navigare / password
This commit is contained in:
parent
7a238de401
commit
d643999537
BIN
img/passhint.png
Normal file
BIN
img/passhint.png
Normal file
Binary file not shown.
After Width: | Height: | Size: 26 KiB |
12
index.html
12
index.html
@ -54,7 +54,12 @@
|
|||||||
data-separator="^--$"
|
data-separator="^--$"
|
||||||
data-markdown="slides/dati.md"></section>
|
data-markdown="slides/dati.md"></section>
|
||||||
</section>
|
</section>
|
||||||
<section>
|
<section>
|
||||||
|
<section
|
||||||
|
data-separator="^--$"
|
||||||
|
data-markdown="slides/navigare.md"></section>
|
||||||
|
</section>
|
||||||
|
<section>
|
||||||
<section
|
<section
|
||||||
data-separator="^--$"
|
data-separator="^--$"
|
||||||
data-markdown="slides/metadata.md"></section>
|
data-markdown="slides/metadata.md"></section>
|
||||||
@ -69,11 +74,6 @@
|
|||||||
data-separator="^--$"
|
data-separator="^--$"
|
||||||
data-markdown="slides/comunicare.md"></section>
|
data-markdown="slides/comunicare.md"></section>
|
||||||
</section>
|
</section>
|
||||||
<section>
|
|
||||||
<section
|
|
||||||
data-separator="^--$"
|
|
||||||
data-markdown="slides/navigare.md"></section>
|
|
||||||
</section>
|
|
||||||
<section>
|
<section>
|
||||||
<section
|
<section
|
||||||
data-separator="^--$"
|
data-separator="^--$"
|
||||||
|
@ -1,14 +1,61 @@
|
|||||||
|
## anonimato e altre chicche
|
||||||
|
--
|
||||||
|
come la sicurezza, non è una proprietà, non si compra, non si installa,
|
||||||
|
ci devi mettere il cervello. stacce.
|
||||||
|
|
||||||
|
Ci sono strumenti, da usare in determinate occasioni,
|
||||||
|
dipende dal vostro modello di rischio.
|
||||||
|
|
||||||
## anonimato
|
|
||||||
--
|
--
|
||||||
## navigazione in incognito?
|
## chi sono?
|
||||||
|
l'indirizzo ip è un numero composto da 4 cifre da 0 a 255 che
|
||||||
|
indica chi siamo dentro l'internet in un momento X (anche il telefono ne ha uno).
|
||||||
|
|
||||||
|
Gli operatori telefonici tengono dei registri delle assegnazioni di questi indirizzi.
|
||||||
|
|
||||||
|
Quando interagisco con un sito (ad esempio invio la foto di un corteo),
|
||||||
|
quel sito e tutti quelli che sono tra me e il sito, sapranno l'indirizzo ip
|
||||||
|
del mittente, quindi se quella foto è problematica, verranno a bussarmi sotto casa.
|
||||||
|
|
||||||
|
notes:
|
||||||
|
pippa su ipv6
|
||||||
--
|
--
|
||||||
## tor
|
## Tor
|
||||||
|
Tor è lo "strumento" più famoso per ottenere l'anonimato in rete.
|
||||||
|
|
||||||
|
In sostanza un'altra persona si prende l'accollo e la responsabilità
|
||||||
|
delle tue attività, senza poter sapere chi sei e cosa vuoi (perchè?).
|
||||||
|
|
||||||
|
Un'eventuale ascoltatore (attaccante) vedrà che stai interagendo attraverso la rete Tor,
|
||||||
|
ma non cosa fai e con chi.
|
||||||
|
|
||||||
|
Numeri:
|
||||||
|
utenti: più di 2milioni al giorno
|
||||||
|
nodi: 7mila
|
||||||
|
--
|
||||||
|
## Tor Browser
|
||||||
|
--
|
||||||
|
## Deanonimizzare
|
||||||
|
La tua identità non è correlata solamente ad un indirizzo ip.
