forked from cisti/facciamo
.
This commit is contained in:
parent
a71cfbb13d
commit
8b1089874a
10 changed files with 103 additions and 72 deletions
|
@ -219,7 +219,7 @@ body {
|
|||
visibility: hidden;
|
||||
opacity: 0;
|
||||
-webkit-appearance: none;
|
||||
-webkit-tap-highlight-color: transparent; }
|
||||
-webkit-tap-highlight-color: rgba(0, 0, 0, 0); }
|
||||
.reveal .controls .controls-arrow:before,
|
||||
.reveal .controls .controls-arrow:after {
|
||||
content: '';
|
||||
|
@ -888,7 +888,7 @@ body {
|
|||
opacity: 0;
|
||||
visibility: hidden;
|
||||
overflow: hidden;
|
||||
background-color: transparent;
|
||||
background-color: rgba(0, 0, 0, 0);
|
||||
background-position: 50% 50%;
|
||||
background-repeat: no-repeat;
|
||||
background-size: cover;
|
||||
|
@ -1268,7 +1268,7 @@ body {
|
|||
z-index: 30;
|
||||
cursor: pointer;
|
||||
transition: all 400ms ease;
|
||||
-webkit-tap-highlight-color: transparent; }
|
||||
-webkit-tap-highlight-color: rgba(0, 0, 0, 0); }
|
||||
|
||||
.reveal.overview .playback {
|
||||
opacity: 0;
|
||||
|
|
|
@ -15,7 +15,7 @@ body {
|
|||
background-color: #222; }
|
||||
|
||||
.reveal {
|
||||
font-family: Lato Light, Source Sans Pro, Helvetica, sans-serif;
|
||||
font-family: "Lato Light", "Source Sans Pro", Helvetica, sans-serif;
|
||||
font-size: 42px;
|
||||
font-weight: normal;
|
||||
color: #fff; }
|
||||
|
@ -46,7 +46,7 @@ body {
|
|||
.reveal h6 {
|
||||
margin: 0 0 20px 0;
|
||||
color: #fff;
|
||||
font-family: Lato Light, Source Sans Pro, Helvetica, sans-serif;
|
||||
font-family: "Lato Light", "Source Sans Pro", Helvetica, sans-serif;
|
||||
font-weight: 600;
|
||||
line-height: 1.2;
|
||||
letter-spacing: normal;
|
||||
|
|
|
@ -22,8 +22,8 @@ $mainColor: #fff;
|
|||
$headingColor: #fff;
|
||||
|
||||
$mainFontSize: 42px;
|
||||
$mainFont: 'Source Sans Pro', Helvetica, sans-serif;
|
||||
$headingFont: 'Source Sans Pro', Helvetica, sans-serif;
|
||||
$mainFont: 'Lato Light', 'Source Sans Pro', Helvetica, sans-serif;
|
||||
$headingFont: 'Lato Light', 'Source Sans Pro', Helvetica, sans-serif;
|
||||
$headingTextShadow: none;
|
||||
$headingLetterSpacing: normal;
|
||||
$headingTextTransform: uppercase;
|
||||
|
|
|
@ -78,3 +78,14 @@ based on dark.css by Ivan Sagalaev
|
|||
.hljs-strong {
|
||||
font-weight: bold;
|
||||
}
|
||||
|
||||
|
||||
input, button {
|
||||
font-size: 100%;
|
||||
margin: 0px;
|
||||
border: 0px;
|
||||
}
|
||||
|
||||
button {
|
||||
margin-left: -10px;
|
||||
}
|
|
@ -17,6 +17,10 @@ Prima o poi succede...
|
|||
### Backup
|
||||
- disco locale (ok, ma se nel nostro modello di rischio c'e' un probabile sequestro non funziona)
|
||||
- remoto (ok, cifrato va bene dove vogliamo, anche su google/dropbox)
|
||||
|
||||
dei programmi che ci sentiamo di consigliare sono:
|
||||
- per linux [Déjà Dup](https://wiki.gnome.org/Apps/DejaDup) che si basa su [duplicity](http://duplicity.nongnu.org/)
|
||||
- per android consigliamo [adb](https://www.androidworld.it/2018/03/27/backup-android-543009/) agli smanettoni
|
||||
--
|
||||
|
||||
## Cifratura disco
|
||||
|
@ -30,6 +34,7 @@ quindi non lasciarlo incustodito (per poco tempo blocca lo schermo per qualsiasi
|
|||
un'alternativa e' fare un'altra partizione cifrata da aprire
|
||||
solo quando lavori con quel materiale sensibile.
