bparodi/smash-the-firewall
1
Fork 0
Code Issues Pull requests Packages Projects Releases Wiki Activity

burrodiarachidi

Browse source
This commit is contained in:
bparodi 2024-04-20 18:02:35 +02:00
parent 96fbdd9880
commit 8c00ee8250
8 changed files with 201 additions and 235 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

BIN
img/babyduck.jpg Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 43 KiB

BIN
img/screamingduck.jpg Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 63 KiB

12
index.html
View file

@ -93,11 +93,6 @@
data-separator="^--$" data-separator="^--$"
data-markdown="slides/navigare.md"></section> data-markdown="slides/navigare.md"></section>
</section> </section>
<section>
<section
data-separator="^--$"
data-markdown="slides/metadata.md"></section>
</section>
<section> <section>
<section <section
data-separator="^--$" data-separator="^--$"
@ -106,7 +101,12 @@
<section> <section>
<section <section
data-separator="^--$" data-separator="^--$"
data-markdown="slides/comunicare.md"></section> data-markdown="slides/metadata.md"></section>
</section>
<section>
<section
data-separator="^--$"
data-markdown="slides/cambiamenti.md"></section>
</section> </section>
<section> <section>
<section <section

89
slides/anonimato.md
View file

@ -1,65 +1,37 @@
<!-- .slide: data-background="img/anon.jpg" -->
## anonimato ## Digital identities
-- --
## anonimato ## One size fits all identity
Come la sicurezza, non è una proprietà, non si compra, non si installa, ci TODO, la cosa a cui siamo stati abituati, prima non era così
devi mettere il cervello. stacce.
Ci sono strumenti, da usare in determinate occasioni, dipende dal vostro
modello di rischio.
-- --
## chi sono? ## What is anonimity
L'indirizzo ip è un numero composto da 4 cifre da 0 a 255 che indica il TODO
dispositivo che ci collega ad internet in un momento X (anche il telefono
ne ha uno).
Gli operatori telefonici tengono dei registri delle assegnazioni di questi
indirizzi.
Quando interagisco con un sito (ad esempio invio la foto di un corteo),
quel sito e tutti quelli che sono tra me e il sito, sapranno l'indirizzo ip
del mittente, quindi se quella foto è problematica, verranno a bussarmi
sotto casa.
notes: pippa su ipv6
-- --
## Tor ## When to avoid anonimity
Tor è lo "strumento" più famoso per ottenere l'anonimato in rete. TODO
In sostanza un'altra persona si prende l'accollo e la responsabilità delle
tue attività, senza poter sapere chi sei e cosa vuoi (ma perchè lo fa?).
Un'eventuale ascoltatore (attaccante) vedrà che stai interagendo attraverso
la rete Tor, ma non cosa fai e con chi.
Numeri: utenti: più di 2milioni al giorno nodi: 7mila
-- --
<!-- .slide: data-background="img/tor.png" -->
## A prism of identities: pseudoanonimity
TODO
-- --
## Tor Browser
Tor Browser è un browser appositamente studiato per funzionare attraverso ## Plausible deniability
la rete Tor in automatico e senza troppo sbattimento.
Si occupa anche di preservare l'anonimato in altri modi. TODO
Su android ci sono Tor Browser e Orbot!
--
## Deanonimizzare ## Deanonimizzare
@ -83,40 +55,5 @@ un'impronta univoca vostra, attraverso varie tecniche:
[comportamentale](https://www.keytrac.net/en/tryout)) [comportamentale](https://www.keytrac.net/en/tryout))
- aneddoto hardvard - aneddoto hardvard
[Tor Browser](https://www.torproject.org/download/download-easy.html.en)
cerca di risolvere la maggior parte di questi attacchi.
-- --
## VPN
Le VPN sono un modo sicuro di collegare computer su internet.
Vengono utilizzate ad esempio per collegare uffici di una stessa azienda
senza che nessuno possa sbirciare il traffico (il collegamento è cifrato).
--
## VPN
Ci sono VPN che vengono invece usate per offrire protezione agli utenti
facendoli accedere ad internet attraverso di loro
([riseup](https://riseup.net/en/vpn) [protonvpn](https://protonvpn.com/))
- proteggervi dal controllo da parte dei provider (ISP)
- ovviare alla censura di stato
- accedere a servizi vietati nel vostro paese
- bypassare il firewall del vostro ufficio
- rendere più sicuro il vostro traffico su reti Wi-Fi non protette
--
## Tails
[The amnesic incognito live system](https://tails.boum.org/index.it.html)
E' un sistema operativo live, vuole dire che non lo installi ma parte da
una pennetta USB:
- non lascia tracce delle tue scorribande perche' non salva niente.
- usa Tor per tutto.

