You see, it's not required for me to agree with whom you are criticizing, to criticize your inability to be civil. So keep making as many strawmen you like. We are in a post complaining about user behavior/content and your behavior and content are both completely unacceptable in a community.
Also, you can stop name-calling, this may have an effect when someone else values your opinion, I don't.
Ok, but it's the same thing from the perspective of all the people on an instance vs from the perspective of an individual. Those people are still there, creating posts etc., and they can easily move on other instances if they want too.
It's just a "bigger blanket", but the concept is essentially the same, with the plus that more people are "covered" and the minus that someone might be affected against their will.
Either way, it doesn't solve the problem, it just masks it for the members of an instance. Why would it be a fundamentally better solution in this particular instance?
I had a look at your history, and you seem really incapable of behaving in a civil way, often using insults. I don't think this is a good strategy to get your point across.
Be respectful of others.
This comment is in clear violation of the rules of this community. Be better, if you want to criticize others.
No, you’re putting a blanket over them and pretending they’re not there any more.
Isn't defederation the same thing? Users won't disappear (and they can also create accounts elsewhere...).
Tbh, selling data for profit is not the only thing they do. The cloud act in US exists, and government agencies can get what they want essentially when they want.
This at least applies to the big 3 cloud providers in the picture.
I guess the double standard that is the core idea behind the picture is true. On the other hand, it's also easy to see why it's considered different whether your data goes to the NSA or to the CCP, from the perspective of a US citizen.
I went to look for the video and somehow was worse than I had imagined.
Just FYI, kagi.com specifically downranks websites with lots of trackers (with the logic that those are generally associated with click-farm websites/SEO-driven).
It's a paid product though.
I personally like a lot the gazillion bangs also available, the personal up/downranking/blocking of websites and their quick answer is often fairly good (I mostly use it for documentation lookup). The lenses are definitely the best feature though, especially coupled with bangs. I converted even my wife who really loves it.
If you use GnuPG or one of the GUI implementations it does.
No, because it's the server that terminates the TLS connection, not the recipient's client. TLS is purely a security control to protect the transport between you and the server you are talking to. It doesn't have anything to do with e2ee. It's still important, of course, but not for e2ee.
You do realize e2ee merely means that two users share public keys when they communicate in order to decrypt the messages they receive, right?
And how does TLS between you and your mail server help with this? Does it give you any guarantee that the public key was not tampered when it reached your server? Or instead you use the fingerprint, generally transmitted through another medium to verify that?
Nothing to stop you from hosting your own on an encrypted drive.
An encrypted drive is useful only when the server is off against physical attacks. While the server is powered on (which is when it gets breached - not considering physical attacks) the data is still in clear.
EteSync does E2E already
And...it requires a specialized client anyway. In fact, they built a DAV bridge (https://github.com/etesync/etesync-dav). Now tell me, if you use this on -say- your phone, can you use other DAV tools without using such bridge? No, because it does something very similar to what Proton does. If proton bridge will get calendar/contacts functionality too (if, because I have no idea how popular of a FR it is), you are in the exact same situation.
It doesn’t matter that your private key is stored on their servers encrypted/hased or whatever. If you were simply storing it there, that would not be an issue. The problem is that you’re also logging in and relying on whatever JS is sent to you to only happen client-side.
I feel like I covered this point? They make the client tool you are using, there is 0 need for them to steal your password to decrypt your key. Of course you are trusting them, you are seeing your unencrypted email in their webpage, where they can run arbitrary code. They do have their clients opensourced, but this doesn't mean much. You are always exposed to a supply-chain risk for your client software.
Most users aren’t sending emails from their Proton to other Proton users either.
So...? The point is, if they do, encryption happen without them having to do anything, hence transparently. That was the point of my argument: my mom can make a proton account and send me an email and benefit from PGP without even knowing what PGP is.
Furthermore, the users that want encryption seek it out.
And that's the whole point of the conversation: these users are techies and a super tiny minority. This way, they made a product that allow mainstream users to have encryption.
Thunderbird or other mail clients that is open source and their apps are signed or you can reproducibily build from source.
And this control is worth zilch if they get compromised. This is a control against a MiTM who intercepts your download, it's not a control if "the maker of Thunderbird" decides to screw you over in the same way that Proton would do by serving malicious JS code. If the threat actor you are considering is a malicious software supplier, you have exactly the same issue. There can be pressures from government agencies, the vendor might decide to go bananas or might get compromised.
