di Marcello Foa
Il Fatto Quotidiano ne ha scritto stamane e con notevole chiarezza a firma di Fulvio Sarzana. E merita di essere ripreso e rilanciato. Anzi, urlato. Da mesi diversi opinionisti, tra cui il sottoscritto, denunciano la tendenza da parte dei governi impongano la censura sul web. Ebbene, zitto, zitto, colui che si presenta come un rassicurante moderato, e che ha l’aspetto di un cagnolone innocuo, sta facendo approvare una delle leggi più liberticide della storia politica italiana.
Sì, avete capito a chi mi riferisco: al premier Paolo Gentiloni, che ha scelto la forma del disegno di legge per far approvare un provvedimento senza un appropriato dibattito parlamentare e senza possibilità di introdurre modifiche, perché quel testo, come spiega il Fatto, andrà votato a scatola chiusa.
La scusa? Ma sì la conoscete già, è un grande classico: ce lo chiede l’Europa! Ma con uno zelo che non ha precedenti nell’Unione europea.
E cosa prevede? Primo: i dati internet e telefonici potranno essere conservati per 6 anni, ben oltre le attuali consuetudini internazionali.
Ma spaventoso è soprattutto il secondo punto: l’Agcom, ovvero l’Autorità per le garanzie nelle comunicazioni, avrà il potere di intervenire sulle comunicazioni elettroniche dei cittadini italiani, allo scopo – in via cautelare si intende, come dubitarne – di impedire l’accesso agli stessi cittadini a contenuti presenti sul web.
Che cosa questo significhi lo spiega benissimo Sarzana con queste parole:
“da oggi con un regolamento dell’Agcom, in Italia si sperimenta la notice and stay down e le piattaforme dovranno rimuovere i contenuti illeciti e impedirne la riproposizione”.
Ora, poiché il web è composto di milioni di informazioni che cambiano in nanosecondi e la maggior parte di questi dati sono all’estero, non c’è modo di conoscere in anticipo la riproposizione dei contenuti che la norma vorrebbe censurare, se non con una tecnica di intercettazione di massa denominata Deep packet inspection. L’unico modo, insomma, di fare ciò che il governo sta per fare approvare, è di ordinare ai provider italiani di “seguire” i cittadini su internet per vedere dove vanno, al fine poi di realizzare questo “impedimento” alla riproposizione, attraverso un meccanismo di analisi e raccolta di tutte le comunicazioni elettroniche dei cittadini che intendano recarsi su siti “dubbi”.Questo, naturalmente senza alcun controllo preventivo da parte di un magistrato.
Dunque: l’Agcom potrà seguire e memorizzare quel che voi fate. E, ad esempio, se giudicherà inopportuni i contenuti di questo blog vi impedirà di leggerlo. Vi schederanno e vi censureranno
Capito? Solo un regime dittatoriale, forse, potrebbe pensare a norme come queste. Ma in una democrazia mai. Eppure a proporle è proprio il premier di un partito che si definisce “democratico”: il PD del finto innocuo Gentiloni.
Io dico: bisogna impedirlo! C’è qualcuno in Parlamento disposto a far propria questa battaglia e far di tutto per impedire quello che è un inaccettabile tentativo di limitare la libertà d’opinione?
Salvini, ci sei? E Grillo? E Berlusconi? Accetterete tutto passivamente? Ditemi di no, vi prego. Manifestatevi! Fatelo per la libertà dei vostri concittadini. E di voi stessi.
(www.ilsoftware.it/.../)
Tor è bello, però ci sono dei pericoli come ho scritto in Commenti Liberi. In molti lo usano, soprattutto negli stati in cui vige la censura. Però non garantisce l'anonimato al 100%, anche se è uno dei browser più sicuri. Tanti siti sono stati oscurati su Tor e aggiungo per fortuna, dato che erano siti di criminali. A volte oltre ad oscurare i siti riescono anche ad arrestare i criminali, però ci vogliono mesi o addirittura anni di indagini
Dicevo, anche lui fa parte dei cattivi maestri visto che un suo ex allievo e' piu' liberticida di un reazionario e piu' accomodante di un maggiordomo,sicuramente avra' porto le scuse di tutto il suo governo di abusivi a soros perche' le ong non fanno piu' affari come una volta,chissa' poi se sara'vero?
Limitare internet non credo sara' cosa facile,anche perche' se sara' vietato parlare e scrivere apertamente vuol dire che inventeremo nuovi vocaboli ed alfabeti un po come la mafia
tipo...vai ad uccidere quello la'....aiachellola'..beppe grillo docet
Scherzo eh!
Mamma mia, gentiloni te sei un altro che il 68 non l'ha mica metabolizzato! Fai come capanna il tuo vecchio maestro,vai a fare il contadino con il vitalizio,magari il latifondista visto che vieni da una famiglia """nobile"""
IN RED WE TRUST
Vedrete che noi POPOLI OPPRESSI vinceremo!!!
ed ora intervallocomico
"Dall'inferno, Trump chiama negli Usa per sapere com'è la situazione nel Paese dopo la sua morte.
Parla per due minuti.
Messo giù il ricevitore, Satana gli dice che per la chiamata gli deve tre milioni di dollari.
Trump gli firma un assegno e paga.
La Regina d'Inghilterra, incuriosita, vuole fare lo stesso e chiama Londra.
Parla per cinque minuti e Satana le chiede dieci milioni di sterline.
Anche Renzi, a quel punto, sente il bisogno di chiamare il suo Paese. Telefona e parla per tre ore.
Quando attacca, Satana gli dice che deve dargli 35 centesimi.
Renzi rimane attonito, avendo visto il costo delle chiamate degli altri, e chiede a Satana come mai sia tanto economico chiamare in Italia rispetto a Stati Uniti e Regno Unito.
"Ascolta, amico mio..." risponde Satana, "con la Finanziaria che hai approvato, il decreto salva banche, il casino del job-act , le politiche sull'immigrazione, l'abolizione dell'articolo 18, i tagli alla sanità, il Decreto sui vaccini, hai reso l'Italia un vero inferno.
E da Inferno a inferno la chiamata è urbana!"
visto che tutto questo lavoro lo dovrebbero fare i provider italiani a mio avviso non hanno le risorse ne di memoria , ne di competenza
quindi l'unico senso che trovo è che in realtà con questa mossa vogliano prendere di mira i politici (e altri personaggi chiave)in modo da tenere sotto scacco l'italia da parte dei soliti potentati di turno
uno strumento ancora piu potente in mano loro
La tecnica del deep packet inspection funziona solo se i dati che vengono trasmessi sono in chiaro, cioè se i siti che si visitano con il browser hanno come prefisso "http://" e non "https://". La "s" che differenzia i due prefissi indica proprio il protocollo usato per il collegamento e sta per "secure", cioè le comunicazioni tra utente e sito avvengono in maniera completamente cryptata.
Questo implica che tutti i dispositivi che sono in mezzo al loro collegamento (i router di tutti i provider, che possono essere decine) non hanno più la possibilità di fare deep packet inspection.
Da qualche anno, grazie soprattutto alle iniziative di aziende come Google e di organizzazioni come letsencrypt.org/ , tutto il web si sta muovendo verso l'encryption di default.
Dalle prossime release i principali browser marcheranno i siti non-https come "insicuri", e google comincerà a penalizzarne i contenuti per le ricerche fino, probabilmente, ad ignorarli in futuro.
Già adesso, usando Firefox 56 è possibile verificare la presenza di un lucchetto verde sulla barra, sulla sinistra dell'indirizzo della pagina di luogocomune che si sta visualizzando, mentre presenta un lucchetto bianco con una barra rossa sul blog di Foa, ad indicare che la comunicazione è insicura.
Ha fatto bene Foa ad indicare il suo blog come esempio in quanto la sua ignoranza tecnologica e del web ha fatto si che il suo sito non sia ancora https, e quindi faccia in modo che ogni visita sia accuratamente tracciabile (ed eventualmente modificabile con tecniche MitM) da chi vuole e può farlo (tipicamente i governi).
Per fare un controesempio invece LC usa HTTPS di default ormai da parecchio tempo, e quindi rende estremamente più difficile la profilazione, la censura e la modifica da parte di enti terzi: Foa potrebbe parlare un po' meno ed imparare un po' di più dando in buon esempio, se pensa che queste cose siano importanti.
E se ancora pensate che possano esistere dati sicuri o identità nascoste o privacy in rete con VPN, HTTPS o TOR o crittografia, allora dovete solo impiegare una mezz'oretta a leggere i documenti Vault7: ciascuno strumento è compromesso fino alla fonte, dai software di comunicazione ai sistemi operativi open e non, al firmware e all'hardware delle schede di rete e delle schede madri.
La battaglia qui dev'essere solo legale e di civiltà, perchè la battaglia tecnica è persa in partenza.
L'unica cosa che cambia, ma questa unica cosa fa una differenza enorme, è il costo per compromettere/attaccare/monitorare le persone: quando il costo è prossimo allo zero (come è adesso dove si usano di default sistemi totalmente in chiaro), allora si monitora tutto e tutti per default.
