Guía de indicaciones para preservar los derechos fundamentales en Internet
21 de setembre, 2017

Guia d’indicacions per preservar els drets fonamentals a Internet

Fonts per actualització:
https://www.localizationlab.org/blog/2022/2/27/digital-security-assessment-amp-list-of-localized-tools-in-ukrainian
https://ssd.eff.org/en/module/attending-protest
 

Tot el que s’explica en aquesta guia és per protegir la inviolabilitat de les nostres comunicacions, el nostre dret a la privacitat i la llibertat d’opinió política, d’expressió i d’accés a la informació, tots ells drets fonamentals legalment reconeguts des de fa segles.

És important que no s’instaurin doctrines jurídiques que culpin les eines dels delictes. Les eines són neutrals. Fer ús d’una particular eina mai pot ser indici de delicte per si mateix. Només l’ús que es fa de les eines pot ser considerat delictiu.

En l’era post revelacions d’Snowden, moltes institucions, entre les quals es troba l’ONU i la UE, recorden que l’única manera que tenim les persones per protegir-nos de la vigilància massiva és a través de l’ús d’eines autònomes de protecció de les nostres comunicacions.

[European Parliament Science and Technology Options Assessment (STOA) on Mass Surveillance: “El xifrat és l’única opció en mans de la població per defensar-se contra la vigilància massiva” – http://www.europarl.europa.eu/stoa/webdav/site/cms/shared/0_home/STOA Study Mass Surveillance Part 1.pdf]

Guia d’indicacions per preservar els drets fonamentals a Internet

  1. Bloqueig arbitrari de llocs web i aplicacions
  2. Xifrat de dispositius mòbils
  3. Allotjament: privacitat i seguretat
  4. Missatgeria, VOIP, email i intercanvi d’arxius de forma privada i segura
  5. Bloqueig d’aplicacions de missatgeria
  6. Apagada d’Internet
  7. Més

[La intenció d’aquest manual és que sigui millorat col·lectivament; si tens algun correcció escriu a: info[at]xnet-x.net / Clau pública PGP]

# Bloqueig arbitrari de llocs web i aplicacions

Els bloquejos arbitraris a Internet ocorren principalment – tot i que no només – quan un gover intencionalment interromp l’accés a llocs web, a aplicacions mòbils o serveis de comunicació electrònica per censurar o controlar el que la gent diu o fa.

L’accés a Internet és essencial per a l’exercici de les nostres llibertats i ha de ser considerat en si mateix un dret fonamental [#KeepItOn]. Bloquejar parcialment o totalment l’accés a Internet és una pràctica comuna en països amb règims autoritaris, per exemple, per evitar l’accés a determinats tipus de continguts (contraris al règim, LGTBI, etc.) i exercir control sobre la conversa i el flux de informació.

Com accedir a llocs webs censurats o bloquejats arbitràriament en una connexió / localització concreta: Tor i VPN

La xarxa Tor o una VPN permeten accedir a webs i aplicacions que han estat bloquejades de manera abusiva en una regió o país, navegant per Internet com si s’estigués fent des d’una altra localització geogràfica.
Per exemple, si un país bloqueja l’accés a Twitter, a través la xarxa Tor o una VPN les persones poden accedir a la xarxa social com si la seva connexió sortís des d’un altre punt o país on no hagi aquestes restriccions arbitràries a la llibertat d’expressió i d’accés a la informació. A més d’això, la navegació en ambdós casos és xifrada – com en un “sobre tancat”, de manera que només pot ser llegida per qui envia i qui rep..

Tor a Android: Orbot

Com descargar i usar Orbot:

Tor a iPhone: Onion Browser

Per iPhone no existeix una aplicació que permeti utilitzar la xarxa Tor per a qualsevol aplicació instal·lada al dispositiu. No obstant això, amb el navegador Onion Browser es pot accedir a llocs web i a la versió web d’aplicacions bloquejades arbitràriament.

