dati/anon/cose

slides/anonimato.md

@@ -34,28 +34,43 @@ utenti: più di 2milioni al giorno
 nodi: 7mila
 --
 ## Tor Browser
+Tor Browser è un browser appositamente studiato per funzionare attraverso la rete Tor in automatico
+e senza troppo sbattimento.
+
+Si occupa anche di preservare l'anonimato in altri modi.
 --
 ## Deanonimizzare
 La tua identità non è correlata solamente ad un indirizzo ip.
 
 Se postate un commento dal vostro account facebook con Tor Browser,
-mi serve l'ip per capire chi ha scritto quel commento? (suggerimento: no).
+mi serve l'ip per capire chi ha scritto quel commento? no.
+--
+### Deanonimizzare
 
 Ci sono mille altri modi per deanonimizzare, in sostanza si cerca di creare
 un'impronta univoca vostra, attraverso varie tecniche:
 
 - la risoluzione del monitor che state usando
-- le lingue supportate dal vostro browser
+- caratteristiche del browser (lingue supportate, font, sistema operativo, plugin installati, impostazioni, velocità)
-- il sistema operativo che usate
+- attacchi basati su tempo/spazio particolari.
-- la velocità del vostro computer
+- comportamenti particolari ([biometria](https://www.typingdna.com/) [comportamentale](https://www.keytrac.net/en/tryout))
-- i dispositivi del vostro computer
-- i plugin installati, le impostazioni del browser
-- e2e timing attack
-- comportamenti particolari (biometria comportamentale, quando, come scrivi, dwell time, gap time)
 
-Tor Browser cerca di risolvere la maggior parte di questi attacchi.
+[Tor Browser]() cerca di risolvere la maggior parte di questi attacchi.
 --
 ## VPN
+Le VPN sono un modo sicuro di collegare computer su internet.
+Vengono utilizzate ad esempio per collegare uffici di una stessa azienda senza che nessuno
+possa sbirciare il traffico (il collegamento è cifrato).
+--
+## VPN
+Ci sono VPN che vengono invece usate per offrire protezione agli utenti facendoli accedere
+ad internet attraverso di loro ([autistici](https://vpn.autistici.org/help/index-it.html), [protonvpn](https://protonvpn.com/))
+
+- proteggervi dal controllo da parte dei provider (ISP)
+- ovviare alla censura di stato
+- accedere a servizi vietati nel vostro paese
+- bypassare il firewall del vostro ufficio
+- rendere più sicuro il vostro traffico su reti Wi-Fi non protette
 
 --
 ## tails/whonix/qubes

slides/dati.md

@@ -9,30 +9,31 @@ Probabilità alta!
   - cifrando i dati
 --
 ### Backup
-- disco locale (nel nostro modello di rischio non funziona)
+- disco locale (ok, ma se nel nostro modello di rischio c'e' un probabile sequestro non funziona)
-- remoto ()
+- remoto (ok, cifrato va bene dove vogliamo, anche su google/dropbox)
 --
 
 ## Cifratura disco
-E' facile! Richiede solo l'inserimento di una passphrase all'avvio del computer, o di un pin all'avvio del telefono.
+E' facile! Richiede solo l'inserimento di una passphrase all'avvio del computer o di un pin all'avvio del telefono.
 
-Con una buona passphrase/pin (vedi sopra) il contenuto del disco sarà al sicuro per un po'.
+Con una buona passphrase/pin il contenuto del disco sarà al sicuro per un po'.
 --
 ## Cifratura disco, precisazioni
-
+I dati sono in chiaro a computer acceso, 
-da cosa non mi protegge? i dati sono in chiaro a computer acceso, 
 quindi non lasciarlo incustodito (per poco tempo blocca lo schermo almeno),
-se hai dati molto sensibili o un livello di paranoia sufficiente,
+un'altra alternativa e' fare un'altra partizione cifrata da aprire
-fai un'altra partizione cifrata da aprire solo quando lavori con quel
+solo quando lavori con quel materiale sensibile.
-materiale. 
-
-inoltre non ti protegge da malware.
-
-notes: per paranoia++, togliere la batteria in modo che per spegnere
-il device basta togliere l'alimentazione e non cercare il tasto
-spegni....
 
+se suonano alla porta, spegni il computer prima di aprire o smonta
+la partizione cifrata.
+--
 ## Cancellazione sicura dei dati
 Per ottimizzare, quando eliminiamo un file, il sistema operativo segna solo
 come libero il posto che occupa, non ne sovrascrive il contenuto.
-E' possibile recuperarne il contenuto. Fai te.
+E' possibile recuperarne il contenuto.
+
+Nel caso il disco sia cifrato il pericolo e' minore, anche nel caso
+il disco sia un SSD.
+
+Se passate la frontiera o vendete il vostro computer, consideraterlo:
+esistono vari programmi per eliminare in maniera sicura i file.

slides/intro.md

@@ -46,43 +46,22 @@ rispondendo alle seguenti domande:
 <!-- .element: class="fragment" -->
 
 --
-### Esempi / Aneddoti
+### Esempi
 
-  - rapporto teso con un* ex, stalking sui social network, accesso ad account privati, stalking
+  - rapporto teso con un/a ex
-  - leak / autistici/riseup
+  - perdiamo il telefono
+  - sequestro
 
-<small>da sistemare</small>
 notes: proporre una riflessione collettiva su uno scenario
 --
-### Modello scelto
+### Di cosa siamo preoccupati
 
-Il modello di rischio immaginato qui è quello di un* attivista.
 