Quando il costo per intercettare qualcuno diventa invece importante, allora, siccome le risorse (economiche) sono scarse per definizione, si deve restringere il tiro: non si può più intercettare sempre tutto e tutti, ma si deve scegliere chi e perché. Non si può cioè più agire a priori, ma si deve agire a posteriori.
E visto che pensi che sia tutto uguale, prova a chiederti (e chiedere, se non lo sai) quanto costa bloccare la vita economica di una persona: praticamente zero se uno utilizza le banche (bastano un po' di letterine alle persone giuste, e lo sa fare anche un demente, quindi un tipico governante), mentre bisogna chiedere all'NSA di agire se la persona in questione utilizza cryptovalute.
In quest'ultimo caso diventa anche estremamente complesso (e quindi estremamente dispendioso in tempo e denaro) semplicemente conoscere le sue disponibilità economiche. Da li all'impedire di disporne come meglio crede è talmente difficile che è molto più pratico fisicamente farlo fuori.
E' proprio quello che sperano che tu creda in modo da farti desistere dall'imparare cose nuove e cambiare comportamento: la realtà è esattamente l'opposto ed il potere di controllare la gente segue le stesse dinamiche economiche che governano il mondo, nessuno escluso, fatto salvo per le diverse scale di grandezza.
Non è questione di credere quanto di sapere. Nessun dato transitato su un supporto elettronico è sicuro, anzi è estremamente più cauto ragionare in funzione del fatto che sono tutti compromessi.
Intercettavano il cellulare della Merkel e ce l'hanno detto così, come se fosse "roba che può succedere".
Della Clinton hanno bucato pure la rete di server privati con cui dialogava con i suoi sodali e il cellulare attraverso cui, quando era Ministro della Difesa, ordinava le esecuzioni tramite droni.
Quindi esattamente di che cosa stiamo parlando?
Mi pare che Dusty ammetta che tutto è crackabile, ma fa notare che c'è anche una questione legata ai tempi e ai costi.
E' un po' come la sicurezza della casa: porte blindate, inferriate, allarmi, etc... non garantiscono mai l'impenetrabilità ma rendono più difficile l'effrazione in termini di tempi e costi per l'operazione.
Intanto dalla Germania arrivano norme restrittive su altri aspetti
repubblica.it/.../...
E Barbara Lezzi (M5S) applaude.
Anche su questo concordo, ma ripeto: alcuni dati sono compromessi di default, altri no perché la loro compromissione è estremamente costosa e chi monitora non ha risorse infinite.
Anche qui basta sapere: tutte le comunicazioni mobili e fisse sono tutte registrate, proprio perché il costo per farlo è prossimo allo zero in quanto in chiaro.
Tutte le comunicazioni end-to-end cryptate invece no perché sebbene sia possibile decifrarle, farlo per una sola è più costoso che farlo per 1 milione delle altre. Probabilmente anche di più.
Stiamo parlando proprio di questo: le comunicazioni della Clinton ed altri personaggi chiave del mondo sono estremamente importanti e quindi sono monitorate a priori, in quanto già si sa che sono importanti.
Al contrario, il mio ed il tuo server non sono ancora compromessi perché (con tutta probabilità) non siamo ancora così importanti da giustificare le risorse necessarie per farlo: lo faranno se e quando questo si rivelerà utile.
Ma avverrà da allora, e quindi tutto il pregresso non sarà loro disponibile (se da te non appositamente salvato).
Forse a te può sembrare uguale, ma nella pratica fa tutta la differenza del mondo: è esattamente la differenza tra "presunto innocente fino a prova contraria" e "presunto colpevole fino a prova contraria".
E comunque per entrare nel mio calcolatore ci vogliono 50 anni di calcoli sono Pandorizzato
Molti non ci pensano ma così come in tv ci sono gli zapper compulsivi, in internet ci sono i clicker, che saltano da un sito all'altro per ore e ore, oppure gente che fa ricerche con broswer diversi delle cose più diparate (mozzila, google duck ecc ecc.).
Poi diciamo anche che venga applicata alla perfezione, inizii a cancellare siti su siti e a parte la perdita mostruosa di pil e giro di affari ti ritroveresti con siti come quello di attivissimo che deve chiudere per mancanza di notizie.
viene imposta la censura?
bene!
un motivo in più per le menti aperte e libere a cercare la verità con altri mezzi ;-))
Quoto 100%
A parte che come dice Fefo occorrono fondi e competenze che qui in Italia non ci sono e poi è un lavoro che fanno da anni.... ora con questo decreto, e questa la vera nota dolente, ci dicono con chiarezza cristallina non che lo faranno ma che all' occorrenza potranno farlo....
E anzi che non hanno buttato lì la scusa del terrorismo.... lo faranno alla bisogna
Cito uno slogan di una nota compagnia telefonica:
Entra nella rete superveloce
Già mi pare tutto quanto chiaro......
Siamo tutti pesciolini a quanto pare !!!
Va bene, allora non leggere Vault 7.
Ciao!
L'esempio di MG è perfettamente calzante.
Ti chiedo: tu chiudi a chiave la porta di casa quando esci?
Se si, perché? Sei perfettamente consapevole del fatto che se qualcuno fosse sufficientemente motivato potrebbe sfondarla e prendersi tutto quello che si vuole.
Eppure la chiudi lo stesso: ed il perché è che sei anche consapevole che costi e tempi per farlo sono (ben) diversi da lasciare la porta aperta, e questo alza sufficientemente la barriera d'ingresso per tagliare fuori il 99% dei problemi.
Ora, per proseguire con la similitudine, navigare sul web in chiaro non è come lasciare aperta la porta di casa: è esattamente come non averla e non avere avere nemmeno i muri.
Cioè tutti potrebbero vedere cosa fai in casa, cosa hai, e semplicemente camminare e prenderselo se lo ritenessero utile.
Quindi, ripeto: come mai chiudi la porta di casa? E perché hai dei muri opachi invece che delle finestre senza tende?
E come mai non lasci le chiavi in auto quando la parcheggi?
Del resto sai benissimo che è possibile violare qualunque auto in pochi secondi, con le opportune conoscenze e strumenti (e se non lo sai, sappilo).
se vuole entrare a casa tua arsenio lupen lo fa punto e basta.
magari se metti le inferriate, l'allarme e una videosorveglianza il topo di appartamenti abituale se ne va da un altra parte.
la sicurezza è una questione di tempi/risorse e moventi.
#30 fefochip
Uè, vi siete messi d'accordo?
Va bene il discorso sicurezza, tuttavia qui si parla anche di impedire preventivamente l'accesso a determinati siti che è una cosa un po' diversa: aggirare un blocco del genere è assolutamente possibile e neanche difficile attualmente.
se le cose non le sai salle
ebbasta!
vpn o proxy e tante care cose
ecco perche' forse sarebbe ora di fare degli incontri di zona dei .. luogocomisti? "luogocomunisti"?
dai massimo dai il beneplacido , anzi, sollecita! cosi' dopo fai i tour nelle varie citta' !
ps: dato che mi sembra di capire che anche voi credere che il digitale sia la cosa piu' hackerabile e insicura... il voto elettronico e i bitcoin , lo ricordo, sono i tentativi moderni di soggiogare ancor di piu' le popolazioni...
No, non l'hai letto, altrimenti sapresti che il costo l'hanno già pagato e la crittografia è sconfitta alla fonte, prima che venga applicata.
Minchia, devono aver sparso il virus della simpatia su LC.
Un cordiale saluto, io a perder tempo a spiegare le cose per poi farmi anche sfottere ho chiuso.
Per quanto riguarda il mondo dei cellulari la cosa è relativamente semplice perché apple è già backdoored di fabbrica e praticamente tutto il resto del mondo usa chip Qualcomm con firmware proprietari.
Sul resto dell'hw però, in particolare sul desktop, la situazione è molto più complicata (per loro): esistono schede madri con bios open e sebbene è possibile/probabile che il firmware delle cpu o di altri componenti (tipo sk rete) abbia backdoor, far girare al momento giusto il codice che serve per copiare le chiavi di crittografia usate è tutt'altro paio di maniche.
E' possibile senz'altro, ma appunto ti ripeto (anche se non lo vuoi capire) che serve un attacco targeted, gestito da esperti (espertissimi) del settore con conoscenze e macchinari disponibili ad un ristrettissimo gruppo di persone al mondo.
Il loro uso è molto costoso e quindi viene fatto solo quando le informazioni che si cerca di ottenere sono potenzialmente altrettanto importanti.
In particolare, la cosa principale da capire è che non è possibile fare sorveglianza di massa allo stesso modo: un caso (quello attuale) è totalmente automatico ed a costo irrisorio, l'altro è possibile ma estremamente costoso e dedicato (dipende dal target, dalle sue abitudini, dal tipo di hw e sw che usa, etc).
L'hai capito il parallelo con la la porta di casa? Ti ho fatto la domanda apposta: la chiudi la porta o no, e perché?
Lasciami condire con qualche battuta che mi aiuta a sfogare la frustrazione dovuta all'avere a che fare con chi si trincea dietro le proprie convinzioni senza cercare di capire il quadro generale, si può scherzare un po', no?
Lasciami almeno queste piccole soddisfazioni
Del resto non mi pare di reagire allo stesso modo ogni volta che fai battute fuori luogo su liberismo, libertarismo etc.
