RTFM
READ THIS FUCKING MANUAL
RTFM
Read This Fucking Manual
RTFM:
READ THIS FUCKING MANUAL
PROGETTO:
Antonio Zingaro
STAMPA:
Comunicando S.R.L.
Via XX Settembre, 25/27
76123 Andria (BT)
www.stampacom.it
Finito di stampare nel Novembre 2015
Materiale non sottoposto ad alcun tipo di copyright
www.rtfm.computer
INDICE
Introduzione
5
1. Motore di Ricerca
9
2. Browser
15
3. E-mail
21
4. Smartphone
27
5. VPN
33
6. GPG
37
7. Trackers
43
8. MAC Spoof
47
9. Packet Sniffer
51
10. Comportamento
55
Glossario
61
INTRODUZIONE
Il contenuto di queste pagine è dedicato a tutti
coloro che nutrono il desiderio e sentono il bisogno di riappropriarsi della propria identità digitale
e, inoltre, a quelli che hanno necessità di difendersi
da ogni tipo di controllo e sorveglianza digitale, che
sia esso effettuato dagli apparati dei governi o da
qualche multinazionale a scopo commerciale.
Sfogliando questo manuale vi troverete davanti a
10 capitoli: 10 step necessari a riappropriarsi della
propria libertà digitale. Poichè lo scopo di questo
lavoro è trasversale e in particolar modo dedicato
anche a chi non ha familiarità con i mezzi tecnologici, si è pensato di ordinarli dallo step più facile
allo step più difficile. Ad indicare il livello di difficoltà sarà un simbolo
nell’angolo superiore
destro.
Il manuale è diviso in due sezioni in modo tale da
renderne più semplice e partecipativa la fruizione.
A questo proposito si è pensato di costruire l’“oggetto libro” come un dispositivo “doppio”. La
prima parte (WHY), infatti, oltre a contenere 10
5
capitoli che spiegano le necessità etiche e teoriche
dell’operare sul web mantenendo la propria privacy,
rimandano ad una speculare sezione del testo raggiungibile semplicemente chiudendo e capovolgendo il libro e individuando il capitolo corrispondente. Una volta completata l’operazione vi troverete
nella sezione “HOW” del manuale, contenitore
delle nozioni tecniche necessarie a mettere in pratica i consigli dati al lettore nella parte “WHY”. Ma,
in questo caso, si è ritenuto di mettere il lettore in
una posizione attiva: per accedere ai contenuti della sezione “HOW” bisognerà “rompere” il sistema
di sicurezza: le pagine contenenti le parti tecniche
sono incollate tra loro e per accedere al contenuto,
dovranno essere strappate dal lettore in modo tale
che si crei tra esso e il manuale un rapporto diretto
e ludico.
Ogni capitolo rimanda infine ad uno specifico
link attraverso il quale è possibile ricevere le stesse
informazioni fornite dal testo in maniera elementare e video-ludica.
All’interno del sito sarà possibile leggere e scaricare questo libro in quanto queste pagine non sono
sottoposte ad alcun tipo di copyright, anzi scaricate, fotocopiate e diffondete!
WHY
RTFM - Read This Fucking Manual
8
1. MOTORE DI RICERCA
Un motore di ricerca (in inglese search engine) è
un sistema che consente di trovare nel mare magnum delle pagine della rete (circa 25 miliardi) le
pagine che interessano all’utente. Senza un motore
di ricerca internet sarebbe praticamente inutile.
Uno dei campi in cui i motori di ricerca trovano
maggiore utilizzo è quello del web. Esistono numerosi motori di ricerca attivi sul web. Il più utilizzato su scala mondiale, con un indice che supera gli
8 miliardi di pagine, è Google.
Il dominio è stato registrato nel 1997 da Larry
Page e Sergey Brin, allora studenti dell’Università di
Stanford, dopo aver sviluppato la teoria secondo cui
un motore di ricerca basato sull’analisi matematica
delle relazioni tra i siti web (topologia) avrebbe prodotto risultati migliori rispetto alle tecniche empiriche usate precedentemente.
Fino ad allora i motori di ricerca precedenti classificavano le pagine web secondo quante volte la
parola cercata era contenuta in quelle pagine.
Quindi, se per esempio si stava cercando la ricetta
9
RTFM - Read This Fucking Manual
della “torta di mele”, la pagina che conteneva più
volte la parola torta di mele era il primo risultato
della ricerca.
Naturalmente questo sistema riportava delle contro indicazioni perché, se si fosse creata una pagina
contenente mille volte la combinazione “torta di
mele” con una battuta sporca sulla torta di mele la
mia pagina sarebbe risultata prima nei risultati.
Brin e Page risolsero questo problema basandosi
sui collegamenti ipertestuali (hyperlink o più semplicemente link). Quindi quando si cercava “ricetta
torte di mele”, il sito migliore era il sito contenente
una ricetta di torte di mele con il maggior numero
di links provenienti da altri siti.
Il Page-Rank funziona contando il numero e la
qualità dei collegamenti alla pagina per determinare quanto sia importante il sito in questione. Di
conseguenza risulterà più importante un sito che
riceve più collegamenti da altri siti.
Oggi l’algoritmo di Google è molto diverso e il
Page-Rank ha perso importanza. Attualmente si
basano su oltre 200 segnali univoci o “indizi” che
consentono di intuire che cosa si sta realmente cercando. Questi segnali includono elementi quali i
termini presenti nei siti web, l’attualità dei contenuti, l’area geografica e il Page-Rank.
Questo algoritmo è diventato molto più sofisticato e le versioni più recenti rimangono segretissime.
Oggi quando cerchiamo su google qualcosa, oltre
a renderci conto che il sito riesce quasi a predire
cosa stiamo cercando, ci rendiamo anche subito
10
Motore di Ricerca
conto del fatto che i risultati che vengono forniti per una determinata ricerca saranno completamente diversi dai risultati che vengono forniti ad
un altra persona che fa la stessa ricerca.
Questo avviene perché Google memorizza le
ricerche associate ai singoli utenti, sopratutto per
“migliorare i risultati della ricerca”. Ma questo avviene anche per altri scopi, compresa la pubblicità
personalizzata. Google conosce esattamente cosa
abbiamo cercato, quando l’abbiamo cercato, dove
l’abbiamo cercato, da che dispositivo, e via discorrendo. Con tutta una serie di altri servizi che
Google offre al di là della ricerca (si pensi a mail,
mappe, drive solo per citarne alcuni), esso raccoglie
i nostri dati creandone una vera e propria identità
digitale al fine di fornire annunci appropriati al
consumatore.
Al seguente link è possibile trovare una dimostrazione di quanto detto, 6 link per conoscere
quello che Google sa di voi:
http://goo.gl/z5NYCa
WHY
Una possibile soluzione per evitare di essere profilati da Google è utilizzare motori di ricerca che
rispettano la privacy degli utenti, uno di questi è
duckduckgo.com
Cercare su DuckDuckGo permette di navigare
in maniera completamente anonima, evitando di
11
RTFM - Read This Fucking Manual
memorizzare alcuna informazione personale.
Questa è l’essenza della loro politica sulla privacy.
I risultati di DuckDuckGo nascono da una combinazione di oltre 100 fonti, incluse DuckDuckBot
(il proprio crawler), Yahoo! Search BOSS, Wikipedia, Wolfram Alpha, Bing, Yandex, Blekko ed altri.
Utilizza anche dati da siti di crowdsourcing, come
Wikipedia e, per completare il quadro, “Instant
Answers”, una casella in cima ai risultati che mostra
brevemente una risposta diretta o vari termini correlati alla ricerca.
DuckDuckGo è definito dai suoi creatori come
un motore di ricerca che mette in primo piano la
privacy e che non memorizza alcun indirizzo IP,
non registra informazioni sull’utente, usa i cookie solo quando strettamente necessario (per le impostazioni), libera l’utente dalla “bolla filtrante”
e dal tracciamento. Weinberg ha dichiarato che
«DuckDuckGo non raccoglie o condivide informazioni personali. Questa è la nostra politica sulla
privacy in poche parole»
Una delle caratteristiche peculiari di DuckDuckGo è la possibilità di usare i comandi “!Bang”, che
consentono all’utente di reindirizzare la propria
ricerca su un sito specifico direttamente da DuckDuckGo.
Se si imposta DuckDuckGo come motore di
ricerca predefinito nella barra di navigazione e si
desidera ad esempio effettuare una ricerca su Goog12
Motore di Ricerca
le Immagini, basterà aggiungere !gi prima delle parola chiave, e DuckDuckGo cercherà direttamente
le immagini su Google, pur mantenendo i vantaggi
della ricerca anonima.
