VER VIDEO
Category Archives: Seguridad online
XMPP vs. WHATSAPP
Imágen CC-BY-SA de @colegota
colegota.fotolibre.net
Puedes comunicarte con la OSSA a través de xmpp en ossa@jabber.calyxinstitute.org
TAILS LIVE 2.0
Tails, The Amnesico Incognito Live System se actualiza.
El sistema operativo Tails deja de basarse en Debian 7 para hacerlo en Debian 8 Jessie. Esto hace que las usuarias deban realizar el proceso de instalación desde una nueva ISO.
Para las que no sepan de que estamos hablando, Tails es un sistema operativo diseñado específicamente para comunicaciones seguras. Entre otras cosas, fuerza todas las conexiones a través de la red Tor, dispone de las herramientas necesarias para realizar comunicaciones encriptadas de modo sencillo y además, es amnésico, es decir, no tiene memoria. Lo que a priori puede parecer un handicap se suple con una memoria externa/pendrive para almacenar nuestros archivos y tiene la ventaja de que cada vez que el sistema se arranca es nuevo.
Junto a esto el sistema está diseñado para utilizarse desde un pendrive sin necesidad de instalarlo en la computadora utilizando tan solo la memoria RAM de la misma pero sin tocar el disco duro.
Recomendamos el uso de Tails especialmente a periodistas, investigadoras y personas en riesgo que necesiten comunicarse de manera segura y privada.
PROTECTED TEXT
Protected text es una aplicación online de softwarelibre que ofrece PADs colaborativos que se almacenan encriptados aumentando la seguridad de los datos que almacenemos en ellos.
MUNDO GNUEVO
BIOMETRÍA, PASSWORDS Y GOOGLE
Entre los proyectos de Google para 2016 se encuentra proyecto Abacus. Abacus es básicamente el complot de la compañía para matar la passwors a sangre fría, reemplazándola por la autenticación de la usuaria a través del teléfono móvil y una base de datos biométricos “incrackeable”.
Lee el articulo completo aquí
Desde la OSSA queremos manifestar nuestra desconfianza sobre lo “incrackeable” de una base de datos como la que google pretende crear. Asociar el login en sus servicios con los datos biométricos de la usuaria representa un peligro por sobreexposición vendido como una mejora en la “seguridad”. Creemos que es previsible que una base de datos semejante se convierta rapidamente en el objetivo número uno de criminales de toda índole exponiendo la intimidad (y sus datos biométricos) de los millones de usuarias de servicios como Gmail o Youtube a los ataques que recibirá semejante base de datos.
¿Que sucede si alguien irrumpe en los servidores de Google y obtiene esos datos?
Por esta y otras cirsunstancias recomendamos dejar de confiar nuestras comunicaciones a servicios de empresas de publicidad como Google o Facebook y optar por servicios conscientes con la privacidad de sus usuarias. Dos proyectos útiles para comenzar con nuestro saneamiento digital son Prism Break y Security in a box
TRACKOGRAPHY
Trackography es un proyecto de código abierto de Tactical Tech que tiene como objetivo aumentar la transparencia sobre la industria de datos en línea mediante la ilustración de quién nos rastrea en línea y a donde viajan nuestros datos cuando accedemos sitios web. En particular, Trackography muestra:
→ las empresas que nos hacen seguimiento
→ los países que acogen a los servidores de los sitios web que accedemos
→ los países que acogen a los servidores de las empresas de seguimiento
→ los países que acogen la infraestructura de red necesaria para llegar a los servidores de sitios web y compañías de rastreo
→ información acerca de cómo algunos de las empresas de seguimiento global manejan nuestros datos en función de sus políticas de privacidad
Los datos recogidos a través Trackography están abiertos y pueden servir como recurso para investigadoras, abogadas, activistas e instructoras de seguridad digital que estén interesadas en la generación de preguntas críticas sobre rastreadores de terceros o que quieren mostrar lo que sucede con nuestros datos en línea.
COSAS QUE NO DEBES HACER AL USAR TOR
Post extraido de La Mirada del Replicante
En la wiki de Whonix, nos encontramos una serie de consejos sobre que cosas no hacer a la hora de utilizar Tor, una lista muy interesante de recomendaciones –algunas obvias, otras no tanto– que conviene tener a mano, para utilizar este software de anonimato, like a pro.
En Whonix saben mucho del tema, ya que es una excelente distro GNU/Linux basada en Debian y enfocada a la privacidad. Para ello utiliza un marco de seguridad por aislamiento basado en maquinas virtuales y en el que todas las aplicaciones van sobre Tor –si estáis interesados en instalarla, podéis seguir estas instrucciones–.
