You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

19 KiB

Encriptacio i navegació anonima

#VSLIDE

Índex

  1. Navegació anònima
    • TorBrowser / tails
    • VPN
  2. Metadades
    • Què són les metadades
    • Com esborrar les metadades
  3. Geolocalització en dispositius mòbils
  4. Encriptació
    • Què és l'encriptació i com funciona?
    • Guia bàsica de com encriptar dispositius android
    • Encriptació en l'ordinador

#VSLIDE

Hola!

#VSLIDE

Roda de motivacions

«Què esperes d'aquesta sessió?»

«Per què estàs aquí?»

#VSLIDE

Sondeig tècnic

  • Mail: gmail - riseup
  • OS: windows - ubuntu
  • Anon: Tor, metadades, cares
  • Mòbil: precaucions?

#VSLIDE

Seguretat

  • Relativa al context
  • De grup
  • Psico-social + física + info
  • Progressiva
  • Objectiu: activisme sostenible

#HSLIDE

Navegació anonima

#VSLIDE

Anonimat a la xarxa: Tor

Logo de Tor

#VSLIDE

Tor és

  • Una xarxa d'ordinadors sobre internet per anonimitzar.
  • El programa que connecta els ordinadors a la xarxa Tor.
  • El navegador que funciona a través de la xarxa Tor.

#VSLIDE

Funcions

  • Amaga l'adreça IP
  • Xifra el trànsit
  • Serveis onion

#VSLIDE

Contrapartides

  • Retard i ample de banda limitat
  • Crida l'atenció
  • Bloquejos, traves

#VSLIDE

Adreça IP

Destí i remitent d'una comunicació a internet.

El nostre remitent és una adreça pública.

Pot ser la de:

  • casa
  • biblioteca
  • local social

#VSLIDE

Adreça IP

Les ISP tenen comprats rangs d'adreces IP, i estan repartits per zones geogràfiques. Per tant, la nostra adreça IP pública revela:

  • La companyia telefònica contractada
  • La localització física aproximada

#VSLIDE

Adreça IP

Podem esbrinar la informació que escampem per internet amb serveis com ipleak.net Adreça IP

#VSLIDE

Internet ≠ WWW

A Internet hi funcionen molts protocols d'aplicació. Per conviure en la mateixa màquina, es fan servir ports TCP o UDP.

La Web fa servir els següents ports

  • HTTP: TCP-80
  • HTTPS: TCP-443
  • Resolució de noms (DNS): UDP-53

#VSLIDE

Internet ≠ WWW

Però n'hi ha molts més, de protocols

  • Xat (Jabber): TCP-5222
  • Correu: TCP-993, TCP-587, TCP-465
  • Age of Empires II: TCP-47624

#VSLIDE

Internet ≠ WWW

Actualment la tendència és definir nous protocols per sobre de HTTP: les API web

  • API de Twitter
  • Xat (Matrix.org, RocketChat)
  • Xarxes socials lliures (federació entre servidors)

#VSLIDE

Connexió HTTP, sense xifrar

Connexió HTTP

#VSLIDE

Connexió xifrada, TLS.

Xifra la connexió entre client i servidor.

  • Web, mail, xat, …

Els túnels TLS ens protegeixen d'atacs:

  • Passius: robar credencials, llegir formularis i missatges
  • Actius: manipular webs, programes, actualitzacions.

#VSLIDE

Connexió HTTPS, xifrada

Connexió HTTPS

#VSLIDE

Adreça IP del remitent sense usar Tor

Des de Barcelona i amb Movistar: Adreça IP sense Tor

#VSLIDE

Adreça IP del remitent usant Tor

Des de Barcelona i amb Movistar: Adreça IP amb Tor

#VSLIDE

Connexió a través de Tor

Connexió amb Tor

#VSLIDE

Nodes de sortida a Clearnet

  • Pocs: ample de banda limitat.
  • Perillosos: Imprescindible HTTPS.

#VSLIDE

Connexió a través de Tor

Connexió amb Tor i TLS

#VSLIDE

Serveis onion

Comunicació entre desconeguts

  • Servidor anònim.
  • Usuària anònima.

En comparació a serveis a la clearnet:

  • No congestiona els nodes de sortida.
  • No necessita HTTPS.

