Lemmy.ml is acting as a proxy instance for Hexbear and should be defederated by any instances that defederate from Hexbear by sudneo in c/[email protected]
[-] [email protected] 27 points 4 months ago

Be respectful of others.

This comment is in clear violation of the rules of this community. Be better, if you want to criticize others.

Lemmy's Image Problem (Updated 02-06-2024) by sudneo in c/[email protected]
[-] [email protected] 41 points 4 months ago* (last edited 4 months ago)

That’s not the argument being made. What’s baffling is to pretty much only rely on the efforts of third party devs to fill in the missing gaps. It’s a profoundly bad strategy.

I literally quoted the article:

At this point, most of the solutions the ecosystem

I mean, there are some moderation features in Lemmy, for sure with gaps, but there are many gaps on other aspects as well, and if people can't run the instances due to other technical issues, there is also nothing to moderate, so obviously prioritization is complex when resources available (dev) are so limited.

That said, I really don't see the problem of third parties. We rely on third parties for one of the most fundamental features, which is community discovery (lemmyverse.net), for example. What's the problem with that? I think that's literally one of the benefits of making an open platform, where other people can build other tools in the ecosystem. We are not purchasing a service, we are not talking about an organization who has a substantial revenue and tons of people and can't deal with basic functionalities. We are talking about a project with a team that is smaller than the team that in Facebook deals with which colors to make buttons, and it's "paid" 1/20th of that. So I still don't understand, what is "baffling"? Because from where I stand, all things considered, it's totally normal that a project with these resources and that gained popularity less than a year ago has still tons of gaps and a long roadmap, and that tools in the ecosystem address some of these gaps.

It’s like with Bethesda releases a shitty half-finished game

No it's not. Bethesda is company that sells you a proprietary product while having a revenue in the order of hundreds of millions. The relationship between Bethesda customers and Lemmy users has absolutely nothing in common.

Here, Lemmy makes some money

Lemmy makes no money. Considered the opportunity cost, Lemmy loses money. A single dev with a full time job can easily double the amount that Lemmy devS earn. Not to talk about the fact that the money they make are donations, without a contract bounding them to anything and also not granting them anything (tomorrow everyone could cancel donations and the income would disappear).

They can’t do that if the tooling is too brittle, shitty, or threadbare to actually handle the deeply fucking intense problem of managing and maintaining a server and community on the open Internet, where literally anything and everything goes. Factor in a myriad of local jurisdictions and laws about data and content, and a lot of these things end up becoming severe liabilities.

Sure, but again, if those were the only problems and the devs would be sipping cocktails in Hawaii splurging on those 4k/month, I would agree with you. If they think priorities are elsewhere, or are also elsewhere, they might have their reasons. In fact, in the article there is a complaint about them answering in a "hostile" manner, but I also understand that the issue in question is probably the 100th issue in a week/month in which other people tell them what they should do. This is a regular problem in OSS (See https://mastodon.uno/@[email protected] - the maintainer of curl - for plenty of examples). After they understood better what's the problem, their stance changed as well, which is also reasonable.

Look at it this way: with federation, a handful of volunteers themselves are doing labor for free, for the devs, by propping up their platform, client ecosystem, and reputation in the space. If this gets bad enough, people will literally say “fuck it” and walk away.

I don't look at it in this way at all. I think the devs made it extremely clear (even given the political stance of both) that despite the happiness of seeing their project flourish, they have no interest in growth as an end. In fact, I would say that nobody is doing work for the devs. But I see that we have a fundamentally different perception on the dynamics in Lemmy, so I see no reconciliation between our opinions.

Lemmy's Image Problem (Updated 02-06-2024) by sudneo in c/[email protected]
[-] [email protected] 62 points 4 months ago

The fact that Lemmy’s core team is taking a fairly laissez faire position on moderation, user safety, and tooling is problematic, and could be a serious blocker for communities currently hosted on Lemmy.

