Server: irc.autistici.org
Canal: #cppa
Puerto: 6667
Puerto SSL (opcional): 9999
Certificado SSL (opcional): http://autistici.org/en/ca
Hidden service: wi7qkxyrdpu5cmvr.onion
Webchat: http://irc.lc/autistici/cppa/cppa_@@@
#718 Muy buen articulo.
Hablando de leer, tengo el criptonomicon sobre la mesa y me quema empezarlo, pero hasta que no acabe examenes nada. A los que os lo habeis leido, que os ha parecido?
#722 El primer tomo, aunque en version original es uno solo, para la traduccion se ha dividido en tres, trata basicamente sobre el codigo enigma.
He editado #1 con información actual sobre TrueCrypt y he añadido bastantes cosas a #2. Acepto sugerencias, tanto para añadir cosas como para quitarlas.
#726 BUen trabajo. La única idea es hacer un "changelog". Si lo sé, es muy informático esto pero creo que estaría bien saber de aquí en adelante que ha cambiado en el post.
Lo he visto por ahí:
http://www.webupd8.org/2014/08/encrypt-dns-traffic-in-ubuntu-with.html
No sé si tiene sentido o vale la pena.
#729 Voy a explicarte como funciona, porque muchas veces recomendamos cosas y puede que el otro no lo entienda.
DNSCrypt es una capa de protección para tu red local, para entenderlo te he hecho el siguiente gráfico:
Una vez instalas DNSCrypt debes configurar el DNS de tu PC a 127.0.0.2 que es la IP por defecto que crea el instalador y decir a DNSCrypt que haga de proxy hacia un servidor externo que soporte la comunicación.
La navegación sería, acorde a los numeros del diagrama:
- Haces una petición a google.com y se envía a DNSCrypt instalado en tu PC
- DNSCrypt cifra la petición y la envía al servidor DNS que hemos configurado previamente. En este punto la comunicación va cifrada y evita la lectura del ISP.
- El servidor DNS externo recibe la petición y traduce google.com a su respectiva IP para enviar la petición. Aqui la comunicación va en plano.
En mi opinión no compensa, la utilidad de esto es proteger tus peticiones DNS en tu red local, pero si estas en un escenario de MITM el menor de tus problemas es que se vean tus peticiones al DNS. Otro problema es que sigue requiriendo de un servidor DNS externo, por lo que el mayor problema de la arquitectura actual sigue existiendo ya que tu tienes que confiar en lo que el servidor DNS haga así que un escenario de DNSLeak sigue siendo factible, así que no le veo mucho sentido...
#730
Yo no le veía tampoco leyendo por encima, pero como no entiendo normalmente dejo la aportación por si alguien se lo quiere leer, aclararlo o dar su opinión. Soy negado en el tema xD. Gracias por el post, la aclaración y el esquema. ¡Mola mucho! Mi antiguo profesor de redes en el módulo superior siempre nos los hacía así .
#730 #731 no me he metido a fondo con el tema DNS todavía porque, al igual que #730, pienso que hay cosas mucho más importantes y peligrosas, pero opino que DNSCrypt sí merece la pena.
DNS es un protocolo sin cifrado y cualquiera que intercepte vuestra conexión puede ver a qué dominios accedéis, y manipularlos si no utiliza DNSSEC. Instalando DNSCrypt y configurándolo con un servidor que sea compatible con él, las peticiones irían cifradas desde vuestro PC hasta el servidor y nadie podría ver a qué dominios accedéis (excepto el servidor DNS, por supuesto). Corregidme si me equivoco, pero a simple vista me parece algo a tener en cuenta.
#732 Uhm ahora que lo dices, me habia pasado por alto el ISP. Aunque configures un DNS externo al del ISP éste seguirá enrutando tus peticiones así que podría espiarte.
Pero si en lugar de esto usamos una VPN estamos tunelando todas las peticiones a traves de ella, así que no debería haber problema de DNSLeak, por lo que lo sigo viendo sin mucho uso.
Ademas cuando el DNS te responde la IP del servidor final, esa nueva request va en plano hacia la web destino, así que el ISP la vería igual.
Me refiero a la linea verde de este esquema:
#726 Molaría hacer un pequeño esquema para los neófitos de la seguridad personal (entre los que me incluyo).
Un esquema tal que puedas agrupar las buenas prácticas por facilidad y por la seguridad que ofrecen:
Nivel 1:
-Haz que la huella de tu navegador no sea detectable. Esto es útil por tal y cual cosa.
Usa este software: mozilla, extensión tal o cual, etc.
-Usa buscadores y servidores de correo alternativos. Esto es útil por tal y cual cosa.
Usa estos servicios: ...
Nivel 2:
-Cifra tus datos personales. Esto es útil por tal y cual cosa.
Usa este software: veracrypt,...
[...]
Nivel 9:
-No utilices cuenta bancaria, utiliza un monedero de bitcoins. Esto es útil por tal y cual cosa.
Software recomendado: ...
-Navega a través de VPNs especialmente diseñadas para el anonimato. [...]
Así uno puede ver las cosas que no le costaría mucho aplicar en su entorno personal, y el nivel de protección, ventajas y anonimidad que ofrecen.
#733 si utilizas una VPN el servidor VPN puede ver los dominios a los que accedes, con DNSCrypt no. VyprVPN ofrece un servicio similar y tiene unas imágenes que lo explican muy bien.
