[e-privacy] Pericolo privacy ?

[vecna]

bbbluedefense at gmail.com wrote:
> Oi, non mi aspettavo una risposta così dettagliata anche se in parte
> inutile perchè più o meno so come funziona.

poffarbacco, la mia risposta priva di dettagli era pensata apposta per
le domande vaghe, ma, no problem, alcune correzioni sono state aggiunte
dagli altri.

Se tra loro, o altri, ritengono di aver ben chiara la vita di un
pacchetto e le insidie che corre... suggerirei un bel talk per e-privacy
:) per quanto "l'intercettazione" possa sembrare la base, la banalita' e
la scontatezza ad una conferenza come e-privacy, che ricordi io non c'e'
mai stato un intervento su quell'argomento, che analizzi l'effettiva
realizzazione, le complessita' e gli effetti che puo' avere
un'intercettazione abusiva sul breve/medio/lungo periodo. pensateci ;)

> Il punto credo sia, sicuramente lo è per me, quanto si estende il
> confine di quello che consideri "la tua privacy". Tralasciando il 
> discorso lan
> aziendale, se qualche admin di telecom o di qualche altro provider
> sniffa il mio traffico a me personalmente non me ne frega nulla.

Questa considerazione non e' per nulla stupida. Cioe', a qualcuno fa
accaponare la pelle, ma capisco che la mancata percezione del rischio da
parte tua demotivi pure un'eventuale contromisura.

Il motivo per cui, a mio avviso, dovrebbe fregartene, e' che gli
attacchi informatici/informativi si distinguono in 2 macrocategorie (e
sono proprio le due branchie di specialita' che si vedono sui report).
Attacchi ad un target predefinito ed attachi alla massa.

se ci pensi, la differenza tecnica tra uno che fa spionaggio ed uno che
fa phishing e' breve, entrambi devono:

trovare accesso nella vittima / infettarla / trovare quello che cercano
/ prendere / rimuovere le tracce / trasformare l'informazione in soldi.

Con la differenza che il primo e' un attaccante a target, per cui se ti
senti a rischio (perche' sei un manager e non una cameriera) allora ti
progetti, ma dal secondo attaccante sia manager che cameriere possono
essere vittime.

L'intercettazione e' un attacco di tipo passivo (non stiamo a pensare ad
un eventuale hijacking del DNS, che con un trasparent proxy,
consentirebbe la trojanizzazione automatica al primo eseguibile
scaricato, visto che l'integrita' dei binari rimane una difesa di una
minoranza :), pertanto consente all'attaccante di avere informazioni.

poi rendere le informazioni trampolino per l'attacco... e' il passo
successivo, e oltre che incrociare il tuo "modello di minaccia" (manager
o cameriera) incrocia anche il suo "modello di business" (cerco il
manager per ricattarlo ? cerco studentesse per vender le foto agli otaku
? cerco disegnatori CAD per prendermi una licenza di autocad ?).

Nel caso del phisher e' "attacco tutti quelli con windows" :) perche'
sono di piu' e quindi il tempo che deve dedicare a fare trojan viene
meglio sfruttato.

Nota, se gli attacchi di phishing riscontrati sulle honeynet dimostrano
che il form grabbing va per la maggiore, i trojan con charset cinese, di
circa 2 mega, generati da script perl compilati, quelli senza problemi
mettono una scheda in promisquo e sniffano quello che trovano, oltre che
diffondersi sugli share samba, oltre che prendere la rubrica per trovare
link di fiducia, oltre che la cronologia per pseudo-profilare la
vittima. L'attacco e' limitato solo dalla fantasia :) ed e' li' che
arriva il progetto di difesa...

Non per caso, il motto del progetto winston smith e' "la paranoia e' una
virtu'" siamo abituati a pensare al caso peggiore. cioe' quello in cui:

1) siamo potenzialmente target, perche' il futuro si spera nel bene, ma
si pianifica nel male

2) incrociamo potenzialemtne un modello di business di un attaccante che
non abbiamo ancora scoperto.

In entrambi i casi, la prtezione e' gratuita, e il costo in termini di
tempo e' accettabile.

Le vecchie, ma sempre attuali slide di Marco Calamari sull'analisi del
modello di minaccia possono esserti utili:

http://www.marcoc.it/ioi/E-privacy_&_Infosmog_-_corso_pratico_di_paranoia_-_come_cancellare_i_propri_dati_gif/sld010.htm



> Altro
> paio di maniche è se i router del provider siano facilmente accessibili
> da chiunque (ossia da chiunque abbastanza skillato da poterlo fare) e
> questo chiunque possa effettuare sniffing, hijacking o cracking sulla
> mia connessione. Beh allora le cose stanno diversamente.

Temo che stai vedendo come elemento di rischio il tuo router perche' e'
l'hop a monte piu' vicino a te. E' vero, il tuo router e' un elemento di
potenziale vulnerabilita', se vuoi puoi rassicurarti consultando
http://www.securityfocus.com o un qualunque altro portale che ti
aggiorna sulle versioni vulnerabili di un certo software.

Ma se ti preoccupi di un attacco ad un router, ti preoccupi per un
attacco in cui sei l'obiettivo.

e se sei l'obittivo, ci sono sistemi molto piu' semplici che attaccare
un router ... :)

> Penso che tutto dipende da chi si mette a sniffare e quali sono le sue 
> intenzioni, se le sue intenzioni sono quelle di crearmi dei problemi, 
> influenzare in qualche modo la mia vita ecc beh allora uno si deve 
> preoccupare.... ma se è solo un guardone beh ma chissene.

