20160623 - lisboa - workshop privacidade
TRANSCRIPT
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 1/57
Recuperar a
privacidadedigital
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 2/57
Sou o Rui Cruz
◉
Diretor de informação do órgão de comunicaçsocial Tugaleaks◉ Fundador do Hackers Portugal◉ Blogger há 13 anos◉ Entusiasta da Internet, defensor da privacidade
Olá!
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 3/57
Aquilo que eu não sou…
◉
Hacker◉ Criminoso (o meu registo criminal está limpinh◉ Defensor de criminosos◉ Má pessoa (mas isso é discutível)
Olá!
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 4/57
Esta apresentação não teria sido possível sem◉ A ajuda do PAN na cedência do espaço◉ Os QR Codes do www.goqr.me◉ A justiça portuguesa (que ironicamente cr
necessidade de eu usar no dia-a-diaferramentas para proteger a minha vida one pessoal)
Agradecimentos (gosto de agradecer no iní cio )
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 5/57
Neste workshop iremos mostrar váriasferramentas, acompanhadas de QR Codes.
◉ Android: QR Code Reader◉
iPhone: NeoReader®
- QR & Mobile BarcoScanner
Usamos QR Codes
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 6/57
Para que serve este workshop?
Para ficares a saber… ◉ O que é a segurança na Internet◉ Como te podes manter seguro (ou mais s◉ Ferramentas para te manteres seguro
Bora lá?
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 7/57
“
"Arguing that you don't care about the righ
privacy because you have nothing to hide idifferent than saying you don't care aboutspeech because you have nothing to say
Edward Snowden
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 8/57
InternetMost Internet traffic will be encrypted by year end
Fonte: Fortune.com – 30 de Abril de 2016
WWW
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 9/57
Encriptar/cifrarO uso da Internet nochamado “plaintext” permiteque outras pessoas “leiam” oque estás a fazer. Quer sejanuma rede wifi pública(McDonalds, Centroscomerciais, etc.) ou na tuacasa.
Segurança na Internet
Proteger o nosso disMas não basta comuforma segura. É precainda proteger o quechega e o que enviaseja, o nosso hardw(telemóvel, PC, table
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 10/57
Os hackers ao virar daesquina
Grey White Black
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 11/57
As redes de telecomunicaçõesestão vulneráveis
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 12/57
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 13/57
http://ss7map.p1sec.com/country/Portugal/
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 14/57
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 15/57
http://expresso.sapo.pt/politica/mais-de-2100-colaboradores-da-optimus-com-acesso-livre-a-registos-de-chamadas
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 16/57
https://www.publico.pt/politica/noticia/ministra-da-justica-perde-batalha-da-concentracao-de-escutas-na-pj-1676079
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 17/57
http://www.nbcnews.com/news/us-news/intelligence-director-clapper-snowden-advanced-encryption-technology-sev
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 18/57
Android
Signal WhatsApp Applock Orbot (Tor p/ Android)
CloudVPN
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 19/57
iPhone
Signal WhatsApp Onion Browser VPN in Touch
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 20/57
Desktop
Signal Desktop Tor Browser VeraCrypt TorGuard
Hack.chat
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 21/57
Signal
O Signal permite encriptar comunicações(vos/SMS/MMS/contactos/etc) com outrosutilizadores Signal. Funciona através da Inter
Na minha opinião, a sua maior vantagem é arecomendação é o seu código aberto (pode alvo de auditorias, como já foi) e a recomendque o Snowden deu para usar este software
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 22/57
Signal
Para instalares o Signal, procura o Signal na PStore ou App Store.
https://whispersystems.org/
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 23/57
Signal
Depois de instalado, o modo de configuraçãosimples:
É necessário introduzir o número de telemóv
para comunicar. A confirmação é feita por SMSe não receberes a SMS, ele liga-te passado segundos.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 24/57
Signal
Depois, ele pergunta-te se queres associar aaplicação de mensagens padrão ao Signal. Oseja, passas a receber as SMS no Signal. Escoo que achares melhor.
