Interesantísimo. Gracias por compartir. On 19/01/17 16:05, psy wrote: > Grandes, XNet: > > https://xnet-x.net/buzon-denuncias-anonimas-ciudad-barcelona-bustia-etica/ > > "Xnet siempre ha defendido que la democracia solo podrá existir en la > colaboración en igualdad de condiciones entre instituciones y ciudadanía > vigilante y organizada." > > Faltaba incluír un: "Expect us!" ;-) > > ----------- > > Aprovecho la noticia para dar un par de consejos, en éste caso, sobre > Tor (que tanto se menciona en algunos sitios, "por encima"). > > Uno de los problemas (al menos esa fue la conclusión técnica que > sacamos, puesto que la polícia no explicó que sucedió exactamente) que > tuvo nuestra compañera H (con el FBI y el CNP), fueron las conocidas > como "DNSLeaks"[1] > > Tor por defecto no "tuneliza" el tráfico DNS, lo que permite a terceros > poder localizar el origen de las peticiones, incluso geofráfico, a > través de la IP+tráfico DNS. > > Para evitarlo, tenemos que avanzar un poco más nuestra configuración. Y > para ello, podemos hacer varias cosas. > > Una puede ser llevar el tráfico DNS a través de la misma red Tor. > > Ésto se hace añadiendo las siguientes líneas al archivo de configuración > (*unix: /etc/tor/torrc): > > DNSPort 53 > AutomapHostsOnResolve 1 > AutomapHostsSuffixes .exit,.onion > > Otra, un poco más compleja, es la de hacer trabajar a varias > herramientas al mismo tiempo: privoxy[2] + tor[3] + dnscrypt[4] + > ubound[5], de manera que, llevemos el tráfico por caminos cifrados > distintos y al mismo tiempo, solo hagamos las peticiones necesarias > (cacheando y solo buscando lo nuevo). > > Así sería, desde el punto de vista de los puertos, una máquina lista > para utilizar ese método: > > tcp 0 0 127.0.0.1:53 0.0.0.0:* > LISTEN - > tcp 0 0 127.0.0.1:9050 0.0.0.0:* > LISTEN - > tcp 0 0 127.0.0.2:40 0.0.0.0:* > LISTEN - > tcp6 0 0 ::1:8118 :::* > LISTEN - > > [Normal: privoxy (::1:8118) -> tor (127.0.0.1:9050)] > [DNS: unbound (127.0.0.1:53) -> dnscrypt-proxy (127.0.0.2:40)] > > Lo interesante de éste método es que hay VPNs para el tráfico DNS que no > registran (o eso dicen) logs y que además, entre otras, usan DNSSEC[6]. > Eso y que únicamente pedimos lo nuevo (cacheando lo anterior). > > [...] > > Para terminar y no por ello menos importante, si lo que vamos es a > navegar por la web (por ejemplo, para llegar hasta el buzón de XNet), > mediante Tor, además tenemos que: > > 1) Desactivar/bloquear javascript por completo. > > Tenemos pruebas hechas, incluso por investigadores de nuestra comunidad, > que demuestran como es posible comprometer la privacidad que otorga Tor > desde el navegador (a través de js) > > 2) Activar (en éste caso concreto de las DNS), la siguiente > configuración (que no viene por defecto) de algunos navegadores web > (Firefox-based: about:config) > > network.dns.disablePrefetch -> true > > network.proxy.socks_remote_dns -> true > > [....] > > No entro en mayor detalle para no agobiar a las menos techies. Aún así, > espero sirva. > > Besitos! > > ----- > > [1] - https://www.dnsleaktest.com/ > [2] - http://www.privoxy.org/ > [3] - https://www.torproject.org/ > [4] - https://www.dnscrypt.org/ > [5] - https://unbound.net/ > [6] - https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions > > > > > _______________________________________________ > HackMeeting mailing list > HackMeeting@listas.sindominio.net > https://listas.sindominio.net/mailman/listinfo/hackmeeting >
-- ale [414c45.net · wwb.cc · @414c45] _______________________________________________ HackMeeting mailing list HackMeeting@listas.sindominio.net https://listas.sindominio.net/mailman/listinfo/hackmeeting
