[hm] Xnet instala un buz�n de denuncias an�nimas en Barcelona

psy epsylon en riseup.net
Jue Ene 19 16:05:14 CET 2017 

Grandes, XNet:

https://xnet-x.net/buzon-denuncias-anonimas-ciudad-barcelona-bustia-etica/

"Xnet siempre ha defendido que la democracia solo podr� existir en la
colaboraci�n en igualdad de condiciones entre instituciones y ciudadan�a
vigilante y organizada."

Faltaba inclu�r un: "Expect us!" ;-)

-----------

Aprovecho la noticia para dar un par de consejos, en �ste caso, sobre
Tor (que tanto se menciona en algunos sitios, "por encima").

Uno de los problemas (al menos esa fue la conclusi�n t�cnica que
sacamos, puesto que la pol�cia no explic� que sucedi� exactamente) que
tuvo nuestra compa�era H (con el FBI y el CNP), fueron las conocidas
como "DNSLeaks"[1]

Tor por defecto no "tuneliza" el tr�fico DNS, lo que permite a terceros
poder localizar el origen de las peticiones, incluso geofr�fico, a
trav�s de la IP+tr�fico DNS.

Para evitarlo, tenemos que avanzar un poco m�s nuestra configuraci�n. Y
para ello, podemos hacer varias cosas.

Una puede ser llevar el tr�fico DNS a trav�s de la misma red Tor.

�sto se hace a�adiendo las siguientes l�neas al archivo de configuraci�n
(*unix: /etc/tor/torrc):

DNSPort 53
AutomapHostsOnResolve 1
AutomapHostsSuffixes .exit,.onion

Otra, un poco m�s compleja, es la de hacer trabajar a varias
herramientas al mismo tiempo: privoxy[2] + tor[3] + dnscrypt[4] +
ubound[5], de manera que, llevemos el tr�fico por caminos cifrados
distintos y al mismo tiempo, solo hagamos las peticiones necesarias
(cacheando y solo buscando lo nuevo).

As� ser�a, desde el punto de vista de los puertos, una m�quina lista
para utilizar ese m�todo:

tcp        0      0 127.0.0.1:53            0.0.0.0:*
LISTEN      -
tcp        0      0 127.0.0.1:9050          0.0.0.0:*
LISTEN      -
tcp        0      0 127.0.0.2:40            0.0.0.0:*
LISTEN      -
tcp6       0      0 ::1:8118                :::*
LISTEN      -

[Normal: privoxy (::1:8118) -> tor (127.0.0.1:9050)]
[DNS: unbound (127.0.0.1:53) -> dnscrypt-proxy (127.0.0.2:40)]

Lo interesante de �ste m�todo es que hay VPNs para el tr�fico DNS que no
registran (o eso dicen) logs y que adem�s, entre otras, usan DNSSEC[6].
Eso y que �nicamente pedimos lo nuevo (cacheando lo anterior).

[...]

Para terminar y no por ello menos importante, si lo que vamos es a
navegar por la web (por ejemplo, para llegar hasta el buz�n de XNet),
mediante Tor, adem�s tenemos que:

1) Desactivar/bloquear javascript por completo.

Tenemos pruebas hechas, incluso por investigadores de nuestra comunidad,
que demuestran como es posible comprometer la privacidad que otorga Tor
desde el navegador (a trav�s de js)

2) Activar (en �ste caso concreto de las DNS), la siguiente
configuraci�n (que no viene por defecto) de algunos navegadores web
(Firefox-based: about:config)

network.dns.disablePrefetch -> true

network.proxy.socks_remote_dns -> true

[....]

No entro en mayor detalle para no agobiar a las menos techies. A�n as�,
espero sirva.

Besitos!

-----

[1] - https://www.dnsleaktest.com/
[2] - http://www.privoxy.org/
[3] - https://www.torproject.org/
[4] - https://www.dnscrypt.org/
[5] - https://unbound.net/
[6] - https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions


------------ pr�xima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: </pipermail/hackmeeting/attachments/20170119/8687b01a/attachment-0001.pgp>

M�s informaci�n sobre la lista de distribuci�n HackMeeting