SlideShare una empresa de Scribd logo
1 de 51
Descargar para leer sin conexión
Paranoia is a virtue.
9 Marzo 2007


Guida alla sopravvivenza
della propria privacy.
mayhem@recursiva.org
GPG Key ID B88FE057


                       http://www.recursiva.org/
                        mayhem@recursiva.org
$ whois mayhem


                Security Evangelist @ Alba S.T.


                  Member / Board of Directors:
       AIP, AIPSI, CLUSIT, HPP, ILS, IT-ISAC, LUGVR, OPSI,
        Metro Olografix, No1984.org, OpenBeer/OpenGeeks,
        Recursiva.org, Sikurezza.org, Spippolatori, VoIPSA.




2 51                                          http://www.recursiva.org/
                                               mayhem@recursiva.org
Privacy

       1890:
        “il diritto di essere lasciati soli”
                              Warren & Brandeis
       2005:
        “il diritto a chiedere di se stessi”
                                                        Lisi


3 51                                   http://www.recursiva.org/
                                        mayhem@recursiva.org
DLGs 196/03


       Esiste in Italia una legge che
       dovrebbe tutelare la nostra
       riservatezza.
       Ma la tutela della nostra privacy non
       può essere demandata a nessuno.



4 51                              http://www.recursiva.org/
                                   mayhem@recursiva.org
Le informazioni...

       “C'è una guerra là fuori, amico mio.
       Una guerra mondiale. E non ha la
       minima importanza chi ha più pallottole,
       ha importanza chi controlla le
       informazioni. Ciò che si vede, si sente,
       come lavoriamo, cosa pensiamo, si
       basa tutto sull'informazione!”
                  Cosmo, da I signori della truffa


5 51                                  http://www.recursiva.org/
                                       mayhem@recursiva.org
... ed i computer


       I n o s t r i c o m p u t e r, l e n o s t r e
       comunicazioni, traboccano di
       informazioni che vorremmo non
       diventassero di pubblico dominio, o
       fossero conosciute da persone che
       non hanno alcun diritto di conoscerle.



6 51                                     http://www.recursiva.org/
                                          mayhem@recursiva.org
Domande ...


       Vogliamo proteggerci?
       Quali strumenti abbiamo a
       disposizione per proteggere cosa?
       Che garanzie ci offrono questi
       strumenti?



7 51                           http://www.recursiva.org/
                                mayhem@recursiva.org
... e risposte ...


       La crittografia ci permette di garantire
       non solo la confidenzialità dei nostri
       dati, ma anche la loro integrità.

       Lʼutilizzo di strumenti OpenSource ci
       permette di essere certi delle
       funzionalità degli strumenti scelti.


8 51                                http://www.recursiva.org/
                                     mayhem@recursiva.org
Comunicare con gli altri


       Inviare una mail, fare una telefonata,
       non garantisce in alcun modo né che
       la conversazione resti riservata, né
       che il nostro interlocutore riceva
       lʼinformazione inviata da noi.



9 51                               http://www.recursiva.org/
                                    mayhem@recursiva.org
Crittografia e servizi


        Lʼutilizzo della crittografia a livello di
        servizio è da più parti implementata e
        consigliata, anche a livello
        commerciale o governativo.
        Permette di aumentare la sicurezza
        dellʼinfrastruttura di rete.


10 51                                 http://www.recursiva.org/
                                       mayhem@recursiva.org
SSL

        http -> https   Utilizzare SSL
        pop3 -> pop3s   permette in primis
                        di proteggere il
        imap -> imaps   nome utente e la
        smtp -> smtps   password utilizzati
                        per accedere al
        telnet -> ssh   servizio        da
        ftp -> sftp     eventuali attacker.


11 51                            http://www.recursiva.org/
                                  mayhem@recursiva.org
Internet Service Provider


        Proteggere da occhi indiscreti le
        nostre comunicazioni è un buon
        inizio.
        Ma le informazioni dove si trovano?
        Chi può accedervi? In che modo?



12 51                             http://www.recursiva.org/
                                   mayhem@recursiva.org
Paranoia


        Vogliamo essere tecnicamente certi
        che nessuno possa accedere alle
        nostre informazioni, se non
        autorizzato da noi stessi.
        La nostra sicurezza deve essere
        demandata esclusivamente a noi.


13 51                            http://www.recursiva.org/
                                  mayhem@recursiva.org
Unethical laws

        Questo approccio viene spesso
        ignorato, sconsigliato o addirittura
        vietato.
        Utilizzarlo significa vanificare alcuni
        controlli previsti dalle leggi di molte
        n a z i o n i . Tu t t o q u e s t o s e n z a
        infrangere, per ora, nessuna legge.


