20160623 - LISBOA - Workshop Privacidade

7/25/2019 20160623 - LISBOA - Workshop Privacidade

http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 1/57

Recuperar a

privacidadedigital



Sou o Rui Cruz

◉

Diretor de informação do órgão de comunicaçsocial Tugaleaks◉ Fundador do Hackers Portugal◉ Blogger há 13 anos◉ Entusiasta da Internet, defensor da privacidade

Olá!



Aquilo que eu não sou…

◉

Hacker◉ Criminoso (o meu registo criminal está limpinh◉ Defensor de criminosos◉ Má pessoa (mas isso é discutível)

Olá!



Esta apresentação não teria sido possível sem◉ A ajuda do PAN na cedência do espaço◉ Os QR Codes do www.goqr.me◉ A justiça portuguesa (que ironicamente cr

necessidade de eu usar no dia-a-diaferramentas para proteger a minha vida one pessoal)

Agradecimentos (gosto de agradecer no iní cio )



Neste workshop iremos mostrar váriasferramentas, acompanhadas de QR Codes.

◉ Android: QR Code Reader◉

iPhone: NeoReader®

- QR & Mobile BarcoScanner

Usamos QR Codes



Para que serve este workshop?

Para ficares a saber… ◉ O que é a segurança na Internet◉ Como te podes manter seguro (ou mais s◉ Ferramentas para te manteres seguro

Bora lá?



“

"Arguing that you don't care about the righ

privacy because you have nothing to hide idifferent than saying you don't care aboutspeech because you have nothing to say

Edward Snowden



InternetMost Internet traffic will be encrypted by year end

Fonte: Fortune.com – 30 de Abril de 2016

WWW



Encriptar/cifrarO uso da Internet nochamado “plaintext” permiteque outras pessoas “leiam” oque estás a fazer. Quer sejanuma rede wifi pública(McDonalds, Centroscomerciais, etc.) ou na tuacasa.

Segurança na Internet

Proteger o nosso disMas não basta comuforma segura. É precainda proteger o quechega e o que enviaseja, o nosso hardw(telemóvel, PC, table



Os hackers ao virar daesquina

Grey White Black



As redes de telecomunicaçõesestão vulneráveis





http://ss7map.p1sec.com/country/Portugal/





http://expresso.sapo.pt/politica/mais-de-2100-colaboradores-da-optimus-com-acesso-livre-a-registos-de-chamadas



https://www.publico.pt/politica/noticia/ministra-da-justica-perde-batalha-da-concentracao-de-escutas-na-pj-1676079



http://www.nbcnews.com/news/us-news/intelligence-director-clapper-snowden-advanced-encryption-technology-sev



Android

Signal WhatsApp Applock Orbot (Tor p/ Android)

CloudVPN



iPhone

Signal WhatsApp Onion Browser VPN in Touch



Desktop

Signal Desktop Tor Browser VeraCrypt TorGuard

Hack.chat



Signal

O Signal permite encriptar comunicações(vos/SMS/MMS/contactos/etc) com outrosutilizadores Signal. Funciona através da Inter

Na minha opinião, a sua maior vantagem é arecomendação é o seu código aberto (pode alvo de auditorias, como já foi) e a recomendque o Snowden deu para usar este software



Signal

Para instalares o Signal, procura o Signal na PStore ou App Store.

https://whispersystems.org/



Signal

Depois de instalado, o modo de configuraçãosimples:

É necessário introduzir o número de telemóv

para comunicar. A confirmação é feita por SMSe não receberes a SMS, ele liga-te passado segundos.



Signal

Depois, ele pergunta-te se queres associar aaplicação de mensagens padrão ao Signal. Oseja, passas a receber as SMS no Signal. Escoo que achares melhor.

Em seguida, é preciso configura-lo: colocar upassword e impedir que se tirem screen sho



Signal



Signal

O resultado final é umaaplicação para enviar e receberSMS. Para quem usa Signal,pode enviar e receber outro

tipo de conteúdo encriptado,através da Internet, incluindoMMS de “borla”. Sempossibilidade de intercepção.



Signal

Além de podermosalterar a cor da conversa,se estivermos com apessoa ao nosso lado,

podemos aindaconfirmar a identidade dapessoa, fazendo “scan”do seu QR Code



Signal Desktop

O Signal também tem uma versão Desktop,através do Google Chrome, para sincronizar Android (iOS ainda não disponível) com o PCPodes por isso enviar SMS encriptadas e fich

multimédia através do teu computador tal cose estivesses a usar o teu Smartphone. Asmensagens trocadas pelo Signal sincronizamnos dois dispositivos.



WhatsApp

O WhatsApp é propriedade da empresa queo Facebook. No entanto, como foi visto pelo do bloqueio do WhatsApp no Brasil, a emprenão tem qualquer informação sobre as conv

porque elas desde há alguns meses sãoencriptadas.

A criptografia do WhatsApp é baseada no Si



WhatsApp

Open Whisper Systems partners with Whatsto provide end-to-end encryption - 18 deNovembro de 2014https://whispersystems.org/blog/whatsapp/

WhatsApp's Signal Protocol integration is nocomplete – 5 de Abril de 2016https://whispersystems.org/blog/whatsapp

complete/



Signal

A desvantagem do WhatsApp é que não foifeito em código aberto,impedindo uma auditoria

independente.A vantagem é que a maioriadas pessoas já o usa no seudia-a-dia.

https://www.what



Signal



Smart Applock

Não fazia sentido protegermos asnossas comunicações sem protegero resto do telemóvel.

Protege aplicações (Facebook,Contactos, Fotos, etc.) com váriostipos de protecção (password,números, etc.).







VPN in Touch

Esta VPN é para iPhone. Permitetambém vários servidores de váriospaíses e é segura, com testes feitospor terceiros meus conhecidos.

