¡Como si no llevara nada, oye!

¡Como si no llevara nada, oye!

En esta charla te enseñaré a protegerte, o al menos, mitigar tus acciones en la red, para que tu privacidad esté más oculta al mundo.

¿No tienes nada que ocultar? Perfecto. Pero nadie tiene por qué mirar.

Fd31fc060f5108f55642ad8e6d13f7ee?s=128

Adolfo Santiago

November 24, 2015
Tweet

Transcript

  1. ¡Como si no llevara nada, oye! Maneras de proteger tu

    privacidad (lvl. paranoia) Adolfo @adolphenom adol.pw XXVII Jornadas T´ ecnicas del GUL Noviembre 2015
  2. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL 2 / 32 Es un GIF, en el PDF no se mueve https://youtu.be/UYA8L6EHiGc
  3. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL ¿POR QUÉ ES IMPORTANTE? • Snowden, uno de los muchos whistleblowers que han sacado a la luz los programas de espionaje • Revela, cada poco, documentos sobre programas de espionaje de distintos gobiernos, no sólo US • Hace llegar su mensaje por distintos canales a los usuarios de a pie • ¡Tiene Twitter! -> @Snowden --- Artículo 12 Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques. - - - http://www.un.org/es/documents/udhr/index_print.shtml 3 / 32
  4. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL NIVELES DE PARANOIA Lvl. 5: apps & web Lvl. 4: e-mail Lvl. 3: conexión a internet Lvl. 2: sistema operativo Lvl. 1: hardware 4 / 32
  5. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 5 – APPS & WEB 5 / 32
  6. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 5 – APPS & WEB • No rastrea • No te obliga a tener cuenta “para usarlo” • Guarda tus ajustes con una passphrase (que se recuperan con ella) • No cookies “Problemas” • Google tiene más resultados • Pero DuckDuckGo no se queda corto (y, cada día, menos) Buscador web 6 / 32
  7. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 5 – APPS & WEB • Son el demonio • No sólo en webs, sino en apps de móvil (más adelante) • Guarda información importante sobre la sesión • Pero hacen más que eso: pueden espiar Entre otros Cookies 7 / 32
  8. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 5 – APPS & WEB • Están en la gran mayoría de webs que visitas • Suelen ser de redes sociales • Aunque los hay integrados como JS (E. g. Google Analytics) • Recopilan datos para métricas (Normalmente… O eso dicen) • También en apps móviles Trackers Lifehacker Trackers Meristation Trackers 8 / 32
  9. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 5 – APPS & WEB Otros • Fotos • Normalmente, las redes sociales tienen en sus ToS que pueden usar las fotos para lo que les plazca (resumidamente) • Web scrapers • Automatizados, que extraen datos de todas las webs y almacenan en bases de datos que las empresas compran para… ¡Publicidad! (entre otros) • Y un sinfín de maneras de extraer información de las webs… 9 / 32
  10. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 5 – APPS & WEB ¿Cómo evitarlo? • Usa otro navegador que no sea Chrome: Mozilla Firefox, Opera, IceCat… • Chrome es muy turbio por debajo… • Extensiones para proteger la privacidad y no dejar [mucha] huella: • Ghostery: bloquea trackers • Disable Cookies • uBlock (los anuncios también pueden rastrear…) • HTTPS Everywhere • LibreJS • BetterPrivacy • NoScript • Otras tantas que desconozco, pero seguro que existen… • No uses Flash, sus cookies son de lo peor también 10 / 32
  11. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 5 – APPS & WEB • Activar “Do Not Track” • Pide a las webs que no te rastreen, aunque muchas veces no se cumple (de ahí la necesidad de extensiones que ayuden a esto) • Intenta mantener almacenada la menor información posible en el navegador web, como contraseñas, por ejemplo • Desactivar las cookies de terceros (y puede que gran parte de JavaScript sea buena idea también) • Navega siempre a través de HTTPS • HTTPS Everywhere fuerza a los sitios web a ofrecer un servicio cifrado si tienen certificado SSL (Desarrollada por la EFF) ¿Cómo evitarlo? 11 / 32
  12. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 4 – MAIL 12 / 32
  13. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 4 – MAIL • A Google le encanta leer tu e-mail • Google Now • Anuncios personalizados • Eventos automáticos en el calendario • Análisis de ficheros en busca de virus (¿Quién no dice que algo más?) • MS Outlook, Yahoo! Mail… • Pueden hacerlo también (está en sus ToS) • Mayormente, todos tienen en sus ToS que pueden hacerlo Servicios de correo electrónico 13 / 32
  14. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 4 – MAIL • Servicios de mail que cifren tu correo • Tutanota, ProtonMail (tienes que solicitar invitación) • GPG (Free Software) • Cifrado de correos y archivos mediante par de claves (pública y privada) • Supports ElGamal, DSA, RSA, AES, 3DES, Blowfish, Twofish, CAST5, MD5, SHA- 1, RIPE-MD-160 and TIGERTodos los gestores de correo electrónico tienen plugins con los que usar GPG: Enigmail para Thunderbird, GPGMail para Mail (Mac)… • GUI para los sistemas operativos para cifrar en el PC los archivos • Apps para usar GPG en smartphones ¿Cómo evitarlo? 14 / 32
  15. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 4 – MAIL • Gestores de correo • Thunderbird & Enigmail (GPG para los correos) • Mail (?) con GPGMail • K-9 Mail (soporta GPG, para Android) • iPGMail (iOS) ¿Cómo evitarlo? 15 / 32
  16. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 4 – MAIL Ejemplo: clave GPG Pública pgp.adol.pw 2,048-bit RSA 16 / 32
