Anonimato online? Non per l'editoria digitale

grazie marco grazie snowden
ma allora? cioè io mi sforzo di "imparare" e fare attenzione a "come" e "cosa" mettere in rete, essendo il 25° tuo lettore da anni, credo di pensare che sarebbe bello poter dire ed esprimere quello che si vuole senza doversi preoccupare che qualcuno, compreso il tuo isp ficcanasi dappertutto. essendo questo un miraggio si cercano alternative. (avevo postato anche su una ml di geek ;-) i link a cui fai riferimento, compreso quello sul premio sakarov a snowden -grazie snowden-) ma se non si è applebaum oltre la paranoia che ci resta? cioè, per dire meglio: se mi sento "sicuro" e non lo sono, non è peggio che sapermi insicuro? un saluto e un grazie per i tuoi lampi tuoni e fulmini. :-)

Re: grazie marco grazie snowden
- Scritto da: luther> ma allora? cioè io mi sforzo di "imparare" e fare> attenzione a "come" e "cosa" mettere in rete,> essendo il 25° tuo lettore da anni, credo di> pensare che sarebbe bello poter dire ed esprimere> quello che si vuole senza doversi preoccupare che> qualcuno, compreso il tuo isp ficcanasi> dappertutto. essendo questo un miraggio si> cercano alternative. (avevo postato anche su una> ml di geek ;-) i link a cui fai riferimento,> compreso quello sul premio sakarov a snowden> -grazie snowden-) ma se non si è applebaum oltre> la paranoia che ci resta? cioè, per dire meglio:> se mi sento "sicuro" e non lo sono, non è peggio> che sapermi insicuro? Certo che è peggio. Devi imparare bene le tecniche e non limitarti a usare Tor. Tor è un buon inizio, ma bisogna fare di più.

Re: grazie marco grazie snowden
Fare di più cosa, per esempio?! Non tirare fuori la storiella dell'open-source perchè molto probabilmente le back-door ci sono anche a livello hardware ...

Re: grazie marco grazie snowden
- Scritto da: micron> Fare di più cosa, per esempio?! Non tirare fuori> la storiella dell'open-source perchè molto> probabilmente le back-door ci sono anche a> livello hardware> ...Le backdoor a livello hardware per alcune funzioni critiche, come la crittografia, sono come il virus che funziona a computer spento. Delle spassosissime leggende urbane. :)

Re: grazie marco grazie snowden
- Scritto da: tucumcari> - Scritto da: luther> > ma allora? cioè io mi sforzo di "imparare" e> fare> > attenzione a "come" e "cosa" mettere in rete,> > essendo il 25° tuo lettore da anni,> credo> di> > pensare che sarebbe bello poter dire ed> esprimere> > quello che si vuole senza doversi> preoccupare> che> > qualcuno, compreso il tuo isp ficcanasi> > dappertutto. essendo questo un miraggio si> > cercano alternative. (avevo postato anche su> una> > ml di geek ;-) i link a cui fai riferimento,> > compreso quello sul premio sakarov a snowden> > -grazie snowden-) ma se non si è applebaum> oltre> > la paranoia che ci resta? cioè, per dire> meglio:> > se mi sento "sicuro" e non lo sono, non è> peggio> > che sapermi insicuro? > Certo che è peggio. Devi imparare bene le> tecniche e non limitarti a usare Tor. Tor è un> buon inizio, ma bisogna fare di> più.Ad esempio?

Re: grazie marco grazie snowden
- Scritto da: tucumcari> - Scritto da: tucumcari> > - Scritto da: luther> > > ma allora? cioè io mi sforzo di> "imparare"> e> > fare> > > attenzione a "come" e "cosa" mettere in> rete,> > > essendo il 25° tuo lettore da anni,> > credo> > di> > > pensare che sarebbe bello poter dire ed> > esprimere> > > quello che si vuole senza doversi> > preoccupare> > che> > > qualcuno, compreso il tuo isp ficcanasi> > > dappertutto. essendo questo un miraggio> si> > > cercano alternative. (avevo postato> anche> su> > una> > > ml di geek ;-) i link a cui fai> riferimento,> > > compreso quello sul premio sakarov a> snowden> > > -grazie snowden-) ma se non si è> applebaum> > oltre> > > la paranoia che ci resta? cioè, per dire> > meglio:> > > se mi sento "sicuro" e non lo sono, non> è> > peggio> > > che sapermi insicuro? > > Certo che è peggio. Devi imparare bene le> > tecniche e non limitarti a usare Tor. Tor è> un> > buon inizio, ma bisogna fare di> > più.> Ad esempio?Ad esempio tor con polipo (che non è piatto della gastronomia veneta).

