CPPA: CypherPunk, Privacidad y Anonimato

Server: irc.autistici.org
Canal: #cppa
Puerto: 6667
Puerto SSL (opcional): 9999
Certificado SSL (opcional): http://autistici.org/en/ca
Hidden service: wi7qkxyrdpu5cmvr.onion
Webchat: http://irc.lc/autistici/cppa/cppa_@@@

Korso

#118 El Privacy Badger debes hacerlo todo manual o se supone que lo hace automático?

1 respuesta
Pr177781

#121 esto es lo que pone después de instalar el plugin:

Privacy Badger blocks spying ads and invisible trackers. It's there to ensure that companies can't track your browsing without your consent.

This extension is designed to automatically protect your privacy from third party trackers that load invisibly when you browse the web. We send the Do Not Track header with each request, and our extension evaluates the likelihood that you are still being tracked. If the algorithm deems the likelihood is too high, we automatically block your request from being sent to the domain. Please understand that Privacy Badger is in beta, and the algorithm's determination is not conclusive that the domain is tracking you.

Our extension has three states. Red means block the tracker. Yellow means that we don't send cookies or referers to the tracker. Green means unblocked (probably because the third party does not appear to be tracking you). You can click on the Privacy Badger icon in your browser's toolbar if you wish to override the automatic blocking settings. Or, you can browse in peace as Privacy Badger starts finding and eating up web trackers one by one.

Nothing can stop the Privacy Badger from eating cookies when it's hungry!

Privacy Badger is a project of the Electronic Frontier Foundation.

Parece que también bloquea el referrer, actualizo la lista de plugins de #118 para eliminar los que modifican el referrer. Hay que tener en cuenta que Privacy Badger solo los bloquea si se envían a un tracker, si quieres bloquearlos en todos los casos seguirás necesitando un plugin específico.

Artein

(=・ω・)y=

1 respuesta
Nucklear

En el caso de España no se, pero si que se de un caso en EEUU de un pedófilo que le ampliaron la condena por negarse a dar su clave.

Ahora en relación a esto yo me pregunto ¿Que pasa si no te acuerdas de la clave o declaras que no te acuerdas? Porque no es lo mismo negase a darla que desconocerla

1 respuesta
Pr177781

#123 lo mejor es crear un volumen cifrado oculto, no te pueden pedir la contraseña de algo que no saben que existe. En cuanto a las leyes en España, ni idea, lo siento.

Tutorial para crear volúmenes ocultos con Truecrypt: https://securityinabox.org/es/truecrypt_volumenesocultos

(ya sé que lo has dicho en el último párrafo, pero para los que no sepan qué es el cifrado negable o como conseguirlo)

#124 no sé si será el mismo caso, pero aquí dicen todo lo contrario, que le dieron la razón al detenido ( #123 al final de este artículo habla de la situación actual en España en lo referente a estos temas, pero no tengo tiempo ahora mismo para investigar):

"Como alternativa para evitar la aplicación de la Quinta Enmineda al caso se propuso que el Sr. Boucher introdujese la contraseña sin que nadie le mirase, ni el juez ni el gran jurado, o le grabasen. Además renunciando a emplear ese acto en su propia contra.

Y sobre este último punto es sobre el que resuelve el Tribunal, de manera favorable al detenido.

La doctrina que invoca el juzgado para considerar que el revelado de la clave puede suponer una lesión al derecho a no declararse culpable viene motivada porque el Gobierno ya tiene información sobre el contenido de algunos archivos de modo que si el interesado revelase la clave el Gobierno, el Ministerio Fiscal en nuestro caso, tendría acceso no sólo a los archivos que conoce en virtud de la actuación de los agentes, sino que además podría conocer el resto del contenido de la unidad Z: del ordenador del Sr. Boucher, lo que podría suponer un incremento en la eventual condena para este.

También se tiene en cuenta en la resolución que una contraseña está lejos de ser un objeto físico que el gobierno pueda apropiarse o utilizar, sino que se encuentra en la mente del acusado y el obligarle a revelarla provocaría un efecto similar a la declaración de culpabilidad. Se cita un caso similar en el que lo que se obligó a entregar fueron documentos y precisamente esa diferencia entre una información solo existente en la mente de una persona y el contenido de unos documentos es lo que motiva que no se pueda exigir la entrega de la contraseña y mucho menos su escritura en el ordenador.

