navigare / password
This commit is contained in:
parent
7a238de401
commit
d643999537
BIN
img/passhint.png
Normal file
BIN
img/passhint.png
Normal file
Binary file not shown.
After Width: | Height: | Size: 26 KiB |
12
index.html
12
index.html
@ -54,7 +54,12 @@
|
||||
data-separator="^--$"
|
||||
data-markdown="slides/dati.md"></section>
|
||||
</section>
|
||||
<section>
|
||||
<section>
|
||||
<section
|
||||
data-separator="^--$"
|
||||
data-markdown="slides/navigare.md"></section>
|
||||
</section>
|
||||
<section>
|
||||
<section
|
||||
data-separator="^--$"
|
||||
data-markdown="slides/metadata.md"></section>
|
||||
@ -69,11 +74,6 @@
|
||||
data-separator="^--$"
|
||||
data-markdown="slides/comunicare.md"></section>
|
||||
</section>
|
||||
<section>
|
||||
<section
|
||||
data-separator="^--$"
|
||||
data-markdown="slides/navigare.md"></section>
|
||||
</section>
|
||||
<section>
|
||||
<section
|
||||
data-separator="^--$"
|
||||
|
@ -1,14 +1,61 @@
|
||||
## anonimato e altre chicche
|
||||
--
|
||||
come la sicurezza, non è una proprietà, non si compra, non si installa,
|
||||
ci devi mettere il cervello. stacce.
|
||||
|
||||
Ci sono strumenti, da usare in determinate occasioni,
|
||||
dipende dal vostro modello di rischio.
|
||||
|
||||
## anonimato
|
||||
--
|
||||
## navigazione in incognito?
|
||||
## chi sono?
|
||||
l'indirizzo ip è un numero composto da 4 cifre da 0 a 255 che
|
||||
indica chi siamo dentro l'internet in un momento X (anche il telefono ne ha uno).
|
||||
|
||||
Gli operatori telefonici tengono dei registri delle assegnazioni di questi indirizzi.
|
||||
|
||||
Quando interagisco con un sito (ad esempio invio la foto di un corteo),
|
||||
quel sito e tutti quelli che sono tra me e il sito, sapranno l'indirizzo ip
|
||||
del mittente, quindi se quella foto è problematica, verranno a bussarmi sotto casa.
|
||||
|
||||
notes:
|
||||
pippa su ipv6
|
||||
--
|
||||
## tor
|
||||
## Tor
|
||||
Tor è lo "strumento" più famoso per ottenere l'anonimato in rete.
|
||||
|
||||
In sostanza un'altra persona si prende l'accollo e la responsabilità
|
||||
delle tue attività, senza poter sapere chi sei e cosa vuoi (perchè?).
|
||||
|
||||
Un'eventuale ascoltatore (attaccante) vedrà che stai interagendo attraverso la rete Tor,
|
||||
ma non cosa fai e con chi.
|
||||
|
||||
Numeri:
|
||||
utenti: più di 2milioni al giorno
|
||||
nodi: 7mila
|
||||
--
|
||||
## Tor Browser
|
||||
--
|
||||
## Deanonimizzare
|
||||
La tua identità non è correlata solamente ad un indirizzo ip.
|
||||
|
||||
Se postate un commento dal vostro account facebook con Tor Browser,
|
||||
mi serve l'ip per capire chi ha scritto quel commento? (suggerimento: no).
|
||||
|
||||
Ci sono mille altri modi per deanonimizzare, in sostanza si cerca di creare
|
||||
un'impronta univoca vostra, attraverso varie tecniche:
|
||||
|
||||
- la risoluzione del monitor che state usando
|
||||
- le lingue supportate dal vostro browser
|
||||
- il sistema operativo che usate
|
||||
- la velocità del vostro computer
|
||||
- i dispositivi del vostro computer
|
||||
- i plugin installati, le impostazioni del browser
|
||||
- e2e timing attack
|
||||
- comportamenti particolari (biometria comportamentale, quando, come scrivi, dwell time, gap time)
|
||||
|
||||
Tor Browser cerca di risolvere la maggior parte di questi attacchi.
|
||||
--
|
||||
## VPN
|
||||
|
||||
--
|
||||
## tails
|
||||
--
|
||||
## aneddoti
|
||||
--
|
||||
# grazie
|
||||
## tails/whonix/qubes
|
||||
|
@ -1,15 +1,16 @@
|
||||
### Sicurezza dei dati
|
||||
|
||||
Posso perdere/rompere un dispositivo o possono sequestrarmelo.
|
||||
Probabilità alta! Cosa puoi fare:
|
||||
Probabilità alta!
|
||||
--
|
||||
## Come risolvo?
|
||||
|
||||
- fare frequenti backup
|
||||
- cifrare i dati
|
||||
- con frequenti backup
|
||||
- cifrando i dati
|
||||
--
|
||||
### Backup
|
||||
|
||||
- disco locale
|
||||
- remoto
|
||||
- disco locale (nel nostro modello di rischio non funziona)
|
||||
- remoto ()
|
||||
--
|
||||
|
||||
## Cifratura disco
|
||||
|
@ -16,15 +16,14 @@ _to * hacklab
|
||||
|
||||
- Non sono proprietà.
