A raíz del exploit Freedom Hosting, creo que deberíamos reevaluar nuestro modelo de amenaza y actualizar nuestra seguridad para protegernos mejor de las amenazas reales que enfrentamos. Así que escribí esta guía para iniciar una conversación. De ninguna manera es integral. Solo me enfoco en la seguridad técnica. Quizás otros puedan abordar el envío y la seguridad financiera. Agradezco sus comentarios y me gustaría que estas ideas sean criticadas y ampliadas.
Mientras pensaba en escribir esta guía, decidí dar un paso atrás y hacer una pregunta básica: ¿cuáles son nuestros objetivos? Me he propuesto dos objetivos básicos que queremos lograr con nuestra seguridad técnica.
1. Evita ser identificado.
2. Minimiza el daño cuando somos identificados.
Puedes pensar en estos como nuestros "principios de seguridad guía". Si tiene una pregunta de seguridad técnica, puede llegar a una respuesta haciéndose estas preguntas:
1. ¿El uso de esta tecnología aumenta o disminuye las posibilidades de que me identifiquen?
2. ¿El uso de esta tecnología aumenta o disminuye el daño (p. Ej., La evidencia que se puede usar en mi contra) cuando me identifican?
Obviamente, deberá comprender la tecnología subyacente para responder estas preguntas.
El resto de esta guía explica las amplias características tecnológicas que disminuyen las posibilidades de que seamos identificados y que minimizan el daño cuando somos identificados. Hacia el final, enumero tecnologías específicas y las evalúo basadas en estas características.
En primer lugar, permítanme enumerar las amplias características que se me han ocurrido, y luego las explicaré.
1. Simplicidad
2. Confiabilidad
3. Ejecución mínima del código que no es de confianza
4. Aislamiento
5. Cifrado
Hasta cierto punto, nos hemos estado enfocando en cosas equivocadas. Principalmente me han preocupado los ataques a la capa de red o los "ataques a la red Tor", pero ahora me parece claro que es mucho más probable que los ataques de la capa de aplicación nos identifiquen. Las aplicaciones que ejecutamos sobre Tor son una superficie de ataque mucho más grande que Tor. Podemos minimizar nuestras posibilidades de ser identificados asegurando las aplicaciones que ejecutamos sobre Tor. Esta observación informa las primeras cuatro características que deseamos.
=== Simplicidad ===
A menos que no usemos computadoras, podemos minimizar las amenazas contra nosotros simplificando las herramientas tecnológicas que usamos. Es menos probable que una base de código más pequeña tenga errores, incluidas vulnerabilidades deananimización. Es menos probable que una aplicación más simple se comporte de formas inesperadas y no deseadas.
Como ejemplo, cuando el Proyecto Tor evaluó las huellas dejadas por el paquete del navegador, encontraron 4 rastros en Debian Squeeze, que usa el entorno de escritorio Gnome 2, y 25 huellas en Windows 7. Está claro que Windows 7 es más complejo y se comporta de formas más inesperadas que Gnome 2. Solo a través de su complejidad, Windows 7 aumenta su superficie de ataque y lo expone a más amenazas potenciales. (Aunque hay otras formas en que Windows 7 también lo hace más vulnerable). Las huellas que quedan en Gnome 2 son más fáciles de prevenir que las huellas dejadas en Windows 7, por lo que al menos con respecto a esta amenaza específica, Gnome 2 es deseable en Windows 7.
Entonces, al evaluar una nueva herramienta tecnológica por simplicidad, hágase estas preguntas:
¿Es más o menos complejo que la herramienta que estoy usando actualmente?
¿Realiza más o menos funciones (innecesarias) que la herramienta que estoy usando actualmente?
=== Confiabilidad ===
Deberíamos favorecer las tecnologías que son construidas por profesionales o personas con muchos años de experiencia en lugar de newbs. Un claro ejemplo de esto es CryptoCat, que fue desarrollado por un programador aficionado bien intencionado, y ha sufrido severas críticas debido a las muchas vulnerabilidades que se han descubierto.
Deberíamos favorecer las tecnologías que son de código abierto, tienen una gran base de usuarios y un largo historial de uso, ya que se revisarán más a fondo.
Al evaluar una nueva herramienta tecnológica para la confiabilidad, hágase estas preguntas:
¿Quién escribió o construyó esta herramienta?
