From 23ac9f57b9b4c761cb8edc5bfa0c0de77ec89326 Mon Sep 17 00:00:00 2001 From: Silvio Rhatto Date: Sat, 30 Sep 2017 14:06:22 -0300 Subject: Change extension to .md --- events/2014/campusparty.md | 121 +++++++++++++++++++++++++++ events/2014/campusparty.mdwn | 121 --------------------------- events/2014/cryptorave.md | 188 ++++++++++++++++++++++++++++++++++++++++++ events/2014/cryptorave.mdwn | 188 ------------------------------------------ events/2014/pilulas.md | 51 ++++++++++++ events/2014/pilulas.mdwn | 51 ------------ events/2014/securebrasil.md | 122 +++++++++++++++++++++++++++ events/2014/securebrasil.mdwn | 122 --------------------------- events/2014/sesc.md | 186 +++++++++++++++++++++++++++++++++++++++++ events/2014/sesc.mdwn | 186 ----------------------------------------- 10 files changed, 668 insertions(+), 668 deletions(-) create mode 100644 events/2014/campusparty.md delete mode 100644 events/2014/campusparty.mdwn create mode 100644 events/2014/cryptorave.md delete mode 100644 events/2014/cryptorave.mdwn create mode 100644 events/2014/pilulas.md delete mode 100644 events/2014/pilulas.mdwn create mode 100644 events/2014/securebrasil.md delete mode 100644 events/2014/securebrasil.mdwn create mode 100644 events/2014/sesc.md delete mode 100644 events/2014/sesc.mdwn (limited to 'events/2014') diff --git a/events/2014/campusparty.md b/events/2014/campusparty.md new file mode 100644 index 0000000..6b01366 --- /dev/null +++ b/events/2014/campusparty.md @@ -0,0 +1,121 @@ +[[!meta title="Você sabe o quanto é espionado? E como evitar?"]] + +- Você sabe o quanto é espionado? E como evitar? +- Silvio Rhatto @ Campus Party Brasil 7 #CPBR7 2014. +- [Página do evento](http://campuse.ro/social/resource/38713/view.cp). +- [Slides em PDF](slides.pdf). + +Você sabe o quanto é espionado? +=============================== + +**TL;DR** - Ninguém sabe **o quanto** - podemos descobrir brechas de privacidade, mas **dificilmente +saberemos se não estamos sendo monitorados** + +- O quanto conseguimos auditar das nossas vidas? Existem modelos de ameaça traçados? +- A segurança digital ou a falta dela está em vários niveis, da BIOS e microcode até a comunicação instantânea. +- Visão sobre privacidade tipicamente dada no nível individual, porém os problemas atingem populações inteiras! + +Mas o que sabemos então? +======================== + +0wned! +------ + +* Você usa celular? Este primeiro é um dispositivo de localização e só depois um comunicador! +* Você usa X? Muito material disponível sobre sistemas e suas vulnerabilidades **conhecidas** + +Paranoia Mode, ativar? +---------------------- + +* Por padrão, dados de comunicação são armazenados! +* O que não implica que necessariamente você seja um alvo de espionagem ativa. +* No entanto, dados podem ser guardados indefinidamente. +* Haja com naturalidade: assuma que, independente de espionagem, você deve se proteger. + +Feliz 2014! +=========== + + + + "Esta é a última geração livre [...] A chegada conjunta + de sistemas de governo e o apartheid informational são + tais que nenhum(a) de nós será capaz the escapar deles + em apenas uma década" + + -- Julian Assange, "Sysadmins do mundo, uni-vos!" + http://is.gd/ZceGDz, tradução livre + + + + "Uma criança nascida hoje crescerá sem nenhum conceito de + privacidade. Ela jamais saberá o que significa ter um + momento privado para si mesmas [..] E esse é um problema, + porque privacidade é importante. Privacidade é o que nos + permite determinar quem somos e quem queremos ser." + + -- Mensagem de Natal de Edward Snowden + http://vimeo.com/82686097, tradução livre + +Infraestrutura +============== + +- Nossos computadores são pequenos, leves e portáteis apenas porque o grosso do processamento está + disperso em elementos que não controlamos. + +- **Temos computadores, mas não temos os servidores. Nos comunicamos, mas não temos segurança.