|
||||
|
||||
notes:
|
||||
se suonano alla porta, spegni il computer o smonta la partizione cifrata prima di aprire.
|
||||
--
|
||||
## Cancellazione sicura dei dati
|
||||
|
|
|
@ -2,21 +2,21 @@
|
|||
## Autodifesa<br/>digitale
|
||||
|
||||
|
||||
[_TO* hacklab](https://autistici.org/underscore)
|
||||
[underscore_to hacklab](https://autistici.org/underscore)
|
||||
<footer>
|
||||
<small>per presentazioni premi `s` e abilita i popup</small>
|
||||
<small>premi `ESC` per una panoramica</small>
|
||||
<small>premi `F11` per fullscreen (must)</small>
|
||||
<small>premi **ESC** per una panoramica</small>
|
||||
<small>premi **F11** per fullscreen (must)</small>
|
||||
<small>per domande scrivici a **underscore [at] autistici.org** </small>
|
||||
</footer>
|
||||
notes:
|
||||
qui compariranno delle note...
|
||||
--
|
||||
## INTRO
|
||||
Queste slide intendono essere una panoramica concisa di autodifesa digitale,
|
||||
con un focus particolare per chiunque lotti contro strutture di potere.
|
||||
Queste slide intendono essere una panoramica concisa di autodifesa digitale.
|
||||
|
||||
Rappresentano un'insieme di conoscenze e buone pratiche tratte da varie fonti
|
||||
ed esperienze,
|
||||
ed esperienze.
|
||||
|
||||
Sono pensate per essere usufruibili anche da web quindi abbiamo scritto tanto.
|
||||
--
|
||||
|
|
|
@ -8,18 +8,14 @@ Per parlare del software libero (free non vuol dire gratuito) ci vorrebbero ore,
|
|||
ma qui ci interessa solo sottolineare quali sono le principali differenze,
|
||||
tra i sistemi operativi e le applicazioni dal punto di vista della **sicurezza**<!-- .element: class="fragment highlight-red" -->.
|
||||
|
||||
Ci basti per ora sapere che FOSS significa,
|
||||
Free and Open Source Software.
|
||||
|
||||
--
|
||||
### Proprietario? No thanks
|
||||
I sistemi operativi e le applicazioni proprietarie (es. Windows, MacOS, iOS),
|
||||
sono sistemi chiusi.
|
||||
Chiusi vuol dire che nessuno (tranne gli sviluppatori) sa cosa contengono.
|
||||
|
||||
Noi li usiamo perchè fanno delle cose, svolgono delle funzioni.
|
||||
Ma come lo fanno o se mentre svolgono le loro funzioni facciano anche altre
|
||||
cose noi non lo sappiamo.
|
||||
Significa che nessuno puo' conoscerne il contenuto.
|
||||
|
||||
Svolgono delle funzioni, ma come lo fanno o se mentre svolgono le loro funzioni facciano anche altre cose noi non lo sappiamo.
|
||||
|
||||
--
|
||||
### Se è Libero ... MEGLIO!
|
||||
|
@ -32,8 +28,6 @@ i sorgenti.
|
|||
Chiunque abbia la giusta competenza può controllare cosa e come svolgono
|
||||
le loro funzioni.
|
||||
|
||||
E questo quando si parla di sicurezza fa una bella differenza.
|
||||
|
||||
--
|
||||
### Fiducia
|
||||
|
||||
|
@ -43,6 +37,14 @@ essa stessa garanzia di controllo sui suoi contenuti.
|
|||
Su una comunità così numerosa si può essere confidenti che eventuali,
|
||||
problemi siano tempestivamente individuati e segnalati.
|
||||
|
||||
--
|
||||
### Consigli
|
||||
- Sul computer installate [linux](http://www.linux.it/distro) (facile)
|
||||
- Se avete un telefono con android potete
|
||||
installare [LineageOS](https://www.lineageos.org/) (meno facile)
|
||||
|
||||
notes:
|
||||
parlare di fdroid (https://www.reddit.com/r/privacy/comments/3cjj2e/how_secure_is_fdroid/) https://f-droid.org/en/docs/Security_Model/
|
||||
--
|
||||
### Alcuni numeri
|
||||
|
||||
|
@ -52,3 +54,6 @@ dal 2005 ad oggi circa 13500 sviluppatori hanno contribuito al solo sviluppo del
|
|||
- [SourceForge](https://sourceforge.net) ospita 324000 progetti.
|
||||
- [Ohloh](https://www.openhub.net) ospita 550000 progetti.
|
||||
- [Queste slides](https://git.lattuga.net/lesion/autodifesa-digitale-parte-1/) sono libere (sono un fork bolognese).
