C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
C3Priv C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Índice Motivação...... 4 Pen C3Piv...... 4 Porquê aplicações portáteis?...... 5 Porquê open-source?...... 5 De que forma devolvemos o controlo ao utilizador?...... 5 Conteúdos do C3Priv...... 7 Aplicações escolhidas...... 7 7-Zip...... 7 ClamWin...... 7 Evince...... 7 GIMP...... 7 Kee Pass...... 8 KiTTY...... 8 Libre Office...... 8 MicroSIP...... 8 Mozilla Firefox...... 9 Mozilla Thunderbird...... 9 openVPN...... 9 Pidgin...... 9 Songbird...... 10 VLC...... 10 WinSCP...... 10 WinWGET...... 10 Tor Bundle...... 10 Addons adicionados ao Firefox...... 11 Adblock Plus...... 11 Better Privacy...... 11 Bloody Vikings!...... 11 Do Not Track Me...... 12 DuckDuckGo Plus...... 12 Flagfox...... 12 FlashBlock...... 12 Force TLS...... 12 Ghostery...... 13 NoScript Security Suite...... 13 Perspectives...... 13 Self Destructing Cookies...... 13 Toggle Javascript...... 14 Web Of Trust...... 14 Área Cifrada...... 14 Alteração da password - Importante!...... 14 Contactos...... 20
2 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Motivação
Com o aumento da sensibilidade para as questões da segurança e da privacidade, impõe-se encontrar uma solução que vá ao encontro das necessidades mais comuns dos utilizadores, disponibilizando ferramentas que lhes permitam usar as redes informáticas e os computadores com o menor risco possível.
Acreditamos que o maior risco para o utilizador vem da falta de controlo que este tem sobre o software que usa. Frequentemente, aplicações e browsers guardam dados pessoais e informação delicada, sem que o utilizador se aperceba ou possa interferir no processo. O risco aumenta quando o ambiente deixa de ser familiar: computadores e redes públicas têm um comportam risco acrescido, sendo quase garantido que a privacidade - e até mesmo a segurança - do utilizador ficam em causa.
Manter ficheiros e configurações sincronizadas entre computadores é outro desafio comum. Entre o PC de casa e o do trabalho, por exemplo, é frequentemente necessário copiar ficheiros para os manter actualizados, enviar os marcadores do browser de um local para o outro, apontar passwords para poder aceder aos mesmos serviços em todo o lado. Estas operações são simultaneamente incómodas e arriscadas. Ficheiros antigos podem ser escritos sobre versões mais recentes, passwords e documentos podem perder- se ou ir parar às mãos erradas.
Com o objectivo de responder a estas dificuldades, o C3P está a desenvolver um "Kit de Sobrevivência (C3Priv)", criado para ser fácil de usar e ao mesmo tempo fornecer ao utilizador as ferramentas necessárias para se manter protegido em ambientes hostis.
Pen C3Piv
O Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto (C3P) em colaboração com a CNPD está a preparar uma Pen USB (denominada C3Priv), desenhada segundo o paradigma Privacy-by-Default, cujo slogan é: devolver o controlo da privacidade ao utilizador, sem que este tenha que se preocupar com as configurações das aplicações.
É importante alertar para o facto de ser um projecto evolutivo que está no seu início, será colocado ao dispor dos utilizadores um endereço de email para sugestões e notificação de erros. A Pen C3Priv será disponibilizada de forma gratuita no site da CNPD a partir do dia 11 deste mês ao abrigo de um protocolo de cooperação entre o C3P e a CNPD.
3 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
A solução criada consiste numa pen usb com um conjunto de software seleccionado e configurado para respeitar a privacidade do utilizador. Para este efeito é usada como base a plataforma criada pelo site "PortableApps" (http://portableapps.com/). Esta plataforma é usada para instalar vários programas portáteis open source que se encontram disponíveis para download a partir da plataforma. Além disso, são instalados outros programas que consideramos relevantes. É também incluído um programa de cifra, assim como uma secção cifrada na própria pen, que pode ser usada como uma "pasta" segura.
Porquê aplicações portáteis?
As aplicações portáteis são programas que funcionam da mesma forma que os originais, mas foram adaptadas param que toda a informação necessária ao funcionamento do programa, assim como todos os dados guardados, fiquem escritos dentro de sub-pastas na pasta do próprio programa. Isto significa que o programa não precisa de ser instalado num computador para ser usado, bastando ligar a pen C3Priv ao PC para ter todo o software disponível. Além disso, todos os ficheiros guardados ficam na C3Priv, e não no PC que foi utilizado, pelo que o utilizador tem sempre consigo os seus programas habituais, configurados segundo as suas preferências, assim como os ficheiros de que necessita para trabalhar.
Do ponto de vista da privacidade, esta solução tem a vantagem de reduzir ao mínimo a informação que é deixada no PC usado, reduzindo o risco do utilizador deixar inadvertidamente informação privada nas mãos de terceiros.
Porquê open-source?