** + +- Será que não é o caso de buscar soluções coletivas para a comunicação segura? + +Perpectiva: o lado do servidor OU, como embaralhar os lados? +============================================================ + +- Muito se diz sobre como usuários/as podem se defender contra a vigilância de massa. +- Pouco se diz como eles/as também podem ser tornar provedores de serviços! + +Faça você mesmo/a +================= + +Serviços +-------- + +- Email, Jabber, Web, armazenamento de arquivos, VPN, etc. +- [Free and Open Source Services](https://rhatto.fluxo.info/services/): rhatto.fluxo.info/services (coming soon). + +Implementações +--------------- + +- [Virtual Appliances](https://en.wikipedia.org/wiki/Virtual_appliance): Wikipedia Virtual_appliance (en). +- [FreedomBox](https://www.freedomboxfoundation.org/): freedomboxfoundation.org. +- [GNU Consensus](https://gnu.org/consensus): gnu.org/consensus. +- [LEAP Encryption Access Project](https://leap.se): leap.se. +- [Processo Hydra](https://hydra.fluxo.info): hydra.fluxo.info (coming soon). + +Esforço necessário +================== + +Fácil: + +- Hardware barato: Raspberry Pi, MiniITX, etc. +- Muita documentação disponível! +- Muita configuração já disponível! + +Difícil: + +- Gargalos: dedicação, energia e banda. IPv6, neutralidade da rede e acesso ubíquo podem ajudar! +- Nível de serviço, backups e qualidade: tenha um nobreak e um disco externo! Se o sistema der certo, invista em redundância :) + +Dúvidas? +======== + +- rhatto @ riseup.net / https://oblivia.vc +- https://seguranca.fluxo.info (coming soon) +- https://rhatto.fluxo.info/campusparty (coming soon) diff --git a/events/2014/campusparty.mdwn b/events/2014/campusparty.mdwn deleted file mode 100644 index 6b01366..0000000 --- a/events/2014/campusparty.mdwn +++ /dev/null @@ -1,121 +0,0 @@ -[[!meta title="Você sabe o quanto é espionado? E como evitar?"]] - -- Você sabe o quanto é espionado? E como evitar? -- Silvio Rhatto @ Campus Party Brasil 7 #CPBR7 2014. -- [Página do evento](http://campuse.ro/social/resource/38713/view.cp). -- [Slides em PDF](slides.pdf). - -Você sabe o quanto é espionado? -=============================== - -**TL;DR** - Ninguém sabe **o quanto** - podemos descobrir brechas de privacidade, mas **dificilmente -saberemos se não estamos sendo monitorados** - -- O quanto conseguimos auditar das nossas vidas? Existem modelos de ameaça traçados? -- A segurança digital ou a falta dela está em vários niveis, da BIOS e microcode até a comunicação instantânea. -- Visão sobre privacidade tipicamente dada no nível individual, porém os problemas atingem populações inteiras! - -Mas o que sabemos então? -======================== - -0wned! ------- - -* Você usa celular? Este primeiro é um dispositivo de localização e só depois um comunicador! -* Você usa X? Muito material disponível sobre sistemas e suas vulnerabilidades **conhecidas** - -Paranoia Mode, ativar? ----------------------- - -* Por padrão, dados de comunicação são armazenados! -* O que não implica que necessariamente você seja um alvo de espionagem ativa. -* No entanto, dados podem ser guardados indefinidamente. -* Haja com naturalidade: assuma que, independente de espionagem, você deve se proteger. - -Feliz 2014! -=========== - - - - "Esta é a última geração livre [...] A chegada conjunta - de sistemas de governo e o apartheid informational são - tais que nenhum(a) de nós será capaz the escapar deles - em apenas uma década" - - -- Julian Assange, "Sysadmins do mundo, uni-vos!" - http://is.gd/ZceGDz, tradução livre - - - - "Uma criança nascida hoje crescerá