Tor a PC: Navegador Tor

Descarregar el navegador Tor per PC (Linux / MacOS / Windows).
Video: Com fer servir Tor en PCs creat pel llançament de la Bústia Ética de l’Ajuntament de Barcelona:

VPN

Una VPN (Virtual Private Network) et permet crear una xarxa local virtual. Això permet que abans de sortir a l’Internet obert, les teves dades viatgin per una connexió xifrada, una mena de túnel, i es connectin a la xarxa global des d’una altra localització.
L’aplicació més fàcil i ràpida d’instal·lar per activar una connexió VPN és Bitmask, que a més és gratuïta. De moment només està disponible per a mòbils Android i PC Linux encara que la seva versió per a MacOs iPhone està a punt de ser publicada i més endavant també la seva versió Windows. No obstant això, hi ha molts serveis de pagament molt econòmics que ofereixen connexió VPN per a tot tipus de dispositius, per exemple ProtonVPN que ofereix també una versió limitada de proba – vegeu més avall indicacions per utilitzar serveis d’Internet que garanteixin la preservació de la privacitat i informació.
És aconsellable disposar d’ambdues opcions Tor i VPN. Així, en el cas que es bloquegés el trànsit a través de Tor, es pot usar la VPN, i viceversa.

Per a la correcta configuració de la connexió VPN, sense la qual no solament no podràs superar el bloqueig sinó que deixes al descobert les teves dades de connexió, és important assegurar que no estem patint el que és conegut com ‘Fuga de DNS’. A la pàgina DNS Leak test s’explica i es porta a terme el test per comprovar-ho i com solucionar-ho.

# Xifrat de dispositius mòbils

Xifrar els dispositius, sobretot els telèfons mòbils, és essencial per mantenir la privacitat de les dades personals en cas que es perdi o ens sigui sostret. Per això, la majoria de smartphones porten de sèrie eines instal·lades que permeten, en uns quants passos simples, xifrar tot el dispositiu i es recomana fer-ho protegir la privacitat de les dades, comptes, contactes i informació de l’usuari.

Xifrat de dispositiu mòbil: exemple amb Android

Xifrat de do de mòbils iPhone.

En geneal, com a bona pràctica, no s’ha d’emmagatzemar informació innecessària als dispositius, esborra periòdicament. Encara que estiguis segur que tot el que tens és absolutament legal, recorda que no ets tu, sinó el poder qui decideix que és legal i que no és legal, i el que avui és legal podria no ser-ho demà en el cas que un règim es torni autoritari. Eliminar y buidar la paperera no és suficient, cal utilitzar eines específiques que sobreescriuen les dades diverses vegades. Més informació i eines per fer-ho aquí (es va descobrir una porta del darrere a CCleaner per a Windows que ja ha estat corregida, descàrrega sempre l’última versió).

Recorda també crear i mantenir contrasenyes segures, úniques i fortes. Alguns consells de com fer-ho aquí (nota: el desbloqueig per patró és sempre molt més feble que una contrasenya alfanumèrica).

Nota per a l’Estat espanyol: En el cas que les forces de seguretat requisin el dispositiu d’algú en qualitat d’investigat, aquesta persona té dret a no revelar les seves claus de xifrat, PIN, patró de desbloqueig, contrasenya o similars, dins el dret a no declarar contra un mateix (Llei d’enjudiciament criminal Art. 118 h i Art. 588 septies b 2; explicat en aquest document a la Secretaria d’Estat d’Unió Europea).

# Allotjament: privacitat i seguretat

La censura a llocs web per part d’un govern autoritaris pot donar-se a un altre nivell més profund quan en lloc de bloquejar l’accés a la web a través de la xarxa, es tanca la pàgina ja sigui intervenint en els servidors o requisant el domini. En aquest cas eines com Tor o una VPN no poden ser de cap ajuda.

Per prevenir aquesta situació (o crear un mirror – còpia de la mateixa web – en un allotjament segur si la web ja ha estat censurada), els ciutadans que viuen en estats autoritaris no han allotjar els seus continguts en un servidor dins del territori del seu país. Cal buscar i escollir països on el marc legal ofereixi garanties fortes respecte a la llibertat d’expressió i informació on situar el hosting.

