Crypto Party BCN
0 likes402 views
Slides (in Catalan) used in the 1st CryptoParty held in Barcelona. Use them , improve them and enjoy them
Crypto Party BCN
- 1. www.isoc.cat The Internet is for everyone CryptoParty @CryptoPartyBCN #cryptopartybcn CryptoParty.cat Barcelona, 8 juny 2013
- 2. www.isoc.cat Per què ? CC BY Jordi Iparraguirre
- 7. www.isoc.cat Per què ? ● Per protegir les nostres dades personals i dispositius en cas de pèrdua o robatori ● Per controlar una mica millor la nostra petja digital ● Per a que siguem nosaltres qui controla els dispositius i no al revés ● Per decidir quan, què i com volem comunicar al món i fer-ho més conscientment ● Your entire life is online and it might be used against you – https://www.youtube.com/watch?&v=F7pYHN9iC9I
- 8. www.isoc.cat Objectius ● Conèixer algunes de les eines que podem fer servir per protegir la nostra informació i la nostra intimitat a Internet – Conèixer la nostra petja digital involuntària – Saber com protegir, una mica, les nostres dades ● Instal·lar-les en el nostre ordinador (BYOD) ● Aprendre a fer-les servir en el dia a dia ● Poder explicar-ho i ajudar a amics, coneguts i saludats ● Augmentarem la nostra privadesa, però no serem anònims ● No ens fem responsables del mal ús de les eines presentades
- 9. www.isoc.cat Idees ● Això és un taller, no una presentació. Participeu i fem-ho plegats ● L'objectiu és aprendre, instal·lar i usar ● Pregunteu en cas de qualsevol dubte ● Ajudar els altres és la millor manera de comprovar si ho hem entès
- 10. www.isoc.cat Principis ● Murphy no dorm. Mai ● Que siguis paranoic no vol dir que no et segueixin ● Si no pagues pel servei, tu ets el producte ● "There is no delete button on your digital identity" - Eric Schmidt (Google) ● La seguretat infinita té cost infinit ● Podem intentar millorar la nostra intimitat a un cost raonable ● Veiem-ho
- 11. www.isoc.cat Privadesa vs. anonimat ● Privadesa: – La capacitat d'escollir què volem comunicar al món ● Anonimat: – La impossibilitat de que altres puguin saber qui som
- 12. www.isoc.cat Capes o cadena de bits a Internet Medi (cable, radio, ...) Paquets (capçalera, contingut) Aplicacions (mail, web, ...) Usuari Comunicació DadesCanal Sistema Operatiu 0-day exploits No password Dades no xifrades DNS poisoning Punxat Back doors Forats de seguretat Bugs Trojans Phishing Virus Corrupció de dades
- 13. www.isoc.cat Usuari ● Evitar-ne l'ús indegut: – Passwords: han de ser secrets, llargs, no deduïbles i memoritzables. Barreja de caràcters+xifres+lletres – Es poden usar arxius xifrats de passwords: KeyPass o Key- rings del SO/Browser ● Per si es perd o roben el dispositiu: – Localització i bloqueig del dispositiu: Preyproject.com i Find my phone
- 16. www.isoc.cat How to Survive the Password Apocalypse Until we figure out a better system for protecting our stuff online, here are four mistakes you should never make ... DON’T ● Reuse passwords. If you do, a hacker who gets just one of your accounts will own them all. ● Use a dictionary word as your password. If you must, then string several together into a pass phrase. ● Use standard number substitutions. Think “P455w0rd” is a good password? N0p3! Cracking tools now have those built in. ● Use a short password—no matter how weird. Today’s processing speeds mean that even passwords like “h6!r$q” are quickly crackable. Your best defense is the longest possible password. http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/all/ Usuari: fer o no fer
- 17. www.isoc.cat Usuari: fer o no fer ... and four moves that will make your accounts harder (but not impossible) to crack.—M.H. DO ● Enable two-factor authentication when offered. When you log in from a strange location, a system like this will send you a text message with a code to confirm. Yes, that can be cracked, but it’s better than nothing. ● Give bogus answers to security questions. Think of them as a secondary password. Just keep your answers memorable. My first car? Why, it was a “Camper Van Beethoven Freaking Rules.” ● Scrub your online presence. One of the easiest ways to hack into an account is through your email and billing address information. Sites like Spokeo and WhitePages.com offer opt-out mechanisms to get your information removed from their databases. ● Use a unique, secure email address for password recoveries. If a hacker knows where your password reset goes, that’s a line of attack. So create a special account you never use for communications. And make sure to choose a username that isn’t tied to your name—like m****n@wired.com—so it can’t be easily guessed. http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/all/
- 18. www.isoc.cat Lab 1 ● Provar howsecureismypassword.net amb un PWD que NO sigui vostre (eg. aaaaa) ● Posar un bon PWD en tots els dispositius (i recordar-lo) ● Comprovar que s'activa salva pantalles amb PWD al cap de no més de 3 o 5 minuts d'inactivitat. A Win, Logo+L per bloquejar pantalla ● Instal·lar http://keepass.info/ i fer una prova (Win/Mac/UX) ● Tots dispositius: preyproject.com --> i fer prova d'indicar pèrdua per veure report ● How to Secure or Find Your Android Smartphone (PCW) – https://www.youtube.com/watch?v=wzlrT6XO8_E ● Mòbil: “Find my phone” , “Where is my droid”
- 19. www.isoc.cat Usuari ● Profiling: obtenir un perfil personal a partir de la petjada digital (doxing) – Xarxes “d'amics” i què diem o ens agrada FB, Twitter, LinkedIn, ... Feu Egosurfing – Cookies, cross-scripting, sessions obertes, ... – Com ens mostren el que “creuen” que ens interessa http://dontbubble.us/ – Atenció a seguiment 3G, telefonia, IP, ...
