7. www.isoc.cat
Per què ?
● Per protegir les nostres dades personals i dispositius en cas
de pèrdua o robatori
● Per controlar una mica millor la nostra petja digital
● Per a que siguem nosaltres qui controla els dispositius i no al
revés
● Per decidir quan, què i com volem comunicar al món i fer-ho
més conscientment
● Your entire life is online and it might be used against you
– https://www.youtube.com/watch?&v=F7pYHN9iC9I
8. www.isoc.cat
Objectius
● Conèixer algunes de les eines que podem fer servir per protegir
la nostra informació i la nostra intimitat a Internet
– Conèixer la nostra petja digital involuntària
– Saber com protegir, una mica, les nostres dades
● Instal·lar-les en el nostre ordinador (BYOD)
● Aprendre a fer-les servir en el dia a dia
● Poder explicar-ho i ajudar a amics, coneguts i saludats
● Augmentarem la nostra privadesa, però no serem anònims
● No ens fem responsables del mal ús de les eines presentades
9. www.isoc.cat
Idees
● Això és un taller, no una presentació. Participeu i fem-ho
plegats
● L'objectiu és aprendre, instal·lar i usar
● Pregunteu en cas de qualsevol dubte
● Ajudar els altres és la millor manera de comprovar si ho hem
entès
10. www.isoc.cat
Principis
● Murphy no dorm. Mai
● Que siguis paranoic no vol dir que no et segueixin
● Si no pagues pel servei, tu ets el producte
● "There is no delete button on your digital identity"
- Eric Schmidt (Google)
● La seguretat infinita té cost infinit
● Podem intentar millorar la nostra intimitat a un cost raonable
● Veiem-ho
11. www.isoc.cat
Privadesa vs. anonimat
● Privadesa:
– La capacitat d'escollir què volem comunicar al món
● Anonimat:
– La impossibilitat de que altres puguin saber qui som
12. www.isoc.cat
Capes o cadena de bits a Internet
Medi
(cable,
radio, ...)
Paquets
(capçalera,
contingut)
Aplicacions
(mail,
web, ...)
Usuari
Comunicació
DadesCanal Sistema
Operatiu
0-day exploits
No password
Dades no
xifrades
DNS poisoning
Punxat Back doors
Forats de
seguretat Bugs
Trojans
Phishing
Virus
Corrupció de dades
13. www.isoc.cat
Usuari
● Evitar-ne l'ús indegut:
– Passwords: han de ser secrets, llargs, no deduïbles i
memoritzables. Barreja de caràcters+xifres+lletres
– Es poden usar arxius xifrats de passwords: KeyPass o Key-
rings del SO/Browser
● Per si es perd o roben el dispositiu:
– Localització i bloqueig del dispositiu: Preyproject.com i Find my
phone
16. www.isoc.cat
How to Survive the Password Apocalypse
Until we figure out a better system for protecting our stuff online, here are four mistakes you should
never make ...
DON’T
● Reuse passwords. If you do, a hacker who gets just one of your accounts will own them all.
● Use a dictionary word as your password. If you must, then string several together into a pass
phrase.
● Use standard number substitutions. Think “P455w0rd” is a good password? N0p3! Cracking tools
now have those built in.
● Use a short password—no matter how weird. Today’s processing speeds mean that even
passwords like “h6!r$q” are quickly crackable. Your best defense is the longest possible password.
http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/all/
Usuari: fer o no fer
17. www.isoc.cat
Usuari: fer o no fer
... and four moves that will make your accounts harder (but not impossible) to crack.—M.H.
DO
● Enable two-factor authentication when offered. When you log in from a strange location, a system
like this will send you a text message with a code to confirm. Yes, that can be cracked, but it’s
better than nothing.
● Give bogus answers to security questions. Think of them as a secondary password. Just keep
your answers memorable. My first car? Why, it was a “Camper Van Beethoven Freaking Rules.”
● Scrub your online presence. One of the easiest ways to hack into an account is through your
email and billing address information. Sites like Spokeo and WhitePages.com offer opt-out
mechanisms to get your information removed from their databases.