Ti faccio notare che le chiavi private non lasciano mai il dispositivo (lui firma solo), e non è collegato ad Internet (ma questo sicuramente lo sai, visto che tu hai letto e conosci tutto).
Dopo che mi hai spiegato quello (e ti lascio supporre che tutto quello che uso è compromesso!), spiegami come possono impedirmi di usarlo per firmare delle transazioni Bitcoin che poi invio in rete, e che mi permettono di spostare i miei soldi in qualunque punto della terra in pochi minuti.
Se non riesci a spiegarmelo però poi non ti meravigliare che ti si sfotta, ok?
Per quanto riguarda i dispositivi mobili è una vera tragedia. Il mio primo tablet mi ha fatto cadere le braccia; l'ho "formattato" quattro volte perché ogni volta lo stesso malware faceva partire in automatico l'installazione di app sconosciute. Attualmente pare che il problema non si sia ripresentato, in compenso però ogni tanto appaio delle vere e proprie finestre pubblicitarie (occhio, non banner pubblicitari), che è una cosa "oscena" per un sistema opertivo android che lo distingue dagli altri proprio la caratteristica di aver eliminato le classiche windows dei sistemi tradizionali.
Le uniche toppe che ho adottato a tutto questo gran casino sono state l'uso di f-droid e yalp store al posto di google play store - così evito che qualcuno possa associare univocamente i miei metadati ad un account google - e di navigazione tramite orbot e orfox, ossia TOR per dispositivi mobili. Inoltre, non uso più google map, uso infatti Location Map Viewer, un app che basata su open street map. Con tutto questo ho reso il mio tablet molto più rapido.
Che dire? La lezione mi è servita; attendo semplicemente di buttare nel secchio questo tablet e di comprarne un'altro adottando sin da subito tutte queste misure.
Per quanto riguarda l'argomento dell'articolo bisognerebbe chiedersi dove sta la logica in questi provvedimenti. Infatti, censurare il web è praticamente impossibile e violare la privacy serve soltato per ricattare persone importanti come politici, giornalisti, intellettuali, banchieri, ecc. Quindi a che serve mettere su una "rete" per acchiappare questi pesci che possono essere pescati soltanto con una canna da pesca, o con un arpione?
Per me stanno portanto avanti l'ennesimo esperimento sociale ai nostri danni, destinato a fallire, ma buono per sapere quale effetto possa produrre sul nostro futuro.
Di questo passo Gulag, Lager, Inquisizione e pena di morte a breve.
Come è precipitata in basso in così poco tempo la situazione dalla crisi economica!
Oltre che manifestare organizzati per la Nostra Libertà, non so cos'altro fare! Qui non si tratta di aggirare semplicemente il problema con quei pochi mezzi che restano a disposizione.
Niente più alternative, pensare diversamente... un'altra opinione. Un unico pensiero... mondiale?
Puoi avere la chiave crittografica più lunga e potente del mondo, aggiungi tu i bit, facciamo centomila? Ma se l'algoritmo di creazione è bacato ( magari volutamente ) è come avere una porta di servizio ( backdoor ) sempre aperta.
Un esempio: www.informatblog.com/.../
Successe anche con Blackberry ( RIM ) che dovette cedere alle pressioni dell'Arabia Saudita e consegnare la chiave di cifrature per vendere in quel Paese.
Esempio di qualche tempo fa per chi ritiene che SSL/TLS e https siano sicuri ( in inglese ):
heartbleed.com/
Per non parlare delle nuove generazioni di stampanti... AirPrint, Google Cloud Print... fanno tutto da sole. E poi casualmente un ragazzetto ne ha hackerato 150.000 in una sola serata motherboard.vice.com/.../....
Spieghi a me come fai ad essere sicuro che il produttore delle tue chiavette USB di firma non sia compromesso lui stesso? Non credo sia così impossibile che NSA (o le analoghe Russe... sono i russi i cattivoni al momento, no) intimi a tutti i produttori di chiavette USB di mettere il loro codice dentro.
Scusa... senza offesa... ma non mi pare ti sia servita granchè. Hai preso delle misure che nello scenario discusso da Dusty e da Sertes sono semplicemente e totalmente inutili.
Ciò che è probabilmente compromesso è la fonte stessa, e con questo si intende la CPU: nel tuo bel tablet c'è un bel processore dentro al quale c'è CPU, memoria, scheda video, scheda di rete wifi, bluetooth e pure il GPS.
Quindi che tu sia convinto di non condividere la tua posizione con Google è un'ipotesi; quel che è estremamente probabile è che tu la condivida con NSA o analoghi.
Alla stessa stregua sulla base di cosa ti fidi di ProtonMail? Il fatto che sia hostato in Svizzera non implica mica che non sia di proprietà di un governo affamato di dati.
Analogamente pare che più della metà dei nodi TOR siano in mano a NSA; certo, la non vuol dire che la tua identità sia già compromessa, ma è probabile che così sia.
Gli algoritmi di crittazione (immagino tu intenda questo con "di creazione") sono al momento attuale sicuro; solo i più vecchi e datati sono stati compromessi, ed infatti sono stati spazzati via dall'uso nel mondo reale.
Ogni algoritmo al momento sicuro potrà essere un giorno compromesso, su questo sono d'accordo tutti, ma al momento ce ne sono di sufficientemente sicuri.
Quello che è compromesso non è l'algoritmo di crittazione in sè, quanto il processore che gestisce i dati in chiaro, e che poi vengono crittati.
Dusty però risolve la questione utilizzando una chiavetta USB che ritiene sicura e dentro alla quale sono custodite le sue chiavi private (presumo per la crittovaluta), chiavi che mai escono da lì dentro. Questo aggiunge (ipotizzando che la chiave sia sicura) un livello di sicurezza decisamente elevato.
Però Dusty... mi chiedo e ti chiedo... Questo ti protegge le crittovalute... Ma le comunicazioni? I documenti? Se la CPU del tuo PC è compromessa ed ipotizziamo anche la scheda di rete a livello hardware... Come proteggi i tuoi pensieri digitali?
Grazie delle risposte.
E' sicuramente possibile, ma:
1) se questo è il dubbio esistono hardware come il Trezor (peraltro meno sicuro) dove il firmware è opensource
2) Nel caso della Ledger, se proprio uno vuole, il firmware è parzialmente ispezionabile perché aggiornabile via software. E' closed source ma c'è il pacchetto scaricabile dal sito. Il produttore cmq ha dichiarato di volerne aprire la maggior parte.
3) Anche nel caso di software compromesso, serve un corrispondente software compromesso lato client (dove invece il protocollo è completamente opensource), e siccome le transazioni sono firmabili anche senza il collegamento ad Internet su di un PC airgapped puoi fare tutta l'operazione essendo sicuro che eventuali backdoor non siano sfruttabili
4) Il punto 3) risolve il problema per cui è possibile che anche il chip a basso livello sia compromesso alla fonte dal produttore, per cui diventa anche irrilevante l'eventuale compromissione del firmware
Non esiste un modo sicuro, che io sappia: indipendentemente dalla avanzata scelta tecnologica che tu puoi stare utilizzando, è possibile che tu abbia microfoni o telecamere nascoste in casa, per dire.
Quello che puoi fare è alzare la barriera d'ingresso, e cioè fare in modo di non cadere in una rete che filtra tutto e tutti, in modo che se ti vogliono sorvegliare devono farlo avendoti di mira e quindi con notevoli sprechi di tempi e risorse, invece che a costo (virtualmente) zero.
Anche se è ipotizzabile che grosse istituzioni o governi abbiano enormi risorse, queste non sono mai infinite.
#14 luogocomune.net/.../...
I second this
@Peonia
#9 Sì, siamo positivi! Dobbiamo esserlo!
@ByB
#21 Bel video
Ok, sulle crittovalute sei stato sufficientemente esaustivo e convincente Certo che fare quello che dici è possibile ma è sicuramente mostruosamente complicato; chissà se TU lo fai
Per i propri pensieri e scritti digitali invece? Nulla di quanto hai elencato è applicabile a ciò...
Quindi siamo compromessi a priori?
Perché è questo il cardine principale dell'articolo e del disegno di Legge; che si voglia colpire anche le crittovalute è probabile, ma a me preoccupa molto che i miei dati, le mie abitudini di navigazione e le mie comunicazioni possano essere riservate.
Bada... Non voglio che lo siano ADESSO; non sto usando una navigazione tramite VPN (anche se ce l'ho), sono conscio di avere milioni di cookies di profilazione, sono schiavo di Google e di tutto il resto...
Ma vorrei sapere che se decido di volerlo (o doverlo) fare, ci sia un modo per potermi proteggere.
(Scusate se forse è leggermente OT)
Salvini l'unico che sembra esserci.
Siamo alla frutta se passa sta roba... Poi però avranno superato il limite. E questo è un bene.
Purtroppo devo constatare che pare essere proprio così.... il fondo non è ancora raggiunto.
Chi però lo capisce prima può beneficiarne (se non altro, economicamente).
No, guarda, il tablet è una cagata, l'ho pagato solo una cinquantina, e che fosse tarato di suo se ne accorge anche uno inesperto. Conteneva di fabbrica un malware che installa app sconosciute.
