PRIVACY E SISTEMI DI CRITTOGRAFIA FORTE: RIMANERE ANONIMI ONLINE

Transcript

1 PRIVACY E SISTEMI DI CRITTOGRAFIA FORTE: RIMANERE ANONIMI ONLINE Daniele Torelli Linux user and developer since 14 years Arch Linux / Arch Linux ARM packages maintainer IT security enthusiast Freelance software developer Co-founder of DataToKnowledge

2 VI SENTITE AL SICURO SUL WEB? 2

3 LA PRIVACY NELL ERA DIGITALE Blog Forum Chat Wiki Social media (Flickr, YouTube, Vimeo, Facebook, Myspace, Twitter, Google+, Linkedin, Foursquare, Last.fm,...) DATI Effetti collaterali: Progressiva perdita di privacy Dati personali collezionati, spesso, ad insaputa degli utenti Perdita di controllo sulla propria identità digitale 3

4 LA PRIVACY NELL ERA DIGITALE I nostri dati comunicano chi siamo! Dati espliciti: Pensieri Abitudini Persone frequentate Luoghi visitati Dati impliciti: Gusti Bisogni Persone da frequentare Luoghi da visitare Prodotti da acquistare Cui prodest? Chi controlla i dati, controlla la pubblicità. Chi controlla la pubblicità, può controllare gli acquisti. Chi controlla gli acquisti, di fatto, controlla la produzione. 4

5 PRIVACY ONLINE: IL CASO DATAGATE 2007 Programma PRISM (nome in codice: US-984XN) NSA Programma clandestino di sorveglianza elettronica di massa mediante analisi dei dati (metadati) 9 Providers: Microsoft (2007), Yahoo! (2008), Google (2009), Facebook (2009), PalTalk (2009), YouTube (2010), Skype (2011), AOL (2011), Apple (2012) Dati ricevuti: Telefonate, , Chat - video, voce, Video, Foto, Dati salvati, VoIP, File trasferiti, Videoconferenze, Notifiche di attività - logins, etc., Dati delle reti sociali, Altri dati su richiesta Rivelato nel 2013 da Edward Snowden, 29 anni, informatico e contractor della NSA (attualmente ricercato) 5

6 PRIVACY ONLINE: IL CASO DATAGATE Larghezze di banda internazionali per Internet (2011) Idee di base: Gran parte delle comunicazioni del mondo passano per gli Stati Uniti. U.S. & Canada 4972 Gbps 5 Gbps Europe 10 Gbps 2721 Gbps 343 Gbps 1345 Gbps Africa Le chiamate, o chat di un target prenderanno il percorso meno costoso, che non sempre è quello (fisicamente) più breve Gbps Latin America & Caribbean Asia & Pacific 40 Gbps Le comunicazioni dei target potrebbero facilmente passare per gli Stati Uniti. 6

7 COME TUTELARSI? 1. Nascondetevi durante la navigazione Usate TOR. Sebbene l NSA tracci gli utenti di questo servizio, questo richiede lavoro. Essere meno prevedibili vuol dire esser più al sicuro. 2. Criptate le vostre comunicazioni Usate TLS. Usate IPsec. Usate GPG. Sebbene sia vero che l NSA tracci connessioni criptate e che potrebbe essere in possesso di tecniche per bypassare questi protocolli, sarete molto più protetti che se comunicaste in chiaro. 3. Il vostro computer potrebbe esser facilmente compromesso Tuttavia, questo richiede grande lavoro ed espone a rischi. Quindi probabilmente non lo è. 4. Siate sospettosi circa i software crittografici proprietari/commerciali È probabile che gran parte dei prodotti di crittografia provenienti da grandi compagnie statunitensi contengano backdoors. Il software closed-source è più facile da compromettere rispetto a quello open-source. Inoltre, le modifiche apportate in software proprietari sono più difficili da scoprire. 5. Cercate di usare solo algoritmi di crittografia di larga diffusione Infatti, sono più difficili da compromettere poiché devono essere largamente compatibili. [ Fonte: Bruce Schneier, crittografo e saggista statunitense ] 7

8 RENDERSI ANONIMI: TOR Progetto free, originariamente sviluppato per la Marina Militare degli Stati Uniti allo scopo di proteggere le comunicazioni governative. Consiste in una rete, liberamente accessibile, di relay che permettono il traffico anonimo in uscita. Aiuta a proteggersi contro le tecniche di analisi del traffico e a bypassare restrizioni nazionali sulla raggiungibilità dei siti web. [ Fonte: ] 8