14 51                                     http://www.recursiva.org/
                                           mayhem@recursiva.org
“Chi non ha nulla da nascondere,
        non ha nulla da temere”
                        Adolf Hitler, 1936




15 51                            http://www.recursiva.org/
                                  mayhem@recursiva.org
Ho il diritto di scegliere
        se inviare una cartolina
              o una lettera


16 51                       http://www.recursiva.org/
                             mayhem@recursiva.org
GNU Privacy Guard

        GPG è uno dei programmi più usati
        per proteggere le proprie e-mail.
        Utilizza uno standard molto diffuso
        (RFC" 440), è OpenSource, gratuito
               2
        e multipiattaforma.
        Eʼ compatibile con moltissimi client di
        posta.


17 51                                http://www.recursiva.org/
                                      mayhem@recursiva.org
to sign


        GPG permette di “firmare” le mail
        così da rendere il destinatario certo
        di due fattori:


           sono davvero io il mittente e
        nessuno ha modificato il contenuto


18 51                              http://www.recursiva.org/
                                    mayhem@recursiva.org
to crypt


        L'encryption è lo strumento che
        permette di essere certi che solo il
        destinatario ed il mittente sono (e
        saranno) in grado di leggere il
        contenuto di quel messaggio e-mail.



19 51                              http://www.recursiva.org/
                                    mayhem@recursiva.org
Crittografia asimmetrica

        Scambiare una password tra due
        persone, magari sconosciute, in modo
        sicuro, è un problema.
        Per questo GPG lavora tramite
        l'utilizzo di due diverse chiavi:
          la mia chiave pubblica
          la mia chiave privata

20 51                              http://www.recursiva.org/
                                    mayhem@recursiva.org
Chiave pubblica



        Liberamente disponibile su Internet,
        su siti web e keyserver, viene usata
        dagli altri per verificare la mia firma e/
        o per criptare i messaggi diretti a me.




21 51                                 http://www.recursiva.org/
                                       mayhem@recursiva.org
Chiave privata

        Mi è più cara della mia stessa vita, la
        ho solo io e ne sono l'unico
        gelosissimo ed attentissimo custode.

        La uso per firmare i messaggi che
        invio ed è l'unica a poter decriptare i
        messaggi inviatimi dagli altri, criptati
        con la mia chiave pubblica.


22 51                                 http://www.recursiva.org/
                                       mayhem@recursiva.org
Alice and Bob - sign
                             Chiave pubblica di Alice


                         sign




   Chiave privata di Alice
23 51                                    http://www.recursiva.org/
                                          mayhem@recursiva.org
Alice and Bob - crypt
                             Chiave pubblica di Alice




                         crypt



   Chiave privata di Alice
24 51                                    http://www.recursiva.org/
                                          mayhem@recursiva.org
Autenticità della chiave


        L'unico problema che resta è sapere
        con certezza che la chiave con ID
        B88FE057 è davvero la mia.

        Per questa ragione si firmano le
        chiavi pubbliche altrui la cui
        appartenenza è certa (keysigning party).


25 51                                 http://www.recursiva.org/
                                       mayhem@recursiva.org
Conclusioni

        Si consiglia di usare un client di
        posta “sicuro”, meglio se OS, ad
        esempio Thunderbird, anchʼesso
        gratuito e multipiattaforma, che
        supporta GPG.
        Eʼ inoltre opportuno crittografare ogni
        e-mail e non solo quelle importanti.


26 51                                http://www.recursiva.org/
                                      mayhem@recursiva.org
Comunicazioni e dati

        Con GPG ho messo al sicuro il
        contenuto della mia posta.
        Cosa posso fare per i file che
        conservo sul mio computer?
        Come evitare che un furto o uno
        smarrimento del mio laptop si
        trasformi in disclosure dei miei dati?


27 51                               http://www.recursiva.org/
                                     mayhem@recursiva.org
TrueCrypt


        Truecrypt è un programma OS,
        gratuito e multipiattaforma.
        Permette di creare volumi o partizioni
        criptate a cui solo il proprietario può
        accedere grazie ad una password,
        ad un certificato o entrambi.


28 51                                http://www.recursiva.org/
                                      mayhem@recursiva.org
Deniable encryption



        Dato un volume di TC è impossibile
        dire, anche a fronte di una attenta
        analisi, se quel volume sia criptato o
        meno.




29 51                               http://www.recursiva.org/
                                     mayhem@recursiva.org
Steganografia



        Eʼ possibile nascondere un volume di
        TC dentro un altro.
        Il risultato è avere due password/
        certificati:




30 51                              http://www.recursiva.org/
                                    mayhem@recursiva.org
Password policy

        E' necessario scegliere una saggia
        politica di gestione delle chiavi ed
        una robusta policy per la scelta delle
        password.
        Non usiamo password banali,
        riconducibili a noi o utilizzate in altri
        contesti.


31 51                                 http://www.recursiva.org/
                                       mayhem@recursiva.org
Il problema delle chiavi


        Lascereste le chiavi di casa nascoste
        in giardino?
        La riservatezza della chiave è il
        presupposto fondamentale per
        l'efficacia di questi strumenti.



