This commit is contained in:
lesion 2019-01-09 00:06:49 +01:00
parent a71cfbb13d
commit 8b1089874a
No known key found for this signature in database
GPG key ID: 352918250B012177
10 changed files with 103 additions and 72 deletions

View file

@ -219,7 +219,7 @@ body {
visibility: hidden;
opacity: 0;
-webkit-appearance: none;
-webkit-tap-highlight-color: transparent; }
-webkit-tap-highlight-color: rgba(0, 0, 0, 0); }
.reveal .controls .controls-arrow:before,
.reveal .controls .controls-arrow:after {
content: '';
@ -888,7 +888,7 @@ body {
opacity: 0;
visibility: hidden;
overflow: hidden;
background-color: transparent;
background-color: rgba(0, 0, 0, 0);
background-position: 50% 50%;
background-repeat: no-repeat;
background-size: cover;
@ -1268,7 +1268,7 @@ body {
z-index: 30;
cursor: pointer;
transition: all 400ms ease;
-webkit-tap-highlight-color: transparent; }
-webkit-tap-highlight-color: rgba(0, 0, 0, 0); }
.reveal.overview .playback {
opacity: 0;

View file

@ -15,7 +15,7 @@ body {
background-color: #222; }
.reveal {
font-family: Lato Light, Source Sans Pro, Helvetica, sans-serif;
font-family: "Lato Light", "Source Sans Pro", Helvetica, sans-serif;
font-size: 42px;
font-weight: normal;
color: #fff; }
@ -46,7 +46,7 @@ body {
.reveal h6 {
margin: 0 0 20px 0;
color: #fff;
font-family: Lato Light, Source Sans Pro, Helvetica, sans-serif;
font-family: "Lato Light", "Source Sans Pro", Helvetica, sans-serif;
font-weight: 600;
line-height: 1.2;
letter-spacing: normal;

View file

@ -22,8 +22,8 @@ $mainColor: #fff;
$headingColor: #fff;
$mainFontSize: 42px;
$mainFont: 'Source Sans Pro', Helvetica, sans-serif;
$headingFont: 'Source Sans Pro', Helvetica, sans-serif;
$mainFont: 'Lato Light', 'Source Sans Pro', Helvetica, sans-serif;
$headingFont: 'Lato Light', 'Source Sans Pro', Helvetica, sans-serif;
$headingTextShadow: none;
$headingLetterSpacing: normal;
$headingTextTransform: uppercase;

View file

@ -78,3 +78,14 @@ based on dark.css by Ivan Sagalaev
.hljs-strong {
font-weight: bold;
}
input, button {
font-size: 100%;
margin: 0px;
border: 0px;
}
button {
margin-left: -10px;
}

View file

@ -17,6 +17,10 @@ Prima o poi succede...
### Backup
- disco locale (ok, ma se nel nostro modello di rischio c'e' un probabile sequestro non funziona)
- remoto (ok, cifrato va bene dove vogliamo, anche su google/dropbox)
dei programmi che ci sentiamo di consigliare sono:
- per linux [Déjà Dup](https://wiki.gnome.org/Apps/DejaDup) che si basa su [duplicity](http://duplicity.nongnu.org/)
- per android consigliamo [adb](https://www.androidworld.it/2018/03/27/backup-android-543009/) agli smanettoni
--
## Cifratura disco
@ -30,6 +34,7 @@ quindi non lasciarlo incustodito (per poco tempo blocca lo schermo per qualsiasi
un'alternativa e' fare un'altra partizione cifrata da aprire
solo quando lavori con quel materiale sensibile.
notes:
se suonano alla porta, spegni il computer o smonta la partizione cifrata prima di aprire.
--
## Cancellazione sicura dei dati

View file

@ -2,21 +2,21 @@
## Autodifesa<br/>digitale
[_TO* hacklab](https://autistici.org/underscore)
[underscore_to hacklab](https://autistici.org/underscore)
<footer>
<small>per presentazioni premi `s` e abilita i popup</small>
<small>premi `ESC` per una panoramica</small>
<small>premi `F11` per fullscreen (must)</small>
<small>premi **ESC** per una panoramica</small>
<small>premi **F11** per fullscreen (must)</small>
<small>per domande scrivici a **underscore [at] autistici.org** </small>
</footer>
notes:
qui compariranno delle note...
--
## INTRO
Queste slide intendono essere una panoramica concisa di autodifesa digitale,
con un focus particolare per chiunque lotti contro strutture di potere.
Queste slide intendono essere una panoramica concisa di autodifesa digitale.
Rappresentano un'insieme di conoscenze e buone pratiche tratte da varie fonti
ed esperienze,
ed esperienze.
Sono pensate per essere usufruibili anche da web quindi abbiamo scritto tanto.
--

