Ciao Blicero, Marco,
ci ho messo un po' a formulare una risposta, perché volevo mettere qualcosa
sul
piatto. il lavoro da fare [0] è più lungo del dovuto,
Concordo con l'analisi che poni, provo a farla pratica: suggerisci di
mappare
i produttori di app, così da comprendere non la singola visibilità di
informazioni personali ha accesso, ma quelle che possono correlare
nell'insieme ?
Non mi sento molto di ricoscere un rischio, poi, verso textsecure e redphone
quantomeno. twitter di mezzo non influenza in alcun modo la tecnologia e
l'affidabilità di whispersystem per ora non ha lacune.
surespot ? dubbio lecito sul servizio usato con i default, ma c'è
disponibilità
di sorgente per server e per client. avere il server permetterebbe anche lo
sharing di registrazione vocale come whatsapp, gratuitamente. mancherebbe un
review di sicurezza di client e server.
altri strumenti ? poco chiaro, si procede con cautela, ma preferisco una
soluzione che si mostra non sicura dopo qualche mese e un miglioramento
progressivo... il tempo di sviluppo altrimenti uccide ogni community o
usabilità,
se ci si dedica prima ai dettagli di security. per me i miglioramenti tipo
di
cryptocat sono essenziali e valeva la pena di usarlo anche prima delle
review
di security. migliora con il tempo. anche con GL abbiamo avuto ora il terzo
PT e sono usciti dettagli migliorabili.
La mail di prima è parte di una riflessione più grande in moto, ne butto giù
un po' qui:
Sto lavorando su delle linee guida di sicurezza per utenti. naturalmente gli
utenti sono di tanti tipi differenti, non esiste una soluzione per tutti.
due elementi teorici core:
1) non esistono aree completamente sicure. mai. non per degli utenti
abituati ad un certo grado di comodità e integrazione. si puo' solo rendere
molto difficile la realizzazione del danno da parte dell'avversario.
non si ha ancora quindi anonimato-end2end-plausible deniability e verifica
del codice.
alcune tecnologie ti danno una riservatezza dei contenuti (textsecure [1])
e senza questo punto di partenza non avremo nulla.
2) separare i propri profili, se non addirittura la propria vita telematica
in
in relazione alle reti sociali ed i contesti con cui si ha a che fare,
è l'unico modo che consente di avere politiche di sicurezza mantenibili nel
tempo [2]. E' su questa separazione che stavo lavorando.
ma questa è teoria, utile per stilare una linea guida, utile per usare le
giuste parole prima di vendere certezze. ma quel che c'è bisogno sono
soluzioni,
diffondibili verso un pubblico non skillato e applicabili senza aumentare di
troppo l'overhead.
Tra l'altro, non mi è ancora chiaro se stiamo andando verso una società in
cui
una minima percentuale di utenti si pone "il problema", e per loro ci
saranno
soluzioni, o se ogni utente avrà una percentuale di protezione data da un
misto
di competenza, esperienza, educazione, passaparola, ripetizione di rituali
come fosse magia. Questa seconda ipotesi è più in linea con il progresso
umano, e appena si puo' tirare il vettore nella giusta direzione, spingo.
questi anni dell'era post-snowden vanno cavalcati in ogni modo, piantati
semi, come è stato dopo le rivolte arabe quando l'anonimato ha preso una
nuva
luce di comprensione per gli utenti, ora è il momento della crittografia at
large. peccato che la tecnologia abbia un sacco da migliorare ;)
Ciao,
v
[0] dal tizio che per lavoro dovrebbe proteggersi e non sa farlo, a chi, per
sfiga, si trova a dover proteggersi e ha problemi più incombenti. entrambi
utenti, niente scelte di security possono essere fatti da loro, devono solo
sapere cosa usare, come e quando.
[1] no anonimato, possibile profilazione dei contatti che puo' portare ad
attacchi client side. perfetto no ? cosa si puo' prendere da applicazioni
gratuite scaricabili da un appmarket, mature a tal punto da essere
spiegabili
in un video ? nulla di più, secondo me
[2] perché installare Tor e PGP for dummyes l'ho provato su molta gente
diversa,
che questo venga usato dopo 1 mese, l'ho visto raramente. e che venisse
usato
bene, ancora meno.
2014-02-26 9:06 GMT+01:00 <blicero@???>:
> On Wed, Feb 26, 2014 at 08:38:43AM +0100, ɣęƈƞą wrote:
> > 2014-02-25 22:15 GMT+01:00 <alitalia@???>:
> >
> > > parliamo di cantiere che copia quello che scrivete?
> > > http://cantiere.org/art-04362/whatsapp-facebook-=telegram-
> > > noi-scegliamo-textsecure.html
> > >
> > >
> > Grazie lele per aver inoltrato il nostro articolo! che purtroppo devo
> > dirti, è stato scritto offline, senza alcuna ispirazione da parte di
> > hackmeeting. Se due percorsi raggiungono la stessa conclusione ( =
> > TextSecure è oggettivamente l'unica cosa decente del panorama), non è
> detto
> > che anche i percorsi siano uguali.
> >
> > Ad esempio nel testo che riporti, si pone molto l'attenzione sui
> monopolii
> > rappresentati dai SN, ed anche al riconoscimento non dei servizi -in se-
> ma
> > delle compagnie che vi stanno dietro.
> >
> > Se del resto mai si volesse provare a definire un modello di minaccia di
> un
> > utente non speciale, e magari misurare la sua esposizione [1] penso che
> > quel tipo di riflessione sia abbastanza nuova.
> >
> > Una buona fonte di ispirazione puo' essere questo articolo:
> >
> http://www.slate.com/blogs/future_tense/2014/02/14/threat_modeling_and_finding_the_right_level_of_online_privacy_for_you.html
> >
> > lo scopo sarebbe: dividi la tua vita in sfere sociali, dividiti i profili
> > di navigazione, comunicazione, file storage, privilegi delle app dove
> > possibile, etc. partendo da questo punto, ottieni sia di poter
> scorrelare i
> > vari aspetti della tua vita, sia di poter proteggere quello che ti è più
> > sensibile senza rendere tutte le tue interazioni intermediate da un layer
> > di sicurezza troppo oneroso come tempi/attenzione/click/blocchi
> >
>
> Ciao Vecna,
> ovviamente la compartimentazione è un approccio possibile e caldeggiato
> (almeno
> da me, dato che è quello che uso il più possibile), però non è così banale
> né
> facilmente implementabile soprattutto se le cose che fai hanno a che fare
> con la
> vita reale/materiale e non solo con il mondo virtuale.
> Penso che bisogna porsi oltre al problema politico (giustamente) di chi è
> dietro
> determinati strumenti e perché sono implicitamente una forma di
> commercializzazione e di sottrazione di privacy e di "personalità", il
> problema
> di come sviluppare ambiti e strumenti che consentano di proteggersi e di
> riattaccare in forma tutelata.
> Pensando al mondo reale: non basta crearsi le proprie isole felici, perché
> spesso queste sopravvivono solo fino a che non sono notate o
> "attenzionate" dai
> nemici. Occorre difenderle proattivamente.
>
> _______________________________________________
> Hackmeeting mailing list
> Hackmeeting@???
> https://www.autistici.org/mailman/listinfo/hackmeeting
>
--
This account is intended for mailing list only. Personal email via:
vecna at globaleaks dot org