freebird/autodifesa-digitale-parte-1
1
0
Fork 0
forked from cisti/facciamo
Code Pull requests Releases Activity

fix e format

Browse source 
Signed-off-by: bic <bicno@autistici.org>
This commit is contained in:
bic 2019-04-08 19:25:36 +02:00
parent 98c38e68ce
commit 5d0faa8d75
No known key found for this signature in database
GPG key ID: 958E390154AB4DFA
9 changed files with 458 additions and 201 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

100
slides/anonimato.md
View file

@ -1,75 +1,107 @@
<!-- .slide: data-background="img/anon.jpg" -->
## anonimato
--
## anonimato
come la sicurezza, non è una proprietà, non si compra, non si installa,
ci devi mettere il cervello. stacce.
Ci sono strumenti, da usare in determinate occasioni,
dipende dal vostro modello di rischio.
## anonimato
--
## anonimato
Come la sicurezza, non è una proprietà, non si compra, non si installa, ci
devi mettere il cervello. stacce.
Ci sono strumenti, da usare in determinate occasioni, dipende dal vostro
modello di rischio.
--
## chi sono?
l'indirizzo ip è un numero composto da 4 cifre da 0 a 255 che
indica il dispositivo che ci collega ad internet in un momento X (anche il telefono ne ha uno).
Gli operatori telefonici tengono dei registri delle assegnazioni di questi indirizzi.
L'indirizzo ip è un numero composto da 4 cifre da 0 a 255 che indica il
dispositivo che ci collega ad internet in un momento X (anche il telefono
ne ha uno).
Gli operatori telefonici tengono dei registri delle assegnazioni di questi
indirizzi.
Quando interagisco con un sito (ad esempio invio la foto di un corteo),
quel sito e tutti quelli che sono tra me e il sito, sapranno l'indirizzo ip
del mittente, quindi se quella foto è problematica, verranno a bussarmi sotto casa.
del mittente, quindi se quella foto è problematica, verranno a bussarmi
sotto casa.
notes: pippa su ipv6
notes:
pippa su ipv6
--
## Tor
Tor è lo "strumento" più famoso per ottenere l'anonimato in rete.
In sostanza un'altra persona si prende l'accollo e la responsabilità
delle tue attività, senza poter sapere chi sei e cosa vuoi (ma perchè lo fa?).
In sostanza un'altra persona si prende l'accollo e la responsabilità delle
tue attività, senza poter sapere chi sei e cosa vuoi (ma perchè lo fa?).
Un'eventuale ascoltatore (attaccante) vedrà che stai interagendo attraverso la rete Tor,
ma non cosa fai e con chi.
Un'eventuale ascoltatore (attaccante) vedrà che stai interagendo attraverso
la rete Tor, ma non cosa fai e con chi.
Numeri: utenti: più di 2milioni al giorno nodi: 7mila
Numeri:
utenti: più di 2milioni al giorno
nodi: 7mila
--
<!-- .slide: data-background="img/tor.png" -->
--
## Tor Browser
Tor Browser è un browser appositamente studiato per funzionare attraverso la rete Tor in automatico
e senza troppo sbattimento.
Tor Browser è un browser appositamente studiato per funzionare attraverso
la rete Tor in automatico e senza troppo sbattimento.
Si occupa anche di preservare l'anonimato in altri modi.
Su android ci sono Tor Browser e Orbot!
--
## Deanonimizzare
La tua identità non è correlata solamente ad un indirizzo ip.
Se postate un commento dal vostro account facebook con Tor Browser,
mi serve l'ip per capire chi ha scritto quel commento?
Se postate un commento dal vostro account facebook con Tor Browser, mi
serve l'ip per capire chi ha scritto quel commento?
--
### Deanonimizzare
Ci sono mille altri modi per deanonimizzare, in sostanza si cerca di creare
un'impronta univoca vostra, attraverso varie tecniche:
- la risoluzione del monitor che state usando
- caratteristiche del browser (lingue supportate, font, sistema operativo, plugin installati, impostazioni, velocità)
- caratteristiche del browser (lingue supportate, font, sistema operativo,
plugin installati, impostazioni, velocità)
- attacchi basati su tempo/spazio particolari.
- comportamenti particolari ([biometria](https://www.typingdna.com/) [comportamentale](https://www.keytrac.net/en/tryout))
- comportamenti particolari ([biometria](https://www.typingdna.com/)
[comportamentale](https://www.keytrac.net/en/tryout))
- aneddoto hardvard
[Tor Browser](https://www.torproject.org/download/download-easy.html.en)
cerca di risolvere la maggior parte di questi attacchi.
[Tor Browser](https://www.torproject.org/download/download-easy.html.en) cerca di risolvere la maggior parte di questi attacchi.
--
## VPN
Le VPN sono un modo sicuro di collegare computer su internet.
Vengono utilizzate ad esempio per collegare uffici di una stessa azienda senza che nessuno
possa sbirciare il traffico (il collegamento è cifrato).
Vengono utilizzate ad esempio per collegare uffici di una stessa azienda
senza che nessuno possa sbirciare il traffico (il collegamento è cifrato).
--
## VPN
Ci sono VPN che vengono invece usate per offrire protezione agli utenti facendoli accedere
ad internet attraverso di loro ([autistici](https://vpn.autistici.org/help/index-it.html), [protonvpn](https://protonvpn.com/))
Ci sono VPN che vengono invece usate per offrire protezione agli utenti
facendoli accedere ad internet attraverso di loro
([riseup](https://riseup.net/en/vpn) [protonvpn](https://protonvpn.com/))
- proteggervi dal controllo da parte dei provider (ISP)
- ovviare alla censura di stato
@ -78,11 +110,13 @@ ad internet attraverso di loro ([autistici](https://vpn.autistici.org/help/index
- rendere più sicuro il vostro traffico su reti Wi-Fi non protette
--
## Tails
[The amnesic incognito live system](https://tails.boum.org/index.it.html)
E' un sistema operativo live, vuole dire che non lo
installi ma parte da una pennetta USB:
E' un sistema operativo live, vuole dire che non lo installi ma parte da
una pennetta USB:
- non lascia tracce delle tue scorribande perche' non salva niente.
- usa Tor per tutto.