|
||||
- Non si comprano, non è un programma che installi e bona.
|
||||
- E' un processo, bisogna provare, sbagliare, imparare, <u>**metterci attenzione**</u>, stacce.
|
||||
- E' un processo, bisogna provare, sbagliare, imparare, **metterci attenzione**<!-- .element: class="fragment highlight-red" -->, stacce.
|
||||
- E' un approccio mentale.
|
||||
- In generale, stai delegando, cerca di farlo meno possibile.
|
||||
- In generale, stai delegando, cerca di farlo il meno possibile.
|
||||
--
|
||||
### Ma è sicuro?
|
||||
- La sicurezza non è mai 100%, dobbiamo attuare una politica di riduzione del danno, non abbiamo altro.
|
||||
- L'illusione della sicurezza è decisamente peggio della consapevolezza di essere vulnerabili.
|
||||
--
|
||||
### Ma è sicuro?
|
||||
Inoltre comportamenti e strumenti da adottare in alcuni casi,
|
||||
in altri non vanno bene.
|
||||
|
||||
@ -37,10 +36,10 @@ in altri non vanno bene.
|
||||
Bisogna che tu capisca il tuo modello di rischio
|
||||
rispondendo alle seguenti domande:
|
||||
|
||||
- **da chi voglio proteggermi?<!-- .element: class="red"-->** (mia mamma, la mia ragazza, facebook, il mio datore di lavoro, la digos, gli alieni)
|
||||
- **da chi voglio proteggermi?<!-- .element: class="red"-->** (la mamma, il/la compagn*, facebook, il datore di lavoro, la digos, i rettiliani)
|
||||
<!-- .element: class="fragment" -->
|
||||
|
||||
- **cosa voglio proteggere?**<!-- .element: class="red"--> (la mia identità, i miei contatti, le mie preferenze sessuali, le mie comunicazioni)
|
||||
- **cosa voglio proteggere?**<!-- .element: class="red"--> (l'identità, i contatti, le preferenze sessuali, le comunicazioni)
|
||||
<!-- .element: class="fragment" -->
|
||||
|
||||
- **quali sono gli attacchi più probabili?**<!-- .element: class="red"--> (sequestro, intercettazione, leak)
|
||||
@ -52,6 +51,7 @@ rispondendo alle seguenti domande:
|
||||
- rapporto teso con un* ex, stalking sui social network, accesso ad account privati, stalking
|
||||
- leak / autistici/riseup
|
||||
|
||||
<small>da sistemare</small>
|
||||
notes: proporre una riflessione collettiva su uno scenario
|
||||
--
|
||||
### Modello scelto
|
||||
|
@ -1,11 +1,44 @@
|
||||
## Navigazione nell'Internet
|
||||
--
|
||||
Finora non abbiamo parlato dei pericoli della rete,
|
||||
ma solo quelli del nostro dispositivo, considerandolo disconnesso.
|
||||
|
||||
- password wifi
|
||||
- https(menarla, perchè usano password wifi deboli..
|
||||
mostrare che può essere vettore di attacco?)
|
||||
- disconnect, ublock per diminuire la profilazione(att.ne a volte,
|
||||
alcuni siti non funzionano)
|
||||
--
|
||||
### Come ci connettiamo?
|
||||
|
||||
- Wifi? Cambiate la password di default.
|
||||
- [Disabilitate il WPS del router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486).
|
||||
- Wifi pubbliche? usare VPN, vedi dopo.
|
||||
- Preferite il cavo di rete quando potete.
|
||||
|
||||
notes:
|
||||
i dispositivi wifi broadcastano i MAC ai router se non impostati per non farlo (esempio metro di londra)
|
||||
https://tfl.gov.uk/corporate/publications-and-reports/wifi-data-collection
|
||||
--
|
||||
## E una volta connesso?
|
||||
|
||||
- Il browser, quale usare? (vedi software libero)
|
||||
--
|
||||
## Buoni comportamenti
|
||||
- Controlla la barra di navigazione (https? il sito è giusto?)
|
||||
- Sui link sospetti, controlla prima di cliccarci sopra
|
||||
- Cambiare motore di ricerca di default
|
||||
- Salvare le password? (meglio di no)
|
||||
- Usate delle estensioni
|
||||
- Usate Tor Browser
|
||||
--
|
||||
## Estensioni
|
||||
- disconnect
|
||||
- ublock/adblock pluse per diminuire la profilazione(att.ne a volte, alcuni siti non funzionano)
|
||||
- noscript
|
||||
- cookie?
|
||||
- salvare le password nel browser?
