Autodifesa
digitale
INTRO
Queste slide intendono essere una panoramica concisa di autodifesa digitale.
Rappresentano un'insieme di conoscenze e buone pratiche tratte da varie fonti ed esperienze.
Sono pensate per essere usufruibili anche da web quindi abbiamo scritto tanto.
Riservatezza, sicurezza, intimità digitali
- Non sono proprietà.
- Non si comprano, non è un programma che installi e bona.
- E' un processo, bisogna provare, sbagliare, imparare, metterci attenzione, stacce.
- E' un approccio mentale.
- In generale, stai delegando, cerca di farlo il meno possibile e fallo almeno in rapporti di fiducia.
Ma è sicuro?
- La sicurezza non è mai 100%, dobbiamo attuare una politica di riduzione del danno, non abbiamo altro.
- L'illusione della sicurezza è decisamente peggio della consapevolezza di essere vulnerabili.
Inoltre comportamenti e strumenti da adottare in alcuni casi, in altri non vanno bene.
Modello di rischio
Bisogna che tu capisca il tuo modello di rischio rispondendo alle seguenti domande:
da chi voglio proteggermi? (la mamma, il/la compagn*, facebook, il datore di lavoro, la digos, i rettiliani)
cosa voglio proteggere? (l'identità, i contatti, le preferenze sessuali, le comunicazioni)
quali sono gli attacchi più probabili? (sequestro, intercettazione, leak)
Esempi
- il tempo cambia sia i rapporti di fiducia (es. un/una ex) ..
- sia i livelli di rischio
- perdiamo il telefono
- sequestro
Dai, ma chi mi caga?
Guardando la spesa statale per le tecnologie di sorveglianza ad uso poliziesco, qualcuno ti considera.
Free
Software
Free Software
Per parlare del software libero (free non vuol dire gratuito) ci vorrebbero ore, ma qui ci interessa solo sottolineare quali sono le principali differenze, tra i sistemi operativi e le applicazioni dal punto di vista della sicurezza.
Proprietario? No thanks
I sistemi operativi e le applicazioni proprietarie (es. Windows, MacOS, iOS), sono sistemi chiusi.
Significa che nessuno puo' conoscerne il contenuto.
Svolgono delle funzioni, ma come lo fanno o se mentre svolgono le loro funzioni facciano anche altre cose noi non lo sappiamo.
Se è Libero ... MEGLIO!
Il software libero, invece è accessibile a tutti.
Di qualsiasi programma o parte del sistema sono disponibili e pubblici, i sorgenti.
Chiunque abbia la giusta competenza può controllare cosa e come svolgono le loro funzioni.
Fiducia
La comunità che collabora allo sviluppo del software libero è, essa stessa garanzia di controllo sui suoi contenuti.
Su una comunità così numerosa si può essere confidenti che eventuali, problemi siano tempestivamente individuati e segnalati.
Consigli
Alcuni numeri
dal 2005 ad oggi circa 13500 sviluppatori hanno contribuito al solo sviluppo del kernel linux.
- GitHub: conta quasi 5M di repositories.
- SourceForge ospita 324000 progetti.
- Ohloh ospita 550000 progetti.
- Queste slides sono libere (sono un fork bolognese).
Password
Le password sono la prima barriera di accesso a dati che vogliamo tenere per noi.
Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare nel computer e nei mille servizi digitali a cui accediamo.
Ma... Non siamo bravi a scegliere delle buone password
- E' la password di gmail? ➜
ci mettiamo
gmailin mezzo - Usiamo concetti ricordabili ➜ date di nascita, nomi di amic*/compagn*
- Riusiamo la stessa password in molti posti.
In pratica scegliamo password facilmente indovinabili.
Spinti a migliorare le nostre password
scegliamo le soluzioni piu' semplici e prevedibili
- e' la password di facebook ➜ facebookpassword
- inserisci almeno una maiuscola ➜ Facebookpassword
- inserisci almeno un numero ➜ Facebookpassword1
- inserisci almeno un simbolo ➜ Facebookpassword1!
Ma soprattutto..
Usiamo la stessa password per più siti/servizi
Orrore!
i dipendenti di ogni servizio hanno accesso ad ogni altro servizio!
quando (non se) uno dei servizi viene bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno si e l'altro pure).
E' talmente diffusa la cosa che mozilla ha un servizio per fare un check ➜ monitor.firefox.com
Leak
Negli ultimi anni sono stati bucati tanti servizi e milioni di password
sono diventate pubbliche (leak) permettendo di farci ricerca sopra e si, le
password piu' usate sono 123456 e password, gli schemi usati sono
drammaticamente ricorrenti e la maggior parte delle persone riusa le
password in piu' servizi.