64
slides/comunicare.md
View file

@ -1,21 +1,51 @@
<!-- .slide: data-background="img/comunicazione.jpg" -->
## Comunicazione
--
## uno a uno
- mail
- telefonata
- sms
- whatsapp
- telegram
- jabber
- cifrare lecomunicazioni
## uno a uno
- mail
- telefonata
- sms
- whatsapp
- telegram
- jabber
- cifrare lecomunicazioni
--
## molti a molti (gruppi)
- whatsapp
- telegram
- facebook
- mailing list
- jabber
- irc
- mastodon
- cifrare le comunicazioni
## molti a molti (gruppi)
- whatsapp
- telegram
- facebook
- mailing list
- jabber
- irc
- mastodon
- cifrare le comunicazioni
--
## Ma quindi...
--
## PGP (mail cifrate)
- criptografia forte
- funziona
- è un casino da usare
--
## Signal
- criptografia forte
- come qualsiasi app di messaggistica
- comunicazione real time
- autodistruzione dei messaggi
- si può impostare il pin (fatelo!)

29
slides/dati.md
View file

@ -1,6 +1,9 @@
<!-- .slide: data-background="img/hd.jpg" -->
### Sicurezza dei dati
--
### Sicurezza dei dati
Puoi perdere/rompere un dispositivo o possono sequestrarlo.
@ -8,27 +11,37 @@ Prima o poi succede...
![think](img/think.jpg)
<!-- .element: class="fragment" -->
--
## Come risolvo?
- con frequenti backup
- cifrando i dati
--
### Backup
- disco locale (ok, ma se nel nostro modello di rischio c'e' un probabile sequestro non funziona)
- remoto (ok, cifrato va bene dove vogliamo, anche su google/dropbox)
dei programmi che ci sentiamo di consigliare sono:
- per linux [Déjà Dup](https://wiki.gnome.org/Apps/DejaDup) che si basa su [duplicity](http://duplicity.nongnu.org/)
- per android consigliamo [adb](https://www.androidworld.it/2018/03/27/backup-android-543009/) agli smanettoni
--
## Cifratura disco
E' facile! Richiede solo l'inserimento di una passphrase all'avvio del computer o di un pin all'avvio del telefono.
Con una [buona passphrase](#/2/11)/pin il contenuto del disco sarà al sicuro per un po'.
--
## Alcune precisazioni
I dati sono in chiaro a computer acceso,
quindi non lasciarlo incustodito (per poco tempo blocca lo schermo per qualsiasi modello di rischio),
un'alternativa e' fare un'altra partizione cifrata da aprire
@ -36,8 +49,11 @@ solo quando lavori con quel materiale sensibile.
notes:
se suonano alla porta, spegni il computer o smonta la partizione cifrata prima di aprire.
--
## Cancellazione sicura dei dati
Per ottimizzare, quando eliminiamo un file, il sistema operativo segna solo
come libero il posto che occupa, non ne sovrascrive il contenuto.
E' possibile recuperarne il contenuto.
@ -45,5 +61,16 @@ E' possibile recuperarne il contenuto.
Nel caso il disco sia cifrato il pericolo e' minore, anche nel caso
il disco sia un SSD.
Se passate la frontiera o vendete il vostro computer, consideraterlo:
Se passate la frontiera o vendete il vostro computer, consideratelo:
esistono vari programmi per eliminare in maniera sicura i file.
--
## Compartimentazione
Ho bisogno di avere tutti i dati su ogni dispositivo?
- mi servono le mail sul telefono?
- ho bisogno delle chat sul computer?
Spesso la miglior tutela dei dati si ottiene non avendoli ;)