¿Cuánta experiencia tienen?
¿Es de código abierto y qué tan grande es la comunidad de usuarios, revisores y colaboradores?
=== Ejecución mínima del código que no es de confianza ===
Las dos primeras características suponen que el código es de confianza, pero tiene posibles problemas no deseados. Esta característica supone que, como parte de nuestras actividades de rutina, es posible que tengamos que ejecutar un código arbitrario que no sea de confianza. Este es un código que no podemos evaluar de antemano. El principal lugar donde esto sucede es en el navegador, a través de complementos y scripts.
Debería evitar por completo ejecutar código que no sea de confianza, si es posible. Hágase estas preguntas:
¿Son las características que proporciona absolutamente necesarias?
¿Hay alternativas que brinden estas características sin requerir complementos o scripts?
=== Aislamiento ===
El aislamiento es la separación de componentes tecnológicos con barreras. Minimiza el daño ocasionado por los exploits, por lo que si se explota un componente, otros componentes seguirán protegidos. Puede ser su última línea de defensa contra los exploits de la capa de aplicación.
Los dos tipos de aislamiento son físicos (o basados en hardware) y virtuales (o basados en software). El aislamiento físico es más seguro que el aislamiento virtual, porque las barreras basadas en software pueden ser explotadas por códigos maliciosos. Preferimos el aislamiento físico sobre el aislamiento virtual sin aislamiento.
Al evaluar las herramientas de aislamiento virtual, hágase las mismas preguntas sobre la simplicidad y la confiabilidad. ¿Esta tecnología de virtualización realiza funciones innecesarias (como proporcionar un portapapeles compartido)? ¿Cuánto tiempo ha estado en desarrollo y cuán exhaustivamente se ha revisado? ¿Cuántos exploits se han encontrado?
=== Cifrado ==
La encriptación es una de las dos defensas que tenemos para minimizar el daño cuando somos identificados. Cuanta más encriptación use, mejor estará. En un mundo ideal, todos sus medios de almacenamiento estarían encriptados, junto con cada correo electrónico y PM que envíe. La razón de esto es porque, cuando algunos correos electrónicos se cifran pero otros no, un atacante puede identificar fácilmente los correos electrónicos interesantes. Puede aprender con quién se comunica con las partes interesantes, porque esas serán a las que enviará correos electrónicos encriptados (esto se conoce como fuga de metadatos). Los mensajes interesantes se pierden en el ruido cuando todo está encriptado.
Lo mismo ocurre con el cifrado de medios de almacenamiento. Si almacena un archivo encriptado en un disco duro no encriptado, un adversario puede determinar trivialmente que todo lo bueno está en ese pequeño archivo. Pero cuando utiliza el cifrado de disco completo, tiene una negación más plausible de si la unidad contiene datos que serían interesantes para ese adversario, porque hay más razones para encriptar un disco duro completo que un solo archivo. Además, un adversario que elude tu encriptación tendría que eliminar más datos para encontrar las cosas que le interesan.
Desafortunadamente, el uso del cifrado implica un costo que la gran mayoría de la gente no puede soportar, por lo que, como mínimo, la información confidencial debe estar encriptada.
En una nota relacionada, la otra defensa contra el daño es la eliminación segura de datos, pero eso lleva tiempo que puede que no tenga. El cifrado es un borrado de datos seguro preventivo. Es más fácil destruir datos cifrados, ya que solo tiene que destruir la clave de cifrado para evitar que un adversario acceda a los datos.
Finalmente, me gustaría agregar una función no técnica relacionada.
=== Comportamiento seguro ===
En algunos casos, la tecnología que utilizamos es solo tan segura como nuestro comportamiento. La encriptación es inútil si su contraseña es "contraseña". Tor es inútil si le dices a alguien tu nombre. Puede sorprenderle lo poco que un adversario necesita saber sobre usted para identificarlo de manera única. Aquí hay algunas reglas básicas a seguir:
No le digas a nadie tu nombre. (obv)
No describa su apariencia ni la apariencia de ninguna posesión importante (automóvil, casa, etc.).
No describas a tu familia y amigos.
No le digas a nadie tu ubicación más allá de un área geográfica amplia.
No le diga a las personas dónde viajará con anticipación (¡esto incluye festivales!).
No revele los horarios y lugares específicos donde vivió o visitó en el pasado.