-L'attaccante neanche troppo immaginario sono le FDO.
+---
+### Dai, ma chi mi caga?
 
---
+Guardando la spesa statale per le tecnologie di sorveglianza ad uso poliziesco, qualcuno ti considera.
-### proteggiamo i nostri dati
 
-- dobbiamo aspettarci un sequestro, non vogliamo che i nostri dati vengano letti.
+[aggiornamenti legge italiana uso trojan](https://motherboard.vice.com/it/article/7xedna/la-legge-italiana-sulluso-dei-trojan-e-un-disastro)
-- inoltre, vogliamo avere accesso ai nostri dati ben prima del dissequestro.
+[listino servizi](https://giustizia.it/resources/cms/documents/dag_decreto_28dic2017_tabella_listino.pdf)
-- non vogliamo che qualcuno ascolti le nostre comunicazioni.
+[quanto spendiamo?](https://motherboard.vice.com/it/article/padegg/quanto-spende-il-governo-italiano-per-le-tecnologie-di-sorveglianza)
---
-### proteggiamo i dati degli amici
-
-- spesso maneggiamo dati non nostri <br/> (ad esempio i contatti).
-- stiamo documentando un corteo?
-- reti di relazioni.
---
-### le nostre comunicazioni
-
- - voglio mandare un comunicato anonimo al mio blog preferito.
- - voglio pubblicare la foto di una scritta su un muro stando sereno.
- - voglio parlare dei miei piani a cena senza che condividerne i dettagli col maresciallo.
---
-vogliamo in generale evitare di fornire involontariamente informazioni su di noi o altri.
---
-## di cosa non parleremo
-- attacchi fantascientifici?
-
-notes: attacchi hardware, cimici, microspie, attacchi elettromagnetici,
-tracce sul vetro del tablet :P

slides/navigare.md

@@ -9,6 +9,7 @@ ma solo quelli del nostro dispositivo, considerandolo disconnesso.
  - Wifi? Cambiate la password di default.
  - [Disabilitate il WPS del router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486).
  - Wifi pubbliche? usare VPN, vedi dopo.
+ - Dal telefono, disabilitare il wifi quando non lo usate.
  - Preferite il cavo di rete quando potete.
 
 notes:
@@ -16,25 +17,29 @@ i dispositivi wifi broadcastano i MAC ai router se non impostati per non farlo (
 https://tfl.gov.uk/corporate/publications-and-reports/wifi-data-collection
 --
 ## E una volta connesso?
-
  - Il browser, quale usare? (vedi software libero)
+ - E sul telefono?
 --
-## Buoni comportamenti
+## Buoni comportamenti sul web
  - Controlla la barra di navigazione (https? il sito è giusto?)
  - Sui link sospetti, controlla prima di cliccarci sopra
- - Cambiare motore di ricerca di default
+ - Cambiare motore di ricerca di default (usate duckduckgo)
  - Salvare le password? (meglio di no)
- - Usate delle estensioni
  - Usate Tor Browser
+ - Usate i Feed/RSS
+ - Usate profili differenti o containers
 --
 ## Estensioni
+ - duckduckgo privacy essentials
  - disconnect
- - ublock/adblock pluse per diminuire la profilazione(att.ne a volte, alcuni siti non funzionano)
+ - ublock/adblock plus
-- noscript
+ - decentraleyes
-- duckduckgo
+ - facebook container / multi-account containers
-
 --
-## Navigazione anonima/incognito
+### Navigazione anonima/incognito
+Non c'entra niente con l'anonimato, al massimo protegge dagli attacchi di
+vostra madre che vi guarda la cronologia mentre andate in bagno.
+
 E' una modalità di navigazione che, contrariamente a quanto avviene normalmente,
 non tiene conto della vostra sessione di navigazione:
 

slides/password.md

@@ -38,24 +38,21 @@ Sono tutti schemi facilmente immaginabili.
 --
 <br/><br/><br/><br/><br/>
 ### Come lo sappiamo?
-<!-- .slide: data-background="https://gobdp.com/wp-content/uploads/2015/07/fix_an_oil_leak.jpg" -->
-notes:
-Leak
 Negli ultimi anni sono stati bucati tanti servizi e milioni di password sono diventate pubbliche (leak)
 permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e `password`,
 gli schemi usati sono drammaticamente ricorrenti.
 
-RockYou
+- RockYou / [analisi](https://www.passcape.com/index.php?section=blog&cmd=details&id=17)
-Sony/PlayStation Network account
+- Sony/PlayStation Network account
-Ashley Madison
+- Ashley Madison
 --
 ### Password Cracking
-Esistono programmi e servizi che lo fanno e si basano comunemente su dizionari
+Esistono programmi e servizi che tentano ripetutamente password basandosi sulla nostra prevedibilità
-a cui vengono applicate delle regole (permutazioni, aggiunte di prefissi/suffissi,
+e si basano comunemente su dizionari a cui vengono applicate delle regole (permutazioni, aggiunte di prefissi/suffissi,
 cambio di caratteri comuni, maiuscole/minuscole).
 
+Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target.
 notes:
-Considerare che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target.
 Mostrare un piccolo esempio di `hashcat` (da preparare)
 --
 ### E quindi?
@@ -64,7 +61,7 @@ Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo.
 ### Password manager
 Usiamo dei programmi che generano le nostre password per noi, tipo [KeepPassXC](https://keepassxc.org) (support your local software).
 
-Si ricordano delle password sicure per noi, in cambio di una sola password (passphrase).
+Si ricordano delle password sicure per noi, in cambio di una sola master password (passphrase).
 notes:
 spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche.
 --