15
slides/intro.md
View file

@ -1,4 +1,5 @@
<!-- .slide: data-background="./img/copertina.png" -->
## Autodifesa<br/>digitale
@ -11,7 +12,9 @@
</footer>
notes:
qui compariranno delle note...
--
## INTRO
Queste slide intendono essere una panoramica concisa di autodifesa digitale.
@ -19,7 +22,9 @@ Rappresentano un'insieme di conoscenze e buone pratiche tratte da varie fonti
ed esperienze.
Sono pensate per essere usufruibili anche da web quindi abbiamo scritto tanto.
--
### Riservatezza, sicurezza, intimità digitali
- Non sono proprietà.
@ -27,11 +32,15 @@ Sono pensate per essere usufruibili anche da web quindi abbiamo scritto tanto.
- E' un processo, bisogna provare, sbagliare, imparare, **metterci attenzione**<!-- .element: class="fragment highlight-red" -->, stacce.
- E' un approccio mentale.
- In generale, stai delegando, cerca di farlo il meno possibile e fallo almeno in rapporti di fiducia.
--
### Ma è sicuro?
- La sicurezza non è mai 100%, dobbiamo attuare una politica di riduzione del danno, non abbiamo altro.
- L'illusione della sicurezza è decisamente peggio della consapevolezza di essere vulnerabili.
--
Inoltre comportamenti e strumenti da adottare in alcuni casi,
in altri non vanno bene.
@ -39,7 +48,9 @@ in altri non vanno bene.
<!-- .element: class="fragment" -->
![](./img/brodino.jpg)
<!-- .element: class="fragment" -->
--
### Modello di rischio
Bisogna che tu capisca il tuo modello di rischio
rispondendo alle seguenti domande:
@ -54,6 +65,7 @@ rispondendo alle seguenti domande:
<!-- .element: class="fragment" -->
--
### Esempi
- rapporto teso con un/a ex
@ -61,13 +73,16 @@ rispondendo alle seguenti domande:
- sequestro
notes: proporre una riflessione collettiva su uno scenario
---
### E quindi?
Che modello di rischio scegliamo noi?
Siccome e' impossibile difendersi da un attaccante sufficientemente potente,
ma soprattutto, la maggior parte di noi non deve avere a che fare con l'NSA,
prendiamo come modello di rischio quello che vede un'autorita' locale voler
in qualche modo indagare su di noi.
--
### Dai, ma chi mi caga?

10
slides/liberta.md
View file

@ -1,7 +1,10 @@
<!-- .slide: data-background="img/freedom.jpg" -->
### Free
### Software
--
### Free Software
Per parlare del software libero (free non vuol dire gratuito) ci vorrebbero ore,
@ -9,7 +12,9 @@ ma qui ci interessa solo sottolineare quali sono le principali differenze,
tra i sistemi operativi e le applicazioni dal punto di vista della **sicurezza**<!-- .element: class="fragment highlight-red" -->.
--
### Proprietario? No thanks
I sistemi operativi e le applicazioni proprietarie (es. Windows, MacOS, iOS),
sono sistemi chiusi.
@ -18,6 +23,7 @@ Significa che nessuno puo' conoscerne il contenuto.
Svolgono delle funzioni, ma come lo fanno o se mentre svolgono le loro funzioni facciano anche altre cose noi non lo sappiamo.
--
### Se è Libero ... MEGLIO!
Il software libero, invece è accessibile a tutti.
@ -29,6 +35,7 @@ Chiunque abbia la giusta competenza può controllare cosa e come svolgono
le loro funzioni.
--
### Fiducia
La comunità che collabora allo sviluppo del software libero è,
@ -38,13 +45,16 @@ Su una comunità così numerosa si può essere confidenti che eventuali,
problemi siano tempestivamente individuati e segnalati.
--
### Consigli
- Sul computer installate [linux](http://www.linux.it/distro) (facile)
- Se avete un telefono con android potete
installare [LineageOS](https://www.lineageos.org/) (meno facile)
notes:
parlare di fdroid (https://www.reddit.com/r/privacy/comments/3cjj2e/how_secure_is_fdroid/) https://f-droid.org/en/docs/Security_Model/
--
### Alcuni numeri

