Re: [Ciotoflow] 30C3: The Year in Crypto

Delete this message

Reply to this message
Autore: ono-sendai
Data:  
To: Flussi di ciotia.
Oggetto: Re: [Ciotoflow] 30C3: The Year in Crypto
On 07/01/2014 10:06, garulf wrote:

> Anche a me il talk e' piaciuto. Molto utile e ahime in alcune parti
> agghiacciante (purtroppo possiamo in qualche modo controllare il codice,
> scrivere del buon software ma controllare/fabbricare l'hw e' tutta un'altra
> cosa, e non abbiamo modo di farlo da noi, attualmente ci fidiamo della
> intel come chi usa skype si fida di microzozz).


gia' :( .. e aspetta di vedere "to protect and infect part 2"

Il traffico internet mondiale e' costantemente "intercettato" (dpi) e in
qualsiasi momento si puo' iniettare/redirigere il traffico di un obiettivo in
modo da compromettere la sua macchina tramite zeroday con payload multistaged
che,per esempio se rilevano hids(per esempio tripwire), se ne stanno belli
belli in ram,oppure infettano il bios/mbr/firmware del disco in modo che anche
se uno formatta/cambia l'hd l'infezione rimane! La sicurezza e' un
compromesso...punto! Se in Russia hanno ripreso ad usare le macchine de
scrivere [0] un motivo ci sara' :| . Ovviamente tutto il discorso ruota su
contro cosa ci si vuole proteggere ed e' su questo che bisogna imho fare leva.

Di sicuro allo stato attuale se uno ha contro l'NSA tanto vale che se ne sta
bello bello rilassato in Sila aspettando la fine,tanto c'e' poco da fare :)

> D'altra parte pero' ho trovato abbastanza sterile la discussione sul fatto
> che il motivo per cui l'utonto medio non usa la crittografia sia dovuto
> alla (non)usabilita' del software attuale.


Sicuramente non la usa perche' non vuole usarla,pero' il keynote fatto da
Greenwald (il giornalista contattato da Snowden) e' illuminante a riguardo! Ad
un certo punto Greenwald dice che stava per mettere da parte quello che
sarebbe stato uno degli scoop piu' grossi degli ultimi 30 anni perche' "non
riusciva ad installare e configurare pgp!!!" . Per fortuna poi si e' fatto
aiutare e quindi ha iniziato la corrispondenza con Snowden :) ..pero' sta cosa
deve far riflettere! A volte basta poco per migliorare l'usabilita' :)

> Purtroppo usare la crittografia in modo sicuro e' difficile, ci sono un
> sacco di accortezze che bisogna utilizzare. Fornire strumenti facili o
> facilissimi da utilizzare senza avere un'idea di quello che ci sta dietro
> potrebbe portare l'utilizzatore ad un utilizzo scorretto, sensazione di
> falsa sicurezza e quindi magari esporlo a rischi maggiori.


Giustissimo! Per questo imho uno deve capire da chi vuole difendersi e quindi
cosa poter utilizzare. Imho e' necessario dire alla gente che crittografia !=
sicurezza. Se io cifro la mia /home sto tranquillo contro un attaccante X che
mi ruba il pc,ma non contro l'attaccante Y che mi va a installare un keylogger
software prima di rubarmelo e manco la fde mi salva da uno che mi installa un
keylogger hardware. Non e' la facilita' il problema,ma la falsa sicurezza.
Insomma io sarei felice se il 30% degli utenti internet utilizzasse cryptocat
per chattare..purche' cryptocat metta un mega warning sui suoi limiti rendendo
la gente consapevole.

> Purtroppo secondo me il problema non sta _solo_ nell'usabilita' ma
> sopratutto nella consapevolezza, che continua a mancare nel'utente medio
> (nonostante qualcuno stia iniziando a voler usare la crittografia).


Anche questo e' vero e aggiungo che la consapevolezza e' fondamentale
affinche' qualcosa cambi. Perche' questa "seconda cryptowar" [1] non si vince
solo sul piano tecnico,ma anche su quello politico. E non riesco ad immaginare
un momento migliore per fare leva su sta roba!


> 1-> Cercare metodi per spiegare/capire/parlare sempre meglio di
> crittografia. (cryptoparty rulez)


++

> 2-> Fornire strumenti _a tutto tondo_, in cui essendo tutto quanto gia'
> configurato/confezionato/boxato/blindato/ vi e' meno rischio di sbagliare
> qualcosa e mettere a rischio l'utente. (vd rolliepollie,freepto,tails)


++

> Usabilita' e Sicurezza vanno in direzione a volte opposta, spostare il
> compromesso troppo in la' verso l'usabilita' potrebbe non essere la scelta
> piu' saggia.


Concordo,pero' io attualmente sarei anche felice se attraverso strumenti
semplici la gente si avvicinasse alla crittografia/sicurezza in modo
consapevole. Per la serie: voglio evitare che quello che scrivo sia profilato
da google/facebook/merdaX allora uso startpage e chatto con il plugin colorato
per il browser su windows,magari poi lo consiglio al mio amico che pero' ci si
affissa e va avanti sulla retta via..
Sono un attivista francese uso linux e pigin con otr
Sono un attivista cinese uso Tails e manco per il cazzo attivo la persistenza
Sono un bersaglio dell'NSA e dei Rettiliani, me ne sto a Camigliatello a
guardare youporn!

P.s scusate la lungaggine :)

[0]
http://www.repubblica.it/tecnologia/2013/07/11/news/mosca_computer_macchine_da_scrivere-62778128/
[1] http://reason.com/archives/2013/03/12/the-second-great-crypto-war