64
slides/cambiamenti.md Normal file
View file

@ -0,0 +1,64 @@
## Some easy first steps
You start like this
![](/img/babyduck.jpg)
<!-- .element: class="fragment" -->
![](/img/screamingduck.jpg)
You become this
<!-- .element: class="fragment" -->
--
## Piracy
If you pirate (and you will after the next event at Proxy Cafè)
<br>
use a vpn and use free software
<!-- .element: class="fragment" -->
and yes... revisit your threat model now // TODO
<!-- .element: class="fragment" -->
--
## Digital identity
Big web platforms siphon your data (and metadata).
- boycott Amazon
- avoid google, limit the number of accounts or logins that you have
- use bandcamp rather than spotify
- avoid (un)social media, use radical servers and services
<br>
<p style="color:red;">Sadly, surveillance capitalism is a thing</p>
<!-- .element: class="fragment" -->
--
## I have nothing to hide
- Privacy and security gives you control first, secrecy later
- we need to fight imbalance: governments and corporations have more privacy than individuals
- Mass surveilance makes you creepy
- some people need to break the law in order to advance it. With complete surveillance, you can't
--
## PGP (mail cifrate)
- criptografia forte
- funziona
- è un casino da usare
--
## Signal
- criptografia forte
- come qualsiasi app di messaggistica
- comunicazione real time
- autodistruzione dei messaggi
- si può impostare il pin (fatelo!)

68
slides/dati.md
View file

@ -1,76 +1,64 @@
<!-- .slide: data-background="img/hd.jpg" --> <!-- .slide: data-background="img/hd.jpg" -->
### Sicurezza dei dati ### Data Security
-- --
### Sicurezza dei dati ### Sicurezza dei dati
Puoi perdere/rompere un dispositivo o possono sequestrarlo. You can lose access to your hardware, or even worse it can get confiscated or stolen. Shit happens
Prima o poi succede... <br>
![think](img/think.jpg)
<!-- .element: class="fragment" --> <!-- .element: class="fragment" -->
![think](img/think.jpg)
-- --
## Come risolvo? ## Come risolvo?
- con frequenti backup - **rank** data by importance
- cifrando i dati - **backup** stuff you don't want to lose
- **encrypt** stuff that you wouldn't share
-- --
### Backup ### Backup
There are a lot of backup programs but first start from the basics:
- copy your stuff to a new media
- store the media away from you
- repeat on a sensible frequency
- ???
- profit
- disco locale (ok, ma se nel nostro modello di rischio c'e' un probabile sequestro non funziona) For the hardcore people: the **3-2-1 rule**.
- remoto (ok, cifrato va bene dove vogliamo, anche su google/dropbox)
dei programmi che ci sentiamo di consigliare sono:
- per linux [Déjà Dup](https://wiki.gnome.org/Apps/DejaDup) che si basa su [duplicity](http://duplicity.nongnu.org/)
- per android consigliamo [adb](https://www.androidworld.it/2018/03/27/backup-android-543009/) agli smanettoni
-- --
## Cifratura disco ## Encrypt everything
E' facile! Richiede solo l'inserimento di una passphrase all'avvio del computer o di un pin all'avvio del telefono. It's becoming easier every year! <br>You usually need only a password or PIN at startup.
Con una [buona passphrase](#/2/11)/pin il contenuto del disco sarà al sicuro per un po'.
-- --
## Alcune precisazioni ## Some clarifications
I dati sono in chiaro a computer acceso, You can read the data ALWAYS if the hardware is ON.
quindi non lasciarlo incustodito (per poco tempo blocca lo schermo per qualsiasi modello di rischio), <br>
un'alternativa e' fare un'altra partizione cifrata da aprire Screen lockers can be bypassed: don't leave your hardware unattended.
solo quando lavori con quel materiale sensibile. <br>
Protip:
<blockquote> 🕭 Bell rings clear, shut down your gear 🕭</blockquote>
notes: notes:
se suonano alla porta, spegni il computer o smonta la partizione cifrata prima di aprire. se suonano alla porta, spegni il computer o smonta la partizione cifrata prima di aprire.
-- --
## Cancellazione sicura dei dati ## Compartmentalization
Per ottimizzare, quando eliminiamo un file, il sistema operativo segna solo Do I need to have all my data on every device?
come libero il posto che occupa, non ne sovrascrive il contenuto.
E' possibile recuperarne il contenuto.
Nel caso il disco sia cifrato il pericolo e' minore, anche nel caso - Do I need emails on my phone?
il disco sia un SSD. - Do I need chats on my computer?
Se passate la frontiera o vendete il vostro computer, consideratelo: Often the best data protection is achieved by not having the data at all ;)
esistono vari programmi per eliminare in maniera sicura i file.
--
## Compartimentazione
Ho bisogno di avere tutti i dati su ogni dispositivo?
- mi servono le mail sul telefono?
- ho bisogno delle chat sul computer?
Spesso la miglior tutela dei dati si ottiene non avendoli ;)