94
slides/metadata.md
View file

@ -1,66 +1,100 @@
<!-- .slide: data-background="img/metadata.jpg" -->
--
## MetaDati
> We kill people based on metadata
Michael Hayden, former CIA and NSA director / [source](https://www.youtube.com/watch?v=UdQiz0Vavmc#t=27s)
Michael Hayden, former CIA and NSA director /
[source](https://www.youtube.com/watch?v=UdQiz0Vavmc#t=27s)
--
## Metadati
Sono dati che descrivono pezzi di informazione tranne l'informazione stessa.
Il contenuto di un messaggio non è il metadato, ma chi l'ha mandato, a chi, da dove e
quando sono tutti esempi di metadati.
Sono dati che descrivono pezzi di informazione tranne l'informazione
stessa. Il contenuto di un messaggio non è il metadato, ma chi l'ha
mandato, a chi, da dove e quando sono tutti esempi di metadati.
--
## Metadati
Ogni informazione digitalizzata di porta dietro dei metadati:
Ogni informazione digitalizzata si porta dietro dei metadati:
- le comunicazioni (sms/telefonate/chat/WA)
<!-- .element: class="fragment" -->
- immagini/pdf (autore, geolocalizzazione, etc..)
<!-- .element: class="fragment" -->
- email (soggetto, destinatario, ora invio)
<!-- .element: class="fragment" -->
--
## A che servono i contenuti se...
- so che hai chiamato una sex line alle 2.24 e hai parlato per 18 minuti
<!-- .element: class="fragment" -->
- che alle 4 del pomeriggio hai chiamato un numero verde per la prevenzione suicidi.
<!-- .element: class="fragment" -->
- hai ricevuto una mail da un servizio di check HIV e poi hai chiamato il tuo medico di base e visitato un forum di sieropositivi nella stessa ora.
<!-- .element: class="fragment" -->
- hai chiamato la tua ginecologa, ci hai parlato per mezz'ora e poi hai chiamato una clinica privata specializzata in aborti
<!-- .element: class="fragment" -->
<!-- .element: class="fragment" -->
- che alle 4 del pomeriggio hai chiamato un numero verde per la prevenzione
suicidi.
<!-- .element: class="fragment" -->
- hai ricevuto una mail da un servizio di check HIV e poi hai chiamato il
tuo medico di base e visitato un forum di sieropositivi nella stessa ora.
<!-- .element: class="fragment" -->
- hai chiamato la tua ginecologa, ci hai parlato per mezz'ora e poi hai
chiamato una clinica privata specializzata in aborti
<!-- .element: class="fragment" -->
--
## E quindi?
In molti sistemi legali solitamente si progettono i contenuti molto meglio dei metadati, ad esempio in italia le telefonate vengono registrate
solamente in caso di indagini in corso per reati di un certo livello, mentre gli operatori telefonici sono per legge obbligati a mantenere i
In molti sistemi legali solitamente si progettono i contenuti molto meglio
dei metadati, ad esempio in italia le telefonate vengono registrate
solamente in caso di indagini in corso per reati di un certo livello,
mentre gli operatori telefonici sono per legge obbligati a mantenere i
metadati delle telefonate per 24 mesi, i famosi tabulati telefonici.
--
## METADATI vs CONTENUTI
La narrazione riguardo questa distinzione, cioe' il trattamento differente dei contenuti rispetto a quello dei metadati, descrive i metadati
come se non fossero un grande problema, come se fossero molto meno invasivi della persona rispetto al contenuto vero e proprio delle comunicazioni.
In realtà è vero il contrario
notes:
per quanto riguarda il controllo massivo...
La narrazione riguardo questa distinzione, cioe' il trattamento differente
dei contenuti rispetto a quello dei metadati, descrive i metadati come se
non fossero un grande problema, come se fossero molto meno invasivi della
persona rispetto al contenuto vero e proprio delle comunicazioni. In
realtà è vero il contrario
notes: per quanto riguarda il controllo massivo...
--
## issue
I metadati sono in forma testuale ed e' quindi possibile fare delle
ricerche massive su di essi, indicizzarli, categorizzarli, cosa impossibile da fare con le comunicazioni vere e proprie.
ricerche massive su di essi, indicizzarli, categorizzarli, cosa impossibile
da fare con le comunicazioni vere e proprie.
Avendone i metadati e' possibile cercare tutte le telefonate effettuate verso un numero, o da un numero, o in un lasso di tempo,
o da un luogo specificato, nessuna di queste ricerche risulta possibile invece avendo solo il contenuto delle comunicazioni.
<!-- .element: class="fragment" -->
Avendo i metadati e' possibile cercare tutte le telefonate effettuate verso
un numero, o da un numero, o in un lasso di tempo, o da un luogo
specificato, nessuna di queste ricerche risulta possibile invece avendo
solo il contenuto delle comunicazioni. <!-- .element: class="fragment" -->
--
## Aneddoto
- [mcafee](https://www.npr.org/sections/thetwo-way/2012/12/04/166487197/betrayed-by-metadata-john-mcafee-admits-hes-really-in-guatemala?t=1543618516954)
- [mcafee 2](https://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/)
--
## Come mi proteggo?
La consapevolezza è già un grande passo avanti.
Puoi usare alcuni strumenti per rimuovere i metadati dai file:
- per android c'è [Scrambled Exif](https://f-droid.org/en/packages/com.jarsilio.android.scrambledeggsif/)
- [mcafee](https://www.npr.org/sections/thetwo-way/2012/12/04/166487197/betrayed-by-metadata-john-mcafee-admits-hes-really-in-guatemala?t=1543618516954)
- [mcafee
2](https://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/)
--
## Come mi proteggo?
La consapevolezza è già un grande passo avanti. Puoi usare alcuni
strumenti per rimuovere i metadati dai file:
- per android c'è [Scrambled
Exif](https://f-droid.org/en/packages/com.jarsilio.android.scrambledeggsif/)
- su linux c'è [mat](https://0xacab.org/jvoisin/mat2)