!yt per YouTube
!g per Google, !gi per Google Immagini
!map per Google Maps
!fb per Facebook, !tw per Twitter
!w per Wikipedia
!tpb per cercare su The Pirate Bay,
!kat per KickAssTorrents
e molti altri disponibili su :
https://duckduckgo.com/bang
In questo modo risulta semplice cercare anche su
Google, scrivendo: !g “parolachiave” nella casella di
ricerca di DDG, ma attenzione! In questo modo
non si sarà immuni alla vista di Google. In tal caso
potete utilizzare startpage.com un altro motore di
ricerca che utilizza gli stessi risultati di Google, ma
si comporta da intermediario, ricercando al posto
dell’utente.
http://www.rtfm.computer/01
13
RTFM - Read This Fucking Manual
14
2. BROWSER
Il browser è quel programma che consente di
usufruire dei servizi di connettività in Internet,
o di una rete di computer, e di navigare su internet. Tra i più conosciuti vi sono Internet Explorer,
Google Chrome, Mozilla Firefox, Safari e Opera.
Spesso agli utenti del web sorge spontaneo chiedersi quale sia il browser migliore. Diventa impossibile
proclamare un vincitore: escludendo a prescindere
Internet Explorer, le alternative valide rimangono
Firefox e Chrome.
Nella lotta Mozilla Firefox vs. Google Chrome non
è possibile infatti proclamare un vincitore assoluto: entrambi i browser sono validi e permettono
di ottenere un’esperienza di navigazione superiore. D’altra parte i loro pregi, difetti, punti di eccellenza e di delusione sono in ambiti totalmente
diversi tra di loro e potrebbero essere utili per
qualcuno, completamente futili per qualcun altro.
15
RTFM - Read This Fucking Manual
Ma tornando al punto, se state leggendo queste
pagine è perché siete interessati a salvaguardare la
vostra privacy. Due semplici ragioni per cui dal
nostro punto di vista l’uso di Firefox è preferibile a
quello Chrome:
1. Chrome è Google e questo costituisce un problema in sé per quello che riguarda tutto quello
detto fin ora e lo scopo stesso di questo manuale: se qualcosa sul web è gratuito, significa che
sei tu il prodotto che stanno vedendo e Google
è proprio quello che di più “ci” vende.
2. Firefox è open source. Nasce dalle ceneri di
Netscape ed è stato creato da Mozilla, che è
un’associazione no-profit, formata da Mozilla
Foundation e dalla Mozilla Corporation.
WHY
Dunque il browser ci permette di navigare nella rete, ma mentre ci colleghiamo da un sito
all’altro, porta con sé un’altra miriade di altre informazioni: il nostro indirizzo IP, il nostro sistema operativo, i cookie, le estensioni, la risoluzione dello schermo, e altri tipi di informazione.
Questo metodo di riconoscimento prende il nome
di browser fingerprint (letteralmente impronta del browser), e premette di riuscire a risalire
ad un determinato utente in una vasta cerchia.
EFF (Electronic Frontier Foundation), un’organizzazione internazionale no-profit di avvocati e legali rivolta alla tutela dei diritti digitali
16
Browser
e della libertà di parola nel contesto dell’odierna era digitale, ha messo a punto uno strumento per calcolare il proprio fingerprint.
Nel nostro caso il browser che utilizziamo sarebbe
riconoscibile tra quasi 2 milioni di browser.
potete calcolare la vostra fingerprint al link :
panopticlick.eff.org
Ci sono varie soluzioni per arginare il problema a
seconda dei casi, ma se state leggendo questo manuale c’è un motivo, garantire un anonimato solido.
ATTENZIONE: La seguente soluzione
non è infallibile, l’anonimato puro non
è mai raggiungibile, ma mettendo
insieme diversi fra gli strumenti che
sono contenuti in questo manuale si
può trovare un buon compromesso.
Infine è importante ricordare che
la gestione della sicurezza è
principalmente un approccio mentale,
in molte occasioni, anche quando
non si sta usando il computer, è
necessaria molta attenzione: ad
esempio nell’usare i computer altrui, o
quelli di un internet-point, si potrebbero
lasciare le password su quei computer,
permettendo ai visitatori successivi di
entrare in possesso dei propri dati.
17
RTFM - Read This Fucking Manual
Una delle soluzioni più efficaci è l’utilizzo
di un’altro browser: TOR (The Onion Router), un sistema di comunicazione anonima per
Internet. È una versione modificata di Firefox già configurata per utilizzare la rete TOR.
TOR browser è un software che nasconde la sorgente e la destinazione del traffico e previene qualunque tipo di controllo esterno. Esiste da molti
anni, e ha raggiunto una ottima stabilità, diventando in assoluto uno dei migliori tool salva-privacy di
questo momento. È gratuito.
La sua tecnologia permette di navigare in maniera quasi del tutto anonima; questo risultato viene
ottenuto utilizzando una propria rete di server,
sviluppata e gestita dal lavoro di associazioni in difesa dei diritti digitali e da individualità di tutto il
mondo, che ti permette di far rimbalzare il traffico
internet da una nazione all’altra prima di giungere
18
Browser
a destinazione. Questo processo rende impossibile,
ad ora, l’identificazione di chi lo usa attraverso l’indirizzo IP.
Sì, TOR concede l’anonimato, ma non risolve gli
errori “umani” in fatto di privacy. Se usando TOR
ci si collega al proprio account Facebook o Gmail,
“salta la copertura”, per cui bisogna imparare a usare lo strumento con la giusta praticità. TOR può
tanto, ma non può salvare dalla stupidità umana.
Rieffettuando il test della fingerprint con TOR il
risultato che otteniamo è strabiliante, il computer
in utilizzo risulta indentificabile tra soli 2000 computer.
http://www.rtfm.computer/02
19
RTFM - Read This Fucking Manual
20
3. E-MAIL
Nel caso l'utente/lettore di questo manuale sia un
analfabeta digitale è possibile che non conosca cosa
voglia dire avere una casella di posta elettronica.
Una casella e-mail (dall’inglese «electronic mail»,
posta elettronica appunto) è esattamente come
avere un postino nel proprio computer: si scrive
una lettera, la si invia a un indirizzo e la posta
viene recapitata attraverso l’interazione tra i server della propria e-mail e quelli del destinatario.
Avere un account di posta elettronica vuol dire
avere un nome e un indirizzo a cui farsi inviare e da
cui spedire posta.
Ci sono due principali modi per leggere la propria posta: guardarla via web attraverso il proprio
browser (denominato webmail) o scaricarla sul proprio pc attraverso un cosiddetto client di posta elettronica utilizzando programmi come Thunderbird,
Outlook Express, OSX Mail e molti altri ancora.
21
RTFM - Read This Fucking Manual
Questi programmi sono in grado di parlare con il
server e di recapitarvi le mail sul vostro pc.
Ovviamente oltre a leggere la posta è possibile anche inviarla, sia via web come sopra,
che dal computer, passando attraverso un altro servizio offerto da tutti i server di posta del
mondo, l’SMTP, che serve appunto a ricevere
la propria lettera e recapitarla al destinatario.
È importante notare bene che tutte queste comunicazioni normalmente non viaggiano crittate lungo la rete, attraverso tutti i nodi che attraversano, ma in chiaro senza alcuna protezione.
È facile pensare che se qualcuno volesse controllare non ci metterebbe molto a intercettare questi
messaggi come se fossero volantini abbandonati sul
marciapiede, per questo l’analogia migliore consiste
nel pensare ai propri messaggi e-mail come a semplici cartoline postali...
Gmail è il servizio di posta elettronica offerto
da Google ai propri utenti, un tempo il motore di
ricerca era separato dalla posta, oggi invece in nome
della semplicità d’utilizzo questi due servizi sono
praticamente inseparabili; al momento della registrazione di una nuova casella di posta, ci vengono
richieste tutta una serie di informazioni dettagliate
(nome, cognome, data di nascita, sesso, un’altro indirizzo email e un numero di telefono) allo scopo
di rendere “più sicuro” il nostro account. Da ora
in poi ogni volta che proviamo a fare una ricerca
su google, quelle informazioni verranno associate a
quell’account gMail, e così ogni volta che scrivere22
E-mail
mo o riceveremo posta su quell’account, il contenuto verrà analizzato per migliorare le pubblicità
da mostrarci.
Che non vi venga in mente di pensare che intorno al vostro messaggio ci possa essere una busta che
protegga la vostra privacy. Il colosso di Mountain
View nel 2013 - in seguito ad una class action di
alcuni utenti che accusavano Big G di leggere la
propria posta - ha candidamente ammesso che gli
utenti di Gmail non possono aspettarsi che la loro
corrispondenza rimanga privata.
