[Domanda] Tentativo di phishing o cosa?

[Ryddyck]

Sempre la proton da molta banda e nessun limite per essere gratuita. Mentre a pagamento andrei sicuramente su nordvpn

[Robby The Robot]

Buono a sapersi, appena ho il tempo cerco di capirne di più.
In generale, sono semplici da usare? Nel senso, non è che dovrò mettermi a impostare parametri a destra e a manca?

[Ryddyck]

Dipende dalla vpn se fornisce o meno un client, ma usualmente per Windows/Mac sicuramente c'è il client quindi basterà installarlo, avviarlo, selezionare il server e connettersi (poi ci sarebbero varie impostazioni relative ad esempio alla protezione del wifi o ethernet, killswitch o altro ma di solito non servono chissà quali conoscenze ed è tutto un on/off) o in alternativa se lo permette il fornitore di vpn è possibile utilizzare ad esempio openvpn e ti darà sicuramente molta più libertà.

[Robby The Robot]

Faccio un paio di considerazioni, forse dettate dalla mia ignoranza sull'argomento, se sbaglio correggete pure:

- Lo so che esistono dei metodi per criptare in modo robusto le mail (anche se, specificamente alla posta elettronica, finora non ne ho riscontrato la necessità. La mia corrispondenza è piuttosto... banale), così come so dell'esistenza di strumenti come TOR, Tails, ecc...
Alla fine però ci si ritroverà sempre nella condizione di doversi "fidare" delle asserzioni di qualcuno. Il provider X di posta elettronica o di VPN mi assicura che la mia attività non verrà monitorata, ma come faccio io a sapere che questo corrisponde al vero? Mi pare che tutto si riduca all'affermazione di X e alla mia maggiore o minore propensione a dargli fiducia.

- Credo altamente probabile che l'utilizzo di strumenti del genere risvegli l'attenzione indesiderata di entità che monitorano costantemente la Rete. Se si criptano le proprie mail è vero che si ottiene la privacy ma qualcuno potrebbe chiedersi perché il signor Pinco Pallino senta tanta necessaria la privacy da usare la crittografia. Se si usa TOR si diventa (più o meno) anonimi sulla Rete ma, sono quasi sicuro, da qualche parte qualcuno vede questo flusso di dati criptati e potrebbe farsi la solita domanda.

- Potrei addirittura ipotizzare che uno o più "agenti malevoli" creino "servizi" con lo scopo non di proteggere ma di "scoprire".

- Non vorrei che, alla ricerca del briciolo di privacy in più, si finisse accidentalmente in luoghi (virtuali) da cui è altamente consigliabile restare il più lontano possibile.

[Ryddyck]

Sono assolutamente d'accordo con te, ma secondo questa logica dovresti avere una conoscenza globale di tutto ciò che ti circonda per poter controllare a mano qualsiasi cosa fidandoti solo ed esculsivamente di te stesso... e non è assolutamente fattibile, per sfortuna!
Il mondo è per certi versi abbastanza cattivo ed esiste poca cooperazione e coordinamento, se fossimo tutti dei santi non ci sarebbero guerre, fame nel mondo, etc etc. ma a quanto pare non è così e bisogna riuscire a fare qualcosa di buono fidandosi anche degli altri.
Riguardo alla questione privacy ti rimando al manifesto cypherpunk https://www.activism.net/cypherpunk/manifesto.html
Chi dice che non ha niente da nascondere non ha ancora capito la privacy, ma basterebbe chiedere ad uno di questi "Quindi non ci sarebbe nessun problema a darti un megafono e girare per la città gridando password, segreti, quanto guadagni, come guadagni, che categoria di film porno ti piace, se tradisci tua moglie, etc etc?"
Credo che sia in atto decadimento dell'importanza delle informazioni e dei propri dati ormai da una decina d'anni a questa parte con l'avvento dei social network, la gente non ha capito che è possibile clonare una identità con 4 foto e due messaggi vocali (e aggiungi impronte digitali e scansione facciale biometrica ).
È una questione etica, filosofica, sociale ed antropologica... ci vogliono un paio di lauree per capire che siamo diventati abbastanza rincojoniti
Questa è la mia visione del mondo, ma dall'altra parte c'è chi pensa che questo individualismo debba essere controllato ed in parte eliminato per evolverci in qualcos'altro di non specifico basato su una qualche tipo di interconnessione artificiale... in pratica una sorta di Matrix.

