Quella che segue e’ una raccolta di appunti sullo svolgimento dei “workshop di freepto” ovvero dei momenti in cui vengono spiegate le tecnologie di sicurezza principali, a partire dall’utilizzo di freepto.
L’idea e’ che chi partecipa o organizza questi workshop puo’ richiederci l’accesso in scrittura in modo da contrbuire alla pagina con la propria esperienza, segnando i punti critici o altri problemi, a futura memoria.
Appunti ordinatissimi¶
Requisiti per x partecipantx¶
Per il corretto svolgimento del workshop, seguire questi consigli:
- E’ bene che ogni partecipante abbia un account gestito da https://autistici.org o da riseup.net
- E’ bene che ogni partecipante partecipi con il computer che ha intenzione di usare in modo regolare, quindi tipicamente con il SUO computer portatile.
- Comunicate i modelli dei vostri computer a chi organizza il workshop. Segnalare, in particolare, la marca del computer, il modello, e la scheda wireless utilizzata. Vedi sotto per come fare
Scoprire i dettagli sul proprio computer¶
Mac¶
Dal menu di apple, clickare su “about this mac”, quindi su “more info”.
In alternativa, eseguire “system profiler”
Windows¶
Windows 7 o 8
Dal menu Start, cercare “system information”, oppure “hwinfo” oppure “msinfo32”
Windows XP
Sezione mancante
Linux¶
Da terminale, lanciare il comando lshw
e copiare il suo output
Hardware supportati male¶
Freepto se la cava un po’ male su:
- Portatili mac; freepto si avvia su questi computer, ma e’ stato poco testato. Ci potrebbero essere noie, in particolare riguardo la wireless. Sui nuovi retina capace che non arriva manco ad X, soluzione ancora non nota e bug non diagnosticato.
- Schede wireless broadcom. Questo si risolve tipicamente installando i driver corretti utilizzando il cavo di rete per la prima connessione.
Tranne il retina, non si tratta di problemi insormontabili.
Freepto NON BOOTA su computer che non fanno il boot usb-hdd. occhio che esiste anche il boot usb-fdd e quello usb-zip. Sono sempre boot usb, e qualche cosa boota anche da li’, ma non freepto. Sono in genere pc molto vecchi.
Prima del workshop¶
Materiale¶
Portate fogli di carta e matite, ciabatte elettriche, penne usb pronte (vedi sotto), opuscoli. Le persone sono piu’ diligenti di quanto si pensi :)
Va inoltre preparata la connessione internet; utile avere un access point al centro a cui connettersi. Portare anche cavi di rete in caso di problemi con il wifi.
Le penne usb¶
Quale versione?¶
L’ultima stabile.
download.freepto.mx/latest/
Come si fanno¶
makefreepto
e’ ormai deprecato. E’ molto utile pero’ fare il randomfill in anticipo. Per il resto, il nuovo modo di creare la persistenza tramite l’icona nella systray dovrebbe essere molto piu’ “autonomo”, anche se rosicchia qualche ulteriore minuto al workshop.
La rete¶
Internet servira’, quindi preparate una wireless. Se possibile, preparate anche una rete cablata, in caso di problemi strani con i driver.
Il workshop¶
Nella nostra esperienza, il workshop ha durata variabile tra le 4 e le 6 ore, in base al numero di intoppi, alle conoscenze pregresse delle persone, al rapporto “allievi/isturttori”, agli argomenti che si vogliono spiegare.
Data la durata e l’intensita’, preferiamo ci sia qualcosa da mangiare/bere per fare una pausa a meta’.
Il boot¶
In genere basta premere il tasto che apre il menu della boot selection e scegliere la usb.
Sono noti problemi con alcuni acer; probabilmente si tratta di computer che non fanno boot usb-hdd ma usb-fdd o usb-zip.
Per computer che hanno il supporto EFI, potrebbe essere necessario impostare il supporto al BIOS (cosa che in genere si puo’ fare dal setup)
Principi di sicurezza¶
- Confindenzialità, Autenticazione, Integrità
Cifratura del disco¶
Questa parte viene in genere compresa senza problemi, e in pochi minuti la si supera
- Cifratura, principi e schema di funzionamento
- Gestione delle chiavi di cifratura: chiarire che la compromissione della master key compromette la cifratura anche se si dovesse cambiare passphrase
- In pratica: sbloccare il disco
Dopo l’avvio, PRESTO!¶
- Passphrase disco: accessori → gestore dischi → kingston → cifrata → cambia passphrase
- Password utente: da terminale fare
passwd
Spiegare a cosa serve l’una e l’altra e quale grado di paranoia usare. Mostrare la funzionalita’ di blocco schermo (ctrl-alt-canc
)
A volte viene fatta confusione tra le due password dagli utenti
Dimestichezza¶
Non sempre gli utenti conoscono linux e/o xfce. Fateli muovere dentro l’interfaccia, navigare i menu’, ecc.