114
slides/metadata.md
View file

@ -2,99 +2,97 @@
-- --
## MetaDati ## Metadata
> We kill people based on metadata > If you give me six ~~lines~~ **metadata** written by the hand of the most honest of men,
> I will find something in them which will hang him.
Michael Hayden, former CIA and NSA director / > Probably Richelieu
[source](https://www.youtube.com/watch?v=UdQiz0Vavmc#t=27s)
-- --
## Metadati ## Metadati
Sono dati che descrivono pezzi di informazione tranne l'informazione Pieces of information that describe everything BUT the content. Examples:
stessa. Il contenuto di un messaggio non è il metadato, ma chi l'ha
mandato, a chi, da dove e quando sono tutti esempi di metadati. - phone call: my location, the duration, who I called
- a PDF file: the author, the location, the authoring software
- an encrypted file: date of creation, modification and last access
<br><br>Content is easier to protect, metadata often **leaks**.
-- --
## Metadati
Ogni informazione digitalizzata si porta dietro dei metadati: ## I don't need to know the content if
- le comunicazioni (sms/telefonate/chat/WA)
<!-- .element: class="fragment" -->
- immagini/pdf (autore, geolocalizzazione, etc..)
<!-- .element: class="fragment" -->
- email (soggetto, destinatario, ora invio)
<!-- .element: class="fragment" -->
-- - you called a sex line at 2:24 and you stayed on the phone for 12 minutes
## A che servono i contenuti se...
- so che hai chiamato una sex line alle 2.24 e hai parlato per 18 minuti
<!-- .element: class="fragment" --> <!-- .element: class="fragment" -->
- che alle 4 del pomeriggio hai chiamato un numero verde per la prevenzione - you called a suicide prevention line
suicidi.
<!-- .element: class="fragment" --> <!-- .element: class="fragment" -->
- hai ricevuto una mail da un servizio di check HIV e poi hai chiamato il - TODO
tuo medico di base e visitato un forum di sieropositivi nella stessa ora.
<!-- .element: class="fragment" --> <!-- .element: class="fragment" -->
- hai chiamato la tua ginecologa, ci hai parlato per mezz'ora e poi hai - TODO
chiamato una clinica privata specializzata in aborti
<!-- .element: class="fragment" --> <!-- .element: class="fragment" -->
-- --
## E quindi? ## Why are metadata important #1
In many legal systems, the content is usually protected much better
than the metadata. For example, in Italy, phone calls are only
recorded in case of ongoing investigations for certain level of
crimes, while phone operators are legally required to maintain the
metadata of phone calls for 24 months.
In molti sistemi legali solitamente si progettono i contenuti molto meglio
dei metadati, ad esempio in italia le telefonate vengono registrate
solamente in caso di indagini in corso per reati di un certo livello,
mentre gli operatori telefonici sono per legge obbligati a mantenere i
metadati delle telefonate per 24 mesi, i famosi tabulati telefonici.
-- --
## METADATI vs CONTENUTI ## Why are metadata important #2
La narrazione riguardo questa distinzione, cioe' il trattamento differente I metadati, essendo in forma testuale, si prestano a una serie di operazioni che permettono di gestire e analizzare grandi volumi di informazioni in modo efficiente. Ecco alcune delle operazioni che si possono eseguire sui metadati:
