e-privacy XXIII — Singolarità

Non è la prima volta che si parla di fine della privacy; già nel 1999 Scott McNealy, fondatore di Sun Microsystems, aveva dichiarato, “You have zero privacy anyway. Get over it – Avete privacy zero, fatevene una ragione”.Per fortuna la privacy, benché malmessa, è sopravissuta alle dichiarazioni di McNealy ed e’ arrivata ai giorni nostri.Ma oggi molte situazioni e tecnologie lesive della privacy stanno giungendo a maturazione contemporaneamente, creando una situazione critica, anzi una vera e propria singolarità nella storia evolutiva dei rapporti sociali che puo’ portare davvero ad un azzeramento della privacy.Non semplicemente obbligarci a vivere una vita totalmente pubblica in case di vetro, ma condizionare la nostra capacità di accedere ad informazioni corrette secondo la nostra volontà.Le tecnologie di Intelligenza Artificiale e di Deep Learning possono estrarre informazioni ed effettuare inferenze, correlando moli enormi di dati ad un livello impensabile fino a pochi anni fa, e giungendo a deduzioni di livello pari o superiore a quello di un analista umano. Gli algoritmi, davvero, sanno oggi più cose su di noi di quante ne conosciamo noi stessi.L’Internet delle Cose sta popolando le nostre case ed i nostri corpi, lo stuolo di sensori che gli oggetti dell’IoT contengono pompa quantità crescenti di dati personali e sensibili nella Rete, senza che più nessuno se ne preoccupi, nutrendo i voraci algoritmi, e presto le voraci A.I, di Google, Amazon ed altri big e meno big data player.Le fake news, su cui tanto hanno chiacchierato persone che dovrebbero invece stare accuratamente zitte al riguardo, degenereranno presto in vere e proprie azioni di guerra informativa (non informatica) in cui, grazie alla possibilita’ di generare in maniera automatica filmati ed audio perfettamente falsificati, si potranno “combattere battaglie”, non nel cyberspazio ma proprio nell’infosfera stessa.

Sorgente: e-privacy XXIII — Singolarità

Annunci

MOCA, il programma

Il programma del MOCA, dal 19 al 21 agosto a Pescara. 


Programma del MOCA:
https://moca.olografix.org/it/calendario-moca-2016/

ingresso gratuito, è gradita la registrazione:
https://moca.olografix.org/it/events/moca/

## Venerdì 19 Agosto 2016

10:00 – 10:30 // Keynote // Metro Olografix // Gandalf Arena // ITA //
Level: Master Jedi
10:30 – 11:30 // ARM Disassembling with a twist // Augustin Gianni //
Gandalf Arena // ENG // Level: Master Jedi
11:30 – 12:30 // Wearable Botnets and Happy Hacked Drivers // Andrea
Pompili // Gandalf Arena // ITA // Level: Jedi
12:30 – 13:30 // PHP (Hard)Core Exploitation // Andrea
“cogitoergor00t” Palazzo // Gandalf Arena // ITA // Level: Master Jedi
15:00 – 16:00 // Storia dei processi in Italia // Andrea Monti //
Gandalf Arena // ITA // Level: Padawan
15:00 – 16:00 // Ntopng e monitoraggio del traffico // Giuseppe
Augiero // Elf Arena // ITA // Level: Padawan
16:00 – 17:00 // Hacking the British Way: the British Hacking Scene of
the 80s and the early 90s // Stephen Firth // Gandalf Arena // ENG //
Level: Padawan
16:00 – 17:00 // Realizzazione Robot Arm con Arduino // Francesco
Colasante / Simone Forlano // Elf Arena // ITA // Level: Jedi
17:00 – 18:00 // Documentazione video, streaming e nuove frontiere dei
social media // Guido Morelli // Gandalf Arena // ITA // Level:
Padawan
17:00 – 18:00 // Una soluzione accrocchiata che non avrebbe mai dovuto
vedere la luce! // Gionatan Danti // Elf Arena // ITA // Level:
Padawan
18:00 – 20:00 // MOKids: Piccoli Hacker Crescono (1)// Metro Olografix
ft. Coding Circus // Elf Arena // ITA // Level: Young Padawan
18:00 – 19:00 // Connected security // Cristiano “nofear” Cafferata //
Gandalf Arena // ITA // Level: Padawan
19:00 – 20:00 // GlobaLeaks: Dalla Crittografia e Anonimato
all’Anticorruzione e Difesa dei Diritti Umani // Fabio “naif”
Pietrosanti // Gandalf Arena // ITA // Level: Padawan
20:00 – 21:00 // La resistenza digitale nel 2016 non è più cifrare
tutto, ma reversare algoritmi // Claudio Agosti // Gandalf Arena //
ITA // Level: Jedi
21:00 – 22:30 // Live & Dj Set // Gandalf Arena
22:30 – 00:30 // Linux device driver foundamentals // Angelo
Compagnucci // Gandalf Arena // ITA // Level: Jedi
22:30 – 00:30 // Single-Board Computer col Software Libero mainline //
Magnus // Elf Arena // ITA // Level: Jedi
00:30 – 02:00 // Deep Web // Docufilm 95′ // Elf Arena // ENG