9 TOR: FUNZIONAMENTO Considerazioni: Focalizzato solo sul proteggere il trasporto dei dati. Non fornisce protezione contro gli attacchi end-to-end, ossia quelli che coinvolgono il mittente ed il destinatario dei dati. 9

10 TOR: DATI DI UTILIZZO Utilizzatori attuali: Più di Cosa è successo ad Agosto 2013? Tre ipotesi: 1. Censura di The Pirate Bay e lancio di PirateBrowser (Firefox + TOR) 2. Effetto della risonanza mediatica del programma di sorveglianza PRISM 3. Entrata in vigore della nuova legge anti-pirateria in Russia 10

11 TOR: THE NORMAL WAY TOR Browser Bundle Ultima versione: oppure, in breve: goo.gl/wpcslp Disponibile per: Microsoft Windows Linux/Unix Apple OS X Android Nokia Maemo / N900 11

12 TOR: THE NORMAL WAY TOR Browser Bundle Ultima versione: Download del browser bundle dal sito web ufficiale 2. Esecuzione del programma 3. Non c è nessun punto 3. Buona navigazione anonima! :-) 12

13 TOR: THE NERD WAY :-) TOR / Torify Ultima versione stable: Installazione del binario precompilato da repository / Compilazione da codice sorgente 2. Avvio del servizio 3. Avvio del programma da anonimizzare mediante torify Esempio senza TOR curl ifconfig.me Esempio con TOR sudd systemctl start tor torify curl ifconfig.me

14 PROTEGGERE IL CONTENUTO DEI DATI: CRITTOGRAFIA Vi sono due tipi di crittografia: quella per impedire al vostro fratellino di leggere le vostre lettere, e quella per impedire al governo di leggere i vostri file (Bruce Schneier, Applied Cryptography ) Forza della crittografia: Tempo e risorse di calcolo necessarie per risalire al testo in chiaro. Influenzata da due fattori: algoritmo crittografico e la lunghezza della chiave (in bit). È una caratteristica che cambia nel tempo, poiché soggetta fortemente alla potenza di calcolo dei microprocessori. La sicurezza del messaggio criptato dipende da: Forza dell algoritmo Segretezza della chiave Non dipende dalla segretezza dell algoritmo (in genere pubblico poiché soggetto a studi di crittoanalisi) 14

15 PROTEGGERE IL CONTENUTO DEI DATI: CRITTOGRAFIA Perfect secrecy: Ottenuta dall utilizzo di una chiave di lunghezza pari al messaggio da crittografare ed usata una sola volta ( one-time pad ) (Teoria dell informazione di Shannon). Sicurezza computazionale: I sistemi crittografici utilizzati in pratica sono computazionalmente sicuri, cioè tali per cui solo un attacco di tipo brute-force permetterebbe in un dato tempo di decifrare il messaggio. Tipologie dei sistemi di crittografia: - Chiave simmetrica (stessa chiave per criptare e decriptare i dati, utilizzo consigliato: canali sicuri) - Chiave asimmetrica (chiavi diverse per cifrare e decifrare i dati, utilizzo consigliato: canali non sicuri) Proprietà dei sistemi di crittografia asimmetrica: - Non è possibile risalire dalla chiave pubblica a quella privata - La chiave che effettua la cifratura dei dati non può decifrarli 15

16 CRITTOGRAFIA ASIMMETRICA: ESEMPIO Bob vuole inviare ad Alice un messaggio segreto 1. Bob chiede ad Alice la sua chiave pubblica 2. Alice invia a Bob la sua chiave pubblica 16

17 CRITTOGRAFIA ASIMMETRICA: ESEMPIO Bob vuole inviare ad Alice un messaggio segreto 3. Ottenuta la chiave pubblica, Bob compila il messaggio, lo cripta utilizzando la chiave pubblica di Alice e lo invia 4. Solo Alice, in possesso della chiave privata, potrà decriptare il messaggio inviato da Bob. 17

18 PRETTY GOOD PRIVACY (PGP) Sviluppato nel È oggi uno dei sistemi di crittografia più noti al mondo. Distribuito a pagamento dalla PGP Incorporated. OpenPGP: Richiesto come standard alla Internet Engineering Task Force dalla stessa PGP Inc. per supportare il PGP. Descritto nei documenti ufficiali: RFC 2440 (1998) e RFC 3156 (2001). Versione della Free Software Foundation (FSF): Gnu Privacy Guard (GPG), compatibile con lo standard OpenPGP. 18

19 GNU PRETTY GUARD (GPG) Ultima versione stable: Permette di proteggerci da attacchi end-to-end. Poiché solo il mittente ed il destinatario potranno conoscere il testo del messaggio scambiato. Disponibile per: FreeBSD OpenBSD NetBSD Linux/Unix Microsoft Windows Apple OS X 19