|
||||
|
||||
notes:
|
||||
vlc, android, gnome, arduino, open hardware
|
|
@ -7,59 +7,60 @@
|
|||
Michael Hayden, former CIA and NSA director / [source](https://www.youtube.com/watch?v=UdQiz0Vavmc#t=27s)
|
||||
|
||||
--
|
||||
Sono costituiti da una serie di informazioni che le applicazioni appiccicano,
|
||||
automaticamente ai files che noi creiamo, elaboriamo, copiamo, vediamo o ascoltiamo.
|
||||
|
||||
I MetaDati sono un sacco di roba e normalmente non si palesano.
|
||||
Forse uno dei pochi casi in cui si manifestano è sui files musicali.
|
||||
Per esempio se inseriamo una chiavetta con dei files mp3 in un riproduttore,
|
||||
ci può comparire sul display il nome dell'autore, il titolo del brano, la raccolta,
|
||||
di cui il brano fa parte, la durata etc.
|
||||
|
||||
Queste informazioni sono appunto MetaDati.
|
||||
## Metadati
|
||||
Sono dati che descrivono pezzi di informazione tranne l'informazione stessa.
|
||||
Il contenuto di un messaggio non è il metadato, ma chi l'ha mandato, a chi, da dove e
|
||||
quando sono tutti esempi di metadati.
|
||||
--
|
||||
## ma anche
|
||||
## Metadati
|
||||
Ogni informazione digitalizzata di porta dietro dei metadati:
|
||||
- le comunicazioni (sms/telefonate/chat/WA)
|
||||
<!-- .element: class="fragment" -->
|
||||
- immagini/pdf (autore, geolocalizzazione, etc..)
|
||||
<!-- .element: class="fragment" -->
|
||||
- email (soggetto, destinatario, ora invio)
|
||||
<!-- .element: class="fragment" -->
|
||||
--
|
||||
## A che servono i contenuti se...
|
||||
|
||||
Oggi se diciamo MetaDati pensiamo subito a qualcosa che ha a che fare con il digitale,
|
||||
ma in realtà esistono esempi risalenti ad epoche ben precedenti.
|
||||
- so che hai chiamato una sex line alle 2.24 e hai parlato per 18 minuti
|
||||
<!-- .element: class="fragment" -->
|
||||
- che alle 4 del pomeriggio hai chiamato un numero verde per la prevenzione suicidi.
|
||||
<!-- .element: class="fragment" -->
|
||||
- hai ricevuto una mail da un servizio di check HIV e poi hai chiamato il tuo medico di base e visitato un forum di sieropositivi nella stessa ora.
|
||||
<!-- .element: class="fragment" -->
|
||||
- hai chiamato la tua ginecologa, ci hai parlato per mezz'ora e poi hai chiamato una clinica privata specializzata in aborti
|
||||
<!-- .element: class="fragment" -->
|
||||
--
|
||||
## E quindi?
|
||||
In molti sistemi legali solitamente si progettono i contenuti molto meglio dei metadati, ad esempio in italia le telefonate vengono registrate
|
||||
solamente in caso di indagini in corso per reati di un certo livello, mentre gli operatori telefonici sono per legge obbligati a mantenere i
|
||||
metadati delle telefonate per 24 mesi, i famosi tabulati telefonici.
|
||||
--
|
||||
## METADATI vs CONTENUTI
|
||||
La narrazione riguardo questa distinzione, cioe' il trattamento differente dei contenuti rispetto a quello dei metadati, descrive i metadati
|
||||
come se non fossero un grande problema, come se fossero molto meno invasivi della persona rispetto al contenuto vero e proprio delle comunicazioni.
|
||||
In realtà è vero il contrario
|
||||
|
||||
Si pensi ad esempio alle schede cartacee che i bibliotecari usano da secoli per catalogare,
|
||||
i libri in loro possesso.
|
||||
notes:
|
||||
per quanto riguarda il controllo massivo...
|
||||
--
|
||||
## issue
|
||||
I metadati sono in forma testuale ed e' quindi possibile fare delle
|
||||
ricerche massive su di essi, indicizzarli, categorizzarli, cosa impossibile da fare con le comunicazioni vere e proprie.
|
||||
|
||||
anche questi sono MetaDati
|
||||
|
||||
![](https://upload.wikimedia.org/wikipedia/commons/thumb/7/7e/Schlagwortkatalog.jpg/200px-Schlagwortkatalog.jpg)
|
||||
Avendone i metadati e' possibile cercare tutte le telefonate effettuate verso un numero, o da un numero, o in un lasso di tempo,
|
||||
o da un luogo specificato, nessuna di queste ricerche risulta possibile invece avendo solo il contenuto delle comunicazioni.
