c3priv - c3p.up.ptc3p.up.pt/c3priv/file/c3p_c3priv.pdf · c3priv centro de competências em...
TRANSCRIPT
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
C3Priv
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
ÍndiceMotivação....................................................................................................................................4
Pen C3Piv.........................................................................................................................................4Porquê aplicações portáteis?......................................................................................................5Porquê open-source?..................................................................................................................5De que forma devolvemos o controlo ao utilizador?..................................................................5
Conteúdos do C3Priv....................................................................................................................7Aplicações escolhidas.......................................................................................................................7
7-Zip.............................................................................................................................................7ClamWin......................................................................................................................................7Evince..........................................................................................................................................7GIMP............................................................................................................................................7Kee Pass.......................................................................................................................................8KiTTY............................................................................................................................................8Libre Office..................................................................................................................................8MicroSIP......................................................................................................................................8Mozilla Firefox.............................................................................................................................9Mozilla Thunderbird....................................................................................................................9openVPN.....................................................................................................................................9Pidgin...........................................................................................................................................9Songbird....................................................................................................................................10VLC.............................................................................................................................................10WinSCP......................................................................................................................................10WinWGET..................................................................................................................................10Tor Bundle.................................................................................................................................10
Addons adicionados ao Firefox......................................................................................................11Adblock Plus..............................................................................................................................11Better Privacy............................................................................................................................11Bloody Vikings!..........................................................................................................................11Do Not Track Me.......................................................................................................................12DuckDuckGo Plus......................................................................................................................12Flagfox.......................................................................................................................................12FlashBlock..................................................................................................................................12Force TLS...................................................................................................................................12Ghostery....................................................................................................................................13NoScript Security Suite..............................................................................................................13Perspectives..............................................................................................................................13Self Destructing Cookies............................................................................................................13Toggle Javascript........................................................................................................................14Web Of Trust.............................................................................................................................14
Área Cifrada...................................................................................................................................14Alteração da password - Importante!.......................................................................................14
Contactos...................................................................................................................................20
2
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Motivação
Com o aumento da sensibilidade para as questões da segurança e da privacidade, impõe-se encontrar
uma solução que vá ao encontro das necessidades mais comuns dos utilizadores, disponibilizando
ferramentas que lhes permitam usar as redes informáticas e os computadores com o menor risco possível.
Acreditamos que o maior risco para o utilizador vem da falta de controlo que este tem sobre o software
que usa. Frequentemente, aplicações e browsers guardam dados pessoais e informação delicada, sem que o
utilizador se aperceba ou possa interferir no processo. O risco aumenta quando o ambiente deixa de ser
familiar: computadores e redes públicas têm um comportam risco acrescido, sendo quase garantido que a
privacidade - e até mesmo a segurança - do utilizador ficam em causa.
Manter ficheiros e configurações sincronizadas entre computadores é outro desafio comum. Entre o PC
de casa e o do trabalho, por exemplo, é frequentemente necessário copiar ficheiros para os manter
actualizados, enviar os marcadores do browser de um local para o outro, apontar passwords para poder
aceder aos mesmos serviços em todo o lado. Estas operações são simultaneamente incómodas e arriscadas.
Ficheiros antigos podem ser escritos sobre versões mais recentes, passwords e documentos podem perder-
se ou ir parar às mãos erradas.
Com o objectivo de responder a estas dificuldades, o C3P está a desenvolver um "Kit de Sobrevivência
(C3Priv)", criado para ser fácil de usar e ao mesmo tempo fornecer ao utilizador as ferramentas necessárias
para se manter protegido em ambientes hostis.
Pen C3Piv
O Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto (C3P) em
colaboração com a CNPD está a preparar uma Pen USB (denominada C3Priv), desenhada segundo o
paradigma Privacy-by-Default, cujo slogan é: devolver o controlo da privacidade ao utilizador, sem que este
tenha que se preocupar com as configurações das aplicações.
