Guia d’autodefensa digital

Compartiu


Guia d’autodefensa digital

Introducció

Aquesta guia té com a objectiu explicar-vos com podeu millorar la vostra privadesa i seguretat a Internet. Si teniu cap comentari per a millorar-la, ens el podeu fer arribar per correu electrònic a info@softcatala.org.

Si no s’especifica el contrari, tots els programes mencionats en aquesta guia es troben disponibles en català.

Recomanacions generals

Abans d’entrar en aspectes concrets de la seguretat i privadesa a la xarxa, cal considerar uns quants factors que són bàsics per a garantir la seguretat a la nostra vida digital.

Qüestions bàsiques.

  • El primer factor a tenir en compte de cara a la seguretat digital és la integritat del sistema operatiu de l’aparell. Si l’equip ha estat compromès, cap aplicació pot garantir-vos la privadesa. És a dir, si algú ha pogut modificar el vostre equip o instal·lar alguna aplicació perquè aquest es comporti de manera no desitjada i, de forma invisible, us estigui espiant o robant les dades. En cas de dubte, considereu reinstal·lar el sistema operatiu o reinicialitzeu l’aparell a l’estat de fàbrica.
  • Un altre factor important és que cal que tingueu actualitzat el vostre sistema operatiu i les vostres aplicacions. Les actualitzacions corregeixen habitualment forats de seguretat, que prevenen possibles atacs d’agents maliciosos. Per tant, si utilitzeu sistemes o aplicacions desactualitzats, la vostra seguretat i privadesa no estan garantides.
  • Quan en la guia parlem de programari lliure ens referim a programari que, entre altres llibertats, garanteix l’accés al codi i això permet que es pugui auditar. Quan parlem de programari propietari ens referim a programari que el seu codi no està disponible i per tant no s’ha pogut auditar.

Contrasenyes segures

Les contrasenyes protegeixen els nostres comptes i eviten que els altres hi accedeixin sense el nostre permís. Per a tenir una vida digital segura i protegir la nostra privadesa, cal que sapiguem construir contrasenyes segures i fortes, difícils d’esbrinar i que resisteixin atacs informàtics.

1. Cal evitar les contrasenyes més comunes.

Claus com 1234, contrasenya, el nom de la vostra ciutat, mascota, parella, fills, o la vostra data de naixement són contrasenyes que es poden esbrinar molt fàcilment utilitzant programes específics o amb enginyeria social. Cal evitar termes simples i que es puguin relacionar fàcilment amb l’usuari.

2. Cal utilitzar combinacions alfanumèriques i caràcters de puntuació.

Potser hi ha serveis que no permeten utilitzar un cert joc de caràcters, però en l’actualitat la majoria permeten fer aquest tipus de combinacions. Com més varietat de caràcters hi hagi, més complicat serà per als atacants esbrinar la contrasenya.

3. Cal utilitzar combinacions de més de 6 caràcters.

Les contrasenyes de 4 dígits es poden forçar en relativament poc temps (amb els recursos necessaris), per tant sempre és una bona idea que les claus siguin d’entre 6 i 10 caràcters, si no més.

4. Cal utilitzar diferents contrasenyes per a diferents serveis.

Idealment, cada servei en què ens registrem hauria de tenir la seva pròpia contrasenya, de manera que un atacant no pugui guanyar accés a tots els serveis d’un usuari esbrinant només una contrasenya.

5. Cal utilitzar combinacions fàcils de recordar.

No serveix de res tenir una contrasenya molt forta, de 12 caràcters alfanumèrics, amb signes de puntuació i única per a cada servei si després no recordeu quina és. La millor tècnica és crear una frase relacionada amb el servei, fent servir un patró personal.

Per exemple, la contrasenya del banc podria ser «Banc314!_Diners7», la del compte de correu «Correu314!_Missatges7», la del Twitter «Twitter314!_Piulades7», etc. L’algorisme personal pot ser tan complicat com es vulgui, per exemple, llevant totes les vocals de la contrasenya («Bnc314!_Dnrs7», etc.), o convertint-les a números (B4nc314!_D1n3rs7), etc.); les possibilitats són infinites.

6. Sempre que el servei ho permeti, és una bona idea utilitzar la verificació en 2 passos, o la verificació de 2 factors.

És un sistema en què l’usuari, a part de definir una contrasenya, estableix un dispositiu personal en què el sistema enviarà una altra clau de verificació, que serà necessària per a validar-ne l’accés. D’aquesta manera s’evita que els atacants tinguin accés al servei si esbrinen la contrasenya, o que hi accedeixin interceptant la clau del servei.