La questione legale è abbastanza complessa e le
poche pagine a disposizione non ci consentono
di entrare nel dettaglio. Per farla breve: nell’agosto 2013 Google viene accusata di non rispettare la
privacy dei propri utenti in quanto, per sua stessa
ammissione, legge il contenuto delle mail dei suoi
clienti (account gmail) ma anche di chi invia mail
ad altri servizi. Il tutto per il solito fine economico
spiegato sin dalle prime pagine di questo manuale:
fare denaro. Come? pubblicità personalizzate, profilazione. Big G va in tribunale e iniziano i processi.
Perché Gmail continua ad esistere e Google continua a leggere le nostre email? Bene, cerchiamo
di rispondere: nell’estate del 2014 il software che
analizza il contenuto della posta, trova nella casella di posta di un texano del materiale pedo-pornografico. Google allerta la polizia, il pedofilo
viene arrestato e... vissero tutti felici e contenti.
Ficcare il naso nella posta dei cittadini è servito a
sgominare un pericoloso criminale. Non so ai let23
RTFM - Read This Fucking Manual
tori di questo manuale, ma a noi sembra che questa
sia la perfetta legittimazione di una potentissima
arma. 1
Per evitare questo tipo di pericolo, il suggerimento qui fornito è di utilizzare servizi autogestiti. I
servizi autogestiti sono delle piccole isole nella rete,
spazi aperti dove individualità e collettivi forniscono strumenti e servizi di comunicazione liberi.
Questi servizi sono gratuiti ma hanno un costo per
chi li fornisce: per questo motivo è possibile nonché
utile sostenerli con benefit e donazioni!
I collettivi piu’ importanti a riguardo sono Autistici/Inventati, Riseup e Indivia e lo sono in quanto
prendono contromisure per evitare di fornire informazioni sugli utenti alle autorità. Inoltre questi
servizi mettono al centro delle priorità l’utente invece dei profitti. Questo li porta a fare scelte molto
migliori nei nostri confronti. Ad esempio, Gmail
ti “sconsiglia” di cancellare le email; molti servizi
commerciali ti incentivano ad abbinare un numero
di cellulare ad un account. Nessun server autogestito vi dirà mai di fare cose simili.
1 Google legge le mail per contrastare la pedofilia |
http://pastebin.com/L8iummDT
24
E-mail
WHY
•
•
•
•
•
Per una questione etica innanzitutto, poichè ci
si vuole riappropriare della propria libertà di
comunicare;
Perché questi servizi non tengono traccia degli
IP dal quale avvengono le connessioni;
Perché potrebbero dar fastidio la marea di banner e offerte promozionali del servizio di posta, nonostante si fosse inizialmente presentato
come gratuito;
Perché quando qualcuno prova ad interrompere i servizi autogestiti, o a minarne la sicurezza, loro faranno il possibile per impedirlo;
Perché non si vuole che le nostre attività in rete
siano monitorate, elaborate e rivendute al miglior offerente (o a quello più convincente).
http://www.rtfm.computer/03
25
RTFM - Read This Fucking Manual
26
4. SMARTPHONE
Una miniera d’oro per chi è interessato alle nostre informazioni è lo smartphone, oggetto che contiene i nostri dati più riservati, i nostri contatti, le
nostre foto, le nostre posizioni, le nostre chat, etc.
Proteggerlo è buona pratica e molto spesso anche
solo impostare un codice di sblocco può risultare
utile.
L'utente che sta leggendo questo manuale è probabilmente interessato alla privacy o all’anonimato,
è quindi necessario precisare che tutti i telefoni posseggono però un identificativo chiamato IMEI che
viene trasmesso durante ogni telefonata. Cambiare
la scheda telefonica che si usa quotidianamente con
27
RTFM - Read This Fucking Manual
una acquistata in maniera anonima potrebbe NON
garantire l'anonimato completo, dal momento che
è comunque possibile identificare il telefono. Serve
quindi abbinare una scheda anonima con un cellulare non associato alla propria identità.
Se in questi anni abbiamo imparato quanto possa essere semplice intercettare chiamate vocali, lo
stesso si può dire per le comunicazioni VoiP, linee
utilizzate, ad esempio, per le chiamate su Skype.
Skype stesso è paragonaibile ad un malware, perché in grado di appropriarsi quasi interamente
del computer (ha infatti accesso al microfono, alla
webcam, al monitor, etc.), di accettare e inviare file,
conservare e consegnare le tue informazioni a terzi.
Una guida completa alla sicurezza del proprio
smartphone richiederebbe un’altro manuale, questo
lavoro è piuttosto una guida generale alle tecnologie da noi utilizzate.
Ci sono varie applicazioni che ci consentono di aumentare il livello di sicurezza per chi lo utilizza ai fini di mediattivismo.
Per esempio: Obscura Cam consente di offuscare
i volti delle persone presenti in una foto in modo
da renderli irriconoscibili. Mumble è un ottima
alternativa a Skype, in quanto offre anch’esso un
servizio VoiP, ma crittografato. TextSecure e Surespot sono essenzialmente dei cloni di whatsapp, ma
la comunicazione ha una cifratura end-to-end.
28
Smartphone
WHY
Le rivelazioni di Snowden hanno dimostrato
quanto le intercettazioni siano una fonte preziosa per chiunque. Secondo i documenti l’NSA ha
messo in piedi una complessa rete di spionaggio,
basata su programmi come PRISM, XKeyscore e
Tempora, in grado di intercettare il traffico internet
e telefonico di utenti di ogni parte del mondo. A
tal fine l'NSA ha usufruito oltre al supporto di altre
istituzioni statunitensi, quali l'FBI o il Dipartimento di Giustizia, anche di importanti società private.
Tra gli scopi (oltre alla lotta al terrorismo e la
sicurezza nazionale) i vari programmi di sorveglianza sono stati impiegati per valutare la politica estera e la stabilità economica di altri paesi, e
per raccogliere informazioni riservate di natura
commerciale, anche riguardanti soggetti privati.
Attraverso il programma di sorveglianza PRISM
l'NSA ha accesso diretto ai server di molte delle
principali aziende dell'informatica statunitense,
quali Microsoft, Google, Yahoo!, Facebook, Apple,
YouTube e Skype. Alcune di tali aziende hanno anche collaborato con l'NSA per craccare i sistemi di
criptazione dei dati utilizzati. L'agenzia monitora
quindi le attività degli utenti, compresi scambi di
messaggi, foto e video, conservando in particolare
le liste di indirizzi utente usate nei servizi e-mail e
di messaggistica istantanea. Secondo un articolo del
Washington Post in un solo giorno del 2012 l'agenzia ha collezionato oltre 400.000 indirizzi mail solo
29
RTFM - Read This Fucking Manual
da Yahoo!.
Detto ciò, i consigli di questo capitolo, come
degli altri del resto, non vi offriranno una sicurezza totale, soprattutto se il vostro smartphone è
già compromesso. Esistono vari applicativi, come
già si è detto, che consento di comunicare dallo
smartphone utilizzando la criptazione. Qui ci limiteremo a parlare di un pacchetto sviluppato dalla
Open Whisper System, un gruppo di sviluppatori
no-profit che si impegna a “rendere le comunicazioni private semplici” come suggerisce il loro claim.
Le loro app sono state inserite nella guida di autodifesa dell’EFF e secondo alcune rivelazioni rappresentano una delle “maggiori minacce” per l’NSA,
quindi fa evidentemente al caso nostro
Le app che sviluppano sono essenzialmente tre:
per Android:
Text Secure: messaggistica criptata
Red Phone: comunicazione vocale
per iOS:
Signal: app che racchiude sia la messaggistica che le chiamate vocali ed è compatibile con la
versione android.
Le chat utilizzano un protocollo di criptazione
che permette di comunicare privatamente e supporta le chat di gruppo.
La funzione più interessante è senza dubbio quel30
Smartphone
la della comunicazione vocale. L’app ha un meccanismo interno per verificare che non sia in corso
un attacco di tipo man-in-the-middle. Durante la
chiamata sul display degli interlocutori appaiono
due parole. Se le parole sono esattamente le stesse
su entrambi i dispositivi, la chiamata è sicura.
http://www.rtfm.computer/04
31
RTFM - Read This Fucking Manual
32
5. VPN
Se l'utente/lettore è arrivato fino a qui, significa che in parte ha compreso i rischi che la propria
identità potrebbe incorrere quotidianamente utilizzando internet. Se finora si sono suggerite app o siti
per aiutare l'utente a mantenere i propri dati sicuri,
in questi capitoli si scenderà un po’ più nel tecnico.