Lo anterior no quiere decir que no se pueda encausar ni condenar al Sr. Boucher, pero para lograr la eventual condena deberán utilizarse únicamente las declaraciones de los agentes, los nombres de los ficheros, así como cualesquiera otras que puedan argüirse. O incluso el contenido del ordenador si se consigue averiguar la clave. No es un supuesto de impunidad.
"

http://derechoynormas.blogspot.com.es/2007/12/las-contraseas-de-cifrado-y-la-ley.html

2 1 respuesta
Artein

(=・ω・)y=

1 1 respuesta
kevin101

#125 #126 Por cierto hablando de volúmenes cifrados ocultos: Si yo en un HDD/SSD/etc. de 100GB por poner un ejemplo genero uno de esos volúmenes habría que ser muy tonto como para hacerlo de 50GB no? Porque hasta donde yo veo si analizasen el dispositivo de almacenamiento verían que falta la mitad del espacio, y si, no sabrían lo que hay allí contenido pero sabrían que allí hay información oculta y bien oculta.

1 respuesta
Pr177781

#127 para crear un volumen cifrado oculto primero hay que crear uno normal y meter dentro el oculto. Creas un volumen normal de 50gb y dentro uno oculto de 40gb, si te piden la contraseña le das la del de 50gb y parecerá un volumen cifrado normal que solo tiene ocupados 10gb (o el espacio que ocupen los archivos que hayas metido en el normal) y el resto está vacío.

Cuando abres un volumen oculto tienes que seleccionar el mismo archivo que el normal y dependiendo de la contraseña que introduzcas se abrirá uno u otro.

3 1 respuesta
Videal

#128

Pr177781, una duda, si el volumen normal es de 50Gb y el volumen oculto dentro de este es de 40Gb. Que pasaría si tienes 10Gb ocupados en el volumen normal y intentas ocupar parte de esos 40Gb que teóricamente te quedarían?

#130 Era simple curiosidad. Muchas gracias!

1 respuesta
Pr177781

#129 nunca he creado un volumen oculto así que no puedo asegurarte que lo que voy a decir sea correcto pero no creo que se aleje mucho de la realidad, me baso en el tutorial que puse en #125.

Truecrypt trae una opción para proteger el volumen oculto, supongo que se refiere a que no se pueda sobreescribir. Si tienes activada esa opción te saldría un mensaje pidiéndote la contraseña del volumen oculto, si no la tienes activada se sobreescribiría y perderías los datos.

Si lo que quieres es que nadie sepa que tienes un volumen oculto aunque te secuestren y te torturen, no actives la función de proteger el volumen cifrado porque lo único que tienen que hacer para saber que ese volumen existe es meter archivos hasta llenar el normal y esperar a que salga el mensaje para introducir la contraseña del oculto. Eso sí, asegúrate de no sobrepasar el límite de 10gb (o el que le hayas puesto tú).

Pr177781

"El PSOE pide una regulación de las redes sociales tras los "comentarios indignos" por el asesinato de Isabel Carrasco"

http://www.europapress.es/nacional/noticia-psoe-pide-regulacion-redes-sociales-comentarios-indignos-asesinato-isabel-carrasco-20140513111812.html

Vía: http://www.mediavida.com/foro/off-topic/muere-a-tiros-isabel-carrasco-510411/50#1497

Exdirector de la CIA: 'Matamos a gente basándonos en metadatos'"

http://actualidad.rt.com/actualidad/view/127871-cia-matar-metadatos-eeuu-nsa

Correos revelan relación íntima de Google con la NSA

http://america.aljazeera.com/articles/2014/5/6/nsa-chief-google.html

Backdoors en los routers de las marcas más importantes (les pillaron y en vez de quitarla, la ocultaron)

http://tech.slashdot.org/story/14/04/22/001239/intentional-backdoor-in-consumer-routers-found

Una nueva funcionalidad de Cryptocat permite cifrar el chat de Facebook

https://blog.crypto.cat/2014/05/cryptocat-now-with-encrypted-facebook-chat/

Europa planea poner dispositivos de seguimiento en todos los coches de UK (y supongo que del resto de Europa). Esta noticia puede ser falsa, pero no es cuestión de si lo van a hacer o no, si no de cuándo. Creo que todos sabemos que en cuanto puedan, lo harán.

http://www.dailymail.co.uk/news/article-2625244/EU-bug-car-UK-tracker-chips-Ministers-admit-powerless-stop-Big-Brother-technology.html

3
15 días después
Guybrush_

OJO: Truecrypt no es seguro. :palm:

http://truecrypt.sourceforge.net/

2 respuestas
Nucklear

#132 Ahí dice que "podría tener fallas de seguridad" y lo de que no es seguro es sensacionalista a mas no poder.