● Use a unique, secure email address for password recoveries. If a hacker knows where your
password reset goes, that’s a line of attack. So create a special account you never use for
communications. And make sure to choose a username that isn’t tied to your name—like
m****n@wired.com—so it can’t be easily guessed.
http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/all/
18. www.isoc.cat
Lab 1
● Provar howsecureismypassword.net amb un PWD que NO sigui vostre (eg. aaaaa)
● Posar un bon PWD en tots els dispositius (i recordar-lo)
● Comprovar que s'activa salva pantalles amb PWD al cap de no més de 3 o 5 minuts
d'inactivitat. A Win, Logo+L per bloquejar pantalla
● Instal·lar http://keepass.info/ i fer una prova (Win/Mac/UX)
● Tots dispositius: preyproject.com --> i fer prova d'indicar pèrdua per veure report
● How to Secure or Find Your Android Smartphone (PCW)
– https://www.youtube.com/watch?v=wzlrT6XO8_E
● Mòbil: “Find my phone” , “Where is my droid”
19. www.isoc.cat
Usuari
● Profiling: obtenir un perfil personal a partir de la petjada
digital (doxing)
– Xarxes “d'amics” i què diem o ens agrada FB, Twitter,
LinkedIn, ... Feu Egosurfing
– Cookies, cross-scripting, sessions obertes, ...
– Com ens mostren el que “creuen” que ens interessa
http://dontbubble.us/
– Atenció a seguiment 3G, telefonia, IP, ...
20. www.isoc.cat
Lab 2
● Egosurfing: busca't al google, bing i yahoo, mira i
compara resultats
– També https://www.google.com/settings/me?client=email
● De qui és aquesta cara ?
– Feu-ho amb alguna foto vostre
21. www.isoc.cat
Dades
● Antivirus actualitzats (també per a Mac i Linux)
– http://www.av-comparatives.org/dynamic-tests/
– https://help.ubuntu.com/community/Antivirus
● Còpies de seguretat
– En tens ?
– Comprovar regularment que són bones
– No guardar-les mai junt amb les dades originals
– Les vols desar xifrades ?
– Atenció a l'obsolescència del suport físic i mètode/SW xifrat
22. www.isoc.cat
Dades
● Xifrar les dades (disc/s, USB, còpies de seguretat locals
o en núvol). Assegureu-vos de recordar el PWD ...
● BoxCryptor, Truecrypt o eina pròpia del S.O.
● Si dades al núvol (Dropbox/Box/...), xifreu-les també
localment
– BoxCryptor, EncFS
– http://mega.co.nz
– https://en.wikipedia.org/wiki/Comparison_of_disk_encrypti
on_software
23. www.isoc.cat
Lab 3
● Xifrar una memòria USB amb BoxCryptor, Truecrypt o similar
● Baixar i instal·lar:
– Win/Mac: https://www.boxcryptor.com/
– Linux: EncFS + CryptKeeper
● Xifrar el volum USB o una carpeta dins el USB
● Crear-hi un fitxer prova.txt
● Comprovar si es pot llegir/veure des d'un altre ordinador
● Tornar-lo a connectar al nostre i llegir el fitxer
●
24. www.isoc.cat
Lab 3
● Si teniu compte al Dropbox o similar ...
– Creeu una carpeta de prova
– Xifreu-la i compartiu link
– Doneu link a algú altre per a que intenti accedir-hi sense
(i després amb) PWD
– Esborreu (o no) la carpeta
25. www.isoc.cat
Lab 3 (a casa)
● Revisar, instal·lar i/o actualitzar antivirus
● Provar http://virustotal.com o equivalents (Kasperski.com, ...)
● Xifreu un disc dur extern per a fer-hi les còpies de seguretat
● Copieu-hi un directori de prova
● Connecteu-lo a un altre ordinador i mireu què passa
● Reboteu el vostre ordinador, connecteu-hi el disc xifrat i
recupereu la informació
26. www.isoc.cat
Aplicacions i Sistema Operatiu
● Actualitzacions:
– Per a evitar forats de seguretat
– Pensar que hi ha 0-day i que es venen abans de publicar-los !
● Fonts segures: no acceptar caramel del primer que passa
● Antivirus: actualitzar-los regularment
27. www.isoc.cat
Lab 4
● Comprovar signatura MD5 dels paquets descarregats
● Anar a una de les webs següents i comprovar MD5 del fitxer
– http://www.fourmilab.ch/md5/
– https://hash.cymru.com/
28. www.isoc.cat
Navegadors
● Reduir el “profiling” i les dades que es passen entre les webs
--> Colusion
● Packets, cookie, sessions, https, user agent, adreça IP, DNS
● Llegir http://dontbubble.us
● Hi ha cercadors que no són tan invasius
● Opció: posar-los com home page i/o bookmark
● Tot i així, navegadors deixen una petjada: http://ipcheck.info
29. www.isoc.cat
Lab 5
● Cerques i “profiling”
– Demo de “Colusion”
– Provar cerques amb Google/Bing/Yahoo vs. duckduckgo.com i
startpage.com
– GooPIR http://unescoprivacychair.urv.cat/goopir.php
– Anar a IPcheck.info i mirar el rastre del navegador
30. www.isoc.cat
Lab 6
● Actualitzar navegadors
– Comprovar versió i saber forçar actualització
– Configuració bàsica: plug-ins a treure, cookies, java, ..
