View
79
Download
0
Embed Size (px)
Citation preview
1984 tenía razón
1984 tenía razón!Como proteger nuestra privacidad de “El Gran Hermano” con 100% software libre.
Por Oscar Gentilezza (a.k.a Exos)[email protected] si!!! es de google!!!←@exoshttp://blog.exodica.com.arGPG: 0x8798902F
FLISoL 2014 – Lanux
1984 tenía razónConspiranóia vs realidad
ECHELON:
Es considerada la mayor red de espionaje y análisis para interceptar comunicaciones electrónicas de la historia. Controlada por la comunidad UKUSA (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda), puede capturar comunicaciones por radio y satélite, llamadas de teléfono, faxes y correos electrónicos en casi todo el mundo e incluye análisis automático y clasificación de las interceptaciones. Se estima que ECHELON intercepta más de tres mil millones de comunicaciones cada día.
Fuente: https://es.wikipedia.org/wiki/ECHELON
1984 tenía razónConspiranóia vs realidad
Backdoors (Puertas traseras):
En la informática, una puerta trasera, es una secuencia especial dentro del código de programación, mediante la cual se pueden evitar los sistemas de seguridad del algoritmo (autentificación) para acceder al sistema. Aunque estas puertas pueden ser utilizadas para fines maliciosos y espionaje no siempre son un error, pueden haber sido diseñadas con la intención de tener una entrada secreta.
Fuente: https://es.wikipedia.org/wiki/Puerta_trasera
1984 tenía razónConspiranóia vs realidad
PRISM:
Programa de vigilancia electrónica considerado confidencial a cargo de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) desde el 2007. El alcance es tan grande que Estados Unidos podría haber espiado a más de 35 líderes mundiales.
Los informes y documentos filtrados por Edward Snowden en junio de 2013 indican que PRISM se emplea como un medio para la vigilancia a fondo de las comunicaciones y otros datos almacenados.
...
1984 tenía razónConspiranóia vs realidad
PRISM:
Los datos que supuestamente la NSA es capaz de obtener gracias a PRISM incluyen correos electrónicos, vídeos, chat de voz, fotos, direcciones IP, notificaciones de inicio de sesión, transferencia de archivos y detalles sobre perfiles en redes sociales.
Fuente: https://es.wikipedia.org/wiki/PRISM
1984 tenía razón¿Por qué software Libre?
Ventajas del software libre:
● Código abierto● Mantenido/cuidado por comunidades de usuarios● Tiende a un desarrollo democrático● Busca ser seguro● Pone en prioridad al usuario y no a las ventas
1984 tenía razón¿Por qué software Libre?
Código abierto (y libre!!!)
El código fuente de un programa es como está hecho, un código fuente abierto es publicado y puede ser leído y estudiado por cualquiera. Si alguna persona, empresa o lo que fuere quiere meter funcionalidad con fines de dañar la privacidad de un usuario, OTRAS PERSONAS PODRÁN VERLO Y EVITARLO.
1984 tenía razón¿Por qué software Libre?
Código abierto (y libre!!!)
Por otro lado, en caso de vulnerabilidades (errores que permiten saltearse la seguridad) son encontrados y arreglados antes de que pueda tener una propagación importante. En la práctica la mayoría no llega a los programas en versiones finales.
1984 tenía razón¿Por qué software Libre?
Comunidades autogestionadas
El software al tener disponible su código fuente, siempre tiende a tener gente que ayuda sin esperar retribuciones, desde usuarios intercambiando conocimiento hasta desarrolladores y hackers colaborando con modificaciones y arreglos, y todo tipo de personas reportando errores e ideas.
1984 tenía razón¿Por qué software Libre?
Priorización del usuario
La prioridad de un software libre es que le sirva al usuario final que lo esté usando, siendo esta la motivación principal y no las ganancias a costa de esclavizar al usuario.
Una empresa que desarrolla software cerrado puede (y lo hacen!!) ocultar errores que pueden comprometer a sus usuarios y darle mas prioridad a sacar mas “mercancia”
1984 tenía razón¿Por qué software Libre?