sem nenhum conceito de - privacidade. Ela jamais saberá o que significa ter um - momento privado para si mesmas [..] E esse é um problema, - porque privacidade é importante. Privacidade é o que nos - permite determinar quem somos e quem queremos ser." - - -- Mensagem de Natal de Edward Snowden - http://vimeo.com/82686097, tradução livre - -Infraestrutura -============== - -- Nossos computadores são pequenos, leves e portáteis apenas porque o grosso do processamento está - disperso em elementos que não controlamos. - -- **Temos computadores, mas não temos os servidores. Nos comunicamos, mas não temos segurança.** - -- Será que não é o caso de buscar soluções coletivas para a comunicação segura? - -Perpectiva: o lado do servidor OU, como embaralhar os lados? -============================================================ - -- Muito se diz sobre como usuários/as podem se defender contra a vigilância de massa. -- Pouco se diz como eles/as também podem ser tornar provedores de serviços! - -Faça você mesmo/a -================= - -Serviços --------- - -- Email, Jabber, Web, armazenamento de arquivos, VPN, etc. -- [Free and Open Source Services](https://rhatto.fluxo.info/services/): rhatto.fluxo.info/services (coming soon). - -Implementações ---------------- - -- [Virtual Appliances](https://en.wikipedia.org/wiki/Virtual_appliance): Wikipedia Virtual_appliance (en). -- [FreedomBox](https://www.freedomboxfoundation.org/): freedomboxfoundation.org. -- [GNU Consensus](https://gnu.org/consensus): gnu.org/consensus. -- [LEAP Encryption Access Project](https://leap.se): leap.se. -- [Processo Hydra](https://hydra.fluxo.info): hydra.fluxo.info (coming soon). - -Esforço necessário -================== - -Fácil: - -- Hardware barato: Raspberry Pi, MiniITX, etc. -- Muita documentação disponível! -- Muita configuração já disponível! - -Difícil: - -- Gargalos: dedicação, energia e banda. IPv6, neutralidade da rede e acesso ubíquo podem ajudar! -- Nível de serviço, backups e qualidade: tenha um nobreak e um disco externo! Se o sistema der certo, invista em redundância :) - -Dúvidas? -======== - -- rhatto @ riseup.net / https://oblivia.vc -- https://seguranca.fluxo.info (coming soon) -- https://rhatto.fluxo.info/campusparty (coming soon) diff --git a/events/2014/cryptorave.md b/events/2014/cryptorave.md new file mode 100644 index 0000000..bb653d9 --- /dev/null +++ b/events/2014/cryptorave.md @@ -0,0 +1,188 @@ +[[!meta title="Criptografia funciona: as soluções e os limites atuais"]] + +- Criptografia funciona: as soluções e os limites atuais. +- Silvio Rhatto @ Cryptorave 2014. +- [Página do evento](https://cryptorave.org). +- [Slides em PDF](slides.pdf). + +Quais são os limites das tecnologias atuais para combater a vigilância em +massa? Quais são os novos projetos e as soluções que estão sendo desenvolvidas? + +Breve em https://rhatto.fluxo.info/cryptorave + +CRIPTOGRAFIA FUNCIONA: AS SOLUÇÕES E OS LIMITES ATUAIS +====================================================== + + "Communicação nerd a nerd está OK, mas e quanto ao + mundo real? E quanto aos meus amigos/as? E quanto + à minha família?" + + -- Dan Kaminsky, pesquisador de segurança. + http://mashable.com/2013/03/04/wickr/ + +TL;DR +===== + +1. Neutralidade: a rede deve ser apenas o entregador das mensagens, lidando apenas com endereçamento. +2. Endereçamento seguro: criptografia ponta-a-ponta de dados e metadados. +3. Sistemas e protocolos estão em disputa pela padronização. +4. É mais fácil resolver a etapa da rede do que a segurança nos dispositivos dos usuários. + +Software livre: é pressuposto! +============================== + +O sexteto da segurança: + +* As quatro liberdades: rodar, estudar, redistribuir e melhorar programas. +* Princípio