Infatti, me ne devo comprare un altro, ma questa volta non gli fornisco il mio account google (anche se inventato), così non c'è possibilità di associare univocamente l'account paperino@gmail.com con i miei meta dati.
Una buona norma della privacy, anche nella vita reale, è dividere le identità, gli ambiti e i luoghi frequentati, creare dei mondo paralleli, insomma, che non si incrocino mai; creare dei compartimenti stagni, che nessuno immagina che esistano.
Cosa vuol dire questo su internet? Significa che per svolgere determinate attività va utilizzato un determinato dispositivo (un tablet per esempio) con un determinato accesso alla rete, per altre un altro ancora (un pc) e un'altro accesso diverso dai precedenti, e via discorrendo.
Abbi la compiacenza di darmi dei fatti che dicano il contrario, please.
I server stanno in Svizzera, il servizio è a pagamento e la casella di posta è criptata.
Allora non esco più di casa
Ciao.
Sto giro ha anche i miei applausi.
Purtroppo chi chiama le cose con il loro nome da molti è considerato pazzo (tipo io dai miei colleghi ).
youtu.be/hQ1FeN0J2Qo
ma veramente si pensa ancora che le nostre pw di fb o degli account di posta o dei vari drive on line le conosciamo solo noi ?
e la marmotta che incarta la cioccolata ?
e se può apparire banale ma è un esempio di come basta poco a fotterci.... quando scriviamo le pw su un qualsiasi supporto vediamo gli asterischetti ***************
e mi si dirà cosi chi ti sta accanto non può leggerla, giustissimo.....
ma la presa per il culo è che il "proprietario" di quel "sistema" in cui noi accediamo tramite pw la può vedere benissimo........ e gli asterischetti ************ sono la nostra garanzia che protegge la nostra privacy ?????......... e non parlo di massimo che nel suo sito può leggere le credenziali ma sicuramente le legge chi ha fornito questo dominio a massimo.........
ma sono fuori di testa io ??? o viviamo nella tana del bian coniglio ???
Nel caso di ProtonMail anche il fatto che sia opensource non ti tutela, perché non puoi sapere cosa gira realmente sui loro server.
È probabile che al momento sia sicuro, ma non puoi esserne sicuro, capisci la differenza?
Già nel passato ci sono stati casi di fornitori di email crittate che sono stati hackati oppure costretti dai giudici a mollare le chiavi di crittazione.
Per quanto riguarda ProtonMail leggi la parte "The Bad" di questo articolo peraltro solo divulgativo: wired.com/.../...
Purtroppo è così, lo si sa da anni che NSA ha dei suoi nodi Tor; far parte attivamente della rete Tor è un buon modo per comprometterla.
Questo è solo un esempio: surveillancevalley.com/.../... oppure quest'altro pando.com/.../...
Ci sono decine di articoli su come Tor possa essere compromesso.
Si torna al discorso di Dusty: tutto può essere compromesso, è solo una questione di risorse; non spenderanno mezzo milione di dollari per beccare te ed i tuoi filmini porno (scherzo, ovviamente), ma potrebbero tranquillamente spendere dieci milioni per beccare qualcuno che reputano grosso e meritevole di essere pinzato.
La navigazione https ti protegge come una porta chiusa ti protegge dal balordo che vuol entrare in casa in casa per rubarti quattro stracci; Tor ti protegge come la porta blindata e la inferriata alle finestra per pararti dal ladro organizzato che vuol entrarti in casa per portarti via la cassaforte con €30.000 in contanti.
Ma se in casa hai 10 Picasso e 5 Van Gogh non sperare che la porta blindata (Tor) ti pari il culo.
Però parli di password ed asterischi, LOL
quoto
#20 Dusty
Su questo non sono daccordo, ci fanno credere che controllano solo la gente importante, ma non e' cosi', anzi spesso e' il povero comune mortale che viene costantemente controllato ovviamente nel caso in cui ritengano che questo possa nuocere al sistema.
E i soldi ci sono sempre, come per fare le guerre, non mancano mai.
Credo di aver gia' menzionato di un mio conoscente che fu bloccato all'aeroporto di Dublino diretto negli USA. Venne fuori che non poteva entrare negli usa perche' schedato a seguito di una mail che aveva mandato a un suo amico parlando e scherzando su un party. Lui scrisse una frase infelice che intendeva solo significare "far casino" "far caciara", ma il server l'ha interpretata in un altro modo, diciamo letterale... per capirci con chi e' di Roma, sapete le paste fritte ripiene di crema che si vendono nei bar, il cui noome fa scattare l'allerta, beh immaginate di chiederne la ricetta su una email a un vostro amico....
Insomma c'e' molto piu' controllo fatto sulla gente comune di quanto ci immaginiamo, e c'e' un motivo per questo, tenere a bada i dissidenti.
Diciamo che stai confondendo un po' di cose, anche tralasciando la chiave di Dusty.
Sul proprietario, dipende da come è fatto il sistema. E' sempre possibile crackando o con un debugger o con diavolerie varie, ma per crackare ci vuole almeno un po' di tempo. Se il sistema è fatto decentemente il proprietario (o anche un tecnico) non può vedere immediatamente le PW in chiaro perchè anche nel DB, a basso livello, la PW in chiaro non c'è.
Chi ha fornito il dominio stai tranquillo che non vede assolutamente niente, sarebbe come dire: chi ha stampato l'elenco del telefono può ascoltare tutte le telefonate. Il dominio è solo un nome a cui vengono associati degli indirizzi IP perchè sarebbe leggermente scomodo navigare internet usando gli IP e non i nomi. Chi fornisce i domini semplicemente vende il nome.
Casomai potrebbe intercettare il traffico chi ospita fisicamente il sito (hosting), ma anche qui se si usa SSL ci deve essere qualche aggeggio appositamente installato.
Se, invece, non c'é SSL allora la password se ne va in giro in chiaro e (quasi) chiunque può intercettare il pacchetto e vedere cosa c'è dentro, inclusa la PW.
Comunque, non è che sto sostenendo che ci sia privacy: sappiamo benissimo che ogni protezione si può potenzialmente bucare.
ma i morti li fanno ugualmente (basta pensare ai vaccini).
Le attuali norme di ritenzione, cioè il tempo in cui LEGALMENTE i provider possono conservare i nostri dati è il seguente:
24 mesi per i dati del traffico telefonico (chi ha chiamato chi, a che cella erano collegati, durata della chiamata)
12 mesi per i dati del traffico telematico (che siti hai visitato, quali tipologie di comunicazione hai utilizzato)
30 giorni per le chiamate senza risposta (chi ha chiamato chi, a che cella erano collegati)
E già dallo scorso 22 luglio si sapeva del colpo di mano del 19 luglio, giorno in cui è stato approvata una legge di recepimento delle normative comunitarie che nella sezione della sicurezza degli ascensori aggiungeva una piccola norma che estende a 72 mesi il tempo di memorizzazione di tutte e tre le categorie di dati qua sopra specificate
www.valigiablu.it/.../
Licenza cc-by-nc-nd valigiablu.it
una domanda: se entrano in vigore i 72 mesi, vuol comunque dire che i dati anteriori i 24 mesi prima dell'entrata in vigore della legge sono il limite massimo? cioe' se la legge e' del 2017 non deve comunque essere possibile recuperare i dati del 2012, dato che per la precedente legge dovevano essere distrutti.
ameno che i dati siano tenuti illegalmente
Inesorabilmente stiamo andando verso 1984 di Orwell.
Fino a ieri si limitavano a nasconderci la verità.
Poi sono passati a inculcarci a forza la Loro verità.
Non contenti renderanno ebeti le prossime generazioni (se sopravviveranno) per renderle più malleabili.
Adesso iniziano (se ci riescono, ma il modo lo troveranno) a censurare il web.
Quale sarà la prossima mossa?
Controllo totale. Web cam sempre accese in casa e fuori.
Perseguire i pochi irriducibili con pene psicologiche per piegare le menti più recalcitranti.
Risultato finale: 1984
Non era un film, ma una profezia.
Non mi riferivo a te ma ho alcuni amici geni che tengono i loro "dati sensibili "
in supporti esterni pensando di tenerli al sicuro
MG
Il mio discorso fatto in soldoni lo hai perfettamente racchiuso nel tuo commento......
Significativo il fatto che da un po' di tempo con la faccenda di acquistare software o spazi di archiviazione on-line in abbonamento ( come ad es Adobe o il cloud anche per smartphone) hanno nelle loro mani tutta la nostra vita sia professionale che privata ......
quello che proprio non capisco è come abbiamo fatto a pensare che avendoci dato uno strumento così prezioso come il web non si siamo presi nulla in cambio ....
E non si sono presi proprio una cosuccia.... volendo hanno accesso a tutto ciò che facciamo, guardiamo, diciamo e acquistiamo..... quando lo facciamo e incrociando i dati il perché lo facciamo.....
abbiamo venduto l anima alla rete !!!
E non perché costretti a farlo ..... lo abbiamo fatto volontariamente e anche con il sorriso sulle labbra....
la rete è un immenso acquario e noi siamo i pesciolini che ci sguazzano dentro e chi può ci guarda da fuori lanciandoci di tanto in tanto una manciata di mangime ..... la privacy è un ricordo lontano lontano lontano....