However, once that is built it doesn’t change. With Proton, everytime you visit their site you don’t know for sure that it hasn’t changed unless you’re monitoring the traffic.
Yes, this is true and it's the real only difference. I consider it a corner case and something that only affects the time needed to compromise your emails, not the feasibility, but it's true. I am counting on the other hand on a company who has business interests in not letting that happen and a security team to support that work.
A government is much more likely to convince Proton to send a single user a custom JS payload, than to modify the source code of Thunderbird in a way that would create an exploit that bypasses firewalls, system sandboxing, etc.
Maybe...? If government actors are in your threat model, you shouldn't use email in the first place. Metadata are unencrypted and cannot be encrypted, and there are better tools. That said, government agencies have the resources to target the supply chain for individuals and simply "encourage" software distributors to distribute patched versions of the software. This is also a much better strategy because it's likely they can just get access to the whole endpoint and maintain easy persistence (while with JS you are in the browser sandbox and potentially system sandbox), potentially allowing to compromise even other tools (say, Signal). So yeah, the likelihood might be higher with JS-based software, but the impact is smaller. Everyone has their own risk appetite and can decide what they are comfortable with, but again, if you are considering the NSA (or equivalent) as your adversaries, don't use emails.
You mean their PWA/WebView clients that can still send custom JS at anytime, or their bridge?
Yes.
First, explain what you mean by a fat client? GnuPG is not a fat client.
In computer networking, a rich client (also called heavy, fat or thick client) is a computer (a "client" in client–server network architecture) that typically provides rich functionality independent of the central server.
What I mean is this: a client that implements quite some functionality besides what the server would require to work. In this case, the client handles key management, encryption, decryption, signature verification etc. all functionalities that the server doesn't even know they exist. This is normal, because the encryption is done on top of regular email protocols, so they require a lot of logic in the client side.
Being able to export things is a lot different than being able to use Thunderbird for Calendars, or a different Contacts app on your phone.
For sure it's different, I didn't say it's the same thing. I am saying that you can migrate away easily if your needs change and you'd rather have interoperability.
DAV is as secure as the server you run it on and the certificate you use for transport.
Exactly. Which is why in the very comment you quoted I said:
There is a security benefit, and the benefit is trusting the client software more than a server, especially if shared.
Are you trusting your Nextcloud instance (yours of hosted by someone else) not getting pwned/the server being seized/accessed physically/etc. more than you trust Proton not to get pwnd? Then *Dav tools might be for you.
Why would anyone be interested in efforts on a platform with a closed-source backend and that is not developer focused?
Because most people don't care about those particular things. Almost all the world uses completely proprietary tools (Gmail) that also violate your privacy.
Not to mention, entirely unnecessary why you should have to use a bridge gateway in the first place with IMAPS & PGP/GPG, CalDav & CardDav. Like I said, Proton is engaged in some questionable practices.
It's not unnecessary, it's the result of a technical choice. A winning technical choice actually. PGP has a negligible user-base, while Proton has already 100 million accounts. I would be surprised if there were 10 million people actually using PGP. They sacrificed the flexibility and composability of tools (which results almost always in complexity) and made an opinionated solution that works well enough for the mainstream population, who has no interest in picking their tools and simply expects a Gmail-like experience.
And if you really have stringent requirements, they anyway provided the bridge, so that you can have that flexibility if it's really important for you.
IMAPS & PGP/GPG, CalDav & CardDav
- IMAPs is just IMAP on TLS, so it does not have anything to do with e2ee in this context.
- PGP/GPG is what they use. They just made a tool that is opinionated and just works, rather than one which is more flexible but also more complex. Good choice? Bad choice? It's a choice.
- *DAV clients expect cleartext data on the server. If you encrypt the data, you need to build all this logic into the clients, and you are not following the standard anymore, which means you will anyway be bound to your client only (and those which implement compatibility). Proton decided that they want to implement e2ee calendar, and they decided to roll their own thing. It's up to everyone to decide whether e2ee is a more important feature than interoperability with other tools. I don't care about interoperability, for example, and I'd take e2ee over that.
Proton stores your keys
Proton stores an encrypted blob.
All they need now is your decryption password & they can read your messages
"All they need now is your private key". It's literally a secret, they use bcrypt
and then encrypt it. Also, "they" are not generally in the threat model. "They" can serve you JS that simply exfiltrates your email, because the emails are displayed in their web-app, they have no need to steal your password to decrypt your key and read your email...
It isn’t transparent, because most users aren’t running their own frontend locally and tracking all the source code changes.
