www.isoc.cat

The Internet is for everyone

CryptoParty

@CryptoPartyBCN

#cryptopartybcn

CryptoParty.cat

Barcelona, 8 juny 2013

www.isoc.cat

Per què ?

CC BY Jordi Iparraguirre

www.isoc.cat

Per què ?

www.isoc.cat

Per què ?

www.isoc.cat

Per què ?

www.isoc.cat

Per què ?

www.isoc.cat

Per què ?

● Per protegir les nostres dades personals i dispositius en cas de pèrdua o robatori

● Per controlar una mica millor la nostra petja digital

● Per a que siguem nosaltres qui controla els dispositius i no al revés

● Per decidir quan, què i com volem comunicar al món i fer-ho més conscientment

● Your entire life is online and it might be used against you

– https://www.youtube.com/watch?&v=F7pYHN9iC9I

www.isoc.cat

Objectius

● Conèixer algunes de les eines que podem fer servir per protegir la nostra informació i la nostra intimitat a Internet

– Conèixer la nostra petja digital involuntària

– Saber com protegir, una mica, les nostres dades

● Instal·lar-les en el nostre ordinador (BYOD)

● Aprendre a fer-les servir en el dia a dia

● Poder explicar-ho i ajudar a amics, coneguts i saludats

● Augmentarem la nostra privadesa, però no serem anònims

● No ens fem responsables del mal ús de les eines presentades

www.isoc.cat

Idees

● Això és un taller, no una presentació. Participeu i fem-ho plegats

● L'objectiu és aprendre, instal·lar i usar

● Pregunteu en cas de qualsevol dubte

● Ajudar els altres és la millor manera de comprovar si ho hem entès

www.isoc.cat

Principis

● Murphy no dorm. Mai

● Que siguis paranoic no vol dir que no et segueixin

● Si no pagues pel servei, tu ets el producte

● "There is no delete button on your digital identity" - Eric Schmidt (Google)

● La seguretat infinita té cost infinit

● Podem intentar millorar la nostra intimitat a un cost raonable

● Veiem-ho

www.isoc.cat

Privadesa vs. anonimat

● Privadesa:

– La capacitat d'escollir què volem comunicar al món

● Anonimat:

– La impossibilitat de que altres puguin saber qui som

www.isoc.cat

Capes o cadena de bits a Internet

Medi (cable,

radio, ...)

Paquets (capçalera, contingut)

Aplicacions (mail,

web, ...)Usuari

Comunicació

Dades Canal Sistema Operatiu

0-day exploits

No password

Dades no xifrades

DNS poisoning

Punxat Back doors

Forats de seguretat Bugs

TrojansPhishing

Virus

Corrupció de dades

www.isoc.cat

Usuari

● Evitar-ne l'ús indegut: – Passwords: han de ser secrets, llargs, no deduïbles i

memoritzables. Barreja de caràcters+xifres+lletres

– Es poden usar arxius xifrats de passwords: KeyPass o Key-rings del SO/Browser

● Per si es perd o roben el dispositiu:– Localització i bloqueig del dispositiu: Preyproject.com i Find my

phone

www.isoc.cat

Usuari: Passwords

http://xkcd.com/1200

www.isoc.cat

Usuari: Passwords

http://xkcd.com/936/

www.isoc.cat

How to Survive the Password Apocalypse

Until we figure out a better system for protecting our stuff online, here are four mistakes you should never make ...

DON’T

● Reuse passwords. If you do, a hacker who gets just one of your accounts will own them all.

● Use a dictionary word as your password. If you must, then string several together into a pass phrase.

● Use standard number substitutions. Think “P455w0rd” is a good password? N0p3! Cracking tools now have those built in.

● Use a short password—no matter how weird. Today’s processing speeds mean that even passwords like “h6!r$q” are quickly crackable. Your best defense is the longest possible password.

http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/all/

Usuari: fer o no fer

www.isoc.cat

Usuari: fer o no fer... and four moves that will make your accounts harder (but not impossible) to crack.—M.H.

DO

● Enable two-factor authentication when offered. When you log in from a strange location, a system like this will send you a text message with a code to confirm. Yes, that can be cracked, but it’s better than nothing.

● Give bogus answers to security questions. Think of them as a secondary password. Just keep your answers memorable. My first car? Why, it was a “Camper Van Beethoven Freaking Rules.”

● Scrub your online presence. One of the easiest ways to hack into an account is through your email and billing address information. Sites like Spokeo and WhitePages.com offer opt-out mechanisms to get your information removed from their databases.

