ultime rifiinture

index.html

@@ -39,11 +39,11 @@
          data-separator="^--$"
          data-markdown="slides/intro.md"></section>
       </section>
-      <section>
+      <!-- <section>
         <section
          data-separator="^--$"
          data-markdown="slides/liberta.md"></section>
-      </section>
+      </section> -->
       <section>
         <section
          data-separator="^--$"
@@ -88,11 +88,11 @@
         data-separator="^--$"
         data-markdown="slides/dati.md"></section>
       </section>
-      <section>
+      <!-- <section>
         <section
         data-separator="^--$"
         data-markdown="slides/navigare.md"></section>
-      </section>
+      </section> -->
       <section>
         <section
          data-separator="^--$"
@@ -103,21 +103,21 @@
          data-separator="^--$"
          data-markdown="slides/smartphone.md"></section>
       </section>
-      <section>
+      <!-- <section>
         <section
          data-separator="^--$"
          data-markdown="slides/comunicare.md"></section>
-      </section>
+      </section> -->
       <section>
         <section
         data-separator="^--$"
         data-markdown="slides/anonimato.md"></section>
       </section>
-      <section>
+      <!-- <section>
         <section
         data-separator="^--$"
         data-markdown="slides/strumenti-radicali.md"></section>
-      </section>
+      </section> -->
       
     </div>
     

slides/dati.md

@@ -23,12 +23,13 @@ Prima o poi succede...
 
 ### Backup
 
-- disco locale (ok, ma se nel nostro modello di rischio c'e' un probabile sequestro non funziona)
+- disco locale (ok, ma se nel nostro modello di rischio c'e' il furto non funziona)
 - remoto (ok, cifrato va bene dove vogliamo, anche su google/dropbox)
 
 dei programmi che ci sentiamo di consigliare sono:
 - per linux [Déjà Dup](https://wiki.gnome.org/Apps/DejaDup) che si basa su [duplicity](http://duplicity.nongnu.org/)
 - per android consigliamo [adb](https://www.androidworld.it/2018/03/27/backup-android-543009/) agli smanettoni
+- e anche [EteSync](https://www.etesync.com)
 
 --
 
@@ -45,7 +46,7 @@ Con una [buona passphrase](#/2/11)/pin il contenuto del disco sarà al sicuro pe
 I dati sono in chiaro a computer acceso,
 quindi non lasciarlo incustodito (per poco tempo blocca lo schermo per qualsiasi modello di rischio),
 un'alternativa e' fare un'altra partizione cifrata da aprire
-solo quando lavori con quel materiale sensibile.
+solo quando si lavora con del materiale sensibile (non protegge da altri attacchi).
 
 notes:
 se suonano alla porta, spegni il computer o smonta la partizione cifrata prima di aprire.
@@ -63,14 +64,3 @@ il disco sia un SSD.
 
 Se passate la frontiera o vendete il vostro computer, consideratelo:
 esistono vari programmi per eliminare in maniera sicura i file.
-
---
-
-## Compartimentazione
-
-Ho bisogno di avere tutti i dati su ogni dispositivo?
-
-- mi servono le mail sul telefono?
-- ho bisogno delle chat sul computer?
-
-Spesso la miglior tutela dei dati si ottiene non avendoli ;)

slides/intro.md

@@ -57,13 +57,13 @@ in altri non vanno bene.
 Bisogna che tu capisca il tuo modello di rischio
 rispondendo alle seguenti domande:
 
-  - **da chi voglio proteggermi?<!-- .element: class="red"-->** (la mamma, il/la compagn*, facebook, il datore di lavoro, la digos, i rettiliani)
+  - **da chi voglio proteggermi?<!-- .element: class="red"-->** (la mamma, la coinquilina, facebook, il datore di lavoro, la digos, i rettiliani)
 <!-- .element: class="fragment" -->
 