  17. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 4 – MAIL Ejemplo: mail pasado por GPG GPG (visto en Gmail, web) GPG (visto en Gmail, app Android) 17 / 32
  18. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 4 – MAIL Ejemplo: mail descifrado en Thunderbird & Enigmail 18 / 32
  19. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 3 – CONEXIÓN A INTERNET 19 / 32
  20. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 3 – CONEXIÓN A INTERNET ¡Los paquetes viajan desnudos! • Con Wireshark puedes ver los paquetes que entran y salen de tu PC • Si la transmisión no se realiza en una conexión segura (certificado SSL, por ejemplo) se podría desarrollar un sniffer, es decir, monitorizar, para leer los datos de dichos paquetes (e. g. para WhatsApp existió) • Las operadoras pueden bloquear el uso de aplicaciones (por ejemplo, limitar las llamadas por Skype, les “cuesta dinero”). Sí, pueden analizar tus paquetes enviados por internet • Hay webs que recopilan tu localización GPS (sí, por internet se puede hacer tal cosa) si el navegador lo soporta y lo dejas activado 20 / 32
  21. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 3 – CONEXIÓN A INTERNET Soluciones • Usar siempre sitios web que cifren la información (HTTPS, por ejemplo) • Desconfiar de aplicaciones que no muestren su código fuente para examinar qué hacen (esto es muy de pro, pero hay personas que auditan código fuente) • Tener la red bien protegida • Contraseña WPA2, como mínimo • Filtrado de direcciones MAC en el router (ayuda) • IP Tables, si el router lo soporta (muy de pro, pero es posible) • Un firewall decente (no, el de Windows no vale) • TOR 21 / 32
  22. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 3 – CONEXIÓN A INTERNET Anonimato: TOR (Onion Routing) • Anonimato • Encapsula los paquetes con capas, lo que garantiza que sea muy complicado (MUCHO) monitorizar tu conexión • Free Software • Funciona con relays y nodos salida (exit) • Relay: transmite el paquete encapsulado y le quita una capa de las N capas que tiene desde que sale de tú ordenador • Cuantas más capas, más lento • Nodo salida (exit): es el que conecta el final del camino con tu ordenador 22 / 32
  23. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 3 – CONEXIÓN A INTERNET Esquema: Onion Routing Conexión a TorBox usando Tor Browser http://insiderattack.blogspot.com.es/2013/12/deep-dive-into-t or-introduction_19.htm l Conexión a Twitter usando Tor Browser Anonimato: TOR (Onion Routing) 23 / 32
  24. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 2 – SISTEMA OPERATIVO 24 / 32
  25. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 2 – SISTEMA OPERATIVO Why? • Los sistemas operativos cerrados no muestran lo que hacen por debajo • E. g. Windows 10 no para de hacer tracking a lo que haces en tu PC • No todos ofrecen servicios para mayor privacidad mientras se usa • No suelen pedir consentimiento al usuario para hacer algo en su PC, porque está en sus ToS que pueden hacerlo • Suelen tardar en adoptar medidas de seguridad o bugfixes que afectan a las mismas tarde, o nunca • Lo que digan no garantiza que sea cierto • No se puede estudiar su código fuente • Es la parte más compleja a la que adaptarse 25 / 32
  26. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 2 – SISTEMA OPERATIVO Soluciones • Primera solución: • Usar un sistema operativo open source o libre • Se suelen actualizar frecuentemente adoptando nuevas medidas de seguridad • La comunidad audita el código o resuelven errores de seguridad en poco tiempo • Se toman en serio esos errores 26 / 32
  27. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 2 – SISTEMA OPERATIVO Soluciones • Segunda solución: Tails (The Amnesic Incognito Live System) • Puro anonimato • Cero censura • No dejas rastro en el ordenador que lo uses • LiveCD, LiveUSB, o incluso instalado • Cifra todo • Lo usa todo aquel que tiene anonimato, privacidad y cero censura al 100% • Free Software 27 / 32
  28. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 1 – HARDWARE 28 / 32
  29. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL LVL. 1 – HARDWARE WTF? • Backdoors en los HDD que usas • La NSA tiene (o tenía) computadores en la principal fábrica de tarjetas SIM del mundo (da para teorías Illuminati) • Se puede hacer hot-mic a un Smartphone (Android, iOS…), teléfono VoIP, micrófono y webcam de un ordenador [portátil] • Por eso mucha gente lleva tapada la webcam • La NSA tiene (o tenía) computadores en los datacenter de compañías como Facebook o Dropbox (vuelta a empezar desde el LVL. 5 de paranoia) 29 / 32
  30. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL ¿NO TIENES NADA QUE OCULTAR? PERFECTO. PERO NADIE TIENE POR QUÉ MIRAR • Siempre hay algo que se quiere mantener en secreto • Los gobiernos quieren tener a todos vigilados constantemente en internet • No digo de estar en contra 100%, sino de no pasarse de la raya • Las empresas compran/venden grandes BBDD de información con la que sacarle partido al uso de sus servicios con los usuarios • Constantes modificaciones de las leyes de vigilancias con vacíos legales para aprovechar el máximo poder posible • Etc. ¡Querer privacidad en internet, en tu ordenador, el móvil, etc., no es malo! 30 / 32
  31. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL ¿DUDAS? 31 / 32
  32. ¡Como si no llevara nada, oye! XXVII Jornadas Técnicas del

    GUL ¡GRACIAS POR VENIR! 32 / 32 Patrocinado por la NSA, saluda al salir J