Surveillance SelfDefence - Paroxysms

celerymoldwarpΑσφάλεια

3 Δεκ 2013 (πριν από 3 χρόνια και 6 μήνες)

89 εμφανίσεις

 
 
Surveillance Self­Defence
Protecting yourself online and offline
Joe Bowser
bowserj@paroxysms.ca
https://paroxysms.ca
0EE4 3AF0 6FAB 68E1 1AC2
9BBB 6C27 E211 4805 4106
 
 
Surveillance

Absolutely Everywhere

Can be both passive and active surveillance

Can be online and offline

Depends on who you are, who your enemies are 
and what you are trying to do

Determining what sort of threat you are can help 
determine what will keep you safe
 
 
Enemies

Enemies are the people or organizations you are 
trying to protect yourself and your information 
from (i.e. The Government or Private 
Investigation Firms)

Some enemies may already have some information 
about you

Some enemies may not have any information

It's important to keep in mind what information you 
have already shared, and to assume that your 
enemies already have this information
 
 
The State as an Enemy

May already know where you live

Driver's Licence

Can get access to state­held records

Income Tax Records

Health Records (MSP)

Social Assistance (Welfare)

Has the ability to conduct active surveillance

Has the ability to hire third parties to conduct 
surveillance
 
 
Passive Surveillance

Surveillance that requires very little effort for the 
police or private investigator to gather

This make take the form of Open Source 
Intelligence

This may also take the form of eavesdropping 
police officers
 
 
OSINT – Open Source Intel

Information found in published newspapers, 
journals as well as on the Internet on Mailing 
Lists, Facebook, Twitter, Flickr, Blogs

This can include Social Media vigilantes who have 
nothing better to do than to take your picture and 
post it on the Internet and say that you committed 
a crime

Keep your mouth shut when around people you 
don't know

Don't say anything on the Internet that you wouldn't 
be willing to say in public
 
 
Example of OSINT at Work
 
 
Side Note: RCMP FAIL
 
 
Passive Surveillance

Do not post any details of any action that may be 
considered by the authorities to be illegal online

In fact, don't put any information about yourself on 
Facebook if you can avoid it

Remember that regardless of where you are, there 
are people listening in on what you are saying
 
 
Active Surveillance

Where the state or private corporate intelligence 
agencies actually put effort into collecting 
information on individuals

This may include the following tactics

Intercepting Communications

Conducting Physical Surveillance of common 
meeting places (i.e. Spartacus Books, 12
th
 and 
Clark, Camas Books)

Putting listening devices into common meeting 
places where it would be next to impossible to find 
them (i.e. Spartacus Books)

Sending in undercover infiltrators to monitor or 
disrupt various groups (i.e. Spartacus Books, ORN, 
VMC)
 
 
Basic Security Culture

Do NOT discuss any action that could be 
considered illegal in public

Do NOT do anything that you are not comfortable 
with

Do NOT brag about actions

Do NOT do Indirect Bragging either

Do NOT spread rumours

Do NOT talk to the Police
 
 
On to Cryptography
 
 
Cryptography and Cypherpunks

Cypherpunks were Libertarian Mathematicians who 
believed that the world was heading to a 
totalitarian dictatorship

To counter this dictatorship, the Cypherpunks 
created technology to allow people to 
communicate without it being able to be read by 
governments easily

The Cypherpunks were Mathematicians, and they 
sucked at making any of this usable by actual 
people

The Cypherpunks were wrong
 
 
Why were the Cypherpunks wrong?

They believed that there wouldn't be choice in the 
world and planned for a totalitarian state ran by a 
single dictator

Instead, we have this thing called “Parliamentary 
Democracy” which is like a totalitarian state, 
except that we can choose things

Except that none of these things are a real choice

Facebook, Twitter or NOT

Cell Phones vs Not Having a Cell Phone

Choices have sacrifices, depending on who you 
want to reach and how you want to reach them
 
 
Security = Risk Management

What information are you trying to protect?

Personal information of your group (i.e. Phone lists, 
e­mail lists, names)

Plans for various actions (i.e. Billeting for Activists 
visiting from out of town)

Financial Information of the group (bank account 
numbers)

Minutes (Who was in attendance? Who said what?)

What is the likelihood of surveillance?

Does this really need to be secret?

Will keeping this info secret hurt your above­ground 
communication?
 