|
||||||
|
|
||||||
|
Se postate un commento dal vostro account facebook con Tor Browser,
|
||||||
|
mi serve l'ip per capire chi ha scritto quel commento? (suggerimento: no).
|
||||||
|
|
||||||
|
Ci sono mille altri modi per deanonimizzare, in sostanza si cerca di creare
|
||||||
|
un'impronta univoca vostra, attraverso varie tecniche:
|
||||||
|
|
||||||
|
- la risoluzione del monitor che state usando
|
||||||
|
- le lingue supportate dal vostro browser
|
||||||
|
- il sistema operativo che usate
|
||||||
|
- la velocità del vostro computer
|
||||||
|
- i dispositivi del vostro computer
|
||||||
|
- i plugin installati, le impostazioni del browser
|
||||||
|
- e2e timing attack
|
||||||
|
- comportamenti particolari (biometria comportamentale, quando, come scrivi, dwell time, gap time)
|
||||||
|
|
||||||
|
Tor Browser cerca di risolvere la maggior parte di questi attacchi.
|
||||||
--
|
--
|
||||||
## VPN
|
## VPN
|
||||||
|
|
||||||
--
|
--
|
||||||
## tails
|
## tails/whonix/qubes
|
||||||
--
|
|
||||||
## aneddoti
|
|
||||||
--
|
|
||||||
# grazie
|
|
||||||
|
@ -1,15 +1,16 @@
|
|||||||
### Sicurezza dei dati
|
### Sicurezza dei dati
|
||||||
|
|
||||||
Posso perdere/rompere un dispositivo o possono sequestrarmelo.
|
Posso perdere/rompere un dispositivo o possono sequestrarmelo.
|
||||||
Probabilità alta! Cosa puoi fare:
|
Probabilità alta!
|
||||||
|
--
|
||||||
|
## Come risolvo?
|
||||||
|
|
||||||
- fare frequenti backup
|
- con frequenti backup
|
||||||
- cifrare i dati
|
- cifrando i dati
|
||||||
--
|
--
|
||||||
### Backup
|
### Backup
|
||||||
|
- disco locale (nel nostro modello di rischio non funziona)
|
||||||
- disco locale
|
- remoto ()
|
||||||
- remoto
|
|
||||||
--
|
--
|
||||||
|
|
||||||
## Cifratura disco
|
## Cifratura disco
|
||||||
|
@ -16,15 +16,14 @@ _to * hacklab
|
|||||||
|
|
||||||
- Non sono proprietà.
|
- Non sono proprietà.
|
||||||
- Non si comprano, non è un programma che installi e bona.
|
- Non si comprano, non è un programma che installi e bona.
|
||||||
- E' un processo, bisogna provare, sbagliare, imparare, <u>**metterci attenzione**</u>, stacce.
|
- E' un processo, bisogna provare, sbagliare, imparare, **metterci attenzione**<!-- .element: class="fragment highlight-red" -->, stacce.
|
||||||
- E' un approccio mentale.
|
- E' un approccio mentale.
|
||||||
- In generale, stai delegando, cerca di farlo meno possibile.
|
- In generale, stai delegando, cerca di farlo il meno possibile.
|
||||||
--
|
--
|
||||||
### Ma è sicuro?
|
### Ma è sicuro?
|
||||||
- La sicurezza non è mai 100%, dobbiamo attuare una politica di riduzione del danno, non abbiamo altro.
|
- La sicurezza non è mai 100%, dobbiamo attuare una politica di riduzione del danno, non abbiamo altro.
|
||||||
- L'illusione della sicurezza è decisamente peggio della consapevolezza di essere vulnerabili.
|
- L'illusione della sicurezza è decisamente peggio della consapevolezza di essere vulnerabili.