Código aberto significa, entre outras coisas, que qualquer utilizador pode ler o código do programa e analisá-lo em detalhe. Este facto, conjugado com a popularidade do software seleccionado, garante que o programa foi analisado por muitas pessoas, em todo o mundo. Isto permite-nos afirmar com confiança que o programa é independente, gratuito, não tem “back-doors” e não oferece acesso privilegiado a instituições ou indivíduos à informação privada dos utilizadores.
De que forma devolvemos o controlo ao utilizador?
Ele passa a escolher: o que vê, quando vê, o que guarda para o futuro, quem o pode seguir, durante quanto tempo.
4 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Conteúdos do C3Priv
Aplicações escolhidas
7-Zip
Um arquivador de ficheiros popular, permite trabalhar com ficheiros comprimidos nos formatos 7z, ZIP, GZIP, BZIP2, TAR, RAR, entre outros.
Mais informação em http://www.7-zip.org/
ClamWin
O ClamWin é um anti-virus gratuito para o Microsoft Windows. Garante elevados níveis de detecção de virus e spyware, e é actualizado regularmente. A versão portátil do programa não tem actualizações automáticas, e a verificação de ficheiros tem de ser feita manualmente pelo utilizador.
Mais informação em http://www.clamav.net/
Evince
O Evince é um leitor de ficheiros pdf, postscript, djvu, tiff e dvi.
Mais informação em http://projects.gnome.org/evince/
GIMP
O GIMP (GNU Image Manipulation Program) é um editor de imagem completo, que contém todas as funções básicas de um editor de imagem, permitindo ainda a utilizadores avançados a
5 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto edição profissional de fotografias, ou a criação e edição de imagens e ilustrações.
Mais informação em http://www.gimp.org/about/introduction.html
Kee Pass
O KeePass é um gestor de passwords que permite guardar de forma segura as passwords do utilizador. As passwords são guardadas numa base de dados segura. O utilizador só precisa de decorar uma password, que funciona como chave mestra e permite o acesso a toda a base de dados.
Mais informação em http://keepass.info/
KiTTY
Cliente de telnet e SSH para Windows, permite ligar de forma segura a sistemas remotos.
Mais informação em http://kitty.9bis.com/
Libre Office
O Libre Office é uma suite de programas de office compatível com o Microsoft Office, Word Perfect, Lotus, e outras aplicações semelhantes.
Mais informação em https://www.libreoffice.org/
MicroSIP
O MicroSIP permite fazer chamadas VoIP de alta qualidade, usando o protocolo SIP.
Mais informação em http://microsip.org.ua/
6 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Mozilla Firefox
O Mozilla Firefox é um dos mais populares navegadores web e tem várias funcionalidades de segurança e privacidade disponíveis. A versão portátil do programa não deixa nenhuma informação pessoal no PC em que é utilizada.
Mais informação em http://www.mozilla.com/firefox/
Mozilla Thunderbird
O Mozilla Thunderbird é um cliente de correio electrónico seguro e fácil de usar. Suporta IMAP/POP e RSS. A versão portátil não deixa nenhuma informação pessoal no PC em que é utilizada, permitindo o transporte e acesso seguro a e-mails e contactos.
Mais informação em http://www.mozilla.com/thunderbird/
openVPN
O OpenVPN permite criar ligações através de túneis encriptados e aceder a recursos remotos de forma segura.
Mais informação em http://sourceforge.net/projects/openvpn/
Pidgin
O Pidgin Portable é um programa de troca de mensagens instantâneas com suporte para AOL, ICQ, MSN, Yahoo!, entre outros. Todas as definições e listas de amigos são privadas e nenhuma informação permanece no PC usado. Plugins podem ser facilmente adicionados para adicionar encriptação às mensagens.
Mais informação em http://www.pidgin.im/ e https://otr.cypherpunks.ca/
7 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Songbird
Leitor de áudio com suporte para MP3, FLAC, Vorbis, WMA, entre outros.
Mais informação em http://getsongbird.com/
VLC
Leitor multimédia com suporte para vários formatos de vídeo e áudio.
Mais informação em http://www.videolan.org/vlc/
WinSCP
O WinSCP é um cliente de SFTP e FTP para Windows e permite a cópia segura de ficheiros locais para um computador remoto.
Mais informação em http://winscp.net/
WinWGET
Gestor de downloads baseado no Wget.
Mais informação em http://www.cybershade.us/winwget/
Tor Bundle
A Tor Bundle é um pacote que incluí uma versão do Firefox modificada para utilizar a rede Tor ao aceder à Internet. Permite ao utilizador aceder à Internet de forma anónima.
Mais informação em https://www.torproject.org/
8 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Addons adicionados ao Firefox
Add-ons, ou extras, são complementos ao navegador web que permitem que o utilizador adicione ou aumente funcionalidades do navegador, use temas ao seu gosto, e lide com novos tipos de conteúdo. Seleccionámos e instalámos os seguintes:
Adblock Plus
O Adblock Plus usa vários filtros para remover a publicidade online e bloquear sites com malware.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/adblock-plus/
Better Privacy
Protege o utilizador contra os (super)cookies. Esta nova geração de cookies permite o profilling do comportamento dos utilizadores na web, facilmente acessível por empresas de marketing. Este add-on foi feito para sensibilizar os utilizadores para os objectos ocultos que nunca expiram e oferecer uma maneira mais fácil de visualizar e de geri-los, visto que os navegadores são incapazes de o fazer pelo utilizador.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/betterprivacy/
Bloody Vikings!