Una lista di servizi la cui compromissione è pubblica è qui. Un posto dove poter studiare le statistiche
Password Cracking
Esistono programmi e servizi che tentano ripetutamente password basandosi sulla nostra prevedibilità e si basano comunemente su dizionari a cui vengono applicate delle regole (permutazioni, aggiunte di prefissi/suffissi, cambio di caratteri comuni, maiuscole/minuscole).
Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target.
E quindi?
Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo.
Password manager
Usiamo i password manager.
Sono dei programmi che generano e si ricordano delle password sicure, in cambio di una sola master password (passphrase).
E la master password? Per le poche passphrase che non possiamo salvare
usiamo i seguenti accorgimenti:
- mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
- mai condividere una passphrase (no no no e no)
- mai scrivere una passphrase (a parte se sai quello che stai facendo)
- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle.
Vediamo quanto sei bravo/a ad inventare una password:
Sicurezza dei dati
Sicurezza dei dati
Puoi perdere/rompere un dispositivo o possono sequestrarlo. Prima o poi succede...
Come risolvo?
- con frequenti backup
- cifrando i dati
Backup
- disco locale (ok, ma se nel nostro modello di rischio c'e' un probabile sequestro non funziona)
- remoto (ok, cifrato va bene dove vogliamo, anche su google/dropbox)
dei programmi che ci sentiamo di consigliare sono:
Cifratura disco
E' facile! Richiede solo l'inserimento di una passphrase all'avvio del computer o di un pin all'avvio del telefono.
Con una buona passphrase/pin il contenuto del disco sarà al sicuro per un po'.
Alcune precisazioni
I dati sono in chiaro a computer acceso, quindi non lasciarlo incustodito (per poco tempo blocca lo schermo per qualsiasi modello di rischio), un'alternativa e' fare un'altra partizione cifrata da aprire solo quando lavori con quel materiale sensibile.
Cancellazione sicura dei dati
Per ottimizzare, quando eliminiamo un file, il sistema operativo segna solo come libero il posto che occupa, non ne sovrascrive il contenuto. E' possibile recuperarne il contenuto.
Nel caso il disco sia cifrato il pericolo e' minore, anche nel caso il disco sia un SSD.
Se passate la frontiera o vendete il vostro computer, consideratelo: esistono vari programmi per eliminare in maniera sicura i file.
Compartimentazione
Ho bisogno di avere tutti i dati su ogni dispositivo?
- mi servono le mail sul telefono?
- ho bisogno delle chat sul computer?
Spesso la miglior tutela dei dati si ottiene non avendoli ;)
Navigazione nell'Internet
Finora non abbiamo parlato dei pericoli della rete, ma solo quelli del nostro dispositivo, considerandolo disconnesso.
Come ci connettiamo?
- Wifi? Cambiate la password di default.
- Disabilitate il WPS del router.
- Wifi pubbliche? usare VPN, vedi dopo.
- Dal telefono, disabilitare il wifi quando non lo usate.
- Preferite il cavo di rete quando potete.
Buone pratiche
- Controlla la barra di navigazione (https? il sito è giusto?)
- Sui link sospetti, controlla prima di cliccarci sopra
- Cambiare motore di ricerca di default (usate duckduckgo)
- Salvare le password? (meglio di no)
- Usate i Feed/RSS, ad esempio con Brief
- Usate Tor Browser
- Usate profili differenti o containers per non condividere cookie
- Gli allegati delle mail sono un classico vettore di malware, occhio
Ctrl+C... Ctrl+V
AKA: Attenzione al copia/incolla
Se ti capita di copia-incollare comandi dall'internet al tuo terminale, il consiglio è di farci un po' di attenzione. Non sempre quello che si vede è esattamente quello che c'è. Dietro ad un comando apparententemente innocuo tipo "sudo apt update" si può nascondere del codice che può essere anche moooolto dannoso.
Consiglio: prima di incollare un comando nel terminale, incollalo in un qualsiasi editor di testo; questo ti permetterà di verificare cosa, effettivamente, hai copiato.
Estensioni utili
Navigazione in incognito
Non c'entra niente con l'anonimato, vi protegge dagli attacchi del vostro coinquilino che vi guarda la cronologia mentre andate in bagno.
E' una modalità di navigazione che, contrariamente a quanto avviene normalmente:
- non salva la cronologia
- i file scaricati non vengono mostrati nei download
- niente cache
- non salva i cookie (non sono loggato in sessioni successive)
MetaDati
We kill people based on metadata
Michael Hayden, former CIA and NSA director / source
Metadati
Sono dati che descrivono pezzi di informazione tranne l'informazione stessa. Il contenuto di un messaggio non è il metadato, ma chi l'ha mandato, a chi, da dove e quando sono tutti esempi di metadati.