Fate notare da dove si apre firefox, dove ci sono le impostazioni, il bellissimo menu Freepto e cose cosi’.
Networking and trust¶
Riferendosi ancora ai principi di confidenzialita’, autenticazione e integrita’, fare esempi di quali mezzi hanno quali proprieta’.
Ad esempio il telefono e’ autenticato (se si riconosce il timbro della voce) ma ha degli attacchi all’integrita’ (ad esempio si puo’ registrare e “duplicare” una parola, una specie di replay) e ovviamente nessuna confidenzialita’; bisbigliare all’orecchio le ha tutte; parlare in pubblico, di persona, ha solo le ultime due.
L’email non ne ha nessuna.
Chat¶
OTR viene in genere compreso facilmente, e tutta questa parte rimane in genere ampiamente sotto l’ora.
- Pidgin + OTR
- Meccanismi di autenticazione: il domanda/risposta ha troppi difetti, spiegare pro e contro di segreto condiviso e lettura del fingerprint.
Il segreto condiviso e’ intuitivo, ma richiede segretezza e preparazione (cioe’ te lo devo dire il giorno prima).
Il fingerprint sembra scomodo ma basta autenticazione (telefono).
Orologio¶
gpg
si sminchia se l’ora del computer e’ sbagliata; questo, in freepto, accade spesso (per un bug sulla gestione dell’hwclock). Il fix temporaneo e’
sudo date -s "-2 hours"
oppure
sudo date -s "12:34"
se preferite una specifica assoluta (assumendo che la data sia giusta).
Questo e’ fondamentale per poter usare gpg tutti insieme senza intoppi
Email¶
Questa, nella nostra esperienza, e’ la parte piu’ dura. Mettete in conto piu’ di un’ora, anche due.
La parte teorica viene generalmente compresa, ma i passaggi sono effettivamente molti: ricerca di chiavi, verifica, firma, invio, ricezione, trust… Ognuno di questi passaggi richiede delle “schermate” sue.
- importante: sistemare orologio (vedi sopra)
- spiegazione concetto di chiave pubblica/segreta con il lucchetto
- spiegazione del concetto di firma e di validita’ (senza dilungarsi nella web of trust, ma si dovranno firmare le chiavi per farle piacere a enigmail)
- configurazione thunderbird e utilizzo di gpg
- gpg viene usato sempre da dentro thunderbird, con enigmail: questo minimizza il numero di “schermate” da imparare.
- generazione coppia di chiavi
- ognuno verifica la firma di quello alla sua sinistra; e’ comune sentire persone dire che per il momento la verifica non serve perche’ “e’ accanto a me, cosa puo’ succedere?”. Insistere su 1) la tua connessione passa in giro per il mondo 2) la crittografia va usata come ti dicono, non come credi che funziona.
- firme (spiegare se/perche’ locali)
- inizia lo scambio di email: ognuno a quello alla sua sx
- rispondere (e nuova verifica)
- spiegazione del concetto di trust, e differenze con la validita’
Dopo il workshop¶
Molti strumenti, se non usati spesso, vengono dimenticati. La stessa cosa vale per le password: se nei giorni successivi alla loro creazione non le si digita, le si dimentica. E’ quindi importante “sollecitare” l’utilizzo degli strumenti di crittografia e di freepto.
Mail gpg¶
Uno strumento efficace e’ fare una piccola lista di email di partecipanti al workshop e iniziare a scambiarsi mail. In questo modo gli utenti dovranno usare freepto, leggere mail cifrate, e ovviamente rispondere!
Per incoraggiare le risposte e’ meglio affrontare non un tema serio, ma uno del tutto frivolo, in modo che chiunque si senta pronto a scrivere una mail anche se non ha nulla da dire: scambi di ricette, gare di barzellette, link a immagini esilaranti o quant altro.
Quando il gruppo dimostra padronanza, si puo’ anche “aggiungere” qualche passo piu’ avanzato, ad esempio inserendo alla lista dei destinatari un’email che loro non conoscono ma su cui c’e’ una forte web of trust. Gli utenti possono in questo modo esercitarsi anche nell’utilizzo della web of trust: scaricare nuove chiavi, verificare le firme, osservare in prima persona gli effetti della “trust” e cosi’ via.
. Esperienze
ws avana con 0.1.1 (6 Ottobre 2013)¶
Abbiamo sempre fatto workshop con poche persone, non abbiamo esperienza di workshop piu’ grandi.
Abbiamo visto che la parte piu’ pesante e’ GPG: non tanto la comprensione teorica, quanto i mille passi necessari per poter andare avanti; inoltre il dubbio se usare firme locali o pubbliche risulta spesso difficile da sciogliere e complica un po’ tutto.
La 0.1.2 ha semplificato molto le cose grazie all’orologio con l’ora giusta!
La pausa mangereccia arriva in genere dopo Pidgin, ed e’ irrinunciabile per potersi riprendere.
C’e’ frequentissima confusione tra le due password: risulta molto difficile comunicare quale serve a cosa, e la differente importanza che hanno.