55
slides/navigare.md
View file

@ -1,47 +1,66 @@
<!-- .slide: data-background="img/internet.jpg" -->
## Navigazione nell'Internet
--
Finora non abbiamo parlato dei pericoli della rete,
ma solo quelli del nostro dispositivo, considerandolo disconnesso.
--
Finora non abbiamo parlato dei pericoli della rete, ma solo quelli del
nostro dispositivo, considerandolo disconnesso.
--
### Come ci connettiamo?
- Wifi? Cambiate la password di default.
- [Disabilitate il WPS del router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486).
- [Disabilitate il WPS del
router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486).
- Wifi pubbliche? usare VPN, vedi dopo.
- Dal telefono, disabilitare il wifi quando non lo usate.
- Preferite il cavo di rete quando potete.
notes:
i dispositivi wifi broadcastano i MAC ai router se non impostati per non farlo (esempio metro di londra)
notes: i dispositivi wifi broadcastano i MAC ai router se non impostati per
non farlo (esempio metro di londra)
https://tfl.gov.uk/corporate/publications-and-reports/wifi-data-collection
--
## Buone pratiche
- Controlla la barra di navigazione (https? il sito è giusto?)
- Sui link sospetti, controlla prima di cliccarci sopra
- Cambiare motore di ricerca di default (usate [duckduckgo](https://duckduckgo.com))
- Cambiare motore di ricerca di default (usate
[duckduckgo](https://duckduckgo.com))
- Salvare le password? (meglio di no)
- Usate i Feed/RSS
- Usate [Tor Browser](https://www.torproject.org/download/download-easy.html.en)
- Usate [Tor
Browser](https://www.torproject.org/download/download-easy.html.en)
- Usate profili differenti o containers per non condividere cookie
- Gli allegati delle mail sono un classico vettore di malware, occhio
--
## Estensioni utili
- [duckduckgo privacy essentials](https://chrome.google.com/webstore/detail/duckduckgo-privacy-essent/bkdgflcldnnnapblkhphbgpggdiikppg)
- [duckduckgo privacy
essentials](https://chrome.google.com/webstore/detail/duckduckgo-privacy-essent/bkdgflcldnnnapblkhphbgpggdiikppg)
- ublock/[adblock plus](https://adblockplus.org/)
- [disconnect](https://addons.mozilla.org/en-US/firefox/addon/disconnect/)
- [facebook container](https://addons.mozilla.org/en-US/firefox/addon/facebook-container/)
- [facebook
container](https://addons.mozilla.org/en-US/firefox/addon/facebook-container/)
- [decentraleyes](https://addons.mozilla.org/en-US/firefox/addon/decentraleyes/)
- [multi-account containers](https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/)
- [multi-account
containers](https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/)
- [adnauseam](https://adnauseam.io/)
--
### Navigazione in incognito
Non c'entra niente con l'anonimato, vi protegge dagli attacchi del
vostro coinquilino che vi guarda la cronologia mentre andate in bagno.
E' una modalità di navigazione che, contrariamente a quanto avviene normalmente:
--
### Navigazione in incognito
Non c'entra niente con l'anonimato, vi protegge dagli attacchi del vostro
coinquilino che vi guarda la cronologia mentre andate in bagno.
E' una modalità di navigazione che, contrariamente a quanto avviene
normalmente:
- non salva la cronologia
- i file scaricati non vengono mostrati nei download
- niente cache
@ -52,5 +71,5 @@ https://blog.mozilla.org/security/2010/03/31/plugging-the-css-history-leak/
https://www.ghacks.net/2018/11/04/browser-history-sniffing-is-still-a-thing/
l'attacco permette attivamente a un sito web di provare diverse url e
vedere se sono gia state visitate dal browser di chi lo visita,
nell'ordine di migliaia di url al secondo.
vedere se sono gia state visitate dal browser di chi lo visita, nell'ordine
di migliaia di url al secondo.