É importante alertar para o facto de ser um projecto evolutivo que está no seu início, será colocado ao
dispor dos utilizadores um endereço de email para sugestões e notificação de erros. A Pen C3Priv será
disponibilizada de forma gratuita no site da CNPD a partir do dia 11 deste mês ao abrigo de um protocolo
de cooperação entre o C3P e a CNPD.
3
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
A solução criada consiste numa pen usb com um conjunto de software seleccionado e configurado para
respeitar a privacidade do utilizador. Para este efeito é usada como base a plataforma criada pelo site
"PortableApps" (http://portableapps.com/). Esta plataforma é usada para instalar vários programas
portáteis open source que se encontram disponíveis para download a partir da plataforma. Além disso, são
instalados outros programas que consideramos relevantes. É também incluído um programa de cifra, assim
como uma secção cifrada na própria pen, que pode ser usada como uma "pasta" segura.
Porquê aplicações portáteis?
As aplicações portáteis são programas que funcionam da mesma forma que os originais, mas foram
adaptadas param que toda a informação necessária ao funcionamento do programa, assim como todos os
dados guardados, fiquem escritos dentro de sub-pastas na pasta do próprio programa. Isto significa que o
programa não precisa de ser instalado num computador para ser usado, bastando ligar a pen C3Priv ao PC
para ter todo o software disponível. Além disso, todos os ficheiros guardados ficam na C3Priv, e não no PC
que foi utilizado, pelo que o utilizador tem sempre consigo os seus programas habituais, configurados
segundo as suas preferências, assim como os ficheiros de que necessita para trabalhar.
Do ponto de vista da privacidade, esta solução tem a vantagem de reduzir ao mínimo a informação que
é deixada no PC usado, reduzindo o risco do utilizador deixar inadvertidamente informação privada nas
mãos de terceiros.
Porquê open-source?
Código aberto significa, entre outras coisas, que qualquer utilizador pode ler o código do programa e
analisá-lo em detalhe. Este facto, conjugado com a popularidade do software seleccionado, garante que o
programa foi analisado por muitas pessoas, em todo o mundo. Isto permite-nos afirmar com confiança que
o programa é independente, gratuito, não tem “back-doors” e não oferece acesso privilegiado a instituições
ou indivíduos à informação privada dos utilizadores.
De que forma devolvemos o controlo ao utilizador?
Ele passa a escolher: o que vê, quando vê, o que guarda para o futuro, quem o pode seguir, durante
quanto tempo.
4
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Conteúdos do C3Priv
Aplicações escolhidas
7-Zip
Um arquivador de ficheiros popular, permite trabalhar com ficheiros comprimidos nos
formatos 7z, ZIP, GZIP, BZIP2, TAR, RAR, entre outros.
Mais informação em http://www.7-zip.org/
ClamWin
O ClamWin é um anti-virus gratuito para o Microsoft Windows. Garante elevados níveis de
detecção de virus e spyware, e é actualizado regularmente. A versão portátil do programa não tem
actualizações automáticas, e a verificação de ficheiros tem de ser feita manualmente pelo
utilizador.
Mais informação em http://www.clamav.net/
Evince
O Evince é um leitor de ficheiros pdf, postscript, djvu, tiff e dvi.
Mais informação em http://projects.gnome.org/evince/
GIMP
O GIMP (GNU Image Manipulation Program) é um editor de imagem completo, que contém
todas as funções básicas de um editor de imagem, permitindo ainda a utilizadores avançados a
5
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
edição profissional de fotografias, ou a criação e edição de imagens e ilustrações.
Mais informação em http://www.gimp.org/about/introduction.html
Kee Pass
O KeePass é um gestor de passwords que permite guardar de forma segura as passwords do
utilizador. As passwords são guardadas numa base de dados segura. O utilizador só precisa de
decorar uma password, que funciona como chave mestra e permite o acesso a toda a base de
dados.
Mais informação em http://keepass.info/
KiTTY
Cliente de telnet e SSH para Windows, permite ligar de forma segura a sistemas remotos.
Mais informação em http://kitty.9bis.com/
Libre Office
O Libre Office é uma suite de programas de office compatível com o Microsoft Office, Word
Perfect, Lotus, e outras aplicações semelhantes.