Mañana echaré un ojo a tu enlace pero migrar de TrueCrypt al soporte nativo de MS me parece cuanto menos imprudente así a primera vista.

Como lectura adicional: http://istruecryptauditedyet.com/

1 respuesta
kevin101

#132 #133 http://www.neoteo.com/truecrypt-criptografia-puertas-traseras/

Pr177781

Se baraja la teoría del hackeo. No tiene sentido realizar una auditoría completa del programa, salir con "buena nota" e interrumpir brúscamente el desarrollo a las pocas semanas.

NO OS DESCARGUÉIS NINGUNA VERSIÓN DE TRUECRYPT NI LO ACTUALICÉIS HASTA QUE SE ACLARE TODO

Soy_ZdRaVo

La paranoya que hay ahora mismo en algunos foros de ahí abajo es tremenda, me se de alguno que hoy no duerme

aIvans

Uf, yo uso truecrypt, mejor no tocar nada por ahora, no?

1 respuesta
Pr177781

#137 que yo recuerde Truecrypt no tiene sistema de actualización automática, no creo que tengas ningún problema en seguir utilizando el que ya tienes instalado. Pero no actualices ni lo descargues de nuevo o en otros ordenadores.

1
Pr177781

Otra teoría:

"A ver, si han hackeado su web no tiene mucho sentido haber desarrollado una nueva versión de la app, utilizando el certificado correcto (que también tendrían que haber hackeado) para sacar una versión nueva en la que se bloquea la escritura, y se recomienda no usar la app.

En reddit hay una teoría más plausible: Esto es un Dead_man_switch, del tipo Canario. El gobierno americano suele mandar órdenes mordaza a muchos desarrolladores, en las que se les obliga abrir puertas a su software, o no parchear alguna que estuviera abierta y estén explotando, y a la vez se les impide anunciar tal orden. La solución: Publicar cada mes en algún rincón remoto "a fecha de X no hemos recibido ninguna orden mordaza". Cuando dejan de publicar el aviso en la fecha correspondiente, puedes asumir que sí que han recibido la orden. De esta forma no hacen ningún anuncio, acatan la orden, pero te avisan de que algo va mal.

Concretamente este tipo de aviso parece automatizado y no venir a cuento de nada. Es decir, que si por alguna razón dejan de publicar cambios o dejan de modificar el sistema, el sistema automáticamente lanza una última compilación y aviso de que no se actualiza más y de que no se use. Si les han impedido decir nada, se pueden haber quedado de brazos cruzados esperando a que el script de marras hiciera su labor.
"

http://www.meneame.net/story/truecrypt-no-seguro-segun-pagina-oficial/c016#c-16

1
H

Joder no conocía este hilo.

Muchísimas gracias por toda la información y los links #1, me parece un tema interesantísimo del que ahora se un poco mas (tampoco era muy difícil, no tenia mucha idea xD)

1
B

jajajajajaj

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues. (nótese el Not Secure As, NSA)

nerkaid

Interesantísimo thread, no lo conocía, a favoritos!

1
R

Desde que me enteré que navegar por redes wifi públicas con el móvil era peligroso, me interesa el tema de la seguridad y las VPN (estas ya las conocía pero ni siquiera sabía que había para Android).

Leyendo un poco la nueva lista que ha sacado TorrentFreak sobre los mejores VPN para cuidar tu anonimato, creéis que realmente NO graban logs como dicen o es simple farol?

Como es el caso de BTGUARD: "The jurisdiction is Canada. Since we do not have log files, we have no information to share. We do not communicate with any third parties."

Y si es así, realmente merece la pena contratar alguna VPN de esta lista TOP por lo poco que cuestan al año o preferís las VPN gratuitas?

He de decir que después de leerme la política de privacidad y términos de uso y demás, ninguna gratuita es que me haya dado muchísima confianza.