Tampoc han de registrar el domini del seu lloc web susceptible a ser censurat amb Top Level Domains propis del país. És més fàcil per a un govern intervenir en e seu TLD que en altres com .net, .eu, que son globales, o .is. Recentment hem viscut un desproporcionat exemple d’això, sense precedents a la Unió Europea, aquí a Estat espanyol amb el TLD .cat:

Finalment per protegir la seva privacitat i seguretat (per evitar spam, correus no desitjats o un altre tipus d’assetjament), han d’optar per adquirir el seu domini en serveis de registre que ofereixin fortes garanties de seguretat jurídica, per exemple Njalla.

Molts registradors de dominis ofereixen la possibilitat de no publicar les dades del propietari i de gestionar ells mateixos les sol·licituds que rebi, siguin elles peticions de contacte de compradors, de particulars o d’autoritats i institucions. Aquest tipus de servei és conegut com whois privat.

Es pot comprendre la importància d’aquest requisit entrant per exemple a https://whois.icann.org/ o a https://www.nic.es/sgnd/dominio/publicInformacionDominios.action (per a dominis acabats en .es) i buscant un web qualsevol.
Apareixerà un fitxer en el qual surten totes les dades. Si la persona propietària del lloc web no ha utilitzat un proveïdor que s’encarregui de protegir la seva privacitat, es veurà publicada – i qualsevol persona des d’on sigui podrà veure-ho – aquesta informació:

REGISTRANT CONTACT
Name: NOM I COGNOM (cal notar que donar informació inexacta o desactualitzada és penat)
Organization: NOM DE L’ORGANITZACIÓ, si n’hi ha
Street: ADREÇA (Cal notar que donar informació inexacta o desactualitzada és penat)
City: CIUTAT
State: ESTAT
Postal Code: CÓDI POSTAL
Phone: NÚMERO DE TELÈFON COMPLET (Cal notar que donar informació inexacta o desactualitzada és penat)
Email: EMAIL

Si el propietari ha pres la mesura funcional i habitual que les peticions siguin gestionades pel proveïdor (ha optat per activar el servei de whois privat) , les dades remeten al proveïdor del servei. El proveïdor s’encarregarà de comunicar al propietari si algú li ha buscat o requerit per aquesta via. És important que en el contracte el proveïdor t’asseguri dels terminis en què et comunica la informació. Els proveïdors més ètics i respectuosos dels drets dels seus usuaris solen oferir uns terminis entre el requeriment i la comunicació de les teves dades a qui els requereixen si tu no has contestat.

No tots els dominis ho consenten ja que no tots els dominis són gestionats de la mateixa manera. Els dominis genèrics, els .com, .net, .biz, .org, etc … estan gestionats per la ICANN – la Corporació d’Internet per a l’Assignació de Noms i Números, màxim organisme de la governança d’Internet, i és aquesta organització la que permet l’ús que els dominis puguin recórrer a la protecció de Whois. Els dominis .es en canvi, estan gestionats per Red.es i en aquests dominis no es permet el poder ocultar les dades del registre dels usuaris que volen adquirir d’un domini .es.
Els dominis .cat, gestionats per la Fundació puntCAT, tampoc ofereixen privacitat total de la identitat.

# Missatgeria, VOIP, email i intercanvi d’arxius de forma privada i segura

La vigilància massiva del que fem i diem a Internet (i en totes les comunicacions electròniques) per part dels governs és una evidència a partir de les revelacions de Snowden. A continuació uns consells per ajudar a defensar la privacitat front a aquestes pràctiques mitjançant eines de xifrat.