DNS MITM:
DNS con VyprDNS/DNSCrypt:
El hombre siniestro puede representar al ISP, la NSA, un nodo de salida de Tor, un servidor VPN, etc.
Para la línea verde de tu imagen hay otros métodos y es un tema totalmente diferente. Además, el ISP podría ver la IP pero no el dominio, que es de lo que estamos hablando. Vamos, que DNSCrypt es una buena herramienta que merece la pena pero, como todo, por sí sola no va a impedir que te espíen.
#734 puede ser interesante, pero eso necesita bastante curro y yo solo no puedo con todo. Si alguien se ofrece lo podemos hacer de forma colaborativa entre varios.
#730 no estoy muy puesto en esto tampoco, pero con eso solucionarías los bloqueos de páginas que hace tu ISP, no?
#735 Yo es que soy un inútil y no sé casi nada. Pero molaría una especie de escalera amigable de iniciación a la privacidad.
Al final, lo que intenta el movimiento Cipherpunk entiendo que es que todo el mundo utilice la máxima seguridad a su alcance, no sólo el que sea pro.
#735 Si, pero lo que quiero decir es que el tal como esta ese esquema el servidor de DNS siempre va a saber lo que haces y el ISP puede hacer u nreverse DNS sobre la IP y saber a que dominios accedes.
#736 Siempre que sean por DNS si, pero para eso no hace falta montar todo esto. Con cambiar los DNS por OpenDNS por ejemplo ya te sirve.
#738 entonces no, no me sirve :_ porque tengo siempre las de google y sigo con los bloqueos. Que tampoco me quita el sueño porque todos sabemos que se pueden saltar, pero si por comodidad puedo tenerlo más fácil pues... xD
PIA tiene una opción de DNS Leak Protection.
Supongo que será lo mismo de lo que habláis, no?
Yo la marco siempre, igual que Kill Switch, por si me peta la VPN que no se quede conectada mi IP real.
#738 que sí, si estoy de acuerdo contigo, pero de ahí a decir que DNSCrypt no merece la pena va un trecho. Hasta que salga un sistema DNS P2P cifrado, DNSCrypt es lo mejor que hay (que yo sepa).
#738 #739 en teoría los ISP pueden bloquear peticiones DNS a servidores externos. Si están cifradas tendrían que bloquear servidores DNS enteros porque no podrían saber qué petición bloquear.
No sé, a mí DNSCrypt me parece bastante útil.
#740 penas de cárcel para los que no incluyan un kill switch, ¡cuántos sustos me habría evitado! xD
#741 ya te informare pero creo que me vendra de lujo para saltarme los bloqueos de webs que ponen en el insti.
¿Por ierto en que grado afectaria esto al ancho de banda de la conexion?
Pues voy a empezar poco a poco a informarme.
¿Qué diríais que es lo más sencillo de hacer que suponga una mejora sustancial en seguridad/anonimato? Algo que no lleve mucho dinero ni mucho tiempo.
Yo diría que poner un ofuscador de búsquedas como extensión en Mozilla. Yo tengo uno instalado. Lo único que Google a veces se cabrea y me hace rellenar un captcha.
#746 Yo normalmente, aunque no soy un fan del anonimato, lo uso como sustituto de mozilla en el Instituto para evitarme las limitaciones de ancho de banda de las vpn que me funcionan.
Por lo menos si no te quieres rucar muchísimo la cabeza o no quieres usar Tor Browser, toma las precauciones mínimas convencionales de todo el mundo cuando se inicia en este tema.
1- No uses Windows, usa Linux.
2- Contrata una VPN privada que tenga reputación de ser fiable y que no registre ningún log ni venda tu información a terceros y págala con moneda anónima.
4- Utiliza un correo electrónico alternativo a Gmail o Hotmail. Si no quieres pagar por él, como bien podría ser por MyKolab o Riseup, tienes gratuitos como Openmailbox y Autistici.
(Estos dos podrían añadirse a #2 aunque lo que no me gusta de Autistici es que parece que no tiene https) como Anonbox.
También puedes usar correos temporales para registrarte en algún sitio donde no quieras utilizar tu correo principal, como puede ser 10minutemail o Anonbox.
5- No uses Chrome ni Internet Explorer ni Opera, utiliza Mozilla Firefox y añádele las extensiones como AdBlock Edge, NoScript, Self-Destructing Cookies, Disconnect y HTTPs Everywhere.
6- Cifra los datos de tu disco duro: (DiskCryptor o VeraCrypt)
7- No utilices Google Search como buscador convencional, utiliza YaCy o DuckDuckGo. En las propiedades del navegador puedes cambiar el motor de búsqueda que trae integrado y ponerle DuckDuckGo para que cuando utilices la barra como búsqueda te lleve directamente a él, y también tienes el plugin de DuckDuckGo Plus para Firefox.
#748 Es que de lo único que has dicho tío, lo inmediato y fácil es la 5.
El resto conllevan bastante tiempo, merma en servicios o funcionalidades o dinero. La gracia es ir iniciándose poco a poco. A mí si me quitas Windows, me haces encriptar cada carpeta, pagar por una VPN privada y mover mi correo personal de dirección, me vuelvo loco. Es un cambio muy hostil ~~
Hay que ir poco a poco. No digo que eso no sea lo óptimo que debería tener, pero buf.