anche se
non sono sicuro, tucumcari, che sia "solo" un problema di tecniche, nel senso: metti che io usassi tails, bitmessage, pgp, vpn, varie tecniche di "mimetizzazione" per l'uomo nero in mezzo.... ecc ecc ecc. dopo una settimana tails 3.x "non era sicuro", accidenti me lo avessero detto subito!!! bitmessage è stato compromesso, ma come, non era servless??? le vpn funzionano solo se i governi permettono loro di funzionare....ecco, al di là delle tecniche servirebbe come dice marco la riappropriazione dei diritti democratici. oppure "una rete solo pè noiartri????" :-)

Re: anche se
- Scritto da: luther> non sono sicuro, tucumcari, che sia "solo" un> problema di tecniche, nel senso: metti che io> usassi tails, bitmessage, pgp, vpn, varie> tecniche di "mimetizzazione" per l'uomo nero in> mezzo.... ecc ecc ecc. dopo una settimana tails> 3.x "non era sicuro", accidenti me lo avessero> detto subito!!! bitmessage è stato compromesso,> ma come, non era servless??? le vpn funzionano> solo se i governi permettono loro di> funzionare....> ecco, al di là delle tecniche servirebbe come> dice marco la riappropriazione dei diritti> democratici. oppure "una rete solo pè> noiartri????"> :-)Se tutti passassimo a reti private ci sarebbero tanti di quei pacchetti criptati nella rete che per seguirne uno specifico ci sarebbe davvero da impazzire, altro che chiudere uno dei due host al mondo che hosta siti anonimi.

Re: anche se
tutti????? tutti chi? ma se anche tra i "più attenti" è difficile fare passare gpg (èchèche XXXXX, ma è scomodo..... ma ogni volta ti devi andare a cercare la pw..... ma se poi non ci siamo visti in birreria chi si fida? ecc ecc ecc)...

Re: anche se
- Scritto da: luther> tutti????? tutti chi? ma se anche tra i "più> attenti" è difficile fare passare gpg (èchèche> XXXXX, ma è scomodo..... ma ogni volta ti devi> andare a cercare la pw..... ma se poi non ci> siamo visti in birreria chi si fida? ecc ecc> ecc)...Non dirlo a me guarda...

Refuso
Refuso in fondo all'articolo: "stanno subendo cechi od indifferenti ad esse."Cechi = della Repubblica CecaCiechi = non vedentiChiedo scusa per la pignoleria.Saluti!

Calamari e Bubba
oh XXXXXXX! questo articolo e' abbastanza sovrapponibile al mio vecchio post (e 'teoria') su "l'iperparanoia genera mostri" di una settimana fa o piu. Ci manca solo la "bizzarra?" disattenzione dei media verso le altre NSA del mondo (in primis i russi) che fanno altrettanto ma nessuno ne parla, e della ipocrisia politica (Nsa esiste da 60 anni, Patrioct act benvoluto da chi ora lo rinnega) ed e' quasi completo.Allora non sono solo :)

hidden services
ho dato un'occhiata a questo paper su alcune debolezze degli hidden services atte a deanonimizzare uno o più servizi nascosti, ma non mi è chiaro quanto e se sia attuabile questo tipo di attacco:http://www.ieee-security.org/TC/SP2013/papers/4977a080.pdfqualcuno sa illuminarmi?

Re: hidden services
- Scritto da: gheppo> ho dato un'occhiata a questo paper su alcune> debolezze degli hidden services atte a> deanonimizzare uno o più servizi nascosti, ma non> mi è chiaro quanto e se sia attuabile questo tipo> di> attacco:> http://www.ieee-security.org/TC/SP2013/papers/4977> qualcuno sa illuminarmi?il p.d.v dei TORiani lo trovi qui https://blog.torproject.org/blog/hidden-services-need-some-love (e nei relativi commenti)

commento
per fare numero e tener su il morale di Calamari visto che controlla quante persone lo seguono :)

