bparodi/smash-the-firewall
1
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity

burrodiarachidi

Browse source
This commit is contained in:
bparodi 2024-04-20 18:02:35 +02:00
parent 96fbdd9880
commit 8c00ee8250
8 changed files with 201 additions and 235 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

BIN
img/babyduck.jpg Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 43 KiB

BIN
img/screamingduck.jpg Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 63 KiB

12
index.html
View file

@ -93,11 +93,6 @@
data-separator="^--$"
data-markdown="slides/navigare.md"></section>
</section>
<section>
<section
data-separator="^--$"
data-markdown="slides/metadata.md"></section>
</section>
<section>
<section
data-separator="^--$"
@ -106,7 +101,12 @@
<section>
<section
data-separator="^--$"
data-markdown="slides/comunicare.md"></section>
data-markdown="slides/metadata.md"></section>
</section>
<section>
<section
data-separator="^--$"
data-markdown="slides/cambiamenti.md"></section>
</section>
<section>
<section

89
slides/anonimato.md
View file

@ -1,65 +1,37 @@
<!-- .slide: data-background="img/anon.jpg" -->
## anonimato
## Digital identities
--
## anonimato
## One size fits all identity
Come la sicurezza, non è una proprietà, non si compra, non si installa, ci
devi mettere il cervello. stacce.
Ci sono strumenti, da usare in determinate occasioni, dipende dal vostro
modello di rischio.
TODO, la cosa a cui siamo stati abituati, prima non era così
--
## chi sono?
## What is anonimity
L'indirizzo ip è un numero composto da 4 cifre da 0 a 255 che indica il
dispositivo che ci collega ad internet in un momento X (anche il telefono
ne ha uno).
Gli operatori telefonici tengono dei registri delle assegnazioni di questi
indirizzi.
Quando interagisco con un sito (ad esempio invio la foto di un corteo),
quel sito e tutti quelli che sono tra me e il sito, sapranno l'indirizzo ip
del mittente, quindi se quella foto è problematica, verranno a bussarmi
sotto casa.
notes: pippa su ipv6
TODO
--
## Tor
## When to avoid anonimity
Tor è lo "strumento" più famoso per ottenere l'anonimato in rete.
In sostanza un'altra persona si prende l'accollo e la responsabilità delle
tue attività, senza poter sapere chi sei e cosa vuoi (ma perchè lo fa?).
Un'eventuale ascoltatore (attaccante) vedrà che stai interagendo attraverso
la rete Tor, ma non cosa fai e con chi.
Numeri: utenti: più di 2milioni al giorno nodi: 7mila
TODO
--
<!-- .slide: data-background="img/tor.png" -->
## A prism of identities: pseudoanonimity
TODO
--
## Tor Browser
Tor Browser è un browser appositamente studiato per funzionare attraverso
la rete Tor in automatico e senza troppo sbattimento.
## Plausible deniability
Si occupa anche di preservare l'anonimato in altri modi.
Su android ci sono Tor Browser e Orbot!
--
TODO
## Deanonimizzare
@ -83,40 +55,5 @@ un'impronta univoca vostra, attraverso varie tecniche:
[comportamentale](https://www.keytrac.net/en/tryout))
- aneddoto hardvard
[Tor Browser](https://www.torproject.org/download/download-easy.html.en)
cerca di risolvere la maggior parte di questi attacchi.
--
## VPN
Le VPN sono un modo sicuro di collegare computer su internet.
Vengono utilizzate ad esempio per collegare uffici di una stessa azienda
senza che nessuno possa sbirciare il traffico (il collegamento è cifrato).
--
## VPN
Ci sono VPN che vengono invece usate per offrire protezione agli utenti
facendoli accedere ad internet attraverso di loro
([riseup](https://riseup.net/en/vpn) [protonvpn](https://protonvpn.com/))
- proteggervi dal controllo da parte dei provider (ISP)
- ovviare alla censura di stato
- accedere a servizi vietati nel vostro paese
- bypassare il firewall del vostro ufficio
- rendere più sicuro il vostro traffico su reti Wi-Fi non protette
--
## Tails
[The amnesic incognito live system](https://tails.boum.org/index.it.html)
E' un sistema operativo live, vuole dire che non lo installi ma parte da
una pennetta USB:
- non lascia tracce delle tue scorribande perche' non salva niente.
- usa Tor per tutto.

