ma a parte come è utilizzato, la sicurezza c’è tutta sul contenuto.
no? 
Esiste un livello di privacy che possiamo gestire in autonomia per l’utilizzo quotidiano consapevole e relativamente sicuro delle tecnologie e dei servizi diffusi, così da proteggerci dalla “massa” dei malintenzionati.
Esiste poi un livello di privacy ulteriore, meno ovvio, che non è facilmente tutelabile in proprio.
Putroppo, nonostante esistano software e strumenti locali di comunicazione privacy-oriented, allo stesso modo esistono metodi di sorveglianza che agiscono a livello di infrastruttura di telecomunicazione, sfruttando funzionalità nascoste e vulnerabilità della stessa per operare in modo completamente invisibile (IMSI catcher come stingray e simili). Contro quelle non ci fate niente. Allo stesso modo i cosiddetti ‘captatori informatici’ moderni, stile Graphite di Paragon.
Paradossalmente, si tende a pensare che questi strumenti ‘particolari’ siano in mano esclusivamente alle forze dell’ordine per essere utilizzati in contesti ben definiti, ma nella realtà vengono sviluppati, testati e rivenduti da soggetti totalmente privati (con dietro magari sponsor governativi) che possono farne ciò che vogliono.
In altri casi, dove questi strumenti dovessero venire usati da agenzie governative, la ramificazione globale dell’ecosistema digitale non mette al riparo dal subire compromissioni in termini di privacy da parte di elementi governativi ‘stranieri’. Vi ricordate lo scandalo ShadowBrokers, l’NSA e la sua TAO unit che scorazzava allegramente nel sistema SWIFT europeo?
Senza contare i server di transito che erogano i servizi che utilizziamo, molto spesso soggetti a vulnerabilità sfruttabili da terzi, o utilizzati dai produttori per la raccolta occulta dei dati di profilazione da rivendere al miglior offerente (oracle? palantir?)
Ben venga l’opposizione a queste porcate stile ChatControl EU, ma sappiate che comunque di porcate altrettanto invasive ne esistono già a bizzeffe e vengono utilizzate tutti i giorni sia per scopi nobili, ma anche talvota per scopi malevoli e noi non ci possiamo fare un cazzo 
Ne sanno qualcosa i giornalisti investigativi che devono tutelarsi durante le inchieste che scottano.
Non serve la NSA per romperti PGP. è fragile anche contro minacce comuni, realistiche e quotidiane, ha difetti strutturali proprio (un po come gran parte della crittografia del pre-1990)
ed esistono strumenti più semplici e più sicuri anche per utenti normali che fanno compiti specifici e non hanno la capacità da “cortellino svizzero che fa tutto ma le fa male”
protegge il contenuto “matematicamente”, ma non protegge l’utente in modo “moderno”.
ad esempio non protegge metadati, non ha forward secrecy e può portare a errori e misconfiguration. versione breve no, non basta dire “cripta il contenuto” esistono comunque soluzioni migliori. 
se volete leggere metto qui un po di info:
2 Likes
giusto per rimanere in tema, mi è appena arrivata l’email che Cellebrite si è comprata Corellium
per chi non ha nemmeno mai sentito parlare di quelle due compagnie?
Corellium detiene il sistema di virtualizzazione più utilizzato in ambito ricerca, sviluppo e assessment di sicurezza per dispositivi mobili. Sostanzialmente virtualizza sistemi iOS, Android e Arm dove poter operare, molto usato in ambito penetration test su applicazioni mobile, ad esempio.
Cellebrite è una società di punta israeliana che fornisce software forense per le indagini digitali alle forze dell’ordine, come lo sblocco dei dispositivi, la ricerca, l’estrazione e l’ aggregazione dei dati ai fini investigativi, ecc.
tra l’altro è quella che vende il kit alle forze dell’ordine (americane sicuro, non so dove altro però) per sbloccarti il dispositivo android/iphone e prenderti tutto il contenuto mobile foto, messaggi etc etc
cmq sapevo che era una notizia vecchiotta da un po di tempo si era comprata l’altra società
consiglio
1 Like
È comunque un rabbit hole di paranoia che fa a pugni con l’usabilità…
Prima di tutto è importante capire il proprio threat model, poi si realizza comunque che nel 2025 se vuoi privacy vera devi andare a vivere in un capanno nel bosco alla kaczynski
Un comune mortale non può far niente contro la pesca a strascico governativa che SICURAMENTE avranno tutti smesso di fare post snowden
Al massimo si può risultare più opachi ad altri comuni mortali o comunque provare a proteggersi dalla compravendita dei propri dati
Sicuramente ci sono azioni semplici che costano poco, mollare chrome per firefox (com’è giusto che sia), eliminarsi dai social, usare estensioni per limitare il fingerprinting e gli ads sono tutte cose abbastanza indolori
Cambiare sistema operativo, usare applicazioni e servizi alternativi già costringe a rinunciare a comodità e socialità che ormai si danno per scontate
Self-hostarsi servizi richiede skill tecniche e soldi per hardware
Da lì in poi è uno scivolo verso il baratro, ma dipende sempre da chi identificate come “minaccia”, se no si finisce a pagare sconosciuti per comprare pezzi di hardware in contanti in città diverse per poi assemblarsi un PC tenuto in una gabbia di faraday, connesso a WiFi bucate, in posti e orari della giornata sempre diversi per non lasciare pattern identificabili
1 Like
imho la privacy totale ad oggi è praticamente impossibile nella vita moderna,
portarsi però ad una privacy considerata ragionevole non è così complicato. ed è assolutamente possibile.
Non serve isolarsi nel bosco né adottare stili di vita da estremisti. Già saper valutare invece quali compromessi sono accettabili è sicuramente un passo in più.
anche lo stato che ha capacità di sorveglianza superiori rispetto a delle aziende e/o attori malevoli ma:
la sorveglianza governativa non è onnipotente, i governi non monitorano attivamente tutti, molte misure e soluzioni di sicurezza limitano abbastanza la possibile raccolta di dati: VPN, tor, crittografia e2e, hardening del browser, sistemi operativi orientati alla privacy etc etc.
sicuramente non diventi invisibile, ma si può ridurre la “superficie di attacco” in modo significativo.
lo scenario estremo finale (comprare hardware in contanti, gabbie di faraday, pattern di connessione etc)
sono pratiche drastiche, inutile per qualsiasi persona “normale”, il threat model da adottare sarebbe quello nation-state attivo, non semplicemente “governativo” in astratto (alla snowden per capirsi quindi sei un target specifico, lavori in ambienti altamente sensibili, sei un target di uno intero stato specifico)
l’idea che “non si può fare nulla” contro la sorveglianza è un affermazione eccessivamente fatalista.
gli strumenti ci sono, sono anche alla portata di tutti perchè ci sono anche servizi zero-knowledge e privacy-first
1 Like
Daje avanti tutta
sta cosa del pre-crime è allucinante, alla minority report ?
La cosa piu’ scioccante e’ realizzare che musk strafatto e’ una persona normale
Esattamente.
Ma in realtà anche al livello Pjem scarso puoi tirare su un self-hosted con i servizi principali in modo sicuro. Basta frequentare il thread self hosted e avere chiare le idee di cosa si vuole/serve.
lascio qua che è relativo alla questione
Guarda un po’ se deve essere una compagnia a dire al governo “oh, è un filo fuori di testa sta cosa”.
Palantir risponde a Gamer Nexus 
1 Like
io a steve gli voglio bene