View file

@ -8,18 +8,14 @@ Per parlare del software libero (free non vuol dire gratuito) ci vorrebbero ore,
ma qui ci interessa solo sottolineare quali sono le principali differenze,
tra i sistemi operativi e le applicazioni dal punto di vista della **sicurezza**<!-- .element: class="fragment highlight-red" -->.
Ci basti per ora sapere che FOSS significa,
Free and Open Source Software.
--
### Proprietario? No thanks
I sistemi operativi e le applicazioni proprietarie (es. Windows, MacOS, iOS),
sono sistemi chiusi.
Chiusi vuol dire che nessuno (tranne gli sviluppatori) sa cosa contengono.
Noi li usiamo perchè fanno delle cose, svolgono delle funzioni.
Ma come lo fanno o se mentre svolgono le loro funzioni facciano anche altre
cose noi non lo sappiamo.
Significa che nessuno puo' conoscerne il contenuto.
Svolgono delle funzioni, ma come lo fanno o se mentre svolgono le loro funzioni facciano anche altre cose noi non lo sappiamo.
--
### Se è Libero ... MEGLIO!
@ -32,8 +28,6 @@ i sorgenti.
Chiunque abbia la giusta competenza può controllare cosa e come svolgono
le loro funzioni.
E questo quando si parla di sicurezza fa una bella differenza.
--
### Fiducia
@ -43,6 +37,14 @@ essa stessa garanzia di controllo sui suoi contenuti.
Su una comunità così numerosa si può essere confidenti che eventuali,
problemi siano tempestivamente individuati e segnalati.
--
### Consigli
- Sul computer installate [linux](http://www.linux.it/distro) (facile)
- Se avete un telefono con android potete
installare [LineageOS](https://www.lineageos.org/) (meno facile)
notes:
parlare di fdroid (https://www.reddit.com/r/privacy/comments/3cjj2e/how_secure_is_fdroid/) https://f-droid.org/en/docs/Security_Model/
--
### Alcuni numeri
@ -52,3 +54,6 @@ dal 2005 ad oggi circa 13500 sviluppatori hanno contribuito al solo sviluppo del
- [SourceForge](https://sourceforge.net) ospita 324000 progetti.
- [Ohloh](https://www.openhub.net) ospita 550000 progetti.
- [Queste slides](https://git.lattuga.net/lesion/autodifesa-digitale-parte-1/) sono libere (sono un fork bolognese).
notes:
vlc, android, gnome, arduino, open hardware