 
Basic Threats

Seize Equipment (Camas Books Raid)

Get information from Internet Service Providers 
and Third Parties (i.e. Facebook) (soon without a 
warrant)

IP addresses 

Logs of Network Traffic

Cell Phone Locations (where you've been)

Intercept communications

Phone Conversations

SMS

Internet Traffic
 
 
The Cloud
 
 
The Cloud

Cloud Computing is a fancy marketing gimmick 
which refers to things that don't run on your 
computer

This includes Facebook, Twitter, Google Apps 
(including Google+) as well as all WebMail

Most of this is hosted in the United States and is 
subject to the Patriot Act

Avoid cloud services if you possibly can
 
 
Alternatives to the Cloud

Run your own server

This is usually not feasible, and costs a LOT of 
money.  Co­Location is Expensive

Buy Managed Hosting/VPS

This is cheaper, gives you MOST of the advantages 
of co­location, but you don't have physical access 
to the machine

Use services from a trusted provider

riseup.net has a good reputation
 
 
Main Advantage to Managed/VPS

You can see when the cops come knocking

199.212.150.16 – ­ [17/Mar/2009:18:39:21 +0000] “GET 
/lib/exe/css.php?s=all&t=phosphor HTTP/1.1  200 2982 ″
“http://74.125.95.132/search?
q=cache:3gILJQWk_4EJ:vancouver.hackspace.ca/
+vancouver+hacker+society&cd=1&hl=en&ct=clnk&gl=ca” “Mozilla/4.0 
(compatible; MSIE 6.0; Windows NT 5.1; SV1; INFOWEB­APPROVED; 
INFOWEB­APPROVED­IE6­FR; .NET CLR 1.1.4322; .NET CLR 2.0.50727)”

It's possible to not log who is coming to your blog 
but determine whether it's the RCMP via the 
User­Agent (INFOWEB­APPROVED)
 
 
Data Seizure

Most common way data gets accessed

Seizure can include lost and stolen items, such as 
USB Keydrives

If equipment does get seized, it will be returned 
once Law Enforcement gets what they are after

The last thing you want to see is your equipment 
back.  It may be costly to lose it, but the 
government having evidence is worse 
 
 
Securing Against Seizure

Avoid running common configurations (i.e. 
Running Windows)

Full­Disk Encryption can protect data against basic 
threats

Ubuntu offers Full­Disk Encryption

Truecrypt can reasonably protect USB drives

Not completely foolproof, but works on Windows 
and Mac

Allows for both passwords to be used, and keys to be 
used
 
 
Downsides of Passwords

Passwords to encrypted data are not normally able 
to be changed

If the password is lost, the data is lost

If the password is shared, the data is compromised

If the tool is weak, or is suspected to have a back 
door, it is as useless as no encryption at all, or 
worse depending on what is found on the device

A judge can compel you to type in a password
 
 
Downsides of Keys

If the user gets the keys, they still need the 
password

Keys can get lost, causing the data to get lost

Using keys requires that the keys be on the machine 
that is getting seized
 
 
Full Disk Crypto Pros & Cons

Pros

Relatively Easy to Install and Use

Protects the data from Seizure as well as Theft

Can allow for data to be shipped securely in the mail

Cons

Performance issues when copying data to and from a 
disk

Takes FOREVER to encrypt large volumes
 
 
Protecting from Wire/Air Attacks

There are many ways to protect from surveillance 
through the Internet

Not all of them are very good

SSL

Tor/I2P

Off The Record

GPG Encryption (Not Recommended for most 
users)
 
 
Safety on the Web

Most activity takes place in the browser

Most web browsers transfer data in the clear, 
without encryption

Certain sites use Secure Socket Layer to transfer 
data

Always USE SSL

Make sure you keep your browser up to date

Use open source browsers, such as Firefox, since 
they are more trustworthy
 
 
HTTPS Everywhere

Firefox plugin that allows a user to force SSL on all 
major websites that use it

Includes all the mainstream webmail providers, 
social networks, as well as useful sites like 
DuckDuckGo

Does not force SSL on every site, but it helps

If you host a site that has users, your site MUST 
have an SSL certificate

More info at https://www.eff.org/https­everywhere/
 
 
Javascript/NoScript

Most sites on the Internet have Javascript

Javascript can be used to identify a user's browser, 
and get a unique browser signature

NoScript is a tool that allows the user to pick and 
choose which sites should be allowed to run 
Javascript on the browser

NoScript can protect against many attacks in 
Javascript, including Cross­Site Scripting, which 
is how data gets stolen from the browser

NoScript can be found at addons.mozilla.org
 
 
SSL and NoScript

Pros

SSL is easy to use crypography

Firefox Plugins are Easy to Install

Cons

Sites are harder to use because Javascript must be 
turned on for each one

Many sites don't use SSL

SSL Certificate Process is very corporate, and is not 
very trustworthy

Nation­States can issue certificates (like China)
 
 
The Tor Project

Encrypting things does not mean that you are 
anonymous online.  This is accomplished 
partially by using proxies, and more effectively 
by using Tor