20 GPG: CREAZIONE DELLA COPPIA DI CHIAVI Creazione della coppia di chiavi: gpg --gen-key Scelta dell algoritmo: gpg: directory `/home/s3th/.gnupg' created gpg: new configuration file `/home/s3th/.gnupg/gpg.conf' created gpg: WARNING: options in `/home/s3th/.gnupg/gpg.conf' are not yet active during this run gpg: keyring `/home/s3th/.gnupg/secring.gpg' created gpg: keyring `/home/s3th/.gnupg/pubring.gpg' created Please select what kind of key you want: (1) RSA and RSA (default) (2) DSA and Elgamal (3) DSA (sign only) (4) RSA (sign only) Your selection? 1 Scelta della dimensione delle chiavi: RSA keys may be between 1024 and 4096 bits long. What keysize do you want? (2048)

21 GPG: CREAZIONE DELLA COPPIA DI CHIAVI Scelta del tempo di validità delle chiavi: Requested keysize is 2048 bits Please specify how long the key should be valid. 0 = key does not expire = key expires in n days w = key expires in n weeks m = key expires in n months y = key expires in n years Key is valid for? (0) 0 Scelta dello username e della password: You need a user ID to identify your key; the software constructs the user ID from the Real Name, Comment and Address in this form: "Daniele Torelli" Real name: daniele address: daniele@ .me Comment: My test GPG keys You selected this USER-ID: "daniele (My test GPG keys) " Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O You need a Passphrase to protect your secret key. Enter Passphrase VerYSecurePassWord!!68 21

22 GPG: CIFRATURA DI UN MESSAGGIO Composizione del messaggio: echo This is a very secret message for Daniele! > message.txt Cifratura del messaggio: gpg --output secret.asc --encrypt --armor --recipient daniele@ .me message.txt -----BEGIN PGP MESSAGE----- Version: GnuPG v (GNU/Linux) hqioa0j/jfxi8kpieaf/eatarb+vloyht/l1k3uquzdmn5u5a1wikx2hmv20hb4z jhxdl63/chbdsmtxc8rzjiamw9fuqktpkxevetkhlzpkdb2cy0ckfzmqwtlchvmd jfsyexpaoezdstmb9pavnrgcqanq1q/uxgyycl541qq/rb+pafqrhbspxzoumjfc 8QIsoKcJDot5mbxDeZ2C7yqyR8vwEUOIZgILSuZ75T0/2ADcqntx2M9lIm0uU/Uj 9EFI8So72w644WRIngpxjxX5siUHbVLcb5kCbIaTN4EVUvjnVcCsb55ZMhqh4+uO kncuaxryof4wqrw8hjqliafk4fwfinjca/7/hsqcaqf/yithvx7r7hkxduru+7my j09ipg9qbk+jnlc72ddodrpt+xaye6k3ryqcwqcdxavmkotq9hvxrpmmrjyvybln cx5yvokgd8bv9trq8kttqwrttrmd0bn0zntiuq42nf3begbaqznwinjvh/dv04jm qemgz44nmqoqpk1vmoq7bzyypb+fsega/syjfgll2b60a/94hgxdmpzzemltuykw dfswaay38wmlw44ncmlzpcysjdldsy9d+up99eoeixr044lxltfymv5dh5nbbyni RaTOuPWxJiy+6iPY1cvwaPuO4X01sn7c28ZoGUEqlhBdHDzxoS0031tDMP5Gx96/ p9jeaxden2ohn1ym5mqrntnqk/kutmwf+egbs4y62egm25nqyt10jfgvfybz6vk7 FIJB1q7bU6DBUUTtwrnGp8sPKZjTsG/nwPHpMWIzIVMg7o5BIXW6aKfLmQuWPPMm Ow== =sfh END PGP MESSAGE----- OpenPGP ASCII armored encrypted message 22

23 GPG: DECIFRATURA DI UN MESSAGGIO Decifrtura del messaggio: gpg --output message.txt --decrypt secret.asc Cifratura del messaggio: cat message.txt This is a very secret message for Daniele! 23

24 NO NERD? NO PARTY! 24

25 NO NERD? NO PARTY! Mailvelope! Ultima versione stable: Estensione per i vari browser web che rispetta lo standard crittografico OpenPGP Integrato direttamente nella UI delle webmail Disponibile per: Google Chrome Mozilla Firefox Webmail preconfigurate: Gmail GMX Outlook.com Yahoo! Mail 25

26 NO NERD? NO PARTY! Mailvelope! Ultima versione stable: Mailvelope + Gmail 26

27 GO AND STAY SAFE! DOMANDE?