## Sabato 20 Agosto 2016

10:00 – 11:00 // Devuan GNU+Linux – where we are, how we got here,
where we are going // Denis “Jaromil” Roio // Gandalf Arena // ITA //
Level: Jedi
10:00 – 11:00 // Little PIN, little PIN, let me in! // Davide “rebus”
Gabrini // Elf Arena // ITA // Level: Jedi
11:00 – 13:00 // Unlocked. Physical security workshop // Rug // Elf
Arena // ITA // Level: Jedi
11:00 – 12:00 // Node.js and JS Security // Umberto “umbros” Rosini //
Gandalf Arena // ITA // Level: Jedi
12:00 – 13:00 // Windows malware development // Samuel Finocchio //
Gandalf Arena // ITA // Level: Jedi
13:00 – 13:30 // SSH CA // Marco Bonetti // Gandalf Arena // ITA //
Level: Padawan
15:00 – 17:00 // Why Django? // Carlos “joker” Catucci // Elf Arena //
ITA // Level: Jedi
15:00 – 16:00 // Censura su Wikipedia // Ginevra Sanvitale // Gandalf
Arena // ITA // Level: Padawan
16:00 – 17:00 // Me vs Embedded: 63 days of fun // Lorenzo Nicolodi //
Gandalf Arena // ITA // Level: Jedi
17:00 – 18:00 // Modsecurity and FLEX sanitize // Andrea Cavallini //
Gandalf Arena // ITA // Level: Jedi
18:00 – 20:00 // MOKids: Piccoli Hacker Crescono (2)// Metro Olografix
ft. Coding Circus // Elf Arena // ITA // Level: Young Padawan
18:00 – 19:00 // FPGA4Hackers // Walter Tiberti // Gandalf Arena //
ITA // Level: Jedi
19:00 – 20:00 // OSINT (open source intelligence) le tue informazioni
in piazza (virtuale) // Paolo Giardini // Gandalf Arena // ITA //
Level: Padawan
20:00 – 21:00 // Following the white rabbit… // Nicola Filippini //
Gandalf Arena // ITA // Level: Padawan
20:00 – 21:00 // Reti comunitarie, noi siamo Internet // Leonardo
Maccari // Elf Arena // ITA // Level: Jedi
21:00 – 23:00 // Live & Dj Set // Gandalf Arena
00:30 – 02:00 // Zero Days // Docufilm 113′ // Elf Arena // ENG


## Domenica 21 Agosto 2016

10:00 – 11:00 // Sharepoint REST API Abuse // Massimo Bozza / Andrea
De Dominicis // Gandalf Arena // ITA // Level: Padawan
10:00 – 10:30 // Visualizing multipath networks with Dublin Traceroute
// Andrea “insomniac” Barberio // ELF Arena // ENG // Level: Padawan
11:00 – 12:00 // Smashing android sandbox: A systematic literature
review // Valerio Costamagna // Gandalf Arena // ITA // Level: Jedi
11:00 – 11:30 // Abuse IoT devices on a budget // Mirko Maischberger /
Edoardo Odorico // Elf Arena // ITA // Level: Padawan
12:00 – 12:30 // MIPS, IoT, virtualizzazione e sicurezza // Alexjan
Carraturo // Gandalf Arena // ITA // Level: Jedi
12:30 – 13:30 // Skimmer 2.0 // Emanuele Calvelli / Panfilo Salutari
// Gandalf Arena // ITA // Level: Jedi
15:00 – 15:30 // BLIH (Bigdata Localized Info Harvester) //
Giovambattista Vieri // Gandalf Arena // ITA // Level: Padawan
15:30 – 16:10 // Live coding su dati SIOPE // Denis “Jaromil” Rojo //
Gandalf Arena // ITA // Level: Jedi
16:15 – 16:45 // End MOCA 2016 // Metro Olografix // Gandalf Arena //
ITA // Level: Jedi


Cloud

Eravamo rimasti qui.