Mais informação em https://www.libreoffice.org/
MicroSIP
O MicroSIP permite fazer chamadas VoIP de alta qualidade, usando o protocolo SIP.
Mais informação em http://microsip.org.ua/
6
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Mozilla Firefox
O Mozilla Firefox é um dos mais populares navegadores web e tem várias funcionalidades de
segurança e privacidade disponíveis. A versão portátil do programa não deixa nenhuma
informação pessoal no PC em que é utilizada.
Mais informação em http://www.mozilla.com/firefox/
Mozilla Thunderbird
O Mozilla Thunderbird é um cliente de correio electrónico seguro e fácil de usar. Suporta
IMAP/POP e RSS. A versão portátil não deixa nenhuma informação pessoal no PC em que é
utilizada, permitindo o transporte e acesso seguro a e-mails e contactos.
Mais informação em http://www.mozilla.com/thunderbird/
openVPN
O OpenVPN permite criar ligações através de túneis encriptados e aceder a recursos remotos
de forma segura.
Mais informação em http://sourceforge.net/projects/openvpn/
Pidgin
O Pidgin Portable é um programa de troca de mensagens instantâneas com suporte para AOL,
ICQ, MSN, Yahoo!, entre outros. Todas as definições e listas de amigos são privadas e nenhuma
informação permanece no PC usado. Plugins podem ser facilmente adicionados para adicionar
encriptação às mensagens.
Mais informação em http://www.pidgin.im/ e https://otr.cypherpunks.ca/
7
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Songbird
Leitor de áudio com suporte para MP3, FLAC, Vorbis, WMA, entre outros.
Mais informação em http://getsongbird.com/
VLC
Leitor multimédia com suporte para vários formatos de vídeo e áudio.
Mais informação em http://www.videolan.org/vlc/
WinSCP
O WinSCP é um cliente de SFTP e FTP para Windows e permite a cópia segura de ficheiros
locais para um computador remoto.
Mais informação em http://winscp.net/
WinWGET
Gestor de downloads baseado no Wget.
Mais informação em http://www.cybershade.us/winwget/
Tor Bundle
A Tor Bundle é um pacote que incluí uma versão do Firefox modificada para utilizar a rede Tor
ao aceder à Internet. Permite ao utilizador aceder à Internet de forma anónima.
Mais informação em https://www.torproject.org/
8
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Addons adicionados ao Firefox
Add-ons, ou extras, são complementos ao navegador web que permitem que o utilizador
adicione ou aumente funcionalidades do navegador, use temas ao seu gosto, e lide com novos
tipos de conteúdo. Seleccionámos e instalámos os seguintes:
Adblock Plus
O Adblock Plus usa vários filtros para remover a publicidade online e bloquear sites com
malware.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/adblock-plus/
Better Privacy
Protege o utilizador contra os (super)cookies. Esta nova geração de cookies permite o profilling
do comportamento dos utilizadores na web, facilmente acessível por empresas de marketing. Este
add-on foi feito para sensibilizar os utilizadores para os objectos ocultos que nunca expiram e
oferecer uma maneira mais fácil de visualizar e de geri-los, visto que os navegadores são incapazes
de o fazer pelo utilizador.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/betterprivacy/
Bloody Vikings!
Simplifica o uso de endereços de e-mail temporários, permitindo que o utilizador permaneça
anónimo, ao mesmo tempo que protege o seu endereço real de SPAM.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/bloody-vikings/
9
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Do Not Track Me
Sempre que navega na Internet, empresas, redes de publicidade e redes sociais, recolhem
informações sobre o utilizador. Tudo desde o que lê, onde clica e o que compra está a ser
monitorizado e armazenado. O DoNotTrackMe (DNT +) previne este profilling indesejado
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/donottrackplus/
DuckDuckGo Plus
Adiciona o DuckDuckGo como o motor de pesquisa definido para a barra de endereços e barra
de pesquisa. Adiciona resultados do DuckDuckGo em pesquisas no Google ou Bing.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/duckduckgo-for-firefox
Flagfox
Entre outras funcionalidades avançadas, o Flagfox mostra na barra de endereços a bandeira
correspondente ao país em que se encontra fisicamente o servidor web actual.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/flagfox
FlashBlock
O Flashblock bloqueia todo o conteúdo Flash numa página, e adiciona um botão que permite
ao utilizador escolher se quer fazer download e visualizar esse conteúdo. Bloqueia conteúdos de
Macromedia Flash, Macromedia Shockwave e Macromedia Authorware.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/flashblock/
Force TLS
O ForceTLS substituí as ligações HTTP (inseguras) por HTTPS (seguras) sempre que o servidor
suportar este ultimo tipo.