64
slides/cambiamenti.md Normal file
View file

@ -0,0 +1,64 @@
## Some easy first steps
You start like this
![](/img/babyduck.jpg)
<!-- .element: class="fragment" -->
![](/img/screamingduck.jpg)
You become this
<!-- .element: class="fragment" -->
--
## Piracy
If you pirate (and you will after the next event at Proxy Cafè)
<br>
use a vpn and use free software
<!-- .element: class="fragment" -->
and yes... revisit your threat model now // TODO
<!-- .element: class="fragment" -->
--
## Digital identity
Big web platforms siphon your data (and metadata).
- boycott Amazon
- avoid google, limit the number of accounts or logins that you have
- use bandcamp rather than spotify
- avoid (un)social media, use radical servers and services
<br>
<p style="color:red;">Sadly, surveillance capitalism is a thing</p>
<!-- .element: class="fragment" -->
--
## I have nothing to hide
- Privacy and security gives you control first, secrecy later
- we need to fight imbalance: governments and corporations have more privacy than individuals
- Mass surveilance makes you creepy
- some people need to break the law in order to advance it. With complete surveillance, you can't
--
## PGP (mail cifrate)
- criptografia forte
- funziona
- è un casino da usare
--
## Signal
- criptografia forte
- come qualsiasi app di messaggistica
- comunicazione real time
- autodistruzione dei messaggi
- si può impostare il pin (fatelo!)

68
slides/dati.md
View file

@ -1,76 +1,64 @@
<!-- .slide: data-background="img/hd.jpg" -->
### Sicurezza dei dati
### Data Security
--
### Sicurezza dei dati
Puoi perdere/rompere un dispositivo o possono sequestrarlo.
Prima o poi succede...
![think](img/think.jpg)
You can lose access to your hardware, or even worse it can get confiscated or stolen. Shit happens
<br>
<!-- .element: class="fragment" -->
![think](img/think.jpg)
--
## Come risolvo?
- con frequenti backup
- cifrando i dati
- **rank** data by importance
- **backup** stuff you don't want to lose
- **encrypt** stuff that you wouldn't share
--
### Backup
There are a lot of backup programs but first start from the basics:
- copy your stuff to a new media
- store the media away from you
- repeat on a sensible frequency
- ???
- profit
- disco locale (ok, ma se nel nostro modello di rischio c'e' un probabile sequestro non funziona)
- remoto (ok, cifrato va bene dove vogliamo, anche su google/dropbox)
dei programmi che ci sentiamo di consigliare sono:
- per linux [Déjà Dup](https://wiki.gnome.org/Apps/DejaDup) che si basa su [duplicity](http://duplicity.nongnu.org/)
- per android consigliamo [adb](https://www.androidworld.it/2018/03/27/backup-android-543009/) agli smanettoni
For the hardcore people: the **3-2-1 rule**.
--
## Cifratura disco
## Encrypt everything
E' facile! Richiede solo l'inserimento di una passphrase all'avvio del computer o di un pin all'avvio del telefono.
It's becoming easier every year! <br>You usually need only a password or PIN at startup.
Con una [buona passphrase](#/2/11)/pin il contenuto del disco sarà al sicuro per un po'.
--
## Alcune precisazioni
## Some clarifications
I dati sono in chiaro a computer acceso,
quindi non lasciarlo incustodito (per poco tempo blocca lo schermo per qualsiasi modello di rischio),
un'alternativa e' fare un'altra partizione cifrata da aprire
solo quando lavori con quel materiale sensibile.
You can read the data ALWAYS if the hardware is ON.
<br>
Screen lockers can be bypassed: don't leave your hardware unattended.
<br>
Protip:
<blockquote> 🕭 Bell rings clear, shut down your gear 🕭</blockquote>
notes:
se suonano alla porta, spegni il computer o smonta la partizione cifrata prima di aprire.
--
## Cancellazione sicura dei dati
## Compartmentalization
Per ottimizzare, quando eliminiamo un file, il sistema operativo segna solo
come libero il posto che occupa, non ne sovrascrive il contenuto.
E' possibile recuperarne il contenuto.
Do I need to have all my data on every device?
Nel caso il disco sia cifrato il pericolo e' minore, anche nel caso
il disco sia un SSD.
- Do I need emails on my phone?
- Do I need chats on my computer?
Se passate la frontiera o vendete il vostro computer, consideratelo:
esistono vari programmi per eliminare in maniera sicura i file.
--
## Compartimentazione
Ho bisogno di avere tutti i dati su ogni dispositivo?
- mi servono le mail sul telefono?
- ho bisogno delle chat sul computer?
Spesso la miglior tutela dei dati si ottiene non avendoli ;)
Often the best data protection is achieved by not having the data at all ;)