Metadati
Ogni informazione digitalizzata si porta dietro dei metadati:
- le comunicazioni (sms/telefonate/chat/WA)
- immagini/pdf (autore, geolocalizzazione, etc..)
- email (soggetto, destinatario, ora invio)
A che servono i contenuti se...
- so che hai chiamato una sex line alle 2.24 e hai parlato per 18 minuti
- che alle 4 del pomeriggio hai chiamato un numero verde per la prevenzione suicidi.
- hai ricevuto una mail da un servizio di check HIV e poi hai chiamato il tuo medico di base e visitato un forum di sieropositivi nella stessa ora.
- hai chiamato la tua ginecologa, ci hai parlato per mezz'ora e poi hai chiamato una clinica privata specializzata in aborti
E quindi?
In molti sistemi legali solitamente si progettono i contenuti molto meglio dei metadati, ad esempio in italia le telefonate vengono registrate solamente in caso di indagini in corso per reati di un certo livello, mentre gli operatori telefonici sono per legge obbligati a mantenere i metadati delle telefonate per 24 mesi, i famosi tabulati telefonici.
METADATI vs CONTENUTI
La narrazione riguardo questa distinzione, cioe' il trattamento differente dei contenuti rispetto a quello dei metadati, descrive i metadati come se non fossero un grande problema, come se fossero molto meno invasivi della persona rispetto al contenuto vero e proprio delle comunicazioni. In realtà è vero il contrario
issue
I metadati sono in forma testuale ed e' quindi possibile fare delle ricerche massive su di essi, indicizzarli, categorizzarli, cosa impossibile da fare con le comunicazioni vere e proprie.
Avendo i metadati e' possibile cercare tutte le telefonate effettuate verso un numero, o da un numero, o in un lasso di tempo, o da un luogo specificato, nessuna di queste ricerche risulta possibile invece avendo solo il contenuto delle comunicazioni.
Aneddoto
Come mi proteggo?
La consapevolezza è già un grande passo avanti. Puoi usare alcuni strumenti per rimuovere i metadati dai file:
- per android c'è Scrambled Exif
- su linux c'è mat
Smartphone
Smartphone
- Sono ovunque, sono Lo strumento usato per comunicare
- Telefonate, internet, chat, foto, video, etc..
- Non sono stati progettati per essere sicuri
Meno controllo
Rispetto ad un computer è più complicato:
- sostituire il sistema operativo (pensate a quanto vi abbiamo rotto con linux)
- investigare presenza di malware/virus
- disinstallare programmi di default (telefoni brandizzati)
- prevenire il monitoraggio
Obsolescenza..
Inoltre il produttore del telefono dichiarando lo stesso obsoleto smette di fornire aggiornamenti software (lasciando aperte vulnerabilità di pubblico dominio)
Geolocalizzazione - Cell
Un telefono acceso si collega ad una cella della rete telefonica, quale cella e quale telefono vengono segnati dall'operatore, che tiene per molto tempo questa informazione.
Geolocalizzazione - Cell
E' possibile triangolare un dispositivo stimando la potenza del segnale ricevuto da celle vicine, si attiva chiamando il 118 e tipo se siete sotto sorveglianza.
Non c'è modo di evitare questo attacco se non lasciando il telefono a casa :)
Geolocalizzazione - IMSI
IMSI Catcher, un simulatore di antenne telefoniche sicuramente usato in Italia.
Può rispondere a domande del tipo: "dammi tutti i numeri di telefono presenti in questa zona, quel giorno" senza farne richiesta al magistrato.
E' diffuso, se volete divertirvi potete costruire un imsi catcher detector
Geolocalizzazione
- WIFI Il telefono va' in giro urlando ai quattro venti un suo identificativo univoco.
Geolocalizzazione
- GPS Il vostro telefono non parla con i satelliti, avviene il contrario. Ma quando conosce la sua posizione puo' comunicarla su altri canali.
La geolocalizzazione usa anche la lista delle reti wireless che trova intorno a te.
Malware Vedi
qui e qui che ne abbiamo parlato un sacco.
Tenete aggiornati i vostri dispositivi, installate solo le app che vi servono, disinstallate le app di default, usate software libero.
Buone pratiche
- Ma ascolta anche quando è spento?
- Devo togliere la batteria?
Per discorsi sensibili, lasciate i telefoni in un'altra stanza, se 20 persone contemporaneamente spengono il telefono in uno stesso luogo l'operatore lo sa.
