Paranoia

  Per paranoia si intende una psicosi caratterizzata da un delirio cronico, basato su un sistema di convinzioni, 
  principalmente a tema persecutorio, non corrispondenti alla realtà. 
  Questo sistema di convinzioni si manifesta sovente nel contesto di capacità cognitive e razionali altrimenti integre. 
  Il termine deriva dal greco παράνοια, "follia, insensatezza" ... 

wiki:Paranoia

Only the paranoid survive. (Andy Grove)

Intro

La paranoia nell'immaginario hacker non ha un eccezzione negativa.
La paranoia è un modo utile per dubitare di tutto e di tutti sopratutto per cercare degli strumenti per difendersi sempre.
i.qkme.me_3enn.jpg

Spesso un hacker quando è alla ricerca di nuovi sistemi informatici gioca anche con la sicurezza.
Per farlo è necessario sapere anche come non mostrare la propria identità, falsificarla o anche apparire anonimo.

Problemi

L'anonimato per un hacker è uno delle colonne base per la neutralità della rete.
E' importante capire perchè:

  1. Se un giorno internet fosse controllato completamente dalle grandi lobby (cosa non impossibile già al giorno d'oggi) come fai a protestare,combattere,informare?
  2. Se un giorno il tuo paese cade in una dittatura, dove ogni cosa scritta detta e annunciata è un pretesto per farti chiudere la bocca, come fai a segnalare un abuso?
  3. Se sei un giornalista all'estero, anche se per te è la cosa piu' normale del mondo fare un articolo che informa e denuncia, come fai a pubblicare informazioni scomode per il governo ?
  4. Se lavori in un posto che commette crimini contro l'umanità e non ne puoi piu', come puoi renderlo pubblico senza passarci in mezzo?

Ovviamente ci sono anche persone che pensano che l'anonimato serve solo a nascondersi e fare quello che piace ai criminali.
Rubare, trafficare denaro sporco, comunicare senza essere tracciati.
Se ci pensiamo però queste cose esistono da sempre. Gli strumenti per comunicare vengono dati a tutti e poi ognuno decide come usarli.

Non possiamo rinunciare alla nostra privacy e dare tutti i nostri dati alle lobby e ai governi solo perchè loro ci promettono una sicurezza.
In realtà il sospetto sempre più forte è uno solo: ci vogliono solo controllare.

Soluzioni

L'anonimato è importante ma purtroppo non ci pensa nessuno fino a quando non tocca rendersene conto quando è troppo tardi.
Per fortuna esiste ancora qualcuno che a queste cose ci crede, e che per queste cose combatte..

La prima cosa essenziale è comprendere bene perchè lo si fa.
Non si cerca l'anonimato per sfuggire da qualcosa o qualcuno, anzi, lo si fa' per poter raggiungere tutti e cercare in questo modo di far si che le informaizoni siano il piu' possibile PUBBLICHE.

Altri sistemi per far si che la paranoia sia positiva sono:

  1. rendere tutto cio che non è privacy trasparente
  2. documentare ogni cosa che facciamo per la comunita'
  3. tendere e combrattere per una rete neutrale
  4. aggiornarsi con i nuovi sistemi di anonimato che esistono
  5. leggere tanto
  6. non pensare di essere al sicuro solo perchè “non abbiamo fatto niente”
  7. immaginarsi lo scenario peggiore e trovare un modo per combatterlo

Strumenti

A livello prtico, in informatica esistono tantissimi strumenti per poter comunicare e condividere info, senza sembrare dei pazzoidi.
Vediamoli nel dettaglio a seconda di come si vuole comunicare, segnalare condividere.

WEB

img.mit.edu_newsoffice_images_article_images_original_20120613161923-0.jpg

TOR

Voglio navigare in modalità sicura, senza essere tracciato.
Non voglio che il mio IP Address venga riconosciuto, come faccio ?

Semplice: usi TOR

  Tor (The Onion Router) è un sistema di comunicazione anonima per Internet basato sulla seconda generazione del protocollo di onion routing.
  Tor protegge gli utenti dall'analisi del traffico attraverso una rete di onion router (detti anche relay), 
  gestiti da volontari, che permettono il traffico anonimo in uscita e la realizzazione di servizi anonimi nascosti. 
  TOR è gestito da The Tor Project, una associazione senza scopo di lucro.