tu puzzi
come da oggetto

Crittografia, non solo Tor.
Secondo me sarebbe proprio ora di smetterla con questa eccessiva paranoia su "Tor violato dalla NSA". Sarebbe ora che, appurato che il protocollo di Tor NON è stato violato neppure dalla NSA, appurato che comunque bisogna migliorarlo (e credo che verrà fatto) nei sistemi a contorno (TBB, hidden services, forse irrobustito lo stesso funzionamento della catena di nodi ...), si cominciasse a rendersi conto della necessità della PROTEZIONE DEI DATI SUI PC.Perchè ci si preoccupa tanto della possibilità di essere deanonimizzati quando si usa Tor e invece, a quanto mi sembra, ci si preoccupa ben poco di proteggere gli archivi e cancellare (o, meglio, non lasciare) tracce sul PC delle operazioni fatte?Eppure dovrebbe essere chiaro, secondo la logica e secondo le cronache, che ancora più pericoloso che avere l'IP deanonimizzato è avere degli archivi su PC che dovrebbero restare privati e invece sono in chiaro e non protetti.L'IP identifica una connessione, non identifica una persona.Ma per gli archivi contenuti sul PC è difficile, se trovati, dire "non è roba mia".Quanti usano veramente la crittografia?E quanti la usano, obbligatoriamente, con plausible deniability, perchè mica puoi poi dire "eh, mi spiace, la password proprio non me la ricordo ...".

Re: Crittografia, non solo Tor.
Credi un hidden disk 'dietro' un disco crittato di truecrypt e gli dai solo la pw del disco esterno... ed il gioco e fatto :)

Re: Crittografia, non solo Tor.
- Scritto da: Tor Truecrypt User> Credi un hidden disk 'dietro' un disco crittato> di truecrypt e gli dai solo la pw del disco> esterno... ed il gioco e fatto> :)Pienamente d'accordo.E se poi metti quel disco crittato in una chiavetta USB o una SD Card, ornai le trovi anche a 64 GB o 128 GB attorno ai 100 euro, puoi anche nasconderlo fisicamente con facilità (non indispensabile ma è un ulteriore ostacolo che impedisce pure di ipotizzare la semplice esistenza di un hidden disk).Ma quanti prendono precauzioni come queste?Ragazzi, si legge di gente che nel momento "critico" ha cercato di "fuggire portandosi dietro i dischi esterni"!Siamo al grottesco, se non fosse tragico (e di tragica ignoranza).E' per questo motivo che parlare "troppo" di Tor rischia di far dimenticare il pericolo maggiore per la privacy, che sono i dati conservati in chiaro o con crittografia debole (per esempio senza plausibile negabilità o con password banali) su PC e supporti.

Re: Crittografia, non solo Tor.
- Scritto da: Fyurren> si cominciasse a rendersi conto della necessità> della PROTEZIONE DEI DATI SUI> PC.in effetti questo tema è molto bistrattatoil problema è che bisogna ripensare il software, a cominciare dai sistemi operativicon linux si può fare, basta farlo girare come live ( root su squashfs + overlay rw in ram ), con windows e mac os x è impossibilel'altro problema è quello dei dati ( bisognerà pure avere dei dati da qualche parte ) e, in questo caso, bisogna usare robuste soluzioni crittografiche, con o senza plausible deniability> E quanti la usano, obbligatoriamente, con> plausible deniability, perchè mica puoi poi dire> "eh, mi spiace, la password proprio non me la> ricordo> ...".dipende dalle giurisdizioninegli USA vale il principio che non si è obbligati a fornire informazioni che possano portare all'autoincriminazionein Italia onestamente non so se vale lo stesso principioricordo solo che, anni fa, lessi un articolo su un dirigente di Telecom Brasile e sui suoi archivi crittati con truecryptmorale della favola: la fbi cercò invano, per un anno intero, di decrittarli, senza sucXXXXXho nominato truecrypt perchè il discorso plausibile deniability non mi ha mai convinto, ovvero un attaccante determinato e protetto dal patriot act, potrebbe suppporre che, usando truecrypt, tu abbia volumi nascosti e quindi, giù di waterboarding finchè non confessi!