Connexió anònima i sense censura: Tor

Logo del TorEl Tor és un programari lliure que permet navegar anònimament per Internet. Us protegeix de l’anàlisi de trànsit, una manera de vigilar la xarxa que amenaça la llibertat personal i la privadesa, activitats i relacions confidencials (siguin personals o empresarials) i la seguretat en general.

Els usuaris del Tor utilitzen aquesta xarxa connectant-se a través d’una sèrie de túnels virtuals en lloc de fer una connexió directa, fet que permet a les dues parts (organitzacions o individus) posar en comú la informació de les xarxes públiques sense comprometre la seva privacitat. En la mateixa línia, el Tor és una eina eficaç per a eludir la censura, ja que permet als seus usuaris arribar a destinacions amb contingut bloquejat en certs països o proveïdors.

Tor a l’escriptori

Navegador TorPer a accedir a la xarxa Tor des d’un ordinador de sobretaula o portàtil, podeu fer-ho mitjançant el Navegador Tor1. Aquest navegador és una versió del Mozilla Firefox modificada per tal que es connecti directament a la xarxa Tor. A més, inclou de forma predeterminada un conjunt d’extensions per a millorar la seguretat i la privadesa al navegar per la xarxa.

El Navegador Tor es troba disponible per als principals sistemes operatius d’escriptori: Windows, macOS i GNU/Linux. Podeu baixar-vos-el des de la pàgina oficial del Projecte Tor. La seva instal·lació i ús és força senzill, i en pocs minuts podreu estar navegant de forma anònima per la xarxa.

Tor als dispositius mòbils

Per a tauletes i telèfons mòbils hi ha diferents aplicacions que utilitzen la capacitat del mateix sistema operatiu de configurar la connexió a través d’una Xarxa Privada Virtual (VPN en anglès) per a encaminar les nostres dades a través de la xarxa Tor. Per a Android tenim l’Orbot, i per a iOS hi ha l’Onion Browser.

  • Instal·lació i ús de l’Orbot (Android).

Logo de l'OrbotL’Orbot és l’aplicació del projecte Tor per a dispositius Android. Us permet accedir a la xarxa Tor des del vostre mòbil, enviant el tràfic de les aplicacions que seleccioneu a través d’aquesta xarxa.

Podeu trobar l’aplicació a la Google Play Store o a plataformes alternatives com F-Droid. Al web oficial trobareu els enllaços a les baixades i més informació.

Els passos per a configurar un dispositiu Android, per tal que les aplicacions que vulguem es connectin a través de la xarxa Tor mitjançant VPN i Orbot, són els següents:

Depenent de la vostra versió d’Android, potser trobeu algun error a l’hora de seguir els passos anteriors.

  • Si utilitzeu versions anteriors a Android 5 (Lollipop), potser en realitzar el pas 4 no vos apareix automàticament la llista d’aplicacions que voleu que utilitzin la xarxa Tor. Podeu trobar aquesta llista si toqueu el botó de menú a la part superior dreta > Preferències (Settings) > Selecciona les apps (Select apps).
  • Si en arribar al pas 6 comproveu que el vostre navegador d’Internet no pot carregar cap lloc web, com si no estigués connectat a Internet, potser vos interessa desactivar l’opció «Apps VPN Mode» i instal·lar l’aplicació Orfox. Aquest és un navegador d’Internet que utilitza la xarxa Tor de forma predeterminada, similar al Navegador Tor, i que necessita l’Orbot per a funcionar.
Captura de pantalla de l'Orbot, en prémer el botó «Navega».

Si premeu el botó «Inicia» i després el botó «Navega», vos apareixerà aquesta finestra.

 

  • Instal·lació i ús de l’Onion Browser (iOS). 2

Logo de l'Onion BrowserL’Onion Browser és una aplicació per a dispositius amb sistema iOS que us permet navegar per internet utilitzant la xarxa Tor. No està relacionada amb el Projecte Tor, però recomanen el seu ús si teniu dispositius mòbils d’Apple.

Podeu trobar l’aplicació a l’App Store d’Apple, i més informació i assistència al lloc web oficial de l’autor. El seu funcionament és força senzill: en iniciar-la, l’aplicació establirà una connexió a la xarxa Tor i, una vegada establida, podreu navegar-hi directament.