Iniziamo allora a parlare di VPN (Virtual Private
Networks) una tecnologia che permette di proteggere il flusso di dati prodotto dalla propria navigazione inserendolo in una sorta di canale virtuale
cifrato tecnicamente chiamato tunnel. Questo permette di tutelare piuttosto efficacemente il proprio
anonimato e protegge dal rischio di intercettazioni
sulla linea ADSL domestica.
33
RTFM - Read This Fucking Manual
A differenza del TorBrowser, tendenzialmente più
sicuro perché anonimizza il traffico generato dal
tuo browser, la VPN cifra ed anonimizza tutto il
traffico internet generato dal computer (client mail,
client instant messaging, client ftp, etc.).
WHY
•
•
•
Il VPN può essere utile per “superare” in modo
sicuro condizioni di rete svantaggiose come ad
esempio reti aziendali, hotspot pubblici o anche la propria linea domestica, se si suppone
che essa possa essere controllata.
È anche utile per evitare di subire intercettazioni da parte di governi, aziende, o enti di profitto con scopi commerciali, in quanto queste
connessioni vengono criptate.
Per evitare la censura, sia quella di stato che
quella aziendale; Infatti molti siti vengono
resi irraggiungibili anche in Italia. Tendenzialmente nei luoghi in cui viene offerta una
connessione Wi-Fi, siti tipicamente visibile da
una connessione privata vengono resi inaccessibili. Questo accade perchè questi siti vengono
ritenuti inadeguati, magari per motivi politici,
religiosi, perche’ ritenuti pornografici, etc.
34
VPN
http://www.rtfm.computer/05
35
RTFM - Read This Fucking Manual
36
6. GPG / PGP
Pretty Good Privacy (PGP), creato da Phil Zimmermann, è un programma che può essere usato
per proteggere la privacy, per aggiungere un filtro
di sicurezza alle comunicazioni e per dare autenticità ai messaggi in formato elettronico. E' possibile
criptare ogni informazione privata e personale (che
si tratti di e-mail, file o di un intero hard-disk) rendendo difficile intercettare o “rubare” i contenuti
originali delle comunicazioni a persone non autorizzate. Inoltre, offre una funzionalità chiamata
firma digitale, che permette d’inviare messaggi verificabili dal ricevente garantendo la sicurezza che il
messaggio non è stato modificato durante il processo d’invio e che si è gli unici mittenti.
Purtroppo le ultime versioni di PGP non possono
essere considerate totalmente sicure, in quanto non
è consentito all'utente di controllare il codice del
37
RTFM - Read This Fucking Manual
programma. Ad oggi la tecnologia PGP, appartiene alla casa di produzione software Symantec.
Questo è uno dei motivi per cui è nato GPG (Gnu
Privacy Guard), realizzato dalla Free Software
Foundation, un programma in tutto e per tutto
analogo al PGP, ma rilasciato sotto licenza Gnu e
di cui è verificabile il codice. S’integra facilmente
con la maggior parte dei client di posta ed è disponibile per un ampio ventaglio di sistemi operativi. In questo modo PGP può essere usato da tutti
con facilità.
Con il software di crittazione si crea una chiave di
due parti: una pubblica e una privata. La parte pubblica della chiave viene trasmessa alle persone con
cui si vuole comunicare. Solo l'utente può usare la
chiave privata. Quando si scrive un messaggio di
posta elettronica si usa la chiave pubblica del destinatario per crittarlo.
Il processo di crittazione inserisce una sorta di
“lucchetto” elettronico nel messaggio. Anche se
questo è intercettato durante il suo tragitto, il suo
contenuto è inaccessibile per mancanza della chiave.
Quando il messaggio arriva, il destinatario inserisce una password (composta da una o più parole).
Il software usa la chiave privata per verificare che
per la crittazione sia stata usata la chiave pubblica
del destinatario. Usando la chiave privata, il software sblocca la crittazione e consente di leggere il
messaggio.
38
GPG
Un messaggio criptato di solito ha un’aspetto
simile a questo:
-----BEGIN PGP MESSAGE----Version: GnuPG
v1.4.2.10
hQEMAyAXkJC2I+NYAQf/dAPmS9pAawmTsTMxuN3qW4YSjup2E9GZZI8x4ikwAIrh
poPumljoUR5tqsf5+xvtrOpamY3qaTeUGCadtQiqCod2zrfZEA7iLUtcO2i47yuK
VCT7yY1SKWhtAvElrkd48k0CY8HMMRpGWMdXlvfnZNxl3lEo2F1oIH45xsUo9HJ8
9z0e0Jlm5oe3KCMSOPDqIQRvAeWHSruyeLtyUuaCWsdu9JaSEd1j886wxCbbCzrp
r2H6MPmd35gpthoIR8QjbAF7bzpnltXRZrs4Aex31o4YrjW4Ns/S2w==
=Yxjk
-----END PGP MESSAGE-----
39
RTFM - Read This Fucking Manual
Invece una chiave pubblica ha questo aspetto
-----BEGIN PGP PUBLIC KEY BLOCK----Comment: GPGTools - https://gpgtools.org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=MRnC
-----END PGP PUBLIC KEY BLOCK-----
40
GPG
WHY
È ormai risaputo che utilizzare servizi commerciali priva di ogni riservatezza le proprie comunicazioni. Nulla impedisce a Google, ad esempio, di
leggere tutte le conversazioni, consegnarle alle forze
dell’ordine o analizzarle per proporti della pubblicità mirata.
Anche se si usano servizi più fidati, come Autistici/Inventati, Riseup, Indivia o Ortiche, non è
comunque una buona pratica di sicurezza quella di
mandare email leggibili da chi gestisce la propria
casella email.
Una mail che non è stata crittata ed è stata inviata
tramite Internet è come una cartolina senza busta: postini, portieri, vicini e chiunque altro possa
venirne in possesso sono liberamente in grado di
leggere il messaggio scritto dall'utente.
Non ci stancheremo mai di ricordare che l'uso
della crittografia non serve a proteggere solo la
propria privacy, ma anche quella dei propri corrispondenti.
http://www.rtfm.computer/06
41
RTFM - Read This Fucking Manual
42
7. TRACKERS
Come abbiamo visto precedentemente, ogni volta che navighiamo lasciamo sparse per la rete una
serie di informazioni che ci riguardano: la nostra
cronologia, la nostra posizione, il nostro sistema
operativo. Tutte queste informazioni sono utili alle
aziende pubblicitarie per fornirci la pubblicità che
più ci si addice.
Abbiamo tutti notato come ogni volta che cerchiamo un paio di scarpe, dei libri, o qualunque altro
oggetto, questo sembrerà seguirci: lo troviamo in
tutte le pubblicità presenti in altri siti. Bene, c’è un
modo per evitare che il venditore di scarpe sappia
che siamo interessati a quelle scarpe e che quindi
continui a riproporcele all’infinito negli altri siti
web che visitiamo. Questa soluzione è Ghostery.
43
RTFM - Read This Fucking Manual
Ghostery è un add-on per il browser che ti permette di capire quali network pubblicitari, fornitori
di dati comportamentali, web editor, e altre società
sono interessati alle tue attività. Inoltre fornisce ulteriori informazioni su ciascuno di essi e permette
di bloccarli singolarmente.
WHY
La risposta si potrebbe riassumere in: perché
vogliamo riprendere il controllo dei dati che condividiamo.
Immaginiamo di aver fame e di gradire la nostra
pizza preferita, per esempio una 4 formaggi, e di
comprarla nello stesso posto da molto tempo.
Dopo un po' il pizzaiolo inizierà a riconoscerci
e ogni volta che entreremo in pizzeria non avremo
più bisogno di ordinare; il pizzaiolo in automatico
ci preparerà la nostra 4 formaggi.
Un giorno però, dall’altra parte della nazione,
abbiamo proprio voglia di una pizza e di provare
una pizzeria in quella città dove di fatto nessuno ci
conosce.
Immaginiamo di entrare in pizzeria e prima ancora di poter dire che pizza desideriamo, il pizzaiolo
esordisce dicendo: “4 formaggi come al solito?!”
Sarebbe senza dubbio destabilizzante e strano.
Così dopo esserci ripresi dallo shock iniziale ci facciamo coraggio e decidiamo di chiedere al pizzaiolo come mai conosce i nostri gusti così bene. Lui
ci risponde che lui e altri pizzaioli fanno parte di
44
Trackers
un’organizzazione di pizzaioli nella quale raccolgono i gusti di tutti i loro utenti e li scambiano tra
di loro per offrirci sempre la pizza che fa per noi.
