Portada
De Undersurveillance
Guía práctica de autodefensa digital para activistas.
[editar] Aviso de copyleft/devolución
[editar] Prólogo/Advertencia
Esto no es un libro de lectura, es un libro de uso, pretendemos que la idea del HazloTuMismo sea transversal en el libro. Te necesitamos para construir la revolución, y no podemos permitir que un ente externo pueda interferir en nuestras comunicaciones ni en nuestros pensamientos.
No mires, piensa, no leas, interactúa.
[editar] 5º Kyu: Introducción
- 1984 es ahora. La vigilancia activa de gobiernos y corporaciones.
- ¿Qué es y por qué cifrar nuestras comunicaciones?
- ¿Cómo comprobar su presencia?
[editar] 4º Kyu: Sentido común
- ¿Por qué usar GNU/Linux?
- ¿Debemos abandonar el correo de Hotmail?
No hace mucho FACUA adviertió a Microsoft que las condiciones que imponía a los usuarios de Hotmail y Messenger vulneraban el secreto de las comunicaciones, la Ley Orgánica de Protección de Datos y la LSSICE.
Todos recibimos correos electrónicos con publicidad de hotmail y otros servidores oscuros, la coletilla publicitaria que añaden al final de cada mensaje muchas veces está relacionada con el contenido del mensaje, esto solo quiere decir una cosa: Microsoft espía e interpreta los mensajes enviados a través de hotmail para determinar el tema de la conversación y asignar la publicidad más relacionada.
Lo peor de todo es que los usuarios le permiten hacerlo aunque vaya en contra del artículo 18 de nuestra Constitución que garantiza el derecho a la intimidad personal y secreto de las comunicaciones.
Microsoft lo deja bien claro en algunas de sus cláusulas de uso:
La compañía se otorga el poder de "modificar, negarse a exponer o quitar cualquier información o material, en todo o en parte, a la entera discreción de Microsoft" y " dar por terminado su acceso a alguno o a todos los Servicios de comunicación en cualquier momento, sin previo aviso, por cualquier razón".
La empresa "se reserva el derecho a revisar los materiales expuestos" en servicios de comunicación como correos electrónicos, zonas de charla, boletines electrónicos, grupos de noticias, foros, comunidades, páginas web personales y contenedores de archivos.
¿Necesitamos más razones?
- Eligiendo buenas contraseñas
- Tu movil, tú y la asamblea.
- La conexión wifi de tu vecino del quinto.
La introducción cada vez más compulsiva e intrusiva de nodos wireless en los núcleos urbanos de grandes y medianas ciudades está dando paso a un nuevo nivel de inconsciencia en el ámbito de las comunicaciones. Un océano de datos atraviesa nuestra cabeza en forma de ondas en todo momento.
Los operarios de las compañías de telefonía han inundado las ciudades en redes de comunicación inalámbrica. Las redes, por definición, conectan a todos con todos, y por lo tanto, son muy inseguras.
Con el suficiente tiempo y previsión se pueden interceptar todos los mensajes que se transmitan en redes wireless encriptadas, actualmente todos los algoritmos de cifrado de los protocolos inalámbricos 802.11 habituales se pueden romper.
En la actualidad el único algoritmo que garantiza la seguridad es WPA que sólo lo hace bajo determinadas circunstancias: con una clave de más de 20 caracteres que no sea susceptible de ataques con diccionario.
- Otros gérmenes: Keyloggers, virus, trojanos.
[editar] 3er Kyu: Libera tu máquina.
- Infectado tu sistema con software libre.
- Primeros pasos con una distribución viva.
- Liberando la máquina. Instalación de GNU/Linux.
[editar] 2o Kyu: Criptografía, rudimentos.
- Un poco de historia
- Cristina y Lidia se conocen.
[editar] 1er Kyu: Defensa activa.
- Correo cifrado. (thunderbird)
- Mensajería instantánea cifrada. (gaim)
- Navegación anónima con nodos cebolla. (tor+privoxy)
[editar] 1er Dan: Sellando la cripta
- Monitorizando tu red.
- Defensa en redes locales.
Existen dos tipos de redes de área local:
Cableadas Inalámbricas
Las redes cableadas no garantizan la privacidad ni la integridad del mensaje: un terminal conectado a una red cableada puede tanto interceptar todos los mensajes que circulen por esa red como inyectar tráfico con un uso ilícito. Su seguridad reside en otro concepto: la interfaz de comunicación.
La conexión "física" necesaria para acceder a la red es nuestra mejor contraseña, si bien la seguridad no se ha eliminado por completo si hemos incluido una barrera más en nuestra seguridad digital: la llave de la puerta que da acceso a nuestra red.
En las redes inalámbricas no existe esta llave. Esto las convierte en el punto débil de todo sistema de comunicación inalámbrica. Si además notamos que los puntos de acceso suelen encontrarse fuera de control del firewall las torna toda una puerta abierta a intrusos en nuestra red.
NOTA-contexto: En el sistema telefónico intercontinental, a pesar tener fuerte componente digital, está asentada sobre bases analógicas. Por los cables telefónicos que conectan todas las industrias y viviendas circula información analógica susceptible de ser interceptada. A esta práctica se la denomina en la terminología anglosajona como Beige-Box.
Hacer Beige-Box es fácil: basta con tener un teléfono normal y corriente. Busca un palo telefónico que infectar y acechalo por la noche. Abre la tapa haciendo palanca con un destornillador.
