Quella che segue e’ una raccolta di appunti sullo svolgimento dei “workshop di freepto” ovvero dei momenti in cui vengono spiegate le tecnologie di sicurezza principali, a partire dall’utilizzo di freepto.

L’idea e’ che chi partecipa o organizza questi workshop puo’ richiederci l’accesso in scrittura in modo da contrbuire alla pagina con la propria esperienza, segnando i punti critici o altri problemi, a futura memoria.

Appunti ordinatissimi

Requisiti per x partecipantx

Per il corretto svolgimento del workshop, seguire questi consigli:

Scoprire i dettagli sul proprio computer

Mac

Dal menu di apple, clickare su “about this mac”, quindi su “more info”.

In alternativa, eseguire “system profiler”

Windows

Windows 7 o 8

Dal menu Start, cercare “system information”, oppure “hwinfo” oppure “msinfo32”

Windows XP

Sezione mancante

Linux

Da terminale, lanciare il comando lshw e copiare il suo output

Hardware supportati male

Freepto se la cava un po’ male su:

Tranne il retina, non si tratta di problemi insormontabili.

Freepto NON BOOTA su computer che non fanno il boot usb-hdd. occhio che esiste anche il boot usb-fdd e quello usb-zip. Sono sempre boot usb, e qualche cosa boota anche da li’, ma non freepto. Sono in genere pc molto vecchi.

Prima del workshop

Materiale

Portate fogli di carta e matite, ciabatte elettriche, penne usb pronte (vedi sotto), opuscoli. Le persone sono piu’ diligenti di quanto si pensi :)

Va inoltre preparata la connessione internet; utile avere un access point al centro a cui connettersi. Portare anche cavi di rete in caso di problemi con il wifi.

Le penne usb

Quale versione?

L’ultima stabile.
download.freepto.mx/latest/

Come si fanno

makefreepto e’ ormai deprecato. E’ molto utile pero’ fare il randomfill in anticipo. Per il resto, il nuovo modo di creare la persistenza tramite l’icona nella systray dovrebbe essere molto piu’ “autonomo”, anche se rosicchia qualche ulteriore minuto al workshop.

La rete

Internet servira’, quindi preparate una wireless. Se possibile, preparate anche una rete cablata, in caso di problemi strani con i driver.

Il workshop

Nella nostra esperienza, il workshop ha durata variabile tra le 4 e le 6 ore, in base al numero di intoppi, alle conoscenze pregresse delle persone, al rapporto “allievi/isturttori”, agli argomenti che si vogliono spiegare.
Data la durata e l’intensita’, preferiamo ci sia qualcosa da mangiare/bere per fare una pausa a meta’.

Il boot

In genere basta premere il tasto che apre il menu della boot selection e scegliere la usb.

Sono noti problemi con alcuni acer; probabilmente si tratta di computer che non fanno boot usb-hdd ma usb-fdd o usb-zip.

Per computer che hanno il supporto EFI, potrebbe essere necessario impostare il supporto al BIOS (cosa che in genere si puo’ fare dal setup)

Principi di sicurezza

Cifratura del disco

Questa parte viene in genere compresa senza problemi, e in pochi minuti la si supera

Dopo l’avvio, PRESTO!

Spiegare a cosa serve l’una e l’altra e quale grado di paranoia usare. Mostrare la funzionalita’ di blocco schermo (ctrl-alt-canc)

A volte viene fatta confusione tra le due password dagli utenti

Dimestichezza

Non sempre gli utenti conoscono linux e/o xfce. Fateli muovere dentro l’interfaccia, navigare i menu’, ecc.
Fate notare da dove si apre firefox, dove ci sono le impostazioni, il bellissimo menu Freepto e cose cosi’.

Networking and trust

Riferendosi ancora ai principi di confidenzialita’, autenticazione e integrita’, fare esempi di quali mezzi hanno quali proprieta’.

Ad esempio il telefono e’ autenticato (se si riconosce il timbro della voce) ma ha degli attacchi all’integrita’ (ad esempio si puo’ registrare e “duplicare” una parola, una specie di replay) e ovviamente nessuna confidenzialita’; bisbigliare all’orecchio le ha tutte; parlare in pubblico, di persona, ha solo le ultime due.

L’email non ne ha nessuna.

Chat

OTR viene in genere compreso facilmente, e tutta questa parte rimane in genere ampiamente sotto l’ora.

Il segreto condiviso e’ intuitivo, ma richiede segretezza e preparazione (cioe’ te lo devo dire il giorno prima).
Il fingerprint sembra scomodo ma basta autenticazione (telefono).

Orologio

gpg si sminchia se l’ora del computer e’ sbagliata; questo, in freepto, accade spesso (per un bug sulla gestione dell’hwclock). Il fix temporaneo e’

sudo date -s "-2 hours"

oppure

sudo date -s "12:34"

se preferite una specifica assoluta (assumendo che la data sia giusta).

Questo e’ fondamentale per poter usare gpg tutti insieme senza intoppi

Email

Questa, nella nostra esperienza, e’ la parte piu’ dura. Mettete in conto piu’ di un’ora, anche due.
La parte teorica viene generalmente compresa, ma i passaggi sono effettivamente molti: ricerca di chiavi, verifica, firma, invio, ricezione, trust… Ognuno di questi passaggi richiede delle “schermate” sue.

Dopo il workshop

Molti strumenti, se non usati spesso, vengono dimenticati. La stessa cosa vale per le password: se nei giorni successivi alla loro creazione non le si digita, le si dimentica. E’ quindi importante “sollecitare” l’utilizzo degli strumenti di crittografia e di freepto.

Mail gpg

Uno strumento efficace e’ fare una piccola lista di email di partecipanti al workshop e iniziare a scambiarsi mail. In questo modo gli utenti dovranno usare freepto, leggere mail cifrate, e ovviamente rispondere!
Per incoraggiare le risposte e’ meglio affrontare non un tema serio, ma uno del tutto frivolo, in modo che chiunque si senta pronto a scrivere una mail anche se non ha nulla da dire: scambi di ricette, gare di barzellette, link a immagini esilaranti o quant altro.

Quando il gruppo dimostra padronanza, si puo’ anche “aggiungere” qualche passo piu’ avanzato, ad esempio inserendo alla lista dei destinatari un’email che loro non conoscono ma su cui c’e’ una forte web of trust. Gli utenti possono in questo modo esercitarsi anche nell’utilizzo della web of trust: scaricare nuove chiavi, verificare le firme, osservare in prima persona gli effetti della “trust” e cosi’ via.

. Esperienze

ws avana con 0.1.1 (6 Ottobre 2013)

Abbiamo sempre fatto workshop con poche persone, non abbiamo esperienza di workshop piu’ grandi.

Abbiamo visto che la parte piu’ pesante e’ GPG: non tanto la comprensione teorica, quanto i mille passi necessari per poter andare avanti; inoltre il dubbio se usare firme locali o pubbliche risulta spesso difficile da sciogliere e complica un po’ tutto.

La 0.1.2 ha semplificato molto le cose grazie all’orologio con l’ora giusta!

La pausa mangereccia arriva in genere dopo Pidgin, ed e’ irrinunciabile per potersi riprendere.

C’e’ frequentissima confusione tra le due password: risulta molto difficile comunicare quale serve a cosa, e la differente importanza che hanno.