At this point, most of the solutions the ecosystem has relied on have been third-party tools, such as db0’s fantastic Fediseer and Fedi-Safety initiatives. While I’m sure many people are glad these tools exist, the fact that instances have to rely on third-party solutions is downright baffling.

Honestly, what? Why would be baffling to have third party tools in this ecosystem? It would be baffling if that was the case for Facebook. Also the devs did work on some moderation features, but they probably have tons of other stuff to work on, all for an amount of money which is a low salary for one developer.

Kagi is now partnering with Brave by sudneo in c/[email protected]
[-] [email protected] 82 points 6 months ago* (last edited 6 months ago)

They are using brave search results, like they do with others. Frankly, you could build totally identical arguments (and to be honest, much more serious) for "partnering" with Google and Microsoft, but then the product wouldn't exist and wouldn't be as good.

The relationship with the Brave founder is so indirect, that this - to me - feels like an argument from someone who is looking for reasons to get angry. Kagi probably uses AWS (or other clouds), which funds Amazon (known for terrible worker rights), funds Google, fossil fuel industry, etc. It's a sad reality, but you simply can't exist nowadays in the moral and ethical way many people would like. You can, only if you are a privileged one. Technologically speaking, Google can probably do it, for example (own hardware, DCs, tech etc.). We can choose to fight those that directly support political agendas we disagree with, or we can damage the smallest players by demanding they will be 100% pure and ethical by not having any relationship with those with those agendas.

In my personal opinion, such unrealistic ethical requirements end up being a reactionary choice as they will ultimately impede new - better - players to emerge and will leave the existing - worse - dominating.

X Races to Contain Damage After Elon Musk Endorses Antisemitic Post by sudneo in c/[email protected]
[-] [email protected] 52 points 8 months ago

I mean, it's not a spell, it's a sentence. If reading it will make it spread, as in more people will agree and support it, the problem is already there.

The U.N. says the Israeli military told it that all of northern Gaza has 24 hours to move south. by sudneo in c/[email protected]
[-] [email protected] 28 points 9 months ago

It is well known that those are the only two options. Also, the problem here is that the task is not possible, according to UN personnel, not me or you. So this feels a lot as just a way to create plausible deniability by saying "we tried hard to spare civilians".

*Permanently Deleted* by sudneo in c/[email protected]
[-] [email protected] 33 points 9 months ago

Plus, the data they gave was minimal, basically just the recovery email address, if I remember. That person got caught because they used the same address on Twitter (or something) and then they could get more data, if I recall correctly.

EU moves to outlaw fees on hand luggage, seat allocation by sudneo in c/[email protected]
[-] [email protected] 49 points 9 months ago

I wish it was only Ryan Air, every other company does that nowadays. Every time I travel alone I end up switching seat a couple of times to let couples and families sit together.

Men Overran a Job Fair for Women in Tech by sudneo in c/[email protected]
[-] [email protected] 26 points 9 months ago

Problem for what?

I exist, I need a job to live, I have job, I try my best not to be an asshole, I fight (and vote) for a better society, for social and civil rights.

Why exactly I - since I am a man I feel included in your statement - should be THE problem?

Men Overran a Job Fair for Women in Tech by sudneo in c/[email protected]
[-] [email protected] 35 points 9 months ago

Gender is absolutely not the only nor the most important discriminating factor in tech. Being a foreigner and, probably most commonly, being old is an extreme disadvantage in tech. Similarly, a woman coming from a wealthy family might be a privileged compared to a man coming from a poor background (which translates into lower access to education, resources, etc.).

Look at the video in the article, and tell me you don't notice some commonalities among the men in the queues.

I see mostly foreigners, who most likely have no network of support, and need a job to maintain a VISA before getting kicked out of the country. Are they in a better or worse position compared to a local woman? Does it even make sense to start asking these questions?

I want to challenge this vision where discriminations are only looked at through the lens of gender division. This is shortsighted because discrimination on the workplace is extremely diverse and it exists for the benefit of those same sponsors of this event.