Simplifica o uso de endereços de e-mail temporários, permitindo que o utilizador permaneça anónimo, ao mesmo tempo que protege o seu endereço real de SPAM.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/bloody-vikings/
9 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Do Not Track Me
Sempre que navega na Internet, empresas, redes de publicidade e redes sociais, recolhem informações sobre o utilizador. Tudo desde o que lê, onde clica e o que compra está a ser monitorizado e armazenado. O DoNotTrackMe (DNT +) previne este profilling indesejado
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/donottrackplus/
DuckDuckGo Plus
Adiciona o DuckDuckGo como o motor de pesquisa definido para a barra de endereços e barra de pesquisa. Adiciona resultados do DuckDuckGo em pesquisas no Google ou Bing.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/duckduckgo-for-firefox
Flagfox
Entre outras funcionalidades avançadas, o Flagfox mostra na barra de endereços a bandeira correspondente ao país em que se encontra fisicamente o servidor web actual.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/flagfox
FlashBlock
O Flashblock bloqueia todo o conteúdo Flash numa página, e adiciona um botão que permite ao utilizador escolher se quer fazer download e visualizar esse conteúdo. Bloqueia conteúdos de Macromedia Flash, Macromedia Shockwave e Macromedia Authorware.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/flashblock/
Force TLS
O ForceTLS substituí as ligações HTTP (inseguras) por HTTPS (seguras) sempre que o servidor suportar este ultimo tipo.
10 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/force-tls
Ghostery
O Ghostery detecta trackers, beacons e outras ferramentas usadas para seguir o utilizador online, colocadas nas páginas por redes de publicidade, empresas de colecção de dados e estudo de mercado, entre outros, permitindo que o utilizador os desactive.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/ghostery/
NoScript Security Suite
Garante que JavaScript, Java e outros scripts e programas só são executados se vierem de domínios seguros, escolhidos pelo utilizador, oferecendo proteção contra vários tipos comuns de ataques na web.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/noscript
Perspectives
O Perspectives constrói uma base de dados de identidades usando informação obtida em vários locais diferentes na Internet. Sempre que o utilizador acede a um site seguro, este extra compara o certificado do site com a informação que recolheu na sua base de dados, alertando se existir alguma irregularidade.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/perspectives
Self Destructing Cookies
Apaga os cookies e o armazenamento local assim que o separador do site que os criou é fechado.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/self-destructing-cookies
11 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Toggle Javascript
Adiciona um botão na barra de ferramentas para ligar e desligar rapidamente o JavaScript.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/toggle-js
Web Of Trust
Este extra mostra a reputação de um site ao mostrar um semáforo junto de cada resultado de uma pesquisa em qualquer motor de busca comum. O símbolo também é visível em links em sites como o Facebook, Twitter, Gmail, Wikipédia, entre outros. Uma luz verde significa que os utilizadores classificaram o site como sendo confiável, enquanto que uma luz amarela ou vermelha alerta para potenciais ameaças.
Mais informação em https://addons.mozilla.org/pt-PT/firefox/addon/wot-safe-browsing-tool
Área Cifrada
Alteração da password - Importante!
O ficheiro encriptado "Documentos.tc"* tem uma password padrão que não é segura. Para que os seus documentos fiquem guardados em segurança, é necessário que crie outra password. Para o fazer basta completar os seguintes passos:
12 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
1) Abrir o Programa TrueCrypt
2) Seleccionar o ficheiro encriptado
13 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
3) Seleccionar a ferramenta para alterar a password:
Em "Volume Tools...", escolher "Change Volume Password";
14 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
4) Escolher a nova password
A password padrão é “random”. A nova password deve ter no mínimo 20 caracteres. Escolher uma password aleatória é a melhor forma de criar uma password segura;
5) Abrir o ficheiro encriptado
Seleccionar na lista uma letra que não esteja associada a nenhum disco. (No nosso caso escolhemos o 'X'). Clicar em "Mount", no canto inferior esquerdo.
15 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Introduzir a nova password, e clicar em "OK". A pasta encriptada poderá ser acedida pela letra do disco escolhida, ou pelo ficheiro "Documentos.tc"*
*Nota: Nalguns sistemas o ficheiro será apenas chamado de "Documentos"
16 C3Priv Centro de Competências em Cibersegurança e Privacidade da Universidade do Porto
Contactos
Os programas presentes nesta drive USB foram reunidos e configurados por Mafalda Freitas, em conjunto com o C3P.
Para sugestões e/ou notificação de erros, por favor envie e-mail para:
Centro de Competências em Cibersegurança e Privacidade:
Telefone: +351 220 402 982
e-mail: [email protected]
Web: http://www.c3p.up.pt/
Comissão Nacional de Protecção de Dados:
Telefone: +351 213928400
Fax: +351 213976832
e-mail: [email protected]
Web: http://www.cnpd.pt/
17