Ecco come funziona: si.wsj.net_public_resources_images_mk-bz544_anon_g_20121217183906.jpg

per dirla in breve, prima di mandare un pacchetto dal punto A verso il punto B TOR prende quel pacchetto e crea un enorme caos che rende impossibile rintracciare da dove sia partita la richiesta.

Per installare tor basta cercare i pacchetti

  1. tor
  2. torsocks

more info

Da considerare:

  1. dato che bisogna creare del caos in mezzo, la navigazione risulta piu' lenta
  2. piu' gente usa tor e piu' va veloce
  3. ogni persona che usa TOR contribuisce al caos e quindi a rendere tutto piu' sicuro
  4. tor è un progetto in beta (non è garantita l'anonimato al 100%)

Esistono altri tool in rete che presentano dei browser già pronti per la navigazione anonima

  1. vidalia è Firefox modificato per usare TOR
  2. chrome+TOR un bottone per avviare TOR quando serve
  3. tor2web una porta di ingresso verso la rete TOR (darknet) siti che non sono accessibili normalmente su internet
  4. torify Un comando da lanciare per far partire il nostro programma che usare internet in modalita completamente anonima grazie a TOR

MAIL

images

Come facciamo a mandare una mail a qualcuno che conosciamo, senza far leggere niente ai provider (gmail, hotmail, ..) che stanno in mezzo ? Come è possibile far leggere la mail solo al destinatario ?

Usando GnuPG

GPG

Esiste uno standard che si chiama openPGP la conversazione sicura via mail. OpenPGP prevede lo scambio di due chiavi (pubblica e privata) che funzionano come chiave e lucchetto.

La chiave pubblica è come un lucchetto digitale aperto e pronto per crittografare le info
la chiave privata è come la chiave personale dei tuoi lucchetti che hai dato in giro, la chiave è solo tua e non va condivisa.

Il processo è praticamenteo questo:

  1. creo la coppia di chiavi (pubblica e privata)
  2. associo la mia email alla coppia di chiavi e dichiaro che io sono alice@alice.it
  3. mando la mia chiave pubblica (lucchetto) a tutti i server di chiavi pgp piu' famosi su internet
  4. creo una nuova mail con destinatario bob@bob.it
  5. segnalo che questa mail sarà sicura usando GPG
  6. la firma della mia chiave appena creata, viene associata alla mail che sto scrivendo.
  7. il programma di posta cerca la chiave pubblica (lucchetto) di BOB
  8. quando invio la mail, la chiave di BOB viene crittografata (chiusa con il lucchetto di BOB) e mandata.
  9. Quando BOB leggerà la mail dovrà digitare una passphrase che solo lui conosce per aprire la mail
  10. Per rispondere BOB non deve far altro che continuare la conversazione usando il client di posta e la conversazione rimarrà crittografata

Capiamo quindi che per poter ricevere e mandare mail sicure, non possiamo lasciare che sia un server a gestire tutto.
Dobbiamo scaricare la posta e crittografarla/decifrarla noi.

Per fare questo esistono diversi client di posta molto efficaci, ecco un paio di link e howto:

  1. Thunderbird + Enigmail Scarica Leggi e Scrivi le tue mail con un client grafico open e sicuro (WIN|OSX|Linux)
  2. Claws + GPG Un client grafico di posta molto personalizzabile assieme alla potenza di GPG
  3. Kmail+GPG Per chi ama KDE e il suo client di posta ecco un howto per usare anche GPG
  4. Mutt+GPG HARDCORE: Un client mail testuale (da terminale) per leggere la posta e gpg per crittografare tutto

CHAT

Comunicare sicuri in chat è diventato un problema da quando la convesazione è passata da client (programma scricato sul computer) a server (chat facebook, gmail, etc.. )
Prima di tutto bisogna capire che quel tipo di conversazione non è sicura per un semplice motivo: tutti quei dati possono essere tranquillamente salvati sul server di google/facebook e ripresi in ogni momento.

E' possibile usare altri programmi per la chat che permettono di centralizzare i migliaia di account che abbiamo per i nostri N servizi ed essere cmq sicuri.