Men Overran a Job Fair for Women in Tech by sudneo in c/[email protected]
[-] [email protected] 46 points 9 months ago

How dare workers in (potentially desperate?) need of a job to look for jobs. They are men and belonging to that category automatically makes them rich and privileged. The working class should be united against common enemies, not divided because of gender. While it's obvious that women in tech are discriminated, alienating fellow victims, even if males, is not the answer to the problem.

Capital really won the class war...

*Permanently Deleted* by sudneo in c/[email protected]
[-] [email protected] 39 points 1 year ago

Blaming culture does not help with vulnerability disclosure. Vulnerabilities do happen and will happen again.

Writing a parser is not trivial and remember that it was a tiny project until a month ago.

17
Vademecum di Privacy & Sicurezza - pt1 Sicurezza (lemmy.world)
submitted 1 year ago* (last edited 1 year ago) by [email protected] to c/[email protected]
2 comments fedilink

Post originariamente condiviso su Reddit, che ora ho eliminato e trasferito qui.

Siccome i due argomenti sono in realtà distinti, in questo primo capitolo parleremo esclusivamente di sicurezza e nel prossimo, se ci sarà interesse, parleremo invece di privacy.

Introduzione

Prima di tutto, è importante far presente che la sicurezza non è una metrica binaria, ma è uno spettro. Esistono misure di sicurezza graduali, che vanno applicate a contesti diversi, sulla base di valutazioni di merito. Ogni misura di sicurezza, che possiamo chiamare "controllo", ha un costo: economico o di usabilità. Per questa ragione, è importante che i controlli di sicurezza adotatti siano adeguati al livello di rischio, di competenze e di compromessi che ognuno di noi possiede o è disposto ad accettare.

Nel campo della sicurezza informatica esiste un concetto che si chiama "Threat Model", cioè modello di minaccia. Questo è un processo che in realtà facciamo istintivamente tutti i giorni, identificando alcune cose che vogliamo proteggere (asset), chi vuole mettere in pericolo quelle cose (threat actor) e cosa queste persone possono fare (threat). Una volta identificato ciò, si passa a cosa possiamo fare per prevenire tali minacce (control). Il classico esempio pratico è quello della casa e dei ladri. Io posso avere degli oggetti molto preziosi e voglio proteggerli dai ladri. A questo punto inizio a pensare all'argenteria della nonna come asset, e a chi può volersene impadronire o danneggiarli. Sicuramente una possibile minaccia sono ~~i zingari~~ i ladri, ma non l'unica: magari avete un maggiordomo dentro casa del quale non vi fidate e avete paura che li rubi, oppure la vostra collaboratrice domestica non è molto esperta, e avete paura che lavi l'argenteria col prodotto sbagliato e la rovini. A questo punto, abbiamo:

  • Asset: l'argenteria di pora nonna
  • Threat actor: i ladri, il maggiordomo, la collaboratrice domestica
  • Threat: furto in casa con effrazione, furto in casa (da dentro) e danno da lavaggio improprio

Possiamo dunque stabilire alcuni controlli, per esempio:

  • Chiudere la porta a chiave ogni volta che si esce, e chiudere le finestre e tirare giù le serrande (per mitigare il furto con effrazione)
  • Nascondere l'argenteria quando il maggiordomo lavora (per mitigare il furto da dentro)
  • Dare esplicite istruzioni alla collaboratrice domestica di non lavare l'argenteria

Questi non sono che alcuni esempi, e non essendo esperto nel gestire un castello di fine '800 potrei sbagliarmi. Tuttavia, perchè parlare di tutta questa roba in un post che dovrebbe essere sulla sicurezza informatica?

Perchè questo processo è più o meno quello che ci dovrebbe guidare quando decidiamo "fino a che punto" spingerci nella nostra missione sulla sicurezza. Molte persone non hanno competenze tecniche sufficienti per fare questo tipo di analisi, non sanno quali minacce esistono, nè che tipo di attori operano nel mondo, perciò si devono fidare di Aranzulla o - in questo caso - di stronzi come me.