I cookie e i tracker di internet funzionano nella
stessa identica maniera. tutto quello che clicchiamo, leggiamo, saltiamo, compriamo, vendiamo o
vediamo viene tracciato da centinaia di agenzie.
Ghostery ci permetterà di conoscere quali sono le
compagnie che ci stanno tracciando e ci permetterà
di scegliere quali possono continuare a raccogliere
informazioni.
http://www.rtfm.computer/07
45
RTFM - Read This Fucking Manual
46
8. MAC SPOOF
Se il lettore è arrivato fin qui significa che non è
ancora soddisfatto del grado di anonimato raggiunto. Ed è un bene perché come ricordato più volte in
precedenza il vero anonimato non esiste.
In questo capitolo parliamo di “MAC Spoofing”,
una tecnica che ci permette di modificare l’indirizzo MAC della macchina.
È bene, nonché doveroso, fare prima alcune precisazioni: che cos’è un indirizzo MAC? L'indirizzo
MAC (in inglese MAC address, dove MAC sta per
Media Access Control) è un codice univoco che
possiede qualunque dispositivo in grado di collegarsi ad una rete.
47
RTFM - Read This Fucking Manual
Ogni dispositivo è quindi riconoscibile tramite
questo codice, che si presenta con 12 cifre esadecimali, dove le prime sei cifre individuano il produttore della scheda di rete, mentre le successive
sei corrispondono al numero di serie della scheda
stessa.
Prendiamo in esempio il codice MAC:
00:14:22:01:b3:45.
Le cifre 00 14 22 individuano l’azienda produttrice, in questo caso la DELL, le cifre 01 b3 45
invece individuano esattamente la scheda di rete.
Con il “MAC Spoofing”, siamo in grado di modificare l’indirizzo MAC della nostra macchina e
quindi non essere riconoscibili.
WHY
La ragione più importante per modificare l’indirizzo MAC è tutelare la propria privacy e sicurezza. Chiunque può accedere al nostro indirizzo MAC con pochi comandi da terminale. Si può
essere monitorati facilmente utilizzando il proprio
indirizzo MAC.
Nel 2013 a Londra erano stati installati dei bidoni
della spazzatura che tracciavano i movimenti delle
persone e personalizzavano gli annunci pubblicitari
basandosi sull’indirizzi Mac dei loro cellulari2.
2 This recycling bin is following you |
http://qz.com/112873
48
MAC Spoof
Tuttavia la modifica dell'indirizzo MAC non è
necessariamente malevola:
• Un utente può voler modificare in modo legittimo l'indirizzo MAC di un precedente dispositivo hardware per riottenere la connettività
dopo un malfunzionamento hardware.
• Bypassare restrizioni del network qualora l’amministratore avesse impostato delle restrizioni
sul tuo indirizzo Mac.
• Oppure, per esempio, se in aeroporto è permesso navigare gratuitamente solo per i primi
30 minuti, cambiando l’indirizzo Mac si avranno altri 30 minuti a disposizione.
ATTENZIONE: La modifica non
è permanente, ma si dovrà rifare
l’operazione ogni volta che si spegne
e si riaccende la macchina; cambiare
definitivamnete il MAC Address è
impossibile, con questa tecnica potete
semplicemente mascherarlo.
http://www.rtfm.computer/08
49
RTFM - Read This Fucking Manual
50
9. PACKET SNIFFER
Si definisce sniffing (dall'inglese, odorare), l'attività di intercettazione passiva dei dati che transitano in una rete telematica. Tale attività può essere
svolta sia per scopi legittimi (ad esempio l'analisi e
l'individuazione di problemi di comunicazione o di
tentativi di intrusione) sia per scopi illeciti contro
la sicurezza informatica (intercettazione fraudolenta di password o altre informazioni sensibili).
I prodotti software utilizzati per eseguire queste
attività vengono detti sniffer ed oltre ad intercettare e memorizzare il traffico offrono funzionalità
di analisi del traffico stesso. Tra i software più comuni, con licenza libera e disponibile per le più diffuse piattaforme, quali la famiglia Unix, Microsoft
Windows e Mac OS X, bisogna citare Wireshark
51
RTFM - Read This Fucking Manual
che offre tutte le funzionalità di analisi attraverso
un'interfaccia grafica.
Questo software riesce a "comprendere" la struttura di diversi protocolli di rete, è in grado di individuare eventuali incapsulamenti, riconosce i singoli campi e permette di interpretarne il significato.
Può essere utilizzato per vari scopi, l’intento di
questo capitolo è mostrare con che facilità è possibile entrare in possesso di dati sensibili se non si
prendono le giuste precauzioni.
Come nei capitoli precedenti ci limiteremo a
fornire il link del programma, e qualche guida, perché le pagine a nostra disposizione non ci permetterebbero di entrare nel dettaglio. Sta di fatto che la
rete è piena di guide e tutorial (anche in italiano).
Per comprenderci meglio, Wireshark analizza il
traffico di rete e cattura le connessioni in entrata
e uscita da uno o più pc, le pagine visualizzate sul
web, le password immesse, i cookie salvati.
È un ottimo sniffer e affiancato ad una connessione in una rete non protetta può diventare molto
pericoloso.
WHY
•
Wireshark può essere utile per il web debug.
Avete mai avuto problemi controllando il flusso di dati - per esempio si richiedeva un determinato servizio, ma non siamo sicuri che
la richiesta sia andata a buon fine? O richieste
http non valide? Se una (o entrambe) delle si52
Packet Sniffer
•
•
tuazioni vi sono famigliari, allora Wireshark
fa al caso vostro. Anche se inizialmente i dati
restituiti dal sofware sembrano piuttosto complicati (e c'è un sacco di spazzatura inutile tra i
dati catturati), si possono impostare facilmente
dei filtri specifici per vedere solo quello di cui
abbiamo bisogno.
Catturare "roba" interessante. Possiamo vedere
come un sacco di contenuti che vengono utilizzati in vari siti o applicazioni sono di fatto
trasmessi attraverso canali aperti senza che sia
necessaria alcuna autenticazione.
Essere certi che ogni applicazione acceda alla
giusta risorsa. Possiamo infatti controllare che
ogni applicazione che utilizziamo, che accede
ad internet, acceda solo alle risorse di cui necessita per funzionare. Wireshark analizza ogni
tipo di trasferimento - naturalmente, alle volte
è complicato capire quali dati vengono passati
tra le macchine dato che sono criptati, ma comunque, è interessante tenere traccia almeno
del traffico HTTP.
http://www.rtfm.computer/09
53
RTFM - Read This Fucking Manual
54
10. COMPORTAMENTO
bonus track
Quest’ultimo capitolo del manuale sarà meno
complesso dal punto di vista tecnico rispetto ai
precedenti, in quanto contiene per lo più nozioni
di tipo etico, ma non va in alcun modo sottovalutate.
Dire che questo è l’ultimo capitolo sarebbe come
dire che questo è l’ultimo strumento per la propria
sicurezza digitale. E questo non può essere vero in
quanto come detto, ripetuto in tutti gli altri capitoli, avere una sicurezza matematica di essere anonimi
on-line è impossibile.
Il manuale non può essere finito, se lo fosse sarebbe la fine del gioco. Deve essere infatti in continuo
aggiornamento. Se si ha un sistema finito di difesa
è più facile per l’attaccante entrare, con un sistema
in continuo mutamento invece risulta più difficile,
con l’unica differenza che qui non muta la difesa,
ma l’attacco.
55
RTFM - Read This Fucking Manual
Sono in continuo cambiamento le piattaforme
che utilizziamo per comunicare, sono in continuo
cambiamento i dispositivi, sono in continuo cambiamento le nostri reti di contatti, ecco perché è
impossibile avere un manuale finito.
Bisogna inquadrare l’attaccante, capire da chi ci
stiamo difendendo. Se siamo attivisti e dobbiamo
difenderci dalla polizia o dalla NSA ci serviranno
un sacco di strumenti, alcuni dei quali non sono
presenti in questo manuale e altri magari sono superati in quanto la tecnologia nelle loro mani è esponenzialmente più potente della nostra.
Se invece il nostro attaccante è nostra madre,
molto probabilmente una buona password è sufficiente per proteggere i nostri dati. Molto probabilmente se avete quasi portato a termine la lettura di
questo manuale, non sarà la mamma a spaventarvi.
Queste pagine non hanno lo scopo ambizioso
di racchiudere in poco spazio tutti gli strumenti
dell’autodifesa digitale. Lo scopo invece è invogliare il lettore ad interrogarsi su quali e quanti dati
produciamo, quali e quanti individui o aziende,
possono accedere ai nostri dati.