Probably we misunderstand what "transparent" means in this context. What I mean is that the average user will not do any PGP operation, in general. Encryption happens transparently for them, which is the whole thing about Proton: make encryption easy and default.
Now you’re merely trusting them to not send you a custom JS payload to have your decryption password sent to the server.
Again, as I said before, they control the JS, they can get the decrypted data without getting the password...? You always trust your client tooling. There is always a point where I trust someone, be it the "enigmail" maintainers, Thunderbird maintainers (it has access to messages post-decryption!), the CLI tool of choice etc.
How many users are actually utilizing their hidden API to ensure that decryption/encryption is only done client-side?
I mean, their clients are open-source and have also been audited?
If they have your private key, how many users do you think are using long enough passwords to make cracking their password more challenging?
I don't know. But here we are talking about a different risk: someone compromising Proton, getting your encrypted private key, and starting bruteforcing bcrypt
-hashed-and-salted passwords. I find that risk acceptable.
This is just entirely inaccurate and you’ve failed to provide any "proof’ for your generalizations here.
See other post.
If you actually understood PGP you’d know you can generate and use local-only keys with IMAPS and have support to use any IMAP client.
Care to share any practical example/link, and how exactly this means not having a fat client that does the encryption/decryption for you?
There is no security benefit in their implementation other than to lock you into a walled garden and give you a false sense of security.
Right, because *DAV protocol are so secure. They all support e2ee, right...? There is a security benefit, and the benefit is trusting the client software more than a server, especially if shared. You can export data and migrate when you want easily, so it's really a matter of preference.
There are certain things that are known facts, there is no need to prove them every time.
The simple fact that:
- There is not a standard tool that is common
- The amount of people who use PGP is ridiculously low, including within tech circles. Just to make one example, even a famous cryptographer such as Filippo Sottile mentions to receive maybe a couple of PGP encrypted emails a year. I work in security and I have never received one, nobody among my colleagues has a public key to use, and I have never seen anybody who was not a tech professional use PGP.
You can also see:
We can’t say this any better than Ted Unangst: "There was a PGP usability study conducted a few years ago where a group of technical people were placed in a room with a computer and asked to set up PGP. Two hours later, they were never seen or heard from again." If you’d like empirical data of your own to back this up, here’s an experiment you can run: find an immigration lawyer and talk them through the process of getting Signal working on their phone. You probably don’t suddenly smell burning toast. Now try doing that with PGP.
A recent talk, I will quote the preamble:
Although OpenPGP is widely considered hard to use, overcomplicated, and the stuff of nerds, our prior experience working on another OpenPGP implementation suggested that the OpenPGP standard is actually pretty good, but the tooling needs improvement.
And you can find as many opinion pieces as you want, by just searching (for example: https://nullprogram.com/blog/2017/03/12/).
However, if you really believe I am wrong, and you disagree that PGP tooling is widely considered bad, complex and almost a meme in the security community, you are welcome to show where I am wrong. Show me a simple PGP setup that non-technical people use.
P.s.
I also found https://arxiv.org/pdf/1510.08555.pdf, an interesting paper which is a followup of another paper 10 years older about usability of PGP tools.
They generally require to have data visible on the server and/or handle independently encryption/decryption with related tools and key management (including key discovery).
For some, it might be worth, for 99% of the population who wouldn't be able to do this but also doesn't want their content availablento the provider, it's not.
GPG is a huge pain in the ass to manage. Everyone knows this, because it's the case. The web of trust also doesn't scale and has many problems, handling key securely is hard, making GPG work on all devices is something which is completely impossible for people without solid technical skills.
If you think otherwise, you are just in a bubble.
It's actually fairly simple: if the server never has access to the keys or the plaintext of messages (or calendar events, etc.), then you need a client tool to handle decryption and encryption operations.
They use PGP, and they have implemented this feature in a way that it's completely transparent to the user to make it mainstream. So they chose building dedicated tools (bridge, web client), rather than letting users use their own tools, because the PGP tooling sucks hard and it's extremely inaccessible for the general population.
This means that you need a fat client, whatever you do, or otherwise the server will have access to the data and there is no e2ee. Instead of using enigmail or other PGP plugins/tools, they built the bridge.
Companies have to comply with law enforcement. If anything, the little amount of data they were able to give after being forced is a good proof of their overall claim. If there is someone to blame here are courts using antiterrorism laws to catch environmental activists.
Thanks (grazie?)! I was looking for something similar and kanidm looks great feature wise and simple to deploy!