Posso tranquillamente spiegartelo io.
Quando ero più giovane mi sono dilettato sia in programmazione che in crittografia ed ovviamente, per puri scopi di test ho creato piccoli programmini per crittografare testi.
Per prima cosa ti informo che negli usa esiste una legge sulla sicurezza nazionale che impone a chiunque crei software crittografici di:
- Creare una possibilità di decifrare il testo senza conoscere la chiave.
- Fornire questa possibilità agli inquirenti di vario ordine e grado.
Chiunque ponga in commercio software critografico lo sa e ci si attiene altrimenti viene arrestato se a richiesta non ottempera.
Non sono a conoscenza di alcun software crittografico che circola in rete e non soddisfi questi requisiti.
Per chiarirti la questione, visto che è evidente che non hai mai scritto una singola riga di codice per la crittografia basta che ti poni una semplice domanda:
Come può il software comunicarmi che la password è errata?
Semplicemente l'unico modo che il software ha per farlo è conoscerla. Se il software non conoscesse la password non potrebbe mai confrontarla con quella che inserisci e dirti se è giusta o sbagliata.
Facciamo un esempio se non sono stato chiaro.
Poniamo che io voglia cifrare il messaggio:
"Ciao e benvenuto Gigi".
Il software di crittografia lo trasformera in qualcosa del genere:
"sEf
Magari dico una cazzata, ma credo che il tuo discorso sia valido per la crittografia simmetrica (dove esiste solo una chiave pubblica).
Nel caso della crittografia asimmetrica, esiste una chiave pubblica e una chiave privata e segreta che è in possesso solo dell'utente (come nel caso dei bitcoin).
imperdibile per chi si appassioni a questo argomento, anche se un po' datato (visto che ogni anno e' un secolo in questo campo)
Non è esattamente esatto poichè esistono robusti algoritmi di HASHING. Certo, crackabili, ma in questo caso la PW non è memorizzata da nessuna parte, neanche criptata, e non c'è una chiave che potrebbe facilmente decifrare la PW: è memorizzato un codice hash da cui è relativamente difficile risalire alla PW che l'ha generato. Quindi se si applica questo metodo il SW non conosce la PW ma sa comunque determinare se è giusta o sbagliata.
Ripasso questo link, interessante se avete un cellulare android
maps.google.com/locationhistory/
Fantascienza? No, si chiama "Retroshare"
retroshare.net/index.html
E' una rete p2p, quindi con collegamenti diretti tra utenti, senza passare per i server.
Il tutto è non solo criptato, ma è difficile capire nonché dimostrare che la si sta usando.
Funziona a gruppi, come facebook, MA ad invito: per far entrare un amico nel gruppo bisogna scambiarsi dei file di testo che serviranno per far funzionare il tutto. Chi non è del giro è tagliato fuori.
Dentro c'è di tutto: dalle chiamate telefoniche, ai siti internet, ai blog, alla mail. Tutto quello che vi serve, da usare sui gruppi di amici.
Unico problema: sembra non funzionare bene oltre un certo tot di amici contemporaneamente (siamo sull'ordine delle decine).
Filtrano internet e solo qualcuno riesce a vedere le notizie scomode? Basta che queste persone le girino su Retroshare agli amici meno bravi e tutti possono vederle. E non solo senza censura, ma anche senza che lo "Stato di ex diritto" sappia cosa stia succedendo.
Tra l'altro Retroshare elimina anche il rischio dei bot come quelli che fanno falsi commenti al PD: basta invitare la gente esclusivamente di persona e i bot vengono tagliati fuori in modo automatico.
Quindi il sistema non archivia la password originale, ma solo il codice hash. Il confronto avviene in memoria applicando l'algoritmo alla password digitata: se il codice hash generato coincide con quello archiviato, allora la password e' corretta.
Naturalmente nulla vieta ad un sotware maligno di archiviare la password in chiaro da qualche altra parte per farne usi oscuri, am il SW su cui lavoro io non lo fa altrimenti i clienti ci scannano.
Esattamente esatto.
Si può sempre crackare brute force ma se si associano dei blocchi all'utenza dopo, esempio, i classici 5 tentativi falliti hai voglia a forzare. Ci vuole un hacker che mette in piedi un attacco mirato.
Ok, evidentemente la parte troncata del commento serviva più di quel che credevo.
Come agisce un software di crittografia. Prende praticamente un testo (o dei dati) e li trasforma in altri dati non leggibili.
Poi attraverso un processo inverso li ritrasforma in un testo leggibile.
Per fare questa operazione si possono creare vari algoritmi.
Si potrebbe ad esempio usare l'algoritmo di Cesare che è una semplice traslazione e non richiede alcuna password oppure si possono creare algoritmi con password sia simmetrici che asimmetrici come ricordava Regom.
Ad esempio un algoritmo di Cesare sostituisce ogni carattere con i successivi aumentati di tre.
Trasforma quindi ogni "a" in "d", ogni "b" in "e", ect.
it.wikipedia.org/wiki/Cifrario_di_Cesare
Quindi un testo:
"Ciao" diventa
"Fndr".
Un testo assolutamente incomprensibile finchè non si applica l'algoritmo inverso.
Questo tipo di crittografia, su un testo lungo, è facilmente decrittabile anche non conoscendo l'algoritmo usato con tecniche di decifrazione che si basano sulla frequenza delle lettere di una lingua. Per farla breve, con la potenza di calcolo degli elaboratori elettronici non viene più usato.
Un algoritmo con password invece deve creare un output differente a seconda della password usata. Se io ad esempio cifro la parola "Ciao" con password "1AChenoia21" devo ottenere un risultato diverso se cambio password.
Il punto focale della discussione è perché il software conosce la password. Non è necessario per la decifratura. Se io fornisco una password errata semplicemente l'algoritmo fa il suo lavoro ma mi restituisce un testo incomprensibile.
Ma siccome esiste quella legge negli USA (non in tutte le nazioni), chiunque vende software che sa che poi verrà usato negli usa, fa in modo che l'algoritmo salvi la password all'interno del documento che va a trasmettere.
Ripetiamolo. Ai fini della decifrazione non serve che la password viaggi assieme al documento criptato. L'unico motivo per cui viene fatto è perché il documento possa essere decrittato anche da chi non conosce la password. Non è necessario infatti estrocere con l'inganno o torturare qualcuno per ottenerla. Non serve alcun brute-force o dizionario. Semplicemente l'unico motivo ragionevole per cui la password viaggia assieme al documento è perché così chi ha i giusti mezzi può leggerla.
E qui ritorniamo all'inizio. Siccome non ha senso far viaggiare la password assieme ai dati (neanche crittografata) l'unico motivo per farlo è ottemperare alla legge e rendere il documento decifrabile dalle "autorità". Il fatto che il programma possa stabilire se una password è errata o meno è garanzia che la password stia viaggiando col documento. Non avrebbe altro modo per saperlo.
Ti aggiorno rapidamente: hanno creato una roba che si chiama "hash", che trovi anche su Wikipedia alla voce "Funzione crittografica di hash".
Nessun sistema operativo, software, sito, chiavetta USB o altro che sia sensato tiene MAI e per NESSUN MOTIVO la password in chiaro, per svariate ragioni; la più banale è che basta un hacking e l'hacker portandosi via tutto il database di utenti e password.
Quello che viene registrato è l'hash della password, calcolata tramite algoritmi matematici sufficientemente complessi e sicuri e che garantiscono una non reversibilità ed una probabilità di collisione infinitesimale.
Con l'algoritmo sha512 ad esempio la tua password "Ciao e benvenuto Gigi" diventa 8521abcabdf5cf5cc4356ffb5555087be64aab11e80a16b3c34603626095d3a30b6928321dcebeca7c682efa09d2cf9c3ce8d7354383a31c3cac52723daf8924, con md5 diventa invece 3d785be8298631e0aecddeac51bdf48d e così via.
Gli algoritmi di hashing sono studiati appositamente in modo tale che l'operazione non sia reversibile; questo vuol dire che da 3d785be8298631e0aecddeac51bdf48d non puoi risalire a "Ciao e benvenuto Gigi". Se per caso viene trovato un modo di farlo, l'algoritmo è compromesso ed immediatamente abbandonato. Nessuno degli attuali algoritmi di hashing è mai stato compromesso né sono state trovate collisioni (vale a dire due diverse password che danno lo stesso hash di risultato; su Wikipedia "Collisione hash"); md5 è stato oggetto di collisioni alcuni anni fa ed è stato rapidamente abbandonato per questo scopo. Per sha1 è stata trovata una singola collisione: sono solo serviti 6610 anni di tempo di processore... per una sola collisione (che però non permette di risalire alla TUA password, ma dice solamente che due precise password diverse hanno lo stesso hash).
Ovviamente avrai sentito parlare di "rainbow tables" (su Wikipedia "Tabella arcobaleno"); sono degli enormi database (nell'ordine delle decine di gigabyte) che contengono un immenso dizionario con i relativi hash (md5, sha1, sha512, etc. etc.).
Per questo (ed altri motivi) tutti i sistemi che crittano le password utilizzano una tecnica chiamata "salt" (che trovi su Wikipedia alla voce "Sale (crittografia)") che è l'aggiunta di numero arbitrario di byte casuali, che complica enormemente gli attacchi a dizionario con le rainbow tables.