de Kerckhoffs: o sistema deve ser seguro mesmo se tudo do sistema é conhecido, exceto as chaves. +* Lei de Linus: quanto mais olhos no código, mais bugs são encontrados. + +Consideramos que os sistemas são conhecidos. Mais ainda, devemos torná-los conhecidos +para que possam ser melhorados! + +Software livre: não é condição suficiente para segurança! +========================================================= + +* O que um olho não viu pode existir! +* O que um olho viu e não publicizou pode ser explorado maliciosamente! +* Software desatualizado é parque de diversões alheias. +* Com software proprietário o problema é muito pior! + +![Heartbleed Bug](heartbleed.png) + +Segurança na rede +================= + +* Para que mais olhos enxerguem, precisamos de soluções com massa crítica. +* Que operem fora de silos e jardins murados. +* Fator Babel: de tal modo que que se tornem **padrões** e **ubíquas** +* O comportamento seguro deve ser o *padrão* + +A pergunta central é: para mudarmos os protocolos, a melhor estratégia é: + +1. De ruptura: criamos novos serviços seguros e encorajamos a migração direta dos/as usuários? +2. Incremental: upgrade transparente de protocolos conforme os softwares forem atualizados? + +Os grandes problemas +==================== + +* Há uma série de problemas difíceis de serem resolvidos, especialmente porque para eles não + existe consenso ou mesmo propostas de soluções. + +* Assim, a estratégia será incremental! + +* Ei-los: gestão de chaves, proteção de metadados, assincronicidade com sigilo futuro, + comunicação em grupo, compartilhamento de recursos, disponibilidade, atualização e autenticação + seguras, facilidade de uso, etc. + + https://oblivia.vc/pt-br/content/problemas-difíceis-na-comunicação-segura + +Aprendendo com os erros... +========================== + +* Exemplo limite: Lavabit: qualquer nova plataforma deve ter um modelo de ameaças + mais resistente. +* Exemplo ruim: Telegram: não crie protocolos em casa e forneça-os como serviço de massa + sem antes submetê-los ao escrutínio público. + +Comparativo entre arquiteturas +============================== + +![https://leap.se/en/docs/tech/infosec](table.png) + +LEAP Encryption Access Project +============================== + +* Foco: autenticidade, usabilidade e proteção de metadados. +* Serviços: email, VPN, mensageria. +* Plataforma automatizada no lado do servidor. + +![https://leap.se/en/docs/tech/infosec](leap.png) + +Outras plataformas +================== + +* Relatório sobre projetos de comunicação segura: https://github.com/OpenTechFund/secure-email +* TextSecure: abre perspectivas para mensageria instantânea. +* DarkMail, SilentCircle, Wickr, etc: abrirão o código? +* Sistemas de cauda longa (Pond, Enigmabox, etc): https://rhatto.fluxo.info/services/ +* Voz e vídeo (ZRTP). + +Segurança dos dispositivos +========================== + +* Sistemas operacionais mais seguros. +* Hardware aberto: evitando backdoors. +* Geração satisfatória de números aleatórios. +* Agoritmos e protocolos criptográficos do estado da arte. +* Armazenamento criptografado. + +Segurança mental +================ + +* Como resolver o problema das senhas? +* Fácil de lembrar, fácil de quebrar. +* Gerenciadores de senhas. +* Biometria: facilmente forjável. +* Tokens afanáveis? +* Implante de senhas e chaves? :P + +Perspectivas e previsões +======================== + +Poderíamos pensar numa agenda cypherpunk para segurança de massas? + +Criptografia +============ + +* Difícil de prever, depente de descobertas paradigmáticas! +* Aplicação do estado da arte na prática: computação homomórfica, zero-knowledge! + +Hardware +======== + +* Onde estão as foundries locais? +* Será mais fácil produzir plataformas