Software privativo (cerrado)
Nadie puede ver el código fuente (lo que hace el programa internamente). Esto hace que:
● Las empresas puedan agregar funciones de espionaje (backdoors, spywares, etc)
● Haya errores (vulnerabilidades) que no sean detectados● Guardar registros de las actividades para futuro uso
1984 tenía razónPrivacidad a nivel S.O.
Algunas cosas a tener en cuenta:
● Un Sistema operativo libre es mas seguro que uno privativo.● Contraseñas fuertes aumentan muchísimo la seguridad● Sesiones individuales, cada user en su home● Hacer todo, mientras sea posible, a nivel usuario y no a nivel
sistema● Cifrar archivos y particiones es una excelente práctica● En caso de usar una distribución libre, evitar software no soportado
por dicha distribución● No utilizar programas en fase beta para cosas serias● Utilizar contraseñas “maestras” en caso de guardar contraseñas
1984 tenía razónPrivacidad a nivel S.O.
Sesiones individuales
Cada usuario usa de modo diferente una computadora, en una computadora compartida es inevitable tener 20 juegos instalados por el nene, 40 “toolbars” instaladas por los padres y cientos de power points de bebes y perros bajados por la abuela.
Tener sesiones individuales evita conflictos entre los usuarios y mejora la seguridad de cada uno.
1984 tenía razónPrivacidad a nivel S.O.
Evitar hacer cosas a nivel sistemasudo make me a sandwich
Si un programa es ejecutado a nivel usuario, este solo puede afectar los archivos y recursos a los que este tenga acceso, un programa que intente por ejemplo llegar a infectar el sistema operativo, le será mas difícil si corre bajo estas reglas, aparte que no podrá afectar tampoco a otros usuarios de este mismo sistema.
1984 tenía razónPrivacidad a nivel S.O.
Utilizar software soportado por la distribución
Las distribuciones modernas como *buntu, Debian, etc. hacen que el software disponible para sus sistemas pase pruebas y aprobaciones de gente capacitada para tal fin. Aparte tienen mecanismos de seguridad como la comprobación de integridad del software descargado antes de instalarse o de las mismas fuentes de donde lo están haciendo.
1984 tenía razónPrivacidad a nivel S.O.
Cifrar archivos y particiones
Algunas distribuciones tienen la opción de cifrar las particiones del usuario en la instalación, hacerlo no tiene un efecto relevante sobre el rendimiento en maquinas modernas y es mayormente útil en dispositivos móviles como notebooks, que en caso de ser robadas o extraviadas (o confizcadas) nadie podrá tener acceso a la información privada al no ser que posea la contraseña.
(o confiscadas)
1984 tenía razónPrivacidad a nivel S.O.
Cifrado de archivos: GnuPG (o gpg)
Gpg es una utilidad que permite tanto cifrar como firmar electrónicamente archivos y otros datos.
Si bien su fuerte es la encriptación basada en llaves asimétricas (privadas y públicas) también sirve de utilidad para cifrar con contraseña (cifrado simétrico)
1984 tenía razónCifrado de llave pública o 2 llaves
Cifrando de punto a punto
● 1: Ana redacta un mensaje● 2: Ana cifra el mensaje con la clave
pública de David● 3: Ana envía el mensaje a David
● 4: David recibe el mensaje cifrado y lo descifra con su clave privada
● 5: David ya puede leer el mensaje original que le mandó Ana
1984 tenía razónCifrado de llave pública o 2 llaves
Software para manejar llaves:
Seahorsehttps://wiki.gnome.org/Apps/Seahorse KGpghttp://utils.kde.org/projects/kgpg/
1984 tenía razónPrivacidad en Internet
Algunas cosas a tener en cuenta:
● Usar clientes libres (aunque sean alternativas)● Usar siempre que se pueda protocolos cifrados (ex. SSL)● Asegurarse que las fuentes sean confiables● Evitar servicios centralizados● Evitar “La Nube”● Añadir encriptación punto a punto (evitar intermediarios)● Bloquear tráfico innecesario● En caso de usar protocolos en claro, usar túneles cifrados o redes
virtuales privadas (VPN)
1984 tenía razónPrivacidad en Internet
Mensajería instantánea
● Usar clientes libres (aunque sean alternativas)● Evitar servicios centralizados● Añadir encriptación punto a punto (evitar intermediarios)
1984 tenía razónPrivacidad en Internet
OfftheRecord Messaging (OTR)
OTR fue hecho para mantener conversaciones seguras en mensajeros instantáneos. Usa cifrado asimétrico (como Gpg) y autentica que la persona del otro lado sea realmente quien dice ser.