I guess Poland? I know from my colleagues that internet infrastructure jumped from old slow stuff to fiber there and it's fairly cheap.
Vademecum di Privacy & Sicurezza - pt1 Sicurezza
Post originariamente condiviso su Reddit, che ora ho eliminato e trasferito qui.
Siccome i due argomenti sono in realtà distinti, in questo primo capitolo parleremo esclusivamente di sicurezza e nel prossimo, se ci sarà interesse, parleremo invece di privacy.
Introduzione
Prima di tutto, è importante far presente che la sicurezza non è una metrica binaria, ma è uno spettro. Esistono misure di sicurezza graduali, che vanno applicate a contesti diversi, sulla base di valutazioni di merito. Ogni misura di sicurezza, che possiamo chiamare "controllo", ha un costo: economico o di usabilità. Per questa ragione, è importante che i controlli di sicurezza adotatti siano adeguati al livello di rischio, di competenze e di compromessi che ognuno di noi possiede o è disposto ad accettare.
Nel campo della sicurezza informatica esiste un concetto che si chiama "Threat Model", cioè modello di minaccia. Questo è un processo che in realtà facciamo istintivamente tutti i giorni, identificando alcune cose che vogliamo proteggere (asset), chi vuole mettere in pericolo quelle cose (threat actor) e cosa queste persone possono fare (threat). Una volta identificato ciò, si passa a cosa possiamo fare per prevenire tali minacce (control).
Il classico esempio pratico è quello della casa e dei ladri. Io posso avere degli oggetti molto preziosi e voglio proteggerli dai ladri. A questo punto inizio a pensare all'argenteria della nonna come asset, e a chi può volersene impadronire o danneggiarli. Sicuramente una possibile minaccia sono i zingari i ladri, ma non l'unica: magari avete un maggiordomo dentro casa del quale non vi fidate e avete paura che li rubi, oppure la vostra collaboratrice domestica non è molto esperta, e avete paura che lavi l'argenteria col prodotto sbagliato e la rovini. A questo punto, abbiamo:
- Asset: l'argenteria di pora nonna
- Threat actor: i ladri, il maggiordomo, la collaboratrice domestica
- Threat: furto in casa con effrazione, furto in casa (da dentro) e danno da lavaggio improprio
Possiamo dunque stabilire alcuni controlli, per esempio:
- Chiudere la porta a chiave ogni volta che si esce, e chiudere le finestre e tirare giù le serrande (per mitigare il furto con effrazione)
- Nascondere l'argenteria quando il maggiordomo lavora (per mitigare il furto da dentro)
- Dare esplicite istruzioni alla collaboratrice domestica di non lavare l'argenteria
Questi non sono che alcuni esempi, e non essendo esperto nel gestire un castello di fine '800 potrei sbagliarmi. Tuttavia, perchè parlare di tutta questa roba in un post che dovrebbe essere sulla sicurezza informatica?
Perchè questo processo è più o meno quello che ci dovrebbe guidare quando decidiamo "fino a che punto" spingerci nella nostra missione sulla sicurezza. Molte persone non hanno competenze tecniche sufficienti per fare questo tipo di analisi, non sanno quali minacce esistono, nè che tipo di attori operano nel mondo, perciò si devono fidare di Aranzulla o - in questo caso - di stronzi come me.
Motivazione
La motivazione principale per la quale nel 2023 dobbiamo prenderci cura della nostra sicurezza (e di quella di chi ci è vicino e non sa come fare) è che ovviamente la nostra vita si basa più e più su attività digitali. Avere gli account violati (magari con contenuti privati), vedersi una carta di credito rubata o cose simili sono tanto all'ordine del giorno quanto una tragedia, specie per persone povere e che non hanno i mezzi per difendersi. Per quanto spesso ciò si traduce in conversazioni con i miei genitori che mi permettono di palleggiare con lo scroto come Cristiano Ronaldo, è responsabilità di chi ne sa di più aiutare chi ne sa di meno a proteggersi, perchè mentre chiunque sa cos'è una chiave o una serratura, nel mondo digitale molte persone vivono completamente nell'oscurità.
Metodologia
Questo manualetto sarà strutturato in maniera molto semplice: 3 livelli, da quello base a quello avanzato. Ogni livello presuppone un certo modello di minaccia e corrispondenti controlli. I dettagli diminuiscono al crescere del livello, perchè per chi ha un livello sufficientemente avanzato, post come questo sono sostanzialmente inutili.