A desvantagem é ter opções pagas,e “chamar” muito à compra.



TorGuard

A TorGuard é a VPN querecomendo. Está disponível para

Windows, Mac, Linux, Android,iPhone e outros dispositivos menos

comuns. Tem servidores emliteralmente todo o mundo,incluindo Portugal.https://torguard.net/images/ioslogo

png



TorGuard

Outras funções:◉ Stealth VPN: evita a detecção por DPI (Dee

Inspection) dentro das empresas ou órgãopolícia que estejam a monitorizar o teu trá

◉ Usa servidores de DNS da TorGuard◉ KillSwitch: se ficares sem acesso à VPN el

que o teu IP real seja mostrado◉ Entre outras



TorGuard

Preço:◉ 9.99$ por mês◉ Cupão com 50$ de desconto: TGLifetime5

www.torguard.net



Ainda sobre Android

É impossível não falar de privacidade sem faopção que Android tem de encriptar o seusistema. Em Defenições > Segurança > Encriptelefone, podes fazê-lo facilmente.

Uma vez que essa opção demora tempo (cer30 minutos a uma hora) não pode seracompanhada aqui.



Ainda sobre Android

No entanto, aqui fica umtutorial, com imagens, de comoencriptar o telefone Android:

http://pplware.sapo.pt/smartphones-tablets/android/dica-como-proteger-toda-a-informacao-do-seu-android/



Rede Tor

A rede Tor (Tor network) é uma rede com doterminados em .onion (em vez de .com ou .ppermite comunicar de forma anónima dentrorede. Além de aceder aos domínios .onion (a

chamada deep web ou dark net – dependentermos e dos tipos de sites) a rede Tor permiaceder aos endereços Web “normais”, masocultando o IP e a localização da pessoa que





Downloads do Tor para…

Android: iOS De



Orbot

Orbot é um browser Tordentro do teu dispositivoAndroid. Permite funcionartal e qual um browser

“normal”, mas esconde o teuIP e localização. Veremosmais à frente porque é quedevemos usar o Tor.



Onion Browser

O Onion Browser faz omesmo para o iPhone que oOrbot faz para Android.



Tor

O Tor Browser é uma versão modificada do que funciona em Windows, Linux e Mac OS,configurações avançadas da rede Tor,nomeadamente da forma como nos ligamos

Como exemplo, para os países em que o tráfrede Tor é bloqueado, é possível fazer-se cotráfego seja “passado” todo por IPs do Googldissimulando o verdadeiro uso do Tor.



VeraCrypt

O VeraCrypt - https://veracrypt.codeplex.coé um software que encripta o teu disco em

Windows. O software funciona da seguinteforma:

◉ Instalas o .exe como qualquer outra aplica◉ Programas a aplicação para encriptar o te

disco rígido◉ Ele faz um teste ao disco e reinicia o teu

computador.



VeraCrypt

◉ Pede-te uma password (que especificasteanteriormente) para acederes ao Window

◉ Se tudo funcionar, ele inicia o Windowsnormalmente e começa o processo de cifr

dados

Na prática: Quem quiser aceder ao teucomputador, precisa de uma password. Casocontrário, os dados são “ilegíveis”.



VeraCrypt



VeraCrypt

Algoritmos disponíveis:◉ AES◉ Serpent◉ Twofish

◉ AES-Twofish (em cascata)◉ AES-Twofish-Serpent (em cascata)◉ Serpent-AES (em cascata)◉ Serpent-Twofish-AES (em cascata)◉ Twofish-Serpent (em cascata)



Notas sobre passwords

Temos falado aqui sobre cifrar comunicaçõesproteger dados com password. Mas e se algu(juiz, polícia, etc.) te pedir essa password?

Não és obrigado a fornecer qualquer passwoSe sabes passwords de alguém e és ouvido nqualidade de testemunha, para seres obrigaddar a password à justiça, fala com um advogpede para te constituírem como arguido.



Hack.chat

Há por vezes momentos em que nãoconseguimos instalar nada disto. Para os casoque “temos pressa”, recomendo o uso dowww.hack.chat.

Ao entrarem no site, escolhem (de uma salarandom) ou criam uma sala e convidam a outpessoa através do link do browser.A pessoa entra e comunicam em segurança. Jlike that.



Alguns sites interessantes

◉ www.seedr.cc – este é um site onde te poregistar e fazer downloads de torrents na“cloud”, sem o teu ISP limitar ou monitorizteu tráfego.

◉www.revolucaodosbytes.pt/ahoy/ - o Ahuma ferramenta para desbloquear sites emPortugal (normalmente sites piratas) atravuso de proxys. Actualmente são 563 os sitbloqueados.




◉ www.protonmail.ch - o maior e-mailencriptado do mundo, onde usas duaspassword (uma para entrar e outra para amailbox cifrada). O código do Protonmail

aberto e pode ser auditado.◉ www.epicbrowser.com – um browser ao

do Chrome, mas que não guarda qualquerinformação. Usas, fechas, e quando voltasabrir é como se o abrisses pela primeira v




◉ www.pluralsight.com/kids-courses - se tefilhos que já saibam inglês fluente, aprovedá-lhes cursos grátis para aprenderem aprogramar.

◉www.duckduckgo.com - um motor depesquisa que não guarda logs, nem tempesquisas parsonalizadas pelos teus intereOu seja, um anti-Google.



Ficou alguma questão?

Comunica comido por:

◉ Facebook: www.fb.com/ruicruzpontopt/◉ Twitter: @ruicruz◉ Mail: [email protected]◉ Signal: +351 96 827 1502

Obrigado!

Documents

20160623 - LISBOA - Workshop Privacidade