He olvidado poner el link: https://torrentfreak.com/which-vpn-services-take-your-anonymity-seriously-2014-edition-140315/

1 respuesta
Pr177781

#143 si utilizas Tor (I2P o similares) encima de la VPN dará igual que esa VPN sea de la mismísima NSA porque lo único que podrán ver es que te conectas a la red Tor. Por lo tanto da igual que sean gratuitas, de pago, voluntarias, etc. Mejor si es alguna de las recomendadas por los expertos, por supuesto.

Si la vas a utilizar sin Tor nunca podrás estar seguro de la información que guardan sobre ti y tus conexiones. En este caso prefiero VPNs voluntarias (y gratuitas) como las de VPN Gate, pero esto último es una opinión personal sin ninguna base.

http://www.vpngate.net/

1 respuesta
R

#144 Pero para usarlo así puntualmente cuando esté por ejemplo en algún sitio con el móvil en wifi es un poco lío VPN+TOR no? Además que por ejemplo con TOR no creo que me pueda meter a forear a MV por ejemplo, o irá lagadísimo xD

De todas formas no tenía ni idea que VPN-Gate tuviese app para android también, gracias, voy a echarle un vistazo.

1 1 respuesta
Pr177781

#145 para utilizarlo puntualmente las mejores opciones son:

Si no quieres pagar: VPN Gate.
Si quieres pagar: cualquiera de las que recomiendan en torrentfreak.

Yo hago todo a través de Tor, menos ver series y películas en streaming, incluso ver vídeos de Youtube a 480p. Estuve dos años o más con VPN (limitada a 2mb de ancho de banda, a veces a 512ks) + Tor y aunque se nota, no es tan grave como te puedas pensar. Si notas que te va lento le das a "nueva identidad" para que te busque otro circuito de Tor diferente y seguro que encuentras en seguida alguno que vaya bien.

Yo tampoco sabía que VPN Gate tiene app para Android (solo utilizo Tor ahora), gracias por el aviso.

1 1 respuesta
R

#146 Mola, miraré de probar ambas a la vez a ver qué tal.

Y hablando de TOR, ayer encontré un artículo bastante interesante en el blog de Chema Alonso respecto a lo que le pasó a un juanker en esta red y da lugar a debatir si realmente es tan "anónimo 100%" como dicen.

http://www.securitybydefault.com/2013/06/hacker-epico-edicion-hache.html

En resumen, el chaval creó un script para rastrear páginas ocultas en tor y el FBI detectó su propia IP con acceso a un foro de pedófilos, que terminó con la policía en su casa.

(O algo así, porque he ido leyendo de poco en poco) xD

1 respuesta
Pr177781

#147 las páginas de Tor no son secretas/ocultas, son anónimas. Cuando se habla de "hidden services" o "servicios ocultos" nos referimos a ocultos desde el punto de vista de alguien que está espiando nuestra conexión porque lo único que verá es que nos conectamos a Tor, no a qué web ni lo que hacemos. Cualquiera puede hacer un script que pruebe todas las combinaciones posibles de URLs onion.

Seguramente le pillaron por algún bug de su crawler. Estoy convencido de que le pasó más o menos lo mismo que a los de Freedom Hosting. Los de FH fueron identificados porque el FBI hackeó los servidores y metió malware que se aprovechaba de una vulnerabilidad de una versión obsoleta del Tor Browser. Solo con haber tenido Tor Browser actualizado los del FBI se habrían comido los mocos.

Tor, en teoría, es seguro hasta que se demuestre lo contrario. Las aplicaciones que utilizan Tor son las que pueden ser inseguras.

Aclaración para los novatos: Tor Browser no es Tor. Tor Browser es una aplicación que hace uso de la red Tor, pero son dos cosas totalmente diferentes.

2 2 respuestas
R

#148 Gracias por la aclaración, es interesante este mundillo de TOR y las VPN.

- OJO AL TOCHO (Debate de VPNs) -

Como me aburro y no curro, he estado leyendo el hilo de MV de Sabu el de LulzSecurity.

Estos son los que usaban la VPN HideMyAss y al final la empresa reveló sus datos al FBI, no?

Presuntamente por lo que leí, usaban HMA para hacer trastadas creyéndose anónimos 100% o que podían hacer lo que quisieran cuando en los términos de la propia VPN lo dejaban bien claro en el punto número 5, aunque no sé si está actualizada o no.

Tiene tela que siga siendo el VPN más usado (o de los que más) después de saber que esta gente realmente le pasa tus logs o info a terceros, por lo que parece, que no estoy seguro.