PIDGIN

Un ottimo strumento è pidgin, che permette di centralizzare in nostri account in uno solo e grazie ad un plugin chiamato OTR possiamo crittografare le nostre conversazioni.

Ecco come funziona:

  1. installo pidgin
  2. aggiungo i miei account (google, facebok, hotmail, jabber, irc, .. )
  3. installo il plugin OTR (nome: pidgin-otr)
  4. creo una nuova chiave (stesso sistema GPG)
  5. parlo (in chiaro) con BOB e gli chiedo di installare OTR anche x lui
  6. Bob installa OTR
  7. Iniziamo una convesazione privata non sicura (crittografata, ma non trusted)
  8. Rendiamo la nostra conversazione sicura (trusted) dopo aver verificato che stiamo parlando proprio con BOB
  9. Chiudiamo la conversazione senza tenere traccia di nessun log.

In questo modo è possibile comunicare via gtalk, jabber, facebook senza bisogno di regalare info utili a facebook. Meglio ancora, se un gruppo estraneo chiedesse a google, facebook, etc.. i nostri dati tutto quello che possono vedere è questo:

Michele: hey ciao
 io: ?OTR:AAICAAAAxP/WPCEZPZn3IDk7viDD7hv1J9xWnPoaxOqntk4/p8x3yCtXPWm+AM0Bi9pJQO3\\
     jHCi8uPehdqVCGgD0QpqiUovUnO9eD0CEMTy0WV/eyKsgCLoIgPHMfh+EvFRHt3Z/0WwhtbA7pf3\\
     EQkdPSCvSYF3h/X0iPW0uDxAltwK9TFsT4Q2luPlz0v8ewLvAKWm8h/5iieb/rqan/gbXrrJL/G2\\
     /NGxkzCRoBkX3PrkJiNsypC5vIZZJDM0d6sAAAAgF08zLVLNA3AocyefTPXTXMvTKcToYKEOGMYR\\
 Michele: ?OTR:AAIKAAAAwA9u5bVp/XP+hsK9fR47OtulVTf3q2ztH0KRGgQP1A/fjwNjOgm6U8MGzm\\
     yMF9Bo4Vv4970tWRWnvBHcZWZqAQCIAyFzTI9eDrTs5f3Ctg8qo+akCxrk9Q/CJD183Y/Q4ZAgsH\\
     dMD2WSfAssPjTFMjrjgmayp/SgJ06U8mCy/TLt2E8N/qxgcbUCTSrHQ8Mnx+M3KtmUwKfh/sYKln\\
     CT9Wf2YdgSCBg5FaPiZDQZD6VfgvO+iiVATn7VticwRZ3g==.
 ...
  1. all'inizio della conversazione il primo messaggio risulta in chiaro
  2. il secondo messaggio arriva crittografato con la chiave del destinatario
  3. il destinatario risponde con la chiave del mittente e così via

chat veloce sicura e anonima :)

MORE

Per chi vuole approfondire ecco un paio di link, strumenti e suggerimenti:

PHONE

  1. Redphone - chiamate gratis e crittografate (simile whatsapp)
  2. TextSecure - sms gratis e crittografate (identico a wzap)
  3. Chat:xabber + otr - come gtalk ma lo attivi quando vuoi e puoi crittografare tutto

Tools

  1. Jaro-Mail - un client di posta anonimo da configurare a piacere
  2. TAILS Una distribuzione DEBIAN based con TOR preconfigurato, da installare o usare via USB per le Emergenze
  3. Ploppix Una distribuzione che pensa prima di tutto alla privacy e all'anonimato

HOWTO

  1. encfs Per crittografare il proprio PC
  2. HOWTO pidgin + otr (con mail autistici) http://www.autistici.org/it/stuff/man_jabber/pidgin.html
  3. HOWTO Thunderbird + Enigmail : https://wiki.archlinux.org/index.php/Thunderbird
  4. Video Thunderbird + Enigmail : https://www.youtube.com/watch?v=dwduWupEqf0

Approfondisci

TNX2

2013-04-26 - Paranoia

samba

corsi/paranoia.txt · Ultima modifica: 2013/06/05 11:57 da samba
Creative Commons License Driven by DokuWiki Valid XHTML 1.0