navigare / password

This commit is contained in:
lesion 2018-08-29 01:40:50 +02:00
parent 7a238de401
commit d643999537
No known key found for this signature in database
GPG Key ID: 352918250B012177
7 changed files with 131 additions and 49 deletions

BIN
img/passhint.png Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 26 KiB

View File

@ -54,7 +54,12 @@
data-separator="^--$" data-separator="^--$"
data-markdown="slides/dati.md"></section> data-markdown="slides/dati.md"></section>
</section> </section>
<section> <section>
<section
data-separator="^--$"
data-markdown="slides/navigare.md"></section>
</section>
<section>
<section <section
data-separator="^--$" data-separator="^--$"
data-markdown="slides/metadata.md"></section> data-markdown="slides/metadata.md"></section>
@ -69,11 +74,6 @@
data-separator="^--$" data-separator="^--$"
data-markdown="slides/comunicare.md"></section> data-markdown="slides/comunicare.md"></section>
</section> </section>
<section>
<section
data-separator="^--$"
data-markdown="slides/navigare.md"></section>
</section>
<section> <section>
<section <section
data-separator="^--$" data-separator="^--$"

View File

@ -1,14 +1,61 @@
## anonimato e altre chicche
--
come la sicurezza, non è una proprietà, non si compra, non si installa,
ci devi mettere il cervello. stacce.
Ci sono strumenti, da usare in determinate occasioni,
dipende dal vostro modello di rischio.
## anonimato
-- --
## navigazione in incognito? ## chi sono?
l'indirizzo ip è un numero composto da 4 cifre da 0 a 255 che
indica chi siamo dentro l'internet in un momento X (anche il telefono ne ha uno).
Gli operatori telefonici tengono dei registri delle assegnazioni di questi indirizzi.
Quando interagisco con un sito (ad esempio invio la foto di un corteo),
quel sito e tutti quelli che sono tra me e il sito, sapranno l'indirizzo ip
del mittente, quindi se quella foto è problematica, verranno a bussarmi sotto casa.
notes:
pippa su ipv6
-- --
## tor ## Tor
Tor è lo "strumento" più famoso per ottenere l'anonimato in rete.
In sostanza un'altra persona si prende l'accollo e la responsabilità
delle tue attività, senza poter sapere chi sei e cosa vuoi (perchè?).
Un'eventuale ascoltatore (attaccante) vedrà che stai interagendo attraverso la rete Tor,
ma non cosa fai e con chi.
Numeri:
utenti: più di 2milioni al giorno
nodi: 7mila
--
## Tor Browser
--
## Deanonimizzare
La tua identità non è correlata solamente ad un indirizzo ip.
Se postate un commento dal vostro account facebook con Tor Browser,
mi serve l'ip per capire chi ha scritto quel commento? (suggerimento: no).
Ci sono mille altri modi per deanonimizzare, in sostanza si cerca di creare
un'impronta univoca vostra, attraverso varie tecniche:
- la risoluzione del monitor che state usando
- le lingue supportate dal vostro browser
- il sistema operativo che usate
- la velocità del vostro computer
- i dispositivi del vostro computer
- i plugin installati, le impostazioni del browser
- e2e timing attack
- comportamenti particolari (biometria comportamentale, quando, come scrivi, dwell time, gap time)
Tor Browser cerca di risolvere la maggior parte di questi attacchi.
-- --
## VPN ## VPN
-- --
## tails ## tails/whonix/qubes
--
## aneddoti
--
# grazie

View File

@ -1,15 +1,16 @@
### Sicurezza dei dati ### Sicurezza dei dati
Posso perdere/rompere un dispositivo o possono sequestrarmelo. Posso perdere/rompere un dispositivo o possono sequestrarmelo.
Probabilità alta! Cosa puoi fare: Probabilità alta!
--
## Come risolvo?
- fare frequenti backup - con frequenti backup
- cifrare i dati - cifrando i dati
-- --
### Backup ### Backup
- disco locale (nel nostro modello di rischio non funziona)
- disco locale - remoto ()
- remoto
-- --
## Cifratura disco ## Cifratura disco

