1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre

1984 tenía razón

1984 tenía razón!Como proteger nuestra privacidad de “El Gran Hermano” con 100% software libre.

Por Oscar Gentilezza (a.k.a Exos)[email protected] si!!! es de google!!!←@exoshttp://blog.exodica.com.arGPG: 0x8798902F

FLISoL 2014 – Lanux

mailto:[email protected]

http://blog.exodica.com.ar/

1984 tenía razón

1984 tenía razón

¡CONSPIRANOICO!

1984 tenía razón

ConspiranóiaVs

realidad

1984 tenía razónConspiranóia vs realidad

ECHELON:

Es considerada la mayor red de espionaje y análisis para interceptar comunicaciones electrónicas de la historia. Controlada por la comunidad UKUSA (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda), puede capturar comunicaciones por radio y satélite, llamadas de teléfono, faxes y correos electrónicos en casi todo el mundo e incluye análisis automático y clasificación de las interceptaciones. Se estima que ECHELON intercepta más de tres mil millones de comunicaciones cada día.

Fuente: https://es.wikipedia.org/wiki/ECHELON


Backdoors (Puertas traseras):

En la informática, una puerta trasera, es una secuencia especial dentro del código de programación, mediante la cual se pueden evitar los sistemas de seguridad del algoritmo (autentificación) para acceder al sistema. Aunque estas puertas pueden ser utilizadas para fines maliciosos y espionaje no siempre son un error, pueden haber sido diseñadas con la intención de tener una entrada secreta.

Fuente: https://es.wikipedia.org/wiki/Puerta_trasera


PRISM:

Programa de vigilancia electrónica considerado confidencial a cargo de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) desde el 2007. El alcance es tan grande que Estados Unidos podría haber espiado a más de 35 líderes mundiales.

Los informes y documentos filtrados por Edward Snowden en junio de 2013 indican que PRISM se emplea como un medio para la vigilancia a fondo de las comunicaciones y otros datos almacenados.

...


PRISM:

Los datos que supuestamente la NSA es capaz de obtener gracias a PRISM incluyen correos electrónicos, vídeos, chat de voz, fotos, direcciones IP, notificaciones de inicio de sesión, transferencia de archivos y detalles sobre perfiles en redes sociales.

Fuente: https://es.wikipedia.org/wiki/PRISM

1984 tenía razón

1984 tenía razón

¿Por qué software Libre?

1984 tenía razón¿Por qué software Libre?

Ventajas del software libre:

● Código abierto● Mantenido/cuidado por comunidades de usuarios● Tiende a un desarrollo democrático● Busca ser seguro● Pone en prioridad al usuario y no a las ventas


Código abierto (y libre!!!)

El código fuente de un programa es como está hecho, un código fuente abierto es publicado y puede ser leído y estudiado por cualquiera. Si alguna persona, empresa o lo que fuere quiere meter funcionalidad con fines de dañar la privacidad de un usuario, OTRAS PERSONAS PODRÁN VERLO Y EVITARLO.


Código abierto (y libre!!!)

Por otro lado, en caso de vulnerabilidades (errores que permiten saltearse la seguridad) son encontrados y arreglados antes de que pueda tener una propagación importante. En la práctica la mayoría no llega a los programas en versiones finales.


Comunidades autogestionadas

El software al tener disponible su código fuente, siempre tiende a tener gente que ayuda sin esperar retribuciones, desde usuarios intercambiando conocimiento hasta desarrolladores y hackers colaborando con modificaciones y arreglos, y todo tipo de personas reportando errores e ideas.


Priorización del usuario

La prioridad de un software libre es que le sirva al usuario final que lo esté usando, siendo esta la motivación principal y no las ganancias a costa de esclavizar al usuario.

Una empresa que desarrolla software cerrado puede (y lo hacen!!) ocultar errores que pueden comprometer a sus usuarios y darle mas prioridad a sacar mas “mercancia”


Software privativo (cerrado)

Nadie puede ver el código fuente (lo que hace el programa internamente). Esto hace que:

● Las empresas puedan agregar funciones de espionaje (backdoors, spywares, etc)

● Haya errores (vulnerabilidades) que no sean detectados● Guardar registros de las actividades para futuro uso

1984 tenía razón

Privacidad a nivel sistema operativo

1984 tenía razónPrivacidad a nivel S.O.

Algunas cosas a tener en cuenta:

● Un Sistema operativo libre es mas seguro que uno privativo.● Contraseñas fuertes aumentan muchísimo la seguridad● Sesiones individuales, cada user en su home● Hacer todo, mientras sea posible, a nivel usuario y no a nivel

sistema● Cifrar archivos y particiones es una excelente práctica● En caso de usar una distribución libre, evitar software no soportado

por dicha distribución● No utilizar programas en fase beta para cosas serias● Utilizar contraseñas “maestras” en caso de guardar contraseñas


Sesiones individuales

Cada usuario usa de modo diferente una computadora, en una computadora compartida es inevitable tener 20 juegos instalados por el nene, 40 “toolbars” instaladas por los padres y cientos de power points de bebes y perros bajados por la abuela.