- 20. www.isoc.cat Lab 2 ● Egosurfing: busca't al google, bing i yahoo, mira i compara resultats – També https://www.google.com/settings/me?client=email ● De qui és aquesta cara ? – Feu-ho amb alguna foto vostre
- 21. www.isoc.cat Dades ● Antivirus actualitzats (també per a Mac i Linux) – http://www.av-comparatives.org/dynamic-tests/ – https://help.ubuntu.com/community/Antivirus ● Còpies de seguretat – En tens ? – Comprovar regularment que són bones – No guardar-les mai junt amb les dades originals – Les vols desar xifrades ? – Atenció a l'obsolescència del suport físic i mètode/SW xifrat
- 22. www.isoc.cat Dades ● Xifrar les dades (disc/s, USB, còpies de seguretat locals o en núvol). Assegureu-vos de recordar el PWD ... ● BoxCryptor, Truecrypt o eina pròpia del S.O. ● Si dades al núvol (Dropbox/Box/...), xifreu-les també localment – BoxCryptor, EncFS – http://mega.co.nz – https://en.wikipedia.org/wiki/Comparison_of_disk_encrypti on_software
- 23. www.isoc.cat Lab 3 ● Xifrar una memòria USB amb BoxCryptor, Truecrypt o similar ● Baixar i instal·lar: – Win/Mac: https://www.boxcryptor.com/ – Linux: EncFS + CryptKeeper ● Xifrar el volum USB o una carpeta dins el USB ● Crear-hi un fitxer prova.txt ● Comprovar si es pot llegir/veure des d'un altre ordinador ● Tornar-lo a connectar al nostre i llegir el fitxer ●
- 24. www.isoc.cat Lab 3 ● Si teniu compte al Dropbox o similar ... – Creeu una carpeta de prova – Xifreu-la i compartiu link – Doneu link a algú altre per a que intenti accedir-hi sense (i després amb) PWD – Esborreu (o no) la carpeta
- 25. www.isoc.cat Lab 3 (a casa) ● Revisar, instal·lar i/o actualitzar antivirus ● Provar http://virustotal.com o equivalents (Kasperski.com, ...) ● Xifreu un disc dur extern per a fer-hi les còpies de seguretat ● Copieu-hi un directori de prova ● Connecteu-lo a un altre ordinador i mireu què passa ● Reboteu el vostre ordinador, connecteu-hi el disc xifrat i recupereu la informació
- 26. www.isoc.cat Aplicacions i Sistema Operatiu ● Actualitzacions: – Per a evitar forats de seguretat – Pensar que hi ha 0-day i que es venen abans de publicar-los ! ● Fonts segures: no acceptar caramel del primer que passa ● Antivirus: actualitzar-los regularment
- 27. www.isoc.cat Lab 4 ● Comprovar signatura MD5 dels paquets descarregats ● Anar a una de les webs següents i comprovar MD5 del fitxer – http://www.fourmilab.ch/md5/ – https://hash.cymru.com/
- 28. www.isoc.cat Navegadors ● Reduir el “profiling” i les dades que es passen entre les webs --> Colusion ● Packets, cookie, sessions, https, user agent, adreça IP, DNS ● Llegir http://dontbubble.us ● Hi ha cercadors que no són tan invasius ● Opció: posar-los com home page i/o bookmark ● Tot i així, navegadors deixen una petjada: http://ipcheck.info
- 29. www.isoc.cat Lab 5 ● Cerques i “profiling” – Demo de “Colusion” – Provar cerques amb Google/Bing/Yahoo vs. duckduckgo.com i startpage.com – GooPIR http://unescoprivacychair.urv.cat/goopir.php – Anar a IPcheck.info i mirar el rastre del navegador
- 30. www.isoc.cat Lab 6 ● Actualitzar navegadors – Comprovar versió i saber forçar actualització – Configuració bàsica: plug-ins a treure, cookies, java, .. ● Instal·lar, provar i desactivar Colusion ● Instal·lar les 4 recomanacions de la EFF: – https://www.eff.org/deeplinks/2012/04/4-simple-changes-protect-your-privacy-online – Https-everywhere, Adblock, Ghostery – Extensió “No-Script”
- 31. www.isoc.cat Lab 7 i 8 ● Lab 7: Habilitar / Deshabilitar Java, Javascript, Flash, etc. ● Lab 8: TOR - Bundle, instal·lació i ús. – https://www.torproject.org/download/download-easy.html.en
