# ** ¿Tú que eres más de Signal o de Telegram?¿De Facebook o de instagram?.. **
# ** Yo de ninguna. **
## Seguridad tecnológica y dispositivos móviles.. entornos activistas, militantes...
Para quien es util este este taller ...pues depende de de quien necesites salvaguardar tu privacidad,anonimato o acceso a la informacion:
# Para ilustrar la ultima columna y que ninguna seguridad tecnológica es a prueba de fallos humanos sirva un ejemplo:
Ni aunque lo hubieramos hecho todo bien podemos estar seguros
# A qué nos exponemos cuando llevamos el móvil a un evento
- Usar un dispositivo cualquiera supone de facto someterse a tres hackeos:
- **El del hardware**:
* Actualmente desconocemos la programacion de los (chips) microprocesadores y microcontroladores de tecnologia privativa y aunque la conocieramos poca gente seria capaz de supervisarla.
* Hay diversas vulnerabilidades en los procesadores por ejemplo que permitirian a alguien on conocimiento entrar hasta las entrañas de nuestro equipo:
Esto lo saben hasta en el "español":
* Todas las CPU modernas ahora integran plataformas de administración ocultas como Intel Management Engine y el AMD Platform Security Processor 92 .
* NO es Fácil pero a veces se pueden deshabilitar esas plataformas o instalar bios libres
- **El del sistema operativo (Android, IOS(apple), Windows, Linux, UNIX) y el software o apps :**
De estos 5 sistemas los dos primeros estan presentes en el ¿99%? de los smartphones y tienen partes de codigo fuente que son opacas o privativas (no abiertas).
Cuando esto no sucede el truco es que hay parte del hardware que requiere controladores (programas que manejan el gps, camara, audio, pantalla, etc..) que son privativos con codigo fuente no abierto solo conocido por los fabricantes/programadores del mismo
De nada sirve instalarse un android libre de mierdas en el movil si le instalo las app de google o instagram, facebook..
- **El ISP (internet service provider)**
vamos la maldita compañia telefonica a la que contratamos para poder conectarnos a internet o sencillamente llamar o a nivel mas reducido el router o antena que nos da conexión.
Movistar guarda durante 5 años todo el tráfico de telefonía móvil.
A mas pequeña escala podemos llamar ISP y supone riesgos equivalentes a eso a lo que te conectas para acceder, router antena de telefonia..
* ¿Qué es un router?¿Que hace?
* ¿Qué es un dns? ¿Quien lo controla?
* ¿Quien lo controla? Actualizaciones y backdoors
* ¿Y si te hago un phising?
* Tor y vpn anonimo
[### MARDITO WIFI!!](https://anonymousplanet.org/guide.html#maliciousrogue-wi-fi-access-points)
# ¿Dónde está el secreta?
https://www.youtube.com/watch?v=shLI8BE2FTU
## El secreta está en tu mesilla de noche en tu bolsillo o en tu mano...
El alcance de la informacion que ponemos a disposición es...si TODA la que almacenemos (no cifrada previamente) o TODA la que compartamos/comuniquemos a traves de estos dispositivos.
Por si todo esto no fuera suficiente ademas las app solicitan permisos para su funcionamiento de acceso a:
- cámara
- micrófono
- ficheros
- ubicación
- Huellas dactilares
- Datos biométricos
- estado de ánimo y de salud
Que solemos concederles en el momento de instalarlas porque si no la aplicación no va a funcionar...o mas tarde cuando queramos compartir esa imagen o video guapo que te cagas, porque nos los va a pedir para poder hacerlo...
* Pero es que whatsapp va cifrado punto a punto...pero..
Dónde están las llaves..matarile rile rile...**
- Qué datos facilitamos
https://www.youtube.com/watch?v=NPE7i8wuupk
- ¿Y si entramos por la puerta de atras?
https://www.adslzone.net/noticias/seguridad/12706-apps-android-puerta-trasera/
https://www.youtube.com/watch?v=siCk4pGGcqA
- A dónde van a parar nuestros datos
- Servidores de las empresas propietarias de las app
- Servidores de las companias telefónicas
- Servidores o dispositivos por los que ha transitado nuestra información
- Servidores del mejor postor, corporativo, estatal o delictivo..
- wherever..
- ### Qué es un metadato,
- cómo ocultarlos en ficheros
[Herramientas de borrado de metadatos](https://www.privacytools.io/classic/#metadata-removal-tools)
- Que metadatos solo podemos evitar no usando la tecnologia
- Pixels de marcado y [marcas de agua invisibles](https://anonymousplanet.org/guide.html#watermarking)
- telemetria del hardware
- patrones de comportamiento : velocidad de escritura, estilo, palabras habituales, errores particulares tecleando....
