Recuperar a

privacidade
digital

Ol!
Sou o Rui Cruz

Diretor de informao do rgo de comunicao

social Tugaleaks
Fundador do Hackers Portugal
Blogger h 13 anos
Entusiasta da Internet, defensor da privacidade digital

Ol!
Aquilo que eu no sou

Hacker
Criminoso (o meu registo criminal est limpinho!)
Defensor de criminosos
M pessoa (mas isso discutvel)

Agradecimentos (gosto de agradecer no incio )

Esta apresentao no teria sido possvel sem:

A ajuda do PAN na cedncia do espao
Os QR Codes do www.goqr.me
A justia portuguesa (que ironicamente criou a
necessidade de eu usar no dia-a-dia
ferramentas para proteger a minha vida online
e pessoal)

Usamos QR Codes

Neste workshop iremos mostrar vrias

ferramentas, acompanhadas de QR Codes.

Android: QR Code Reader

iPhone: NeoReader - QR & Mobile Barcode
Scanner

Para que serve este workshop?

Para ficares a saber

O que a segurana na Internet
Como te podes manter seguro (ou mais seguro)
Ferramentas para te manteres seguro
Bora l?

"Arguing that you don't care about the right to

privacy because you have nothing to hide is no
different than saying you don't care about free
speech because you have nothing to say,
Edward Snowden

WWW

Internet
Most Internet traffic will be encrypted by year end
Fonte: Fortune.com 30 de Abril de 2016

Segurana na Internet

Encriptar/cifrar
O uso da Internet no
chamado plaintext permite
que outras pessoas leiam o
que ests a fazer. Quer seja
numa rede wifi pblica
(McDonalds, Centros
comerciais, etc.) ou na tua
casa.

Proteger o nosso dispositivo

Mas no basta comunicar de
forma segura. preciso
ainda proteger o que nos
chega e o que enviamos, ou
seja, o nosso hardware
(telemvel, PC, tablet, etc.).

Os hackers ao virar da
esquina

White

Grey

Black

As redes de telecomunicaes
esto vulnerveis

http://ss7map.p1sec.com/country/Portugal/

http://expresso.sapo.pt/politica/mais-de-2100-colaboradores-da-optimus-com-acesso-livre-a-registos-de-chamadas=f857352

https://www.publico.pt/politica/noticia/ministra-da-justica-perde-batalha-da-concentracao-de-escutas-na-pj-1676079

http://www.nbcnews.com/news/us-news/intelligence-director-clapper-snowden-advanced-encryption-technology-seven-years-n562176

Android

Signal
WhatsApp
Applock
Orbot (Tor p/ Android)
CloudVPN

iPhone

Signal
WhatsApp
Onion Browser
VPN in Touch

Desktop

Signal Desktop
Tor Browser
VeraCrypt
TorGuard
Hack.chat

Signal

O Signal permite encriptar comunicaes

(vos/SMS/MMS/contactos/etc) com outros
utilizadores Signal. Funciona atravs da Internet.

Na minha opinio, a sua maior vantagem a

recomendao o seu cdigo aberto (pode ser
alvo de auditorias, como j foi) e a recomendao
que o Snowden deu para usar este software.

Signal

Para instalares o Signal, procura o Signal na Play

Store ou App Store.
https://whispersystems.org/

Signal

Depois de instalado, o modo de configurao

simples:
necessrio introduzir o nmero de telemvel
para comunicar. A confirmao feita por SMS.
Se no receberes a SMS, ele liga-te passado 120
segundos.

Signal

Depois, ele pergunta-te se queres associar a

aplicao de mensagens padro ao Signal. Ou
seja, passas a receber as SMS no Signal. Escolhes
o que achares melhor.
Em seguida, preciso configura-lo: colocar uma
password e impedir que se tirem screen shots.

Signal

Signal

O resultado final uma

aplicao para enviar e receber
SMS. Para quem usa Signal,
pode enviar e receber outro
tipo de contedo encriptado,
atravs da Internet, incluindo
MMS de borla. Sem
possibilidade de intercepo.