   - **cosa voglio proteggere?**<!-- .element: class="red"--> (l'identità, i contatti, le preferenze sessuali, le comunicazioni)
 <!-- .element: class="fragment" -->
 
-  - **quali sono gli attacchi più probabili?**<!-- .element: class="red"--> (sequestro, intercettazione, leak)
+  - **quali sono gli attacchi più probabili?**<!-- .element: class="red"--> (furto, sequestro, intercettazione, leak)
 <!-- .element: class="fragment" -->
 
 --
@@ -85,17 +85,3 @@ Siccome e' impossibile difendersi da un attaccante sufficientemente potente,
 ma soprattutto, la maggior parte di noi non deve avere a che fare con l'NSA o NSO,
 prendiamo come modello di rischio quello che vede un'autorita' locale voler
 in qualche modo indagare su di noi.
-
---
-### Dai, ma chi mi caga?
-
-Guardando la spesa statale per le tecnologie di sorveglianza ad uso poliziesco, qualcuno ti considera.
-
-
-- [quanto spende il ministero dell'interno](https://motherboard.vice.com/it/article/padegg/quanto-spende-il-governo-italiano-per-le-tecnologie-di-sorveglianza)
-- [quanto spende il ministero della giustizia](https://www.vice.com/it/article/43ja4q/listino-prezzi-intercettazioni-dispositivi-procura-milano-mercato-malware)
-- [statistiche ministero della giustizia](https://archive.org/details/DeterminazioneDeiNuoviPrezziIntercettazioni/page/n3)
-- [filiera delle intercettazioni](https://www.ilsole24ore.com/art/notizie/2018-08-03/le-intercettazioni-costano-169-milioni-2017-oltre-127mila-bersagli-190839.shtml)
-- [prezzi intercettazioni](https://archive.org/details/DeterminazioneDeiNuoviPrezziIntercettazioni/page/n3)
-- [paranoia gratuita](https://motherboard.vice.com/it/article/evv3xp/i-video-che-metti-online-vengono-spiati-dalla-polizia-italiana)
-- [aggiornamenti legge italiana uso trojan](https://motherboard.vice.com/it/article/7xedna/la-legge-italiana-sulluso-dei-trojan-e-un-disastro)

slides/metadata.md

@@ -82,14 +82,6 @@ solo il contenuto delle comunicazioni.  <!-- .element: class="fragment" -->
 
 --
 
-## Aneddoto
-
-- [mcafee](https://www.npr.org/sections/thetwo-way/2012/12/04/166487197/betrayed-by-metadata-john-mcafee-admits-hes-really-in-guatemala?t=1543618516954)
-- [mcafee
-  2](https://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/)
-
---
-
 ## Come mi proteggo?
 
 La consapevolezza è già un grande passo avanti.  Puoi usare alcuni

slides/navigare.md

@@ -9,51 +9,6 @@ nostro dispositivo, considerandolo disconnesso.
 
 --
 
-### Come ci connettiamo?
-
- - Wifi? Cambiate la password di default.
- - [Disabilitate il WPS del
-   router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486).
- - Wifi pubbliche? usare VPN, vedi dopo.
- - Dal telefono, disabilitare il wifi quando non lo usate.
- - Preferite il cavo di rete quando potete.
-
-notes: i dispositivi wifi broadcastano i MAC ai router se non impostati per
-non farlo (esempio metro di londra)
-https://tfl.gov.uk/corporate/publications-and-reports/wifi-data-collection
-
---
-
-## Buone pratiche
-
- - Controlla la barra di navigazione (https? il sito è giusto?)
- - Sui link sospetti, controlla prima di cliccarci sopra
- - Cambiare motore di ricerca di default (usate
-   [duckduckgo](https://duckduckgo.com))
- - Salvare le password? (meglio di no)
- - Usate i Feed/RSS, ad esempio con [Feedbro Reader](https://addons.mozilla.org/it/firefox/addon/feedbroreader/)
- - Usate [Tor
-   Browser](https://www.torproject.org/download/download-easy.html.en)
- - Usate profili differenti o containers per non condividere cookie
- - Gli allegati delle mail sono un classico vettore di malware, occhio
-
---
-
-## Estensioni utili
-
- - [duckduckgo privacy
-   essentials](https://chrome.google.com/webstore/detail/duckduckgo-privacy-essent/bkdgflcldnnnapblkhphbgpggdiikppg)
- - ublock/[adblock plus](https://adblockplus.org/)
- - [disconnect](https://addons.mozilla.org/en-US/firefox/addon/disconnect/)
- - [facebook
-   container](https://addons.mozilla.org/en-US/firefox/addon/facebook-container/)
- - [decentraleyes](https://addons.mozilla.org/en-US/firefox/addon/decentraleyes/)
- - [multi-account
-   containers](https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/)
- - [adnauseam](https://adnauseam.io/)
-
---
-
 ### Navigazione in incognito
 