Missatgeria

Signal

Para proteger la privacidad de tus comunicaciones utiliza siempre aplicaciones de mensajería que dispongan de cifrado punta a punta por defecto. Recomanem per això l’ús de Wire (descarregar i instal·lar Wire per a telèfons Android o iPhone; PC Linux, MacOS o Windows; o en naegador web), app de missatgeria xifrada punta a punta d’ús fàcil i intuïtiu. És possible crear un compte en Wire sense necessitat de associar-lo al telèfon mòbil. Per fer-ho cal crear primer el compte a Wire des del PC, procés que no requereix el número de telèfon mòbil, i després instal·lar l’app Wire al dispositiu mòbil i logejarte en aquest compte. Per aquesta i altres característiques Wire encapçala aquesta llista d’aplicacions recomanades.

Una altra alternativa segura Signal (Android| iPhone), app de missatgeria xifrada punta a punta recomanada pel mateix Snowden.

Entre altres aplicacions populars de missatgeria, també Whatsapp ha integrat el xifrat cap a cap en totes les seves comunicacions per defecte (tot i això, Facebook ja ha compartit dades dels seus usuaris entre Whatsapp i la xarxa social, per això Signal segueix sent millor opció). Telegram, disposa d’opció de xifrat però no està activa per defecte.

És important notar que encara que siguin xifrades punta a punta, excepte en el cas de Wire si s’ha creat el compte des del PC com expliquem, les aplicacions anteriors estan associades al número de mòbil de l’usuari. Així doncs, encara que la comunicació sigui xifrada (una tercera persona no pot veure el contingut) no és anònima i es coneix la identitat de l’emissor i receptor així com les hores i temps de connexió i geolocalització.

Video trucades – VOIP

Es poden realitzar trucades i vídeo trucades a través d’Internet xifrades amb Signal (i Whatsapp) a un contacte.MeetJitsi permet fer videotrucades xifrades en grup així com també Wire. Les trucades i videotrucades a través de Skype, Hangouts o altres no protegeixen prou la privacitat de les teves comunicacions.

Correu electrònic Xifrat

En el cas del correu electrònic, és important saber que tot email enviat i rebut pot ser llegit (i de fet és processat) pels proovedores de servei electrònic. Alguns d’ells, quan requerits per les autoritats, tenen escassa cura pel que fa a la privacitat i seguretat jurídica dels seus clients / usuaris. Desaconsellem en general l’ús de serveis com gmail, yahoo, hotmail, etc. En tot cas, s’ha de saber que enviar email sense xifrat és gairebé com enviar correu en sobre obert. Una bona alternativa a aquests serveis és Protonmail, que aplica automàticament xifrat punta a punta a tots els correus electrònics. Com a resultat, els correus electrònics xifrats no es poden compartir amb tercers. La versió gratuïta té 2 GB d’emmagatzematge.

Sigui quin sigue el servidor email sempre és possible protegir el dret al secret de la comunicació emprant el xifrat mitjançant PGP. Això et permet protegir la privacitat de les comunicacions i dels arxius enviats a través de correu electrònic. En aquesta guia de Security in a Box s’explica com utilitzar email amb PGP a Linux | MacOS | Windows.

Novament en aquest cas, la comunicació és xifrada pel que fa al contingut, però no anònima.
Què vol dir? Vol dir que encara que no indiquem el nostre nom, utilitzem un compte de correu electrònic en el qual no apareix la nostra identitat o un d’un sol ús, tota comunicació electrònica deixa un rastre, l’anomenada adreça IP, que és una direcció única assignada a cada dispositiu a la xarxa i que indica des d’on s’ha efectuat una comunicació. A més el remitent, destinatari, i assumpte del missatge així com altres “metadades” del correu no són xifrats i indiquen qui el rep, quan i altres dades. Per això, l’únic anonimat real possible per a transferència de fitxers i informació només pot aconseguir-se a través de la xarxa Tor, perquè aquesta comunicació no es realitza de punt A a punt B sinó que la connexió passa per diversos nodes intermedis dins de la xarxa Tor dels quals cap punt coneix a la vegada l’origen i destí. Evidentment, accedir al nostre compte ordinàri de gmail o qualsevol xarxa social a través de la xarxa Tor desvetlla la identitat tot i amagar l’adreça IP.

