[hm] Xnet instala un buzón de denuncias anónimas en Barcelona

psy epsylon en riseup.net
Jue Ene 19 16:05:14 CET 2017


Grandes, XNet:

https://xnet-x.net/buzon-denuncias-anonimas-ciudad-barcelona-bustia-etica/

"Xnet siempre ha defendido que la democracia solo podrá existir en la
colaboración en igualdad de condiciones entre instituciones y ciudadanía
vigilante y organizada."

Faltaba incluír un: "Expect us!" ;-)

-----------

Aprovecho la noticia para dar un par de consejos, en éste caso, sobre
Tor (que tanto se menciona en algunos sitios, "por encima").

Uno de los problemas (al menos esa fue la conclusión técnica que
sacamos, puesto que la polícia no explicó que sucedió exactamente) que
tuvo nuestra compañera H (con el FBI y el CNP), fueron las conocidas
como "DNSLeaks"[1]

Tor por defecto no "tuneliza" el tráfico DNS, lo que permite a terceros
poder localizar el origen de las peticiones, incluso geofráfico, a
través de la IP+tráfico DNS.

Para evitarlo, tenemos que avanzar un poco más nuestra configuración. Y
para ello, podemos hacer varias cosas.

Una puede ser llevar el tráfico DNS a través de la misma red Tor.

Ésto se hace añadiendo las siguientes líneas al archivo de configuración
(*unix: /etc/tor/torrc):

DNSPort 53
AutomapHostsOnResolve 1
AutomapHostsSuffixes .exit,.onion

Otra, un poco más compleja, es la de hacer trabajar a varias
herramientas al mismo tiempo: privoxy[2] + tor[3] + dnscrypt[4] +
ubound[5], de manera que, llevemos el tráfico por caminos cifrados
distintos y al mismo tiempo, solo hagamos las peticiones necesarias
(cacheando y solo buscando lo nuevo).

Así sería, desde el punto de vista de los puertos, una máquina lista
para utilizar ese método:

tcp        0      0 127.0.0.1:53            0.0.0.0:*
LISTEN      -
tcp        0      0 127.0.0.1:9050          0.0.0.0:*
LISTEN      -
tcp        0      0 127.0.0.2:40            0.0.0.0:*
LISTEN      -
tcp6       0      0 ::1:8118                :::*
LISTEN      -

[Normal: privoxy (::1:8118) -> tor (127.0.0.1:9050)]
[DNS: unbound (127.0.0.1:53) -> dnscrypt-proxy (127.0.0.2:40)]

Lo interesante de éste método es que hay VPNs para el tráfico DNS que no
registran (o eso dicen) logs y que además, entre otras, usan DNSSEC[6].
Eso y que únicamente pedimos lo nuevo (cacheando lo anterior).

[...]

Para terminar y no por ello menos importante, si lo que vamos es a
navegar por la web (por ejemplo, para llegar hasta el buzón de XNet),
mediante Tor, además tenemos que:

1) Desactivar/bloquear javascript por completo.

Tenemos pruebas hechas, incluso por investigadores de nuestra comunidad,
que demuestran como es posible comprometer la privacidad que otorga Tor
desde el navegador (a través de js)

2) Activar (en éste caso concreto de las DNS), la siguiente
configuración (que no viene por defecto) de algunos navegadores web
(Firefox-based: about:config)

network.dns.disablePrefetch -> true

network.proxy.socks_remote_dns -> true

[....]

No entro en mayor detalle para no agobiar a las menos techies. Aún así,
espero sirva.

Besitos!

-----

[1] - https://www.dnsleaktest.com/
[2] - http://www.privoxy.org/
[3] - https://www.torproject.org/
[4] - https://www.dnscrypt.org/
[5] - https://unbound.net/
[6] - https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions


------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: </pipermail/hackmeeting/attachments/20170119/8687b01a/attachment-0001.pgp>


Más información sobre la lista de distribución HackMeeting