114
slides/metadata.md
View file

@ -2,99 +2,97 @@
--
## MetaDati
## Metadata
> We kill people based on metadata
> If you give me six ~~lines~~ **metadata** written by the hand of the most honest of men,
> I will find something in them which will hang him.
Michael Hayden, former CIA and NSA director /
[source](https://www.youtube.com/watch?v=UdQiz0Vavmc#t=27s)
> Probably Richelieu
--
## Metadati
Sono dati che descrivono pezzi di informazione tranne l'informazione
stessa. Il contenuto di un messaggio non è il metadato, ma chi l'ha
mandato, a chi, da dove e quando sono tutti esempi di metadati.
Pieces of information that describe everything BUT the content. Examples:
- phone call: my location, the duration, who I called
- a PDF file: the author, the location, the authoring software
- an encrypted file: date of creation, modification and last access
<br><br>Content is easier to protect, metadata often **leaks**.
--
## Metadati
Ogni informazione digitalizzata si porta dietro dei metadati:
- le comunicazioni (sms/telefonate/chat/WA)
<!-- .element: class="fragment" -->
- immagini/pdf (autore, geolocalizzazione, etc..)
<!-- .element: class="fragment" -->
- email (soggetto, destinatario, ora invio)
<!-- .element: class="fragment" -->
## I don't need to know the content if
--
## A che servono i contenuti se...
- so che hai chiamato una sex line alle 2.24 e hai parlato per 18 minuti
- you called a sex line at 2:24 and you stayed on the phone for 12 minutes
<!-- .element: class="fragment" -->
- che alle 4 del pomeriggio hai chiamato un numero verde per la prevenzione
suicidi.
- you called a suicide prevention line
<!-- .element: class="fragment" -->
- hai ricevuto una mail da un servizio di check HIV e poi hai chiamato il
tuo medico di base e visitato un forum di sieropositivi nella stessa ora.
- TODO
<!-- .element: class="fragment" -->
- hai chiamato la tua ginecologa, ci hai parlato per mezz'ora e poi hai
chiamato una clinica privata specializzata in aborti
- TODO
<!-- .element: class="fragment" -->
--
## E quindi?
## Why are metadata important #1
In many legal systems, the content is usually protected much better
than the metadata. For example, in Italy, phone calls are only
recorded in case of ongoing investigations for certain level of
crimes, while phone operators are legally required to maintain the
metadata of phone calls for 24 months.
In molti sistemi legali solitamente si progettono i contenuti molto meglio
dei metadati, ad esempio in italia le telefonate vengono registrate
solamente in caso di indagini in corso per reati di un certo livello,
mentre gli operatori telefonici sono per legge obbligati a mantenere i
metadati delle telefonate per 24 mesi, i famosi tabulati telefonici.
--
## METADATI vs CONTENUTI
## Why are metadata important #2
La narrazione riguardo questa distinzione, cioe' il trattamento differente
dei contenuti rispetto a quello dei metadati, descrive i metadati come se
non fossero un grande problema, come se fossero molto meno invasivi della
persona rispetto al contenuto vero e proprio delle comunicazioni. In