Signal

Alm de podermos
alterar a cor da conversa,
se estivermos com a
pessoa ao nosso lado,
podemos ainda
confirmar a identidade da
pessoa, fazendo scan
do seu QR Code

Signal Desktop

O Signal tambm tem uma verso Desktop,

atravs do Google Chrome, para sincronizar o
Android (iOS ainda no disponvel) com o PC.
Podes por isso enviar SMS encriptadas e ficheiros
multimdia atravs do teu computador tal como
se estivesses a usar o teu Smartphone. As
mensagens trocadas pelo Signal sincronizam-se
nos dois dispositivos.

WhatsApp

O WhatsApp propriedade da empresa que gere

o Facebook. No entanto, como foi visto pelo caso
do bloqueio do WhatsApp no Brasil, a empresa
no tem qualquer informao sobre as conversas,
porque elas desde h alguns meses so
encriptadas.

A criptografia do WhatsApp baseada no Signal.

WhatsApp

Open Whisper Systems partners with WhatsApp

to provide end-to-end encryption - 18 de
Novembro de 2014
https://whispersystems.org/blog/whatsapp/
WhatsApp's Signal Protocol integration is now
complete 5 de Abril de 2016
https://whispersystems.org/blog/whatsappcomplete/

Signal

A desvantagem do
WhatsApp que no foi
feito em cdigo aberto,
impedindo uma auditoria
independente.
A vantagem que a maioria
das pessoas j o usa no seu
dia-a-dia.

https://www.whatsapp.com/

Signal

Smart Applock

No fazia sentido protegermos as

nossas comunicaes sem proteger
o resto do telemvel.

Protege aplicaes (Facebook,

Contactos, Fotos, etc.) com vrios
tipos de proteco (password,
nmeros, etc.).

VPN in Touch

Esta VPN para iPhone. Permite

tambm vrios servidores de vrios
pases e segura, com testes feitos
por terceiros meus conhecidos.
A desvantagem ter opes pagas,
e chamar muito compra.

TorGuard

A TorGuard a VPN que

recomendo. Est disponvel para
Windows, Mac, Linux, Android,
iPhone e outros dispositivos menos
comuns. Tem servidores em
literalmente todo o mundo,
incluindo Portugal.
https://torguard.net/images/ioslogo
.png

TorGuard

Outras funes:
Stealth VPN: evita a deteco por DPI (Deep Packed
Inspection) dentro das empresas ou rgos de
polcia que estejam a monitorizar o teu trfego.
Usa servidores de DNS da TorGuard
KillSwitch: se ficares sem acesso VPN ele impede
que o teu IP real seja mostrado
Entre outras

TorGuard

Preo:
9.99$ por ms
Cupo com 50$ de desconto: TGLifetime50
www.torguard.net

Ainda sobre Android

impossvel no falar de privacidade sem falar na

opo que Android tem de encriptar o seu
sistema. Em Defenies > Segurana > Encriptar
telefone, podes faz-lo facilmente.
Uma vez que essa opo demora tempo (cerca de
30 minutos a uma hora) no pode ser
acompanhada aqui.

Ainda sobre Android

No entanto, aqui fica um

tutorial, com imagens, de como
encriptar o telefone Android:

http://pplware.sapo.pt/smartp
hones-tablets/android/dicacomo-proteger-toda-ainformacao-do-seu-android/

Rede Tor

A rede Tor (Tor network) uma rede com domnios

terminados em .onion (em vez de .com ou .pt) que
permite comunicar de forma annima dentro da
rede. Alm de aceder aos domnios .onion (a
chamada deep web ou dark net dependendo os
termos e dos tipos de sites) a rede Tor permite
aceder aos endereos Web normais, mas
ocultando o IP e a localizao da pessoa que acede.