|
||||||
--
|
--
|
||||||
### Ma è sicuro?
|
|
||||||
Inoltre comportamenti e strumenti da adottare in alcuni casi,
|
Inoltre comportamenti e strumenti da adottare in alcuni casi,
|
||||||
in altri non vanno bene.
|
in altri non vanno bene.
|
||||||
|
|
||||||
@ -37,10 +36,10 @@ in altri non vanno bene.
|
|||||||
Bisogna che tu capisca il tuo modello di rischio
|
Bisogna che tu capisca il tuo modello di rischio
|
||||||
rispondendo alle seguenti domande:
|
rispondendo alle seguenti domande:
|
||||||
|
|
||||||
- **da chi voglio proteggermi?<!-- .element: class="red"-->** (mia mamma, la mia ragazza, facebook, il mio datore di lavoro, la digos, gli alieni)
|
- **da chi voglio proteggermi?<!-- .element: class="red"-->** (la mamma, il/la compagn*, facebook, il datore di lavoro, la digos, i rettiliani)
|
||||||
<!-- .element: class="fragment" -->
|
<!-- .element: class="fragment" -->
|
||||||
|
|
||||||
- **cosa voglio proteggere?**<!-- .element: class="red"--> (la mia identità, i miei contatti, le mie preferenze sessuali, le mie comunicazioni)
|
- **cosa voglio proteggere?**<!-- .element: class="red"--> (l'identità, i contatti, le preferenze sessuali, le comunicazioni)
|
||||||
<!-- .element: class="fragment" -->
|
<!-- .element: class="fragment" -->
|
||||||
|
|
||||||
- **quali sono gli attacchi più probabili?**<!-- .element: class="red"--> (sequestro, intercettazione, leak)
|
- **quali sono gli attacchi più probabili?**<!-- .element: class="red"--> (sequestro, intercettazione, leak)
|
||||||
@ -52,6 +51,7 @@ rispondendo alle seguenti domande:
|
|||||||
- rapporto teso con un* ex, stalking sui social network, accesso ad account privati, stalking
|
- rapporto teso con un* ex, stalking sui social network, accesso ad account privati, stalking
|
||||||
- leak / autistici/riseup
|
- leak / autistici/riseup
|
||||||
|
|
||||||
|
<small>da sistemare</small>
|
||||||
notes: proporre una riflessione collettiva su uno scenario
|
notes: proporre una riflessione collettiva su uno scenario
|
||||||
--
|
--
|
||||||
### Modello scelto
|
### Modello scelto
|
||||||
|
@ -1,11 +1,44 @@
|
|||||||
## Navigazione nell'Internet
|
## Navigazione nell'Internet
|
||||||
|
--
|
||||||
|
Finora non abbiamo parlato dei pericoli della rete,
|
||||||
|
ma solo quelli del nostro dispositivo, considerandolo disconnesso.
|
||||||
|
|
||||||
- password wifi
|
--
|
||||||
- https(menarla, perchè usano password wifi deboli..
|
### Come ci connettiamo?
|
||||||
mostrare che può essere vettore di attacco?)
|
|
||||||
- disconnect, ublock per diminuire la profilazione(att.ne a volte,
|
- Wifi? Cambiate la password di default.
|
||||||
alcuni siti non funzionano)
|
- [Disabilitate il WPS del router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486).
|
||||||
|
- Wifi pubbliche? usare VPN, vedi dopo.
|
||||||
|
- Preferite il cavo di rete quando potete.
|
||||||
|
|
||||||
|
notes:
|
||||||
|
i dispositivi wifi broadcastano i MAC ai router se non impostati per non farlo (esempio metro di londra)
|
||||||
|
https://tfl.gov.uk/corporate/publications-and-reports/wifi-data-collection
|
||||||
|
--
|
||||||
|
## E una volta connesso?
|
||||||
|
|
||||||
|
- Il browser, quale usare? (vedi software libero)
|
||||||
|
--
|
||||||
|
## Buoni comportamenti
|
||||||
|
- Controlla la barra di navigazione (https? il sito è giusto?)