32 51                              http://www.recursiva.org/
                                    mayhem@recursiva.org
Dispositivi USB

        Per questa ragione conservare i file
        delle chiavi su un supporto rimovibile
        potrebbe essere una saggia
        decisione.

        Non va trascurata l'esigenza di
        conservare una copia di backup della
        chiave in un luogo sicuro.

33 51                               http://www.recursiva.org/
                                     mayhem@recursiva.org
Le telefonate

        Tutte le considerazioni fatte per la
        posta valgono anche per le
        telefonate.
        Essere rintracciati od intercettati è
        fattibile e succede molto più spesso
        di quanto si pensi.



34 51                              http://www.recursiva.org/
                                    mayhem@recursiva.org
GSM/analog

        Utilizzare la linea di casa può
        permettere anche a sconosciuti di
        “ascoltare” le nostre conversazioni in
        molti casi.
        Nel caso dei telefoni GSM è quasi
        sempre necessario che siano le forze
        dellʼordine ad interfacciarsi con il
        nostro operatore.

35 51                               http://www.recursiva.org/
                                     mayhem@recursiva.org
VoIP, una soluzione

        Il Voice over IP, telefonare attraverso
        Internet, ci permette di riprendere
        possesso del mezzo di
        telecomunicazione.
        Nulla mi vieta di avere un centralino
        VoIP a casa e di utilizzarlo per
        parlare con le persone di cui ho
        fiducia, anche gratuitamente.

36 51                                http://www.recursiva.org/
                                      mayhem@recursiva.org
Skype

        Skype protegge con la crittografia
        tutte le comunicazioni.
        Tuttavia non conosciamo il
        funzionamento del programma, chi lo
        può controllare.
        Le nostre informazioni sono
        conservate su un server di cui non
        abbiamo alcun controllo.

37 51                             http://www.recursiva.org/
                                   mayhem@recursiva.org
Soluzione: la solita!

        Appoggiarsi a strumenti OS di cui
        conosciamo il funzionamento (es.
        OpenWengo).
        Utilizzare carrier di cui abbiamo
        fiducia e che permettono di utilizzare
        tecnologie aperte e messe in
        sicurezza (es. SIP con TLS ed SRTP).


38 51                              http://www.recursiva.org/
                                    mayhem@recursiva.org
Indirizzo IP

        Quando siamo in rete il nostro
        computer viene identificato da un
        numero, un indirizzo univoco.
        Anche se lʼindirizzo IP può cambiare
        nel tempo, sul nostro computer
        restano diverse informazioni sui siti
        visitati (es. cookies).


39 51                              http://www.recursiva.org/
                                    mayhem@recursiva.org
Log

        Tramite lʼindirizzo IP è possibile
        tenere traccia dei siti visitati da un
        particolare computer/persona, del
        loro contenuto.
        Eʼ possibile tenere traccia anche
        delle persone con cui si scambiano
        mail.


40 51                               http://www.recursiva.org/
                                     mayhem@recursiva.org
Profiling


        Eʼ possibile quindi tracciare un profilo
        dei nostri gusti, delle nostre abitudini,
        idee... anche da un punto di vista
        sessuale, politico, religioso, persino
        di eventuali malattie.



41 51                                 http://www.recursiva.org/
                                       mayhem@recursiva.org
Anonimato


        Per tutte queste ragioni è spesso
        preferibile, se non addirittura
        necessario essere in grado di poter
        utilizzare Internet in modo anonimo,
        senza poter mettere in grado un sito
        o un motore di ricerca di risalire a
        noi.


42 51                              http://www.recursiva.org/
                                    mayhem@recursiva.org
Basta con i falsi slogan!



        “Chi non ha nulla da nascondere,
        non ha nulla da temere”
                        Adolf Hitler, 1936




43 51                            http://www.recursiva.org/
                                  mayhem@recursiva.org
Tor
        “Tor ha serve a proteggere contro l'analisi del
        traffico, una forma di sorveglianza della rete che
        minaccia la privacy e l'anonimato personale, i
        rapporti d'affari e le attività confidenziali, la
        sicurezza dello stato. Con Tor le comunicazioni
        vengono indirizzate attraverso una rete distribuita
        di server, chiamati onion router, che proteggono
        l'utente dalla profilazione dei siti web, o da
        intercettazioni locali che, controllando il traffico
        dei dati, possono capire quali siti vengono
        visitati.”



44 51                                         http://www.recursiva.org/
                                               mayhem@recursiva.org
Vidalia

        Eʼ possibile installare Vidalia per
        avere una interfaccia grafica
        semplice dalla quale gestire il proprio
        server Tor.
        Vidalia, come Tor, è gratuito ed
        OpenSource,           nonchè
        multipiattaforma.


45 51                                http://www.recursiva.org/
                                      mayhem@recursiva.org
TorPark

        TorPark, purtroppo solo per windows,
        permette di non utilizzare il nostro
        disco fisso per la navigazione, ma
        una chiave USB sulla quale si
        trovano Tor e Firefox.
        Alla rimozione della chiavetta non
        resterà alcuna traccia dei siti da noi
        visitati sul computer utilizzato.

