#SinMordazas Guiá rápida para burlar la Ley Mordaza

Llegó el momento, la #LeyMordaza promovida por el Partido Popular, evolución de Alianza Popular, partido fundado por destacados miembros del régimen fascista instaurado por Franco tras dar un golpe militar que acabaría con la incipiente democracia que trataba de instaurar la República.

El disparate pergeñado por los señores de los sobres no se aplicará solo a lo que digas en redes sociales, también por donde navegues puede convertirte en un delincuente.

Vamos a ver una serie de consejos básicos de auto protección digital para evitarnos problemas en esta distopía fascista que nos está tocando vivir:

Cifra tu dispositivo

El que uses para las redes sociales, tu smartphone, tu ordenador, la tablet…

Android dispone de un cifrado fuerte del dispositivo, pon una clave que no sea fácil de adivinar ni un pin de 4 dígitos.

En Linux usa Luks.

En sistemas operativos cerrados como Windows o MacOS no esperes el mismo nivel de privacidad, aun así dispones de Veracrypt para Windows y FileVault en MacOS. Mejor hazte un USB con Tails, un entorno seguro y con las comunicaciones cifradas usando la red Tor.

Cifra tus comunicaciones

Aquí disponemos de varias opciones según la paranoia o la comodidad que queramos:

VPN con PrivateInternetAccess, fácil de configurar en smartphones y tablets Android, así como en Windows, Mac y Linux.

Disponen de nodos de salida en multitud de países fuera de la UE y muy buena relación con la EFF.

VPN a Tor con NordVPN, también fácil de configurar, no disponen de tantos nodos de salida pero añaden una característica interesante, enrutan tu tráfico desde la VPN a través de la red Tor, lo que ofrece un plus de privacidad.

Con estas dos primeras opciones todo el tráfico que salga de nuestros dispositivos irá a través de estas redes cifradas.

Las app para Android no necesitan que el dispositivo esté rooteado para que todo el tráfico vaya a través de la VPN.

TOR Browser, se trata de un navegador web para PC que envía nuestra navegación a través de esta red cifrada, borrando el historial de los sitios visitados al cerrarlo. Ojo, cualquier otra aplicación enviará su tráfico por la red normal.

Para Android existe Orbot que permite navegar sobre Tor o bien hacer pasar todo el tráfico a través de esta red si disponemos de un dispositivo rooteado.

Cifra tus emails

Olvida seguir usando el interfaz web de tu cuenta de correo, instálate Thunderbird con la extensión Enigmail.

Cifra tu mensajería instantánea

Whatsapp o Telegram son muy cómodos de usar, pero es mejor usar un sistema libre como Jabber con cifrado OTR.

En España tenemos singuasa.org, donde te puedes crear una cuenta gratuita.

Dispones de clientes para Windows y Linux como Pigdin, Adium para Mac y Conversations o Chatsecure para Android.

Cifra tus SMS y llamadas de teléfono

Para Android tenemos Textsecure y Redphone, también conocido como Signals en iPhone.

Editado: Redphone tiene su servicio en EE.UU, más allá de la desconfianza sobre el país que promueve el TTIP y sobre todo la CISA, está el tema de latencia en las comunicaciones, que penaliza bastante este servicio.

En Europa tenemos varios servicios gratuitos de VoIP con cifrado fuerte, os recomiendo Linphone, disponible para Android, iOS, Windows Phone y también Linux, OSX y Windows de escritorio.

Cosas a tener en cuenta

No sirve de nada tomar todas estas precauciones si luego navegamos a través de la VPN usando Chrome logados con nuestra cuenta de Google, la cual registra todo lo que visitamos, buscamos, etc.

También hay que tener en cuenta el protocolo WebRTC soportado por casi todos los navegadores web, tanto en PC como en dispositivos móviles. Empleando WebRTC se puede filtrar tu dirección IP real, la IP local que tienes en la red de tu casa, incluso hacer un escaneado para ver que otras máquinas hay conectadas en tu red. Guía para desactivarlo en algunos navegadores web.

Hay otros servicios de correo https://www.openmailbox.org/ y para activistas http://www.autistici.org/es/ y https://help.riseup.net/, recuerda que son servicios mantenidos por activistas, colabora económicamente para ayudar a mantenerlos si los usas.

También existen otros buscadores como https://duckduckgo.com/ y https://startpage.com/, también existen alternativas a Google Maps como OpenStreetMaps,  y aplicaciones de mapas y navegación para móviles que no dependen de ninguna gran corporación que trafica con nuestros datos.

Si tu smartphone Android no está rooteado y sigues usando las aplicaciones de Google, se consciente de que estas envían mucha información de tu dispositivo a su matriz, sobre todo si usas la función de backup del sistema, que envía hasta tus claves WiFi.

Otra cosa “divertida” que hace tu Android es ir enviando por WiFi los datos de las redes en las que has estado conectado previamente, lo cual puedes evitar usando esta app.