Motivazione

La motivazione principale per la quale nel 2023 dobbiamo prenderci cura della nostra sicurezza (e di quella di chi ci è vicino e non sa come fare) è che ovviamente la nostra vita si basa più e più su attività digitali. Avere gli account violati (magari con contenuti privati), vedersi una carta di credito rubata o cose simili sono tanto all'ordine del giorno quanto una tragedia, specie per persone povere e che non hanno i mezzi per difendersi. Per quanto spesso ciò si traduce in conversazioni con i miei genitori che mi permettono di palleggiare con lo scroto come Cristiano Ronaldo, è responsabilità di chi ne sa di più aiutare chi ne sa di meno a proteggersi, perchè mentre chiunque sa cos'è una chiave o una serratura, nel mondo digitale molte persone vivono completamente nell'oscurità.

Metodologia

Questo manualetto sarà strutturato in maniera molto semplice: 3 livelli, da quello base a quello avanzato. Ogni livello presuppone un certo modello di minaccia e corrispondenti controlli. I dettagli diminuiscono al crescere del livello, perchè per chi ha un livello sufficientemente avanzato, post come questo sono sostanzialmente inutili.

Ovviamente la qui presente guida non è completa, ci sono ovviamente altre cose da aggiungere, ma l'obbiettivo è quello di gettare le basi. Se dovessi essermi perso qualcosa di sostanziale, lo aggiungerò con un EDIT (dando opportuno credito).

Livello 1 - Piccole accortezze sulle attività quotidiane

Attori: Principe nigeriano che vi manda le email, 15 enne curioso che abita nella casa accanto. In altre parole, criminali informatici che fanno pesca a strascico senza grandi competenze.

Minacce: Attacchi in genere poco sofisticati e non diretti specificatamente contro di voi. Scam via email, phishing piuttosto ovvio, vicino che vi scrocca il WiFi, Malware scaricato sorprendemente aprendo VideoDiBelen-LoSaiQuale.exe. Account compromessi grazie ad altri data breach (un sito viene compromesso -> le vostre credenziali vengono rivelate -> account su altri siti dove usate quelle credenziali vengono compromessi).

In questo livello ci concentriamo sulle basi. Questo è un livello a cui tutti possono aspirare, specie se siete su ~~Reddit~~ Lemmy a leggere. Adottare le pratiche scritte qui richiede pochissimi cambiamenti delle proprie abitudini, quasi nessun servizio aggiuntivo (a pagamento o meno) e consiste principalmente nell'essere al corrente dei rischi esistenti e nell'adottare controlli facili e comodi. La comodità è la chiave, perchè chi è a questo livello non ha in genere il minimo interesse verso la sicurezza, non percependone i pericoli.

Password

Password semplici, facilmente indovinabili e riutilizzate sono il modo più facile con il quale i vostri account preferiti sono violati. Usare password solide tuttavia richiede notevole sforzo, quindi prima di parlare di come le vostre password dovrebbero essere da 64 caratteri, parliamo di come rendere tutto ciò non solo facile, ma più comodo di ora.

Esistono dei programmi, chiamati password manager (gestori di password), che si comportano come delle casseforti: hanno una chiave (la password principale) e dentro contengono un sacco di altra roba preziosa (le vostre password, i numeri delle vostre carte di credito/debito, etc.). Personalmente, non posso che raccomandare Bitwarden, ma ce ne sono altri, come 1password, Keepass, etc.. Altre opzioni potete trovarle qui, Googlando o chiedendo ~~allo schiavo pagato 2 euro/1000 parole~~ ad Aranzulla.