View File

@ -16,15 +16,14 @@ _to * hacklab
- Non sono proprietà. - Non sono proprietà.
- Non si comprano, non è un programma che installi e bona. - Non si comprano, non è un programma che installi e bona.
- E' un processo, bisogna provare, sbagliare, imparare, <u>**metterci attenzione**</u>, stacce. - E' un processo, bisogna provare, sbagliare, imparare, **metterci attenzione**<!-- .element: class="fragment highlight-red" -->, stacce.
- E' un approccio mentale. - E' un approccio mentale.
- In generale, stai delegando, cerca di farlo meno possibile. - In generale, stai delegando, cerca di farlo il meno possibile.
-- --
### Ma è sicuro? ### Ma è sicuro?
- La sicurezza non è mai 100%, dobbiamo attuare una politica di riduzione del danno, non abbiamo altro. - La sicurezza non è mai 100%, dobbiamo attuare una politica di riduzione del danno, non abbiamo altro.
- L'illusione della sicurezza è decisamente peggio della consapevolezza di essere vulnerabili. - L'illusione della sicurezza è decisamente peggio della consapevolezza di essere vulnerabili.
-- --
### Ma è sicuro?
Inoltre comportamenti e strumenti da adottare in alcuni casi, Inoltre comportamenti e strumenti da adottare in alcuni casi,
in altri non vanno bene. in altri non vanno bene.
@ -37,10 +36,10 @@ in altri non vanno bene.
Bisogna che tu capisca il tuo modello di rischio Bisogna che tu capisca il tuo modello di rischio
rispondendo alle seguenti domande: rispondendo alle seguenti domande:
- **da chi voglio proteggermi?<!-- .element: class="red"-->** (mia mamma, la mia ragazza, facebook, il mio datore di lavoro, la digos, gli alieni) - **da chi voglio proteggermi?<!-- .element: class="red"-->** (la mamma, il/la compagn*, facebook, il datore di lavoro, la digos, i rettiliani)
<!-- .element: class="fragment" --> <!-- .element: class="fragment" -->
- **cosa voglio proteggere?**<!-- .element: class="red"--> (la mia identità, i miei contatti, le mie preferenze sessuali, le mie comunicazioni) - **cosa voglio proteggere?**<!-- .element: class="red"--> (l'identità, i contatti, le preferenze sessuali, le comunicazioni)
<!-- .element: class="fragment" --> <!-- .element: class="fragment" -->
- **quali sono gli attacchi più probabili?**<!-- .element: class="red"--> (sequestro, intercettazione, leak) - **quali sono gli attacchi più probabili?**<!-- .element: class="red"--> (sequestro, intercettazione, leak)
@ -52,6 +51,7 @@ rispondendo alle seguenti domande:
- rapporto teso con un* ex, stalking sui social network, accesso ad account privati, stalking - rapporto teso con un* ex, stalking sui social network, accesso ad account privati, stalking
- leak / autistici/riseup - leak / autistici/riseup
<small>da sistemare</small>
notes: proporre una riflessione collettiva su uno scenario notes: proporre una riflessione collettiva su uno scenario
-- --
### Modello scelto ### Modello scelto

View File

@ -1,11 +1,44 @@
## Navigazione nell'Internet ## Navigazione nell'Internet
--
Finora non abbiamo parlato dei pericoli della rete,
ma solo quelli del nostro dispositivo, considerandolo disconnesso.
- password wifi --
- https(menarla, perchè usano password wifi deboli.. ### Come ci connettiamo?
mostrare che può essere vettore di attacco?)
- disconnect, ublock per diminuire la profilazione(att.ne a volte, - Wifi? Cambiate la password di default.
alcuni siti non funzionano) - [Disabilitate il WPS del router](https://www.tomshw.it/sistema-wps-router-vulnerabile-meglio-spegnerlo-37486).
- Wifi pubbliche? usare VPN, vedi dopo.
- Preferite il cavo di rete quando potete.
notes:
i dispositivi wifi broadcastano i MAC ai router se non impostati per non farlo (esempio metro di londra)
https://tfl.gov.uk/corporate/publications-and-reports/wifi-data-collection
--
## E una volta connesso?
- Il browser, quale usare? (vedi software libero)
--
## Buoni comportamenti
- Controlla la barra di navigazione (https? il sito è giusto?)
- Sui link sospetti, controlla prima di cliccarci sopra
- Cambiare motore di ricerca di default
- Salvare le password? (meglio di no)
- Usate delle estensioni
- Usate Tor Browser
--
## Estensioni
- disconnect
- ublock/adblock pluse per diminuire la profilazione(att.ne a volte, alcuni siti non funzionano)
- noscript - noscript
- cookie? - duckduckgo
- salvare le password nel browser?
- navigazione incognito(disambiguare) navigazione anonima --
## Navigazione anonima/incognito
E' una modalità di navigazione che, contrariamente a quanto avviene normalmente,
non tiene conto della vostra sessione di navigazione:
- non salva la cronologia
- i file scaricati non vengono mostrati nei download
- niente cache
- non salva i cookie (non sono loggato in sessioni successive)

