Como acabamos de terminar una sección sobre verificación de descargas con firmas y claves públicas, calculé que deberíamos hacer una publicación rápida para verificar los mensajes utilizando las mismas dos cosas, firmas y claves públicas.
Ahora, para aquellos de ustedes que son miembros Internet profunda, notarán que a algunas personas, principalmente a los Moderadores les gusta firmar sus mensajes con firmas. Veamos un ejemplo de un mensaje firmado de Dread Pirate Roberts. El último mensaje que dejó antes de ir a su permiso de ausencia.
Silk Road no se ha visto comprometida, incluso si las acusaciones son ciertas. Ninguno de los dos tenía acceso a material sensible. Haré un anuncio más tarde para abordar las preocupaciones que esto ha planteado.
Entonces, ¿por qué deberías preocuparte por esto? ¿Cuál es el significado de firmar un mensaje? La razón es que, en caso de que alguien comprometa la cuenta del DPR, debido a que tiene una contraseña débil o posiblemente un exploit en la codificación del foro, entonces la persona no podrá firmar los mensajes sin acceder a la clave privada del DPR. Así que veamos cómo podemos verificar este mensaje dejado por el DPR. Antes que nada, debe visitar la página de perfil de Dread Pirate Roberts y tomar su clave pública de PGP. No voy a publicar la clave aquí por razones de espacio, solo visite su página en la siguiente URL e importe esa clave en su llavero.
A continuación, resalte todo el mensaje firmado por PGP de arriba a abajo y cópielo en su portapapeles (haga clic con el botón derecho, Copie). Verá que su pequeño icono del Portapapeles en la esquina superior derecha de Tails se vuelve rojo. Haga clic en ese portapapeles y seleccione Descifrar / Verificar . Deberías obtener los siguientes resultados. Uno en la ventana en la parte superior y el otro en la parte inferior.
Silk Road no se ha visto comprometida, incluso si las acusaciones son ciertas. Ninguno de los dos tenía acceso a material sensible. Haré un anuncio más tarde para abordar las preocupaciones que esto ha planteado.
gpg: Buena firma de "Dread Pirate Roberts <silkroad6ownowfk.onion>"
gpg: ADVERTENCIA: ¡Esta clave no está certificada con una firma de confianza!
gpg: no hay indicación de que la firma pertenezca al propietario.
Huella digital de la clave principal: 5A48 F5D0 50E9 9052 62B4 799D CCB2 38E4 7CFE DFBC
De nuevo obtenemos la misma advertencia que hicimos al verificar nuestras descargas, diciendo que no hemos verificado que la clave pública de PGP sea auténtica. Podemos ver que el nombre de la firma fue hecho por Dread Pirate Roberts y la sección de comentarios tiene la URL de Silk Road, hasta ahora, todo bien. Ahora recuerde cuando verificamos TOR? Queríamos ver las huellas dactilares para ver si coincidían. Hacemos esto yendo a nuestro anillo de claves (Manage Keys), y seleccionando la clave del DPR, haciendo clic con el botón derecho y yendo a las propiedades. Ahora vaya a la pestaña Detalles y busque debajo de donde dice Huella digital: y compare los números que están allí con los números que obtuvimos cuando verificamos la firma. Deberían ser los siguientes.
799D CCB2 38E4 7CFE DFBC
Entonces, a menos que se comprometiera la clave privada del DPR, sabemos que él mismo fue quien escribió ese mensaje. Entonces ahora ves por qué algunas personas deciden firmar sus mensajes. Es una manera de verificar que su cuenta no se haya visto comprometida al verificar que la persona que controla la cuenta es la misma persona que tiene el control de la clave privada de PGP.
¿Quieres aprender a firmar un mensaje? Es muy fácil. Abre gedit Text Editor y escribe un mensaje. A continuación, seleccione el mensaje y cópielo en el portapapeles (haga clic con el botón derecho - Copiar) y luego haga clic en el icono del portapapeles en la parte superior y seleccione Firmar / Encriptar portapapeles con claves públicas. No elija una clave de su lista de claves públicas de PGP a menos que desee encriptar el mensaje. Si desea cifrar el mensaje para enviarlo a la bandeja de entrada de alguien o para que solo una persona pueda verlo, seleccione su nombre y lo encriptará con su clave pública de PGP. En nuestro caso, solo queremos firmar el mensaje sin encriptarlo, pero ciertamente puede hacer ambas cosas al mismo tiempo si así lo desea.
Si miras hacia abajo cerca de la parte inferior, verás dónde dice Firmar mensaje como: haz clic en esto y selecciona tu clave personal. Le pedirá su frase de contraseña porque recuerde que está firmando esto con su clave privada. Una vez que lo ingrese correctamente, el mensaje firmado de PGP se copiará en su portapapeles y podrá pegarlo en cualquier lugar (clic derecho - Pegar) que desee. Aquí lo que parecía el mío.