Re: Crittografia, non solo Tor.
- Scritto da: collione> in effetti questo tema è molto bistrattato> > il problema è che bisogna ripensare il software,> a cominciare dai sistemi> operativi> > con linux si può fare, basta farlo girare come> live ( root su squashfs + overlay rw in ram ),> con windows e mac os x è> impossibileAnche con Windows e Mac OS X, se usi una macchina virtuale crittografata hai una sicurezza più che accettabile, certo meno sicura di una Live CD, un pò meno sicura di una Live USB con persistenza ma enormemente più sicura che usare direttamente il sistema operativo del PC.E, per utenti non esperti, spesso sono più facili da usare di distribuzioni Live, con le loro limitazioni o la necessità di conoscere partizioni, file systems, overlay ecc.Certo, una VM è attaccabile, una Live read-only molto limitatamente (trojan in memoria). Ma se gli utenti usassero almeno le VM criptate, cosa che possono mettere in piedi ed imparare in due giorni, facendo poi esattamente quello che fanno sul loro "vero" PC, cambierebbe COMPLETAMENTE la prospettiva della privacy.Ogni traccia lasciata dal SO resterebbe entro la VM, ogni archivio potrebbe esserci lasciato dentro senza ulteriore crittografia, ogni manipolazione di quegli archivi resterebbe lì dentro ecc.> l'altro problema è quello dei dati ( bisognerà> pure avere dei dati da qualche parte ) e, in> questo caso, bisogna usare robuste soluzioni> crittografiche, con o senza plausible> deniabilityCON, per me senza alcun dubbio.Senza plausible deniability la si può usare solo contro attaccanti non più forti di te.Ma in tal caso non avresti quasi bisogno di crittografia!> > E quanti la usano, obbligatoriamente, con> > plausible deniability, perchè mica puoi poi> dire> > "eh, mi spiace, la password proprio non me la> > ricordo> > ...".> > dipende dalle giurisdizioni> > negli USA vale il principio che non si è> obbligati a fornire informazioni che possano> portare> all'autoincriminazione> > in Italia onestamente non so se vale lo stesso> principio> > ricordo solo che, anni fa, lessi un articolo su> un dirigente di Telecom Brasile e sui suoi> archivi crittati con> truecrypt> > morale della favola: la fbi cercò invano, per un> anno intero, di decrittarli, senza> sucXXXXXE' una storia nota.Anche se non ci si può mai fidare del tutto di ciò che trapela sui media, non vedo grossi motivi per non credere che sia vera.> > ho nominato truecrypt perchè il discorso> plausibile deniability non mi ha mai convinto,> ovvero un attaccante determinato e protetto dal> patriot act, potrebbe suppporre che, usando> truecrypt, tu abbia volumi nascosti e quindi, giù> di waterboarding finchè non> confessi!Io vedo tre casi.In tutti i casi la plausible deniability conviene.CASO 1:Se sei in una dittatura, uno stato autoritario o in una "democrazia sospesa" (tipo USA se ricadi sotto il Patriot Act), sei già mezzo fregato per il solo fatto di usare la crittografia, con o senza plausible deniability. Ma non è la stessa cosa usarla con o senza plausible deniability.Se è senza, tipo LUKS in Linux o DiskCryptor sotto Windows, o gli dai la password e ti autoincrimini subito per il contenuto dell'archivio (perchè se l'hai criptato si suppone che ce ne fosse un ottimo motivo!) oppure ti torturano per averla. Sei fregato in ogni caso.Se è con plausible deniability (tipo TrueCrypt) e non usi gli hidden volumes, è come il caso precedente, anzi peggio. Sei comunque fregato: o gli dai la password outer e ti incrimini o ti torturano. E dato che non è detto che si fidino della password outer, pensando che esista uno hidden con dentro cose ancora più compromettenti, possono continuare a torturarti e tu non avrai altra possibilità di confessare ulteriormente. Doppiamente fregato.Se è con plausible deniability (tipo TrueCrypt) ed usi invece gli hidden volumes, almeno una password innocua da dare, quella dell'outer volume che non contiene nulla di incriminante, ce l'hai. Se poi ti torturano perchè cercano un hidden, puoi decidere se tenere duro o confessare dando anche quella per lo hidden. Ma almeno hai una possibilità di cavartela.CASO 2:Se sei in uno Stato come il Regno Unito dove (se le leggi non sono cambiate recentemente) un giudice può tenerti in galera fino a quando gli dai una password, allora avere una password innocua da dare, quella dell'outer volume, è pressochè obbligatorio. Quindi la plausible deniability è indispensabile. La plausible deniability di TrueCrypt è stata fatta anche per queste situazioni.Il giudice potrebbe anche sospettare che ci sia uno hidden ma non potrà mai provarlo. La Gran Bretagna è una democrazia strana, con un particolare sistema giudiziario (common law, giudici irresponsabili), ma è una democrazia. Se gli dai ciò che chiedono, una password, non possono torturarti per cercare uno hidden nè, che io sappia, tenerti ancora in prigione (non sarebbe minimamente accettabile e non ho mai sentito concretamente che sia accaduto un solo caso del genere, dopo che qualcuno aveva consegnato una password).CASO 3:Se, infine, sei in un paese come l'Italia (e suppongo la maggior parte delle democrazie occidentali), dove nessuno può essere torturato o incarcerato per strappargli una password, usare la plausible deniability è l'unica cosa sensata da fare.Perchè è vero che non sei obbligato a ricordarti una password, ma diventi immediatamente sospetto ("300 GB di archivi criptati e mi vuoi dire che ti sei DIMENTICATO la password?").Perciò: ti chiedono una password? Eccola. Ce n'è un'altra? No, c'è solo questa. Perchè? Perchè non mi servono gli hidden volumes. Provate a dimostrare che c'è uno hidden, altrimenti non rompete, grazie. Fine del discorso.TrueCrypt in particolare è molto conosciuto e molto reputato come affidabilità, anche al di là dell'eventuale uso degli archivi hidden, ed è perfettamente giustificato usarlo senza che questo debba essere un indizio che si usano gli hidden volumes.Perciò, nessun dubbio: la plausible deniability è ASSOLUTAMENTE da usare.A maggior ragione in un paese con una giurisdizione come l'Italia (e non solo), dove non ci sono controindicazioni legali o pericoli dittatoriali (non so per quanto ...).