46 51                               http://www.recursiva.org/
                                     mayhem@recursiva.org
Anonymous remailer

        Per poter inviare una mail anonima
        non basta cambiare il mittente nel
        programma di posta.
        Eʼ necessario appoggiarsi a server
        che utilizzano sistemi conosciuti e
        consolidati di gestione dellʼanonimato
        del messaggio, magari mettendone
        in catena diversi (es. Mixminion).

47 51                               http://www.recursiva.org/
                                     mayhem@recursiva.org
OpenSource

        Tutti i programmi mostrati funzionano
        su diversi sistemi operativi.
        Se la riservatezza è tra i nostri
        obiettivi forse dovremmo valutare di
        affidarci a programmi il cui
        funzionamento è documentato,
        conosciuto e verificabile.


48 51                              http://www.recursiva.org/
                                    mayhem@recursiva.org
Paranoia
        is a virtue
49 51           http://www.recursiva.org/
                 mayhem@recursiva.org
Bibliografia


        http://www.gnupg.org/

        http://www.ietf.org/rfc/rfc2440.txt

        http://www.truecrypt.org/

        http://sourceforge.net/projects/truecrypt/

        http://tor.eff.org/index.html.it

        http://vidalia-project.net/

        http://www.torrify.com/software_torpark.html

        http://kaostour.autistici.org/2005/materiali/kaostour-slides/kaostour-2005.html




50 51                                                                http://www.recursiva.org/
                                                                      mayhem@recursiva.org
Domande?
Grazie per l’attenzione!

Queste slide sono disponibili su:
http://www.recursiva.org

Per domande o approfondimenti:          These slides are written
mayhem@recursiva.org                    by Alessio L.R.
                                        Pennasilico aka mayhem.
                                        They are subjected to
                                        Creative Commons
                                        Attribution-ShareAlike 2.5
                                        version; you can copy,
                                        modify, or sell them.
                                        “Please” cite your source
                                        and use the same
                                        licence :)

                                    http://www.recursiva.org/
                                     mayhem@recursiva.org

Más contenido relacionado

Similar a Paranoia is a virtue

LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizioneLinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizioneMaurizio Antonelli
 
Social Media Web & Smart Apps
Social Media Web & Smart AppsSocial Media Web & Smart Apps
Social Media Web & Smart AppsFederico Longhin
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open sourceLibreItalia
 
Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma DigitaleMario Varini
 
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - slides
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - slidesLinuxBeach 2006 - Criptografia e firma digitale con GnuPG - slides
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - slidesMaurizio Antonelli
 
Introduzione alla sicurezza informatica
Introduzione alla  sicurezza informaticaIntroduzione alla  sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Linux, sicurezza & social hacking
Linux, sicurezza & social hackingLinux, sicurezza & social hacking
Linux, sicurezza & social hackingFabio Mora
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleMario Rossano
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Come Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfCome Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfHelpRansomware
 
Documento informatico: profili giuridici
Documento informatico: profili giuridiciDocumento informatico: profili giuridici
Documento informatico: profili giuridiciMichele Martoni
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfTutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfHelpRansomware
 

Similar a Paranoia is a virtue (20)

LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizioneLinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - trascrizione
 
Social Media Web & Smart Apps
Social Media Web & Smart AppsSocial Media Web & Smart Apps
Social Media Web & Smart Apps
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open source
 
Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma Digitale
 
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - slides
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - slidesLinuxBeach 2006 - Criptografia e firma digitale con GnuPG - slides
LinuxBeach 2006 - Criptografia e firma digitale con GnuPG - slides
 
Dark net.1203
Dark net.1203Dark net.1203
Dark net.1203
 
Introduzione alla sicurezza informatica
Introduzione alla  sicurezza informaticaIntroduzione alla  sicurezza informatica
Introduzione alla sicurezza informatica
 
Linux, sicurezza & social hacking
Linux, sicurezza & social hackingLinux, sicurezza & social hacking
Linux, sicurezza & social hacking
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
 
Open Security
Open SecurityOpen Security
Open Security
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitale
 
Open vs. Closed Source
Open vs. Closed SourceOpen vs. Closed Source
Open vs. Closed Source
 
Crittografia | Talk B-Geek
Crittografia | Talk B-GeekCrittografia | Talk B-Geek
Crittografia | Talk B-Geek
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...
 