Tener sesiones individuales evita conflictos entre los usuarios y mejora la seguridad de cada uno.


Evitar hacer cosas a nivel sistemasudo make me a sandwich

Si un programa es ejecutado a nivel usuario, este solo puede afectar los archivos y recursos a los que este tenga acceso, un programa que intente por ejemplo llegar a infectar el sistema operativo, le será mas difícil si corre bajo estas reglas, aparte que no podrá afectar tampoco a otros usuarios de este mismo sistema.


Utilizar software soportado por la distribución

Las distribuciones modernas como *buntu, Debian, etc. hacen que el software disponible para sus sistemas pase pruebas y aprobaciones de gente capacitada para tal fin. Aparte tienen mecanismos de seguridad como la comprobación de integridad del software descargado antes de instalarse o de las mismas fuentes de donde lo están haciendo.


Cifrar archivos y particiones

Algunas distribuciones tienen la opción de cifrar las particiones del usuario en la instalación, hacerlo no tiene un efecto relevante sobre el rendimiento en maquinas modernas y es mayormente útil en dispositivos móviles como notebooks, que en caso de ser robadas o extraviadas (o confizcadas) nadie podrá tener acceso a la información privada al no ser que posea la contraseña.

(o confiscadas)


Utilidades

● TrueCrypt ( Ojo)←● eCryptfs● encfs


Cifrado de archivos: GnuPG (o gpg)

Gpg es una utilidad que permite tanto cifrar como firmar electrónicamente archivos y otros datos.

Si bien su fuerte es la encriptación basada en llaves asimétricas (privadas y públicas) también sirve de utilidad para cifrar con contraseña (cifrado simétrico)

1984 tenía razón

DEMO

1984 tenía razónCifrado de llave pública o 2 llaves

Cifrando de punto a punto

● 1: Ana redacta un mensaje● 2: Ana cifra el mensaje con la clave

pública de David● 3: Ana envía el mensaje a David

● 4: David recibe el mensaje cifrado y lo descifra con su clave privada

● 5: David ya puede leer el mensaje original que le mandó Ana

1984 tenía razónCifrado de llave pública o 2 llaves

Software para manejar llaves:

Seahorsehttps://wiki.gnome.org/Apps/Seahorse KGpghttp://utils.kde.org/projects/kgpg/

1984 tenía razón

Privacidad en internet

1984 tenía razónPrivacidad en Internet

Algunas cosas a tener en cuenta:

● Usar clientes libres (aunque sean alternativas)● Usar siempre que se pueda protocolos cifrados (ex. SSL)● Asegurarse que las fuentes sean confiables● Evitar servicios centralizados● Evitar “La Nube”● Añadir encriptación punto a punto (evitar intermediarios)● Bloquear tráfico innecesario● En caso de usar protocolos en claro, usar túneles cifrados o redes

virtuales privadas (VPN)


Mensajería instantánea

● Usar clientes libres (aunque sean alternativas)● Evitar servicios centralizados● Añadir encriptación punto a punto (evitar intermediarios)


OfftheRecord Messaging (OTR)

OTR fue hecho para mantener conversaciones seguras en mensajeros instantáneos. Usa cifrado asimétrico (como Gpg) y autentica que la persona del otro lado sea realmente quien dice ser.

Algunos clientes que soportan OTR:

● Pidgin (con un plugin)● Kopete● Jitsi


Correo electrónico

● Usar clientes desktop antes que webmails● Usar siempre protocolos cifrados hacia el servidor● Añadir encriptación punto a punto


S/Mime:

S/MIME es el estándar por defecto, usa el estándar PKCS#7, llaves publicas y certificados firmados[*]

* Las certificaciones son pagas

Algunos clientes que soportan S/MIME:

● Thunderbird● Evolution● KMail


GPG/MIME

Cifrado y firma a travez de GPG, a diferencia de S/MIME no se necesitan comprar una certificación.

Clientes que soportan GPG:

● Thunderbird + Enigmail● Evolution● KMail● Mailvelope Para webmails (Firefox, Chromium)←● WebPG para webmails (Firefox [experimental])←


Navegadores

● Usar navegadores libres!!!! si esto era de esperar←● Usar siempre que se pueda HTTPS o SPDY● Bloquear trafico que pueda trackear nuestra actividad● Evitar usar extensiones o plugins privativos o de dudosa integridad● Si se usa un navegador ajeno, o las circunstancias lo ameritan, usar

el modo de navegación privada.


Firefox vs Chrome

Entre los 2 navegadores mas utilizados en Linux están Firefox de Mozilla y Chrome de Google.

Chrome a diferencia de lo que la gente piensa, no es software libre, y este manda información a Google, aparte de traer blobs binarios (como el lector de PDF o los codecs para formatos de video privativos)

Si realmente les gusta Chrome, opten por Chromium o SRWare Iron


¿Que hace Google Chrome? O ¿por qué no usarlo?