Tor is The Onion Router

Functions as a network, forwarding request through 
a trusted set of nodes

Harder to intercept and so that the source and the 
destination don't know who each other are
 
 
The Tor Project (Cont)

Widely used Anonymity Software used by activists, 
anarchists as well as by law enforcement, 
intelligence agencies, and the military

Developed by a not­for­profit that takes money 
from everyone who uses it (including the US 
Government)

Open Source so people can (and do) check for back 
doors
 
 
The Tor Project (cont)

Downloading the Browser Bundle is the easiest way 
to start using Tor

Tor runs on Windows, Mac, Linux as well as on 
Android phones

To find out more about Tor:

https://torproject.org 
 
 
Tor Project

Pros

Allows for a fairly good level of anonymity

Good for gathering intelligence and visiting sites 
where you don't want your IP traced

Allows an easy encrypted tunnel

Harder to eavesdrop

Cons

Tor is VERY SLOW

Tor is experimental

Plaintext into Tor is Plaintext out!
 
 
Public Key Cryptography
 
 
Classic Example

Alice and Bob want to communicate

Eve is a member of the VPD's Crim. Intel group, 
who are known to spy on Anarchists

Alice sends Bob her Public Key, used to encrypt 
messages to Alice

Bob sends Alice his Public Key used to encrypt 
messages to Bob

Eve can now send messages to Bob and Alice, but 
still can't read the messages
 
 
Classic Example (in French)
 
 
Gnu Privacy Guard

GPG is an Open Source version of Pretty Good 
Privacy, written by Phil Zimmerman

GPG is very old, and Anarchists have been told to 
use it for the past decade

CSIS even wrote a paper claiming that Anti­
Globalization Activists were using it

GPG works on Windows, Mac and Linux, but is 
hard to setup on Windows and Mac

The only thing worse than having no encryption  is 
having BROKEN Encryption
 
 
GPG Encryption

Pros

Many people already use it

In encrypts e­mails well

GPG signatures ensure that the message hasn't been 
tampered and isn't coming from a 3
rd
 party

Cons

GPG is HARD to setup

GPG can't be easily used 
 
 
Off The Record

Off­The­Record Messaging is used to encrypt IM 
chat

Off­The­Record is GPG done right

Allows for Encryption, Authentication, Deniability 
and Perfect Forward Secrecy

Works with Pidgin Instant Messenger on Windows 
and Linux

Works with Adium on MacOS X

Gibberbot on Android supports OTR
 
 
Off The Record

Pros

Encrypted – Of course

Verifiable – Using Challenge/Response or a shared 
key, you can verify that who you're talking to is 
who they say they are

Deniable – Any message logged can be manipulated, 
meaning that you can deny that any of it occurred

Forward Security – If the key is lost, so are the 
messages

Cons

Instant Messaging Only

(Also works with SMS and VoIP calls on Android 
using WhisperSystems tech)
 
 
What if I don't have a computer

A computer is like a toothbrush

Sharing computers is a bad idea

Everyone who used the computer before you has 
their cookies and search history on the public 
machine

Malware, Keyloggers, Spyware (some of it rumoured 
to be installed by the RCMP themselves)

Get a cheap used notebook or a netbook, or at least 
get a USB key
 
 
USB keys

Most computers, if they aren't totally locked down, 
have the ability to boot off of a USB key

USB keys are good if you have to use a public 
computer and you don't trust the Operating 
System

Never trust the Public Computer to be anything other 
than an infested piece of crap!  Not even if it is 
running Linux

USB keys cost about $5, but you can get a couple 
for free as swag if you're lucky
 
 
TAILS

The Amnesiac Incognito Live System

Has all the tools that we discussed

Boots into a hardened version of Debian Linux

TAILS has a set of walkthroughs

TAILS is under active development

An easy way to try and use your computer securely 
without having to reinstall everything
 
 
Will all this help me?
 
 
So, how do we be safe online

The only way to win is to not play”
- WarGames
 
 
Ask simple questions!

Should this be put in writing?

If not, then DON'T WRITE IT!  Wait until you see 
them!

Does this have to be sent now?

If not, wait until you see the other person

Does the other person use OTR?

If not, see if they use GPG

Does the other person use GPG?

If they don't use either GPG or OTR, wait until you 
see them
 
 
Summary

The most secure information is the information that 
is NOT ONLINE

Encryption can be used to mitigate risk, but not 
eliminate it

Security is about evaluating risk

Everyone should practice security culture and use 
Cryptography
 
 
Resources

Crypto.is

https://crypto.is

(Please ignore the part about BitCoin)

The Tor Project

https://www.torproject.org

EFF Surveillance Self­Defence Project

https://ssd.eff.org