Come Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfCome Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdf
 
Documento informatico: profili giuridici
Documento informatico: profili giuridiciDocumento informatico: profili giuridici
Documento informatico: profili giuridici
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT Security
 
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfTutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
 

Más de Alessio Pennasilico

Perchè il tuo tablet interessa ai criminali
Perchè il tuo tablet interessa ai criminaliPerchè il tuo tablet interessa ai criminali
Perchè il tuo tablet interessa ai criminaliAlessio Pennasilico
 
Odio le mie applicazioni web e chi le ha scritte
Odio le mie applicazioni web e chi le ha scritteOdio le mie applicazioni web e chi le ha scritte
Odio le mie applicazioni web e chi le ha scritteAlessio Pennasilico
 
Sistemi SCADA e profili criminali
Sistemi SCADA e profili criminaliSistemi SCADA e profili criminali
Sistemi SCADA e profili criminaliAlessio Pennasilico
 
Come il Cloud Computing può salvare l'analogico
Come il Cloud Computing può salvare l'analogicoCome il Cloud Computing può salvare l'analogico
Come il Cloud Computing può salvare l'analogicoAlessio Pennasilico
 
ICT Security 2010: Le minacce delle nuove tecnologie
ICT Security 2010: Le minacce delle nuove tecnologieICT Security 2010: Le minacce delle nuove tecnologie
ICT Security 2010: Le minacce delle nuove tecnologieAlessio Pennasilico
 
Linux Day 2010: Virtualizzare con OpenVZ
Linux Day 2010: Virtualizzare con OpenVZLinux Day 2010: Virtualizzare con OpenVZ
Linux Day 2010: Virtualizzare con OpenVZAlessio Pennasilico
 
Linux Day 2010: Mi hanno installato Linux... ed ora?
Linux Day 2010: Mi hanno installato Linux... ed ora?Linux Day 2010: Mi hanno installato Linux... ed ora?
Linux Day 2010: Mi hanno installato Linux... ed ora?Alessio Pennasilico
 
Smau 2010 Milano: Seminario AIPSI Business Continuity e Disaster Recovery
Smau 2010 Milano: Seminario AIPSI Business Continuity e Disaster RecoverySmau 2010 Milano: Seminario AIPSI Business Continuity e Disaster Recovery
Smau 2010 Milano: Seminario AIPSI Business Continuity e Disaster RecoveryAlessio Pennasilico
 
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIP
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIPSmau 2010 Milano: Seminario AIPSI Sicurezza del VoIP
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIPAlessio Pennasilico
 
Smau 2010 Milano: Seminario Clusit per Intel sulla security
Smau 2010 Milano: Seminario Clusit per Intel sulla securitySmau 2010 Milano: Seminario Clusit per Intel sulla security
Smau 2010 Milano: Seminario Clusit per Intel sulla securityAlessio Pennasilico
 
Linux Day 2010: Linux Security Demystified
Linux Day 2010: Linux Security DemystifiedLinux Day 2010: Linux Security Demystified
Linux Day 2010: Linux Security DemystifiedAlessio Pennasilico
 
Smau 2010 MIlano: Seminario AIPSI Virtualizzazione Sicura
Smau 2010 MIlano: Seminario AIPSI Virtualizzazione SicuraSmau 2010 MIlano: Seminario AIPSI Virtualizzazione Sicura
Smau 2010 MIlano: Seminario AIPSI Virtualizzazione SicuraAlessio Pennasilico
 
e-mail Power: 2010: servono ancora le
e-mail Power: 2010: servono ancora le e-mail Power: 2010: servono ancora le
e-mail Power: 2010: servono ancora le Alessio Pennasilico
 
Porte aperte alla tecnologia: Creare una strategia di Disaster Recovery
Porte aperte alla tecnologia: Creare una strategia di Disaster RecoveryPorte aperte alla tecnologia: Creare una strategia di Disaster Recovery
Porte aperte alla tecnologia: Creare una strategia di Disaster RecoveryAlessio Pennasilico
 
ESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)securityESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)securityAlessio Pennasilico
 

Más de Alessio Pennasilico (20)

Perchè il tuo tablet interessa ai criminali
Perchè il tuo tablet interessa ai criminaliPerchè il tuo tablet interessa ai criminali
Perchè il tuo tablet interessa ai criminali
 
RSA vs Hacker
RSA vs HackerRSA vs Hacker
RSA vs Hacker
 
Odio le mie applicazioni web e chi le ha scritte
Odio le mie applicazioni web e chi le ha scritteOdio le mie applicazioni web e chi le ha scritte
Odio le mie applicazioni web e chi le ha scritte
 
All your bases belong to us
All your bases belong to usAll your bases belong to us
All your bases belong to us
 
Rischi o vulnerabilità?
Rischi o vulnerabilità?Rischi o vulnerabilità?
Rischi o vulnerabilità?
 
