From e0af73fb0595a3032260c337215c54c537f3094c Mon Sep 17 00:00:00 2001 From: kosti Date: Tue, 13 Oct 2020 14:38:07 +0200 Subject: [PATCH] adding --- mute-star.md | 583 +++++++++++++++++++++++++++++++++++++++++++++++ presentazione.md | 60 +++++ 2 files changed, 643 insertions(+) create mode 100644 mute-star.md create mode 100644 presentazione.md diff --git a/mute-star.md b/mute-star.md new file mode 100644 index 0000000..32bf599 --- /dev/null +++ b/mute-star.md @@ -0,0 +1,583 @@ +# Data Economy + +#### formazione all'uso consapevole del PC e smartphone off/online + + + +--- + +## Abinaria +![demoPicture](/images/Screenshot1.png) + +-- + +## Abinaria +![demoPicture](/images/Screenshot.png) +#### cooperativa di servizi digitali + + +Note: +- ringraziamenti a XM24 e MAG + + + +--- + +## Video conferenza + +BigBlueButton +- open source +- ospitato da Cisti.org + +### https://edu.cisti.org + +Note: +- privacy friendly +- filiera del software e di chi lo fa andare + +--- +##### ci tocca partire +## dai computer + +-- + +![guide.boum.org](/images/couverture.png) + +Note: + +-- + +![guide.boum.org base](/images/base0.png) + +-- +## Computer +### elaboratore o calcolatore, +#### è una macchina automatizzata programmabile in grado di eseguire sia complessi calcoli matematici (calcolatore) sia altri tipi di elaborazioni dati (elaboratore) + +-- + +![portatile https://www.polocodigoro.edu.it/mostrainformatica/pannelli/computerportatile.html](/images/comp_portatilepezzi.jpg.jpg) +Note: +tutto ciò ha un design, impatto sull'ambiente, è una industria +-- + +![von neumann](/images/Von_Neumann.gif) + +Note: +ecco fai due passi e sei già di nuovo ai dati + +-- + +![guide.boum.org base](/images/base1.png) + + +-- + +# Informatica +# = +## informazione automatica + + +-- + +## dai primi computer + +![eniac](/images/800px-Eniac.jpg) + +-- + +## a quelli moderni + +![pcbiblue](/images/800px-20080831-R0012506.jpeg) + +--- +# la rete +-- + +## dal telegrafo (1891) + +![pcbiblue](/images/1891_Telegraph_Lines.jpg) + +-- + +## alla rete internet + +![pcbiblue](/images/mondo-cavi.png) + +-- + +## Client + +![router](/images/furto.jpg) + +-- + +## lato Server o Cloud + +#### i datacenter + +![datacenter](/images/datacenter.png) + +-- + +![datacenter](/images/Data-Center-1024x633.jpg) + +--- +## dalla macchina al codice +-- + +### Il sistema di astrazione + + + +-- + +## Sistema operativo +## != +## Applicazioni +ma entrambi possono essere in software libero + +--- + +### Free +### Software + +-- + +### Free Software + +Per parlare del software libero (free non vuol dire gratuito) ci vorrebbero ore, +ma qui ci interessa solo sottolineare quali sono le principali differenze, +tra i sistemi operativi e le applicazioni dal punto di vista della **sicurezza**. + +-- + +### Proprietario? No thanks + +I sistemi operativi e le applicazioni proprietarie (es. Windows, MacOS, iOS), +sono sistemi chiusi. + +Significa che nessuno puo' conoscerne il contenuto. + +Svolgono delle funzioni, ma come lo fanno o se mentre svolgono le loro funzioni facciano anche altre cose noi non lo sappiamo. + +-- + +### Se è Libero ... MEGLIO! + +Il software libero, invece è accessibile a tutti. + +Di qualsiasi programma o parte del sistema sono disponibili e pubblici, +i sorgenti. + +Chiunque abbia la giusta competenza può controllare cosa e come svolgono +le loro funzioni. + +-- + +### Fiducia + +La comunità che collabora allo sviluppo del software libero è, +essa stessa garanzia di controllo sui suoi contenuti. + +Su una comunità così numerosa si può essere confidenti che eventuali, +problemi siano tempestivamente individuati e segnalati. + +-- + +### Consigli + +- Sul computer installate [linux](http://www.linux.it/distro) (facile) +- Se