 Non c'entra niente con l'anonimato, vi protegge dagli attacchi del vostro

slides/password.md

@@ -5,13 +5,14 @@ data-background="https://ak7.picdn.net/shutterstock/videos/25863227/thumb/5.jpg"
 # Password
 
 --
+Cominciamo dalle cose semplici.
 
 Le password sono la prima barriera di accesso a dati che vogliamo tenere
 per noi.
 
 
-Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare nel
+Le usiamo leggere la posta, per ritirare al bancomat (pin), per accedere al
-computer e nei mille servizi digitali a cui accediamo.
+computer, al telefono e ai mille servizi digitali a cui ci siamo iscritti/e.
 
 --
 
@@ -30,6 +31,10 @@ computer e nei mille servizi digitali a cui accediamo.
 
 --
 
+![](./img/5-most-used-passwords.png)
+
+--
+
 Spinti a migliorare le nostre password
 
 ![img/passhint.png](./img/password-requisiti.png)
@@ -46,7 +51,16 @@ scegliamo le soluzioni piu' semplici e prevedibili
 - <!-- .element: class="fragment" --> inserisci almeno un simbolo ➜
   **Facebookpassword1!**
 
-notes: Sono tutti schemi facilmente immaginabili.
+notes: Sono tutti schemi facilmente immaginabili e prevedibili.
+
+--
+
+o se siamo proprio fortissimi/e
+
+![img/commonkeyboardpatterns.gif](./img/commonkeyboardpatterns.gif)
+![img/commonkeyboardpatterns.gif](./img/20thmostusedkeywalk.gif)
+
+
 
 --
 
@@ -62,7 +76,7 @@ chiedere perche' e' un problema....
 ### Orrore!
 
 <!-- .element: class="fragment" --> i dipendenti di ogni servizio hanno
-accesso ad ogni altro servizio!
+accesso ad ogni altro servizio! (si, anche se dal backend non viene salvato in chiaro).
 
 <!-- .element: class="fragment" --> quando (non se) uno dei servizi viene
 bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno
@@ -72,6 +86,7 @@ si e l'altro pure).
 ha un servizio per fare un check ➜
 [monitor.firefox.com](https://monitor.firefox.com)
 
+notes: ad esempio la mail del rettore.
 --
 
 ### Leak
@@ -83,8 +98,7 @@ drammaticamente ricorrenti e la maggior parte delle persone riusa le
 password in piu' servizi.
 
 Una lista di servizi la cui compromissione è pubblica è
-[qui](https://haveibeenpwned.com/PwnedWebsites).  Un posto dove poter
+[qui](https://haveibeenpwned.com/PwnedWebsites). 
-studiare le statistiche
 
 --
 
@@ -96,8 +110,9 @@ vengono applicate delle regole (permutazioni, aggiunte di
 prefissi/suffissi, cambio di caratteri comuni, maiuscole/minuscole).
 
 Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc
-prendendo tutto il material digitale del target.  notes: Mostrare un
+prendendo tutto il materiale digitale del target.  
-piccolo esempio di `hashcat` (da preparare)
+
+> HashCat, for instance, can take 300,000 guesses at your password a second
 
 --
 
@@ -115,7 +130,7 @@ Sono dei programmi che generano e si ricordano delle password sicure, in
 cambio di una sola master password (passphrase).
 
 notes: spiegare master password, che e' possibile fare piu' liste di
-password, suggerire buone pratiche.
+password, suggerire buone pratiche. fatevi un backup delle password
 
 --
 
@@ -125,7 +140,7 @@ usiamo i seguenti accorgimenti:
 - mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
 - mai condividere una passphrase (no no no e no)
 - mai scrivere una passphrase (a parte se sai quello che stai facendo)
-- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra
+- usa 4/5 parole a caso (veramente a caso) e costruiscici una storia sopra
   per ricordarle.
 
 notes: il `4` del primo punto e' un numero a caso.  esempio live di scelta

slides/smartphone.md

@@ -17,17 +17,17 @@
 Rispetto ad un computer è più complicato:
 - sostituire il sistema operativo (pensate a quanto vi abbiamo rotto con
   linux)
-- investigare presenza di malware/virus
+- investigare presenza di malware/virus (non abbiamo accesso di root!)
-- disinstallare programmi di default (telefoni brandizzati)
+- disinstallare programmi di default (vedi telefoni brandizzati)
 - prevenire il monitoraggio
 
 --
 
 ## Obsolescenza..
 
-Inoltre il produttore del telefono dichiarando lo stesso obsoleto smette di
+Inoltre il produttore del telefono quando lo dichiara obsoleto smette di
-fornire aggiornamenti software (lasciando aperte vulnerabilità di pubblico
+fornire aggiornamenti sul suo software, lasciando aperte vulnerabilità
-dominio)
+di pubblico dominio.
 
 --
 
@@ -41,31 +41,8 @@ tempo questa informazione.
 
 ## Geolocalizzazione - Cell
 
-E' possibile triangolare un dispositivo stimando la potenza del segnale
+E' possibile ma rarissimo triangolare un dispositivo stimando la potenza
-ricevuto da celle vicine, si attiva chiamando il 118 e tipo se siete sotto
+del segnale ricevuto da celle vicine, si attiva chiamando il 118.
-sorveglianza.
-
-Non c'è modo di evitare questo attacco se non lasciando il telefono a casa
-:)
-
---
-
-## Geolocalizzazione - IMSI
-
-IMSI Catcher, un simulatore di antenne telefoniche sicuramente
-[usato](https://www.ilfattoquotidiano.it/2015/06/13/con-limsi-catcher-cellulari-a-rischio-attenzione-il-cacciatore-ti-ascolta/1770363/)
-[in
-Italia](https://duckduckgo.com/?q=capitolatotecnicoradiomobili+site%3Apoliziadistato.it).
-
-Può rispondere a domande del tipo: "dammi tutti i numeri di telefono
-presenti in questa zona, quel giorno" senza farne richiesta al magistrato.
-
-E'
-[diffuso](https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector/wiki/Unmasked-Spies),
-se volete divertirvi potete costruire un [imsi catcher
-detector](https://seaglass.cs.washington.edu/)
-
-notes: disabilitare 2g/3g e il roaming
 
 --
 
@@ -75,16 +52,18 @@ notes: disabilitare 2g/3g e il roaming
   identificativo
   univoco](http://www.gizmodo.co.uk/2017/02/heres-what-tfl-learned-from-tracking-your-phone-on-the-tube/).
 
-notes: Disabilita il bluetooth e il wifi quando esci di casa.
+(si ora ogni tanto viene randomizzato
+)
+notes: Abilita l'airplane mode :D o almeno disabilita il bluetooth e il wifi, esistono modi per farlo in automatico.
 