Sistemi SCADA e profili criminali
Sistemi SCADA e profili criminaliSistemi SCADA e profili criminali
Sistemi SCADA e profili criminali
 
Come il Cloud Computing può salvare l'analogico
Come il Cloud Computing può salvare l'analogicoCome il Cloud Computing può salvare l'analogico
Come il Cloud Computing può salvare l'analogico
 
ICT Security 2010: Le minacce delle nuove tecnologie
ICT Security 2010: Le minacce delle nuove tecnologieICT Security 2010: Le minacce delle nuove tecnologie
ICT Security 2010: Le minacce delle nuove tecnologie
 
Linux Day 2010: Virtualizzare con OpenVZ
Linux Day 2010: Virtualizzare con OpenVZLinux Day 2010: Virtualizzare con OpenVZ
Linux Day 2010: Virtualizzare con OpenVZ
 
Linux Day 2010: Mi hanno installato Linux... ed ora?
Linux Day 2010: Mi hanno installato Linux... ed ora?Linux Day 2010: Mi hanno installato Linux... ed ora?
Linux Day 2010: Mi hanno installato Linux... ed ora?
 
Smau 2010 Milano: Seminario AIPSI Business Continuity e Disaster Recovery
Smau 2010 Milano: Seminario AIPSI Business Continuity e Disaster RecoverySmau 2010 Milano: Seminario AIPSI Business Continuity e Disaster Recovery
Smau 2010 Milano: Seminario AIPSI Business Continuity e Disaster Recovery
 
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIP
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIPSmau 2010 Milano: Seminario AIPSI Sicurezza del VoIP
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIP
 
Smau 2010 Milano: Seminario Clusit per Intel sulla security
Smau 2010 Milano: Seminario Clusit per Intel sulla securitySmau 2010 Milano: Seminario Clusit per Intel sulla security
Smau 2010 Milano: Seminario Clusit per Intel sulla security
 
Linux Day 2010: Linux Security Demystified
Linux Day 2010: Linux Security DemystifiedLinux Day 2010: Linux Security Demystified
Linux Day 2010: Linux Security Demystified
 
Smau 2010 MIlano: Seminario AIPSI Virtualizzazione Sicura
Smau 2010 MIlano: Seminario AIPSI Virtualizzazione SicuraSmau 2010 MIlano: Seminario AIPSI Virtualizzazione Sicura
Smau 2010 MIlano: Seminario AIPSI Virtualizzazione Sicura
 
e-mail Power: 2010: servono ancora le
e-mail Power: 2010: servono ancora le e-mail Power: 2010: servono ancora le
e-mail Power: 2010: servono ancora le
 
OpenOffice
OpenOfficeOpenOffice
OpenOffice
 
Vpn Mobility VoIP
Vpn Mobility VoIPVpn Mobility VoIP
Vpn Mobility VoIP
 
Porte aperte alla tecnologia: Creare una strategia di Disaster Recovery
Porte aperte alla tecnologia: Creare una strategia di Disaster RecoveryPorte aperte alla tecnologia: Creare una strategia di Disaster Recovery
Porte aperte alla tecnologia: Creare una strategia di Disaster Recovery
 
ESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)securityESC 2010: Virtualizzazione (in)security
ESC 2010: Virtualizzazione (in)security
 

