[e-privacy] Pericolo privacy ?

[bbbluedefense at gmail.com]

vecna ha scritto:

> Se tra loro, o altri, ritengono di aver ben chiara la vita di un
> pacchetto e le insidie che corre... suggerirei un bel talk per e-privacy
> :) per quanto "l'intercettazione" possa sembrare la base, la banalita' e
> la scontatezza ad una conferenza come e-privacy, che ricordi io non c'e'
> mai stato un intervento su quell'argomento, che analizzi l'effettiva
> realizzazione, le complessita' e gli effetti che puo' avere
> un'intercettazione abusiva sul breve/medio/lungo periodo. pensateci ;)

Mi sembra un'ottima idea...

> 
> Questa considerazione non e' per nulla stupida. Cioe', a qualcuno fa
> accaponare la pelle, ma capisco che la mancata percezione del rischio da
> parte tua demotivi pure un'eventuale contromisura.
> 

io posso avere un'adeguata percezione del rischio se posso toccare con
mano.. ma se tu mi dici che il rischio c'è ma che se sono un target non 
c'è modo di scoprirlo.... ossia stai parlando di cose che non puoi 
dimostrare.. è ovvio che la mia percezione del rischio è quantomeno 
limitata.

> 
> L'intercettazione e' un attacco di tipo passivo (non stiamo a pensare ad
> un eventuale hijacking del DNS, che con un trasparent proxy,
> consentirebbe la trojanizzazione automatica al primo eseguibile
> scaricato, visto che l'integrita' dei binari rimane una difesa di una
> minoranza :), pertanto consente all'attaccante di avere informazioni.
> 

Ma se le cose stanno così non è più un fatto di privacy... ma di
sicurezza nazionale e persino mondiale.. Cioè se le cose stessero
davvero in questo modo non c'è tool di sicurezza o paranoia che possa
difenderti.
Perchè come posso contraffarre un eseguibile durante un download posso
contraffare qualunque cosa... e persino un iso col suo hash. Il fatto 
poi che pare esistano rootkit che vanno a
corrempere firmware di sk video o mother board o altre periferiche.. beh
secondo me arrivi alla conclusione che non c'è modo di difendersi.
Forse la miglior cosa è buttare il pc e dedicarsi ad altro.


> poi rendere le informazioni trampolino per l'attacco... e' il passo
> successivo, e oltre che incrociare il tuo "modello di minaccia" (manager
> o cameriera) incrocia anche il suo "modello di business" (cerco il
> manager per ricattarlo ? cerco studentesse per vender le foto agli otaku
> ? cerco disegnatori CAD per prendermi una licenza di autocad ?).
> 

ma sono esempi tirati a caso o no ?

> diffondersi sugli share samba, oltre che prendere la rubrica per trovare
> link di fiducia, oltre che la cronologia per pseudo-profilare la
> vittima. L'attacco e' limitato solo dalla fantasia :) ed e' li' che
> arriva il progetto di difesa...
> 

in un panorama di questo genere gli attacchi di phishing sono l'ultimo 
dei problemi.

> Non per caso, il motto del progetto winston smith e' "la paranoia e' una
> virtu'" siamo abituati a pensare al caso peggiore. cioe' quello in cui:
> 
> 1) siamo potenzialmente target, perche' il futuro si spera nel bene, ma
> si pianifica nel male
> 
> 

Questo mi sembra giusto hehehe


> http://www.marcoc.it/ioi/E-privacy_&_Infosmog_-_corso_pratico_di_paranoia_-_come_cancellare_i_propri_dati_gif/sld010.htm
> 

letto

> 
> Temo che stai vedendo come elemento di rischio il tuo router perche' e'
> l'hop a monte piu' vicino a te. E' vero, il tuo router e' un elemento di
> potenziale vulnerabilita', se vuoi puoi rassicurarti consultando
> http://www.securityfocus.com o un qualunque altro portale che ti
> aggiorna sulle versioni vulnerabili di un certo software.
> 

No, stavo parlando dei router del provider... cisco & c.
qualcuno mi ha detto, ma non so fino a che punto sia attendibile, che è 
possibile intruffularsi addirittura sulle dorsali...

> e se sei l'obittivo, ci sono sistemi molto piu' semplici che attaccare
> un router ... :)
> 


cioè ?

>> Penso che tutto dipende da chi si mette a sniffare e quali sono le sue 
>> intenzioni, se le sue intenzioni sono quelle di crearmi dei problemi, 
>> influenzare in qualche modo la mia vita ecc beh allora uno si deve 
>> preoccupare.... ma se è solo un guardone beh ma chissene.
> 
> la magistratura e' quella che attiva le intercettazioni, e la
> magistratura e' investita dal sistema democratico del potere di poter
> violare la nostra riservatezza al fine di assicurarci un altro bene, la
> sicurezza.
> 

beh se ci pensi è la magistratura che dovrebbe difendere la mia privacy, 
e invece mi tocca difendermi da solo.

> 
> pratiamente, tutto quello che sai delle intercettazioni telefoniche NON
> E' PIU' APPLICABILE online, pero' il modello di pensiero e' rimasto lo
> stesso, e pure il modello di azione.
> 
> con la differenza che un perito informatico neodiplomato puo' scrivere
> software che garantisca comunicazioni non intercettabili, oltre che
> chiunque vuol proteggersi puo' scaricare software gratuito e sicuro.
>

eh ma se c'è un trasparent proxy che mi altera il software...


> ah, ma avevi detto di conoscer il networking :)
> 

si, e secondo me sniffare il traffico come tu affermi non è possibile.
Sto parlando di normali utenze adsl che si collegano quasi direttamente 
a internet... non di lan aziendali e relativi gateway.

> si, possono. tante persone, senza nessun dovere verso di te, e con la
> quasi assoluta certezza che nessuno se ne accorgera'.
> 

ok, se non c'è modo di capire se qualcuno sta sniffando il mio traffico 
allora esiste pure dio perchè nessuno puo' dimostrare la sua non esistenza.


>> Poi scusa se basta comprarsi l'esperto per realizzare la cosa non 
>> facile... beh ne concludo non che è facile ... ma che è facilissima.
>> Se è così semplice allora ripeto c'è da correre ai ripari... ma 
>> onestamente dubito che basti comprarsi l'espertone. E poi scusa chi ti 
>> garantisce che l'espertone non riesca a decriptare il tuo traffico e 
>> comunque a vederlo in chiaro ?
> 
> non so, 20 anni di storia della sicurezza informatica ? :P
> 

si vabbè la storia nell'informatica conta nulla.. oggi si fanno cose che 
20 anni fa non le si immaginava nemmeno nei film di fantascienza.


>> Io penso che intercettare il traffico sia una cosa molto difficile da 
>> fare almeno tanto quanto decriptare un file o uno stream criptato.
> 
> e io penso che l'uomo discenda dalla noce, perche' se apri una noce
> sembra proprio un cervello umano!!
> 

eh ma sei tu che devi dimostrare quello che sostieni mica io a confutare 
le tue ipotesi.