Upload
jordiipa
View
115
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Slides (in Catalan) used in the 1st CryptoParty held in Barcelona. Use them , improve them and enjoy them
Citation preview
www.isoc.cat
The Internet is for everyone
CryptoParty
@CryptoPartyBCN
#cryptopartybcn
CryptoParty.cat
Barcelona, 8 juny 2013
www.isoc.cat
Per què ?
CC BY Jordi Iparraguirre
www.isoc.cat
Per què ?
www.isoc.cat
Per què ?
www.isoc.cat
Per què ?
www.isoc.cat
Per què ?
www.isoc.cat
Per què ?
● Per protegir les nostres dades personals i dispositius en cas de pèrdua o robatori
● Per controlar una mica millor la nostra petja digital
● Per a que siguem nosaltres qui controla els dispositius i no al revés
● Per decidir quan, què i com volem comunicar al món i fer-ho més conscientment
● Your entire life is online and it might be used against you
– https://www.youtube.com/watch?&v=F7pYHN9iC9I
www.isoc.cat
Objectius
● Conèixer algunes de les eines que podem fer servir per protegir la nostra informació i la nostra intimitat a Internet
– Conèixer la nostra petja digital involuntària
– Saber com protegir, una mica, les nostres dades
● Instal·lar-les en el nostre ordinador (BYOD)
● Aprendre a fer-les servir en el dia a dia
● Poder explicar-ho i ajudar a amics, coneguts i saludats
● Augmentarem la nostra privadesa, però no serem anònims
● No ens fem responsables del mal ús de les eines presentades
www.isoc.cat
Idees
● Això és un taller, no una presentació. Participeu i fem-ho plegats
● L'objectiu és aprendre, instal·lar i usar
● Pregunteu en cas de qualsevol dubte
● Ajudar els altres és la millor manera de comprovar si ho hem entès
www.isoc.cat
Principis
● Murphy no dorm. Mai
● Que siguis paranoic no vol dir que no et segueixin
● Si no pagues pel servei, tu ets el producte
● "There is no delete button on your digital identity" - Eric Schmidt (Google)
● La seguretat infinita té cost infinit
● Podem intentar millorar la nostra intimitat a un cost raonable
● Veiem-ho
www.isoc.cat
Privadesa vs. anonimat
● Privadesa:
– La capacitat d'escollir què volem comunicar al món
● Anonimat:
– La impossibilitat de que altres puguin saber qui som
www.isoc.cat
Capes o cadena de bits a Internet
Medi (cable,
radio, ...)
Paquets (capçalera, contingut)
Aplicacions (mail,
web, ...)Usuari
Comunicació
Dades Canal Sistema Operatiu
0-day exploits
No password
Dades no xifrades
DNS poisoning
Punxat Back doors
Forats de seguretat Bugs
TrojansPhishing
Virus
Corrupció de dades
www.isoc.cat
Usuari
● Evitar-ne l'ús indegut: – Passwords: han de ser secrets, llargs, no deduïbles i
memoritzables. Barreja de caràcters+xifres+lletres
– Es poden usar arxius xifrats de passwords: KeyPass o Key-rings del SO/Browser
● Per si es perd o roben el dispositiu:– Localització i bloqueig del dispositiu: Preyproject.com i Find my
phone
www.isoc.cat
Usuari: Passwords
http://xkcd.com/1200
www.isoc.cat
Usuari: Passwords
http://xkcd.com/936/
www.isoc.cat
How to Survive the Password Apocalypse
Until we figure out a better system for protecting our stuff online, here are four mistakes you should never make ...
DON’T
● Reuse passwords. If you do, a hacker who gets just one of your accounts will own them all.
● Use a dictionary word as your password. If you must, then string several together into a pass phrase.
● Use standard number substitutions. Think “P455w0rd” is a good password? N0p3! Cracking tools now have those built in.
● Use a short password—no matter how weird. Today’s processing speeds mean that even passwords like “h6!r$q” are quickly crackable. Your best defense is the longest possible password.
http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/all/
Usuari: fer o no fer
www.isoc.cat
Usuari: fer o no fer... and four moves that will make your accounts harder (but not impossible) to crack.—M.H.
DO
● Enable two-factor authentication when offered. When you log in from a strange location, a system like this will send you a text message with a code to confirm. Yes, that can be cracked, but it’s better than nothing.
● Give bogus answers to security questions. Think of them as a secondary password. Just keep your answers memorable. My first car? Why, it was a “Camper Van Beethoven Freaking Rules.”
● Scrub your online presence. One of the easiest ways to hack into an account is through your email and billing address information. Sites like Spokeo and WhitePages.com offer opt-out mechanisms to get your information removed from their databases.
