[e-privacy] Pericolo privacy ?

[vecna]

bbbluedefense at gmail.com wrote:
> io posso avere un'adeguata percezione del rischio se posso toccare con
> mano.. ma se tu mi dici che il rischio c'è ma che se sono un target non 
> c'è modo di scoprirlo.... ossia stai parlando di cose che non puoi 
> dimostrare.. è ovvio che la mia percezione del rischio è quantomeno 
> limitata.

guarda, il probema dell'intagibilita' dell'attacco informatico e' il
motivo per cui esistono le frodi online. se uno non va a dare la sua
carta di credito ad un bagarino ma solo ad una catena di negozi da lui
fidati c'e' una percezione fisica. riguardo l'online c'e' la massimo
l'ente certificatore, ma poi chi c'e' a gestire il server, la storia che
ha il server, chi c'e' nella web farm e cosi' via... sono cose che non
vedi, a differenza della faccia del cameriere.

ti ripeto che la mancata precezione e' una cosa del tutto legittima,
solo che, davanti a cose non tangibili bisogna che la razionalita' della
statistica prevalga davanti all'irrazionalita' della percezione fisica.

> Ma se le cose stanno così non è più un fatto di privacy... ma di
> sicurezza nazionale e persino mondiale.. Cioè se le cose stessero
> davvero in questo modo non c'è tool di sicurezza o paranoia che possa
> difenderti.

i tool ci sono, gli strumenti ci sono. le linee che devono essere
protette sono vpn cifrate con ipsec anche tra web farm, le linee degli
utenti no. il traffico non specificatamente protetto non e' protetto.

quello che fa chi parla di privacy e' proprio far notare l'esistenza di
tali tool.

> Perchè come posso contraffarre un eseguibile durante un download posso
> contraffare qualunque cosa... e persino un iso col suo hash. Il fatto 
> poi che pare esistano rootkit che vanno a
> corrempere firmware di sk video o mother board o altre periferiche.. beh
> secondo me arrivi alla conclusione che non c'è modo di difendersi.
> Forse la miglior cosa è buttare il pc e dedicarsi ad altro.

no. se ho un'hash firmato con sistema chiave pubblica/privata, e ho la
chiave pubblica in modo sicuro, allora posso verificarlo. e' per questo
che i sistemi operativi mettono sin dalla loro distribuzione fisica le
chiavi pubbliche, e' per questo che esiste la lobby delle certification
authority, che esiste openCA.org e il web of trust PGP. per questo che
debian tiene le chiavi pubblica dei repository nei pacchetti base, cosi'
ad ogni aggiornamento puo' esserci la verifica, e cosi' vale per gli rpm.

gli aggiornamenti di windows sono tutti firmati ad esempio. dove
possibile gli strumenti agiscono in modo automatico, dove invece non e'
stato previsto .. sta all'utente.

>> poi rendere le informazioni trampolino per l'attacco... e' il passo
>> successivo, e oltre che incrociare il tuo "modello di minaccia" (manager
>> o cameriera) incrocia anche il suo "modello di business" (cerco il
>> manager per ricattarlo ? cerco studentesse per vender le foto agli otaku
>> ? cerco disegnatori CAD per prendermi una licenza di autocad ?).
>>
> 
> ma sono esempi tirati a caso o no ?

http://www.securityfocus.com

ci sono una miriade di analisi di malware, report di attacchi su
honeynet, report giornalistici ed investigativi sul lavoro dei phisher.
ottimo a riguardo e' anche http://ddanchev.blogspot.com/

>> diffondersi sugli share samba, oltre che prendere la rubrica per trovare
>> link di fiducia, oltre che la cronologia per pseudo-profilare la
>> vittima. L'attacco e' limitato solo dalla fantasia :) ed e' li' che
>> arriva il progetto di difesa...
>>
> 
> in un panorama di questo genere gli attacchi di phishing sono l'ultimo 
> dei problemi.

ho parlato di phishing per distinguere tra: attacchi con target,
attacchi senza target.