153
slides/password.md
View file

@ -1,97 +1,132 @@
<!-- .slide: data-background="https://ak7.picdn.net/shutterstock/videos/25863227/thumb/5.jpg" -->
<br/><br/>
<!-- .slide:
data-background="https://ak7.picdn.net/shutterstock/videos/25863227/thumb/5.jpg"
--> <br/><br/>
# Password
--
Le password sono la prima barriera di accesso a dati che vogliamo
tenere per noi.
Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare
nel computer e nei mille servizi digitali a cui accediamo.
--
### Ma...
Non siamo bravi a scegliere delle buone password
- <!-- .element: class="fragment" --> E' la password di gmail?
<span>➜ ci mettiamo `gmail` <!-- .element: class="red" --> in mezzo</span> <!-- .element: class="fragment" -->
- <!-- .element: class="fragment" --> Usiamo concetti ricordabili
<span>➜ date di nascita, nomi di amic\*/compagn\*</span> <!-- .element: class="fragment" -->
- <!-- .element: class="fragment" --> Riusiamo la stessa password in molti posti.
<br/>
In pratica scegliamo password facilmente indovinabili.
<!-- .element: class="fragment" -->
--
Le password sono la prima barriera di accesso a dati che vogliamo tenere
per noi.
Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare nel
computer e nei mille servizi digitali a cui accediamo.
--
### Ma... Non siamo bravi a scegliere delle buone password
- <!-- .element: class="fragment" --> E' la password di gmail? <span>
ci mettiamo `gmail` <!-- .element: class="red" --> in mezzo</span> <!--
.element: class="fragment" -->
- <!-- .element: class="fragment" --> Usiamo concetti ricordabili <span>
date di nascita, nomi di amic\*/compagn\*</span> <!-- .element: class="fragment" -->
- <!-- .element: class="fragment" --> Riusiamo la stessa password in
molti posti.
<br/> In pratica scegliamo password facilmente indovinabili. <!--
.element: class="fragment" -->
--
Spinti a migliorare le nostre password
![img/passhint.png](./img/password-requisiti.png)
--
scegliamo le soluzioni piu' semplici e prevedibili
- <!-- .element: class="fragment" --> e' la password di facebook ➜ **facebookpassword**
- <!-- .element: class="fragment" --> inserisci almeno una maiuscola ➜ **Facebookpassword**
- <!-- .element: class="fragment" --> inserisci almeno un numero ➜ **Facebookpassword1**
- <!-- .element: class="fragment" --> inserisci almeno un simbolo ➜ **Facebookpassword1!**
notes:
Sono tutti schemi facilmente immaginabili.
--
scegliamo le soluzioni piu' semplici e prevedibili
- <!-- .element: class="fragment" --> e' la password di facebook ➜
**facebookpassword**
- <!-- .element: class="fragment" --> inserisci almeno una maiuscola ➜
**Facebookpassword**
- <!-- .element: class="fragment" --> inserisci almeno un numero ➜
**Facebookpassword1**
- <!-- .element: class="fragment" --> inserisci almeno un simbolo ➜
**Facebookpassword1!**
notes: Sono tutti schemi facilmente immaginabili.
--
### Ma soprattutto..
Usiamo la stessa password per più siti/servizi
![scimmia](./img/scimmia.jpg)
<!-- .element: class="fragment" -->
notes:
![scimmia](./img/scimmia.jpg) <!-- .element: class="fragment" --> notes:
chiedere perche' e' un problema....
--
### Orrore!
<!-- .element: class="fragment" --> i dipendenti di ogni servizio hanno accesso ad ogni altro servizio!
<!-- .element: class="fragment" --> i dipendenti di ogni servizio hanno
accesso ad ogni altro servizio!
<!-- .element: class="fragment" --> quando (non se) uno dei servizi viene bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno si e l'altro pure).
<!-- .element: class="fragment" --> quando (non se) uno dei servizi viene
bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno
si e l'altro pure).
<!-- .element: class="fragment" --> E' talmente diffusa la cosa che mozilla ha un servizio per fare
un check ➜ [monitor.firefox.com](https://monitor.firefox.com)
<!-- .element: class="fragment" --> E' talmente diffusa la cosa che mozilla
ha un servizio per fare un check ➜
[monitor.firefox.com](https://monitor.firefox.com)
--
### Leak
Negli ultimi anni sono stati bucati tanti servizi e milioni di password sono diventate pubbliche (leak)
permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e `password`,
gli schemi usati sono drammaticamente ricorrenti e la maggior parte delle persone riusa
le password in piu' servizi.
Una lista di servizi la cui compromissione è pubblica è [qui](https://haveibeenpwned.com/PwnedWebsites).
Un posto dove poter studiare le statistiche
Negli ultimi anni sono stati bucati tanti servizi e milioni di password
sono diventate pubbliche (leak) permettendo di farci ricerca sopra e si, le
password piu' usate sono `123456` e `password`, gli schemi usati sono
drammaticamente ricorrenti e la maggior parte delle persone riusa le
password in piu' servizi.
Una lista di servizi la cui compromissione è pubblica è
[qui](https://haveibeenpwned.com/PwnedWebsites). Un posto dove poter
studiare le statistiche
--
### Password Cracking
Esistono programmi e servizi che tentano ripetutamente password basandosi sulla nostra prevedibilità
e si basano comunemente su dizionari a cui vengono applicate delle regole (permutazioni, aggiunte di prefissi/suffissi,
cambio di caratteri comuni, maiuscole/minuscole).
Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target.
notes:
Mostrare un piccolo esempio di `hashcat` (da preparare)
Esistono programmi e servizi che tentano ripetutamente password basandosi
sulla nostra prevedibilità e si basano comunemente su dizionari a cui
vengono applicate delle regole (permutazioni, aggiunte di
prefissi/suffissi, cambio di caratteri comuni, maiuscole/minuscole).
Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc
prendendo tutto il material digitale del target. notes: Mostrare un
piccolo esempio di `hashcat` (da preparare)
--
### E quindi?
Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo.
--
### Password manager
Usiamo i password manager.
Sono dei programmi che generano e si ricordano delle password sicure,
in cambio di una sola master password (passphrase).
notes:
spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche.
Sono dei programmi che generano e si ricordano delle password sicure, in
cambio di una sola master password (passphrase).
notes: spiegare master password, che e' possibile fare piu' liste di
password, suggerire buone pratiche.
--
### E la master password?
Per le poche passphrase che non possiamo salvare usiamo i seguenti accorgimenti:
### E la master password? Per le poche passphrase che non possiamo salvare
usiamo i seguenti accorgimenti:
- mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
- mai condividere una passphrase (no no no e no)
- mai scrivere una passphrase (a parte se sai quello che stai facendo)
- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle.
- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra
per ricordarle.
notes:
il `4` del primo punto e' un numero a caso.
esempio live di scelta passphrase.
notes: il `4` del primo punto e' un numero a caso. esempio live di scelta
passphrase.