● Use a unique, secure email address for password recoveries. If a hacker knows where your password reset goes, that’s a line of attack. So create a special account you never use for communications. And make sure to choose a username that isn’t tied to your name—like m****n@wired.com—so it can’t be easily guessed.

http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/all/

www.isoc.cat

Lab 1

● Provar howsecureismypassword.net amb un PWD que NO sigui vostre (eg. aaaaa)

● Posar un bon PWD en tots els dispositius (i recordar-lo)

● Comprovar que s'activa salva pantalles amb PWD al cap de no més de 3 o 5 minuts d'inactivitat. A Win, Logo+L per bloquejar pantalla

● Instal·lar http://keepass.info/ i fer una prova (Win/Mac/UX)

● Tots dispositius: preyproject.com --> i fer prova d'indicar pèrdua per veure report

● How to Secure or Find Your Android Smartphone (PCW)

– https://www.youtube.com/watch?v=wzlrT6XO8_E

● Mòbil: “Find my phone” , “Where is my droid”

www.isoc.cat

Usuari

● Profiling: obtenir un perfil personal a partir de la petjada digital (doxing)– Xarxes “d'amics” i què diem o ens agrada FB, Twitter,

LinkedIn, ... Feu Egosurfing

– Cookies, cross-scripting, sessions obertes, ...

– Com ens mostren el que “creuen” que ens interessa http://dontbubble.us/

– Atenció a seguiment 3G, telefonia, IP, ...

www.isoc.cat

Lab 2

● Egosurfing: busca't al google, bing i yahoo, mira i compara resultats– També https://www.google.com/settings/me?client=email

● De qui és aquesta cara ?– Feu-ho amb alguna foto vostre

www.isoc.cat

Dades

● Antivirus actualitzats (també per a Mac i Linux)– http://www.av-comparatives.org/dynamic-tests/

– https://help.ubuntu.com/community/Antivirus

● Còpies de seguretat – En tens ?

– Comprovar regularment que són bones

– No guardar-les mai junt amb les dades originals

– Les vols desar xifrades ?

– Atenció a l'obsolescència del suport físic i mètode/SW xifrat

www.isoc.cat

Dades

● Xifrar les dades (disc/s, USB, còpies de seguretat locals o en núvol). Assegureu-vos de recordar el PWD ...

● BoxCryptor, Truecrypt o eina pròpia del S.O.

● Si dades al núvol (Dropbox/Box/...), xifreu-les també localment

– BoxCryptor, EncFS

– http://mega.co.nz

– https://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software

www.isoc.cat

Lab 3● Xifrar una memòria USB amb BoxCryptor, Truecrypt o similar

● Baixar i instal·lar:

– Win/Mac: https://www.boxcryptor.com/

– Linux: EncFS + CryptKeeper

● Xifrar el volum USB o una carpeta dins el USB

● Crear-hi un fitxer prova.txt

● Comprovar si es pot llegir/veure des d'un altre ordinador

● Tornar-lo a connectar al nostre i llegir el fitxer

●

www.isoc.cat

Lab 3

● Si teniu compte al Dropbox o similar ...

– Creeu una carpeta de prova

– Xifreu-la i compartiu link

– Doneu link a algú altre per a que intenti accedir-hi sense (i després amb) PWD

– Esborreu (o no) la carpeta

www.isoc.cat

Lab 3 (a casa)

● Revisar, instal·lar i/o actualitzar antivirus

● Provar http://virustotal.com o equivalents (Kasperski.com, ...)

● Xifreu un disc dur extern per a fer-hi les còpies de seguretat

● Copieu-hi un directori de prova

● Connecteu-lo a un altre ordinador i mireu què passa

● Reboteu el vostre ordinador, connecteu-hi el disc xifrat i recupereu la informació

www.isoc.cat

Aplicacions i Sistema Operatiu

● Actualitzacions:

– Per a evitar forats de seguretat

– Pensar que hi ha 0-day i que es venen abans de publicar-los ! ● Fonts segures: no acceptar caramel del primer que passa

● Antivirus: actualitzar-los regularment

www.isoc.cat

Lab 4

● Comprovar signatura MD5 dels paquets descarregats

● Anar a una de les webs següents i comprovar MD5 del fitxer

– http://www.fourmilab.ch/md5/

– https://hash.cymru.com/

www.isoc.cat

Navegadors

● Reduir el “profiling” i les dades que es passen entre les webs--> Colusion

● Packets, cookie, sessions, https, user agent, adreça IP, DNS

● Llegir http://dontbubble.us

● Hi ha cercadors que no són tan invasius

● Opció: posar-los com home page i/o bookmark

● Tot i així, navegadors deixen una petjada: http://ipcheck.info

www.isoc.cat

Lab 5

● Cerques i “profiling”

– Demo de “Colusion”

– Provar cerques amb Google/Bing/Yahoo vs. duckduckgo.com i startpage.com

– GooPIR http://unescoprivacychair.urv.cat/goopir.php

– Anar a IPcheck.info i mirar el rastre del navegador

www.isoc.cat

Lab 6

● Actualitzar navegadors

– Comprovar versió i saber forçar actualització

– Configuració bàsica: plug-ins a treure, cookies, java, ..

● Instal·lar, provar i desactivar Colusion

● Instal·lar les 4 recomanacions de la EFF:– https://www.eff.org/deeplinks/2012/04/4-simple-changes-protect-your-privacy-online

– Https-everywhere, Adblock, Ghostery

– Extensió “No-Script”

www.isoc.cat

Lab 7 i 8

● Lab 7: Habilitar / Deshabilitar Java, Javascript, Flash, etc.

