Re: [Hackmeeting] mi fischiavano le orecchie

Delete this message

Reply to this message
Author: boyska
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] mi fischiavano le orecchie
On 24/08/2013 07:53, Fabio Pietrosanti (naif) wrote:
> Se partiamo dall'assunzione che:
> - Un provider di posta "normale" con utenti "normali" non è
> ragionevolmente preventivamente intercettato


ma in base a cosa fai questa assunzione? E' un po' forte, non trovi?

> - Un provider di posta "attivista" con utenti "attivisti" è
> ragionevolmente preventivamente intercettato


cosa vuol dire "intercettato"? un mitm che legge tutto il traffico?
Qualcosa che legge solo i tempi e la dimensione del payload delle
connessioni tcp? E' ragionevole che ci sia un generico
"attenzionamento" maggiore, ma serve precisare quale ci pare uno
scenario credibile. Io sono ragionevolmente fiducioso che la connessione
tra il mio client di posta e il server autistici sia confidenziale.
Mentre la registrazione dei timing puo' essere gestibile o meno, ma
sicuramente non puo' essere esclusa in via teorica, e quindi e'
un'assunzione ragionevole.

In realta' in tutto il ragionamento stai anche assumendo che la
connessione dell'utente non sia monitorata, benche' egli non stia usando
alcun metodo per "nascondere" il suo traffico (tor, vpn... niente). Se
infatti fosse monitorata, gli attacchi di timing di cui parli sotto
sarebbero fattibili anche senza monitorare il server.

> Se a questo aggiungiamo due bit di analisi statistica del traffico,
> l'utente finale è fregato quando:
> a) si collega da casa, dall'ufficio, dal centro sociale o dal cellulare
> b) fa' traffico cifrato fino ad autistici per accedere al sefvizio e
> invia una email di 50k
> c) il server di autistici (intercettato di default) invia al mondo
> esterno una email da 50k


Forse volevi dire al mondo esterno _che non usa ESMTP_.

> L'utente è a quel punto interamente de-anonimizzato perchè ho il suo IP
> (intercettato e localizzato), ho correlato la dimensione della email
> inviata fra traffico cifrato (con identità apparentemente protetta) con
> l'email in uscita (non protetta).


ti faccio notare che questo con i provider commerciali (chesso', gmail)
succede praticamente sempre, visto che comunque l'ip e' incluso negli
header. Dunque quell'informazione e' resa disponibile non solo ad un
avversario di un certo livello (deve intercettare server sparsi tra vari
stati ed effettuare correlazioni), ma anche a chi riceve le email.
Va bene ricordarsi che usare autistici non ti regala la sicurezza in un
secondo, ma dire che si ottiene un _pericolo_ per la sicurezza e' falso.

Non hai inoltro considerato che questi attacchi sono "facili" per smtp
usato senza particolari accortezze, ma diventano ben piu' complessi
quando si usa una webmail, visto che i timings dell'invio dei dati e'
completamente diverso. E non mi si dica che la webmail e' un uso
"avanzato" :)

> Non solo, ma quando io AG mi troverò di fronte a una investigazione, ad
> esempio con davanti a me una email ricevuta in data Y da Mr. X in data
> che usa autistici, mi sarà sufficiente andare a ritroso nei dump di
> traffico per fare questi tipi di correlazioni, raccogliendo preziosa
> intelligence al fine di de-anonimizzare l'utente.


Non hai chiarito perche' questo non possa essere fatto con un servizio
email commerciale "tipico". Io continuo a portare ad esempio gmail, ma
sei libero di prenderne un altro ad esempio. Cioe' che ci mette l'AG a
guardare gli header dell'email, o a chiedere al server email quegli
stessi log? Costa anche di meno come infrastruttura di controllo, e ha
verosimilmente dettaglio maggiore.

Non hai spiegato perche' il sapere che almeno _alcune_ delle tue email
(quelle che rimangono tra server che usano esmtp) non saranno correlate
facilmente, e che solo quelle che passano su server della dubbia
affidabilita' potranno essere ricondotte a te, non sia comunque un
vantaggio considerevole.

> In un threat model reale in cui vuoi ridurre la capacità investigativa
> di "governmental agency", penso che A/I o Riseup siano soluzioni che
> possono portare ad esporsi a maggiori rischi rispetto a quelli da cui
> vorrebbero fornire protezione.


Non indichi pero' delle alternative; questo suggerisce che "fra i
mainstream, uno vale l'altro". Insomma, gmail va piu' che bene?
Ti si puo' concedere il punto se indichi un servizio mail che non e'
"etichettato" dalle polizie ma offre comuqnue un minimo di riservatezza:
niente traccia dei miei ip nei log (altrimenti quello che l'AG fa con i
dump della polizia lo puo' fare con i dump del server), niente traccia
dell'ip negli header dell'email, supporto per esmtp.
Altrimenti stai facendo una fine analisi su assunzioni forti ed esempi
deboli.

Il problema di quando dici queste cazzate e' che non stai al bar a bere
grappa, ma in uno scenario pubblico dove sei accreditato e quello che
dici ha un peso. Ha un peso quando accusi continuamente di comportamenti
fascisti e ha un peso quando dici in un contesto pubblico che i provider
commerciali sono una buona scelta per la propria privacy.

PS: malgrado sarebbe bene non dar da mangiare ai troll, penso che nella
confusione che regna possa essere utile chiarire perche' questi consigli
sono pessimi. Non certo per erudire naif, ma perche' la' fuori c'e' un
mondo che magari non sa a chi dare retta.

--
se boyska c'aveva na rotella in testa, era na cariola.