10
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/force-tls
Ghostery
O Ghostery detecta trackers, beacons e outras ferramentas usadas para seguir o utilizador
online, colocadas nas páginas por redes de publicidade, empresas de colecção de dados e estudo
de mercado, entre outros, permitindo que o utilizador os desactive.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/ghostery/
NoScript Security Suite
Garante que JavaScript, Java e outros scripts e programas só são executados se vierem de
domínios seguros, escolhidos pelo utilizador, oferecendo proteção contra vários tipos comuns de
ataques na web.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/noscript
Perspectives
O Perspectives constrói uma base de dados de identidades usando informação obtida em
vários locais diferentes na Internet. Sempre que o utilizador acede a um site seguro, este extra
compara o certificado do site com a informação que recolheu na sua base de dados, alertando se
existir alguma irregularidade.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/perspectives
Self Destructing Cookies
Apaga os cookies e o armazenamento local assim que o separador do site que os criou é
fechado.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/self-destructing-cookies
11
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Toggle Javascript
Adiciona um botão na barra de ferramentas para ligar e desligar rapidamente o JavaScript.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/toggle-js
Web Of Trust
Este extra mostra a reputação de um site ao mostrar um semáforo junto de cada resultado de
uma pesquisa em qualquer motor de busca comum. O símbolo também é visível em links em sites
como o Facebook, Twitter, Gmail, Wikipédia, entre outros. Uma luz verde significa que os
utilizadores classificaram o site como sendo confiável, enquanto que uma luz amarela ou vermelha
alerta para potenciais ameaças.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/wot-safe-browsing-tool
Área Cifrada
Alteração da password - Importante!
O ficheiro encriptado "Documentos.tc"* tem uma password padrão que não é segura. Para que
os seus documentos fiquem guardados em segurança, é necessário que crie outra password. Para
o fazer basta completar os seguintes passos:
12
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
1) Abrir o Programa TrueCrypt
2) Seleccionar o ficheiro encriptado
13
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
3) Seleccionar a ferramenta para alterar a password:
Em "Volume Tools...", escolher "Change Volume Password";
14
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
4) Escolher a nova password
A password padrão é “random”. A nova password deve ter no mínimo 20 caracteres. Escolher
uma password aleatória é a melhor forma de criar uma password segura;
5) Abrir o ficheiro encriptado
Seleccionar na lista uma letra que não esteja associada a nenhum disco. (No nosso caso
escolhemos o 'X'). Clicar em "Mount", no canto inferior esquerdo.
15
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Introduzir a nova password, e clicar em "OK". A pasta encriptada poderá ser acedida pela letra
do disco escolhida, ou pelo ficheiro "Documentos.tc"*
*Nota: Nalguns sistemas o ficheiro será apenas chamado de "Documentos"
16
C3PrivCentro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Contactos
Os programas presentes nesta drive USB foram reunidos e configurados por Mafalda Freitas,
em conjunto com o C3P.
Para sugestões e/ou notificação de erros, por favor envie e-mail para:
Centro de Competências em Cibersegurança e Privacidade:
Telefone: +351 220 402 982
e-mail: [email protected]
Web: http://www.c3p.up.pt/
Comissão Nacional de Protecção de Dados:
Telefone: +351 213928400
Fax: +351 213976832
e-mail: [email protected]
Web: http://www.cnpd.pt/
17