Atenció: Si el dispositiu es bloca o l’aplicació entra en mode de segon pla (perquè heu canviat a una altra aplicació, per exemple), la connexió Tor es trencarà i haureu de reiniciar el navegador per a poder navegar amb seguretat.

Altres maneres segures de navegar sense utilitzar Tor.

Podeu utilitzar altres mitjans per a connectar-vos a Internet sense utilitzar la xarxa Tor, per exemple utilitzant un servidor intermediari («proxy» en anglès) o una connexió per VPN particular, encara que no navegareu de manera anònima.

Una solució més senzilla, tot i que no realitza una connexió anònima però que sí que és útil per eludir la majoria de filtres i censures, és utilitzar el navegador Opera, que incorpora una solució de seguretat de connexions de forma predeterminada. Cal mencionar, però, que el navegador Opera no és de codi obert, i per tant, com no podem comprovar el seu codi font, no podem estar totalment segurs de què fa aquest programa o com gestiona les connexions mitjançant VPN o les nostres dades privades.

Per a activar la VPN integrada, cal que aneu a la finestra de Preferències, a la secció de Privadesa i seguretat, i marqueu l’opció «Activa la VPN». Opera incorpora els serveis de VPN de l’empresa pròpia SurfEasy Inc., ubicada al Canadà.

Captura del navegador Opera.

Preferències de privadesa i seguretat de l’Opera, amb la secció de la VPN marcada.

Podeu baixar tant la versió per a escriptori com l’específica per a dispositius mòbils als seus webs oficials.

Missatgeria segura amb connexió a Internet

Els sistemes de missatgeria instantània han esdevingut una part fonamental de la nostra comunicació diària. En aquesta taula resumim els punts claus dels sistemes de missatgeria més destacats:

Comunicacions xifrades Comunicacions xifrades d’extrem a extrem Codi lliure Avantatges Inconvenients
Signal

· Tot el codi és lliure i està auditat.

· Utilitza protocols segurs.

· Pocs usuaris actualment.

· Només es pot utilitzar en un dispositiu, sense compartir l’historial de converses amb altres dispositius, ni poder-lo recuperar en suprimir l’aplicació.

Logo del TelegramTelegram Sí, en els xats secrets i les trucades. Sí, la part dels clients

· El codi de la part de client és lliure i està auditat.

·Té moltes opcions de privadesa.

· Es poden tenir aplicacions obertes a diversos dispositius alhora.

· El codi de la part del servidor no és lliure i no està auditat.

· Utilitza un protocol de xifratge propi que no ha estat auditat per la comunitat internacional.

· Fora dels xats secrets, les comunicacions passen, de forma xifrada, per una xarxa de servidors descentralitzats que, tot i oferir la comoditat de poder recuperar l’historial de conversa des de qualsevol lloc, pot comprometre la privacitat de les comunicacions.

WhatsApp Sí, però el codi no és obert, i no es pot comprovar si realment ho fa. No

· Xats relativament segurs i opcions de privadesa predeterminades.

· Té un gran nombre d’usuaris.

· Cap part del codi no és lliure i no està auditada: ningú no sap el que fa realment l’aplicació.

· Les notificacions del canvi de les claus de seguretat es troben desactivades de forma predeterminada.

· Les comunicacions passen per un servidor central que pot comprometre la seva privacitat.

· Les dades dels usuaris es comparteixen amb altres xarxes com Facebook.

· Si configureu la còpia de seguretat al núvol, es perd el xifratge extrem a extrem i la seguretat i privadesa són les del núvol emprat (Google Drive, Dropbox, iCloud,…).

Els experts en seguretat recomanen usar el Signal perquè el seu codi és lliure (ha pogut ser auditat), utilitza protocols considerats segurs que també han pogut ser auditats, i no guarda informació del contingut de les converses i comunicacions a cap servidor central.

Si decidiu usar el Telegram tingueu en compte que al Telegram les comunicacions més segures3 són els «Xats secrets». Aquest tipus de xats són més segurs, ja que són xifrats d’extrem a extrem, i per tant posen molt més difícil a un tercer d’accedir a les converses.

Missatgeria segura sense connexió a Internet

En cas que hi hagi una mancança general de l’accés a Internet a causa de desastre natural, caiguda completa de la xarxa per motius tècnics (o provocats). Existeixen opcions que us permeten estar en contacte amb altres persones usant tecnologies de comunicació de curt abast.