dei contenuti rispetto a quello dei metadati, descrive i metadati come se
non fossero un grande problema, come se fossero molto meno invasivi della Ricerche Massive: Poiché i metadati sono in formato testuale e strutturato, è possibile utilizzare motori di ricerca ed algoritmi per eseguire ricerche su larga scala. Questo permette agli utenti di trovare velocemente informazioni specifiche basate su parole chiave, autori, date di pubblicazione, e altre caratteristiche descrittive dei dati.
persona rispetto al contenuto vero e proprio delle comunicazioni. In
realtà è vero il contrario Indicizzazione: L'indicizzazione è il processo di creazione di indici che permettono di accedere rapidamente a informazioni specifiche. I motori di ricerca usano gli indici per trovare velocemente i dati richiesti da un utente. Indicizzare i metadati significa che è possibile creare un sistema efficiente per recuperare dati da un grande insieme di informazioni.
Categorizzazione: I metadati possono essere utilizzati per classificare e organizzare i dati in categorie. Questo è particolarmente utile nelle biblioteche digitali, nei sistemi di gestione dei contenuti e nelle basi di dati, dove i metadati forniscono una struttura che aiuta gli utenti a navigare e trovare il contenuto desiderato.
Analisi: Gli analisti possono utilizzare i metadati per estrarre tendenze, modelli e insight. Ad esempio, i metadati possono rivelare quali argomenti sono popolari in un determinato periodo o come cambia l'uso di certi tipi di documenti nel tempo.
notes: per quanto riguarda il controllo massivo...
-- --
## issue ## Why are metadata important #3
I metadati sono in forma testuale ed e' quindi possibile fare delle PROBABILITà e modelli
ricerche massive su di essi, indicizzarli, categorizzarli, cosa impossibile
da fare con le comunicazioni vere e proprie.
Avendo i metadati e' possibile cercare tutte le telefonate effettuate verso
un numero, o da un numero, o in un lasso di tempo, o da un luogo
specificato, nessuna di queste ricerche risulta possibile invece avendo
solo il contenuto delle comunicazioni. <!-- .element: class="fragment" -->
-- --
## Aneddoto ## Let's play a game
- [mcafee](https://www.npr.org/sections/thetwo-way/2012/12/04/166487197/betrayed-by-metadata-john-mcafee-admits-hes-really-in-guatemala?t=1543618516954) > Dimmi con chi vai e ti dirò chi sei
- [mcafee
2](https://nakedsecurity.sophos.com/2012/12/03/john-mcafee-location-exif/) <br>
You have heard me speaking for a while now. <br>Try to guess as much information as possible by looking at me
-- --
## Come mi proteggo? ## How do I protect myself?
La consapevolezza è già un grande passo avanti. Puoi usare alcuni The only real protection here is the **mindset**.
strumenti per rimuovere i metadati dai file: <br>
<br>
<br>
<br>
<br>
<br>
<br>
<small>
<br> start with commonsense
<br>
<br> end up with paranoia
- per android c'è [Scrambled
Exif](https://f-droid.org/en/packages/com.jarsilio.android.scrambledeggsif/) </small>
- su linux c'è [mat](https://0xacab.org/jvoisin/mat2)