Em seguida, é preciso configura-lo: colocar upassword e impedir que se tirem screen sho
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 25/57
Signal
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 26/57
Signal
O resultado final é umaaplicação para enviar e receberSMS. Para quem usa Signal,pode enviar e receber outro
tipo de conteúdo encriptado,através da Internet, incluindoMMS de “borla”. Sempossibilidade de intercepção.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 27/57
Signal
Além de podermosalterar a cor da conversa,se estivermos com apessoa ao nosso lado,
podemos aindaconfirmar a identidade dapessoa, fazendo “scan”do seu QR Code
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 28/57
Signal Desktop
O Signal também tem uma versão Desktop,através do Google Chrome, para sincronizar Android (iOS ainda não disponível) com o PCPodes por isso enviar SMS encriptadas e fich
multimédia através do teu computador tal cose estivesses a usar o teu Smartphone. Asmensagens trocadas pelo Signal sincronizamnos dois dispositivos.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 29/57
O WhatsApp é propriedade da empresa queo Facebook. No entanto, como foi visto pelo do bloqueio do WhatsApp no Brasil, a emprenão tem qualquer informação sobre as conv
porque elas desde há alguns meses sãoencriptadas.
A criptografia do WhatsApp é baseada no Si
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 30/57
Open Whisper Systems partners with Whatsto provide end-to-end encryption - 18 deNovembro de 2014https://whispersystems.org/blog/whatsapp/
WhatsApp's Signal Protocol integration is nocomplete – 5 de Abril de 2016https://whispersystems.org/blog/whatsapp
complete/
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 31/57
Signal
A desvantagem do WhatsApp é que não foifeito em código aberto,impedindo uma auditoria
independente.A vantagem é que a maioriadas pessoas já o usa no seudia-a-dia.
https://www.what
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 32/57
Signal
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 33/57
Smart Applock
Não fazia sentido protegermos asnossas comunicações sem protegero resto do telemóvel.
Protege aplicações (Facebook,Contactos, Fotos, etc.) com váriostipos de protecção (password,números, etc.).
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 34/57
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 35/57
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 36/57
VPN in Touch
Esta VPN é para iPhone. Permitetambém vários servidores de váriospaíses e é segura, com testes feitospor terceiros meus conhecidos.
A desvantagem é ter opções pagas,e “chamar” muito à compra.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 37/57
TorGuard
A TorGuard é a VPN querecomendo. Está disponível para
Windows, Mac, Linux, Android,iPhone e outros dispositivos menos
comuns. Tem servidores emliteralmente todo o mundo,incluindo Portugal.https://torguard.net/images/ioslogo
png
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 38/57
TorGuard
Outras funções:◉ Stealth VPN: evita a detecção por DPI (Dee
Inspection) dentro das empresas ou órgãopolícia que estejam a monitorizar o teu trá
◉ Usa servidores de DNS da TorGuard◉ KillSwitch: se ficares sem acesso à VPN el
que o teu IP real seja mostrado◉ Entre outras
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 39/57
TorGuard
Preço:◉ 9.99$ por mês◉ Cupão com 50$ de desconto: TGLifetime5
www.torguard.net
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 40/57
Ainda sobre Android
É impossível não falar de privacidade sem faopção que Android tem de encriptar o seusistema. Em Defenições > Segurança > Encriptelefone, podes fazê-lo facilmente.