- Patrones de click/visualización ver ["MAPAS de CALOR"](https://www.hotjar.com/)
- historico en redes...likes etc
- Tiempos y horarios de conexión
- Lo que otrs cuentan o suben de nosotrs en redes (etiquetado, imágenes, likes, vinculos de amistad, tiempo o periodicidad comunicando).
* Qué no decir por chats, especialmente de whatsapp:
* ¿Qué registro de conversaciones queda?
* ¿Qué permisos tienen estas apps sobre nuestros datos, etc. (y qué apps son mejores: signal blabla)?
| |WhatsApp | Telegram | Signal |
|-|----------|----------|-------|
|Permisos obligatorios|Contactos|Ninguno|Ninguno|
|Protección de chats|Sí, por huella|PIN y contraseña (compatible con huella)|Bloqueo de Android (compatible con huella)|
|Cifrado extremo-a-extremo|Sí, todos los chats.|Solo en chats secretos.|Sí, todos los chats.|.
|Recopilación de metadatos|Direcciones IP, fechas de uso, teléfono y modelo, operador de red, número de teléfono, identificador único de dispositivo, ubicación y contactos|Desconocido, pero al estar basado en la nube, todo lo que haces en Telegram está registrado en sus servidores.|Sólo número de teléfono y último día de conexión|
|Verificación en dos pasos|SI|SI|SI|
|Protección contra capturas de pantalla|No|Si, opcional|Si, opcional|
|Mensajes autodestruibles|No1|Sí, en chats secretos|Sí
|Notificaciones sin contenido|No|Sí, opcional.|Sí, opcional.
|Teclado en modo incógnito|No|Sí, en chats secretos|Sí, opcional
|Enmascarar IP en videollamadas|No|No|Sí, opcional.
|Autodestrucción de cuenta por inactividad|No|Sí, opcional.|No
|Eliminación de mensajes tras cierto límite|No|No|Sí, opcional
## XMPP y ~~MATRIX~~
- Conversations, jabber, xabber
Sobre las herramientas y los servidores centralizados, federados y p2p.
- Jitsi https://jitsi.es/
- Mastodon https://joinmastodon.org/es/servers
- GNU Social https://gnusocial.network/
## - Micrófono ambiental del móvil
Podemos tapar la cámara pero..¿alguien puede tapar el micrófono?
mapas de sonido ambiental amateur(ejercicio de escucha).
https://aporee.org/maps/
http://www.soinumapa.net/
Dysonics, fundada en 2011, se especializa en agregar conciencia espacial a los dispositivos portátiles de audio.
Google la compra en abril de 2021.
SI!, no solo escuchan a los pobres...los de android..vuestro iphone tambien os escucha todo el rato
https://www.applesfera.com/iphone/apple-patenta-sistema-localizacion-dispositivos-mediante-sonidos-inaudibles
Que contaros que no os hayan mostrado ya Alexa y Siri..
# En qué consiste una triangulación de una señal
## Cómo enviamos la ubicación a distintos sujetos a través del móvil
(policía, apps, etc.)
### Ondas de radio
* ejemplos informes 112, orden judicial
* red de telefonia + GIS (ubicación antenas y mapa cobertura) + registros de IMEI y SIM o imsi o MAC address...¿Quien tiene acceso a esos datos?
* IMSI - IMEI catchers
* MAC
* BLUETOOTH MAC
* distancia a otros dispositivos
- ubicacion de wifis
- ubicación de otros dispositivos bluetooth cercanos
* GPS
- Algunos modulos gps tienen su propio acceso a alimentación y bateria al margen del encendido/apagado del dispositivo.
* Herramientas propias de los dispositivos y sistemas operativos
https://support.apple.com/en-us/HT210515
https://www.xda-developers.com/samsung-find-my-mobile-app-locate-galaxy-devices-offline/
### A veces podemos mitigar algunas de estas cosas ¿CÓMO?:
* #### Sistemas operativos abiertos
* [Lineage os](https://www.privacytools.io/classic/#mobile_os)
* Linux -> [Tails](https://www.privacytools.io/classic/#tor_os)
# Redes sociales: intro sobre "la tiranía de la imagen" y todo lo que supone (parte crítica)
Detalles sobre los datos que facilitamos al descargarnos y registrarnos la red social y porqué entonces es mejor no decir nada sobre dónde, cómo y cuándo hemos estado en las redes sociales.