PS: mi sono dilungato in altri argomenti forse poco attinenti

[Ryddyck]

Quote:

Originariamente inviato da Phoenix2005

Sui dati offline è possibile un controllo “assoluto”: la crittografia serve proprio a questo...più difficile, anzi impossibile da ottenere, invece il controllo “assoluto” su quelli online ma con la giusta consapevolezza (e conoscenza) si può raggiungere anche in quest'ambito un più che decoroso compromesso tra usabilità/riservatezza/sicurezza.

Per i dati si, ma la risposta era relativa alla domanda diretta sul software. Nessuno (che io conosca o che sia ancora nato) è capace di conoscere un software dalla a alla z, nemmeno la software house stessa visto che collaborano più menti insieme, ecco la risposta a quella domanda si ripercuote sulla "fiducia nel prossimo".

Quote:

Purtroppo...
https://www.wired.it/economia/busine...ati-personali/

Quando il prodotto è gratis significa che il prodotto sei tu Sulla stessa linea https://www.youtube.com/watch?v=YJg02ivYzSs
Non so se conosci i cryptoanarchici ma ultimamente c'è molta gente che cammina a volto coperto ed indossa dei guanti.

Quote:

L'episodio di Black Mirror “Caduta libera" sembra fantascienza, di certo eccessivo...ma a pensar male spesso...

Avevo iniziato la prima serie, al secondo episodio ero un po' stufo (mi è sembrato un po' troppo distopico per i miei gusti, magari durante l'estate proverò a rivederlo).

Quote:

È vero...siamo OT ma alla fine, se ci pensi bene, solo in parte ...il topic iniziale verteva sul phishing...e qui si continua a parlare di phishing...di Stato! Poi consideriamo un fatto non secondario: ci si difende dal phishing anche grazie alla conoscenza degli strumenti corretti da utilizzare: nel caso delle email in fase di autenticazione ai relativi servizi è più sicuro utilizzare un client di posta elettronica piuttosto che un qualsivoglia web browser. Senza contare che il phishing di alto livello - quello con la “P” maiuscola - è preceduto sempre da una profilazione mirata dell'utenza da colpire, di norma effettuata proprio grazie alle precedenti comunicazioni inviate in chiaro...cosa che non potrebbe avvenire, utilizzando email cifrate.

Se esistesse uno Stato capace realmente di tutelare i cittadini, a cominciare dagli ISP che non danno i dati a destra e a manca, allora si potrebbe iniziare a ragionare

[Robby The Robot]

@Ryddyck

Siamo un po' OT ma la discussione mi sembra comunque pertinente e interessante.

Quote:

Sono assolutamente d'accordo con te, ma secondo questa logica dovresti avere una conoscenza globale di tutto ciò che ti circonda per poter controllare a mano qualsiasi cosa fidandoti solo ed esculsivamente di te stesso... e non è assolutamente fattibile, per sfortuna!

E' quello che cercavo di dire a Phoenix, più o meno.

Quote:

Chi dice che non ha niente da nascondere non ha ancora capito la privacy

Infatti io non sono tra questi (e spesso, come dici, è pura ipocrisia).

Quote:

Credo che sia in atto decadimento dell'importanza delle informazioni e dei propri dati ormai da una decina d'anni a questa parte con l'avvento dei social network

Assolutamente d'accordo su questo.

Quote:

...dall'altra parte c'è chi pensa che questo individualismo debba essere controllato ed in parte eliminato per evolverci in qualcos'altro di non specifico basato su una qualche tipo di interconnessione artificiale... in pratica una sorta di Matrix.

Io sono pessimista, secondo me siamo già dentro una sorta di Matrix.

@Phoenix2005

Quote:

Il discorso va ben oltre il mero utilizzo di email cifrate

Il mio era solo un esempio tra i tanti possibili.

Quote:

Se ti entrano i ladri in casa una, due, tre volte ad un certo punto sentirai la necessità di prendere adeguate contromisure in modo da far sì che questo non accada più...

Certamente sì, ma c'è un piccolo difetto nella tua analogia: nel caso nostro non sono solo i "ladri" ad agire ma anche altre "entità", dotate, per motivi che non staremo qui ad approfondire, di poteri tali da poter aggirare perfino i vincoli costituzionali che tu richiami (figurati in quanta considerazione possano quindi tenere i tuoi "chissenefrega").