● Use a unique, secure email address for password recoveries. If a hacker knows where your password reset goes, that’s a line of attack. So create a special account you never use for communications. And make sure to choose a username that isn’t tied to your name—like m****[email protected]—so it can’t be easily guessed.
http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/all/
www.isoc.cat
Lab 1
● Provar howsecureismypassword.net amb un PWD que NO sigui vostre (eg. aaaaa)
● Posar un bon PWD en tots els dispositius (i recordar-lo)
● Comprovar que s'activa salva pantalles amb PWD al cap de no més de 3 o 5 minuts d'inactivitat. A Win, Logo+L per bloquejar pantalla
● Instal·lar http://keepass.info/ i fer una prova (Win/Mac/UX)
● Tots dispositius: preyproject.com --> i fer prova d'indicar pèrdua per veure report
● How to Secure or Find Your Android Smartphone (PCW)
– https://www.youtube.com/watch?v=wzlrT6XO8_E
● Mòbil: “Find my phone” , “Where is my droid”
www.isoc.cat
Usuari
● Profiling: obtenir un perfil personal a partir de la petjada digital (doxing)– Xarxes “d'amics” i què diem o ens agrada FB, Twitter,
LinkedIn, ... Feu Egosurfing
– Cookies, cross-scripting, sessions obertes, ...
– Com ens mostren el que “creuen” que ens interessa http://dontbubble.us/
– Atenció a seguiment 3G, telefonia, IP, ...
www.isoc.cat
Lab 2
● Egosurfing: busca't al google, bing i yahoo, mira i compara resultats– També https://www.google.com/settings/me?client=email
● De qui és aquesta cara ?– Feu-ho amb alguna foto vostre
www.isoc.cat
Dades
● Antivirus actualitzats (també per a Mac i Linux)– http://www.av-comparatives.org/dynamic-tests/
– https://help.ubuntu.com/community/Antivirus
● Còpies de seguretat – En tens ?
– Comprovar regularment que són bones
– No guardar-les mai junt amb les dades originals
– Les vols desar xifrades ?
– Atenció a l'obsolescència del suport físic i mètode/SW xifrat
www.isoc.cat
Dades
● Xifrar les dades (disc/s, USB, còpies de seguretat locals o en núvol). Assegureu-vos de recordar el PWD ...
● BoxCryptor, Truecrypt o eina pròpia del S.O.
● Si dades al núvol (Dropbox/Box/...), xifreu-les també localment
– BoxCryptor, EncFS
– http://mega.co.nz
– https://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software
www.isoc.cat
Lab 3● Xifrar una memòria USB amb BoxCryptor, Truecrypt o similar
● Baixar i instal·lar:
– Win/Mac: https://www.boxcryptor.com/
– Linux: EncFS + CryptKeeper
● Xifrar el volum USB o una carpeta dins el USB
● Crear-hi un fitxer prova.txt
● Comprovar si es pot llegir/veure des d'un altre ordinador
● Tornar-lo a connectar al nostre i llegir el fitxer
●
www.isoc.cat
Lab 3
● Si teniu compte al Dropbox o similar ...
– Creeu una carpeta de prova
– Xifreu-la i compartiu link
– Doneu link a algú altre per a que intenti accedir-hi sense (i després amb) PWD
– Esborreu (o no) la carpeta
www.isoc.cat
Lab 3 (a casa)
● Revisar, instal·lar i/o actualitzar antivirus
● Provar http://virustotal.com o equivalents (Kasperski.com, ...)
● Xifreu un disc dur extern per a fer-hi les còpies de seguretat
● Copieu-hi un directori de prova
● Connecteu-lo a un altre ordinador i mireu què passa
● Reboteu el vostre ordinador, connecteu-hi el disc xifrat i recupereu la informació
www.isoc.cat
Aplicacions i Sistema Operatiu
● Actualitzacions:
– Per a evitar forats de seguretat
– Pensar que hi ha 0-day i que es venen abans de publicar-los ! ● Fonts segures: no acceptar caramel del primer que passa
● Antivirus: actualitzar-los regularment
www.isoc.cat
Lab 4
● Comprovar signatura MD5 dels paquets descarregats
● Anar a una de les webs següents i comprovar MD5 del fitxer
– http://www.fourmilab.ch/md5/
– https://hash.cymru.com/
www.isoc.cat
Navegadors
● Reduir el “profiling” i les dades que es passen entre les webs--> Colusion
● Packets, cookie, sessions, https, user agent, adreça IP, DNS
● Llegir http://dontbubble.us
● Hi ha cercadors que no són tan invasius
● Opció: posar-los com home page i/o bookmark
● Tot i així, navegadors deixen una petjada: http://ipcheck.info
www.isoc.cat
Lab 5
● Cerques i “profiling”
– Demo de “Colusion”
– Provar cerques amb Google/Bing/Yahoo vs. duckduckgo.com i startpage.com
– GooPIR http://unescoprivacychair.urv.cat/goopir.php
– Anar a IPcheck.info i mirar el rastre del navegador
www.isoc.cat
Lab 6
● Actualitzar navegadors
– Comprovar versió i saber forçar actualització
– Configuració bàsica: plug-ins a treure, cookies, java, ..