 --
 
 ## Geolocalizzazione
 
-- GPS Il vostro telefono non parla con i satelliti, avviene il contrario.
+- Forse inutile dirlo ma il vostro telefono non parla con i satelliti del sistema GPS ma
-  Ma quando conosce la sua posizione puo' comunicarla su altri canali.
+li usa per capire dove si trova (quando conosce la sua posizione puo' comunicarla su altri canali).
 
-La geolocalizzazione usa anche la [lista delle reti
+- La geolocalizzazione usa anche la [lista delle reti
 wireless]((https://location.services.mozilla.com/map) che trova intorno a
 te.  notes:
 - Il GPS riceve solamente (accuracy ~5 metri a scopo civile)
@@ -96,33 +75,42 @@ te.  notes:
 
 --
 
+
+## Geolocalizzazione - IMSI
+
+IMSI Catcher, un simulatore di antenne telefoniche sicuramente
+[usato](https://www.ilfattoquotidiano.it/2015/06/13/con-limsi-catcher-cellulari-a-rischio-attenzione-il-cacciatore-ti-ascolta/1770363/)
+[in
+Italia](https://duckduckgo.com/?q=capitolatotecnicoradiomobili+site%3Apoliziadistato.it).
+
+-- 
+
+E'
+[diffuso](https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector/wiki/Unmasked-Spies),
+se volete divertirvi potete costruire un [imsi catcher
+detector](https://seaglass.cs.washington.edu/)
+
+notes: disabilitare 2g/3g e il roaming
+
+--
+
 ## Malware Vedi
 
 [qui](https://www.autistici.org/underscore/di-trojan-di-stato.html) e
 [qui](https://www.autistici.org/underscore/di-trojan-di-stato-details.html)
 che ne abbiamo parlato un sacco.
 
-Tenete aggiornati i vostri dispositivi, installate solo le app che vi
+- Tenere aggiornati i dispositivi
-servono, disinstallate le app di default, usate [software
+- Installare solo le app che servono
-libero](https://lineageos.org/).
+- Non cliccare su link a caso in arrivo via sms, mail, IM (difficile!)
-
+- Disinstallate le app di default, usate [software libero](https://lineageos.org/) per quanto possibile.
---
-
-## Buone pratiche
-
-- Ma ascolta anche quando è spento?
-- Devo togliere la batteria?
-
-Per discorsi sensibili, lasciate i telefoni in un'altra stanza, se 20
-persone contemporaneamente spengono il telefono in uno stesso luogo
-l'operatore lo sa.
 
 --
 
 ## Attacchi fisici
 
 - Inserite un pin, una passphrase o una sequenza per sbloccare lo schermo
-- No impronte digitali (stanno sul
+- No impronte digitali o altra paccottiglia biometrica per autenticarsi (stanno sul
   [telefono](https://www.ccc.de/en/updates/2014/ursel) e sui
   [server](https://apple.slashdot.org/story/19/03/24/0015213/how-the-fbi-easily-retrieved-michael-cohens-data-from-both-apple-and-google))
 - [Cifrate il
@@ -130,9 +118,9 @@ l'operatore lo sa.
 
 notes: che sia il vostro coinquilino dell'altra stanza, un vostro ex, il
 vostro capo o la digos, se qualcuno prende il vostro telefono in mano e non
-c'e' protezione alcuna, non e' una bella cosa, Anche se non vi sequestrano
+c'e' protezione alcuna, non e' una bella cosa, Anche se non vi rubano
 il telefono, in poco tempo e' possibile installare malware o addirittura in
 alcuni casi reinstallare l'intero sistema operativo avendone accesso
 fisico.  Altra cosa, cifrate il telefono, nelle impostazioni -> sicurezza
 potete mettere la stessa sequenza/pin/password per accendere il telefono e
-per abilitarlo
+per abilitarlo.