Il primo passo è quello di creare un account sul password manager di vostra scelta, usando una password lunga, ma facile da ricordare. Questa è l'ultima password che dovrete ricordarvi nella vita, perciò sceglietela bene. Se state pensando ad una qualsiasi password già usata da un'altra parte, PEEEH, no. Una password che non avete mai usato, lunga, possibilmente con un paio di maiuscole, numeri e se ci esce qualche simbolo. Almeno 16 caratteri. Potete usare una passphrase, cioè una frase con parole a caso che potete ricordarvi. Tipo "finisci edoardo di dare il tonno!", che potete ricordavi pensando alla prima lettera di ogni parola: feddit.

Una volta creato un account, prima di fare qualsiasi cosa, installate l'applicazione sui vostri computer, telefoni e -nel caso di Bitwarden (come in molti altri casi)- il plugin del browser corrispondente.

Da oggi in poi, ogni volta che create un nuovo account, lo farete mettendo prima le informazioni nel password manager, usando il generatore automatico che questo vi offre per le password, generando password da 100 caratteri casuali, inclusi numeri, simboli e maiuscole dovunque potete, e occasionalmente limitandole al numero massimo di caratteri permessi. Questo non perchè 100 caratteri sono tanto meglio di 20 o 30, ma perchè con 100 caratteri sapete che non avrete mai la capacità di ricordarvele e quindi non sarete tentati. Ogni sito dovrà avere una password unica: non dovete ricordarvele, non c'è guadagno nel riutilizzarle.

La parte noiosa consiste nel riempire il password manager con tutte le password che avete in giro. Per questo, ci sono varie opzioni: la prima è che, se usate le funzioni di Chrome/Firefox per salvare le password, potete esportarle e importarle in molti password manager (nota, una volta fatto, smettete di salvare le password nel vostro browser!). La seconda è che quando fate il login in un sito, aggiungete la password al manager (molti manager ve lo chiederanno loro se volete salvare le credenziali). Il mio consiglio è una terza via, nella quale se state per fare il login in un sito/applicazione, usate la funzione "password dimenticata" e cambiate la password, salvando quella nuova nel manager. Questo farà in modo che in relativamente poco tempo avrete sia le password nel manager, sia password sicure ovunque.

Ovvia domanda? Ma che palle, ogni volta che devo fare un login devo entrare nel manager e copiare la password? Si, ma è più facile di così. Prima di tutto, una volta "sbloccato" il manager, questo rimane aperto per qualche tempo (configurabile). Secondo, sia su telefono che su computer, il password manager può compilare i form al posto vostro. Ciò significa che con una password (quella del manager), vi risparmierete lo sforzo sia di ricordare le altre password, sia di doverle scrivere!

C'è anche un punto bonus! Per sapere in quale sito usare quale password, i manager in genere vi permettono di associare ad ogni entrata uno o più URL (indirizzi). Non solo questo permette al manager di proporvi le password giuste da auto-compilare (tipo quella di Facebook se state su Facebook.com), ma è anche un ottimo modo per evitare di subire phishing. Se siete abituati a farvi autocompilare la password e un giorno il manager non ve la propone, è possibile che l'indirizzo non corrisponda perchè qualcuno vi sta provando a fregare (tipo fac3book.com).

Ricordatevi non c'è modo di recuperare la password del password manager, perciò dovrete ricordarvela. Se proprio non ce la fate, scrivetevela e mettetela in un posto sicuro dentro casa, ma non lo diciamo a nessuno.

Email

Un altro dei modi più comuni con il quale finiamo sotto attacco sono le email. Di solito, la maggior parte dei filtri anti-spam riescono a beccare gran parte delle email di phishing o simili, ma ciò non accade sempre. Perciò, quando ricevete una mail, ricordatevi poche semplici accortezze:

  • La maggior parte degli attacchi vogliono farvi cliccare su qualche link che vi porterà a una qualche pagina di login. Se voi metterete le vostre informazioni lì dentro, quelle verranno compromesse.
  • Prima di cliccare un link, assicuratevi di controllare dove questo punti. Per farlo, basta passarci sopra col mouse e guardare in basso a sinistra. Se una mail della banca punta a "http://propriolatuabanca.it.tk", è giusto insospettirsi.
  • Se la mail consiste in ricatto, premio, trasferimento di denaro, prodotto acquistato (che non ricordate), eredità o in genere vi sembra che voi abbiate molto da guadagnarci o da perderci, e c'è un grande senso di urgenza, la probabilità che sia una truffa o un tentativo di phishing è molto alta.
  • Controllate il mittente. Una mail della banca verrà da [email protected], non da [email protected].
  • Le mail di truffa in epoca pre-ChatGPT avevano spesso errori di grammatica e altro, questo probabilmente ora non sarà più il caso, ma comunque tenete a mente che le poste difficilmente faranno grandi errori di grammatica 20 volte in 10 righe.
  • Le email che non vogliono farvi cliccare su link vari, vogliono che voi scarichiate degli allegati. Questi sono di solito file Word, PDF o Excel. La regola qui è semplice. Non scaricate mai un allegato (ma soprattutto non apritelo) a meno che non siete sicuri al 100% che la mail venga da un mittente fidato. Se siete nel dubbio, non apritelo. Se non ve l'aspettavate (una fattura ma non avete fatto acquisti), non scaricatelo.

Scaricare File

L'ultimo vettore di compromissione è quello di scaricare file a caso via internet. Magari state cercando un film, magari un crack di un programma (non vi giudico), quello che sia. A questo punto, siate coscienti che scaricare file a caso da internet pone gli stessi rischi di scaricare allegati a caso. Windows di default usa Defender, che è un antivirus tutto sommato decente, e probabilmente vi avviserà se qualcosa va storto. Nella consapevolezza che un antivirus non beccherà tutto, aprite con cautela. A volte le crack richiedono explicitamente di disabilitare l'antivirus. Ecco, se fate questo genere di attività, passate al livello 2.

Ricordatevi che un film, canzone, etc. non sarà mail un file .exe, .vba, .doc o .xls (e simili). Non aprite mai un file che ha un'estensione che non vi aspettate. Se siete in dubbio, googlate l'estensione.

Antivirus

Come citato nella sezione precedente, avere un antivirus aggiornato può essere efficace contro semplici attacchi. Assicuratevi che l'aggiornamento sia configurato in automatico e che Defender sia attivo. Se non usate Windows dovrete usare un prodotto esterno per la vostra piattaforma (è Mac, lo so).

Password del WiFi

L'ultimo suggerimento, che è già molto meno importante degli altri, riguarda la password del WiFi. Assicuratevi che questa sia lunga e che non sia quella di default che vi hanno dato insieme al router. Le configurazioni di default dovrebbero essere sufficienti, ma cambiare la password non è un'operazione banale, e se non siete in grado di farlo potete farvi aiutare dal supporto del vostro fornitore.

Riassunto

  • Usate un Password Manager, che vi permette di usare solo password lunghe e sicure, e che compilerà le password per voi.
  • Diffidate di email con link o allegati, che vi chiedono di fare qualcosa di urgenza, che non provengono da indirizzi fidati
  • Non scaricate file a caso. Se trafficate con attività che richiedono di disabilitare l'antivirus, passate al livello 2. Non aprite file con estensioni che non conoscete o vi aspettate.
  • Usate un antivirus, su Windows Defender basta. Tenetelo aggiornato.
  • Se riuscite, cambiate la password del WiFi con qualcosa di più complesso.

Livello 2 - Sforzo Personale nella Sicurezza

Attori: Scammer più dedicato, autori di malware di massa, autori di siti malevoli.

Minacce: Truffe più sofisticate, spear phishing, siti vulnerabili e o malevoli, malware in file disseminati su Torrent etc.

In questo livello ci sarà uno sforzo attivo nel sacrificare un minimo di comodità per avere migliore sicurezza e si utilizzeranno servizi esterni, che fanno gran parte del lavoro per noi. Siccome le competenze di chi è a questo livello sono più alte, il livello di dettaglio viene ridotto.