Ovviamente la qui presente guida non è completa, ci sono ovviamente altre cose da aggiungere, ma l'obbiettivo è quello di gettare le basi. Se dovessi essermi perso qualcosa di sostanziale, lo aggiungerò con un EDIT (dando opportuno credito).
Livello 1 - Piccole accortezze sulle attività quotidiane
Attori: Principe nigeriano che vi manda le email, 15 enne curioso che abita nella casa accanto. In altre parole, criminali informatici che fanno pesca a strascico senza grandi competenze.
Minacce: Attacchi in genere poco sofisticati e non diretti specificatamente contro di voi. Scam via email, phishing piuttosto ovvio, vicino che vi scrocca il WiFi, Malware scaricato sorprendemente aprendo VideoDiBelen-LoSaiQuale.exe
. Account compromessi grazie ad altri data breach (un sito viene compromesso -> le vostre credenziali vengono rivelate -> account su altri siti dove usate quelle credenziali vengono compromessi).
In questo livello ci concentriamo sulle basi. Questo è un livello a cui tutti possono aspirare, specie se siete su Reddit Lemmy a leggere. Adottare le pratiche scritte qui richiede pochissimi cambiamenti delle proprie abitudini, quasi nessun servizio aggiuntivo (a pagamento o meno) e consiste principalmente nell'essere al corrente dei rischi esistenti e nell'adottare controlli facili e comodi. La comodità è la chiave, perchè chi è a questo livello non ha in genere il minimo interesse verso la sicurezza, non percependone i pericoli.
Password
Password semplici, facilmente indovinabili e riutilizzate sono il modo più facile con il quale i vostri account preferiti sono violati. Usare password solide tuttavia richiede notevole sforzo, quindi prima di parlare di come le vostre password dovrebbero essere da 64 caratteri, parliamo di come rendere tutto ciò non solo facile, ma più comodo di ora.
Esistono dei programmi, chiamati password manager (gestori di password), che si comportano come delle casseforti: hanno una chiave (la password principale) e dentro contengono un sacco di altra roba preziosa (le vostre password, i numeri delle vostre carte di credito/debito, etc.). Personalmente, non posso che raccomandare Bitwarden, ma ce ne sono altri, come 1password, Keepass, etc.. Altre opzioni potete trovarle qui, Googlando o chiedendo allo schiavo pagato 2 euro/1000 parole ad Aranzulla.
Il primo passo è quello di creare un account sul password manager di vostra scelta, usando una password lunga, ma facile da ricordare. Questa è l'ultima password che dovrete ricordarvi nella vita, perciò sceglietela bene. Se state pensando ad una qualsiasi password già usata da un'altra parte, PEEEH, no. Una password che non avete mai usato, lunga, possibilmente con un paio di maiuscole, numeri e se ci esce qualche simbolo. Almeno 16 caratteri. Potete usare una passphrase, cioè una frase con parole a caso che potete ricordarvi. Tipo "finisci edoardo di dare il tonno!", che potete ricordavi pensando alla prima lettera di ogni parola: feddit.
Una volta creato un account, prima di fare qualsiasi cosa, installate l'applicazione sui vostri computer, telefoni e -nel caso di Bitwarden (come in molti altri casi)- il plugin del browser corrispondente.
Da oggi in poi, ogni volta che create un nuovo account, lo farete mettendo prima le informazioni nel password manager, usando il generatore automatico che questo vi offre per le password, generando password da 100 caratteri casuali, inclusi numeri, simboli e maiuscole dovunque potete, e occasionalmente limitandole al numero massimo di caratteri permessi. Questo non perchè 100 caratteri sono tanto meglio di 20 o 30, ma perchè con 100 caratteri sapete che non avrete mai la capacità di ricordarvele e quindi non sarete tentati. Ogni sito dovrà avere una password unica: non dovete ricordarvele, non c'è guadagno nel riutilizzarle.
La parte noiosa consiste nel riempire il password manager con tutte le password che avete in giro. Per questo, ci sono varie opzioni: la prima è che, se usate le funzioni di Chrome/Firefox per salvare le password, potete esportarle e importarle in molti password manager (nota, una volta fatto, smettete di salvare le password nel vostro browser!). La seconda è che quando fate il login in un sito, aggiungete la password al manager (molti manager ve lo chiederanno loro se volete salvare le credenziali). Il mio consiglio è una terza via, nella quale se state per fare il login in un sito/applicazione, usate la funzione "password dimenticata" e cambiate la password, salvando quella nuova nel manager. Questo farà in modo che in relativamente poco tempo avrete sia le password nel manager, sia password sicure ovunque.
