa informazione.
|
||||
--
|
||||
## Geolocalizzazione - Cell
|
||||
E' possibile triangolare un dispositivo stimando la potenza del segnale ricevuto da celle vicine, si attiva chiamando il 118 e tipo se siete sotto sorveglianza.
|
||||
|
||||
Non c'è modo di evitare questo attacco se non lasciando il telefono a casa :)
|
||||
--
|
||||
## Geolocalizzazione - IMSI
|
||||
|
||||
IMSI Catcher, un simulatore di antenne telefoniche sicuramente [usato](https://www.ilfattoquotidiano.it/2015/06/13/con-limsi-catcher-cellulari-a-rischio-attenzione-il-cacciatore-ti-ascolta/1770363/) [in Italia](https://duckduckgo.com/?q=capitolatotecnicoradiomobili+site%3Apoliziadistato.it).
|
||||
|
||||
Può rispondere a domande del tipo: "dammi tutti i numeri di telefono presenti in questa zona, quel giorno" senza farne richiesta al magistrato.
|
||||
|
||||
E' [diffuso](https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector/wiki/Unmasked-Spies), se volete divertirvi potete costruire un [imsi catcher detector](https://seaglass.cs.washington.edu/)
|
||||
|
||||
notes:
|
||||
disabilitare 2g/3g e il roaming
|
||||
--
|
||||
## Geolocalizzazione - WIFI
|
||||
Il telefono va' in giro [urlando ai quattro venti un suo identificativo univoco](http://www.gizmodo.co.uk/2017/02/heres-what-tfl-learned-from-tracking-your-phone-on-the-tube/).
|
||||
|
||||
notes:
|
||||
Disabilita il bluetooth e il wifi quando esci di casa.
|
||||
--
|
||||
## Geolocalizzazione - GPS
|
||||
Il vostro telefono non parla con i satelliti, avviene il contrario.
|
||||
Ma quando conosce la sua posizione puo' comunicarla su altri canali.
|
||||
|
||||
La geolocalizzazione usa anche la [lista delle reti wireless]((https://location.services.mozilla.com/map) che trova intorno a te.
|
||||
notes:
|
||||
- Il GPS riceve solamente (accuracy ~5 metri a scopo civile)
|
||||
## Geolocalizzazione
|
||||
- Il GPS riceve solamente (accuracy ~8 metri)
|
||||
- Si geolocalizza anche senza GPS ma col [WIFI](https://location.services.mozilla.com/map#2/15.0/10.0) (~78 metri)
|
||||
Faccio una lista delle reti wifi nel posto dove mi trovo e
|
||||
mi segno la potenza del segnale di ognuna e/o il tempo di risposta.
|
||||
- O con il cellular positioning (~600 metri)
|
||||
|
||||
--
|
||||
## Malware
|
||||
Vedi [qui](https://www.autistici.org/underscore/di-trojan-di-stato.html) e [qui](https://www.autistici.org/underscore/di-trojan-di-stato-details.html) che ne abbiamo parlato un sacco.
|
||||
|
||||
Tenete aggiornati i vostri dispositivi, installate solo le app che vi servono, disinstallate le app di default, usate [software libero](https://lineageos.org/).
|
||||
--
|
||||
## Buone pratiche
|
||||
- Ma ascolta anche quando è spento?
|
||||
- Devo togliere la batteria?
|
||||
|
||||
Per discorsi sensibili, lasciate i telefoni in un'altra stanza,
|
||||
se 20 persone contemporaneamente spengono il telefono in uno stesso luogo
|
||||
l'operatore lo sa.
|
||||
--
|
||||
## Attacchi fisici
|
||||
- Inserite un pin, una passphrase o una sequenza per sbloccare lo schermo
|
||||
- [Cifrate il telefono](https://trovalost.it/come-cifrare-un-telefono-android/)
|
||||
## Si ma ho un nokia..
|
||||
Ci sono altri attacchi possibili oltre le classiche intercettazioni telefoniche:
|
||||
|
||||
notes:
|
||||
che sia il vostro coinquilino dell'altra stanza, un vostro ex,
|
||||
il vostro capo o la digos, se qualcuno prende il vostro telefono in mano e non c'e'
|
||||
protezione alcuna, non e' una bella cosa, Anche se non vi sequestrano il telefono, in poco
|
||||
tempo e' possibile installare malware o addirittura in alcuni casi reinstallare l'intero sistema operativo avendone accesso fisico.
|
||||
Altra cosa, cifrate il telefono, nelle impostazioni -> sicurezza
|
||||
potete mettere la stessa sequenza/pin/password per accendere il telefono e per abilitarlo
|
||||
L'imsi catcher e' un simulatore di antenne telefoniche sicuramente [usato](https://www.ilfattoquotidiano.it/2015/06/13/con-limsi-catcher-cellulari-a-rischio-attenzione-il-cacciatore-ti-ascolta/1770363/) [in Italia](https://duckduckgo.com/?q=capitolatotecnicoradiomobili+site%3Apoliziadistato.it).
|
||||
E' possibile ad esempio sapere se eri ad un corteo (o meglio, se il tuo telefono era li'.....
|
||||
)
|
||||
note:
|
||||
android e google, ios e apple, lineageos, sim / imei / celle / gps / imsi catcher
|
||||
la spiega sui tabulati/metadati per quali reati, quando possono intercettare,
|
||||
cosa possono intercettare. celle di aggancio, quando come perche', cenno trojan,
|
||||
lineageos
|
||||
comportamenti consigliati, lasciare il telefono acceso in altra stanza e a casa,
|
||||
secondo telefono scrauso quando vai in situazioni particolari, etc..
|
||||
|
|