realtà è vero il contrario
I metadati, essendo in forma testuale, si prestano a una serie di operazioni che permettono di gestire e analizzare grandi volumi di informazioni in modo efficiente. Ecco alcune delle operazioni che si possono eseguire sui metadati:
Ricerche Massive: Poiché i metadati sono in formato testuale e strutturato, è possibile utilizzare motori di ricerca ed algoritmi per eseguire ricerche su larga scala. Questo permette agli utenti di trovare velocemente informazioni specifiche basate su parole chiave, autori, date di pubblicazione, e altre caratteristiche descrittive dei dati.
Indicizzazione: L'indicizzazione è il processo di creazione di indici che permettono di accedere rapidamente a informazioni specifiche. I motori di ricerca usano gli indici per trovare velocemente i dati richiesti da un utente. Indicizzare i metadati significa che è possibile creare un sistema efficiente per recuperare dati da un grande insieme di informazioni.
Categorizzazione: I metadati possono essere utilizzati per classificare e organizzare i dati in categorie. Questo è particolarmente utile nelle biblioteche digitali, nei sistemi di gestione dei contenuti e nelle basi di dati, dove i metadati forniscono una struttura che aiuta gli utenti a navigare e trovare il contenuto desiderato.
Analisi: Gli analisti possono utilizzare i metadati per estrarre tendenze, modelli e insight. Ad esempio, i metadati possono rivelare quali argomenti sono popolari in un determinato periodo o come cambia l'uso di certi tipi di documenti nel tempo.
notes: per quanto riguarda il controllo massivo...
--
## issue
## Why are metadata important #3
I metadati sono in forma testuale ed e' quindi possibile fare delle
ricerche massive su di essi, indicizzarli, categorizzarli, cosa impossibile
da fare con le comunicazioni vere e proprie.
Avendo i metadati e' possibile cercare tutte le telefonate effettuate verso
un numero, o da un numero, o in un lasso di tempo, o da un luogo
specificato, nessuna di queste ricerche risulta possibile invece avendo
solo il contenuto delle comunicazioni. <!-- .element: class="fragment" -->
PROBABILITà e modelli
--
## Aneddoto
## Let's play a game
- [mcafee](https://www.npr.org/sections/thetwo-way/2012/12/04/166487197/betrayed-by-metadata-john-mcafee-admits-hes-really-in-guatemala?t=1543618516954)
- [mcafee
2](https://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/)
> Dimmi con chi vai e ti dirò chi sei
<br>
You have heard me speaking for a while now. <br>Try to guess as much information as possible by looking at me
--
## Come mi proteggo?
## How do I protect myself?
La consapevolezza è già un grande passo avanti. Puoi usare alcuni
strumenti per rimuovere i metadati dai file:
The only real protection here is the **mindset**.
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<small>
<br> start with commonsense
<br>
<br> end up with paranoia
- per android c'è [Scrambled
Exif](https://f-droid.org/en/packages/com.jarsilio.android.scrambledeggsif/)
- su linux c'è [mat](https://0xacab.org/jvoisin/mat2)
</small>