Ovvia domanda? Ma che palle, ogni volta che devo fare un login devo entrare nel manager e copiare la password? Si, ma è più facile di così. Prima di tutto, una volta "sbloccato" il manager, questo rimane aperto per qualche tempo (configurabile). Secondo, sia su telefono che su computer, il password manager può compilare i form al posto vostro. Ciò significa che con una password (quella del manager), vi risparmierete lo sforzo sia di ricordare le altre password, sia di doverle scrivere!
C'è anche un punto bonus! Per sapere in quale sito usare quale password, i manager in genere vi permettono di associare ad ogni entrata uno o più URL (indirizzi). Non solo questo permette al manager di proporvi le password giuste da auto-compilare (tipo quella di Facebook se state su Facebook.com), ma è anche un ottimo modo per evitare di subire phishing. Se siete abituati a farvi autocompilare la password e un giorno il manager non ve la propone, è possibile che l'indirizzo non corrisponda perchè qualcuno vi sta provando a fregare (tipo fac3book.com).
Ricordatevi non c'è modo di recuperare la password del password manager, perciò dovrete ricordarvela. Se proprio non ce la fate, scrivetevela e mettetela in un posto sicuro dentro casa, ma non lo diciamo a nessuno.
Un altro dei modi più comuni con il quale finiamo sotto attacco sono le email. Di solito, la maggior parte dei filtri anti-spam riescono a beccare gran parte delle email di phishing o simili, ma ciò non accade sempre. Perciò, quando ricevete una mail, ricordatevi poche semplici accortezze:
- La maggior parte degli attacchi vogliono farvi cliccare su qualche link che vi porterà a una qualche pagina di login. Se voi metterete le vostre informazioni lì dentro, quelle verranno compromesse.
- Prima di cliccare un link, assicuratevi di controllare dove questo punti. Per farlo, basta passarci sopra col mouse e guardare in basso a sinistra. Se una mail della banca punta a "http://propriolatuabanca.it.tk", è giusto insospettirsi.
- Se la mail consiste in ricatto, premio, trasferimento di denaro, prodotto acquistato (che non ricordate), eredità o in genere vi sembra che voi abbiate molto da guadagnarci o da perderci, e c'è un grande senso di urgenza, la probabilità che sia una truffa o un tentativo di phishing è molto alta.
- Controllate il mittente. Una mail della banca verrà da [email protected], non da [email protected].
- Le mail di truffa in epoca pre-ChatGPT avevano spesso errori di grammatica e altro, questo probabilmente ora non sarà più il caso, ma comunque tenete a mente che le poste difficilmente faranno grandi errori di grammatica 20 volte in 10 righe.
- Le email che non vogliono farvi cliccare su link vari, vogliono che voi scarichiate degli allegati. Questi sono di solito file Word, PDF o Excel. La regola qui è semplice. Non scaricate mai un allegato (ma soprattutto non apritelo) a meno che non siete sicuri al 100% che la mail venga da un mittente fidato. Se siete nel dubbio, non apritelo. Se non ve l'aspettavate (una fattura ma non avete fatto acquisti), non scaricatelo.
Scaricare File
L'ultimo vettore di compromissione è quello di scaricare file a caso via internet. Magari state cercando un film, magari un crack di un programma (non vi giudico), quello che sia. A questo punto, siate coscienti che scaricare file a caso da internet pone gli stessi rischi di scaricare allegati a caso. Windows di default usa Defender, che è un antivirus tutto sommato decente, e probabilmente vi avviserà se qualcosa va storto. Nella consapevolezza che un antivirus non beccherà tutto, aprite con cautela. A volte le crack richiedono explicitamente di disabilitare l'antivirus. Ecco, se fate questo genere di attività, passate al livello 2.
Ricordatevi che un film, canzone, etc. non sarà mail un file .exe
, .vba
, .doc
o .xls
(e simili). Non aprite mai un file che ha un'estensione che non vi aspettate. Se siete in dubbio, googlate l'estensione.
Antivirus
Come citato nella sezione precedente, avere un antivirus aggiornato può essere efficace contro semplici attacchi. Assicuratevi che l'aggiornamento sia configurato in automatico e che Defender sia attivo. Se non usate Windows dovrete usare un prodotto esterno per la vostra piattaforma (è Mac, lo so).
