Re: [Hackmeeting] Secure phone?

Delete this message

Reply to this message
Autore: Anathema
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] Secure phone?
On 09/02/2016 14:16, ignifugo@??? wrote:
> insegna che sono le persone che si devono muovere, non i telefoni :P
>
> O al massimo entrambi ma non insieme.
>
> Se lo sharing di telefoni fosse molto diffuso la cosa cambierebbe?
>
> o se ci fosse un network anonimizzatore come tor?!
>
> tipo.. chiamo sempre un ufficio che so che mi rimbalza da un'altra parte..
> fatti tre salti sei a posto? è noto l'arrivo ma non la partenza?
> :P
>
> ciao kiki
>


Boyska ha gia` risposto: purtroppo il cellulare e` un dispositivo di
tracciamento per se`, quindi puoi avere anche tutto ipersicuro, ma
l'unica cosa certa che dai e darai sempre via e` la tua posizione.

Anche chiamare in ufficio (come dice ignifugo) non risolve il problema
perche` il primo "hop" e` sempre la cella, dalla quale poi parte la
triangolazione.

Rispondendo di nuovo a blackfag, dipende sempre dal threat model e dal
suo obiettivo.

Se ad esempio ci si preoccupa dell'attacco di HT, ma la posizione non e`
un fattore rilevante, mi preoccuperei principalmente di attacchi di tipo
Social Engineering volti all'installazione di un'app sul dispositivo (i
vettori possono essere multipli, e l'unica difesa e` la
furbizia/diffidenza del giornalista).

Se c'e` un supporto da parte della polizia locale, allora la situazione
e` piu` difficile perche` potrebbero senza troppa gentilezza installarti
loro l'app (forzandoti a dare il codice di sblocco del cellulare magari).

Non dimentichiamoci, comunque, che la polizia ancora usa i vecchi metodi
di pedinamento ed intercettazioni ambientali. E gli strumenti son
diventati davvero molto potenti, possono origliare a decine di metri di
distanza, quindi potrebbero anche optare per questo genere ti attacchi
(ma siamo poi fuori thread).

Insomma, niente di nuovo sotto al sole. Bisogna capire quali sono gli
scenari in cui il giornalista potrebbe essere in pericolo e piu` esposto
ad attacchi, sia digitali che fisici (nel senso di physical security,
non che lo menano...spero)

Infine, l'unico vero strumento che forse potrebbe aiutarti e` SMSSecure,
che usa GSM/3G/4G/quelchetipareG ma NON DATI[0] e manda gli sms cifrati.
In questo caso hai il massimo della sicurezza ottenibile (ma dai sempre
via la posizione con la cella) ma ti costa molto di piu` (se paghi per
ogni SMS).



[0] assumo che ci si riferisca alla connessione dati del proprio
provider, che si appoggia sempre su rete telefonica e non wifi. Se si ha
accesso al Wifi, lo scenario cambia drasticamente (in favore del
giornalista)

--
Anathema

+--------------------------------------------------------------------+
|GPG/PGP KeyID: CFF94F0A available on http://pgpkeys.mit.edu:11371/  |
|Fingerprint: 80CE EC23 2D16 143F 6B25  6776 1960 F6B4 CFF9 4F0A     |
|                                     |
|https://keybase.io/davbarbato                         |
|https://www.msack.org                             |
+--------------------------------------------------------------------+