#VSLIDE

Alguns llocs web onion

#VSLIDE

Aplicacions basades en serveis onion

  • OnionShare: compartir fitxers
  • Ricochet: xat auster

#VSLIDE

Aplicacions torificables:

  • Navegador: Firefox → Tor Browser Bundle
  • Correu: Thunderbird → extensió TorBirdy
  • App Twitter oficial → app Twidere + Orbot

#VSLIDE

VPN

  • Es molt semblant a tor, ens ajuda a ocultar la ip i navegar anonimament
  • Es pot fer servir com una capa adicional de protecció conjuntament amb tor o per separat

#VSLIDE

Proveidors VPN fiables

#HSLIDE

Metadades

#VSLIDE

Què són les metadades

  • Són dades que donen informació sobre altres dades
  • Exemple de metadades en un missatge:
    • Hora
    • Ubicació
    • Dispositiu

#VSLIDE

Veiem un example

Fotografia adorable...

Nens menjant gelat

#VSLIDE

Metadades EXIF

... amb més informació del que sembla!

user@host:~$ exiftool nens_gelat.jpg 
File Type         : JPEG
MIME Type         : image/jpeg
Camera Model Name : SM-G900V
ISO               : 64
Exif Version      : 0220
Flash             : No Flash
Aperture          : 2.2
GPS Altitude      : 18 m Below Sea Level
GPS Date/Time     : 2016:04:17 20:25:10Z
GPS Latitude      : 40 deg 42' 56.07" N
GPS Longitude     : 73 deg 50' 36.35" W
GPS Position      : 40 deg 42' 56.07" N, 73 deg 50' 36.35" W
Shutter Speed     : 1/120
Create Date       : 2016:04:17 16:25:24.890
Focal Length      : 4.8 mm (35 mm equivalent: 31.0 mm)

#VSLIDE

Metadades EXIF: model de càmera

Camera Model Name : SM-G900V

EXIF: Model de la càmera

#VSLIDE

Metadades EXIF: ubicació

GPS Position      : 40 deg 42' 56.07" N, 73 deg 50' 36.35" W

EXIF: Ubicació

#VSLIDE

Com eliminar les metadades

#VSLIDE

Esborrar metadades des d'un ordinador

#VSLIDE

Captura de la web del MAT2

#VSLIDE

jExif

#VSLIDE

Android

  • ScrabledExif (F-Droid & Playstore)
  • Es recomanable instalarla desde F-droid
  • Signal porta una funcio incorporada, també deixa censurar cares.

#VSLIDE

jExif

#VSLIDE

Resultat al borrar metadades

Després de borrar les metadades, veiem que tota la informació compromesa ha estat esborrada.

user@host:~$ exiftool nens_gelat_neta.jpg 
File Type         : JPEG
MIME Type         : image/jpeg

#HSLIDE

Geolocalització en dispositius mòbils

#VSLIDE

Xarxa de telefonia

  • Xarxa "ceŀlular": composta per ceŀles.
  • Estacions base amb 1 o més antenes
  • Cada antena genera una "ceŀla de cobertura"
  • Estacions base interconnectades

#VSLIDE

mapa-estacions-base

Estacions base de Movistar al centre de Barcelona

#VSLIDE

estacio-base

Estació base de tres ceŀles

#VSLIDE

Retenció de dades

«Espionatge massiu retroactiu»

Les operadores de telefonia i proveïdores d'internet han d'emmagatzemar durant 1 any totes la informació associada a les comunicacions transportin.

#VSLIDE

Metadades retingudes

  • Identificador del mòbil (IMEI)
  • Identificador de la targeta (IMSI)
  • Remitent i destí de trucades, sms
  • Connexions de dades: volum, duració
  • Hora i lloc (gràcies a les ceŀles)

#VSLIDE

Conseqüències

  • 1 targeta → 1 núm mòbil → 1 persona legal
  • Rutina diària: llocs on trobar-te
  • Graf de relacions socials: família, amistats…
  • Presència demostrable en un lloc i hora

#VSLIDE

Casos de publicació voluntària

  • Spitz i Ockenden van reclamar-ne una còpia
  • Glättli va emmagatzemar-les per compte propi

Austràlia va aprovar lleis molt similars a les europees

#VSLIDE

retencio-dades-spitz

2009: Malte Spitz, eurodiputat verd

#VSLIDE

retencio-dades-glaettli

2013: Balthasar Glättli, diputat suís verd

#VSLIDE

retencio-dades-ockenden

2015: Will Ockenden, periodista australià

#VSLIDE

Localització assistida (aGPS)

S'agilitza el GPS amb una aproximació a partir de

  • Ceŀles telefòniques properes
  • Les Wi-Fi properes (MAC dels AP)

#VSLIDE

Perill

  • Bases de dades mundials privades de Google
  • Registre de Google de la teva posició

#VSLIDE

Historial d'ubicacions de Google

prediccions per als desplaçaments diaris, resultats de la cerca millorats i anuncis més útils tant a Google com en altres llocs.