Paranoia is a virtue

  • 1. Paranoia is a virtue. 9 Marzo 2007 Guida alla sopravvivenza della propria privacy. mayhem@recursiva.org GPG Key ID B88FE057 http://www.recursiva.org/ mayhem@recursiva.org
  • 2. $ whois mayhem Security Evangelist @ Alba S.T. Member / Board of Directors: AIP, AIPSI, CLUSIT, HPP, ILS, IT-ISAC, LUGVR, OPSI, Metro Olografix, No1984.org, OpenBeer/OpenGeeks, Recursiva.org, Sikurezza.org, Spippolatori, VoIPSA. 2 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 3. Privacy 1890: “il diritto di essere lasciati soli” Warren & Brandeis 2005: “il diritto a chiedere di se stessi” Lisi 3 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 4. DLGs 196/03 Esiste in Italia una legge che dovrebbe tutelare la nostra riservatezza. Ma la tutela della nostra privacy non può essere demandata a nessuno. 4 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 5. Le informazioni... “C'è una guerra là fuori, amico mio. Una guerra mondiale. E non ha la minima importanza chi ha più pallottole, ha importanza chi controlla le informazioni. Ciò che si vede, si sente, come lavoriamo, cosa pensiamo, si basa tutto sull'informazione!” Cosmo, da I signori della truffa 5 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 6. ... ed i computer I n o s t r i c o m p u t e r, l e n o s t r e comunicazioni, traboccano di informazioni che vorremmo non diventassero di pubblico dominio, o fossero conosciute da persone che non hanno alcun diritto di conoscerle. 6 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 7. Domande ... Vogliamo proteggerci? Quali strumenti abbiamo a disposizione per proteggere cosa? Che garanzie ci offrono questi strumenti? 7 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 8. ... e risposte ... La crittografia ci permette di garantire non solo la confidenzialità dei nostri dati, ma anche la loro integrità. Lʼutilizzo di strumenti OpenSource ci permette di essere certi delle funzionalità degli strumenti scelti. 8 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 9. Comunicare con gli altri Inviare una mail, fare una telefonata, non garantisce in alcun modo né che la conversazione resti riservata, né che il nostro interlocutore riceva lʼinformazione inviata da noi. 9 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 10. Crittografia e servizi Lʼutilizzo della crittografia a livello di servizio è da più parti implementata e consigliata, anche a livello commerciale o governativo. Permette di aumentare la sicurezza dellʼinfrastruttura di rete. 10 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 11. SSL http -> https Utilizzare SSL pop3 -> pop3s permette in primis di proteggere il imap -> imaps nome utente e la smtp -> smtps password utilizzati per accedere al telnet -> ssh servizio da ftp -> sftp eventuali attacker. 11 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 12. Internet Service Provider Proteggere da occhi indiscreti le nostre comunicazioni è un buon inizio. Ma le informazioni dove si trovano? Chi può accedervi? In che modo? 12 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 13. Paranoia Vogliamo essere tecnicamente certi che nessuno possa accedere alle nostre informazioni, se non autorizzato da noi stessi. La nostra sicurezza deve essere demandata esclusivamente a noi. 13 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 14. Unethical laws Questo approccio viene spesso ignorato, sconsigliato o addirittura vietato. Utilizzarlo significa vanificare alcuni controlli previsti dalle leggi di molte n a z i o n i . Tu t t o q u e s t o s e n z a infrangere, per ora, nessuna legge. 14 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 15. “Chi non ha nulla da nascondere, non ha nulla da temere” Adolf Hitler, 1936 15 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 16. Ho il diritto di scegliere se inviare una cartolina o una lettera 16 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 17. GNU Privacy Guard GPG è uno dei programmi più usati per proteggere le proprie e-mail. Utilizza uno standard molto diffuso (RFC" 440), è OpenSource, gratuito 2 e multipiattaforma. Eʼ compatibile con moltissimi client di posta. 17 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 18. to sign GPG permette di “firmare” le mail così da rendere il destinatario certo di due fattori: sono davvero io il mittente e nessuno ha modificato il contenuto 18 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 19. to crypt L'encryption è lo strumento che permette di essere certi che solo il destinatario ed il mittente sono (e saranno) in grado di leggere il contenuto di quel messaggio e-mail. 19 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 20. Crittografia asimmetrica Scambiare una password tra due persone, magari sconosciute, in modo sicuro, è un problema. Per questo GPG lavora tramite l'utilizzo di due diverse chiavi: la mia chiave pubblica la mia chiave privata 20 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 21. Chiave pubblica Liberamente disponibile su Internet, su siti web e keyserver, viene usata dagli altri per verificare la mia firma e/ o per criptare i messaggi diretti a me. 21 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 22. Chiave privata Mi è più cara della mia stessa vita, la ho solo io e ne sono l'unico gelosissimo ed attentissimo custode. La uso per firmare i messaggi che invio ed è l'unica a poter decriptare i messaggi inviatimi dagli altri, criptati con la mia chiave pubblica. 22 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 23. Alice and Bob - sign Chiave pubblica di Alice sign Chiave privata di Alice 23 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 24. Alice and Bob - crypt Chiave pubblica di Alice crypt Chiave privata di Alice 24 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 25. Autenticità della chiave L'unico problema che resta è sapere con certezza che la chiave con ID B88FE057 è davvero la mia. Per questa ragione si firmano le chiavi pubbliche altrui la cui appartenenza è certa (keysigning party). 25 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 26. Conclusioni Si consiglia di usare un client di posta “sicuro”, meglio se OS, ad esempio Thunderbird, anchʼesso gratuito e multipiattaforma, che supporta GPG. Eʼ inoltre opportuno crittografare ogni e-mail e non solo quelle importanti. 26 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 27. Comunicazioni e dati Con GPG ho messo al sicuro il contenuto della mia posta. Cosa posso fare per i file che conservo sul mio computer? Come evitare che un furto o uno smarrimento del mio laptop si trasformi in disclosure dei miei dati? 27 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 28. TrueCrypt Truecrypt è un programma OS, gratuito e multipiattaforma. Permette di creare volumi o partizioni criptate a cui solo il proprietario può accedere grazie ad una password, ad un certificato o entrambi. 