Se a te va bene, ok :)
Qualcuno potrebbe disquisire sul significato filosofico di pudore, di
riservatezza e di percezione della riservatezza.

> Non so sia 
> vero che i governi.. nella fattispecie il governo italiano, si mettano a 
> monitorare tutto il traffico di internet ... bah un po' mi sembra 
> assurdo e un po' me ne frega il giusto.. Certo se uno si mette a 
> sniffare il traffico altrui beh non deve avere tante buone intenzioni.

qui stai parlando di visioni personali che non ti voglio toccare, ma
sono miste con elementi non troppo aggiornati.

la magistratura e' quella che attiva le intercettazioni, e la
magistratura e' investita dal sistema democratico del potere di poter
violare la nostra riservatezza al fine di assicurarci un altro bene, la
sicurezza.

poi, la sicurezza che percepisci, e' quella che c'e' davvero .. o
qualcun'altro la decide per te ?
http://www.repubblica.it/ultimora/24ore/TV-CON-GOVERNO-PRODI-RADDOPPIATI-SPAZI-PER-CRONACA-NERA/news-dettaglio/3585382

puo' essere vero, nel mondo perfetto, che la riservatezza di venga
violata per garantirti della sicurezza. era vero con la rete telefonica
SIP: rete statale, apparecchi dati dallo stato, lo stato fa funzionare
la rete, lo stato conosce come funziona, lo stato e' tramite delle
comunicazioni, lo stato puo' decidere di intercettare un indagato.

con internet: chiunque puo' avere gli strumenti, perche' due persone si
parlino e' sufficente parlino lo stesso protocollo, gli apparecchi sono
dei privati (che a differenza dello stato, che almeno ufficialmente ha
un'etica, un privato ha solo l'obiettivo del business, altrimenti si
chiama ONLUS :) [
http://punto-informatico.it/2310705/PI/Commenti/spiccioli-cassandra-multinazionale-bambina.aspx
] i privati fanno funzionare la rete e le leggi vigenti sono quelle del
territorio in cui sta la rete.

pratiamente, tutto quello che sai delle intercettazioni telefoniche NON
E' PIU' APPLICABILE online, pero' il modello di pensiero e' rimasto lo
stesso, e pure il modello di azione.

con la differenza che un perito informatico neodiplomato puo' scrivere
software che garantisca comunicazioni non intercettabili, oltre che
chiunque vuol proteggersi puo' scaricare software gratuito e sicuro.

mentre, chi non si protegge, e' il cittadino inerme, l'unico che rimane
a questo punto ad essere sniffato. non di certo il criminale, non di
certo chi si sente a rischio.

tutto quello che sai delle intercettazioni -non e' piu' applicabile-.
Per questo la difesa preventiva e' necessaria.


> Il punto è, al di la' dei governi, ce gente che puo' accedere alle 
> connessioni altrui ? si ? no ?
> Se si, c'è da preoccuparsi, se no... no.

ah, ma avevi detto di conoscer il networking :)

si, possono. tante persone, senza nessun dovere verso di te, e con la
quasi assoluta certezza che nessuno se ne accorgera'.

poi, si spera che queste persone rispettino il prossimo. certo :) io lo
spero ogni volta che un server non offre https.

> boh scusa ma non capisco... cioè cacchio te ne frega se il congo 
> intercetta il traffico internet di qualche italiano o il tuo ?

i modi con cui i miei dati possono essere usati contro di me sono
*infiniti* :)

pensa che la legge sulla privacy americana dice proprio:

"i tuoi dati personali non possono essere usati da chi li ha, contro di te"

(quella europea dice "i tuoi dati personali non possono essere in mano
ad altri che non hai autorizzato")

se parlo in congo e' perche' conosco qualcuno in congo. poi se gli dico
"hey bello il tuo mare" e' ovvio che non ho messo roba sensibile, ma se
permetti voglio decidere il mio livello di sicurezza indipendentemente
da quello che dico in ogni singola frase.

e' come avere l'antifurto debole da usare davanti a casa e l'antifurto
forte da usare nelle grandi citta'.

Decidi il tuo modello di sicurezza = prendi l'antifurto = lo usi.

non lo vuoi ? amen!

> Poi scusa se basta comprarsi l'esperto per realizzare la cosa non 
> facile... beh ne concludo non che è facile ... ma che è facilissima.
> Se è così semplice allora ripeto c'è da correre ai ripari... ma 
> onestamente dubito che basti comprarsi l'espertone. E poi scusa chi ti 
> garantisce che l'espertone non riesca a decriptare il tuo traffico e 
> comunque a vederlo in chiaro ?

non so, 20 anni di storia della sicurezza informatica ? :P

> Io penso che intercettare il traffico sia una cosa molto difficile da 
> fare almeno tanto quanto decriptare un file o uno stream criptato.

e io penso che l'uomo discenda dalla noce, perche' se apri una noce
sembra proprio un cervello umano!!

la liberta' di pensiero sara' pur un diritto sacrosanto, ma la matematica:

1) non e' un'opinione
2) sta alla base del networking e della crittografia
3) si studia, non si pensa

forza!
ciao,
v

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 249 bytes
Desc: OpenPGP digital signature
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20090317/29382780/attachment.pgp>