Parece ser que no ha ido el FBI con ninguna orden a pedirles nada sino que ellos han visto que hacían trastadas o bien fueron reportadas sus ips y se comenta que fueron los dueños de la VPN los que se pusieron en contacto con la propia policía.

Yo estoy mirando muy bien que VPN comprar para el móvil (teniendo como alternativa fija VPN-Gate) y me leo bien sus términos y su política de privacidad, aunque por ejemplo como yo no ando delinquiendo por ahí también me la suda un poco este aspecto, pero no está de más conocer qué hacen con tus datos.

Sin duda me quedo con BTGuard:

spoiler

O también con PIA:

spoiler

Me gusta esa política, pero eso sí, eso no impide que si tú haces algo malo y el FBI tenga una orden, ellos tengan que indagar, pero es que ya la tienes que liar en plan LulzSec o algo así xD

Una cosa es que tus datos no salgan a terceros ni a gobiernos jamás excepto por orden judicial y otra cosa es que ellos mismos ya cojan y te hagan la jugada de HideMyAss, por lo que sudando de esta última.

Lo bueno que tiene una VPN a diferencia de navegar con tu IP es que tu "huella" y logs circulan 4ever por la red pero las VPN (algunas) te borran dichos logs cada X tiempo (días, horas, etc) y puede parecer más seguro ya que te sientes con mayor intimidad por si luego tus datos personales pueden ser usados para lo que sea en un futuro.

Después de este tocho me voy a dormir y con suerte si mañana me levanto veo que alguno me haya citado y corregido algún punto o lo que sea y ya tengo para entretenerme y aprender xD

Bye!!

1 respuesta
Pr177781

#149 cualquier servicio que sea de pago, que no se pueda pagar con métodos de pago anónimos (bitcoin, ukash, paysafecard, etc.) o que te pida verificación de datos personales, nunca será anónimo. Cualquier servicio en el que tengas que acceder con tu propia IP, nunca será anónimo.

Por definición las VPNs no son anónimas. Para que sean anónimas tienen que cumplir estos requisitos, entre otros:

  • No ser de pago o admitir métodos de pago anónimos.
  • No pedir datos personales o no exigir verificación de ningún tipo.
  • No conectarte desde tu propia IP.

Solo con estos tres puntos no conseguirás un anonimato perfecto, pero si hay uno solo que no se cumpla, estás vendido. Da igual que guarden logs o no, es más, siempre debes pensar que los guardan aunque digan lo contrario. No vale eso de decir "estos dicen que no guardan logs así que voy a hackear el pentágono", y cuando te pillen llorar diciendo "si es que me dijeron que no guardaban logs, señor agente de la NSA". En estos temas hay que seguir una máxima y actuar en consecuencia:

Todo está comprometido, nada es seguro.

Por eso siempre recomiendo, como mínimo, VPN + Tor. No te puedes fiar solo de Tor así que escondes el origen de tu conexión con una VPN. No te puedes fiar solo de la VPN así que escondes el destino y contenido de tu conexión con Tor. Quien dice Tor dice I2P o cualquier otro sistema similar.

Por todo esto no entro nunca en discusiones de cuál es la mejor VPN desde el punto de vista del anonimato y la privacidad, porque, en el fondo, es irrelevante. La respuesta siempre será: por sí sola, ninguna.

Si lo que te importa no es el anonimato si no, por poner un ejemplo, la seguridad en puntos de acceso públicos la respuesta sería: cualquiera que tenga un cifrado decente.

En cuanto a lo de tu huella y logs, en ningún sitio se guardarán "4ever", existen límites físicos y económicos que hacen que eso sea imposible. Muchos logs no aguantan más de un par de años y la mayoría son borrados en unos pocos meses. Solo en grandes empresas como Twitter, Facebook, Google, etc. tienen los recursos necesarios para guardarlos durante más tiempo (sin contar agencias tipo NSA o su equivalente patrio el CNI, claro).

Para lo de LulzSec tengo dos teorías. O eran gilipollas y no sabían lo que hacían, o HideMyAss es un honeypot. Me decanto por la primera opción. De hackear seguramente sabrían mucho, pero de privacidad y anonimato parece que no. Pero claro, sabíendo que en Estados Unidos te pueden obligar a vender a tus clientes y no puedes decir nada en público porque encima terminas tú en la cárcel o que si no pasas por el aro te acosan hasta que terminas suicidándote... nunca sabremos lo que pasó realmente.

3 1 respuesta