Utilizzare programmi sicuri su un computer non
sicuro è poco utile; allo stesso modo, nessuna tecnica crittografica ci proteggerà da una password
banale. Una porta blindata è inutile, se si lascia la
chiave sotto lo zerbino.
È naturale chiedersi quanto siano realistici questi
problemi e chi sia materialmente in grado di compiere gli attacchi informatici per impadronirsi dei
56
Comportamento
propri dati. Alcuni attacchi sono accessibili a molti,
altri richiedono risorse e capacità meno comuni.
Ad esempio, un collega invadente potrebbe leggere le nostre e-mail mentre siamo lontani dal computer per una pausa. La polizia invece preferisce
sequestrare il computer per compiere analisi approfondite: sta a noi fare in modo che queste analisi
non portino a nulla! Situazioni e soluzioni diverse
quindi a seconda del tipo di attacco del quale si
diventa bersaglio.
WHY
Che siate attivisti o semplici fruitori della rete,
uno dei consigli è quello di abbandonare la piattaforma Windows. Anche OS X non è poi così immune dai malware. Un malware è un programma
che si infiltra per azioni arbitrarie su un computer
senza che noi riusciamo ad accorgercene. Anche se
ancora non molto diffuso è il più pericoloso tra gli
attacchi al quale possiamo essere soggetti perché
permette l’accesso completo al nostro computer
e, di conseguenza, anche a tutti i nostri dati. Ad
esempio la polizia li utilizza per controllare gli indagati attraverso la webcam e il microfono del loro
computer.
L’utilizzo di malware come strumento di intercettazioni si sta diffondendo e il target più vulnerabile a questo tipo di attacchi è il sistema operativo
Microsoft Windows. Non sono invece noti attacchi
seri a GNU/Linux.
57
RTFM - Read This Fucking Manual
Il rimedio migliore per proteggersi da questo genere di attacco è abbandonare Windows a favore di
un sistema operativo open source come GNU/Linux ed acquisire un po’ di destrezza nel suo utilizzo.
Per proteggere i dati dal sequestro, la soluzione
più semplice ed efficace è la cifratura del disco.
Nella pratica, questo richiede l’inserimento di una
password all’avvio del computer. Se la password è
sufficientemente complessa e viene mantenuta segreta, il contenuto del disco sarà indecifrabile. La cifratura del disco di sistema non protegge dati messi
su USB o dischi esterni. Un ulteriore motivo per
scegliere la cifratura del disco è la possibilità di scaricare le e-mail con Thunderbird, cancellandole dai
server di posta e custodendole al sicuro sul proprio
disco cifrato.
Una password “sicura” aiuta a prevenire accessi
indesiderati al proprio account. Spesso, per pigrizia,
si imposta una stessa password per accedere a più
servizi in rete. Inoltre, password semplici possono
essere indovinate da programmi appositi. È bene
condividere alcune considerazione per la gestione
di una password:
• Non si dovrebbero usare password importanti
in contesti non sicuri (internet point, computer di persone non fidate o di persone di cui ci
si fida “personalmente” ma non tecnicamente).
Nel caso questo avvenga cambiare la password
(da un computer fidato) appena possibile.
• Non usare password facili: il nome, la data di
nascita o altri dati noti. Non usare parole sem58
Comportamento
plici, usare combinazioni di lettere MaIuSC0l3
e minuscole, combinare numeri e simboli.
Lunghezza minima consigliata: 8 caratteri.
• Non condividere le password se non è proprio
necessario.
• Diversificare il più possibile la password o comunque utilizzare sempre password diverse per
contesti diversi.
• Se il computer non è cifrato, la password memorizzata sul proprio browser sarà registrata in
chiaro; valutare quindi di non salvare affatto
quelle particolarmente importanti (o meglio
cifrare il disco!)
Quando si cancellano i dati sul proprio PC ne
rimangono comunque delle tracce sul disco ed è
possibile, per un tecnico forense, recuperarli completamente o in parte attraverso l’uso di opportuni
software. Alcuni programmi però permettono la
cancellazione sicura dei file, così che sia impossibile
recuperarli successivamente.
Per finire, è utile ricordare che la gestione della
propria sicurezza è principalmente un approccio
mentale: in molte occasioni, anche quando non si
sta usando il computer, è necessaria molta attenzione. Questo nell’usare i computer altrui, o quelli
di un internet point dove si potrebbero lasciare le
proprie password, permettendo ai visitatori successivi di vedere i propri dati.
Un piccolo, idiotissimo errore potrebbe costare
molto caro.
59
RTFM - Read This Fucking Manual
60
GLOSSARIO
C
ifratura end-to-end: un particolare processo di
criptazione e decriptazione che assicura che un
messaggio venga trasformato in un messaggio segreto dal mittente originale e possa essere decodificato solo dal destinatario finale.
C
rawler: detto anche web crawler, spider o robot,
è un software che analizza i contenuti di una
rete (o di un database) in un modo metodico e automatizzato, in genere per conto di un motore di
ricerca.
C
rowdsourcing: da crowd, “folla”, e outsourcing,
“esternalizzazione” di una parte delle proprie attività") è un modello di business nel quale
un’azienda o un’istituzione affida la progettazione,
la realizzazione o lo sviluppo di un progetto a un
insieme indefinito di persone non organizzate precedentemente. Questo processo viene favorito dagli
strumenti che mette a disposizione il web. Il crowd61
RTFM - Read This Fucking Manual
sourcing inizialmente si basava sul lavoro di volontari ed appassionati, che dedicavano il loro tempo
libero a creare contenuti e risolvere problemi. La
community open source è stata la prima a trarne
beneficio. L'enciclopedia Wikipedia viene considerata da molti un esempio di crowdsourcing volontario.
H
acktivista: Nato dall'unione di “hack/hacker”
e “attivista”, il termine indica chi utilizza i
computer e internet per compiere proteste o azioni
di tipo politico/sociale.
IP
: l’indirizzo IP è una serie di numeri che identifica una connessione internet e quindi chi la
sta usando. Obiettivo principale di ogni hacker ma
anche di chiunque voglia essere anonimo in Rete è
quelli di mascherare il proprio IP, nascondendolo
dietro altri. Lo si può fare in vari modi: usando un
web proxy; una VPN; la rete Tor etc.
M
alware: qualsiasi software creato allo scopo di
causare danni a un computer, ai dati degli
utenti del computer, o a un sistema informatico su
cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato di “programma malvagio”.
M
an-in-the-middle: traducibile in italiano
come "uomo nel mezzo"), in informatica indica un tipo di attacco crittografico, meglio
conosciuto come man in the middle attack, MITM
62
Glossario
o MIM , nel quale l'attaccante è in grado di leggere, inserire o modificare a piacere, messaggi tra
due parti comunicanti tra di loro.
Caratteristica è il non permettere che nessuna delle
due sia in grado di sapere se il collegamento che li
unisce reciprocamente sia stato effettivamente compromesso da una terza parte, ovvero appunto un
attaccante. L'attaccante così è in grado di osservare,
intercettare e replicare verso la destinazione prestabilita il transito dei messaggi tra le due vittime.
S
erver: (dall'inglese (to) serve «servire») in informatica è un componente o sottosistema informatico di elaborazione e gestione del traffico di
informazioni che fornisce, a livello logico e fisico,
un qualunque tipo di servizio ad altre componenti
(tipicamente chiamate clients, cioè clienti) che ne
fanno richiesta attraverso una rete di computer,
all'interno di un sistema informatico o anche direttamente in locale su un computer.
S
niffer: Conosciuto tecnicamente come “packet analyzer” (network analyzer, protocol analyzer, Ethernet o Wireless sniffer), lo sniffer è un
software o una parte di hardware che intercetta e
memorizza passivamente i dati che transitano su
una rete telematica o su parte di essa.
Ci si può servire di questi programmi sia per scopi
legittimi (ad esempio l’analisi del traffico, l’individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti (intercettazione fraudolenta di informazioni sensibili). Per
63
RTFM - Read This Fucking Manual
intercettare i dati in una rete locale è necessario
avere accesso fisico al mezzo della trasmissione. La
strategia di difesa che può essere implementata contro questo genere di intrusione è la crittazione del
traffico.”