89
slides/navigare.md
View file

@ -1,22 +1,20 @@
<!-- .slide: data-background="img/internet.jpg" --> <!-- .slide: data-background="img/internet.jpg" -->
## Navigazione nell'Internet ## Connecting to the internet
-- --
Finora non abbiamo parlato dei pericoli della rete, ma solo quelli del Let's now talk about the possible dangers of connecting your hardware into the internet.
nostro dispositivo, considerandolo disconnesso.
-- --
### Come ci connettiamo? ### How do we connect?
- Wifi? Cambiate la password di default. - Wifi? Change the default password
- [Disabilitate il WPS del - Disable the WPS/smart connect on your router
router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486). - Public wifi? Stay safe
- Wifi pubbliche? usare VPN, vedi dopo. - On your phone? Disable the wifi if you are not using it
- Dal telefono, disabilitare il wifi quando non lo usate. - Prefer cables ALWAYS
- Preferite il cavo di rete quando potete.
notes: i dispositivi wifi broadcastano i MAC ai router se non impostati per notes: i dispositivi wifi broadcastano i MAC ai router se non impostati per
non farlo (esempio metro di londra) non farlo (esempio metro di londra)
@ -24,64 +22,45 @@ https://tfl.gov.uk/corporate/publications-and-reports/wifi-data-collection
-- --
## Buone pratiche ## Browsing the web
- Controlla la barra di navigazione (https? il sito è giusto?) - use firefox, always
- Sui link sospetti, controlla prima di cliccarci sopra - check the address bar: does the web address make sense?
- Cambiare motore di ricerca di default (usate - avoid google, use alternative search engines
[duckduckgo](https://duckduckgo.com)) - check that you are not logged in automatically by Google, Microsoft and Apple
- Salvare le password? (meglio di no) - remove advertisements from webpages
- Usate i Feed/RSS, ad esempio con [Brief](https://addons.mozilla.org/it/firefox/addon/brief/) - use firefox containers, use TOR
- Usate [Tor - Incognito mode: not what you would think it is
Browser](https://www.torproject.org/download/download-easy.html.en)
- Usate profili differenti o containers per non condividere cookie Question: what is the difference between the web and the internet?
- Gli allegati delle mail sono un classico vettore di malware, occhio <!-- .element: class="fragment" -->
-- --
## Ctrl+C... Ctrl+V ## Useful Firefox extensions
### AKA: Attenzione al copia/incolla
Se ti capita di copia-incollare comandi dall'internet al tuo terminale, il consiglio è di farci
un po' di attenzione.
Non sempre quello che si vede è esattamente quello che c'è.
Dietro ad un comando apparententemente innocuo tipo "sudo apt update" si può [nascondere del codice](https://www.bleepingcomputer.com/news/security/dont-copy-paste-commands-from-webpages-you-can-get-hacked/) che può essere anche moooolto dannoso.
Consiglio: prima di incollare un comando nel terminale, incollalo in un qualsiasi editor di testo; - [uBlock Origin](https://addons.mozilla.org/en-US/firefox/addon/ublock-origin/): remove ads
questo ti permetterà di verificare cosa, effettivamente, hai copiato. - [LocalCDN](https://addons.mozilla.org/en-US/firefox/addon/localcdn-fork-of-decentraleyes/): avoid unnecessary 3rd party requests
- [Multi Account Containers](https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/): filter webpages and accounts into groups
- [ClearURLs](https://addons.mozilla.org/en-US/firefox/addon/clearurls/): removes useless tracking elements from URLs
-- --
## Estensioni utili
- [duckduckgo privacy ## DNS TODO
essentials](https://chrome.google.com/webstore/detail/duckduckgo-privacy-essent/bkdgflcldnnnapblkhphbgpggdiikppg)
- ublock/[adblock plus](https://adblockplus.org/) TODO
- [disconnect](https://addons.mozilla.org/en-US/firefox/addon/disconnect/)
- [facebook
container](https://addons.mozilla.org/en-US/firefox/addon/facebook-container/)
- [decentraleyes](https://addons.mozilla.org/en-US/firefox/addon/decentraleyes/)
- [multi-account
containers](https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/)
- [adnauseam](https://adnauseam.io/)
-- --
### Navigazione in incognito ## VPN
Non c'entra niente con l'anonimato, vi protegge dagli attacchi del vostro TODO
coinquilino che vi guarda la cronologia mentre andate in bagno.
E' una modalità di navigazione che, contrariamente a quanto avviene --
normalmente:
- non salva la cronologia
- i file scaricati non vengono mostrati nei download
- niente cache
- non salva i cookie (non sono loggato in sessioni successive)
notes: ## TOR
https://blog.mozilla.org/security/2010/03/31/plugging-the-css-history-leak/
https://www.ghacks.net/2018/11/04/browser-history-sniffing-is-still-a-thing/
l'attacco permette attivamente a un sito web di provare diverse url e TODO
vedere se sono gia state visitate dal browser di chi lo visita, nell'ordine
di migliaia di url al secondo. --