Quote:

Nel caso di questi specifici strumenti la tua sicurezza non è necessariamente delegata ad altri poiché per ognuno di essi esiste il relativo codice sorgente: non stiamo parlando di una black box ma di sistemi la cui robustezza può essere valutata da chiunque

Anche qui si trattava di esempi. Alcuni strumenti sono open source e quindi analizzabili (da chi ne ha le competenze, non certo da me) ma altri no e lì entra in gioco il fattore fiducia.

Quote:

I tuoi dati vengono comunque archiviati e catalogati costantemente in maniera legale ed illegale sia in Italia che all'estero: non perché tu sia un “sospetto” ma perché lo possono fare e lo fanno, così come io li cifro non perché sia un “sospetto” ma perché lo posso fare e lo faccio.

E' proprio questo il punto, nel momento in cui si usano alcuni strumenti (on-line) secondo me si passa nella lista dei "sospetti". Se a "qualcuno" dovesse venire la curiosità di sapere perché il signor Phoenix2005 senta tanto la necessità di comunicare con tanta segretezza vaglielo poi a spiegare tu che lo fai solo perché puoi o chiedigli chi gli ha dato il permesso di analizzare e archiviare i tuoi, di dati.
Ti linko un passaggio dalla pagina Wikipedia di Tails.

Quote:

Però non mischiamo in maniera grossolana i due concetti: privacy e crittografia

Mah... a me sembrano concetti fortemente legati, mi pare abbastanza difficile ottenere la prima senza la seconda (come, mi pare di capire, afferma il manifesto linkato da Ryddyck)

Quote:

Domanda che purtroppo rimarrà senza risposta in saecula saeculorum, visto che i dati potranno essere intercettati, archiviati, visualizzati ma non letti in quanto cifrati...

Qualunque sistema di crittografia, per quanto robusto, perde la sua efficacia nel momento in cui una "entità" sia in grado di esercitare una pressione fisica e/o psicologica significativa.

Quote:

ai Mr. “qualcuno” di turno consiglio comunque una sana lettura: “La Costituzione Italiana”, parte I, Articolo 15

Su questo ho espresso la mia opinione poco sopra.

Quote:

C'è da dire però che l'Art. 15 de “La Costituzione Italiana” è applicabile solo all'interno dei patri confini mentre la questione di cui sopra ha una valenza transnazionale e, come tale, va ribadisco affrontata con strumenti di protezione adeguati ai tempi e alle necessità, strumenti che tengano nel dovuto conto l'evoluzione dei meccanismi alla base della comunicazione tra individui.

Non la vedo molto probabile come cosa. Il mondo è cambiato, molto in peggio purtroppo, dopo gli eventi del 9/11. Che tali eventi siano stati causa effettiva o solo comoda giustificazione (o un mix delle due, probabilmente) si assiste da allora al movimento in direzione opposta.

[Ryddyck]

La crittografia serve per la privacy quando questa non esiste o esiste parzialmente... facciamo l'esempio banale del postino (Google ), ha accesso fisico alla posta ma mica si mette a leggere la posta di tutti, ora siccome non siamo a conoscenza dell'onestà intellettuale del postino (o di un mandante - Servizi, società terze, etc - che chiede informazioni su qualunque cosa passi sotto la vista dle postino) si utilizza la crittografia cosicché anche se avesse libero accesso alla posta non avrebbe la possibilità di carpirne l'informazione.
Può anche succedere il caso in cui anche con la stessa crittografia si riescano a carpire informazioni, dai banali metodi crittografici facilmente decifrabili a quelli più complessi dove si trovano falle come nel caso Truecrypt.

[Ryddyck]

Truecrypt era nel mirino della NSA nel 2012 quando poi successivamente vennero divulgati i documenti topsecret, poi ci fu il suo abbandono da parte degli sviluppatori e consecutivamente anche un audit dichiarando che non c'erano tracce di backdoor ma 11 vulnerabilità di diversa pericolosità https://thehackernews.com/2014/04/tr...n-tool_15.html Diciamo che qualche domanda me la sono fatta

[Robby The Robot]