|
||||
- navigazione incognito(disambiguare) navigazione anonima
|
||||
- duckduckgo
|
||||
|
||||
--
|
||||
## Navigazione anonima/incognito
|
||||
E' una modalità di navigazione che, contrariamente a quanto avviene normalmente,
|
||||
non tiene conto della vostra sessione di navigazione:
|
||||
|
||||
- non salva la cronologia
|
||||
- i file scaricati non vengono mostrati nei download
|
||||
- niente cache
|
||||
- non salva i cookie (non sono loggato in sessioni successive)
|
@ -1,15 +1,16 @@
|
||||
<!-- .slide: data-background="https://ak7.picdn.net/shutterstock/videos/25863227/thumb/5.jpg" -->
|
||||
<br/><br/>
|
||||
# Password
|
||||
notes:
|
||||
--
|
||||
Le password sono la prima barriera di accesso a dati che vogliamo
|
||||
tenere per noi.
|
||||
|
||||
|
||||
Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare
|
||||
nel computer e nei mille servizi digitali a cui accediamo.
|
||||
--
|
||||
### non siamo bravi
|
||||
Non siamo bravi a creare delle buone password
|
||||
### Ma...
|
||||
Non siamo bravi a scegliere delle buone password
|
||||
|
||||
- <!-- .element: class="fragment" --> E' la password di gmail?
|
||||
<span>➜ ci mettiamo `gmail` <!-- .element: class="red" --> in mezzo</span> <!-- .element: class="fragment" -->
|
||||
@ -22,13 +23,11 @@ In pratica scegliamo password facilmente indovinabili.
|
||||
<!-- .element: class="fragment" -->
|
||||
|
||||
--
|
||||
|
||||
Spinti a migliorare le nostre password,<br/> scegliamo le soluzioni piu' semplici e prevedibili
|
||||
Spinti a migliorare le nostre password
|
||||
|
||||
![img/passhint.png](https://www.guideitech.com/wp-content/uploads/2014/09/HT4232_01-appleid-security-it.010-it.png)
|
||||
--
|
||||
### Siamo prevedibili
|
||||
|
||||
scegliamo le soluzioni piu' semplici e prevedibili
|
||||
- <!-- .element: class="fragment" --> e' la password di facebook ➜ **facebookpassword**
|
||||
- <!-- .element: class="fragment" --> inserisci almeno una maiuscola ➜ **Facebookpassword**
|
||||
- <!-- .element: class="fragment" --> inserisci almeno un numero ➜ **Facebookpassword1**
|
||||
@ -37,11 +36,11 @@ Spinti a migliorare le nostre password,<br/> scegliamo le soluzioni piu' semplic
|
||||
notes:
|
||||
Sono tutti schemi facilmente immaginabili.
|
||||
--
|
||||
<br/><br/><br/>
|
||||
<br/><br/><br/><br/><br/>
|
||||
### Come lo sappiamo?
|
||||
<!-- .slide: data-background-transition="zoom" data-background="https://gobdp.com/wp-content/uploads/2015/07/fix_an_oil_leak.jpg" -->
|
||||
Leak
|
||||
<!-- .slide: data-background="https://gobdp.com/wp-content/uploads/2015/07/fix_an_oil_leak.jpg" -->
|
||||
notes:
|
||||
Leak
|
||||
Negli ultimi anni sono stati bucati tanti servizi e milioni di password sono diventate pubbliche (leak)
|
||||
permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e `password`,
|
||||
gli schemi usati sono drammaticamente ricorrenti.
|
||||
@ -57,9 +56,10 @@ cambio di caratteri comuni, maiuscole/minuscole).
|
||||
|
||||
notes:
|
||||
Considerare che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target.
|
||||
Mostrare un piccolo esempio di `hashcat` (da preparare)
|
||||
--
|
||||
### E quindi?
|
||||
Se non siamo bravi a fare qualcosa, cerchiamo qualcuno che la faccia meglio.
|
||||
Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo.
|
||||
--
|
||||
### Password manager
|
||||
Usiamo dei programmi che generano le nostre password per noi, tipo [KeepPassXC](https://keepassxc.org) (support your local software).
|
||||
@ -69,12 +69,13 @@ notes:
|
||||
spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche.
|
||||
--
|
||||
### E la master password?
|
||||
Per le poche password che non possiamo salvare usiamo i seguenti accorgimenti:
|
||||
Per le poche passphrase che non possiamo salvare usiamo i seguenti accorgimenti:
|
||||
|
||||
- mai riusare una password (dai te ne devi ricordare massimo 4, stacce)
|
||||
- mai condividere una password (no no no no)
|
||||
- mai scrivere una password (a parte se sai quello che stai facendo)
|
||||
- mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
|
||||
- mai condividere una passphrase (no no no e no)
|
||||
- mai scrivere una passphrase (a parte se sai quello che stai facendo)
|
||||
- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle.
|
||||
|
||||
notes:
|
||||
il 4 del primo punto e' un numero a caso.
|
||||
il `4` del primo punto e' un numero a caso.
|
||||
esempio live di scelta passphrase.
|
Loading…
Reference in New Issue
Block a user