View File

@ -1,15 +1,16 @@
<!-- .slide: data-background="https://ak7.picdn.net/shutterstock/videos/25863227/thumb/5.jpg" --> <!-- .slide: data-background="https://ak7.picdn.net/shutterstock/videos/25863227/thumb/5.jpg" -->
<br/><br/> <br/><br/>
# Password # Password
notes: --
Le password sono la prima barriera di accesso a dati che vogliamo Le password sono la prima barriera di accesso a dati che vogliamo
tenere per noi. tenere per noi.
Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare
nel computer e nei mille servizi digitali a cui accediamo. nel computer e nei mille servizi digitali a cui accediamo.
-- --
### non siamo bravi ### Ma...
Non siamo bravi a creare delle buone password Non siamo bravi a scegliere delle buone password
- <!-- .element: class="fragment" --> E' la password di gmail? - <!-- .element: class="fragment" --> E' la password di gmail?
<span>➜ ci mettiamo `gmail` <!-- .element: class="red" --> in mezzo</span> <!-- .element: class="fragment" --> <span>➜ ci mettiamo `gmail` <!-- .element: class="red" --> in mezzo</span> <!-- .element: class="fragment" -->
@ -22,13 +23,11 @@ In pratica scegliamo password facilmente indovinabili.
<!-- .element: class="fragment" --> <!-- .element: class="fragment" -->
-- --
Spinti a migliorare le nostre password
Spinti a migliorare le nostre password,<br/> scegliamo le soluzioni piu' semplici e prevedibili
![img/passhint.png](https://www.guideitech.com/wp-content/uploads/2014/09/HT4232_01-appleid-security-it.010-it.png) ![img/passhint.png](https://www.guideitech.com/wp-content/uploads/2014/09/HT4232_01-appleid-security-it.010-it.png)
-- --
### Siamo prevedibili scegliamo le soluzioni piu' semplici e prevedibili
- <!-- .element: class="fragment" --> e' la password di facebook ➜ **facebookpassword** - <!-- .element: class="fragment" --> e' la password di facebook ➜ **facebookpassword**
- <!-- .element: class="fragment" --> inserisci almeno una maiuscola ➜ **Facebookpassword** - <!-- .element: class="fragment" --> inserisci almeno una maiuscola ➜ **Facebookpassword**
- <!-- .element: class="fragment" --> inserisci almeno un numero ➜ **Facebookpassword1** - <!-- .element: class="fragment" --> inserisci almeno un numero ➜ **Facebookpassword1**
@ -37,11 +36,11 @@ Spinti a migliorare le nostre password,<br/> scegliamo le soluzioni piu' semplic
notes: notes:
Sono tutti schemi facilmente immaginabili. Sono tutti schemi facilmente immaginabili.
-- --
<br/><br/><br/> <br/><br/><br/><br/><br/>
### Come lo sappiamo? ### Come lo sappiamo?
<!-- .slide: data-background-transition="zoom" data-background="https://gobdp.com/wp-content/uploads/2015/07/fix_an_oil_leak.jpg" --> <!-- .slide: data-background="https://gobdp.com/wp-content/uploads/2015/07/fix_an_oil_leak.jpg" -->
Leak
notes: notes:
Leak
Negli ultimi anni sono stati bucati tanti servizi e milioni di password sono diventate pubbliche (leak) Negli ultimi anni sono stati bucati tanti servizi e milioni di password sono diventate pubbliche (leak)
permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e `password`, permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e `password`,
gli schemi usati sono drammaticamente ricorrenti. gli schemi usati sono drammaticamente ricorrenti.
@ -57,9 +56,10 @@ cambio di caratteri comuni, maiuscole/minuscole).
notes: notes:
Considerare che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target. Considerare che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target.
Mostrare un piccolo esempio di `hashcat` (da preparare)
-- --
### E quindi? ### E quindi?
Se non siamo bravi a fare qualcosa, cerchiamo qualcuno che la faccia meglio. Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo.
-- --
### Password manager ### Password manager
Usiamo dei programmi che generano le nostre password per noi, tipo [KeepPassXC](https://keepassxc.org) (support your local software). Usiamo dei programmi che generano le nostre password per noi, tipo [KeepPassXC](https://keepassxc.org) (support your local software).
@ -69,12 +69,13 @@ notes:
spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche. spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche.
-- --
### E la master password? ### E la master password?
Per le poche password che non possiamo salvare usiamo i seguenti accorgimenti: Per le poche passphrase che non possiamo salvare usiamo i seguenti accorgimenti:
- mai riusare una password (dai te ne devi ricordare massimo 4, stacce) - mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
- mai condividere una password (no no no no) - mai condividere una passphrase (no no no e no)
- mai scrivere una password (a parte se sai quello che stai facendo) - mai scrivere una passphrase (a parte se sai quello che stai facendo)
- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle. - usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle.
notes: notes:
il 4 del primo punto e' un numero a caso. il `4` del primo punto e' un numero a caso.
esempio live di scelta passphrase.