Password

  • A questo punto ogni sito che abbia valore deve essere configurato con un secondo fattore di autenticazione (2FA). La preferenza è sul TOTP (Authy > Google Authenticator) piuttosto che SMS/Email.
  • Periodicamente controllate su https://haveibeenpwned.com se la vostra email è comparsa in una qualche data breach (molti password manager offrono il servizio integrato). In quel caso, cambiate la password per quel sito, ovviamente. La password non dovrebbe essere utilizzata altrove avendo completato il livello 1.

Plugin del Browser

  • Potete usare noscript per bloccare il codice Javascript di molti siti. Spesso i siti non funzioneranno, e dovrete disabilitare noscript a mano. Fatelo per i siti di cui vi fidate.
  • Installate uBlock Origin o Ghostery (o quello che preferite).
  • Potete installare VT4Browsers, l'estensione di Virustotal, che permette di fare la scansione al volo di link mentre navigate.

Email & File Scaricati

  • Prima di aprire allegati o file scaricati, se non siete certi del contenuto, fate uno scan manuale del file su Virustotal o con il vostro antivirus di fiducia.
  • Per registrarvi a siti a caso, usate indirizzi di posta "unici". Con gmail potete usare il trucco del punto o del "+": nome.cognome = n.o.m.e.cognome = nome.cognome+testo. A volte alcuni siti si rompono con le email con il "+" (specie quando uno vuole cancellare la sottoscrizione alle email). Questo non solo rende più facile individuare chi vende i propri dati, ma riduce un minimo la probabilità di associare facilmente indirizzo email/password a voi nei diversi account. Chiaramente se utilizzate le mail col vostro dominio la cosa è ancora più facile. In più, potete mandare in spam email che arrivano all'indirizzo con il quale vi registrate sui siti più "mondezza".

WiFi & Rete Domestica

  • Assicuratevi che il router usi WPA2.
  • Disabilitate WPS e UPnP.
  • Aggiornate il router periodicamente.
  • Verificate che non ci siano porte esposte sul router (che non siete sicuri debbano essere lì).
  • Potete configurare come DNS https://nextdns.io/, e configurarlo per bloccare domini noti per essere malevoli (300.000 query gratuite, 2 euro/mese con query illimitate).
  • Usate una VPN fidata (cioè che pagate) quando vi connettete a reti sconosciute (WiFi del caffè, aereoporto, etc.).

Altro

  • Backup dei propri dispositivi. Servizi come b2 rendono lo sforzo abbastanza semplice. I backup non sono solo importanti in generale, ma sono indispensabili nel caso si finisse vittima di ransomware. Un backup nel cloud a questo livello è sufficiente.
  • Cifratura del disco di ogni dispositivo con informazioni sensibili, specie laptop e telefoni.
  • Riduzione del tempo di durate delle sessioni, per esempio il timeout del password manager.

Livello 3 - Prendere in Mano la Situazione

Attori: Criminali informatici che vi prendono di mira

Minacce: Attacchi contro il vostro particolare modello di hardware (es. router), spear phishing avanzato (tramite social media, OSINT, reclutamento lavorativo), attacco fisico (pedinamento, furto di dispositivo etc.).

In questo livello si prende in mano la responsabilità per alcuni controlli, implementando soluzioni ad-hoc, in particolare nella rete domestica. Chiaramente qui il limite è la vostra paranoia, la lista qui serve solo a dare qualche idea.