Algunos clientes que soportan OTR:
● Pidgin (con un plugin)● Kopete● Jitsi
1984 tenía razónPrivacidad en Internet
Correo electrónico
● Usar clientes desktop antes que webmails● Usar siempre protocolos cifrados hacia el servidor● Añadir encriptación punto a punto
1984 tenía razónPrivacidad en Internet
S/Mime:
S/MIME es el estándar por defecto, usa el estándar PKCS#7, llaves publicas y certificados firmados[*]
* Las certificaciones son pagas
Algunos clientes que soportan S/MIME:
● Thunderbird● Evolution● KMail
1984 tenía razónPrivacidad en Internet
GPG/MIME
Cifrado y firma a travez de GPG, a diferencia de S/MIME no se necesitan comprar una certificación.
Clientes que soportan GPG:
● Thunderbird + Enigmail● Evolution● KMail● Mailvelope Para webmails (Firefox, Chromium)←● WebPG para webmails (Firefox [experimental])←
1984 tenía razónPrivacidad en Internet
Navegadores
● Usar navegadores libres!!!! si esto era de esperar←● Usar siempre que se pueda HTTPS o SPDY● Bloquear trafico que pueda trackear nuestra actividad● Evitar usar extensiones o plugins privativos o de dudosa integridad● Si se usa un navegador ajeno, o las circunstancias lo ameritan, usar
el modo de navegación privada.
1984 tenía razónPrivacidad en Internet
Firefox vs Chrome
Entre los 2 navegadores mas utilizados en Linux están Firefox de Mozilla y Chrome de Google.
Chrome a diferencia de lo que la gente piensa, no es software libre, y este manda información a Google, aparte de traer blobs binarios (como el lector de PDF o los codecs para formatos de video privativos)
Si realmente les gusta Chrome, opten por Chromium o SRWare Iron
1984 tenía razónPrivacidad en Internet
¿Que hace Google Chrome? O ¿por qué no usarlo?
● Enviá una cadena codificada enviada junto con todas las consultas a Google cada 24 horas (RLZ identifier)
● Google como portal determinado (e integración con sus servicios)● Genera un identificador (ID) único para identificar al usuario en los
registros de accesos.● Crea una marca de tiempo de cuando fue instalado el navegador.● Tiene páginas de error alojadas en servidores de Google● Sugerencias automáticas de búsquedas en la barra de direcciones. (que
manda a Google)● Sistema de seguimiento de errores que envía información sobre cuelgues
del navegador o errores.
1984 tenía razónPrivacidad en Internet
Usando HTTPS siempre!
Https es un protocolo que implementa SSL para cifrar la información entre el cliente y el servidor, aparte que al usar el estándar PKCS#7 comprueba que el servidor que responde sea el correcto, y no una suplantación.
Hoy por hoy casi todos los sitios utilizan SSL, aunque lamentablemente como se explico antes, estos certificados son pagos, así que no todos los sitios pueden implementarlo. Aún así los de mayor tráfico lo tienen.
1984 tenía razónPrivacidad en Internet
Problemas de SSL:
● Al necesitar un certificado pago muchos sitios carecen de este protocolo
● Si bien cifra el trafico, no es punto a punto, si uno se comunica con otra persona, aunque los 2 usen SSL, el servidor tiene todo en claro.