- 32. www.isoc.cat Sessió: Correu electrònic ● Es transmet sempre “en obert” ! – El contingut pot ser llegit molt fàcilment – Es pot xifrar correu (text): Enigmail + Thunderbird – Però només xifra el text, no xifra To:, CC:, CCO:, ni Tema ● Per donar-se d'alta a llocs de poca confiança – Atenció no el feu servir de contacte per a recuperar mails – Mail efímers: Guerrillamail, 10minutemail, ... o crear-ne un d'especial a gmail, yahoo i similars
- 33. www.isoc.cat Lab 9 ● Instal·lar PGP – Win: http://www.gpg4win.org/ – Mac: http://macgpg.sf.net/ – Linux: check it (gpg --version) ● Instal·lar EnigMail (plug-in for Thunderbird) – http://www.enigmail.net/download/ – right-click on the link and choose "Save link as...". ● Arrencar Thunderbird --> Tools / Add-ons / Install (Enigmail) ● Sortir de Thunderbird i tornar-lo a arrencar ● Fer http://www.enigmail.net/documentation/quickstart-ch2.php
- 34. www.isoc.cat Lab 10 (si hi ha temps) ● OTR – Off-the-Record Messaging – https://en.wikipedia.org/wiki/Off-the-Record_Messaging – http://www.cypherpunks.ca/otr/ – Offers: Encryption, Authentication, Deniability, Perfect forward secrecy ● Clients xat amb with OTR: – https://www.linux.com/learn/tutorials/341904-weekend-project-secure-instant- messaging-with-off-the-record – http://pidgin.im – http://adium.im/ (OTR de sèrie Mac) – Kopete i Mcabber (OTR de sèrie Linux) – IM+ (Android) ● Web based http://cripto.cat
- 35. www.isoc.cat Comunicació: DNS ● DNSSEC – L'ha d'oferir el titular del domini – Encripta la resolució del domini (trad. nom domini --> adreça IP) ● Resolvers DNS – Qui sap quines pàgines visites ? – Venen els ISP aquestes dades (agregades?) a 3rs?
- 36. www.isoc.cat Comunicació: DNS ● Telecomix Censorship-proof DNS – 91.191.136.152 – http://dns.telecomix.org/ ● Privacy foundation – https://server.privacyfoundation.de/index_en.html – 87.118.100.175 – 94.75.228.29
- 37. www.isoc.cat Lab 11 ● Canviar els DNS del dispositiu (i provar el router a casa) ● VPN: Virtual Private Network, túnel de comunicació xifrada entre 2 ordinadors ● Provar i instal·lar una VPN – http://vpngate.net -Xarxa de 500 VPN lliures, experiment de la Universitat de Tsukuba – https://torrentfreak.com/which-vpn-providers-really-take-anonymity-seriously-111007/ – http://openvpn.net
- 38. www.isoc.cat Lectures i enllaços ● http://www.heinz.cmu.edu/~acquisti/economics-privacy.htm ● http://www.popsci.com/technology/article/2013-03/fbi-wants-watch-online-chats-they-happen ● http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/ ● https://torrentfreak.com/free-access-to-dozens-of-anonymous-vpns-via-new-university-project-130324/ ● http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/all/ ● http://www.cnn.com/2013/03/16/opinion/schneier-internet-surveillance/index.html ● http://www.elconfidencial.com/tecnologia/2013/04/15/el-trafico-de-datos-un-sector-en-auge-que-ya- mueve-millones-de-dolares-4651/ ● http://www.elconfidencial.com/tecnologia/2013/04/08/blinda-tu-smartphone-robaran-tu-dispositivo-pero- no-tu-privacidad-4624/ ● http://www.apd.cat/infantsijoves/ ● http://www.crypt4you.com/ ● Youtube: “Mundo Hacker user: pvzzle
- 39. www.isoc.cat Conclusió ● No serem invulnerables però sí ho haurem posat més difícil ● Hem millorat la protecció de les nostres dades privades davant robatoris o intromissions ● Llegiu bé les instruccions de les aplicacions, no doneu res per evident ● Recordeu actualitzar les aplicacions i que tot pot fallar ;-) ● Esperem que pugueu replicar aquesta sessió a més persones i en altres llocs Gràcies
- 40. www.isoc.cat Dret de còpia i modificació El material d'aquesta presentació és lliure i es pot fer servir sota les condicions de Creative Commons BY-NC-SA excepte els continguts trets d'altres fonts o titulars com: – Logo d'ISOC del fons i logo d'ISOC-CAT – Els acudits de XKCD són del seu autor – Els vídeos de YouTube i text de Wired són dels seus autors – Textos a articles i webs usades aquí com referència o exemple CryptoParty.cat Gràcies