● Enviá una cadena codificada enviada junto con todas las consultas a Google cada 24 horas (RLZ identifier)

● Google como portal determinado (e integración con sus servicios)● Genera un identificador (ID) único para identificar al usuario en los

registros de accesos.● Crea una marca de tiempo de cuando fue instalado el navegador.● Tiene páginas de error alojadas en servidores de Google● Sugerencias automáticas de búsquedas en la barra de direcciones. (que

manda a Google)● Sistema de seguimiento de errores que envía información sobre cuelgues

del navegador o errores.


Usando HTTPS siempre!

Https es un protocolo que implementa SSL para cifrar la información entre el cliente y el servidor, aparte que al usar el estándar PKCS#7 comprueba que el servidor que responde sea el correcto, y no una suplantación.

Hoy por hoy casi todos los sitios utilizan SSL, aunque lamentablemente como se explico antes, estos certificados son pagos, así que no todos los sitios pueden implementarlo. Aún así los de mayor tráfico lo tienen.


Problemas de SSL:

● Al necesitar un certificado pago muchos sitios carecen de este protocolo

● Si bien cifra el trafico, no es punto a punto, si uno se comunica con otra persona, aunque los 2 usen SSL, el servidor tiene todo en claro.

● Muchos sitios cargan por defecto en una versión no segura● Hay un ataque llamado “SSLStrip” que hace que el usuario navegue

de forma no segura, forzando todas las llamadas hacia HTTP.

● Se sabe que la NSA falsificó certificados SSL


Extensiones sugeridas (Para Firefox) para HTTPS

● HTTPS everywhere: Fuerza a los sitios que lo soportan a funcionar por https, así que nos evita los ataques tipo SSLStrip o los sitios que cargan HTTP (no seguro) por defecto.

● Perspectives: Chequea en varios servidores (que se pueden agregar y levantar) que el certificado sea el mismo para todos, esto evita que por ejemplo, un certificado falsificado por la NSA (como se sabe cree que puede hacer) pase, aparte se puede configurar para aceptar certificados no firmados por CA's, lo que permite validar certificados autofirmados. (SSL gratis y descentralizado :D)



● HTTP Nowhere: Bloquea completamente todo tráfico que no sea HTTPS, lamentablemente hace tedioso navegar por los tantos sitios que no soportan SSL, pero se puede usar para por ejemplo, habilitarlos si usamos una conexión wifi no confiable y sabemos que solo vamos a navegar por sitios seguros (gmail, facebook, etc.)

● HTTPS Facebook: Fuerza la navegación por facebook a SSL, no es útil si se tiene HTTPS Everywhere, pero evita atacas SSLStrip, si solo se desea navegar por esta red social.


Evitar el tracking

1984 tenía razón



● Adblock Plus: Bloquea publicidades (ads) desde muchas fuentes.● BetterPrivacy: Bloquea y borra cookies flash y “supercookies”● Foxy Proxy: Nos permite utilizar un proxy a demanda **● Modify Headers: Permite personalizar headers del navegador, esto puede

servir para ocultar la versión del browser.● DoNotTrackMe: (Ojo) Evita enviar información de trackeo, y tiene ←

opciones para evitar enviar direcciones de email.● Disconnect: Bloquea trafico de redes sociales, analizadores de trafico,

etc.● Flashblock: Bloquea contenidos flash (se pueden agregar excepciones e

iniciar un flash a demanda)


Software para seguridad de conexiones

● SSH: Permite aparte del manejo remoto de maquinas abrir túneles seguros, tunes inversos (también seguros) y es utilizado por muchísimos programas como rsync, git, etc.

● OpenVPN: VPN Libre (centralizada)● Tinc: VPN Libre (descentralizada)


Proyectos de redes libres

Buenos Aires Librehttp://buenosaireslibre.org/

Red libre que se extiende por CABA Y GBA.

LibreVPN (software + red) http://librevpn.org.ar/

Scripts helpers para configurar VPN's descentralizadas (utilizando tinc + Avahi)

http://buenosaireslibre.org/

http://librevpn.org.ar/


The Onion Router (TOR)

Proyecto cuyo objetivo principal es el desarrollo de una red de comunicaciones distribuida de baja latencia y superpuesta sobre internet en la que el encaminamiento de los mensajes intercambiados entre los usuarios no revela su identidad, es decir, su dirección IP (anonimato a nivel de red) y que, además, mantiene la integridad y el secreto de la información que viaja por ella. Por este motivo se dice que esta tecnología pertenece a la llamada darknet o red oscura también conocida con el nombre de deep web o web profunda.

1984 tenía razón

Privacidad con celulares

1984 tenía razónPrivacidad con celulares

● Evitar empresas que no dejen instalar firmwares ajenos● NUNCA USAR IPHONE● Tratar siempre de reemplazar el SO de fábrica por uno mantenido

por una comunidad.● No usar Google Play en Android cuesta pero no tanto!←● Se puede usar EncFS en Android (ver Cryptonite)● Gibberbot soporta OTR● TextSecure cifra mensajes de texto● Usar Telegram alternativamente a Whatsapp Ojo←

1984 tenía razón

¿Preguntas?

1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre

Software

Transcript of 1984 Tenía Razón: Como proteger nuestra privacidad con Software Libre