● Muchos sitios cargan por defecto en una versión no segura● Hay un ataque llamado “SSLStrip” que hace que el usuario navegue
de forma no segura, forzando todas las llamadas hacia HTTP.
● Se sabe que la NSA falsificó certificados SSL
1984 tenía razónPrivacidad en Internet
Extensiones sugeridas (Para Firefox) para HTTPS
● HTTPS everywhere: Fuerza a los sitios que lo soportan a funcionar por https, así que nos evita los ataques tipo SSLStrip o los sitios que cargan HTTP (no seguro) por defecto.
● Perspectives: Chequea en varios servidores (que se pueden agregar y levantar) que el certificado sea el mismo para todos, esto evita que por ejemplo, un certificado falsificado por la NSA (como se sabe cree que puede hacer) pase, aparte se puede configurar para aceptar certificados no firmados por CA's, lo que permite validar certificados autofirmados. (SSL gratis y descentralizado :D)
1984 tenía razónPrivacidad en Internet
Extensiones sugeridas (Para Firefox) para HTTPS
● HTTP Nowhere: Bloquea completamente todo tráfico que no sea HTTPS, lamentablemente hace tedioso navegar por los tantos sitios que no soportan SSL, pero se puede usar para por ejemplo, habilitarlos si usamos una conexión wifi no confiable y sabemos que solo vamos a navegar por sitios seguros (gmail, facebook, etc.)
● HTTPS Facebook: Fuerza la navegación por facebook a SSL, no es útil si se tiene HTTPS Everywhere, pero evita atacas SSLStrip, si solo se desea navegar por esta red social.
1984 tenía razónPrivacidad en Internet
Extensiones sugeridas (Para Firefox) para HTTPS
● Adblock Plus: Bloquea publicidades (ads) desde muchas fuentes.● BetterPrivacy: Bloquea y borra cookies flash y “supercookies”● Foxy Proxy: Nos permite utilizar un proxy a demanda **● Modify Headers: Permite personalizar headers del navegador, esto puede
servir para ocultar la versión del browser.● DoNotTrackMe: (Ojo) Evita enviar información de trackeo, y tiene ←
opciones para evitar enviar direcciones de email.● Disconnect: Bloquea trafico de redes sociales, analizadores de trafico,
etc.● Flashblock: Bloquea contenidos flash (se pueden agregar excepciones e
iniciar un flash a demanda)
1984 tenía razónPrivacidad en Internet
Software para seguridad de conexiones
● SSH: Permite aparte del manejo remoto de maquinas abrir túneles seguros, tunes inversos (también seguros) y es utilizado por muchísimos programas como rsync, git, etc.
● OpenVPN: VPN Libre (centralizada)● Tinc: VPN Libre (descentralizada)
1984 tenía razónPrivacidad en Internet
Proyectos de redes libres
Buenos Aires Librehttp://buenosaireslibre.org/
Red libre que se extiende por CABA Y GBA.
LibreVPN (software + red) http://librevpn.org.ar/
Scripts helpers para configurar VPN's descentralizadas (utilizando tinc + Avahi)
1984 tenía razónPrivacidad en Internet
The Onion Router (TOR)
Proyecto cuyo objetivo principal es el desarrollo de una red de comunicaciones distribuida de baja latencia y superpuesta sobre internet en la que el encaminamiento de los mensajes intercambiados entre los usuarios no revela su identidad, es decir, su dirección IP (anonimato a nivel de red) y que, además, mantiene la integridad y el secreto de la información que viaja por ella. Por este motivo se dice que esta tecnología pertenece a la llamada darknet o red oscura también conocida con el nombre de deep web o web profunda.
1984 tenía razónPrivacidad con celulares
● Evitar empresas que no dejen instalar firmwares ajenos● NUNCA USAR IPHONE● Tratar siempre de reemplazar el SO de fábrica por uno mantenido
por una comunidad.● No usar Google Play en Android cuesta pero no tanto!←● Se puede usar EncFS en Android (ver Cryptonite)● Gibberbot soporta OTR● TextSecure cifra mensajes de texto● Usar Telegram alternativamente a Whatsapp Ojo←