T
or: Acronimo di The Onion Router, è un sistema di comunicazione anonima per Internet
basato sulla seconda generazione del protocollo di
onion routing. Tor protegge gli utenti dall’analisi
del traffico attraverso una rete di onion router (detti
anche relay) gestiti da volontari. Tale rete permette
di rendere anonimo il traffico in uscita e di realizzare servizi anonimi nascosti. Originariamente
sponsorizzato dallo US Naval Research Laboratory,
è stato un progetto della Electronic Frontier Foundation e ora è gestito da The Tor Project, un’associazione senza scopo di lucro.
V
oIP: Acronimo di Voice over IP (Voce tramite
protocollo Internet), si intende una tecnologia che rende possibile effettuare una conversazione
telefonica sfruttando una connessione Internet o
una qualsiasi altra rete dedicata a commutazione di
pacchetto che utilizzi il protocollo IP senza connessione per il trasporto dati. Es. Skype
V
pn: una Virtual private network è una rete privata crittografata che collega una serie di computer connessi a internet. Crea quindi una connessione virtuale che copre quella reale, mascherando
l'indirizzo IP, e quindi l'identità, dell'utente.
64
Glossario
65
10 minute mail: un servizio e-mail usa e getta. Utile
per iscriversi a siti a cui generalmente non accederemo più o in generale per evitare lo spam. Allo scadere
dei 10 minuti l'indirizzo e-mail verrà distrutto
10minutemail.com
Pastebin: un’applicazione per web che permette agli
utenti di inviare porzioni di testo, generalmente
codice, per la visualizzazione pubblica.
pastebin.com
Privnote: permette di condividere una nota confidenziale tramite un link che si autodistruggerà dopo che
il destinatario avrà letto il messaggio.
privnote.com
Virtualbox: è un software open source per l'esecuzione di macchine virtuali che supporta Windows,
GNU/Linux e Mac OS X .
virtualbox.org
Freepto: sistema operativo installato su una chiavetta usb. Questo significa che si può portare la pennetta sempre con sè ed utilizzare qualsiasi computer
proprio come se fosse il proprio portatile. Inoltre i
dati salvati all’interno di questa pennetta saranno automaticamente cifrati (ovvero non potranno essere
letti da nessun altro).
http://www.freepto.mx/it/
Arch Linux: una distribuzione GNU/Linux per PC. È
conosciuta per essere leggera, veloce, estremamente
scalabile e adattabile alle proprie esigenze.
http://www.archlinux.it/
Wipe: uno strumento per GNU/Linux che permette
di cancellare in maniera sicura dall’hard disk i dati.
Per installare wipe nella propria Ubuntu (o Debian e
derivate) digitare il comando:
apt-get install wipe
Per cancellare un file: wipe myfiles
Per cancellare una directory: wipe -r myfiles/
Altre info qui:
https://we.riseup.net/avana/opuscolo-wipe
10/Bonus
Track
Adblock Plus (ABP): add-on per browser che impedisce al browser di scaricare e mostrare messaggi
pubblicitari - adblockplus.org
Detekt: un tool per scansionare il proprio computer
Windows cercando tracce dei più noti spyware/
malware di stato che sono stati utilizzati anche per
monitorare difensori dei diritti umani e giornalisti.
È sostenuto da Amnesty International e EFF
https://resistsurveillance.org
FileValut: una tecnologia presente nel sistema operativo Mac OS X che provvede a cifrare e decifrare in
tempo reale la directory home dell'utente in modo
totalmente trasparente.
https://support.apple.com/it-it/HT204837
HttpsEverywhere: un estensione per browser
sviluppata da EFF e Tor Project. Impone ad ogni sito
di collegarsi con il protocollo https invece di http e
quindi una connessione più sicura e crittata.
http://www.eff.org/https-everywhere/
Pidgin (Adium su Mac OS): un programma di chat
che permette di collegarsi con multiple piattaforme
simultaneamente. La feature più interessante è
senza dubbia la possibilità di criptare (OTR) le
conversazioni in automatico se entrambi i contatti
utilizzano il programma.
https://pidgin.im/
Obscura Cam: un applicazione per Android che
rende semplicissimo e semi-automatico offuscare
le facce e permette di editare velocemente le foto
prima di pubblicarle online.
https://guardianproject.info/apps/obscuracam/
10/Bonus Track
A causa della complessità dell'argomento e il poco
spazio a disposizione si è costretti a rimandarvi a
seguire tutorial online.
Ai seguenti link una serie di lezioni su Whireshark in
Italiano:
http://bit.ly/1ScgyOl
3.
http://bit.ly/1iNZbaE
2.
http://bit.ly/1Mk9dZM
1.
Sono anche disponibili alcuni video tutorial in Itaiano,
come il seguente:
https://youtu.be/1fqBYcBhrwc
9/
Whireshark
Wireshark è disponibile gratuitamente sul sito
ufficiale:
https://www.wireshark.org
W
ire
sh
ar
k
9/Whireshark
Windows
In ambiente Microsoft è possibile cambiare il MAC
address tramite un software: Technitium MAC Address Changer disponibile al seguente link
http://www.technitium.com/tmac/index.html
Technitium è facile da utilizzare è permette di randomizzare i valori del MAC Adress.
Per controllare velocemente l'avvenuta modifica
basterà aprire il terminale (Start > Esegui e digitare
cmd) e digitare il comando
ipconfig /all
controllare che l’indirizzo fisico sia quello dato da
Technitium.
Universale
Esiste inoltre un programma universale per tutti i
sistemi operativi chimato SpoofMAC. Per scaricarlo
digitare i terminale:
git clone git://github.com/feross/SpoofMAC.git
cd SpoofMAC
sudo python setup.py install
Per randomizzare il proprioo MAC address sarà
sufficente digitare
spoof-mac.py randomize wi-fi
per riportare invece il MAC address originario
spoof-mac.py reset wi-fi
--------------------------------------------------NOTA: E' sempre importante ricordare
che la modifica non è permanente, bisognerà ripetere l’operazione ogni volta
che si spegne e riaccende la macchina.
---------------------------------------------------
8/
MAC Spoof
Mac OS
Su Mac è possibile effeturare la modifica del Mac
Address tramite il terminale digitando
ifconfig en1 | grep ether
con questo comando si visualizza l’indirizzo MAC
della propria scheda WiFi, se si utilizza il cavo per la
connessione si dovrà invece modificare en1 (WiFi)
con en0 (Ethernet).
Ora che siamo a conoscenza del nostro indirizzo
MAC, dobbiamo procurarci un indirizzo MAC da
sostituire con il proprio, digitare quindi:
arp -a
scegliere dalla lista un indirizzo, copiarlo e digitare:
sudo ifconfig en1 XX:XX:XX:XX:XX:XX
dove al posto delle X bisognerà i valori che si sono
copiati precedentemente.
Per controllare che l'avvenuto modifica digitare nuovamente il primo comando.
Linux
Su Linux è possibile modificare il MAC address in più
modi. Si può fare direttamnte da interfaccia grafica,
delle impostazioni della connessione, o più rapidamente da terminale digitando i seguenti comandi:
sudo ifconfig wlan0 down
sudo ifconfig wlan0 hw ether XX:XX:XX:XX:XX:XX
sudo ifconfig wlan0 up
sostituire wlan0 con eth0 nel caso si utilizzi una
connessione ethernet.
8/MAC Spoof
Ghostery Privacy Browser: Un browser
per smartphone con tutte le funzionalità
di Ghostery sia per iOS sia per Android
Mobile
7/
Ghostery
Desktop
Ghostery è disponibile per la maggior parte dei
browser, ed è scaricabile da qui:
http://bit.ly/1WqQntR
7/Ghostery
Da qui sarà possibile configurare l'indirizzo di posta
da usare come mittente di default e selezionare la
modalità di invio standard delle mail.
Si potrà inoltre decidere se, e per quanto tempo, la
passphrase inserita per sbloccare la propria chiave
segreta debba essere memorizzata dal sistema:
sarebbe opportuno settare questo valore a 0 in
modo che la passphrase non venga memorizzata in
alcun modo (soprattutto se il computer e' in rete).
Questo però costringe potenzialmente a dover inserire la passphrase ogni volta che viene spedita una
mail e questo può diventare fastidioso.
Da questa finestra è inoltre possibile disinstallare il
programma oppure aggiornarlo automaticamente.
GENERARE LE CHIAVI
Un passo ulteriore che potrebbe essere necessario
compiere è la generazione della propria coppia di
chiavi.
Se non lo si è già fatto prima tramite il software di
cifratura installato in precedenza, lo si può fare direttamente dall'interfaccia: accedere al client di posta,
aprire il menù di enigmail e selezionare Genenate
Key.