No discuta arrestos específicos, detenciones, altas, etc.
No hable de su escuela, trabajo, servicio militar ni de ninguna organización con membresía oficial.
No hables de visitas al hospital.
En general, no hable de nada que lo vincule con un registro oficial de su identidad.
=== Una lista de configuraciones algo seguras para los usuarios de Silk Road ===
Debo comenzar señalando que las características descritas anteriormente no son igualmente importantes. El aislamiento físico es probablemente el más útil y puede protegerlo incluso cuando ejecuta código complejo y no confiable. En cada una de las configuraciones a continuación, supongo que un navegador / TBB completamente actualizado con scripts y complementos desactivados. Además, el término "ocultación de membresía" significa que alguien que mira su conexión a Internet no sabe que está usando Tor. Esto es especialmente importante para los vendedores. Puede usar puentes, pero he incluido VPN extrajurisdiccionales como una capa adicional de seguridad.
Con esto en mente, aquí hay una lista descendente de configuraciones seguras para los usuarios de SR.
¡Comenzando, les presento la configuración más segura!
# 1
Un enrutador con una VPN + una caja central anónima con Tor + una computadora que ejecuta Qubes OS.
Ventajas: aislamiento físico de Tor de las aplicaciones, aislamiento virtual de las aplicaciones entre sí, cifrado según sea necesario, ocultamiento de la membresía contra los observadores locales con VPN
Desventajas: Qubes OS tiene una pequeña base de usuarios y no está bien probado, hasta donde yo sé.
# 2
Anon middle box (o enrutador con Tor) + Qubes OS
Ventajas: aislamiento físico de Tor de las aplicaciones, aislamiento virtual de las aplicaciones entre sí, cifrado según sea necesario
Desventajas: Qubes OS tiene una pequeña base de usuarios y no está bien probado, no hay ocultación de membresía
# 3
Enrutador VPN + anon middle box + sistema operativo Linux
Ventajas: aislamiento físico de Tor de aplicaciones, cifrado de disco completo, base de código bien probada si es una distribución importante como Ubuntu o Debian
Desventajas: ningún aislamiento virtual de aplicaciones entre sí
# 4
Anon middle box (o enrutador con Tor) + SO Linux
Ventajas: aislamiento físico de Tor de aplicaciones, cifrado de disco completo, base de código bien probada
Desventajas: sin aislamiento virtual de las aplicaciones entre sí, sin ocultación de la membresía
# 5
Qubes OS por sí mismo.
Ventajas: aislamiento virtual de Tor de las aplicaciones, aislamiento virtual de las aplicaciones entre sí, cifrado según sea necesario, ocultamiento de la membresía (¿es posible? VPN puede ejecutarse en VM)
Desventajas: sin aislamiento físico, no bien probado
# 6
Whonix en el host de Linux.
Ventajas: aislamiento virtual de Tor de las aplicaciones, cifrado de disco completo (posible), ocultamiento de la membresía (posible, VPN puede ejecutarse en el host)
Desventajas: sin aislamiento físico, sin aislamiento virtual de las aplicaciones entre sí, no bien probado
# 7
Cruz
Ventajas: cifrado y no deja rastro, los exploits a nivel de sistema se borran después del reinicio, relativamente bien probado
Desventajas: sin aislamiento físico, sin aislamiento virtual, sin ocultación de la membresía, sin guardias de entrada persistentes. (pero puede establecer puentes manualmente)
# 8
Whonix en el host de Windows.
Ventajas: aislamiento virtual, encriptación (posible), ocultamiento de membresía (posible)
Desventajas: sin aislamiento físico, sin aislamiento virtual de aplicaciones entre sí, no bien probado, ¡las VM están expuestas al malware de Windows!
# 9
Sistema operativo Linux
Ventajas: cifrado de disco completo (posible), ocultación de membresía (posible)
Desventajas: sin aislamiento físico, sin aislamiento virtual
# 10
Sistema operativo Windows
Ventajas: cifrado de disco completo (posible), ocultación de membresía (posible)
Desventajas: ¡sin aislamiento físico, sin aislamiento virtual, el mayor objetivo de malware y exploits!
Suponiendo que hay un acuerdo general sobre el orden de esta lista, nuestro objetivo es configurar nuestras configuraciones personales para estar lo más arriba posible en la lista.
Material extraído de la internet profunda el dominio es:
Comentarios