il phishing e' quello che comunemente viene associato ad un attacco
massivo, lo spionaggio cinese ad un attacco selettivo. nessuna delle due
cose invece e' delineata. il senso degli esempi era: se non ti senti al
sicuro perche' hai un buon motivo, proteggiti. se ti senti al sicuro,
ripensaci :)


> No, stavo parlando dei router del provider... cisco & c.
> qualcuno mi ha detto, ma non so fino a che punto sia attendibile, che è 
> possibile intruffularsi addirittura sulle dorsali...

mah, dipende dal provider, dipende dal router. buona parte dei router
cisco installati presso i privati avevano password cisco, enable cisco.
dopo qualche anno sono apparsi di "cisco1" :)

di solito le linee piu' a monte sono accessibili con amministrazione
snmp solo da parte delle lan di management.

ma anche qui... questo e' un attacco che scrissi anni fa:

http://www.sikurezza.org/ml/10_03/msg00007.html

e quella protezione risulta aggirabile. non mi sono aggiornato in
termini di protezione dei router, non so quale sia l'usanza al momento.

>> e se sei l'obittivo, ci sono sistemi molto piu' semplici che attaccare
>> un router ... :)

> cioè ?

cioe' una miriade di attacchi possibili, http://www.securityfocus.com
http://www.sikurezza.org

> beh se ci pensi è la magistratura che dovrebbe difendere la mia privacy, 
> e invece mi tocca difendermi da solo.

internet e' cosi': distribuita. tu hai i tuoi dati e li dai a chi vuoi.
tu li proteggi. ci sono pro e contro.

pro: teoricamente e' la forma di liberta' d'espressione massima
contro: se non sai a chi dai i tuoi dati, o non sai cosa sono i tuoi
dati, o non sai che effetto hanno i tuoi dati... potresti farti male.

molti possino proteggerti, ma solo perche' affidi in questo modo ad una
terza parte la decisione di quali dati ricevi e quali dati dai.

sto parlando di "dati" in senso lato, si possono intendere eseguibili,
si possono intendere pagine html, sono vere in entrambi i casi.

ho scritto qualcosa qui riguardo la difesa non fatta autonomamente:
http://www.delirandom.net/20090312/affidati-ad-alice-lei-ti-terra-per-le-palle-gratis1/


>> si, possono. tante persone, senza nessun dovere verso di te, e con la
>> quasi assoluta certezza che nessuno se ne accorgera'.
>>
> 
> ok, se non c'è modo di capire se qualcuno sta sniffando il mio traffico 
> allora esiste pure dio perchè nessuno puo' dimostrare la sua non esistenza.

il traffico puo' essere sniffato senza problemi, e puo' essere reso
inutilizzabile a tutti eccetto che al legittimo destinatario. questo
dice la scienza della sicurezza informatica.

> si vabbè la storia nell'informatica conta nulla.. oggi si fanno cose che 
> 20 anni fa non le si immaginava nemmeno nei film di fantascienza.


ok, fatto sta che questo:
http://www.nist.gov

e' un ente governativo che in modo aperto e pubblico raccoglie gli
attacchi agli algoritmi crittografici e dice quali sono sicuri e quali
no, nell'interesse dei cittadini. e gli algoritmi che usi quando accedi
al tuo remote banking non sono stati fatti dalla magistratura, ma da
ricercatori che hanno visto i loro crittosistemi attaccati a
ripetizione, finche' uno non e' stato dichiarato vincitore:
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

la sicurezza attuale e' ancora legata alla crittografia, perche' questa
almeno l'utente con il proprio PC se la puo' implementare, mentre, il
fatto che il tuo traffico giri per il mondo, tu non ci puoi far nulla.

questo significa sicurezza informatica: avere la certezza di quello che
esce dal tuo pc, sapere che puo' essere aperto solo dal legittimo
destinatario, e poi che in mezzo ci sia il KGB o un innocente
sistemista, essendo elementi a te non noti, ignorarli.

ciao,
v

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 249 bytes
Desc: OpenPGP digital signature
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20090324/6ab5726a/attachment.pgp>