139
slides/smartphone.md
View file

@ -1,85 +1,138 @@
<!-- .slide: data-background="img/this-is-your-brain-on-apps.jpg" -->
## Smartphone
--
## Smartphone
- Sono ovunque, sono Lo strumento usato per comunicare
- Telefonate, internet, chat, foto, video, etc..
- Non sono stati progettati per essere sicuri
--
## Meno controllo
Rispetto ad un computer è più complicato:
- sostituire il sistema operativo (pensate a quanto vi abbiamo rotto con linux)
- sostituire il sistema operativo (pensate a quanto vi abbiamo rotto con
linux)
- investigare presenza di malware/virus
- disinstallare programmi di default (telefoni brandizzati)
- prevenire il monitoraggio
--
## Obsolescenza..
Inoltre il produttore del telefono dichiarando lo stesso obsoleto smette di
fornire aggiornamenti software (lasciando aperte vulnerabilità di pubblico
dominio)
--
## Geolocalizzazione - Cell
Un telefono acceso si collega ad una cella della rete telefonica,
quale cella e quale telefono vengono segnati dall'operatore, che tiene per molto
tempo questa informazione.
--
## Geolocalizzazione - Cell
E' possibile triangolare un dispositivo stimando la potenza del segnale ricevuto da celle vicine, si attiva chiamando il 118 e tipo se siete sotto sorveglianza.
Non c'è modo di evitare questo attacco se non lasciando il telefono a casa :)
--
## Geolocalizzazione - Cell
Un telefono acceso si collega ad una cella della rete telefonica, quale
cella e quale telefono vengono segnati dall'operatore, che tiene per molto
tempo questa informazione.
--
## Geolocalizzazione - Cell
E' possibile triangolare un dispositivo stimando la potenza del segnale
ricevuto da celle vicine, si attiva chiamando il 118 e tipo se siete sotto
sorveglianza.
Non c'è modo di evitare questo attacco se non lasciando il telefono a casa
:)
--
## Geolocalizzazione - IMSI
IMSI Catcher, un simulatore di antenne telefoniche sicuramente [usato](https://www.ilfattoquotidiano.it/2015/06/13/con-limsi-catcher-cellulari-a-rischio-attenzione-il-cacciatore-ti-ascolta/1770363/) [in Italia](https://duckduckgo.com/?q=capitolatotecnicoradiomobili+site%3Apoliziadistato.it).
IMSI Catcher, un simulatore di antenne telefoniche sicuramente
[usato](https://www.ilfattoquotidiano.it/2015/06/13/con-limsi-catcher-cellulari-a-rischio-attenzione-il-cacciatore-ti-ascolta/1770363/)
[in
Italia](https://duckduckgo.com/?q=capitolatotecnicoradiomobili+site%3Apoliziadistato.it).
Può rispondere a domande del tipo: "dammi tutti i numeri di telefono presenti in questa zona, quel giorno" senza farne richiesta al magistrato.
Può rispondere a domande del tipo: "dammi tutti i numeri di telefono
presenti in questa zona, quel giorno" senza farne richiesta al magistrato.
E' [diffuso](https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector/wiki/Unmasked-Spies), se volete divertirvi potete costruire un [imsi catcher detector](https://seaglass.cs.washington.edu/)
E'
[diffuso](https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector/wiki/Unmasked-Spies),
se volete divertirvi potete costruire un [imsi catcher
detector](https://seaglass.cs.washington.edu/)
notes: disabilitare 2g/3g e il roaming
notes:
disabilitare 2g/3g e il roaming
--
## Geolocalizzazione - WIFI
Il telefono va' in giro [urlando ai quattro venti un suo identificativo univoco](http://www.gizmodo.co.uk/2017/02/heres-what-tfl-learned-from-tracking-your-phone-on-the-tube/).
notes:
Disabilita il bluetooth e il wifi quando esci di casa.
## Geolocalizzazione
- WIFI Il telefono va' in giro [urlando ai quattro venti un suo
identificativo
univoco](http://www.gizmodo.co.uk/2017/02/heres-what-tfl-learned-from-tracking-your-phone-on-the-tube/).
notes: Disabilita il bluetooth e il wifi quando esci di casa.
--
## Geolocalizzazione - GPS
Il vostro telefono non parla con i satelliti, avviene il contrario.