avete un telefono con android potete + installare [LineageOS](https://www.lineageos.org/) (meno facile) + +Note: +parlare di fdroid (https://www.reddit.com/r/privacy/comments/3cjj2e/how_secure_is_fdroid/) https://f-droid.org/en/docs/Security_Model/ +--- +FOSDEM 2018 + +https://mirror.as35701.net/video.fosdem.org/2018/H.1301+(Cornil)/introductiontothedecentralizedinternetpart.mp4 + +6min in inglese + +--- + +# pausa + +--- + +## Economia dei dati + +Una data economy è un ecosistema digitale globale in cui i dati vengono raccolti , organizzati e scambiati da una rete di fornitori allo scopo di ricavare valore dalle informazioni accumulate. +-- +### https://en.wikipedia.org/wiki/Data_economy +--- +### come orientarsi? + +![](/images/sketch09_button-feedback_by_David_Revoy.jpg) +-- + una organizzazione interessante + +![framasoft](/images/frama1.png) +-- +![framasoft](/images/frama2.png) +-- +## degooglizzarsi + +![framasoft](/images/frama3.png) +-- +![framasoft](/images/frama4.png) +-- +![framasoft](/images/frama5.png) +-- +### 2020 ? +![framasoft](/images/2020-borsa.png) +-- +![framasoft](/images/frama6.png) +-- +![framasoft](/images/frama7.png) +-- + +![framasoft](/images/frama9.png) +-- +![framasoft](/images/frama8.png) +-- + +### Alternative online + +--- +### Alternative offline + + +--- +### Catena di sicurezza: +* hardware +* SO +* design del software +* realizzazione del software +* distribuzione del software + +Note: +keylogger,chip +windows/apple e backdoor +design malevolo +software corrotto +iniezioni di altro codice dal market o esecuzione di altro +--- +## Smartphone + +-- + +## Smartphone + +- Sono ovunque, sono Lo strumento usato per comunicare +- Telefonate, internet, chat, foto, video, etc.. +- Non sono stati progettati per essere sicuri + +-- + +## Meno controllo + +Rispetto ad un computer è più complicato: +- sostituire il sistema operativo (pensate a quanto vi abbiamo rotto con + linux) +- investigare presenza di malware/virus +- disinstallare programmi di default (telefoni brandizzati) +- prevenire il monitoraggio + +-- + +## Obsolescenza.. + +Inoltre il produttore del telefono dichiarando lo stesso obsoleto smette di +fornire aggiornamenti software (lasciando aperte vulnerabilità di pubblico +dominio) + +-- + +## Geolocalizzazione - Cell + +Un telefono acceso si collega ad una cella della rete telefonica, quale +cella e quale telefono vengono segnati dall'operatore, che tiene per molto +tempo questa informazione. + +-- + +## Geolocalizzazione - wifi + +- WIFI Il telefono va' in giro [urlando ai quattro venti un suo + identificativo + univoco](http://www.gizmodo.co.uk/2017/02/heres-what-tfl-learned-from-tracking-your-phone-on-the-tube/). + +-- + +## Geolocalizzazione - GPS + +- GPS Il vostro telefono non parla con i satelliti, avviene il contrario. + Ma quando conosce la sua posizione puo' comunicarla su altri canali. + +La geolocalizzazione usa anche la [lista delle reti +wireless]((https://location.services.mozilla.com/map) che trova intorno a +te. + +-- + +## Malware + +Tenete aggiornati i vostri dispositivi, installate solo le app che vi +servono, disinstallate le app di default, usate [software +libero](https://lineageos.org/). + +-- + +## Buone pratiche + +- Ma ascolta anche quando è spento? +- Devo togliere la batteria? + +Per discorsi sensibili, lasciate i telefoni in un'altra stanza, se 20 +persone contemporaneamente spengono il telefono in uno stesso luogo +l'operatore lo sa. + +-- + +## Attacchi fisici + +- Inserite un pin, una passphrase o una sequenza per sbloccare lo schermo +- No impronte digitali (stanno sul + [telefono](https://www.ccc.de/en/updates/2014/ursel) e sui + [server](https://apple.slashdot.org/story/19/03/24/0015213/how-the-fbi-easily-retrieved-michael-cohens-data-from-both-apple-and-google)) +- [Cifrate il + telefono](https://trovalost.it/come-cifrare-un-telefono-android/) + +--- + +## pausa + +--- + +Sicurezza (safe e save) + +-- + +## privacy come + +* intimità del singolo, +* di gruppo (confidenzialità) +* anonimato + +-- + +## proteggersi + +dati come descrizione di noi +### riservatezza +### integrità +### accessibilità + +--- + + + +# Password + +-- + +Le password sono la prima barriera di accesso a dati che vogliamo tenere +per noi. + + +Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare nel +computer e nei mille servizi digitali a cui accediamo. + +-- + +### Ma... Non siamo bravi a scegliere delle buone password + + - E' la password di gmail? ➜ + ci mettiamo `gmail` in mezzo + - Usiamo concetti ricordabili ➜ + date di nascita, nomi di amic\*/compagn\* + - Riusiamo la stessa password in + molti posti. + +
In pratica scegliamo password facilmente indovinabili. + +-- + +Spinti a migliorare le nostre password + +![img/passhint.png](./img/password-requisiti.png) + +-- + +scegliamo le soluzioni piu' semplici e prevedibili +- e' la password di facebook ➜ + **facebookpassword** +- inserisci almeno una maiuscola ➜ + **Facebookpassword** +- inserisci almeno un numero ➜ + **Facebookpassword1** +- inserisci almeno un simbolo ➜ + **Facebookpassword1!** + + + +-- + +### Ma soprattutto.. + +Usiamo la stessa password per più siti/servizi + +![scimmia](./img/scimmia.jpg) +Note: +chiedere perche' e' un problema.... + +-- + +### Orrore! + + i dipendenti di ogni servizio hanno +accesso ad ogni altro servizio! + + quando (non se) uno dei servizi viene +bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno +si e l'altro pure). + + E' talmente diffusa la cosa che mozilla +ha un servizio per fare un check ➜ +[monitor.firefox.com](https://monitor.firefox.com) + +-- + +### Leak + +Negli ultimi anni sono stati bucati tanti servizi e milioni di password +sono diventate pubbliche (leak) permettendo di farci ricerca sopra e si, le +password piu' usate sono `123456` e `password`, gli schemi usati sono +drammaticamente ricorrenti e la maggior parte delle persone riusa le +password in piu' servizi. + +Una lista di servizi la cui compromissione è pubblica è +[qui](https://haveibeenpwned.com/PwnedWebsites). Un posto dove poter +studiare le statistiche + +-- + +### Password Cracking + +Esistono programmi e servizi che tentano ripetutamente password basandosi +sulla nostra prevedibilità e si basano comunemente su dizionari a cui +vengono applicate delle regole (permutazioni, aggiunte di +prefissi/suffissi, cambio di caratteri comuni, maiuscole/minuscole). + +Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc +prendendo tutto il material digitale del target. notes: Mostrare un +piccolo esempio di `hashcat` (da preparare) + +-- + +### E quindi? + +Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo. + +-- + +### Password manager + +Usiamo i password manager. + +Sono dei programmi che generano e si ricordano delle password sicure, in +cambio di una sola master password (passphrase). + +Note: +spiegare master password, che e' possibile fare piu' liste di +password, suggerire buone pratiche. + +-- + +### E la master password? +#### Per le poche passphrase che non possiamo salvare usiamo i seguenti accorgimenti: + +- mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce) +- mai condividere una passphrase (no no no e no) +- mai scrivere una passphrase (a parte se sai quello che stai facendo) +- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra + per ricordarle. + +--- + + +## Navigazione nell'Internet + +-- + +Finora non abbiamo parlato dei pericoli della rete, ma solo quelli