Ad esempio nel caso delle password Linux che sto usando il mio salt è "Gn4w0qZ2"; questi 8 caratteri permettono 2x10^14 combinazioni (circa duecento mila miliardi) per ognuna delle password che possono essere tentate. Se già le rainbow tables SENZA salt sono 18GB (l'ultima che avevo visto io), fare delle rainbow tables con salt porterebbe alla creazione di tabelle da qualcosa come circa 36 yottabyte (1 yottabyte è mille miliardi di terabyte).
Penso capirai che diventa piuttosto impossibile uno storage da 36 yottabyte anche per NSA... Lasciamo perdere la quantità di tempo di CPU per calcolare una simile mole di calcoli.
Se poi dovesse avvicinarsi il momento nel quale lo yottabyte diventi una realtà (fra qualche decina d'anni?) non fantascientifica, basterà aggiungere 4 caratteri al salt e problema risolto.
P.S.: Io non sono informatico se non come hobby, quindi i conti potrebbero essere imprecisi.
So cosa è un hash ma non capisco cosa c'entri.
Che nessun sistema operativo conservi password in chiaro... non ne sarei così sicuro. Ma non ha nulla a che vedere con la discussione. Si può tranquillamente accedere ad ogni sistema operativo senza conoscere la password. E' banale accedere anche ad un cellulare android crittografato senza conoscere il codice di sblocco. Figuriamoci i sistemi per pc.
La legge impone che il sistema anche se cifrato sia accessibile dunque per quel che ne so nei moderni sistemi operativi possono anche aver crittografato le password con hash teoricamente inviolabili, tanto non servono se uno vuole accedere al sistema.
Per decrittografare un documento ti ripeto, non serve che la password viaggi all'interno dello stesso. Con o senza alcun tipo di crittografia. Non ha alcun senso se non renderla disponibile a chi ha i mezzi per trovarla all'interno del documento e leggerla.
Tu stesso ammetti che esiste una minima possibilità che un algoritmo di hash possa essere violato. Io non conosco il modo di farlo ma anche se esistesse una possibilità remota che senso ha inserire una password o il suo hash per farla viaggiare assieme al documento?
Nessuno.
Dunque perché un rischio se pur secondo te infinetisimale?
Se viene fatto è perché a qualcuno serve e sa come usarla.
Dati -> cripto -> invio
ma almeno così:
Dati A -> 1a criptatura con programma 1 - Dati B -> 2a criptatura con programma 2 -> invio
Ora la password non serve a niente e per la legge sono in regola.
Chi crea il programma, mica può sapere come sono i dati che deve garantire ( per legge ) come accessibili.
Minchia, il tenore di molti commenti - non solo il tuo - è sconfortante. A questo punto dovremmo sospettare che in realtà anche tua madre sia un agente segreto
Dai scerzo!
Allora veniamo al dunque.
Guarda, un modo per verificare se una logica è fallace basta portarla alle estreme conseguenze. Per esempio: se la tua automobile si guasta e la porti dal meccanico ad aggiustarla, che cosa farai tornando a prenderla? Paghi con un centone il meccanico ringraziandolo del servizio che ti offerto, con un sorriso a 32 denti, oppure gli dici "alt, devo prima controllare, altrimenti il mio è un atto di fede" e poi apri il cofano per scrutare dentro non si sa bene che? Stesso discorso per tutte le volte che avrai a che fare con un professionista che ti offre un servizio.
Equilibrio! Ci vuole equilibrio nella vita, e coerenza. Altrimenti non ne esci vivo. Ovvero: la tua logica sarà pur corretta e rivoluzionaria, ma, ahi me!, è disfunzionale! (chi ha orecchi per intendere intenda). Così dai il fianco agli psicopoliziotti (che come ti rigiri te li trovi sempre dietro alle spalle, altro che l'NSA ).
La cosa più saggia, allora, è uniformare la realtà virtuale alla "realtà reale" e viceversa. Se vuoi tutelare la tua privacy su internet basta adottare le stesse misure che adotti nella vita reale.
Il problema - come fossimo soggetti da un principio di inerzia - è che tendiamo ad utilizzare internet come ai primi tempi della sua nascita, quando era a tutti gli effetti un mondo con delle regole del tutto diverse da quelle del mondo reale.
Infatti, c'è stato un cambiamento totale di internet con la sua capitalizzazione, che in termini tecnici suona in questo modo: ad un certo punto c'è stata la sussunzione della rete internet al capitale; ossia, come è avvenuto secoli primi con il lavoro, il capitale ha assorbito, incorporandola, l'intera rete internet, comprese le teste pensanti che formano i nodi e producono i contenuti. E di qui il ripresentarsi di tutti i problemi e le contraddizioni che hanno contraddistinto qull'antagonismo sia logico che reale (magari fosse pure oggi, reale e rosso! ) che nei secoli XIX e XX venne etichettato con l'espressione dialettica capitale-lavoro, o più prosaicamente "lotta di classe".
Chi oggi non ha mai pensato fra se e se le seguenti cose: "Ma se io fornisco di contenuti questo social network perché non vengo remunerato?"; "Come fa Google a fornirmi gratuitamente (! ) i suoi servizi?", "Perché facebook controlla quello che faccio?", "Perché quando scrivo un post sul mio blog o posto un video su Youtube mi sento come in una catena di montaggio?", ecc.
Perché, dico io, nessuno si incazza dopo il caso Snowden? Semplicemente perché siamo delle rane bollite. Ossia facciamo parte di un grande processo che ha visto i nostri bisnonni accettare prima l'enclousure e poi l'industrializzazione capitalistica; i nostri nonni il fordismo; i nostri padri il capitale cognitivo; e noi, infine, come c*******i accettiamo il disegno di legge Gentiloni (che fa pure rima).
La classe media, quella grigia, nella sua saggità se ne è accorta, e cheta cheta si comporta su internet come farebbe nella vita reale. Per questo se ne fotte e non protesta.
Ad ogni modo continuo con l'Ot perchè una cosa la voglio dire:
Siamo sicuri che questo bitcoin o le criptovalute in generale siano una buona cosa?
Mi sono visto il video e non ho capito molto, conosco molto poco il funzionamento di questi aggeggi ultratecnologici, ma a naso mi sembrano proprio inquietanti.
Cito un esempio. Due tedesche hanno messo su una criptomoneta e per produrla devono affittare una centrale idroelettrica allo scopo di produrre ancora più criptomoneta. Poi vanno sul mercato denominato ICO per farsi finanziare per potrer affittare ulteriori centrali elettriche per produrre ancora più criptomoneta....
Se ho capito bene è pura follia... Non molto distante dal creare strumenti finanziari come i contratti derivati e roba simile.
l'autore del video postato da Mg tendenzialmente approva le criptovalute come strumento democratico, io non ci scommetterei un bitcoin...
Ti faccio compagnia.
Per un attimo mi sono sentita alle superiori quando il mio professore spiegava trigonometria. Praticamente per me: aramaico antico.
Quando ti logghi su Windoze (brrr!), il SO non conosce la tua password, conosce l'hash saltato della stessa; tu digiti la password per loggarti, il SO prende il salt e fa l'hash della password che hai immesso; se l'hash della password di login e l'hash della password che hai fornito coincidono, permette il login. Proprio per questo è FONDAMENTALE che non ci siano collisioni, perché potrebbe ipoteticamente succedere che ti accetti un login con una password TOTALMENTE diversa da quella reale, ma che per caso ha lo stesso hash e quindi entri.
Proprio per quello se ben ricordi (non so se è ancora così) PGP non poteva essere distribuito COMPILATO negli USA; i sorgenti erano liberi e poi te lo dovevi compilare tu; in questa maniera l'obbligo di backdoor era aggirato.
In più è sufficiente che il software sia ufficialmente prodotto all'estero e la gabola è risolta (finché gli USA non censureranno etc.).
Se tu vuoi usare la crittazione di Windows fai pure; chi usa LUKS, VeraCrypt, ecryptfs, etc. etc. può stare un po' più tranquillo di te perché backdoor non ce ne sono. Se non si fida dei binari, si può anche compilare da sorgente e fine dei dubbi di backdoor.
Ovviamente rimane la questione della craccabilità degli algoritmi; ma al momento ce ne sono parecchi che sono giudicati sicuri.
Non serve che la password viaggi nel documento; se conosci la crittazione asimmetrica sai anche che puoi crittare un documento in modo che differenti chiavi private (quindi diciamo "diverse password") aprano il tuo documento; alla NSA non serve affatto la TUA password, usa la SUA che apre comunque il documento senza problemi.
Fino a prova contraria (anche se non controllo da almeno 6 mesi) la crittazione dei documenti OpenOffice/LibreOffice non è craccabile se non con brute-force, ma il fattore tempo lo rende impossibile se non usando un dizionario e con tanta fortuna. LibreOffice e OpenOffice sono anch'essi a sorgente aperto e non sono mai state segnalate backdoor. Certo potrebbero esserci, così astute che nemmeno i crittoanalisti che lavorano sul sorgente non se ne accorgono. Ma è indubbiamente più sicuro della crittazione M$ che invece è a sorgente chiuso ed è soggetta alle leggi che tu stesso menzioni.