Quando ci occorre un cloud, e vogliamo attivarne l’agibilità, dobbiamo avere le idee chiare su quali siano le nostre necessità.

Possiamo volere un cloud tipo storage, per immagazzinarvi i nostri file di ogni formato: immagini, video, grafica, disegni, testi …;

potremmo aver bisogno di applicazioni software o tipologie hardware, virtualizzate;

ci occorre un server database professionale;

o altre esigenze specifiche.

Definite le nostre esigenze o desideri, passiamo a cercare il fornitore che più ci soddisfa. Molti ci offrono spazio (cloud) gratuitamente, ma finalizzato (vedi google, facebook, ma nache tanti altri), che possono essere ottimi strumenti sia per l’immagazzinamento (in questo caso meglio google) che per la comunicazione verso altri, o socializzazione. Alcuni fornitori di telegonia e connettività offrono anche spazio disponibile.

Se per le nostre esigenze possono essere sufficienti questi spazi gratuiti siamo a posto, non ci resta che sceglierne uno o più ed aprire i relativi account. A questi va unito Dropbox, che offre gratuitamente uno spazio, a partire da tre giga, ma con reali possibilità di aumento.nuvole, notturno.

Un altro aspetto che dobbiamo considerare è quello della sicurezza dei dati; teoricamente il cloud è sicuro, ma esiste sempre la possibilità di un’intrusione non voluta. Se lo utilizziamo per avere sempre disponibili i nostri dati lavorativi, dobbiamo avere la certezza che in questo caso non siano leggibili; almeno complichiamo il loro lavoro di lettura. In questo ci può aiutare la crittografia.

Personalmente utilizzo i cloud cui accedo solamente via browser, per immagazzinare immagini o video che potrebbero essere anche pubbliche; mentre per i file lavorativi, che comprendono anche dati personali, preferisco utilizzare cloud che mi forniscano la possibilità di lavorarci dal mio device, computer o smartphone. In questo caso posso utilizzare programmi che mi criptano i file, residenti sulle mie macchine. Anche sui cloud accessibili da browser potrei installare un programma di crittografia, ma il suo accesso da remoto non sarebbe altrettanto sicuro.

Come criptare i nostri file? Linux offre questa possibilità, tra i moduli componenti del kernel ne esistono con questa funzione. Sono attivabili da consolle. Molte distribuzioni offrono la possibilità di criptare la propria home, ma, nel mio caso, sarebbe un eccesso di sicurezza.

Una volta installato il programma encfs e caricato fuse (il comando da consolle è: sudo modprobe fuse), il modulo del kernel, si crea/no la/e cartella/e criptata. Quello che segue è il listato che appare sul nostro emulatore di terminale (in grasetto i comandi):

creare la cartella:
xxx@xxx:~$ encfs ~/.prova ~/prova
La directory “/home/pietro/.prova/” non esiste. Deve essere creata? (y/n) y
La directory “/home/pietro/prova” non esiste. Deve essere creata? (y/n) y
Creazione nuovo volume cifrato.
Scegliere tra una delle seguenti opzioni:
digitare “x” per la modalità di configurazione per esperti,
digitare “p” per la modalità paranoica preconfigurata.
qualsiasi altra cosa o una riga vuota selezionerà la modalità standard.
?>

Selezionata la configurazione standard.

Configurazione terminata. Il file system da creare avrà
le seguenti proprietà:
Cifrario file system: “ssl/aes”, versione 3:0:2
Codifica nome dei file: “nameio/block”, versione 4:0:2
Dimensione chiave: 192 bit
Dimensione blocco: 1024 byte
Ogni file contiene 8 byte di intestazione con dati del vettore di inizializzazione unici.
Nomi dei file cifrati usando la modalità di concatenazione del vettore di inizializzazione.
File frammentati inalterati per il testo cifrato

Ora è necessario creare una password per il proprio file system.
È necessario ricordare questa password, dato che non esiste alcun modo
per recuperarla automaticamente. In ogni caso, la password potrà essere
cambiata utilizzando encfsctl.