Ejercicio de búsqueda inversa con el telf y google lens:
https://support.google.com/websearch/answer/1325808?co=GENIE.Platform%3DAndroid&hl=es-419
imagen e imaginar tienen la misma raíz..
pues ahora imagina...imagina que alguien tuviera un montón de servidores, de ordenadores muy potentes, pasillos y pasillos de ordenadores..hectareas en distintos paises conectadas entre si..con un monton de librerias o carpetas de imagenes de cosas diversas con las que va entrenando a esas librerias o esos progrmas de machine learning , de Inteligencia artificial...a reconocer objetos..
imagina también un monton de usuarios encantados de poder buscar el modelo y precio de las zapas o lo que sea que vieron en una revista o por la calle usando su foto..imagina que no saben que al hacerlo entrenan a una IA igual que hacemos todas cada vez que rellenamos un captcha..
Pues ahora imagina que alguien hubiera entrenado esas librerias con las fotos y frame a frame, los videos, con todos sus metadatos, de las manifestaciones de los ultimos 15 años...las imagenes que cada uno de esos manifestantes colgaron publicamente en sus perfiles, por que se creyeron que las redes sociales eran su aliado...y que habia que enseñar al mundo todo lo que está pasando..
Sigue imaginando imagina que entre esas fotos y videos han subido las de la ultima vez que te identificaron o.. simplemente la de tu dni...o todas las que habia en tu telefono y a las que diste acceso hasta el maldito angry birds..
¿Trazado mediante camaras de seguridad urbanas?
¿Qué es el machine learning y tensor flow?
https://www.youtube.com/watch?v=-xsey5xgF6E
# Datos biometricos
* No hablamos sólo de casos en China,
* tu rostro es analizado para ver porno en Australia,
* para vigilarte en las escuelas y en las calles de Estados Unidos
* [pagar el autobús en Madrid.](https://www.xataka.com/otros/no-china-madrid-pago-facial-llega-fase-pruebas-a-autobuses-emt)
* Otro gran problema es que pueden detectarse intenciones y emociones
* Estrategias para burlar las cámaras de reconocimiento facial
* cvdazzle -> [mediante maquillaje](https://cvdazzle.com/) (OBSOLETO)
* [maquillaje que envejece](https://www.abc.net.au/news/science/2019-10-15/aged-make-up-a-weapon-against-facial-recognition-technology/11586336)
* Taparse la cara XD
* [ropa](http://sanneweekers.nl/big-brother-is-watching-you/)
* [otro ejemplo](https://arxiv.org/pdf/1904.08653.pdf)
* Saturacion con luz ...infraroja o cercana..laser
* Láseres (algunos dañan las camaras)
##### Ejemplos reales de gente real Las protestas en hong kong:
https://en.wikipedia.org/wiki/Tactics_and_methods_surrounding_the_2019%E2%80%932020_Hong_Kong_protests#AirDrop_broadcast
# Malware, exploit y virus:
* Nunca debes tener un 100% de confianza en las aplicaciones que estás usando.
* Siempre verificar que está utilizando la versión actualizada de dichas aplicaciones antes de usarlas e idealmente valide cada descarga usando su firma si está disponible.
* No debe utilizar dichas aplicaciones directamente desde un sistema de hardware, sino utilizar una máquina virtual para la compartimentación.
* Aprender a comprobar la firma de software o el hash que lo identifica para asegurarte de que el fichero es el que debiera ser y no fue manipulado
* En linux puedes hacerlo con estos comandos
* md5sum /ruta/al/archivo
* sha1sum /ruta/al/archivo
* sha256sum /ruta/al/archivo
* ¿Antivirus? [ClamAV](https://www.clamav.net/)
* Procurarhacer las cosas desde máquinas virtuales ¿Pero eso que es?
# Huellas digitales de su navegador y dispositivo:
El conjunto de configuraciones particulares de nuestro navegador o dispisotivo puede quedar en los logs de lugares que visitamos..
# Protección fisica de dispositivos
* Marcar contra manipulaciones
* ATAQUE DE ARRANQUE EN FRÍO (apagar siempre por completo)
* Usb con herramientas especificas o para copiar ram
### ¿Hablamos de contraseñas?
# Fuentes:
* https://anonymousplanet.org/
* https://www.privacytools.io/classic/
* https://quematumovil.pimienta.org/
* https://tube.privacytools.io/
* https://en.wikipedia.org/
* https://www.xataka.com/
* https://shop.puri.sm/shop/librem-5/
* https://www.youtube.com/watch?v=-xsey5xgF6E
* diario elespañol.com XD
Google Drive
Gist
Clipboard
Sign in with Wallet