|
||||||
|
- Sui link sospetti, controlla prima di cliccarci sopra
|
||||||
|
- Cambiare motore di ricerca di default
|
||||||
|
- Salvare le password? (meglio di no)
|
||||||
|
- Usate delle estensioni
|
||||||
|
- Usate Tor Browser
|
||||||
|
--
|
||||||
|
## Estensioni
|
||||||
|
- disconnect
|
||||||
|
- ublock/adblock pluse per diminuire la profilazione(att.ne a volte, alcuni siti non funzionano)
|
||||||
- noscript
|
- noscript
|
||||||
- cookie?
|
- duckduckgo
|
||||||
- salvare le password nel browser?
|
|
||||||
- navigazione incognito(disambiguare) navigazione anonima
|
--
|
||||||
|
## Navigazione anonima/incognito
|
||||||
|
E' una modalità di navigazione che, contrariamente a quanto avviene normalmente,
|
||||||
|
non tiene conto della vostra sessione di navigazione:
|
||||||
|
|
||||||
|
- non salva la cronologia
|
||||||
|
- i file scaricati non vengono mostrati nei download
|
||||||
|
- niente cache
|
||||||
|
- non salva i cookie (non sono loggato in sessioni successive)
|
@ -1,15 +1,16 @@
|
|||||||
<!-- .slide: data-background="https://ak7.picdn.net/shutterstock/videos/25863227/thumb/5.jpg" -->
|
<!-- .slide: data-background="https://ak7.picdn.net/shutterstock/videos/25863227/thumb/5.jpg" -->
|
||||||
<br/><br/>
|
<br/><br/>
|
||||||
# Password
|
# Password
|
||||||
notes:
|
--
|
||||||
Le password sono la prima barriera di accesso a dati che vogliamo
|
Le password sono la prima barriera di accesso a dati che vogliamo
|
||||||
tenere per noi.
|
tenere per noi.
|
||||||
|
|
||||||
|
|
||||||
Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare
|
Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare
|
||||||
nel computer e nei mille servizi digitali a cui accediamo.
|
nel computer e nei mille servizi digitali a cui accediamo.
|
||||||
--
|
--
|
||||||
### non siamo bravi
|
### Ma...
|
||||||
Non siamo bravi a creare delle buone password
|
Non siamo bravi a scegliere delle buone password
|
||||||
|
|
||||||
- <!-- .element: class="fragment" --> E' la password di gmail?
|
- <!-- .element: class="fragment" --> E' la password di gmail?
|
||||||
<span>➜ ci mettiamo `gmail` <!-- .element: class="red" --> in mezzo</span> <!-- .element: class="fragment" -->
|
<span>➜ ci mettiamo `gmail` <!-- .element: class="red" --> in mezzo</span> <!-- .element: class="fragment" -->
|
||||||
@ -22,13 +23,11 @@ In pratica scegliamo password facilmente indovinabili.
|
|||||||
<!-- .element: class="fragment" -->
|
<!-- .element: class="fragment" -->
|
||||||
|
|
||||||
--
|
--
|
||||||
|
Spinti a migliorare le nostre password
|
||||||
Spinti a migliorare le nostre password,<br/> scegliamo le soluzioni piu' semplici e prevedibili
|
|
||||||
|
|
||||||
![img/passhint.png](https://www.guideitech.com/wp-content/uploads/2014/09/HT4232_01-appleid-security-it.010-it.png)
|
![img/passhint.png](https://www.guideitech.com/wp-content/uploads/2014/09/HT4232_01-appleid-security-it.010-it.png)
|
||||||
--
|
--
|
||||||
### Siamo prevedibili
|
scegliamo le soluzioni piu' semplici e prevedibili
|
||||||
|
|
||||||
- <!-- .element: class="fragment" --> e' la password di facebook ➜ **facebookpassword**
|
- <!-- .element: class="fragment" --> e' la password di facebook ➜ **facebookpassword**
|
||||||
- <!-- .element: class="fragment" --> inserisci almeno una maiuscola ➜ **Facebookpassword**
|
- <!-- .element: class="fragment" --> inserisci almeno una maiuscola ➜ **Facebookpassword**
|
||||||
- <!-- .element: class="fragment" --> inserisci almeno un numero ➜ **Facebookpassword1**
|
- <!-- .element: class="fragment" --> inserisci almeno un numero ➜ **Facebookpassword1**
|
||||||
@ -37,11 +36,11 @@ Spinti a migliorare le nostre password,<br/> scegliamo le soluzioni piu' semplic
|
|||||||
notes:
|
notes:
|
||||||
Sono tutti schemi facilmente immaginabili.