● Instal·lar, provar i desactivar Colusion
● Instal·lar les 4 recomanacions de la EFF:– https://www.eff.org/deeplinks/2012/04/4-simple-changes-protect-your-privacy-online
– Https-everywhere, Adblock, Ghostery
– Extensió “No-Script”
www.isoc.cat
Lab 7 i 8
● Lab 7: Habilitar / Deshabilitar Java, Javascript, Flash, etc.
● Lab 8: TOR - Bundle, instal·lació i ús.
– https://www.torproject.org/download/download-easy.html.en
www.isoc.cat
Sessió: Correu electrònic
● Es transmet sempre “en obert” !
– El contingut pot ser llegit molt fàcilment
– Es pot xifrar correu (text): Enigmail + Thunderbird
– Però només xifra el text, no xifra To:, CC:, CCO:, ni Tema
● Per donar-se d'alta a llocs de poca confiança
– Atenció no el feu servir de contacte per a recuperar mails
– Mail efímers: Guerrillamail, 10minutemail, ... o crear-ne un d'especial a gmail, yahoo i similars
www.isoc.cat
Lab 9● Instal·lar PGP
– Win: http://www.gpg4win.org/
– Mac: http://macgpg.sf.net/
– Linux: check it (gpg --version)
● Instal·lar EnigMail (plug-in for Thunderbird)
– http://www.enigmail.net/download/
– right-click on the link and choose "Save link as...".
● Arrencar Thunderbird --> Tools / Add-ons / Install (Enigmail)
● Sortir de Thunderbird i tornar-lo a arrencar
● Fer http://www.enigmail.net/documentation/quickstart-ch2.php
www.isoc.cat
Lab 10 (si hi ha temps)● OTR – Off-the-Record Messaging
– https://en.wikipedia.org/wiki/Off-the-Record_Messaging
– http://www.cypherpunks.ca/otr/
– Offers: Encryption, Authentication, Deniability, Perfect forward secrecy
● Clients xat amb with OTR:
– https://www.linux.com/learn/tutorials/341904-weekend-project-secure-instant-messaging-with-off-the-record
– http://pidgin.im
– http://adium.im/ (OTR de sèrie Mac)
– Kopete i Mcabber (OTR de sèrie Linux)
– IM+ (Android)
● Web based http://cripto.cat
www.isoc.cat
Comunicació: DNS
● DNSSEC
– L'ha d'oferir el titular del domini
– Encripta la resolució del domini (trad. nom domini --> adreça IP)
● Resolvers DNS
– Qui sap quines pàgines visites ?
– Venen els ISP aquestes dades (agregades?) a 3rs?
www.isoc.cat
Comunicació: DNS
● Telecomix Censorship-proof DNS
– 91.191.136.152
– http://dns.telecomix.org/
● Privacy foundation
– https://server.privacyfoundation.de/index_en.html
– 87.118.100.175
– 94.75.228.29
www.isoc.cat
Lab 11
● Canviar els DNS del dispositiu (i provar el router a casa)
● VPN: Virtual Private Network, túnel de comunicació xifrada entre 2 ordinadors
● Provar i instal·lar una VPN – http://vpngate.net -Xarxa de 500 VPN lliures, experiment de la Universitat de Tsukuba
– https://torrentfreak.com/which-vpn-providers-really-take-anonymity-seriously-111007/
– http://openvpn.net
www.isoc.cat
Lectures i enllaços● http://www.heinz.cmu.edu/~acquisti/economics-privacy.htm
● http://www.popsci.com/technology/article/2013-03/fbi-wants-watch-online-chats-they-happen
● http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/
● https://torrentfreak.com/free-access-to-dozens-of-anonymous-vpns-via-new-university-project-130324/
● http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/all/
● http://www.cnn.com/2013/03/16/opinion/schneier-internet-surveillance/index.html
● http://www.elconfidencial.com/tecnologia/2013/04/15/el-trafico-de-datos-un-sector-en-auge-que-ya-mueve-millones-de-dolares-4651/
● http://www.elconfidencial.com/tecnologia/2013/04/08/blinda-tu-smartphone-robaran-tu-dispositivo-pero-no-tu-privacidad-4624/
● http://www.apd.cat/infantsijoves/
● http://www.crypt4you.com/
● Youtube: “Mundo Hacker user: pvzzle
www.isoc.cat
Conclusió
● No serem invulnerables però sí ho haurem posat més difícil
● Hem millorat la protecció de les nostres dades privades davant robatoris o intromissions
● Llegiu bé les instruccions de les aplicacions, no doneu res per evident
● Recordeu actualitzar les aplicacions i que tot pot fallar ;-)
● Esperem que pugueu replicar aquesta sessió a més persones i en altres llocs
Gràcies
www.isoc.cat
Dret de còpia i modificació
El material d'aquesta presentació és lliure i es pot fer servir sota les condicions de Creative Commons BY-NC-SA excepte els continguts trets d'altres fonts o titulars com:
– Logo d'ISOC del fons i logo d'ISOC-CAT
– Els acudits de XKCD són del seu autor
– Els vídeos de YouTube i text de Wired són dels seus autors
– Textos a articles i webs usades aquí com referència o exemple
CryptoParty.cat
Gràcies