Nuova password di Encfs:
Conferma password di Encfs:

Per chi noi non fosse pratico di un terminale unix o linux, va aggiunto che quando digiti una password, questa non è visibile, per motivi di sicurezza: un eventuale osservatore esterno, anche amico, non può rendersi conto della sua lunghezza. Conviene sempre cercarne una alfanumerica, con simboli speciali, di almeno quindici caratteri.

Per non tediarvi ulteriormente, termino qui questa pagina, ma riprenderò in un prossimo futuro.

Buona giornata

nuvole, cloud

 

Internet è rotta, aggiustiamo internet! | Biblioteca Salaborsa – Bologna

il secondo incontro del ciclo ‘Culture e pratiche open’

Sorgente: Internet è rotta, aggiustiamo internet! | Biblioteca Salaborsa

Qui la locandina.

Rete: il cloud

Continuiamo ad affrontare problematiche inerenti la connessione: il cloud. Il termine inglese corrisponde al nostro nuvola, scelto per indicare uno spazio o un servizio virtuali che un fornitore di servizi ci offre. Virtuale in quanto non risiede su un dispositivo reale, ma su di questo viene creato un server o un software specifico ed esterno al sistema operativo della macchina.

Si preferisce creare macchine virtuali ad hoc, specifiche per le esigenze per aumentarne la sicurezza sia dell’ospite che dell’ospitante: un attacco ad una macchina virtuale1 resta confinato su di essa senza coinvolgere la macchina fisica che la ospita o le altre che avessero lo stesso supporto fisico.

cloud

Anche se le pubblicità di fornitori di telefonia e servizi iniziano a parlarne ora, descrivendolo come una formula utilissima per gli affari, il cloud non è una soluzione degli ultimi anni: ttutti i provider di posta elettronica, ad esempio google, hanno sempre fornito ai loro utenti uno spazio vistuale su cui memorizzare la posta ricevuta. Google fu il primo a fornire uno spazio di 2 gigabyte, poi portato a 3, poi aumentato quando ha fornito altri servizi, quali la condivisione ed immagazzinamento di immagini (vedi picasa web), o un contenitore di documenti (drive) oltre a tutti gli altri.

IL cloud può essere di vario tipo;

cloud, nuvole,

hardware, consentendo l’acquisizione di un sistema operativo vero e proprio,

software, quando fornisce programmi,

storage o immagazzinamento dati, qualora ci consenta il mantenimento di immagini e file di varo genere,

possiamo chiedere l’utilizzo di un database professionale (MySQL o PostgresQL), ed altro ancora: tutto ciò che potremmo voler utilizzare per un periodo di tempo, e preferiamo non acquistarlo.

I servizi forniti possono essere a pagamento, gratuiti o in forma mista: un’applicativo per un periodo di prova, o per un utilizzo personale, dei quali occorra acquistarne la licenza d’uso qualora si vogliano avere per motivi professionali o per periodi e prestazioni maggiori.

A questo punto una domanda è d’obbligo: È il cloud sicuro?

cloud, sicurezza,È più sicuro del nostro computer che accede alla rete soltanto quando occorre?

La risposta è negativa, il rischio aumenta con l’aumentare il tempo di connessione, cioè di esposizione alla rete esterna. Quindi occorre valutare adeguati strumenti per aumentare la sicurezza del nostro scambio dati, soprattutto se li condividiamo con altri. Finché i nostri dati si limitano ad immagini, video o informazioni che si potrebbero anche reperire on line, o di dominio pubblico, possiamo anche muoverci con leggerezza, ma se i nostri sono dati legati alla nostra attività, sensibili, che comprendano anche informazioni anagrafiche e/o personali di clienti e fornitori, dobbiamo porci il problema di come mantenrli riservati.

In questo caso dobbiamo selezionare il cloud che intendiamo utilizzare, tra le centinaia che ci ofre il mercato, ed utilizzare strumenti per aumentare la sicurezza della trasmissione dati, la crittografia può soccorrerci.

Ne parleremo prossimamente.

 


[1] la macchina virtuale è esposta all’esterno, quindi potrebbe essere individuata ed attaccata. Si preferisce fare in modo che il server ospitante non acceda alla rete, ma lo facciano soltanto le macchine virtuali che risiedono su di esso.

Siamo in rete … o nella rete?