Attacchi fisici
- Inserite un pin, una passphrase o una sequenza per sbloccare lo schermo
- No impronte digitali (stanno sul telefono e sui server)
- Cifrate il telefono
Comunicazione
uno a uno
- telefonata
- sms
- telegram
- jabber
- cifrare lecomunicazioni
molti a molti (gruppi)
- telegram
- mailing list
- jabber
- irc
- mastodon
- cifrare le comunicazioni
Ma quindi...
PGP (mail cifrate)
- criptografia forte
- funziona
- è un casino da usare
Signal
- criptografia forte
- come qualsiasi app di messaggistica
- comunicazione real time
- autodistruzione dei messaggi
- si può impostare il pin (fatelo!)
anonimato
anonimato
Come la sicurezza, non è una proprietà, non si compra, non si installa, ci devi mettere il cervello. stacce.
Ci sono strumenti, da usare in determinate occasioni, dipende dal vostro modello di rischio.
chi sono?
L'indirizzo ip è un numero composto da 4 cifre da 0 a 255 che indica il dispositivo che ci collega ad internet in un momento X (anche il telefono ne ha uno).
Gli operatori telefonici tengono dei registri delle assegnazioni di questi indirizzi.
Quando interagisco con un sito (ad esempio invio la foto di un corteo), quel sito e tutti quelli che sono tra me e il sito, sapranno l'indirizzo ip del mittente, quindi se quella foto è problematica, verranno a bussarmi sotto casa.
Tor
Tor è lo "strumento" più famoso per ottenere l'anonimato in rete.
In sostanza un'altra persona si prende l'accollo e la responsabilità delle tue attività, senza poter sapere chi sei e cosa vuoi (ma perchè lo fa?).
Un'eventuale ascoltatore (attaccante) vedrà che stai interagendo attraverso la rete Tor, ma non cosa fai e con chi.
Numeri: utenti: più di 2milioni al giorno nodi: 7mila
Tor Browser
Tor Browser è un browser appositamente studiato per funzionare attraverso la rete Tor in automatico e senza troppo sbattimento.
Si occupa anche di preservare l'anonimato in altri modi.
Su android ci sono Tor Browser e Orbot!
Deanonimizzare
La tua identità non è correlata solamente ad un indirizzo ip.
Se postate un commento dal vostro account facebook con Tor Browser, mi serve l'ip per capire chi ha scritto quel commento?
Deanonimizzare
Ci sono mille altri modi per deanonimizzare, in sostanza si cerca di creare un'impronta univoca vostra, attraverso varie tecniche:
- la risoluzione del monitor che state usando
- caratteristiche del browser (lingue supportate, font, sistema operativo, plugin installati, impostazioni, velocità)
- attacchi basati su tempo/spazio particolari.
- comportamenti particolari (biometria comportamentale)
- aneddoto hardvard
Tor Browser cerca di risolvere la maggior parte di questi attacchi.
VPN
Le VPN sono un modo sicuro di collegare computer su internet.
Vengono utilizzate ad esempio per collegare uffici di una stessa azienda senza che nessuno possa sbirciare il traffico (il collegamento è cifrato).
VPN
Ci sono VPN che vengono invece usate per offrire protezione agli utenti facendoli accedere ad internet attraverso di loro (riseup protonvpn)
- proteggervi dal controllo da parte dei provider (ISP)
- ovviare alla censura di stato
- accedere a servizi vietati nel vostro paese
- bypassare il firewall del vostro ufficio
- rendere più sicuro il vostro traffico su reti Wi-Fi non protette
Tails
The amnesic incognito live system
E' un sistema operativo live, vuole dire che non lo installi ma parte da una pennetta USB:
- non lascia tracce delle tue scorribande perche' non salva niente.
- usa Tor per tutto.
Server Radicali
Fiducia
È difficile fare tutto da sol*
- mi faccio il mio server mail
- il mio nodo jabber
- la mia istanza mastodon
- il mio server di backup
tocca fidarsi di qualcuno...
Autistici.org
Crediamo che questo non sia affatto il migliore dei mondi possibili. La nostra risposta è offrire ad attivisti, gruppi e collettivi piattaforme per una comunicazione più libera e strumenti digitali per l’autodifesa della privacy, come per esempio email, blog, mailing list, instant messaging e altro.
Riseup.net
Riseup provides online communication tools for people and groups working on liberatory social change. We are a project to create democratic alternatives and practice self-determination by controlling our own secure means of communications.
Molti altri
Cerca altri server radicali
Cisti.org
Uno spazio digitale liberato.
Un server scapestrato e autogestito.
Anticapitalista, antifascista, antirazzista, antisessista.