El Briar 4 és una aplicació de missatgeria de programari lliure que, a diferència de les aplicacions de missatgeria tradicionals, no es basen en un servidor central de missatges. El Briar se sincronitza directament entre els usuaris de dispositius. Si la connexió es perd, pot sincronitzar-se a través de Bluetooth o Wi-Fi, mantenint el flux de missatges entre dispositius en cas de fallada de la xarxa o altres moments crítics. Si teniu connexió a Internet, pot sincronitzar-se també a través de la xarxa Tor. És segura i de codi lliure.

Podeu baixar Briar per Android des del seu web o des de la Google Play Store. Actualment no existeix versió per a iOS.

El FireChat 5 és una aplicació propietària que permet converses sense connexió a Internet a través de Bluetooth o Wi-Fi.

Baixada:

Xifratge de dades personals

Tenim moltes dades als nostres dispositius: missatges, contactes, fotografies, fitxers adjunts, correus, etc. Com podem protegir aquesta informació perquè no sigui accessible si algú s’apropia dels nostres dispositius?

En tauletes i telèfons mòbils Android

En telèfons mòbils amb sistema Android podeu xifrar les vostres dades seguint aquests passos:

  1. Aneu a PreferènciesSeguretat.
  2. Aneu a l’opció «Encripta el telèfon».
  3. Toqueu «D’acord».
Menú de xifratge del dispositiu a l'Android.

Menú de xifratge del dispositiu a l’Android.

En tauletes iPad i telèfons mòbils iPhone

Per xifrar un iPad o iPhone heu de seguir aquests passos:

  1. Obriu l’aplicació de Configuració.
  2. Toqueu la icona del cadenat que diu TouchID i Codi (o només Codi, depèn de la versió).
  3. Toqueu l’opció «Activar codi».
  4. Introduïu el vostre codi. Un de més de 6 dígits és recomanable.

En el moment que el codi estigui introduït les dades del dispositiu es xifraran. Veureu al final d’aquesta pantalla un text que diu «La protecció de dades està activada» que indica que les dades del dispositiu s’estan xifrant.

Menú «TouchID i codi» de la Configuració a l'iOS.

Menú «TouchID i codi» de la Configuració a l’iOS.

En ordinadors amb sistema MAC

En macOS podeu utilitzar el FileVault, que us permet xifrar el vostre disc completament.

Per a fer-ho heu de seguir aquests passos:

  1. Seleccioneu el menú d’Apple (que té el símbol de la poma) → «Preferències del sistema», i llavors «Seguretat i Privacitat».
  2. Féu clic a la pestanya «FileVault».
  3. Feu clic al botó amb el cadenat Locked i llavors introduïu el nom de l’administrador i la contrasenya.
  4. Feu clic a «Activar FileValut…».
Menú del FileVault al macOS.

Menú del FileVault al macOS.

En ordinadors amb sistema Windows

A partir de Windows Vista (això inclou també Windows 8.x i Windows 10) el sistema operatiu Windows inclou la funcionalitat BitLocker, que permet xifrar el contingut del disc.

Per a activar-ho en Windows 10, seguiu les següents instruccions:

  • Aneu a «Configuració» i es mostraran totes les opcions de configuració del sistema.
  • Feu clic a la icona «Sistema».
  • Després a l’opció del menú lateral «Quant a».
  • En la finestra que s’obri cerqueu «Configuració del BitLocker».
Captura del Windows 10

Menú de xifratge de dades al Windows 10.

Finalment feu clic a «Activar BitLocker». En cas que el sistema es queixi que heu de «Permetre un TPM compatible», heu de seguir aquestes instruccions (estan en castellà, aquesta part de Windows no es troba traduïda al català).

Informació addicional

Us encoratgem a anar més enllà d’aquesta guia i ampliar els vostres coneixements en aquest àmbit, amb l’objectiu de defensar-vos i ser conscients de la vulnerabilitat de la vostra privadesa, i així tenir una ciutadania digitalment preparada en aquest aspecte.

Podeu trobar més informació a:


1. Actualment el Navegador Tor per a escriptori encara no es troba disponible en català.

2. Actualment l’Onion Browser no està disponible en català.

3. Vegeu https://telegram.org/faq#q-why-not-just-make-all-chats-secret

4. El Briar encara no està disponible en català però s’han començat les converses per poder traduir-lo.

5. El FireChat encara no està disponible en català i no sembla que poder traduir-lo sigui factible a curt termini.