#VSLIDE

les dades d'ubicació es poden desar des de qualsevol dels dispositius en què hagis iniciat la sessió i per als quals hagis activat l'Historial d'Ubicacions.

Consulta el teu historial d'ubicacions

#VSLIDE

google-maps-cronologia

L'aplicació de «Cronologia» iŀlustra el rastreig de Google

#VSLIDE

Desactiva la recoŀlecció d'ubicacions

#HSLIDE

Encriptació

#VSLIDE

Que es la encriptació/xifrat

Es el process de convertir una informació en un codi que idealment nomes pot ser interpretat per qui te la clau. Es fa per tal d'evitar acces no autoritzat a informació xifrada.

#VSLIDE

Exemple mes basic de xifrat, el xifrat del cesar

  • ningu podra desxifrar aquest codi -> qlqjx srgud ghvaliudu dtxhvw frgl cesar

#VSLIDE

Llocs on es pot aplicar el xifrat

  • Durant el transport (Xifrat punt a punt, xifrat d'enllaç)
  • Xifrat en l'emmagatzamamnet/de dispositius

#VSLIDE

Xifrat punt a punt

endtoend_transport_diagram

#VSLIDE

Xifrat de disc dur

disk_encryption_diagram

#HSLIDE

Com encriptar un dispositiu android

#VSLIDE

Passos previs

  • Carregar el mòbil al màxim
  • !! Deixar el mòbil endollat durant tot el procés !!
  • Fer còpia de seguretat de totes les dades
  • Canviar el bloqueig a tipus password
  • Recorda Aquests passos són susceptibles de canviar, segons la versió d'Android

#VSLIDE

En primer lloc anem a Ajustes

step1

#VSLIDE

Dins de setting, anem a a la secció de seguretat.

step2

#VSLIDE

Dins de seguretat busquem una secció que s'anomeni xifrat o encriptació. Cliquem en Encriptar telèfon

step3

#VSLIDE

Donem al botó de Encriptar dispositiu. Ens demanarà que confirmem la contrasenya, un cop introduïda començarà el procés d'encriptació.

step4

#VSLIDE

Dispositiu encriptat

#HSLIDE

Com encriptar un dispositiu android (Xiaomi)

#VSLIDE

Passos previs

  • Carregar el mòbil al màxim
  • !! Deixar el mòbil endollat durant tot el procés !!
  • Fer còpia de seguretat de totes les dades
  • Canviar el bloqueig a tipus password

#VSLIDE

En primer lloc anem a Ajustes

xstep0

#VSLIDE

Després anem a la secció de sobre el telèfon, per tal d'activar les opcions de desenvolupador.

xstep1

#VSLIDE

Aquí premem sobre Versión MIUI, fins que aparegui un cartell confirmant-nos que les opcions de desenvolupador han estat activades

xstep2

#VSLIDE

Un cop activades les opcions de desenvolupador, tornem a la secció general de configuració. Aquí anem a Ajustes adicionales

xstep3

#VSLIDE

En Ajustes adicionales anem a opcions de desenvolupador.

xstep4

#VSLIDE

  • Dins de opcions de desenvolupador fem scroll fins abaix del tot.
  • Seleccionem l'última opció, Cifra tu dispositivo usando la contraseña de bloqueo

xstep5

#VSLIDE

  • En aquesta secció activem l'únic boto que hi ha.
  • Ens demanarà que confirmem el password del telefon, un cop fet començarà l'encriptació del dispositiu

xstep6

#VSLIDE

Dispositiu encriptat

#HSLIDE

Com encriptar un pendrive (amb LUKS)

#VSLIDE

Instalar cryptsetup, si encara no esta instalat. Una posible manera és amb la següent comanda:

user@host:~$ sudo apt install cryptsetup

#VSLIDE

Trobar el pendrive que es vol encriptar amb la comanda lsblk.

A l'esquerra del tot, es distingeixen dos unitats, sda i sdb en aquest cas en particular.