@Phoenix2005

Ho capito.
Abbiamo personalità diverse, tu sei sicuro, furbo, esperto e cazzuto, a te non la si fa.
Io invece, perfino in ambiti nei quali potrei definirmi "esperto", penso sempre che, senza dubbio, c'è qualcuno che ne sa più di me. Sempre.
Tu non temi mai di fare un passo falso, io al contrario sono sempre pieno di dubbi e temo sempre di aver dimenticato qualcosa, di non aver considerato qualche fattore.
Evidentemente hai piena fiducia nell'efficacia degli strumenti che usi e pensi che si possa diventare totalmente e inattaccabilmente anonimi e invisibili sulla Rete. Io no.
Per esempio, mi pare di ricordare che, in passato, utenti di TOR siano stati identificati con successo.
Ma sicuramente erano degli sprovveduti e avranno commesso grossolani errori.
Trovo poi quasi commovente la fiducia che riponi nella protezione offerta dalla Costituzione. Se posso permettermi un consiglio, oltre che di sicurezza informatica comincia ad interessarti anche un po' di cronaca (italiana, non c'è bisogno di andare in chissà quali paesi esotici), forse potrebbe venirti qualche dubbio sul valore di tali tutele nel mondo reale. G8 di Genova ti dice niente?

[Ryddyck]

Quote:

Originariamente inviato da Phoenix2005

A cui però mi sembra sia stata data una risposta più che adeguata: nella prima parte dell'audit undici vulnerabilità non critiche. Nella seconda parte sono state identificate due vulnerabilità critiche ma che all'atto pratico risultano per niente agevoli da sfruttare (difficulty → high): https://opencryptoaudit.org/reports/...OCAP_final.pdf

Ovviamente quando e se verrà eseguito un audit altrettanto esaustivo su VeraCrypt non avrò problemi a dismettere TrueCrypt in favore del suo fork.

Scelte... io preferisco avere un software aggiornato con le vulnerabilità patchate che un software con delle vulnerabilità scoperte da tempo e non più aggiornato ed abbandonato.
Nel caso di Veracrypt ad esempio https://ostif.org/the-veracrypt-audit-results/

[Robby The Robot]

Mah... sinceramente a me sembra che alcune tue affermazioni nei vari post si contraddicano tra loro.
Un esempio:

Quote:

In Italia, sino a prova contraria, i "chissenefrega" sono tutelati a livello legislativo, visto che ci troviamo in uno Stato di Diritto e quindi valgono determinate garanzie costituzionali di cui l'Art. 15 della Costituzione è uno tra i tanti possibili esempi

Quote:

Se mi sentissi realmente protetto dalla Costituzione o dal mio Governo non navigherei in maniera anonima né cifrerei i miei dati

Comunque, non è mia intenzione continuare il botta e risposta a suon di citazioni.
Il mio punto (non particolarmente complesso, credo) era che sì, è possibile tutelare la propria privacy ma alcuni strumenti potrebbero imho attirare l'attenzione indesiderata di "entità" (e con questo termine non alludo certamente a Google o Facebook).
Il mio accenno al G8, certamente off-topic se preso isolatamente, era da inquadrare in questo discorso. Anche chi si trovò coinvolto in quei tragici eventi era, in teoria, coperto da garanzie costituzionali inviolabili (cfr. Art. 13 della Costituzione, vicino a quello da te citato) ma nel "mondo reale" (in questo senso, non nel senso che hai inteso tu) quelle garanzie vennero calpestate senza pensarci.

Comunque, per il futuro, cercherò di seguire alcuni dei consigli che mi hai dato.

[Ryddyck]

Quote:

Originariamente inviato da Phoenix2005

L'audit a cui fai riferimento è della versione 1.18 ed è tutt'altro che esaustivo: imho 28 giorni per analizzare un software crittografico sono pochini...inoltre, dopo la versione 1.19 sono state rilasciate le versioni 1.20 e 1.21: la maggior parte degli utenti (diciamo il 99,9%) in questo momento starà utilizzando la versione 1.21 che potrebbe aver introdotto nuove vulnerabilità e sulla quale (che io sappia) non è stato effettuato audit.

Del tutto plausibile ma è molto probabile che siano state trovate altre falle anche su Truecrypt.

Quote:

Ed è per questo che è nato il concetto di anonimato online: tracciare una comunicazione diventa inutile se non è possibile associare i risultati di questo tracciamento ad un individuo con tanto di nome e cognome.

Oggi, si è tenuto uno dei tanti roadshow dell'intelligence e mi è parso di capire che ormai non tengono più nemmeno alla "garanzia" dell'anonimato vero e proprio ma al "comportamento" dell'utente... dacci un'occhiata.

[Ryddyck]

I bug potrebbero scoprirli dopo anni anche dopo attenti audit di diversa durata, non avrai mai la certezza al 100%