Password del WiFi
L'ultimo suggerimento, che è già molto meno importante degli altri, riguarda la password del WiFi. Assicuratevi che questa sia lunga e che non sia quella di default che vi hanno dato insieme al router. Le configurazioni di default dovrebbero essere sufficienti, ma cambiare la password non è un'operazione banale, e se non siete in grado di farlo potete farvi aiutare dal supporto del vostro fornitore.
Riassunto
- Usate un Password Manager, che vi permette di usare solo password lunghe e sicure, e che compilerà le password per voi.
- Diffidate di email con link o allegati, che vi chiedono di fare qualcosa di urgenza, che non provengono da indirizzi fidati
- Non scaricate file a caso. Se trafficate con attività che richiedono di disabilitare l'antivirus, passate al livello 2. Non aprite file con estensioni che non conoscete o vi aspettate.
- Usate un antivirus, su Windows Defender basta. Tenetelo aggiornato.
- Se riuscite, cambiate la password del WiFi con qualcosa di più complesso.
Livello 2 - Sforzo Personale nella Sicurezza
Attori: Scammer più dedicato, autori di malware di massa, autori di siti malevoli.
Minacce: Truffe più sofisticate, spear phishing, siti vulnerabili e o malevoli, malware in file disseminati su Torrent etc.
In questo livello ci sarà uno sforzo attivo nel sacrificare un minimo di comodità per avere migliore sicurezza e si utilizzeranno servizi esterni, che fanno gran parte del lavoro per noi. Siccome le competenze di chi è a questo livello sono più alte, il livello di dettaglio viene ridotto.
Password
- A questo punto ogni sito che abbia valore deve essere configurato con un secondo fattore di autenticazione (2FA). La preferenza è sul TOTP (Authy > Google Authenticator) piuttosto che SMS/Email.
- Periodicamente controllate su https://haveibeenpwned.com se la vostra email è comparsa in una qualche data breach (molti password manager offrono il servizio integrato). In quel caso, cambiate la password per quel sito, ovviamente. La password non dovrebbe essere utilizzata altrove avendo completato il livello 1.
Plugin del Browser
- Potete usare
noscript
per bloccare il codice Javascript di molti siti. Spesso i siti non funzioneranno, e dovrete disabilitare noscript a mano. Fatelo per i siti di cui vi fidate. - Installate uBlock Origin o Ghostery (o quello che preferite).
- Potete installare VT4Browsers, l'estensione di Virustotal, che permette di fare la scansione al volo di link mentre navigate.
Email & File Scaricati
- Prima di aprire allegati o file scaricati, se non siete certi del contenuto, fate uno scan manuale del file su Virustotal o con il vostro antivirus di fiducia.
- Per registrarvi a siti a caso, usate indirizzi di posta "unici". Con gmail potete usare il trucco del punto o del "+": nome.cognome = n.o.m.e.cognome = nome.cognome+testo. A volte alcuni siti si rompono con le email con il "+" (specie quando uno vuole cancellare la sottoscrizione alle email). Questo non solo rende più facile individuare chi vende i propri dati, ma riduce un minimo la probabilità di associare facilmente indirizzo email/password a voi nei diversi account. Chiaramente se utilizzate le mail col vostro dominio la cosa è ancora più facile. In più, potete mandare in spam email che arrivano all'indirizzo con il quale vi registrate sui siti più "mondezza".
WiFi & Rete Domestica
- Assicuratevi che il router usi WPA2.
- Disabilitate WPS e UPnP.
- Aggiornate il router periodicamente.
- Verificate che non ci siano porte esposte sul router (che non siete sicuri debbano essere lì).
- Potete configurare come DNS https://nextdns.io/, e configurarlo per bloccare domini noti per essere malevoli (300.000 query gratuite, 2 euro/mese con query illimitate).
- Usate una VPN fidata (cioè che pagate) quando vi connettete a reti sconosciute (WiFi del caffè, aereoporto, etc.).
Altro
- Backup dei propri dispositivi. Servizi come b2 rendono lo sforzo abbastanza semplice. I backup non sono solo importanti in generale, ma sono indispensabili nel caso si finisse vittima di ransomware. Un backup nel cloud a questo livello è sufficiente.
- Cifratura del disco di ogni dispositivo con informazioni sensibili, specie laptop e telefoni.
- Riduzione del tempo di durate delle sessioni, per esempio il timeout del password manager.
Livello 3 - Prendere in Mano la Situazione
Attori: Criminali informatici che vi prendono di mira
Minacce: Attacchi contro il vostro particolare modello di hardware (es. router), spear phishing avanzato (tramite social media, OSINT, reclutamento lavorativo), attacco fisico (pedinamento, furto di dispositivo etc.).