Y si quiere verificarlo, ¡revise mi clave pública de PGP en mi perfil y verifique mi firma de PGP contra mi clave! Es así de simple. Pero podría estar preguntando, ¿alguien puede cambiar el mensaje y copiar la firma? No, cambiar el mensaje cambiará la firma porque la firma depende tanto del mensaje como de la clave privada de PGP. Entonces, si cambias un solo carácter de mi mensaje firmado, obtendrás el siguiente error.
gpg: mala firma de "Jolly Roger (Vivirían y morirían bajo ella)"
Entonces, ¿cuándo deberías firmar un mensaje? ¿Y cuándo no deberías firmar un mensaje? Gran pregunta La mayoría de los usuarios probablemente no deberían firmar mensajes a menos que tengan que hacerlo porque le da una negación plausible. Es más fácil negar la publicación de ciertas cosas o ciertas comunicaciones que pueda haber tenido con vendedores u otras personas, incluidas las fuerzas del orden público, si no firma sus mensajes, porque siempre puede reclamar que otra persona tuvo acceso a su cuenta. Es más difícil hacer esto si firmó el mensaje con su clave privada de PGP. Si está tratando con alguien que quiere verificar su identidad y asegurarse de que su firma actual coincida con la clave pública que tenían archivada para usted desde hace 6 meses, entonces tal vez podrían hacer que envíe un mensaje firmado. Pero nuevamente, todo lo que necesitan hacer es enviarle un mensaje encriptado con su clave pública de PGP que tenían archivada, y si no pueden descifrarlo, no son quienes dicen ser.
En la aplicación del mundo real, los desarrolladores pueden usar mensajes firmados de PGP en Anuncios o quizás nuevos lanzamientos de sus programas que proporcionen una URL de descarga para que los usuarios puedan estar seguros de que el desarrollador es el que publica la URL y no un atacante malintencionado que haya comprometido la cuenta del foro de el desarrollador y demás. Entonces, para el usuario promedio del foro de Ruta de la Seda, realmente no hay muchas veces en que debería estar firmando mensajes a menos que sea moderador o haga un anuncio público, etc., pero es una opción que ahora tiene en su arsenal, y ahora puede comenzar a verificar las firmas de los administradores y moderadores en caso de que crea que sus cuentas se han visto comprometidas.
Un ejemplo realmente malo Opsec - smarten up
Rastreame si puedes ...
Increíble, acabo de ver en Netflix. Esto no es terriblemente nuevo, se hizo en 2010, pero es bastante minucioso en su demostración de cómo desaparecer en la cultura moderna de EE. UU.
Debo agregar que parte de la tecnología que presentó desde el otro lado es bastante alarmante.
Entonces, ¿por qué es esto revelador? ¿Por qué es tan malo que podrías estar preguntando? Bueno, Netflix recopila metadatos en sus usuarios al igual que cualquier otra corporación de big data. Si eres un usuario de Netflix, es probable que tengas un perfil que haga un seguimiento de cada película que hayas visto y lo que hayas calificado, y así sucesivamente.
Citar
La vigilancia electrónica y la nueva ley de atención médica están en la agenda mientras Obama y el vicepresidente Biden se reúnen con un grupo que incluye ejecutivos de Apple, Amazon, Twitter, Netflix , Yahoo, Facebook, Microsoft y Google.
Este usuario declaró que solo vio una película específica, que él nombró. Y también afirmó que esta película ha estado en funcionamiento desde 2010. Entonces, ¿cuántas personas crees que vieron esta película exacta en el tiempo que este tipo declaró que la vio? Probablemente no demasiados. Menos de 100 seguro, ya que la película ha estado funcionando durante casi 3 años. Bueno, ahora el gobierno federal tiene una lista de 100 sospechosos o menos, uno de los cuales es este usuario particular en Silk Road.
¿Pero tal vez estaba usando una VPN para conectarse a Netflix? Estupendo…. usa esa VPN para cualquier otra cosa? Iniciando sesión en su correo electrónico, navegando por la web, etc. ... Incluso si usó una VPN, ¿quizás mantienen registros? Tal vez están basados en los EE. UU. Y están sujetos fácilmente a citaciones, tal vez derramen todo como lo hizo HideMyAss. Simplemente no lo sabemos, pero este es exactamente el tipo de información que todos ustedes NO deberían revelar acerca de ustedes mismos. Esta es extremadamente mal OpSec.
Pero luego miré aún más a través del perfil de este usuario y miré sus publicaciones. Sé en qué país vive, sé qué drogas ha importado a su país y sé de qué países ha importado esas drogas. Este tipo ha hablado sobre cocinar drogas, habla de estar en una zona fría de su país, que no todas las partes de ese país en particular se enfrían, lo que ayuda a las fuerzas del orden a reducir la lista de sospechosos que obtuvieron de Netflix.
Si cree que la aplicación de la ley no está interesada en los compradores, está tristemente equivocado. A veces, si establecen que un comprador ha estado comprando a un proveedor lo que buscan, entonces eliminar al comprador puede ayudarlos a llegar al proveedor. Pueden hacerse cargo de la identidad en línea del usuario y comenzar a ordenar cosas de los proveedores, ya que ya ha establecido un fideicomiso con estos proveedores en particular. Si el vendedor se cae debido a la confianza acumulada con el comprador, el vendedor está en problemas.
¡Quiero que todos aprendan una lección de esto! Si vas a hablar acerca de los proveedores de los que compras, en qué país vives y de qué países has importado drogas, entonces es mejor que te MOLESTE que no comiences a revelar detalles como qué película viste anoche en Netflix. Eso es casi tan malo como iniciar sesión en un servidor con su dirección IP real. ¡Mantén la boca cerrada sobre tu vida personal!
Como conectarse a TOR en la parte superior de TOR (Volver) | TOR Chat = Seguir leyendo
Comentarios