Ma quando conosce la sua posizione puo' comunicarla su altri canali.
La geolocalizzazione usa anche la [lista delle reti wireless]((https://location.services.mozilla.com/map) che trova intorno a te.
notes:
## Geolocalizzazione
- GPS Il vostro telefono non parla con i satelliti, avviene il contrario.
Ma quando conosce la sua posizione puo' comunicarla su altri canali.
La geolocalizzazione usa anche la [lista delle reti
wireless]((https://location.services.mozilla.com/map) che trova intorno a
te. notes:
- Il GPS riceve solamente (accuracy ~5 metri a scopo civile)
- Si geolocalizza anche senza GPS ma col [WIFI](https://location.services.mozilla.com/map#2/15.0/10.0) (~78 metri)
Faccio una lista delle reti wifi nel posto dove mi trovo e
mi segno la potenza del segnale di ognuna e/o il tempo di risposta.
- Si geolocalizza anche senza GPS ma col
[WIFI](https://location.services.mozilla.com/map#2/15.0/10.0) (~78 metri)
Faccio una lista delle reti wifi nel posto dove mi trovo e mi segno la
potenza del segnale di ognuna e/o il tempo di risposta.
- O con il cellular positioning (~600 metri)
--
## Malware
Vedi [qui](https://www.autistici.org/underscore/di-trojan-di-stato.html) e [qui](https://www.autistici.org/underscore/di-trojan-di-stato-details.html) che ne abbiamo parlato un sacco.
Tenete aggiornati i vostri dispositivi, installate solo le app che vi servono, disinstallate le app di default, usate [software libero](https://lineageos.org/).
## Malware Vedi
[qui](https://www.autistici.org/underscore/di-trojan-di-stato.html) e
[qui](https://www.autistici.org/underscore/di-trojan-di-stato-details.html)
che ne abbiamo parlato un sacco.
Tenete aggiornati i vostri dispositivi, installate solo le app che vi
servono, disinstallate le app di default, usate [software
libero](https://lineageos.org/).
--
## Buone pratiche
- Ma ascolta anche quando è spento?
- Devo togliere la batteria?
Per discorsi sensibili, lasciate i telefoni in un'altra stanza,
se 20 persone contemporaneamente spengono il telefono in uno stesso luogo
Per discorsi sensibili, lasciate i telefoni in un'altra stanza, se 20
persone contemporaneamente spengono il telefono in uno stesso luogo
l'operatore lo sa.
--
## Attacchi fisici
- Inserite un pin, una passphrase o una sequenza per sbloccare lo schermo
- [Cifrate il telefono](https://trovalost.it/come-cifrare-un-telefono-android/)
notes:
che sia il vostro coinquilino dell'altra stanza, un vostro ex,
il vostro capo o la digos, se qualcuno prende il vostro telefono in mano e non c'e'
protezione alcuna, non e' una bella cosa, Anche se non vi sequestrano il telefono, in poco
tempo e' possibile installare malware o addirittura in alcuni casi reinstallare l'intero sistema operativo avendone accesso fisico.
Altra cosa, cifrate il telefono, nelle impostazioni -> sicurezza
potete mettere la stessa sequenza/pin/password per accendere il telefono e per abilitarlo
--
## Attacchi fisici
- Inserite un pin, una passphrase o una sequenza per sbloccare lo schermo
- No impronte digitali (stanno sul
[telefono](https://www.ccc.de/en/updates/2014/ursel) e sui
[server](https://apple.slashdot.org/story/19/03/24/0015213/how-the-fbi-easily-retrieved-michael-cohens-data-from-both-apple-and-google))
- [Cifrate il
telefono](https://trovalost.it/come-cifrare-un-telefono-android/)
notes: che sia il vostro coinquilino dell'altra stanza, un vostro ex, il
vostro capo o la digos, se qualcuno prende il vostro telefono in mano e non
c'e' protezione alcuna, non e' una bella cosa, Anche se non vi sequestrano
il telefono, in poco tempo e' possibile installare malware o addirittura in
alcuni casi reinstallare l'intero sistema operativo avendone accesso
fisico. Altra cosa, cifrate il telefono, nelle impostazioni -> sicurezza
potete mettere la stessa sequenza/pin/password per accendere il telefono e
per abilitarlo