La rete, non possiamo più farne a meno; ma ne siamo fruitori, operatori, o succubi?

I quesiti sono d’obbligo, la nostra sicurezza quando siamo connessi non è sempre certa. Fino a qualche tempo fa erano sufficiente un antivirus aggiornato ed un firewall ben configurato1.

Con il tempo sono stati implementati sistemi sempre più sofisticati per intromettersi e spiare i sistemi informatici. È di qualche settimana fa la notizia che sono stati spiate le comunicazioni del governo Berlusconi, nulla di strano.

Nel 2013 Edward Snowden pubblicò una serie di notizie sui metodi dell’NSA2 ed altre agenzie di spionaggio internazionali, per acquisire dati, e-mail, documenti ed altro che venivano messi in rete sui server statunitensi e non. In particolare l’NSA, secondo le affermazioni di Snowden, avvia nei primi anni del secolo, il progetto PRISM3 un programma segreto per acquisire dati, informazioni digitali, e-mail, documenti, forniti da nove aziende informatiche multinazionali. Poche settimane dopo il Washington Post pubblicò un articolo in cui venivano ben individuate tali aziende.

Una di queste, che aderì al PRISM fin dal 2007, è la maggior fornitrice per posta elettronica e sistemi individuali in Italia. Non ci si può stupire che anche il nostro governo sia stato spiato, e possa esserlo tuttora.

sicurezza in rete,
Immagine presa dal web

Gli strumenti che possono essere utilizzati per aggirare la sicurezza dei sistemi, il furto dei dati, e la loro spedizione ai centri di raccolta, è facilmente inseribile nei codici del software proprietario.

Questo resta sconosciuto all’utente, ed il suo codice può portare ad esecuzioni non programmate. Backdoor4 ed exploit5 sono strumenti che possono consentire l’accesso da remoto scavalcando le barriere di sicurezza, aquisire permessi non consentiti, copiare dati, spedirli al centro di ascolto, e altro.

Queste caratteristiche, piuttosto inquietanti, della rete, riguardano principalmente chi ha ruoli importanti di amministratore sia in ambito politico, che finanziario, che produttivo; i nostri dati, non sono al sicuro, ma, quasi certamente, non interessano nessuno, per ora.

A questo punto, occorre ragionare sui modi di avvio di procedimenti ed abitudini che ci consentano, nonostante la costante violazione delle nostre privacy, di garantirci l’agibilità in rete senza cadere nella trappola di un cedimento di informazioni personali ad altri.

Questi sono gli argomenti per le prossime chiacchierate.

software libero, sicurezza in rete.

 


[1] ora i firewall sono inclusi sui router che ci danno i nostri fornitori di rete, e sono preconfigurati ad un livello medio di sicurezza.
[2] https://it.wikipedia.org/wiki/National_Security_Agency
[3] https://it.wikipedia.org/wiki/PRISM_%28programma_di_sorveglianza%29
[4] https://it.wikipedia.org/wiki/Backdoor
[5] https://it.wikipedia.org/wiki/Exploit

HackInBo

Torna HackInBo: il primo evento totalmente gratuito sulla sicurezza
informatica nella città di Bologna.

Come sempre, HackInBo sarà l’occasione per incontrare esperti del
settore in un’atmosfera rilassata e collaborativa cogliendo
l’occasione per rimanere aggiornati sulle ultime tematiche riguardanti
l’IT-Security.


Quando:
- 14 maggio 2016: conferenza presso il Boscolo Tower Hotel a Bologna.
- 15 maggio 2016: laboratorio pratico con i relatori, presso TIM WCap
accelerator di Bologna.

Programma della conferenza (400 posti):
09.30 - 10,30   Ingresso Partecipanti
10,30 - 10,45   Saluti e Ringraziamenti Sponsor
10,45 - 11,30   Paolo Dal Checco
11,30 - 12,15   Antonio Parata
12,15 - 13,00   Marco Balduzzi
13,00 - 14,30   Pausa Pranzo
14,30 - 15,15   Davide Dante Del Vecchio
15,15 - 16,00   Michele Orrù
16,00 - 16,45   In Progress
16,45 - 17,30   Tavola Rotonda
17,30 - 18,00   Saluti Finali e Ringraziamenti

La conferenza è gratuita, ma richiede registrazione
  


Seguiranno istruzioni per come partecipare al laboratorio
del 15 maggio (48 posti).


A presto!