Misure di Sicurezza

  • DNS con DNSSec e liste di malware bloccate, dentro casa (nextDNS oppure DNS locale con liste aggiornate).
  • VPN sul telefono che si connette alla linea domestica (se opportuno) per beneficiare dei controlli della stessa.
  • Sistema Operativo/Firmware più avanzato sul router domestico (pfsense, openWRT, uniFI, etc.), con VPN, malware blocking, supporto VLAN e configurazione firewall più avanzata.
  • Dispositivi IoT su una VLAN separata, possibilmente senza accesso a internet se non lo stretto necessario, e solo in uscita.
  • Dispositivi sensibili su una VLAN separata.
  • Rete WiFi su una VLAN separata, con VLAN aggiuntiva per la rete degli ospiti.
  • IDS out-of-band o IPS (se siete coraggiosi) sul perimetro di rete, con alert.
  • Yubikey o simili dispositivi di sicurezza fisica come secondo fattore di autenticazione.
  • Codici TOTP salvati sulle Yubikey (o dispositivi simili) per evitare che il telefono rappresenti un rischio in caso di furto (contiene i codici TOTP).
  • Passcode sul telefono (e non gesture o PIN).
  • File scaricati da internet su una sandbox (VM isolata, detonation chamber, etc.) e scansionati.
  • Continua informazione sul panorama delle minacce informatiche, per prendere eventuali contromisure straordinarie in maniera rapida (es., recente compromissione di CircleCI con binario per Mac -> forzare la verifica della firma dei binari su Mac).
  • Noscript, uBlock, HTTPS-Everywhere e altri plugin configurati in maniera più aggressiva, aggiungendo alle whitelist solo i componenti necessari dei siti che non funzionano, anzichè l'intero sito/pagina.
  • Backup su dispositivo in rete locale e cloud, cifrato e verificato periodicamente. Regola del 3-2-1.
  • Full-Disk-Encryption di ogni dispositivo, con particolare attenzione a dispositivi mobili (laptop e telefono), inclusa la partizione di Boot.
  • Comunicazioni email sensibili solo tramite cifratura con GPG.

Livello 4

Attori: APT, Servizi segreti, state-sponsored, etc.

Minacce: di morte.

Se siete in questo gruppo e state cercando informazioni su ~~Reddit~~ Lemmy siete già fottuti.

Alcuni Link Utili

2
Choosing an hypervisor (lemmy.world)
submitted 1 year ago* (last edited 1 year ago) by [email protected] to c/[email protected]
22 comments fedilink

Hello everyone! During one of those illuminated evenings, I got the idea to move my small server in Scaleway to some more powerful server in Hetzner. If I will make the move, I am thinking of splitting the server in various VMs, to host different services that belongs to different trust boundaries, for example:

  • A Lemmy/writefreely instance
  • Vaultwarden/Gitea
  • Wireguard tunnel to my home infrastructure
  • Blogs, and other convenience services

In order to achieve the best level of separation, I was thinking of using VMs. My default choice would be Proxmox, because I used it in the past, and because I generally trust it, however I am trying to evaluate multiple options, and maybe someone has good or better experiences to share.

Other options I thought about are:

  • Run everything in Docker. I am going to do this nevertheless, but Docker escapes are always possible, especially with public facing images that I did not write myself and/or that require a host volume.
  • KVM directly? I am OK even without a GUI to be honest. I am not aware if there is some ansible module or even better Terraform provider for this, it would be great. (EDIT: I found https://registry.terraform.io/providers/dmacvicar/libvirt/0.7.1 which seems awesome!)
  • ESxi? I have no experience with this solution.

Any idea or recommendation?

10
Muore Daniel Ellsberg - "Talpa" dei Pentagon papers (ENG) (www.washingtonpost.com)
submitted 1 year ago by [email protected] to c/[email protected]
1 comments fedilink

All'età di 92 anni è morto Daniel Ellsberg, analista militare che rivelò ai tempi della guerra in Vietnam i Pentagon Papers.

Tra i punti d'onore, ricordiamo l'essere definiti da Kissinger come "l'uomo più pericolo d'America".

Di recente mi è capitato di vedere il film The Post nel quale il suo personaggio ha un ruolo relativamente importante, e nel quale viene mostrato l'impatto sui media della fuga di notizie.

view more: next ›

sudneo

joined 1 year ago