Certo che ce l'ha; non serve nessuna password col documento, basta che nel file venga salvato il checksum del file decrittato; al momento di aprirlo tu dai la password, il programma decritta il documento con quella password, ed alla fine fa un controllo crc del file decrittato; se il crc non corrisponde, il file è corrotto quindi vuol dire che la password è sbagliata. Semplice ed efficace, no?
Ti prego, prima di riferire cose irrealistiche che nessun programmatore che è andato oltre il cifrario di Cesare mai scriverebbe, informati un minimo; di basta dare un giro di unzip ad un file crittato e scoprirai che ciò che ho detto è vero.
C'entra per quel che ti ho detto prima; il checksum è anche semplicemente l'hash del documento decrittato.
Cmq scusa ma Dusty stava parlando della firma tramite la chiavetta USB di cui ha messo la foto; da quella non escono le chiavi private, come ha esaustivamente spiegato. Quella chiavetta non contiene documenti etc. etc.
Ok, ammetto che forse il Commodore Amiga nelle prime versioni lo faceva.
Ma è più che certo che Linux, OsX e pure Winzozz utilizzino il metodo dell'hash. Un SO che non lo fa è criminale.
Persino nel vecchio XP "The Windows XP passwords are hashed using LM hash and NTLM hash (passwords of 14 or less characters) or NTLM only (passwords of 15 or more characters). The hashes are stored in c:\windows\system32\config\SAM. The SAM file is encrypted using c:\windows\system32\config\system and is locked when Windows is running."
Che poi fosse semplicissimo bucare la procedura di login (esemplare il buon Kon-Boot) senza conoscere la password e senza doverla decrittare è un'altra questione, e sia ringraziato il buon Bill Gates ed i suoi seguaci.
Mi puoi dare il riferimento italiano? Perché a me non risulta.
Perché tutti gli algoritmi di cifratura per definizione intrinseca prima o poi verranno violati; su questo non c'è dubbio. Non esiste il rischio zero. È profondamente stupido crederlo.
Può esserci una ragionevole tranquillità, sapere che al momento attuale statisticamente possono essere necessari con un supercomputer qualcosa come 100 mila secoli per decrittare la mia password di login; con buona pace di Moore magari fra 6 anni basteranno 3 giorni per craccarmi la password. Oppure fra 6 mesi bucheranno l'algoritmo di cifratura. O troveranno una falla in OpenSSH e con uno 0day il mio PC li accoglierà a braccia aperte.
Scherza pure, ma quando per demolire ed appropriarsi della tua fulgida start-up che avrai messo su grazie ai BitCoin che avevi comprato a €1 arriverà a tua moglie la documentazione completa dei messaggi scambiati con la tua amante e le foto piccanti scattate insieme, forse prenderei questo aspetto un po' più sul serio.
Le cose possono prendere improvvisamente una piega inattesa. Ricorderai una nazione nel XX secolo che all'anagrafe registrava in buona fede la religione dei propri abitanti; nessuno si aspettava che un giorno i cordiali amichetti dell'Adolfo crucco usassero questi dati per sterminare quelli che si erano registrati come ebrei era forse un po' troppo tardi.
Magari non c'è rischio oggi; ma sei disposto a scommetterci la vita dei tuoi cari che non ci sarà rischio fra 6 mesi? 1 anno? 3 anni?
Eh proprio no; se tu dici al tuo partner in casa vostra che il tuo capo è uno stronzo, la possibilità che tu perda il lavoro è legata essenzialmente al fatto che il tuo capo sia nascosto in casa tua in quel preciso momento (che poi il capo è nudo nell'armadio quando tu rientri è una questione più complicata).
Se invece glielo scrivi su WhatsApp quel messaggio potrà essere usato contro di te a tempo indeterminato virtualmente fino alla tua morte (anche se si narra che comunque gli avvocati ti continuino a fottere anche quando sei morto).
È disfunzionale? Certo che lo è... E parecchio!
Guarda, secondo me il 95% delle persone (e sono ottimista sul 5%!) non si pone proprio il problema.
Perché la gente mediamente è molto capra? Perché abbiamo il numero di analfabeti funzionali più alto d'Europa? Perché se gli dai pane & calcio (moderna versione di "panem et circenses") si sentono sessualmente gratificati?
Però se tu queste cose lo sai e nonostante questo non pensi che, per quanto disfunzionale, sia più saggio tenere il culo a paratia, mi sembri alquanto poco saggio...
Nonostante tutto mi fido del mio intuito. Ciò che non puoi capire non puoi governare...
1 Bitcoin=circa 3700 Euro!! Sti cazzi!!
Fonte: it.coinmill.com/BTC_EUR.html#BTC=1
L'agcom dovrebbe imporre delle regole ai provider, non sarà certo l'agcom da sola a fare il lavoro sporco.
Come farà, ma soprattutto se ci riuscirà, non mi è chiaro ancora. Messora dice (nel video segnalato da #56 BaBaJaN, che colgo l'occasione per salutare e ringraziare) che verrebbero usati apparati intermedi che hanno anche tutti i certificati e potrebbero decrittare anche i pacchetti che girano in ssl. Diciamo che è più facile dirlo che farlo e mi permetto di avere qualche dubbio. Sarei anche curioso di sapere cosa dicono le certificate authority (CA) in merito.
#86 Ste_79
Come tutte le monete il valore non lo fa la moneta in sè ma la fiducia che la gente in essa ripone.
Probabilmente hai capito come funziona la moneta fiat, quella che stiamo usando, ma dubito che tu sia in grado di governarla. Comunque la accetti come pagamento a fronte di un bene o servizio fornito. Spero di essermi spiegato.
Personalmente credo che le criptovalute siano interessanti ma è una questione che devo approfondire. Non sono particolarmente ottimista in merito ma l'idea di un potere decentrato mi sembra una buona cosa in sè. Tra quelli presentati nel video, il progetto che hai citato effettivamente è una roba strana, non l'ho capito. Ma, ad esempio, quello che riguarda la piattaforma di diffusione contenuti mi sembra un'idea davvero molto valida.
Sicuramente siamo ancora nella fase far west, è difficile dire come si evolverà ma si può tranquillamente prendere atto che è già una realtà ed ha già raggiunto dimensioni notevoli.
@ Rolly
I miei complimenti per la tua pazienza e la tua tenacia.
THANKS !!!
a libertà...... a libertà.......
In questo sito: dagospia.com/.../... dicono che usano> Deep packet inspection, ma sembra qualcosa che usano anche le aziende.
In particolare sarebbe DPI-SSL, mi sono letto qualcosa adesso adesso. In ambito aziendale la cosa è abbastanza semplice perchè l'azienda controlla sia il gateway che i client. In ambito più vasto è un po' diverso.
L'unico modo mi pare questo: l'ISP farebbe a tutti gli effetti da man-in-the-middle esponendo un suo certificato, diciamo farlocco, con cui può decifrare, controllare e ricifrare poi verso l'end point, col certificato vero questa volta. Ma l'utente se ne accorgerebbe, o almeno un utente con pc, per gli smartphone lasciamo perdere. Certo che se il tuo ISP dice o così o niente connessione ci tocca trovare un ISP via satellite russo o aspettare che si trovi il modo di aggirare il blocco, ammesso che non ci sia già.
E poi ci sarebbe da dire che questa cosa farebbe saltare completamente la sicurezza del web, diventerebbe una delle cose più insicure possibili, altro che acquisti online e home banking. Andrebbero militarizzati gli ISP e i loro data center, non so se mi spiego.
Ma non sono certo io il massimo esperto in merito, ogni contributo è ben accetto a patto che non faccia riferimento al cifrario di Cesare.
EDIT: ci sarebbe una roba chiamata BlindBox DPI che garantirebbe sia la sicurezza end-to-end che la possiblità di bloccare dei contenuti ma si tratta di una evoluzione del protocollo HTTPS. (changlan.org/papers/blindbox.pdf)
PS Se i possibili caratteri sono 62 (26*2 alfabetici + le 10 cifre) allora le combinazioni sono proprio quelle che hai calcolato. Curiosità: le permutazioni dei 62 caratteri sarebbero invece 3*10^85, all'incirca il numero stimato delle particelle dell'universo.
Circa i commenti, dopo un po' ero già fin troppo annoiato. Soltanto il primo (il #2) l'ho trovato veramente buono - in esso completamente mi rispecchio. Circa il 'pezzo' di Foa, patetico mi pare essere il finale: "Salvini, ci sei? E Grillo? E Berlusconi?". Ma dai! Foa, lo sei o lo fai? ed è brutta in ambedue i casi
Se io devo fare soldi su soldi non faccio altro che avvallare il sistema, non è un sistema alternativo in cui il denaro diventa semplice unità di scambio. Come una moneta complementare per intenderci.
Poi ribadisco, non sono informato ma le premesse non mi paiono buone.
Questo presupponendo che l'ISP sappia cosa stia facendo l'utente. Ma per chi usa una VPN o TOR (o altre soluzioni analoghe) questo non è vero. l'ISP può solo fare una copia di tutto il traffico in attesa di poterlo forse decriptare fra anni.