NOTA-contexto2: ¿Palanca? ¡Que gran descubrimiento! Usemos el conocimiento adquirido de las leyes físicas que gobiernan nuestro mundo.
Pela los cables de tu teléfono y conectalos a los bornes de cualquier abonado. Podrás escuchar conversaciones y realizar comunicaciones.
Usa cajas telefónicas cercanas a urbanizaciones de lujo si quieres realizar algún tipo de comunicación, no abuses y cambia continuamente de abonado y de caja.
Existen muchas formas de filtrar el acceso a intrusos en una red inalámbrica aquí mostramos algunas ordenadas por importancia:
0. Cambiar la contraseña por defecto del punto de acceso. ¡Qué gran idea!
El punto de acceso es visible por todos los clientes que se encuentren en tu área de cobertura, todos tienen una contraseña instalada por defecto si no se la cambias tú. Quien tiene acceso a la configuración de tu punto de acceso tiene control total sobre la red. ¿De verdad quieres que tu única protección desaparezca cuando un intruso teclee 'admin' como contraseña en un terminal?
1. Usar WEP... y así quitarnos al hijo del vecino de enmedio.
Si bien el algoritmo de cifrado de redes WEP impone la restricción de poseer unos conocimientos mínimos, el proceso de desencriptado del protocolo WEP se ha socializado entre la multitud conectada, el protocolo que nació como la equivalencia de seguridad cableada (Wired Equivalent Privacy) fue roto a los pocos meses por los hackers de nuestro mundo.
Nota-contexto: Socializar el acceso a la red versus privacidad-personal.
2. Usar WAP... para sentirnos algo más seguros?
WAP es con diferencia la alternativa más segura, es posible que tu punto de acceso si es muy viejo no lo soporte, aunque siempre puedes actualizar el firmware de tu dispositivo. Usar WAP en tu red wireless doméstica es sencillo, lo primero es configurar el punto de acceso (y ponerle una contraseña si no la tenías antes):
Pon en tu navegador la IP del Punto de Acceso, si no la sabes, buscala: comprueba el manual o si no lo tienes bájatelo de la web del fabricante. Una vez hayas accedido al menú de configuración del punto de acceso navega hasta encontrar la opción de seguridad y marca el protocolo WAP, te pedirá una contraseña, apuntala para despues configurar los equipos que quieras conectar.
Configurar tu pc es muy sencillo, basta con instalar el programa Network Manager (Ubuntu lo lleva de serie):
$ sudo apt-get install network-manager
O si prefieres el interfaz para KDE:
$ sudo apt-get install knetworkmanager
3. Cambiar el SSID por defecto. - Cuanto menos sepan, mejor. Los puntos de acceso de muchas redes instaladas por telefónica en el estado español siguen una correlación con el password por defecto, además de dar información sobre el aparato que sirve el acceso
4. Desactivar el broadcasting SSID. - No llamar la atención. Si desactivas el broadcasting SSID provocarás que tu red no sea visible a ningún intruso, haciendo del SSID una contraseña de acceso extra. Aunque tampoco debemos engrandecer el aumento de seguridad del sistema, un ataque por airjack desautentificaría a todos los clientes escuchando en la reconexión el SSID oculto, que se transmite como texto plano.
5. Activar el filtrado por direcciones MAC. Puedes introducir la dirección MAC de tu tarjeta inalámbrica en tu punto de acceso como medida de seguridad extra y así filtrar la identidad de todos los nodos conectados a la red y administrar individualmente el acceso.
Puedes averiguar la dirección MAC de cada cliente con ifconfig (suponiendo que tu interfaz inalámbrica sea eth0):
lot@moab:~$ ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:01:4A:CA:B2:E6
Para darle acceso a la red tenemos que buscar en el menú de nuestro punto de acceso dicha opción y activar la dirección.
6. Establecer el número máximo de dispositivos que pueden conectarse. Si en algún momento no puedes conectar a tu red sabrás que alguien te está espiando.
7. Desactivar DHCP Al no poder solicitar automáticamente una dirección a la red el atacante inexperto se detendrá.
8. Desconectar el AP cuando no lo uses. A pesar de que esto no llega ser en si misma una gran medida de seguridad, si no llamas la atención ni tampoco ofreces una señal continua, restringes las oportunidades que pueda tener un atacante en penetrar en tu red.
9. Manten el firmware de tu punto de acceso actualizado. El firmware es el programa que hace funcionar el punto de acceso. Los fabricantes suelen actualizarlo para cubrir parches de seguridad, o incluso mejorar las prestaciones del mismo, tener nuestro interfaz inalámbrico actualizado siempre es buena idea.
Puedes conectarte de vez en cuando a la web del fabricante para comprobar nuevas versiones, descargatela y actualiza tu interfaz.
Vamos a asumir que tienes un punto de acceso y un equipo con una tarjeta inalámbrica, con eso ya tienes tu red de área local inalámbrica, también asumimos que quieres, al menos, tener una web cifrada por WPA y que no tenga el password por defecto.
- Cifrando sistemas de ficheros.
[editar] Conclusiones y arengas varias. / Recuerdos para el futuro.
[editar] Referencias y enlaces.
http://nonumerable.net/disco-duro-cifrado-con-truecrypt/
[editar] Organización
- Echar un vistazo a http://www.bastille-linux.org/
- Otro a http://help.riseup.net/security/about/