El pendrive que s'encriptara és de 16GB. Mirant a la columna anomenada SIZE es veu que sda és de 477GB i que sdb de 14.5GB, per lo que el nostre pendrive és sdb en aquest cas.

#VSLIDE

ara, suposant que el vostre pendrive és sdb

umount /dev/sdb1 
sudo cryptsetup luksFormat /dev/sdb

per encriptar el dispositiu. Si el vostre volum sigues sdc o sdd o qualsevol altre, s'han de escriure les mateixas comandes pero canviant sdb pel que pertoqui.

Atencio! Tota la informació del pendrive es perdera.

#VSLIDE

En aquest pas s'ha d'especificar la contrasenya per desencriptar el dispositiu

#VSLIDE

Falten només dos pasos!

sudo cryptsetup luksOpen /dev/sdb <nom_qualsevol>

on <nom_qualsevol> pot ser qualsevol seqüència de caracters que volgeu.

#VSLIDE

Per a crear una partició on guardar arxius (encriptats)

mkfs -t ext4 -L "<el_teu_nom>" /dev/mapper/<nom_qualsevol>

on <nom_qualsevol> ha de ser el mateix que hem ficat en el pas anterior

i <el_teu_nom> és el nom que tindrà el pendrive. Poden ser el mateix nom.

#VSLIDE

Pendrive encriptat!

Simplement treieu-lo de l'ordinador i torneu-lo a ficar i us demanara la contrasenya per a desencriptar.

#HSLIDE

Com encriptar un pendrive (amb Veracrypt)

#VSLIDE

Instal·lar Veracrypt

Link: https://www.veracrypt.fr/en/Downloads.html

#VSLIDE

Des de VeraCrypt, clicar "Create Volume"

#VSLIDE

Clickar a la segona opció i "Next"

#VSLIDE

Qualsevol de les dues opcions es correcta. La que preferiu

#VSLIDE

Clickar a "Select Device..."

#VSLIDE

Asegureu-vos de triar el vostre pendrive i no cap altre cosa!

Podeu esborrar arxius que no voleu esborrar si no aneu am compte aqui

#VSLIDE

Simplement "Next"

#VSLIDE

Revisar que heu fet una copia de seguretat d'allò que tenieu abans el pendrive, i "Yes".

#VSLIDE

Pot ser demana la contrasenya d'administrador de l'ordinador, la que feu servir per entrar a la vostra sesió. Ficar la contra, "OK" i "Next".

#VSLIDE

"Next".

#VSLIDE

Posar la contrasenya que voelu fer servir per desencriptar el volum.

Que sigui llarga!

#VSLIDE

Segurament us interesa la primera opció. Si no ho teniu clar, clickeu la segona. Després "Next".

#VSLIDE

"Next"

#VSLIDE

Mogeu el ratoli fins que us canseu, i després clickeu a "Format".

#VSLIDE

Esteu apunt d'esborrar tot lo que tenieu al pendrive. Si esteu segures, "Yes".

#VSLIDE

Volum encriptat!

"Exit" i podeu treure el pendrive quan volgeu.

#VSLIDE

Cada cop que volgeu desencriptar el pendrive, torneu-lo a ficar. Inicieu VeraCrypt i clickeu "Auto-Mount Devices".

#VSLIDE

Fiqueu la contrasenya que heu creat anteriorment, i "OK".

Es posible que torni a demanar la contrasenya d'administrador del vostre ordenador.

Pot trigar un minut en desencriptar el pendrive. Quan acabi, s'obrira automaticament la carpeta on podeu guardar arxius encriptats.

#HSLIDE

Altres dispositius/dades que podem encriptar

  • Ordinador
    • Linux
    • Mac
    • Windows
  • Correu electronic

#VSLIDE

Xifrat multiplataforma

  • Es poden crear volums xifrats amb Veracrypt
    • dispositius sencers (pendrive)
    • una carpeta (volum virtual)
    • una partició
    • tot el sistema (només windows, equivalent a LUKS)

#VSLIDE

Xifrat Linux

#VSLIDE

Xifrat Mac

#VSLIDE

Xifrat Windows

#VSLIDE

Xifrat Correu electrònic

  • El emails es xifren només entre dispositiu i servidor
  • Google pot llegir els emails dels comptes gmail
  • Per xifrar extrem a extrem: GPG (claus asimetriques)
  • Per fer-lo servir: Thunderbird
  • amb versions anteriors calia instal·lar l'extensió Enigmail