|
Sono tutti schemi facilmente immaginabili.
|
||||||
--
|
--
|
||||||
<br/><br/><br/>
|
<br/><br/><br/><br/><br/>
|
||||||
### Come lo sappiamo?
|
### Come lo sappiamo?
|
||||||
<!-- .slide: data-background-transition="zoom" data-background="https://gobdp.com/wp-content/uploads/2015/07/fix_an_oil_leak.jpg" -->
|
<!-- .slide: data-background="https://gobdp.com/wp-content/uploads/2015/07/fix_an_oil_leak.jpg" -->
|
||||||
Leak
|
|
||||||
notes:
|
notes:
|
||||||
|
Leak
|
||||||
Negli ultimi anni sono stati bucati tanti servizi e milioni di password sono diventate pubbliche (leak)
|
Negli ultimi anni sono stati bucati tanti servizi e milioni di password sono diventate pubbliche (leak)
|
||||||
permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e `password`,
|
permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e `password`,
|
||||||
gli schemi usati sono drammaticamente ricorrenti.
|
gli schemi usati sono drammaticamente ricorrenti.
|
||||||
@ -57,9 +56,10 @@ cambio di caratteri comuni, maiuscole/minuscole).
|
|||||||
|
|
||||||
notes:
|
notes:
|
||||||
Considerare che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target.
|
Considerare che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target.
|
||||||
|
Mostrare un piccolo esempio di `hashcat` (da preparare)
|
||||||
--
|
--
|
||||||
### E quindi?
|
### E quindi?
|
||||||
Se non siamo bravi a fare qualcosa, cerchiamo qualcuno che la faccia meglio.
|
Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo.
|
||||||
--
|
--
|
||||||
### Password manager
|
### Password manager
|
||||||
Usiamo dei programmi che generano le nostre password per noi, tipo [KeepPassXC](https://keepassxc.org) (support your local software).
|
Usiamo dei programmi che generano le nostre password per noi, tipo [KeepPassXC](https://keepassxc.org) (support your local software).
|
||||||
@ -69,12 +69,13 @@ notes:
|
|||||||
spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche.
|
spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche.
|
||||||
--
|
--
|
||||||
### E la master password?
|
### E la master password?
|
||||||
Per le poche password che non possiamo salvare usiamo i seguenti accorgimenti:
|
Per le poche passphrase che non possiamo salvare usiamo i seguenti accorgimenti:
|
||||||
|
|
||||||
- mai riusare una password (dai te ne devi ricordare massimo 4, stacce)
|
- mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
|
||||||
- mai condividere una password (no no no no)
|
- mai condividere una passphrase (no no no e no)
|
||||||
- mai scrivere una password (a parte se sai quello che stai facendo)
|
- mai scrivere una passphrase (a parte se sai quello che stai facendo)
|
||||||
- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle.
|
- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle.
|
||||||
|
|
||||||
notes:
|
notes:
|
||||||
il 4 del primo punto e' un numero a caso.
|
il `4` del primo punto e' un numero a caso.
|
||||||
|
esempio live di scelta passphrase.
|
Loading…
Reference in New Issue
Block a user