OnionShare és una eina de codi obert que permet compartir de forma segura i anònima fitxers de qualsevol mida. Funciona creant una URL temporal que apunta al fitxer i que només és accessible a través de Tor. Aprèn com funciona i com utilitzar-lo a la wiki.

Un altre exemple sobre com lliurar informació de manera anònima i segura és el Bustia de Xnet per denúncia de corrupció, basat en Globaleaks i accessible a través de Tor.

# Bloqueig d’aplicacions de missatgeria

Alternatives per comunicació privada i pública en cas de que es bloquegin les aplicacions de missatgeria tipus Signal o WhatsApp, i xarxes socials. Com a prevenció davant de possibles bloquejos o altres pràctiques repressives sempre és aconsellable diversificar i disposar de diverses aplicacions alternatives.

FireChat: per Android i iPhone

FireChat permet és una aplicació de missatgeria que permet la comunicació entre dispositius i la publicació en fòrums públics entre dispositius propers a través de mesh-networks.

  • Sales públiques: tipus #SalaPublica1, són xats oberts en els que tots els missatges arriben a tots els participants del xat. Tots els missatges són públics i no xifrats. Els mateixos creadors de FireChat recomanen no fer servir dades personals i tenir precaució amb la informació personal que es comparteix en els xats públics.
  • Missatges privats: Els missatges privats són xifrats i només poden ser vistos per l’emissor i els receptors, que poden ser un o diversos.

Aquesta és l’aplicació que van usar els manifestants de la revolució dels paraigües grocs en Hong Kong quan el seu govern va bloquejar les seves comunicacions.

Descarregar FireChat per Android o iPhone: https://www.opengarden.com/firechat.html

Com fer servir FireChat: https://www.opengarden.com/how-to.html

# Apagada d’Internet

En el cas extrem d’apagada en el qual es talli totalment la connexió a Internet, com passa en situacions de gran repressió, hi ha aplicacions que permeten la comunicació entre dispositius mòbils fins i tot sense connexió.

Briar: per Android

Briar, Secure messaging, anywhere

Briar és una aplicació de missatgeria de codi obert dissenyada per activistes, periodistes i qualsevol altra persona que necessiti una forma segura, fàcil i robusta de comunicar-se. A diferència de les eines de missatgeria tradicionals com correu electrònic, Twitter o Telegram, Briar no es basa en un servidor central: els missatges es sincronitzen directament via P2P entre els dispositius dels usuaris.

Si Internet està caigut, Briar pot sincronitzar els missatges via Bluetooth o Wi-Fi, mantenint el flux d’informació en cas de crisi. Els dispositius han de poder connectar entre ells de manera que la distància màxima en el cas de Bluetooth és 70 metres aprox. o una mica més en el cas del Wi-Fi depenent de l’abast d’aquest. En el cas de grups o fòrums la sincronització p2p pot tenir major abast com més gran el grup.

Amb connexió a Internet, Briar es sincroiniza a través de la xarxa Tor, protegint als usuaris de vigilància.

Descarregar Briar: https://briarproject.org/download.html

Manual d’ús de Briar: https://briarproject.org/manual/

# Més

Aquestes guia recull un seguit d’indicacions bàsiques per preservar els drets a Internet. Per a més seguretat i privacitat a Internet consulta Security in a Boxhttps://securityinabox.org/es.

El manual “Zen y el arte de que la tecnología trabaje para ti” per llegir més sobre la creació i gestió d’identitats en línia així com sobre la construcció i manteniment d’espais segurs en línia i en la vida física: https://ttc.io/zen

MyShadow (La meva Ombra Digital) per llegir i aprendre sobre eines i metodologies per entendre i modificar la teva ombra digital: https://myshadow.org/es

Finalment pel que fa a logística bàsica, es recomana sortir de casa sempre amb els dispositius carregats i si pot ser amb bateries externes per a més autonomia.

 

Foto de portada de la campanya KeepItOn d’Accessnow.

|