|
||||
<!-- .element: class="fragment" -->
|
||||
|
||||
--
|
||||
## MetaDati? NO Grazie
|
||||
|
||||
Ma perchè ne parliamo?.
|
||||
|
||||
Perchè ce ne dobbiamo occupare in questo talk?.
|
||||
|
||||
Cosa ci possono fare di male i MetaDati?
|
||||
|
||||
I MetaDati relativi alle comunicazione (e-mail, chiamate telefoniche, pagine Web visitate, traffico video,
|
||||
connessioni IP e posizioni dei telefoni cellulari) in alcuni paesi sono regolarmente archiviati dalle
|
||||
organizzazioni governative a scopo di sorveglianza.
|
||||
|
||||
ci basta?, si ... direi proprio che ci basta.
|
||||
|
||||
## Aneddoto
|
||||
- [mcafee](https://www.npr.org/sections/thetwo-way/2012/12/04/166487197/betrayed-by-metadata-john-mcafee-admits-hes-really-in-guatemala?t=1543618516954)
|
||||
- [mcafee 2](https://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/)
|
||||
--
|
||||
## Immagini
|
||||
|
||||
Guardiamo ad esempio quali dati contiene un'immagine scattata con uno smartphone.
|
||||
|
||||
Questa immagine [inserire immagine qui]
|
||||
|
||||
contiene questi MetaDati [inserire immagine qui]
|
||||
|
||||
:nota:
|
||||
pippone sui dati che identificano data, ora, luogo, ecc.
|
||||
|
||||
--
|
||||
|
||||
--
|
||||
## work in progress
|
||||
## Come mi proteggo?
|
||||
La consapevolezza è già un grande passo avanti.
|
||||
Puoi usare alcuni strumenti per rimuovere i metadati dai file:
|
||||
|
||||
- per android c'è [Scrambled Exif](https://f-droid.org/en/packages/com.jarsilio.android.scrambledeggsif/)
|
||||
- su linux c'è [mat](https://0xacab.org/jvoisin/mat2)
|
|
@ -45,4 +45,12 @@ E' una modalità di navigazione che, contrariamente a quanto avviene normalmente
|
|||
- non salva la cronologia
|
||||
- i file scaricati non vengono mostrati nei download
|
||||
- niente cache
|
||||
- non salva i cookie (non sono loggato in sessioni successive)
|
||||
- non salva i cookie (non sono loggato in sessioni successive)
|
||||
|
||||
notes:
|
||||
https://blog.mozilla.org/security/2010/03/31/plugging-the-css-history-leak/
|
||||
https://www.ghacks.net/2018/11/04/browser-history-sniffing-is-still-a-thing/
|
||||
|
||||
l'attacco permette attivamente a un sito web di provare diverse url e
|
||||
vedere se sono gia state visitate dal browser di chi lo visita,
|
||||
nell'ordine di migliaia di url al secondo.
|
||||
|
|
|
@ -49,7 +49,7 @@ chiedere perche' e' un problema....
|
|||
|
||||
<!-- .element: class="fragment" --> i dipendenti di ogni servizio hanno accesso ad ogni altro servizio!
|
||||
|
||||
<!-- .element: class="fragment" --> quando (non se) uno dei servizi viene bucato, gente a caso ha accesso ad ogni vostro servizio (se leggete i giornali, succede un giorno si e l'altro pure).
|
||||
<!-- .element: class="fragment" --> quando (non se) uno dei servizi viene bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno si e l'altro pure).
|
||||
|
||||
<!-- .element: class="fragment" --> E' talmente diffusa la cosa che mozilla ha un servizio per fare
|
||||
un check ➜ [monitor.firefox.com](https://monitor.firefox.com)
|
||||
|
@ -61,7 +61,8 @@ permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e
|
|||
gli schemi usati sono drammaticamente ricorrenti e la maggior parte delle persone riusa
|
||||
le password in piu' servizi.
|
||||
|
||||
Una lista di servizi la cui compromissione è pubblica è [qui](https://haveibeenpwned.com/PwnedWebsites)
|
||||
Una lista di servizi la cui compromissione è pubblica è [qui](https://haveibeenpwned.com/PwnedWebsites).
|
||||
Un posto dove poter studiare le statistiche
|
||||
--
|
||||
### Password Cracking
|
||||
Esistono programmi e servizi che tentano ripetutamente password basandosi sulla nostra prevedibilità
|
||||
|
|
Loading…
Reference in a new issue