Il problema nascerebbe solo se dovessero proibire le VPN, come in Cina:
www.macitynet.it/.../
C'è comunque anche un'altra speranza: che le banche e l'industria del porno, i più interessati a garantire l'anonimato dei clienti, trovino "un accordo tra le parti" (leggasi mazzette ai politicanti per votare nel modo giusto).
Sono perfettamente d'accordo con te sul fatto che una moneta complementare, specialmente se locale, sarebbe molto molto meglio.
#97 Calipro
Ah, sì, certamente. Ma presupponendo il worst case scenario dove si legalizzano gli ISP a fare da MItM su comunicazioni HTTPS, proibire altri protocolli non ispezionabili mi sembrerebbe la meno.
Detto questo, non credo che lo scenario sia applicabile. Sia per il tuo riferimento a due settori di business, sia per tanti altri: corporations e grandi aziende sarebbero praticamente nudi e non potrebbero accettare limitazioni di questo tipo.
Probabilmente faranno DPI sul traffico in chiaro più eventualmente applicare logiche restrittive su provider di servizio conniventi (ad. es. faccialibro) che implementeranno rules sull'end-point. Quindi, come dicevo nel post #4 mg, probabilmente sarà solo una gabbia per fessi.
#95 flor das aguas
Come per altre questioni, con la scusa di "ce lo chiede l'europa" e approfittandosi dell'ignoranza generalizzata, vengono approvate norme che vanno in parte oltre, in parte contro, la normativa europea a cui si pretende buffonescamente di adempire. Se guardi il video di Messora, già citato, lo spiega bene: la norma europea non prevede assolutamente quello che vorrebbero fare da noi e prevede sempre e comunque la salvaguardia della privacy, parte che evidentemente i nostri fanno finta di non avere letto.
Grazie! Non ho avuto modo di vedere il video qualcosa non mi tornava, gli daro' un'occhiata
seriamente hanno proibito le VPN?? Pensare che negli ultimi anni in Cina il popolo era sempre meno oppresso, cioè si stavano facendo passi avanti sulla libertà di informazione e di pensiero. Tor invece non può essere soggetto ad alcuna limitazione, infatti lo si scarica direttamente da Google, Bing, ecc. Per installarlo su Android invece devi scaricare Orbot e Orfox dal Play Store (chiamato anche Google Play). Per accedere da Iphone non so cosa si debba fare
non puoi proibire le vpn ,fermeresti tutto il traffico professionale su internet ,immagin le banche le aziende
e funziona anche la rete tor
la Rete e a come si stanno muovendo per controllarla ... mi unisco al flebile coro di chi,
come @ARULA e @83 Ste_79 non ci capisce una BETA FAVA di bitcoin, criptoc***i e
di tutti gli altri commenti tecnici ma, ovviamente, ne può intuire l'IMPORTANZA ... quindi...
Come / dove cominciare a formarsi, capire, e poi agire di conseguenza per chi parte da zero?
Avete consigli?
Per le VPN ti consiglio qualche video su youtube tipo "come usare le VPN" o cose del genere. Perché sono molto facili da usare (c'è la app che fa tutto) e tu devi solo conoscere cosa puoi e cosa non puoi fare. Niente di più.
Per i bitcoin ti consiglio la documentazione tipo bitcoin.org/it/come-funziona o www.money.it/Bitcoin-cosa-sono-e-come.
E poi c'è il forum ufficiale, sezione italiana: bitcointalk.org/index.php?board=28.0
Ti ricordo che con i Bitcoin la vera sfida non è solo di sapere come funzionano, ma saper riconoscere gli strumenti e i servizi giusti da usare.
Se vuoi comprare qualche bitcoin ti consiglio di iniziare con localbitcoins.com/ nel quale puoi avere a che fare con persone già valutate dagli altri utenti. Magari trovi qualcuno di onesto che te li vende in contanti di persona e già che c'è ti spiega un po' meglio come funzionano.
Eh! Ma tu sfondi le porte aperte
No, guarda, quando usi WhatsApp è come se andassi con i tuoi amici a scrivere con la vernice su un muro che "Pluto è uno stronzo", di giorno, e, forse, con le comari del paese ad assistere al fatto dietro le persiane chiuse; ugualmente, guardare un film porno è come andare al parco mentre una coppia sta recitano le parti del principe e della principessa della "favola" La Spada Nella Roscia, ecc Faresti queste cose nella vita reale: il teppista in pieno giorno e il guardone?
Un tempo il tuo bisnonno proletario si chiedeva, "Come fa il padrone ad essere ricco sfondato nonostante la rendita, l'affitto e le tasse che è costretto a pagare?", poi arrivò suo figlio ragioniere (tuo nonno) e non pensò più il problema in questi termini: "che tanto basta usare l'astuzia contabile per guadagnare". Ma il processo, come dicevo, è continuo e inesorabile (oltre ad essere perverso!) perché giungeva al mondo nel dopoguerra tuo padre e il problema più grosso che lo assillava fu quello di doversi alzare ogni mattina per andare a scuola. "Come fa lo Stato" si chiedeva allora tuo nonno, "a rendere l'istruzione obbligatoria e gratuita per mio figlio?". Ma nonostante la grande generosità e la promessa di ascensione sociale che lo Stato gli offriva, tuo padre decise di mollare la scuola per fare un viaggio in India passando per San Francisco. Ma di ritorno in Italia vide la sua comune infiltrata e distrutta dai servizi segreti. Nonostante fossero sempre state persone pacifiche, praticanti della non violenza e detite all'amore incondizionato, lui e suoi compagni vennero lo stesso acusati di sedizione e di terrorismo per poi essere processati.
A'dda venì Baffone!
Ciao.
byoblu.com/.../...
Ormai è chiaro che il sistema satanico sta forzando la mano per portare il NWO ad avere massimo controllo sugli umani.
Si toglie la libertà di espressione ..unico modo per conoscere le verità che vengono sempre più occultate.
Il vero obbiettivo resta quello di allontanare gli umani dalle verità più profonde sulla nostra esistenza ..la nostra natura... la nostra spiritualità, e renderci semplicemente schiavi di un sistema dominato dall'egoismo e dalla menzogna.
Non per niente la Bibbia parla di "tempi difficili"...ma dice che sarebbero stati gli "ultimi giorni" di un sistema malvagio.
Un intervento esterno sconvolgerà i loro piani ..proprio quando sembrerà che avranno raggiunto il loro obbiettivo.
Har maghedon si avvicina...
e mi sa che dovremo vedere ancora tante altre brutalita' ben piu' gravi della chiusura di alcuni siti prima del gran finale, comunque concordo in pieno con quanto dici!
Certo ci si auspicherebbe che possano fiorire dei plugin che ti danno un avviso quando il certificato cambia.
Se la cosa diverrà ancora più tragica, basterebbe che una Legge imponesse a tutte le ditte italiane e a tutti i proprietari di domini .it di fornire all'apposito ufficio governativo le chiavi private dei certificati (quelle che permettono all'intermediario governativo di decifrare il traffico verso quel dato dominio). Credo questo possa essere lo scenario peggiore esistente.
Finché ci sarà permesso, però, basterà avere una VPN straniera, oppure anche solo un piccolo VPS (Virtual Private Server) anche da €1 al mese sul quale crearsi un proxy che permetta di uscire sul Web da una Nazione differente. Io ad esempio dal lavoro (dove sono filtrato da un maledetto proxy ficcanaso) uso una VPS da €1/mese alla quale mi collego con SSH e ciao ciao ad ogni filtro o ad ogni Deep-Packet-Inspection.
Proibire le VPN totalmente a livello di protocollo è impresa abbastanza titanica: vorrebbe dire impedire anche alle aziende di far comunicare fra loro le varie filiali.
Possono cercare di blacklistare tutte le VPN commerciali che esistono, ma a quel punto - ripeto quanto detto poco sopra - basterebbe crearsi un VPS con sopra OpenVPN che è la stessa cosa che avere un software VPN commerciale; se chiudessero anche il protocollo di OpenVPN, si potrà ancora usare SSH.
Sono ottimista sul fatto che per un bel po' di tempo qualunque sistema si inventino per impedirci di proteggerci possa essere aggirato.
Rimarranno il 95% degli analfabeti funzionali & informatici... Amen... O si sveglieranno, o subiranno.
Beh, diciamo che l'utente medio probabilmente non se ne accorgerebbe. Ma se si va a vedere il certificato e si trova quello dell'ISP anzichè quello del sito che si intende visitare, il giochetto viene presto a galla. Se invece venissero creati certificati che siano in tutto e per tutto equivalenti ai certificati degli end-point, quindi non ci sarebbe modo di sapere se il cert è autentico o meno, credo che le cert authority abbiano qualcosa da ridire poichè il loro business diventerebbe praticamente inutile.
da ridere.....per non piangere
www.zeusnews.it/n.php?c=25803
Nel futuro non ci attende un sistema distopico, quello ce l'abbiamo già. Ci attende un futuro distopicamente ridicolo.
la fantasia sta superando la realtà. Ci vogliono censurare solo perché siamo scomodi
poi ci stupiamo per la gente che vede i manichini sulle scene degli attentati.
www.salvo5puntozero.tv/.../
Orrore! Gentiloni ce l’ha quasi fatta: potrete essere censurati e schedati sul web
comedonchisciotte.org/.../