Uma vez que essa opção demora tempo (cer30 minutos a uma hora) não pode seracompanhada aqui.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 41/57
Ainda sobre Android
No entanto, aqui fica umtutorial, com imagens, de comoencriptar o telefone Android:
http://pplware.sapo.pt/smartphones-tablets/android/dica-como-proteger-toda-a-informacao-do-seu-android/
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 42/57
Rede Tor
A rede Tor (Tor network) é uma rede com doterminados em .onion (em vez de .com ou .ppermite comunicar de forma anónima dentrorede. Além de aceder aos domínios .onion (a
chamada deep web ou dark net – dependentermos e dos tipos de sites) a rede Tor permiaceder aos endereços Web “normais”, masocultando o IP e a localização da pessoa que
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 43/57
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 44/57
Downloads do Tor para…
Android: iOS De
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 45/57
Orbot
Orbot é um browser Tordentro do teu dispositivoAndroid. Permite funcionartal e qual um browser
“normal”, mas esconde o teuIP e localização. Veremosmais à frente porque é quedevemos usar o Tor.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 46/57
Onion Browser
O Onion Browser faz omesmo para o iPhone que oOrbot faz para Android.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 47/57
Tor
O Tor Browser é uma versão modificada do que funciona em Windows, Linux e Mac OS,configurações avançadas da rede Tor,nomeadamente da forma como nos ligamos
Como exemplo, para os países em que o tráfrede Tor é bloqueado, é possível fazer-se cotráfego seja “passado” todo por IPs do Googldissimulando o verdadeiro uso do Tor.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 48/57
VeraCrypt
O VeraCrypt - https://veracrypt.codeplex.coé um software que encripta o teu disco em
Windows. O software funciona da seguinteforma:
◉ Instalas o .exe como qualquer outra aplica◉ Programas a aplicação para encriptar o te
disco rígido◉ Ele faz um teste ao disco e reinicia o teu
computador.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 49/57
VeraCrypt
◉ Pede-te uma password (que especificasteanteriormente) para acederes ao Window
◉ Se tudo funcionar, ele inicia o Windowsnormalmente e começa o processo de cifr
dados
Na prática: Quem quiser aceder ao teucomputador, precisa de uma password. Casocontrário, os dados são “ilegíveis”.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 50/57
VeraCrypt
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 51/57
VeraCrypt
Algoritmos disponíveis:◉ AES◉ Serpent◉ Twofish
◉ AES-Twofish (em cascata)◉ AES-Twofish-Serpent (em cascata)◉ Serpent-AES (em cascata)◉ Serpent-Twofish-AES (em cascata)◉ Twofish-Serpent (em cascata)
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 52/57
Notas sobre passwords
Temos falado aqui sobre cifrar comunicaçõesproteger dados com password. Mas e se algu(juiz, polícia, etc.) te pedir essa password?
Não és obrigado a fornecer qualquer passwoSe sabes passwords de alguém e és ouvido nqualidade de testemunha, para seres obrigaddar a password à justiça, fala com um advogpede para te constituírem como arguido.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 53/57
Hack.chat
Há por vezes momentos em que nãoconseguimos instalar nada disto. Para os casoque “temos pressa”, recomendo o uso dowww.hack.chat.
Ao entrarem no site, escolhem (de uma salarandom) ou criam uma sala e convidam a outpessoa através do link do browser.A pessoa entra e comunicam em segurança. Jlike that.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 54/57
Alguns sites interessantes
◉ www.seedr.cc – este é um site onde te poregistar e fazer downloads de torrents na“cloud”, sem o teu ISP limitar ou monitorizteu tráfego.
◉www.revolucaodosbytes.pt/ahoy/ - o Ahuma ferramenta para desbloquear sites emPortugal (normalmente sites piratas) atravuso de proxys. Actualmente são 563 os sitbloqueados.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 55/57
Alguns sites interessantes
◉ www.protonmail.ch - o maior e-mailencriptado do mundo, onde usas duaspassword (uma para entrar e outra para amailbox cifrada). O código do Protonmail
aberto e pode ser auditado.◉ www.epicbrowser.com – um browser ao
do Chrome, mas que não guarda qualquerinformação. Usas, fechas, e quando voltasabrir é como se o abrisses pela primeira v
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 56/57
Alguns sites interessantes
◉ www.pluralsight.com/kids-courses - se tefilhos que já saibam inglês fluente, aprovedá-lhes cursos grátis para aprenderem aprogramar.
◉www.duckduckgo.com - um motor depesquisa que não guarda logs, nem tempesquisas parsonalizadas pelos teus intereOu seja, um anti-Google.
7/25/2019 20160623 - LISBOA - Workshop Privacidade
http://slidepdf.com/reader/full/20160623-lisboa-workshop-privacidade 57/57
Ficou alguma questão?
Comunica comido por:
◉ Facebook: www.fb.com/ruicruzpontopt/◉ Twitter: @ruicruz◉ Mail: [email protected]◉ Signal: +351 96 827 1502
Obrigado!