View file

@ -7,59 +7,60 @@
Michael Hayden, former CIA and NSA director / [source](https://www.youtube.com/watch?v=UdQiz0Vavmc#t=27s)
--
Sono costituiti da una serie di informazioni che le applicazioni appiccicano,
automaticamente ai files che noi creiamo, elaboriamo, copiamo, vediamo o ascoltiamo.
I MetaDati sono un sacco di roba e normalmente non si palesano.
Forse uno dei pochi casi in cui si manifestano è sui files musicali.
Per esempio se inseriamo una chiavetta con dei files mp3 in un riproduttore,
ci può comparire sul display il nome dell'autore, il titolo del brano, la raccolta,
di cui il brano fa parte, la durata etc.
Queste informazioni sono appunto MetaDati.
## Metadati
Sono dati che descrivono pezzi di informazione tranne l'informazione stessa.
Il contenuto di un messaggio non è il metadato, ma chi l'ha mandato, a chi, da dove e
quando sono tutti esempi di metadati.
--
## ma anche
## Metadati
Ogni informazione digitalizzata di porta dietro dei metadati:
- le comunicazioni (sms/telefonate/chat/WA)
<!-- .element: class="fragment" -->
- immagini/pdf (autore, geolocalizzazione, etc..)
<!-- .element: class="fragment" -->
- email (soggetto, destinatario, ora invio)
<!-- .element: class="fragment" -->
--
## A che servono i contenuti se...
Oggi se diciamo MetaDati pensiamo subito a qualcosa che ha a che fare con il digitale,
ma in realtà esistono esempi risalenti ad epoche ben precedenti.
- so che hai chiamato una sex line alle 2.24 e hai parlato per 18 minuti
<!-- .element: class="fragment" -->
- che alle 4 del pomeriggio hai chiamato un numero verde per la prevenzione suicidi.
<!-- .element: class="fragment" -->
- hai ricevuto una mail da un servizio di check HIV e poi hai chiamato il tuo medico di base e visitato un forum di sieropositivi nella stessa ora.
<!-- .element: class="fragment" -->
- hai chiamato la tua ginecologa, ci hai parlato per mezz'ora e poi hai chiamato una clinica privata specializzata in aborti
<!-- .element: class="fragment" -->
--
## E quindi?
In molti sistemi legali solitamente si progettono i contenuti molto meglio dei metadati, ad esempio in italia le telefonate vengono registrate
solamente in caso di indagini in corso per reati di un certo livello, mentre gli operatori telefonici sono per legge obbligati a mantenere i
metadati delle telefonate per 24 mesi, i famosi tabulati telefonici.
--
## METADATI vs CONTENUTI
La narrazione riguardo questa distinzione, cioe' il trattamento differente dei contenuti rispetto a quello dei metadati, descrive i metadati
come se non fossero un grande problema, come se fossero molto meno invasivi della persona rispetto al contenuto vero e proprio delle comunicazioni.
In realtà è vero il contrario
Si pensi ad esempio alle schede cartacee che i bibliotecari usano da secoli per catalogare,
i libri in loro possesso.
notes:
per quanto riguarda il controllo massivo...
--
## issue
I metadati sono in forma testuale ed e' quindi possibile fare delle
ricerche massive su di essi, indicizzarli, categorizzarli, cosa impossibile da fare con le comunicazioni vere e proprie.
anche questi sono MetaDati
![](https://upload.wikimedia.org/wikipedia/commons/thumb/7/7e/Schlagwortkatalog.jpg/200px-Schlagwortkatalog.jpg)
Avendone i metadati e' possibile cercare tutte le telefonate effettuate verso un numero, o da un numero, o in un lasso di tempo,
o da un luogo specificato, nessuna di queste ricerche risulta possibile invece avendo solo il contenuto delle comunicazioni.
<!-- .element: class="fragment" -->
--
## MetaDati? NO Grazie
Ma perchè ne parliamo?.
Perchè ce ne dobbiamo occupare in questo talk?.
Cosa ci possono fare di male i MetaDati?
I MetaDati relativi alle comunicazione (e-mail, chiamate telefoniche, pagine Web visitate, traffico video,
connessioni IP e posizioni dei telefoni cellulari) in alcuni paesi sono regolarmente archiviati dalle
organizzazioni governative a scopo di sorveglianza.
ci basta?, si ... direi proprio che ci basta.
## Aneddoto
- [mcafee](https://www.npr.org/sections/thetwo-way/2012/12/04/166487197/betrayed-by-metadata-john-mcafee-admits-hes-really-in-guatemala?t=1543618516954)
- [mcafee 2](https://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/)
--
## Immagini
Guardiamo ad esempio quali dati contiene un'immagine scattata con uno smartphone.
Questa immagine [inserire immagine qui]
contiene questi MetaDati [inserire immagine qui]
:nota:
pippone sui dati che identificano data, ora, luogo, ecc.
--
--
## work in progress
## Come mi proteggo?
La consapevolezza è già un grande passo avanti.
Puoi usare alcuni strumenti per rimuovere i metadati dai file:
- per android c'è [Scrambled Exif](https://f-droid.org/en/packages/com.jarsilio.android.scrambledeggsif/)
- su linux c'è [mat](https://0xacab.org/jvoisin/mat2)

View file

@ -46,3 +46,11 @@ E' una modalità di navigazione che, contrariamente a quanto avviene normalmente
- i file scaricati non vengono mostrati nei download
- niente cache
- non salva i cookie (non sono loggato in sessioni successive)
notes:
https://blog.mozilla.org/security/2010/03/31/plugging-the-css-history-leak/
https://www.ghacks.net/2018/11/04/browser-history-sniffing-is-still-a-thing/
l'attacco permette attivamente a un sito web di provare diverse url e
vedere se sono gia state visitate dal browser di chi lo visita,
nell'ordine di migliaia di url al secondo.

View file

@ -49,7 +49,7 @@ chiedere perche' e' un problema....
<!-- .element: class="fragment" --> i dipendenti di ogni servizio hanno accesso ad ogni altro servizio!
<!-- .element: class="fragment" --> quando (non se) uno dei servizi viene bucato, gente a caso ha accesso ad ogni vostro servizio (se leggete i giornali, succede un giorno si e l'altro pure).
<!-- .element: class="fragment" --> quando (non se) uno dei servizi viene bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno si e l'altro pure).
<!-- .element: class="fragment" --> E' talmente diffusa la cosa che mozilla ha un servizio per fare
un check ➜ [monitor.firefox.com](https://monitor.firefox.com)
@ -61,7 +61,8 @@ permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e
gli schemi usati sono drammaticamente ricorrenti e la maggior parte delle persone riusa
le password in piu' servizi.
Una lista di servizi la cui compromissione è pubblica è [qui](https://haveibeenpwned.com/PwnedWebsites)
Una lista di servizi la cui compromissione è pubblica è [qui](https://haveibeenpwned.com/PwnedWebsites).
Un posto dove poter studiare le statistiche
--
### Password Cracking
Esistono programmi e servizi che tentano ripetutamente password basandosi sulla nostra prevedibilità