del +nostro dispositivo, considerandolo disconnesso. + +-- + +### Come ci connettiamo? + + - Wifi? Cambiate la password di default. + - [Disabilitate il WPS del + router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486). + - Wifi pubbliche? usare VPN, vedi dopo. + - Dal telefono, disabilitare il wifi quando non lo usate. + - Preferite il cavo di rete quando potete. + +Note: i dispositivi wifi broadcastano i MAC ai router se non impostati per +non farlo (esempio metro di londra) +https://tfl.gov.uk/corporate/publications-and-reports/wifi-data-collection + +-- + +## Buone pratiche + + - Controlla la barra di navigazione (https? il sito è giusto?) + - Sui link sospetti, controlla prima di cliccarci sopra + - Cambiare motore di ricerca di default (usate + [duckduckgo](https://duckduckgo.com)) + - Salvare le password? (meglio di no) + - Usate i Feed/RSS, ad esempio con [Brief](https://addons.mozilla.org/it/firefox/addon/brief/) + - Usate [Tor + Browser](https://www.torproject.org/download/download-easy.html.en) + - Usate profili differenti o containers per non condividere cookie + - Gli allegati delle mail sono un classico vettore di malware, occhio + +-- + +## Estensioni utili + + - [duckduckgo privacy + essentials](https://chrome.google.com/webstore/detail/duckduckgo-privacy-essent/bkdgflcldnnnapblkhphbgpggdiikppg) + - ublock/[adblock plus](https://adblockplus.org/) + - [disconnect](https://addons.mozilla.org/en-US/firefox/addon/disconnect/) + - [facebook + container](https://addons.mozilla.org/en-US/firefox/addon/facebook-container/) + - [decentraleyes](https://addons.mozilla.org/en-US/firefox/addon/decentraleyes/) + - [multi-account + containers](https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/) + - [adnauseam](https://adnauseam.io/) + +-- + +### Navigazione in incognito + +Non c'entra niente con l'anonimato, vi protegge dagli attacchi del vostro +coinquilino che vi guarda la cronologia mentre andate in bagno. + +E' una modalità di navigazione che, contrariamente a quanto avviene +normalmente: +- non salva la cronologia +- i file scaricati non vengono mostrati nei download +- niente cache +- non salva i cookie (non sono loggato in sessioni successive) + + + + diff --git a/presentazione.md b/presentazione.md new file mode 100644 index 0000000..edcd87d --- /dev/null +++ b/presentazione.md @@ -0,0 +1,60 @@ +# formazione mag + +#### modello di rischio e valutazione degli strumenti + + + +--- + +# Modello di rischio + +Ovvero: Solo tu puoi sapere cosa vuoi proteggere e da chi + +Note: +e' una cosa che facciamo nella nostra quotidianita',solo in contesti diversi tipo:dove parcheggio la bici?[di notte/giorno/di fianco ad una festa/fuori dalle linee bianche/in un quartiere malfamato/etc] + +-- + +## Modello di rischio + +* Cosa vuoi proteggere? +* Da cosa lo vuoi proteggere? +* Quanto sono gravi le conseguenze se fallisco? +* Quanto sono disposta a fare per prevenire possibili conseguenze? +* come posso risolvere i rischi piu' probabili? + + +Note: + +Che cosa sai di queste persone/entità? + +--- + +## Come scegliere gli strumenti + +[Guida](https://hackordie.gattini.ninja/randioworld/wp-content/uploads/2019/11/Audit-tool-2.pdf) + +* Gratuità +* Assistenza +* Accessibilità +* Sostenibilità +* Usabilità +* Feature-full +* Raggiungibilità +* Robustezza +* Possesso dei dati +* Confidenzialità +* Diversità +* Politica +* Consenso +* Locale +* Parsimonia + +Note: +https://ssd.eff.org/en/module/seven-steps-digital-security +https://sec.eff.org/topics/threat-modeling/beginning +https://sec.eff.org/materials/threat-modeling-activity-handout-for-learners + +https://saferjourno.internews.org/pdf/SaferJourno_Guide.pdf#DigitalSecTrainersGuide.indd%3A.20070%3A379 + +