Así que sin más preámbulos, vamos a fusilar esa lista de recomendaciones y echarle un vistazo rápido a esas cosas que no debemos hacer:
- No visites tu sitio web cuando seas anónimo, especialmente si no tiene demasiadas visitas y la mayoría de tus usuarios no utilizan Tor (el relay de salida sabe que alguien visitó tu web y si el sitio no es muy popular, existen posibilidades de que sea el administrador de la página)
- No iniciar sesión en Facebook, independientemente de que uses un seudónimo o tu nombre real. Simplemente por la lista de amigos, mensajes privados y si es necesario algo de ingeniería social, pueden adivinar quien eres e incluso tu ubicación.
- Similar a la anterior, nunca debes loguearte en cuentas que hayas usado anteriormente sin Tor.
- Tampoco se recomienda utilizar Tor en cuentas de banco, paypal, ebay, y similares…En este caso por un motivo adicional, porque podrían ser considerado como actividad fraudulenta y provocar la suspensión de la misma (recuerdo que al amigo Victorhck le pasó algo similar con twitter)
- No alternar tor con wifi abierto. Es uno de esos escenarios en que se reduce el circulo de sospechosos, ya que muchas ocasiones se mantienen registros de actividad o dirección MAC. En resumen: Tor + WiFi abierto= BIEN . Alternar conexiones de Tor y WiFi abierto= MAL.
- No utilizar Tor sobre Tor. Es decir, en el caso de Whonix sería instalar Tor sobre la estación de trabajo (Whonix-Workstation), algo innecesario ya que Whonix Gateway ya obliga a que todo el tráfico de las aplicaciones vayan sobre tor. Mas relays de entrada y salida no proporciona seguridad adicional, y puede dar lugar a comportamientos potencialmente inseguros.
- Evitar enviar información confidencial sin cifrado de extremo a extremo (por cosas como esas es conveniente tener actualizado siempre el tor browser y sus complementos en funcionamiento como HTTPS Everywhere)
- Una de las obvias es no incluir información personal sobre uno mismo: apodos, características físicas, lugar de nacimiento o residencia, no usar caracteres especiales de teclado existentes solo en tu lenguaje, profesión, hobbies, etc.
- Aunque los Bridges (Tor Relays no listados en el directorio del proyecto, para dificultar que los ISP los puedan bloquear), son una excelente solución para sortear la censura a que se ve sometido Tor en algunos países, en Whonix creen que no está totalmente exente de riesgos su uso.
- Para evitar cualquier tipo de correlación tampoco se recomienda usar diferentes identidades online al mismo tiempo, ni mezclar diferentes modos de anonimato.
- Tampoco es conveniente modificar la configuración de las aplicaciones, sino se sabe lo que se hace,incluida la interfaz gráfica. Un ejemplo de ello es modificar el tamaño de la ventana del tor browser o mostrarlo a pantalla completa, ya que ello nos crea una huella digital web, que podría ayudar a nuestra identificación.
- No utilizar Clearnet (el “internet normal”, no cifrado y sin anonimato) al mismo tiempo que Tor, para evitar cualquier tipo de confusión a la hora de ejecutar aplicaciones o acceder a servicios.
- La conexión a servidores remotos, debe seguir las mismas pautas que vimos en ejemplos anteriores, nunca conectarse de forma anónima y no anónima al mismo tiempo.
- No hay que confundir anonimato con seudónimo.
- Si creas una página web bajo anonimato o en un servicio oculto de la darknet, evita ser el primero en difundir el enlace de ese post que has escrito desde tu cuenta personal de twitter, facebook o google +.
- No abras archivos desconocidos o enlaces, especialmente PDFs que pueden infectar tu sistema (esta recomendación supongo que será para los usuarios de Windows)
- Y por último, nada de doble verificación mediante móvil, al utilizar servicios como Google, Facebook Twitter y demás. Incluso aunque se consiga una tarjeta SIM anónima de prepago, el teléfono en si ya es un riesgo, proporcionando logs de actividad, localización y número de serie.
Una explicación más detallada de todos estos consejos están disponibles en la web de Whonix, incluida la posibilidad de donar al proyecto.
GENDERSEC
El colectivo Tactical Tech publica una wiki con estratégias y métodos de autodefensa online y offline para mujeres:
El colectivo Tactical Tech junto a la organización Front Line Defenders son coautoras de la web Security in a box, una de las incluidas en el área de manuales de seguridad online aqui en la OSSA. Os invitamos a que sigais todos sus consejos y pongais en práctica los cambios de hábitos digitales que proponen.
WARRANT CANARY
“Warrant canary” es el término coloquial que hace referencia a la publicación periódica de un reporte conforme un porveedor de servicios NO ha recibido ningún requerimiento legal que le prohiba informar a sus clientes/usuarias de haber sido recibido como por ejemplo una Carta de Seguridad Nacional (National Security Letter)
El proyecto Canary Watch de la Electronic Frontier Foundation y el Calyx Institute documenta estos reportes públicos. La web contiene una lista de servicios que actualmente disponen de algún sistema de “warrant canary” entre los que se encuentran servicios tan distintos como Riseup, Adobe, Tumblr o Tutanota.
Consultad la web del proyecto para elegir proveedores conscientes con vuestros derechos.