Downloads do Tor para

Android:

iOS

Desktop

Orbot

Orbot um browser Tor

dentro do teu dispositivo
Android. Permite funcionar
tal e qual um browser
normal, mas esconde o teu
IP e localizao. Veremos
mais frente porque que
devemos usar o Tor.

Onion Browser

O Onion Browser faz o

mesmo para o iPhone que o
Orbot faz para Android.

Tor

O Tor Browser uma verso modificada do FireFox,

que funciona em Windows, Linux e Mac OS, Permite
configuraes avanadas da rede Tor,
nomeadamente da forma como nos ligamos rede.
Como exemplo, para os pases em que o trfego da
rede Tor bloqueado, possvel fazer-se com que o
trfego seja passado todo por IPs do Google,
dissimulando o verdadeiro uso do Tor.

VeraCrypt

O VeraCrypt - https://veracrypt.codeplex.com/ um software que encripta o teu disco em

Windows. O software funciona da seguinte
forma:
Instalas o .exe como qualquer outra aplicao
Programas a aplicao para encriptar o teu
disco rgido
Ele faz um teste ao disco e reinicia o teu
computador.

VeraCrypt

Pede-te uma password (que especificaste

anteriormente) para acederes ao Windows
Se tudo funcionar, ele inicia o Windows
normalmente e comea o processo de cifrar os
dados
Na prtica: Quem quiser aceder ao teu
computador, precisa de uma password. Caso
contrrio, os dados so ilegveis.

VeraCrypt

VeraCrypt

Algoritmos disponveis:
AES
Serpent
Twofish
AES-Twofish (em cascata)
AES-Twofish-Serpent (em cascata)
Serpent-AES (em cascata)
Serpent-Twofish-AES (em cascata)
Twofish-Serpent (em cascata)

Notas sobre passwords

Temos falado aqui sobre cifrar comunicaes e e

proteger dados com password. Mas e se algum
(juiz, polcia, etc.) te pedir essa password?

No s obrigado a fornecer qualquer password.

Se sabes passwords de algum e s ouvido na
qualidade de testemunha, para seres obrigado a
dar a password justia, fala com um advogado e
pede para te constiturem como arguido.

Hack.chat

H por vezes momentos em que no

conseguimos instalar nada disto. Para os casos em
que temos pressa, recomendo o uso do
www.hack.chat.
Ao entrarem no site, escolhem (de uma sala
random) ou criam uma sala e convidam a outra
pessoa atravs do link do browser.
A pessoa entra e comunicam em segurana. Just
like that.

Alguns sites interessantes

www.seedr.cc este um site onde te podes

registar e fazer downloads de torrents na
cloud, sem o teu ISP limitar ou monitorizar o
teu trfego.
www.revolucaodosbytes.pt/ahoy/ - o Ahoy!
uma ferramenta para desbloquear sites em
Portugal (normalmente sites piratas) atravs do
uso de proxys. Actualmente so 563 os sites
bloqueados.

Alguns sites interessantes

www.protonmail.ch - o maior e-mail

encriptado do mundo, onde usas duas
password (uma para entrar e outra para abrir a
mailbox cifrada). O cdigo do Protonmail
aberto e pode ser auditado.
www.epicbrowser.com um browser ao estilo
do Chrome, mas que no guarda qualquer
informao. Usas, fechas, e quando voltas a
abrir como se o abrisses pela primeira vez.

Alguns sites interessantes

www.pluralsight.com/kids-courses - se tens
filhos que j saibam ingls fluente, aproveita e
d-lhes cursos grtis para aprenderem a
programar.
www.duckduckgo.com - um motor de
pesquisa que no guarda logs, nem tem
pesquisas parsonalizadas pelos teus interesses.
Ou seja, um anti-Google.

Obrigado!
Ficou alguma questo?
Comunica comido por:
Facebook: www.fb.com/ruicruzpontopt/
Twitter: @ruicruz
Mail: mail@ruicruz.pt
Signal: +351 96 827 1502