● Lab 8: TOR - Bundle, instal·lació i ús.

– https://www.torproject.org/download/download-easy.html.en

www.isoc.cat

Sessió: Correu electrònic

● Es transmet sempre “en obert” !

– El contingut pot ser llegit molt fàcilment

– Es pot xifrar correu (text): Enigmail + Thunderbird

– Però només xifra el text, no xifra To:, CC:, CCO:, ni Tema

● Per donar-se d'alta a llocs de poca confiança

– Atenció no el feu servir de contacte per a recuperar mails

– Mail efímers: Guerrillamail, 10minutemail, ... o crear-ne un d'especial a gmail, yahoo i similars

www.isoc.cat

Lab 9● Instal·lar PGP

– Win: http://www.gpg4win.org/

– Mac: http://macgpg.sf.net/

– Linux: check it (gpg --version)

● Instal·lar EnigMail (plug-in for Thunderbird)

– http://www.enigmail.net/download/

– right-click on the link and choose "Save link as...".

● Arrencar Thunderbird --> Tools / Add-ons / Install (Enigmail)

● Sortir de Thunderbird i tornar-lo a arrencar

● Fer http://www.enigmail.net/documentation/quickstart-ch2.php

www.isoc.cat

Lab 10 (si hi ha temps)● OTR – Off-the-Record Messaging

– https://en.wikipedia.org/wiki/Off-the-Record_Messaging

– http://www.cypherpunks.ca/otr/

– Offers: Encryption, Authentication, Deniability, Perfect forward secrecy

● Clients xat amb with OTR:

– https://www.linux.com/learn/tutorials/341904-weekend-project-secure-instant-messaging-with-off-the-record

– http://pidgin.im

– http://adium.im/ (OTR de sèrie Mac)

– Kopete i Mcabber (OTR de sèrie Linux)

– IM+ (Android)

● Web based http://cripto.cat

www.isoc.cat

Comunicació: DNS

● DNSSEC

– L'ha d'oferir el titular del domini

– Encripta la resolució del domini (trad. nom domini --> adreça IP)

● Resolvers DNS

– Qui sap quines pàgines visites ?

– Venen els ISP aquestes dades (agregades?) a 3rs?

www.isoc.cat

Comunicació: DNS

● Telecomix Censorship-proof DNS

– 91.191.136.152

– http://dns.telecomix.org/

● Privacy foundation

– https://server.privacyfoundation.de/index_en.html

– 87.118.100.175

– 94.75.228.29

www.isoc.cat

Lab 11

● Canviar els DNS del dispositiu (i provar el router a casa)

● VPN: Virtual Private Network, túnel de comunicació xifrada entre 2 ordinadors

● Provar i instal·lar una VPN – http://vpngate.net -Xarxa de 500 VPN lliures, experiment de la Universitat de Tsukuba

– https://torrentfreak.com/which-vpn-providers-really-take-anonymity-seriously-111007/

– http://openvpn.net

www.isoc.cat

Lectures i enllaços● http://www.heinz.cmu.edu/~acquisti/economics-privacy.htm

● http://www.popsci.com/technology/article/2013-03/fbi-wants-watch-online-chats-they-happen

● http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/

● https://torrentfreak.com/free-access-to-dozens-of-anonymous-vpns-via-new-university-project-130324/

● http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/all/

● http://www.cnn.com/2013/03/16/opinion/schneier-internet-surveillance/index.html

● http://www.elconfidencial.com/tecnologia/2013/04/15/el-trafico-de-datos-un-sector-en-auge-que-ya-mueve-millones-de-dolares-4651/

● http://www.elconfidencial.com/tecnologia/2013/04/08/blinda-tu-smartphone-robaran-tu-dispositivo-pero-no-tu-privacidad-4624/

● http://www.apd.cat/infantsijoves/

● http://www.crypt4you.com/

● Youtube: “Mundo Hacker user: pvzzle

www.isoc.cat

Conclusió

● No serem invulnerables però sí ho haurem posat més difícil

● Hem millorat la protecció de les nostres dades privades davant robatoris o intromissions

● Llegiu bé les instruccions de les aplicacions, no doneu res per evident

● Recordeu actualitzar les aplicacions i que tot pot fallar ;-)

● Esperem que pugueu replicar aquesta sessió a més persones i en altres llocs

Gràcies

www.isoc.cat

Dret de còpia i modificació

El material d'aquesta presentació és lliure i es pot fer servir sota les condicions de Creative Commons BY-NC-SA excepte els continguts trets d'altres fonts o titulars com:

– Logo d'ISOC del fons i logo d'ISOC-CAT

– Els acudits de XKCD són del seu autor

– Els vídeos de YouTube i text de Wired són dels seus autors

– Textos a articles i webs usades aquí com referència o exemple

CryptoParty.cat

Gràcies