Re: Crittografia, non solo Tor.
La plausible deniability di True Crypt è ridicola, vale tanto quanto una partizione criptata senza LUKS. Basta vedere quanto spazio disponibile c'è nel disco e confrontarlo con lo spazio totale e il gioco è scoperto!

Se lo violano, non vengono a dircelo...
Ma secondo voi se NSA o chi altro riuscisse a violare una rete anonimizzatrice (Tor è solo una di esse) ce lo verrebbe a dire? No, lo sapremmo solo tramite talpe come Snowden.Non voglio implicare che siano effettivamente state violate, solo che sarebbe molto difficile saperlo.D'altra parte il quantum computing sta diventando una realtà, quindi la potenza di calcolo per grossi enti è in arrivo!

Re: Se lo violano, non vengono a dircelo...
- Scritto da: Qualcuno> Ma secondo voi se NSA o chi altro riuscisse a> violare una rete anonimizzatrice (Tor è solo una> di esse) ce lo verrebbe a dire? No, lo sapremmo> solo tramite talpe come> Snowden.> > Non voglio implicare che siano effettivamente> state violate, solo che sarebbe molto difficile> saperlo.> > D'altra parte il quantum computing sta diventando> una realtà, quindi la potenza di calcolo per> grossi enti è in> arrivo!essi'. http://qwcap.com/ (opps sono russi. :) cmq ci sono anche in usa e joint venture con gli usa)

Re: Se lo violano, non vengono a dircelo...
- Scritto da: Qualcuno> Ma secondo voi se NSA o chi altro riuscisse a> violare una rete anonimizzatrice (Tor è solo una> di esse) ce lo verrebbe a dire? No, lo sapremmo> solo tramite talpe come> Snowden.> > Non voglio implicare che siano effettivamente> state violate, solo che sarebbe molto difficile> saperlo.> > D'altra parte il quantum computing sta diventando> una realtà, quindi la potenza di calcolo per> grossi enti è in> arrivo!Ma è ovvio che non ce lo verrebbero a dire.La prima domanda è: il Datagate è autentico o è una cortina fumogena per nascondere ciò che sanno fare?La risposta: non può essere una cortina fumogena, perchè sta facendo troppi danni alla NSA e agli USA, spingendo inoltre gli utenti a difendersi di più. Non avevano bisogno di mettere in piedi una "finta" autolesionista, dato che potevano ottenere gli stessi risultati di disinformazione in altro modo.Quindi Snowden è al 99% di probabilità in buona fede e i documenti che ha mostrato sono al 99% di probabilità autentici.Seconda domanda: esiste un "secondo livello" della NSA, sconosciuto sia a Snowdon sia probabilmente a chi nella NSA ha scritto i documenti divulgati, che sarebbe in grado di craccare Tor?Questo non lo sa nessuno, è solo un'ipotesi.Grado di credibilità dell'ipotesi? Più o meno come quella dei rettiliani o quella delle scie chimiche.E, comunque, se non siete il capo di Al Qaeda difficilmente la NSA sprecherebbe contro di voi una tale riservatissima e preziosissima risorsa crittografica, con il rischio di far scoprire che lo possono fare solo per il piacere di incastrare voi che nel Deep Web comprate XXXXXXX.Perciò, rilassatevi.

Quoto
- Scritto da: Ciccio> Refuso in fondo all'articolo: "stanno subendo> cechi od indifferenti ad> esse."> > Cechi = della Repubblica Ceca> Ciechi = non vedenti> > > Chiedo scusa per la pignoleria.> Saluti!Hai fatto bene, è tempo che quelli di PI imparino una buona volta l'itagliano!