28 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 29. Deniable encryption Dato un volume di TC è impossibile dire, anche a fronte di una attenta analisi, se quel volume sia criptato o meno. 29 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 30. Steganografia Eʼ possibile nascondere un volume di TC dentro un altro. Il risultato è avere due password/ certificati: 30 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 31. Password policy E' necessario scegliere una saggia politica di gestione delle chiavi ed una robusta policy per la scelta delle password. Non usiamo password banali, riconducibili a noi o utilizzate in altri contesti. 31 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 32. Il problema delle chiavi Lascereste le chiavi di casa nascoste in giardino? La riservatezza della chiave è il presupposto fondamentale per l'efficacia di questi strumenti. 32 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 33. Dispositivi USB Per questa ragione conservare i file delle chiavi su un supporto rimovibile potrebbe essere una saggia decisione. Non va trascurata l'esigenza di conservare una copia di backup della chiave in un luogo sicuro. 33 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 34. Le telefonate Tutte le considerazioni fatte per la posta valgono anche per le telefonate. Essere rintracciati od intercettati è fattibile e succede molto più spesso di quanto si pensi. 34 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 35. GSM/analog Utilizzare la linea di casa può permettere anche a sconosciuti di “ascoltare” le nostre conversazioni in molti casi. Nel caso dei telefoni GSM è quasi sempre necessario che siano le forze dellʼordine ad interfacciarsi con il nostro operatore. 35 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 36. VoIP, una soluzione Il Voice over IP, telefonare attraverso Internet, ci permette di riprendere possesso del mezzo di telecomunicazione. Nulla mi vieta di avere un centralino VoIP a casa e di utilizzarlo per parlare con le persone di cui ho fiducia, anche gratuitamente. 36 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 37. Skype Skype protegge con la crittografia tutte le comunicazioni. Tuttavia non conosciamo il funzionamento del programma, chi lo può controllare. Le nostre informazioni sono conservate su un server di cui non abbiamo alcun controllo. 37 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 38. Soluzione: la solita! Appoggiarsi a strumenti OS di cui conosciamo il funzionamento (es. OpenWengo). Utilizzare carrier di cui abbiamo fiducia e che permettono di utilizzare tecnologie aperte e messe in sicurezza (es. SIP con TLS ed SRTP). 38 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 39. Indirizzo IP Quando siamo in rete il nostro computer viene identificato da un numero, un indirizzo univoco. Anche se lʼindirizzo IP può cambiare nel tempo, sul nostro computer restano diverse informazioni sui siti visitati (es. cookies). 39 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 40. Log Tramite lʼindirizzo IP è possibile tenere traccia dei siti visitati da un particolare computer/persona, del loro contenuto. Eʼ possibile tenere traccia anche delle persone con cui si scambiano mail. 40 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 41. Profiling Eʼ possibile quindi tracciare un profilo dei nostri gusti, delle nostre abitudini, idee... anche da un punto di vista sessuale, politico, religioso, persino di eventuali malattie. 41 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 42. Anonimato Per tutte queste ragioni è spesso preferibile, se non addirittura necessario essere in grado di poter utilizzare Internet in modo anonimo, senza poter mettere in grado un sito o un motore di ricerca di risalire a noi. 42 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 43. Basta con i falsi slogan! “Chi non ha nulla da nascondere, non ha nulla da temere” Adolf Hitler, 1936 43 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 44. Tor “Tor ha serve a proteggere contro l'analisi del traffico, una forma di sorveglianza della rete che minaccia la privacy e l'anonimato personale, i rapporti d'affari e le attività confidenziali, la sicurezza dello stato. Con Tor le comunicazioni vengono indirizzate attraverso una rete distribuita di server, chiamati onion router, che proteggono l'utente dalla profilazione dei siti web, o da intercettazioni locali che, controllando il traffico dei dati, possono capire quali siti vengono visitati.” 44 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 45. Vidalia Eʼ possibile installare Vidalia per avere una interfaccia grafica semplice dalla quale gestire il proprio server Tor. Vidalia, come Tor, è gratuito ed OpenSource, nonchè multipiattaforma. 45 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 46. TorPark TorPark, purtroppo solo per windows, permette di non utilizzare il nostro disco fisso per la navigazione, ma una chiave USB sulla quale si trovano Tor e Firefox. Alla rimozione della chiavetta non resterà alcuna traccia dei siti da noi visitati sul computer utilizzato. 46 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 47. Anonymous remailer Per poter inviare una mail anonima non basta cambiare il mittente nel programma di posta. Eʼ necessario appoggiarsi a server che utilizzano sistemi conosciuti e consolidati di gestione dellʼanonimato del messaggio, magari mettendone in catena diversi (es. Mixminion). 47 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 48. OpenSource Tutti i programmi mostrati funzionano su diversi sistemi operativi. Se la riservatezza è tra i nostri obiettivi forse dovremmo valutare di affidarci a programmi il cui funzionamento è documentato, conosciuto e verificabile. 48 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 49. Paranoia is a virtue 49 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 50. Bibliografia http://www.gnupg.org/ http://www.ietf.org/rfc/rfc2440.txt http://www.truecrypt.org/ http://sourceforge.net/projects/truecrypt/ http://tor.eff.org/index.html.it http://vidalia-project.net/ http://www.torrify.com/software_torpark.html http://kaostour.autistici.org/2005/materiali/kaostour-slides/kaostour-2005.html 50 51 http://www.recursiva.org/ mayhem@recursiva.org
  • 51. Domande? Grazie per l’attenzione! Queste slide sono disponibili su: http://www.recursiva.org Per domande o approfondimenti: These slides are written mayhem@recursiva.org by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike 2.5 version; you can copy, modify, or sell them. “Please” cite your source and use the same licence :) http://www.recursiva.org/ mayhem@recursiva.org