[Hackmeeting] messa in sicurezza servers A/I

Delete this message

Reply to this message
Autore: lobo
Data:  
Oggetto: [Hackmeeting] messa in sicurezza servers A/I
On Thursday 07 July 2005 14:26, $witch wrote:


> >la lezione che dovrebbe insegnarvi tutta la vicenda autistici e' che la
> >sicurezza dei propri dati non puo' essere delegata a terzi.
>
> lapalissiano, vediamo di proseguire oltre le ovvieta' o restiamo
> vincolati e generiche buone intenzioni?


ti rispondo piu' in basso

> >discorso che vale tanto per gli utenti quanto per gli amministratori di un
> >server
>
> cioe', se interpreto correttamente : <<io penso al mio
> certificato-client, al resto penseranno altri>>.


interpreti male, visto che non sto parlando di "certificati client"

> in questo caso particolare DOPO ESSERTI OCCUPATO DEL TUO CLIENT,
> dovresti pensare alla sicurezza del server, che era poi il punto di
> partenza.


ecco. questo e' il punto, la sicurezza non deve assicurarla il server, ma
ognuno deve acquisire le conoscenze necessarie ad es. per crittarsi il fs
dove si tiene le mail o per crittarsi la corrispondenza privata

> SE riuscissimo a stabilire, una volta x tutte, che impedire l' accesso
> fisico ad uno o pochi hosts NON E' il modo x raggiungere la soluzione,
> data una serie di limitazioni anche di carattere legale, ALLORA possiamo
> proseguire.


ahhaha SE NON ALLORA ahahhahaha

altrimenti ? se non riusciamo a stabilirlo ? dicci dicci

> >voglio mandare una mail sicura ? uso crittografia a chiave pubblica
> >voglio navigare "sicuro" ? tor+privoxy (chi dice che non c'e' da fidarsi
> > NON s'e' letto l'rfc NE' l'ha provato)
>
> ma come mi fai cascare le palle.


che rumore fanno ? PLONK ?

>
> cito dalla HP di tor, visto che di RFC non ne vedo (se hai un n.
> dovresti citarlo) :


non c'e' nessun rfc, ma vedo che reagisci alle punzecchiate :)

[english]
>
> ovvero ?
>
> SE lo scopo e' la protezione contro l' analisi del traffico tor e'
> adeguato, salvo prova contraria, dato che usa una molteplicita' di rotte
> x flusso.


lo "scopo" e' quello di navigare il web in maniera anonima.

> ma QUESTO problema con i servers di A/I implica che 1 o piu' hosts
> eroghino questi servizi.
> NON in forma anonima.


tor usa una rete distribuita su tutta l'internet mondiale, che c'entra A/I ?
vogliono fare un nodo tor ? dicci dicci

> mail.autistici.org non puo' diventare non-pubblicamente-visibile, che
> te ne faresti?


ma che dici ? anzi, ma che non-dici ? TOR lo usi TU COME CLIENT per navigare,
per tutelare I TUOI DATI (inizio ad urlare anche io visto che ti garba) NON
C'ENTRA UNA MINCHIA IL SERVER DI POSTA DI AUTISTICI

> in QUESTO caso il dominio xxx e' legato ad 1 persona/associazione
> (jwhois ti puo' servire) che l' avversario puo' tranquillamente
> perquisire, arrestare, chiamare in giudizio o altro che preferisci.


infatti trenitalia che cos'ha fatto ? ma infatti il problema e' che NON VA
DELEGATA LA PROPRIA SICUREZZA A TERZI. PUNTO

> puoi tener criptate e ruotate asimmetricamente finche' vuoi le
> comunicazioni con i clients, tanto io ti frego il server.......


e sul server trovi
1) la mia casella di posta che ha tutti i messaggi gpg che tu non puoi
decrittare visto che la chiave privata sta in una memory card della
playstation di mio cugino brasiliano

2) nessun log di ip, visto che il syslog e' stato patchato

3) le mie bellissime pagine web con le foto delle mie vacanze in bolivia,
korea del nord e isole faer oer

per navigare invece pensa uso un sistema, l'avrai sentito mi sa, TOR, che
rende molto piu' complicata la tracciatura del mio navigar (www.ikon.it ad
esempio loro non lo sgamano)

> stiamo parlando di un ambiente in cui I TUOI STESSI PEDONI SULLA
> SCACCHIERA POSSONO, TALVOLTA, CAMBIARE COLORE E RIBELLARSI CONTRO TE.
> se 6 in grado di gestire questa situazione come Freenet fatti sentire.


netsukuku, ma di certo gia' conosci visto che lavori nell'ambiente sicurezza
informatica sottovuotospinta

> >e se proprio vuoi un minimo di sicurezza fisica, un pezzo di carta
> > incollato sul case con qualche firma e' piu' che sufficente per
> > accorgersi di eventuali effrazioni - peraltro a quel punto hai la prova
> > fisica che il server e' stato violato.
>
> si, tanto tanto.
> soprattutto quando sei sotto fermo giudiziario (48 ore senza diritti?) o
> in ospedale con 16 ossa fratturate.
> torniamo al : <<vivo sopra il tesoro senza mai allontanarmi>>; oppure
> creo una nuova polizia che sorvegli il tutto.


ah certo, quando viene la postale a casa notoriamente lo fa in assetto
antisommossa tipo brazil: fanno un foro sul soffitto, ti insaccano e ti
mettono in un camion. E poi ballano la macarena sui tuoi divx.

quando invece va dal provider non si prendono neanche la briga di avvertirti
del sequestro, ed allora li' l'unica cosa e' uno switch antiintrusione come
hanno molti server rackabili nuovi.

> >il resto sono chiacchere da geek-bar, "la procedura di distruzione fisica"
>
> serve.
> e' una parte secondaria ma auspicabile.
> mai lasciare prove, se vuoi essere tranquillo in qualsiasi caso, non trovi
> ?


appunto, se vuoi non lasciarle non le lasci nel server. perche' devi delegare
la distruzione dei tuoi dati a terzi ? (sto parlando nel caso di 'utente di
autistici')

poi sinceramente la fantascienza dell'harddisk con le cariche di C4 lasciala
stare che e' meglio, l'unica cosa "fattibile" e' un avvolgimento attorno al
disco rigido che in caso di tampering si eccita e smagnetizza un po' di
disco; pero' se tipo ti staccano la corrente dovresti pensare ad una batteria
tampone ed allora

affideresti la distruzione dei tuoi dati ad una batteria tampone ? io no


>
> ciao, studenti malfamati...........


chi ? io non sono piu' studente dal 96.. e fossi in te scenderei da quel
piedistallo di cartone che sta per piovere :)


bye
lobo