Sarà presentata una finestra che permette di
scegliere l'account per cui generare le chiavi (sarà
necessario aver quindi già configurato correttamente
il proprio client di posta) e inserire la passphrase. È
anche possibile non inserirla, ma, a meno che non
si sia tassativamente ed assolutamente certi che
nessuno possa accedere in alcun modo al proprio
computer, il consiglio è non abilitare mai questa possibilità che e' altamente insicura e deprecata.
Una volta terminato l'inserimento dei dati la chiave
verrà creata e automaticamente inserita nel keyring.
È comunque consigliabile creare la chiave utilizzando
il software di cifratura su cui si sceglie di basarsi,si
avrà più controllo sul tipo di chiave che si andrà a
creare e sulla sua dimensione.
6/
GPG
Mail (OS X)
Per utilizzare GPG sul client OSX Mail, il software di
gestione della posta presente su piattaforma Mac
OS, sarà sufficiente scaricare ed installare il programma GPGTools disponibile su gpgtools.org .
GPGTools è diviso in alcuni programmi:
•
GPGMail: un plugin per OSX Mail che consente
di criptare, de-criptrare, firmare i messaggi
all’interno del programma.
•
GPG Keychain: Un portachiavi di tutte le chiavi
pubbliche dei tuoi indirizzi.
GPG Services: consente di criptare non solo le
•
mail, ma anche file in modo facile e veloce.
Con GPGKeychain, si crea la propria coppia di chiavi
e si può iniziare immediatamente a criptare file ed
email.
Thunderbird + Enigmail
Per gli altri sitemi operativi, il modo più veloce per
iniziare ad utilizzare GPG è utilizzare come client di
posta Thunderbird ed installare Enigmail, un plugin
del client di posta di Mozilla che permette di automatizzare le operazioni per cifrare, decifrare, firmare
la posta.
Una volta installato il software sono necessarie alcune semplici configurazioni, accessibili dal comodo
menu "Enigmail", oppure da:
Edit > Preferences > Privacy & Security > Enigmal
6/GPG
--------------------------------------------------NOTA: Le VPN possono avere variegati
utilizzi. La scelta di Autistici/Inventati è
stata quella di concentrarsi su situazioni
emergenziali limitate nel tempo, Per
esempio un viaggio, la copertura di un
evento, una manifestazione.
Le VPN di A/I non sono adeguate per
l'uso domestico permanente, se volete
usare la VPN in modo permanente,
quella di RiseUp si adattera’ meglio alle
esigenze dell'utente, perché una volta
configurata funziona sempre. Se la si
usa in modo intensivo, pero’, ricordarsi di
versare un contributo solidale.
---------------------------------------------------
5/
VPN
Per utilizzare le VPN è necessario avere un account
sui server di Autistici/Inventati o su Riseup.net; una
volta richiesto ed attivato l’account è possibile configurare le proprie VPN a partire da questo link:
https://vpn.autistici.org/
https://we.riseup.net/riseuphelp+en/vpn-howto
A seconda del sistema operativo cambiano le
soluzioni. All'interno del pacchetto fornito da A/I troverete diversi file di configurazione a seconda delle
vostre esigenze e un file README.txt con le istruzioni
dettagliate.
Mac OS X
Per iniziare è necessario procurarsi un programma
chiamato Tunnelblick da qui
https://code.google.com/p/tunnelblick/
successivamente all’interno del pacchetto A/I avviare il file di configurazione per Tunnelblick (.tblk)
Android
Scaricate l’app OpenVPN dal Play Store.
Selezionare il formato PKCS12 per le credenziali e
selezionale dal pacchetto A/I il file <xxxx>.pfx
Assicurarsi di aver disabilitato la compressione LZO.
5/VPN
RedPhone
Android
TextSecure
4/
Smartphone
Signal
iOS
sm
ar
tp
ho
ne
4/Smartphone
--------------------------------------------------NOTA: Gestire questi servizi e’ un’attività
molto impegnativa, ma che viene effettuata in modo gratuito dai/dalle militanti
che ne fanno parte.
Non sono gratuiti, pero’, l’elettricita’,
l’hardware e tutto il necessario per mantenere questa infrastruttura. Per questo
e’ importante donare ed organizzare
benefit.
Inoltre per quanto questi servizi possono impegnarsi, nel tutelare la nostra
privacy, non è sufficiente avere un email
presso uno di questi servizi; qualora la
loro sicurezza dovesse essere compromessa non è garantito che il contenuto
delle mail sia al sicuro. Per questo è
buona pratica scaricare la posta sul
proprio computer e soprattutto criptare
la propria posta, per fare questo consultate la pagine GPG .
---------------------------------------------------
3/
E-mail
Autistici/Inventàti
Per richiedere un indirizzo e-mail sui server A/I sarà
sufficiente visitare il link services.autistici.org
e compilare il modulo di registrazione. Vi verrà
restituito un link per controllare lo stato della vostra
richiesta. La creazione dell’account non e’ immediata
perche’ ogni richiesta viene vagliata manualmente
per evitare abusi, e potrebbero quindi volerci un
manciata di giorni per concludere l'operazione.
Dopo aver ricevuto la conferma di creazione dell’account è bene configurare la propria casella di posta
A/I su un client di posta e al seguente link ci sono
parecchie guide per i più noti clients:
autistici.org/it/services/mail.html
Riseup
Una volta raggiunto l'indirizzo
user.riseup.net/forms/new_user/first
vi verrà richiesto di leggere e successivamente
accettare le loro policy, Nello step seguente potrete
scegliere il nome account desiderato ed infine
bisognerà motivare la propria richiesta spiegando
perche’ si è scelto di aprire un account su Riseup.
3/Email
Una volta lanciato il torbrowser, si aprira’ una finestra
di Vidalia; questa fa da “pannello di controllo” del
browser, e da li’ si potranno effettuare operazioni piu’
avanzate o di risoluzione dei problemi.
Attendere qualche secondo: la barra di caricamento
andra’ avanti, finche’ non si aprirà una finestra di
Firefox con una pagina che comunichera l'avvenuta
connessione a Tor. A questo punto non vi resta che
navigare anonimatamente.
2/
Browser
TorBrowser è disponibile per Windows, MacOSX ed
ovviamente Linux. Per scaricarlo basterà andare
sulla pagina ufficiale torproject.org e cliccare sul
pulsante download.
Linux
Il file che si troverà in download e’ un archivio
(estensione .tar.gz). Basterà estrarlo e comparirà
una directory chiamata tor-browser_en oppure
tor-browser_it. All'interno, troverete molti file, tra
cui un eseguibile chiamato start-tor-browser.
Facendo doppio click TorBrowser si avviera’.
Mac OS X
Una volta scaricato il file, basterà decomprimerlo
(semplicemnte aprirlo) e per avviare TorBrowser
cliccare sul file TorBrowser_xx-XX.
Windows
Scaricato e avviato il file, partira’ un rapidissimo
setup che vi chiedera’ dove installarlo. Selezionare
una posizione qualsiasi (anche un disco esterno,
o una penna usb, o anche il Desktop puo’ andare
bene!) e proseguire. Una volta andati nella posizione
che avete specificato comparirà una cartella Tor
Browser. Aprendola si troverà un’applicazione Start
Tor Browser. Fare doppio clic.
2/Browser
Impostare un motore di ricerca è abbastanza semplice, di seguito le istruzioni per impostare DuckDuckGo sui vari browser su piattaforma MacOS e
iPhone.
Su Google Chrome visitate la pagina duckduckgo.com e seguite le istruzione in basso per
impostare DDG come motore di ricerca predefinito, Oppure recatevi su Chrome > Preferenze
> Gestione motori di ricerca, se DDG non è
presente nella lista potete aggiungerlo manualmente inserendo i seguenti valori
•
Su Mozilla Firefox recarvi su Firefox > Preferenze > Ricerca selezionare DuckDuckGo dal menù
a tendina.
•
Aggiungi motore ricerca: DuckDuckGo
Parola chiave: ddg.gg
URL: https://duckduckgo.com?q=%s
cliccare Fine. Ora DDG dovrebbe essere nel
vostro elenco dei siti, cliccare quindi Imposta
come Predefinito.
Safari su iPhone Impostazioni > Safari > Motore
di ricerca selezionare DuckDuckGo nell’elenco
•
Su Safari recarvi su Safari > Preferenze > Cerca
e selezionare DuckDuckGo dal menù a tendina.
•
1/Motore
di Ricerca
1/Motore di ricerca
HOW
RTFM:
READ THIS FUCKING MANUAL
MANUALE CROSS-MEDIALE
DI AUTODIFESA DIGITALE
Materiale non sottoposto ad alcun tipo di copyright
scaricate, fotocopiate e diffondete!
www.rtfm.computer