Tampoco uses servicios como Google Drive, Dropbox, etc. para almacenar tus archivos “serios”. Puedes contratar espacio online en sitios como https://www.owncube.com/, por 18€ al año dispones de hasta 50GB de espacio en servidores localizados por todo el planeta a elegir. Y hay aplicaciones de owncloud para PC, smartphones y tablets sencillos de usar como el de Dropbox. Este servicio permite el pago anónimo usando PaySafeCard.

Y más cosas que veremos en próximos posts.

Aquí tenéis varías guías en castellano de la EFF para el uso de muchas de las cosas que he comentado antes: https://ssd.eff.org/es/

Las peores passwords de 2014

Como todos los años al comenzar enero son varias las firmas que publican un listado de las peores claves que puedes usar.

En este caso se trata de la lista de SplashData, que basa su listado en la información filtrada de más de 3 millones de usuarios durante 2014.

1.-    123456 (Nº1 desde 2013)

2.-    password (Sin cambios)

3 .-   12345 (Sube 17 puestos)

4 .-   12345678 (Baja 1 puesto)

5.-    qwerty (Baja 1 puesto)

6.-    1234567890 (Sin Cambios)

7.-    1234 (Sube 9 puestos)

8.-    baseball (Nueva)

9.-    dragon (Nueva)

10.-    football (Nueva)

11.-    1234567 (Baja 4 puestos)

12.-    monkey (Sube 5 puestos)

13.-    letmein (Sube 1 puesto)

14.-    abc123 (Baja 9 puestos)

15.-    111111 (Baja 8 puestos)

16.-    mustang (Nueva)

17 .-   access (Nueva)

18.-    shadow (Sin Cambios)

19.-    master (Nueva)

20.-    michael (Nueva)

21.-    superman (Nueva)

22 .-   696969 (Nueva)

23.-    123123 (Baja 12 puestos)

24.-    batman (Nueva)

25 .-   trustno1 (Sube 1 puesto)

Recordemos algunas recomendaciones sobre el tema de las claves:

1.- Usa claves largas, de 12 o más caracteres, incluye letras números y símbolos.

2.- No uses la misma clave para diferentes servicios, si uno se ve comprometido, el resto también lo estarán.

3.- Usa un gestor de contraseñas de los que ya hablé aquí hace tiempo,  podrás permitirte usar claves más seguras y largas que las que un cerebro normal es capaz de retener.

 

Sobre el cifrado a prueba de gobiernos de iOS 8

iOS 8

Una de las nuevas funcionalidades que ofrece la recién estrenada iOS 8 a los dispositivos iPhone e iPad de Apple es el cifrado mediante clave derivada a partir del PIN de los datos que contiene, incluidos los dispositivos antiguos que soporten la actualización a esta nueva versión del sistema operativo.

Dicho cifrado protegido por una clave derivada basada en el código PIN, descrito con detalle en la guía de seguridad iOS de Septiembre,  imposibilitaría a la propia Apple a descifrar el contenido de uno de estos dispositivos ante cualquier petición por parte de gobiernos, agencias y fuerzas de seguridad, y así lo han anunciado en su web hace unos días, Apple cannot bypass your passcode and therefore cannot access this data. So it’s not technically feasible for us to respond to government warrants for the extraction of this data from devices in their possession running iOS 8.

Dado que el proceso criptográfico está ligado a datos únicos que cada procesador lleva al salir de fábrica, el atacante/gobierno necesitaría probar las posibles combinaciones en el propio dispositivo.

Más allá del lavado de cara de Apple con esto, el cual ha forzado a Android a anunciar que el cifrado de dispositivo (disponible desde hace tiempo) vendrá activado de serie en su próxima versión, Apple se ha dejado alguna puerta abierta que posibilitaría a la maquinaria coercitiva del gobierno acceder a lo que creemos que está seguro en nuestro dispositivo.

En aras de la máxima facilidad de uso iOS 8 permite que iTunes y XCode (esto les sonará más a los desarrolladores de apps) se conecten y tengan acceso a los datos que hay en el dispositivo incluso cuando este desconecta la pantalla y se bloquea, sin necesidad de ningún PIN o password para tener acceso al contenido del iPhone/iPad.

Esto sucede al tener pareado el dispositivo con el iTunes o Xcode del ordenador porque iTunes/Xcode se quedan con una copia de las llaves de cifrado del dispositivo para permitir esta funcionalidad (es un poco más complejo lo que parece hacer iTunes, pero no intento que esto sea un artículo técnico) que no necesitan de código PIN o clave alguna para funcionar, tan cómoda como insegura.

Si un agente del gobierno nos requiere el dispositivo, la mejor opción es apagarlo, ya que hasta que no metemos el PIN por primera vez tras volverlo a encender, el sistema que permite a iTunes conectarse no está operativo y siempre podremos alegar que no recordamos el PIN de acceso, sin opción a que puedan ir a nuestro domicilio a conectarlo al ordenador con iTunes.

Nota: Esto solo ha sido una pequeña prueba de concepto sin utilizar herramientas forenses ni complicados métodos de ataque buscando vulnerabilidades, tan solo un iPad con iOS 8, un PIN para bloquearlo y un ordenador con la última versión de iTunes pareado con el dispositivo.