In questo livello si prende in mano la responsabilità per alcuni controlli, implementando soluzioni ad-hoc, in particolare nella rete domestica. Chiaramente qui il limite è la vostra paranoia, la lista qui serve solo a dare qualche idea.
Misure di Sicurezza
- DNS con DNSSec e liste di malware bloccate, dentro casa (nextDNS oppure DNS locale con liste aggiornate).
- VPN sul telefono che si connette alla linea domestica (se opportuno) per beneficiare dei controlli della stessa.
- Sistema Operativo/Firmware più avanzato sul router domestico (pfsense, openWRT, uniFI, etc.), con VPN, malware blocking, supporto VLAN e configurazione firewall più avanzata.
- Dispositivi IoT su una VLAN separata, possibilmente senza accesso a internet se non lo stretto necessario, e solo in uscita.
- Dispositivi sensibili su una VLAN separata.
- Rete WiFi su una VLAN separata, con VLAN aggiuntiva per la rete degli ospiti.
- IDS out-of-band o IPS (se siete coraggiosi) sul perimetro di rete, con alert.
- Yubikey o simili dispositivi di sicurezza fisica come secondo fattore di autenticazione.
- Codici TOTP salvati sulle Yubikey (o dispositivi simili) per evitare che il telefono rappresenti un rischio in caso di furto (contiene i codici TOTP).
- Passcode sul telefono (e non gesture o PIN).
- File scaricati da internet su una sandbox (VM isolata, detonation chamber, etc.) e scansionati.
- Continua informazione sul panorama delle minacce informatiche, per prendere eventuali contromisure straordinarie in maniera rapida (es., recente compromissione di CircleCI con binario per Mac -> forzare la verifica della firma dei binari su Mac).
- Noscript, uBlock, HTTPS-Everywhere e altri plugin configurati in maniera più aggressiva, aggiungendo alle whitelist solo i componenti necessari dei siti che non funzionano, anzichè l'intero sito/pagina.
- Backup su dispositivo in rete locale e cloud, cifrato e verificato periodicamente. Regola del 3-2-1.
- Full-Disk-Encryption di ogni dispositivo, con particolare attenzione a dispositivi mobili (laptop e telefono), inclusa la partizione di Boot.
- Comunicazioni email sensibili solo tramite cifratura con GPG.
Livello 4
Attori: APT, Servizi segreti, state-sponsored, etc.
Minacce: di morte.
Se siete in questo gruppo e state cercando informazioni su Reddit Lemmy siete già fottuti.
Alcuni Link Utili
- https://www.privacytools.io/
- https://www.cisecurity.org/insights/blog/11-cyber-defense-tips-to-stay-secure-at-work-and-home
Choosing an hypervisor
Hello everyone! During one of those illuminated evenings, I got the idea to move my small server in Scaleway to some more powerful server in Hetzner. If I will make the move, I am thinking of splitting the server in various VMs, to host different services that belongs to different trust boundaries, for example:
- A Lemmy/writefreely instance
- Vaultwarden/Gitea
- Wireguard tunnel to my home infrastructure
- Blogs, and other convenience services
In order to achieve the best level of separation, I was thinking of using VMs. My default choice would be Proxmox, because I used it in the past, and because I generally trust it, however I am trying to evaluate multiple options, and maybe someone has good or better experiences to share.
Other options I thought about are:
- Run everything in Docker. I am going to do this nevertheless, but Docker escapes are always possible, especially with public facing images that I did not write myself and/or that require a host volume.
- KVM directly? I am OK even without a GUI to be honest. I am not aware if there is some ansible module or even better Terraform provider for this, it would be great. (EDIT: I found https://registry.terraform.io/providers/dmacvicar/libvirt/0.7.1 which seems awesome!)
- ESxi? I have no experience with this solution.
Any idea or recommendation?
Muore Daniel Ellsberg - "Talpa" dei Pentagon papers (ENG)
All'età di 92 anni è morto Daniel Ellsberg, analista militare che rivelò ai tempi della guerra in Vietnam i Pentagon Papers.
Tra i punti d'onore, ricordiamo l'essere definiti da Kissinger come "l'uomo più pericolo d'America".
Di recente mi è capitato di vedere il film The Post nel quale il suo personaggio ha un ruolo relativamente importante, e nel quale viene mostrato l'impatto sui media della fuga di notizie.