● Instal·lar, provar i desactivar Colusion
● Instal·lar les 4 recomanacions de la EFF:
– https://www.eff.org/deeplinks/2012/04/4-simple-changes-protect-your-privacy-online
– Https-everywhere, Adblock, Ghostery
– Extensió “No-Script”
31. www.isoc.cat
Lab 7 i 8
● Lab 7: Habilitar / Deshabilitar Java, Javascript, Flash, etc.
● Lab 8: TOR - Bundle, instal·lació i ús.
– https://www.torproject.org/download/download-easy.html.en
32. www.isoc.cat
Sessió: Correu electrònic
● Es transmet sempre “en obert” !
– El contingut pot ser llegit molt fàcilment
– Es pot xifrar correu (text): Enigmail + Thunderbird
– Però només xifra el text, no xifra To:, CC:, CCO:, ni Tema
● Per donar-se d'alta a llocs de poca confiança
– Atenció no el feu servir de contacte per a recuperar mails
– Mail efímers: Guerrillamail, 10minutemail, ... o crear-ne un d'especial
a gmail, yahoo i similars
33. www.isoc.cat
Lab 9
● Instal·lar PGP
– Win: http://www.gpg4win.org/
– Mac: http://macgpg.sf.net/
– Linux: check it (gpg --version)
● Instal·lar EnigMail (plug-in for Thunderbird)
– http://www.enigmail.net/download/
– right-click on the link and choose "Save link as...".
● Arrencar Thunderbird --> Tools / Add-ons / Install (Enigmail)
● Sortir de Thunderbird i tornar-lo a arrencar
● Fer http://www.enigmail.net/documentation/quickstart-ch2.php
34. www.isoc.cat
Lab 10 (si hi ha temps)
● OTR – Off-the-Record Messaging
– https://en.wikipedia.org/wiki/Off-the-Record_Messaging
– http://www.cypherpunks.ca/otr/
– Offers: Encryption, Authentication, Deniability, Perfect forward secrecy
● Clients xat amb with OTR:
– https://www.linux.com/learn/tutorials/341904-weekend-project-secure-instant-
messaging-with-off-the-record
– http://pidgin.im
– http://adium.im/ (OTR de sèrie Mac)
– Kopete i Mcabber (OTR de sèrie Linux)
– IM+ (Android)
● Web based http://cripto.cat
35. www.isoc.cat
Comunicació: DNS
● DNSSEC
– L'ha d'oferir el titular del domini
– Encripta la resolució del domini (trad. nom domini --> adreça IP)
● Resolvers DNS
– Qui sap quines pàgines visites ?
– Venen els ISP aquestes dades (agregades?) a 3rs?
36. www.isoc.cat
Comunicació: DNS
● Telecomix Censorship-proof DNS
– 91.191.136.152
– http://dns.telecomix.org/
● Privacy foundation
– https://server.privacyfoundation.de/index_en.html
– 87.118.100.175
– 94.75.228.29
37. www.isoc.cat
Lab 11
● Canviar els DNS del dispositiu (i provar el router a casa)
● VPN: Virtual Private Network, túnel de comunicació xifrada
entre 2 ordinadors
● Provar i instal·lar una VPN
– http://vpngate.net -Xarxa de 500 VPN lliures, experiment de la Universitat de Tsukuba
– https://torrentfreak.com/which-vpn-providers-really-take-anonymity-seriously-111007/
– http://openvpn.net
39. www.isoc.cat
Conclusió
● No serem invulnerables però sí ho haurem posat més difícil
● Hem millorat la protecció de les nostres dades privades
davant robatoris o intromissions
● Llegiu bé les instruccions de les aplicacions, no doneu res
per evident
● Recordeu actualitzar les aplicacions i que tot pot fallar ;-)
● Esperem que pugueu replicar aquesta sessió a més
persones i en altres llocs
Gràcies
40. www.isoc.cat
Dret de còpia i modificació
El material d'aquesta presentació és lliure i es pot fer servir
sota les condicions de Creative Commons BY-NC-SA excepte
els continguts trets d'altres fonts o titulars com:
– Logo d'ISOC del fons i logo d'ISOC-CAT
– Els acudits de XKCD són del seu autor
– Els vídeos de YouTube i text de Wired són dels seus autors
– Textos a articles i webs usades aquí com referència o exemple
CryptoParty.cat
Gràcies