89
slides/navigare.md
View file

@ -1,22 +1,20 @@
<!-- .slide: data-background="img/internet.jpg" -->
## Navigazione nell'Internet
## Connecting to the internet
--
Finora non abbiamo parlato dei pericoli della rete, ma solo quelli del
nostro dispositivo, considerandolo disconnesso.
Let's now talk about the possible dangers of connecting your hardware into the internet.
--
### Come ci connettiamo?
### How do we connect?
- Wifi? Cambiate la password di default.
- [Disabilitate il WPS del
router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486).
- Wifi pubbliche? usare VPN, vedi dopo.
- Dal telefono, disabilitare il wifi quando non lo usate.
- Preferite il cavo di rete quando potete.
- Wifi? Change the default password
- Disable the WPS/smart connect on your router
- Public wifi? Stay safe
- On your phone? Disable the wifi if you are not using it
- Prefer cables ALWAYS
notes: i dispositivi wifi broadcastano i MAC ai router se non impostati per
non farlo (esempio metro di londra)
@ -24,64 +22,45 @@ https://tfl.gov.uk/corporate/publications-and-reports/wifi-data-collection
--
## Buone pratiche
## Browsing the web
- Controlla la barra di navigazione (https? il sito è giusto?)
- Sui link sospetti, controlla prima di cliccarci sopra
- Cambiare motore di ricerca di default (usate
[duckduckgo](https://duckduckgo.com))
- Salvare le password? (meglio di no)
- Usate i Feed/RSS, ad esempio con [Brief](https://addons.mozilla.org/it/firefox/addon/brief/)
- Usate [Tor
Browser](https://www.torproject.org/download/download-easy.html.en)
- Usate profili differenti o containers per non condividere cookie
- Gli allegati delle mail sono un classico vettore di malware, occhio
- use firefox, always
- check the address bar: does the web address make sense?
- avoid google, use alternative search engines
- check that you are not logged in automatically by Google, Microsoft and Apple
- remove advertisements from webpages
- use firefox containers, use TOR
- Incognito mode: not what you would think it is
Question: what is the difference between the web and the internet?
<!-- .element: class="fragment" -->
--
## Ctrl+C... Ctrl+V
### AKA: Attenzione al copia/incolla
Se ti capita di copia-incollare comandi dall'internet al tuo terminale, il consiglio è di farci
un po' di attenzione.
Non sempre quello che si vede è esattamente quello che c'è.
Dietro ad un comando apparententemente innocuo tipo "sudo apt update" si può [nascondere del codice](https://www.bleepingcomputer.com/news/security/dont-copy-paste-commands-from-webpages-you-can-get-hacked/) che può essere anche moooolto dannoso.
## Useful Firefox extensions
Consiglio: prima di incollare un comando nel terminale, incollalo in un qualsiasi editor di testo;
questo ti permetterà di verificare cosa, effettivamente, hai copiato.
- [uBlock Origin](https://addons.mozilla.org/en-US/firefox/addon/ublock-origin/): remove ads
- [LocalCDN](https://addons.mozilla.org/en-US/firefox/addon/localcdn-fork-of-decentraleyes/): avoid unnecessary 3rd party requests
- [Multi Account Containers](https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/): filter webpages and accounts into groups
- [ClearURLs](https://addons.mozilla.org/en-US/firefox/addon/clearurls/): removes useless tracking elements from URLs
--
## Estensioni utili
- [duckduckgo privacy
essentials](https://chrome.google.com/webstore/detail/duckduckgo-privacy-essent/bkdgflcldnnnapblkhphbgpggdiikppg)
- ublock/[adblock plus](https://adblockplus.org/)
- [disconnect](https://addons.mozilla.org/en-US/firefox/addon/disconnect/)
- [facebook
container](https://addons.mozilla.org/en-US/firefox/addon/facebook-container/)
- [decentraleyes](https://addons.mozilla.org/en-US/firefox/addon/decentraleyes/)
- [multi-account
containers](https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/)
- [adnauseam](https://adnauseam.io/)
## DNS TODO
TODO
--
### Navigazione in incognito
## VPN
Non c'entra niente con l'anonimato, vi protegge dagli attacchi del vostro
coinquilino che vi guarda la cronologia mentre andate in bagno.
TODO
E' una modalità di navigazione che, contrariamente a quanto avviene
normalmente:
- non salva la cronologia
- i file scaricati non vengono mostrati nei download
- niente cache
- non salva i cookie (non sono loggato in sessioni successive)
--
notes:
https://blog.mozilla.org/security/2010/03/31/plugging-the-css-history-leak/
https://www.ghacks.net/2018/11/04/browser-history-sniffing-is-still-a-thing/
## TOR
l'attacco permette attivamente a un sito web di provare diverse url e
vedere se sono gia state visitate dal browser di chi lo visita, nell'ordine
di migliaia di url al secondo.
TODO
--