abertas? +* Patentes e propriedade intelectual afeta especialmente o hardware. + +Softwares +========= + +* Linguagens de programação e frameworks pró-ativos. +* Bibliotecas com melhores implementações de primitivas criptográficas (NaCl, cripto++, RELIC, polarssl, GnuTLS...) +* Checagem a integridade de código fonte e binários deve ser a regra (assinaturas, compilação determinística). + +Protocolos e Serviços +===================== + +* Superar problemas difíceis. +* Disputar com protocolos e serviços menos seguros. +* Conseguir o apoio da base de usuários/as. + +Financiamento +============= + +* Desenvolvimento em seguraça custa caro pois demanda estudo e cuidado! +* Crowdsourcing e micropagamentos. +* Modelos de negócios diretos ao invés da espionagem e mineração de dados, com serviços massivos a preços acessíveis. +* Que permita auditoria dos softwares, plataformas e serviços. + +Educação +======== + +* Maior acesso ao público de informações sobre segurança. +* É preciso incentivar uma nova geração de estudantes de criptografia! :) + +Legislação +========== + +* Marcos regulatórios compatíveis com requisitos de privacidade (sem retenção de dados, por exemplo). +* Mesmo num cenário draconiano a tecnologia consegue evadir medidas de vigilância. + +Fim +=== + +* Perguntas? +* Podemos fazer previsões para os próximos cinco e dez anos? +* rhatto @ riseup.net / https://seguranca.fluxo.info / https://oblivia.vc +* OpenPGP 66CA 01CE 2BF2 C9B7 E8D6 4E34 0546 8239 64E3 9FCA diff --git a/events/2014/cryptorave.mdwn b/events/2014/cryptorave.mdwn deleted file mode 100644 index bb653d9..0000000 --- a/events/2014/cryptorave.mdwn +++ /dev/null @@ -1,188 +0,0 @@ -[[!meta title="Criptografia funciona: as soluções e os limites atuais"]] - -- Criptografia funciona: as soluções e os limites atuais. -- Silvio Rhatto @ Cryptorave 2014. -- [Página do evento](https://cryptorave.org). -- [Slides em PDF](slides.pdf). - -Quais são os limites das tecnologias atuais para combater a vigilância em -massa? Quais são os novos projetos e as soluções que estão sendo desenvolvidas? - -Breve em https://rhatto.fluxo.info/cryptorave - -CRIPTOGRAFIA FUNCIONA: AS SOLUÇÕES E OS LIMITES ATUAIS -====================================================== - - "Communicação nerd a nerd está OK, mas e quanto ao - mundo real? E quanto aos meus amigos/as? E quanto - à minha família?" - - -- Dan Kaminsky, pesquisador de segurança. - http://mashable.com/2013/03/04/wickr/ - -TL;DR -===== - -1. Neutralidade: a rede deve ser apenas o entregador das mensagens, lidando apenas com endereçamento. -2. Endereçamento seguro: criptografia ponta-a-ponta de dados e metadados. -3. Sistemas e protocolos estão em disputa pela padronização. -4. É mais fácil resolver a etapa da rede do que a segurança nos dispositivos dos usuários. - -Software livre: é pressuposto! -============================== - -O sexteto da segurança: - -* As quatro liberdades: rodar, estudar, redistribuir e melhorar programas. -* Princípio de Kerckhoffs: o sistema deve ser seguro mesmo se tudo do sistema é conhecido, exceto as chaves. -* Lei de Linus: quanto mais olhos no código, mais bugs são encontrados. - -Consideramos que os sistemas são conhecidos. Mais ainda, devemos torná-los conhecidos -para que possam ser melhorados! - -Software livre: não é condição suficiente para segurança! -========================================================= - -* O que um olho não viu pode existir! -* O que um olho viu e não publicizou pode ser explorado maliciosamente! -* Software desatualizado é parque de diversões alheias. -* Com software proprietário o problema é muito pior! - -![Heartbleed Bug](heartbleed.png) - -Segurança na rede -================= - -* Para que mais olhos enxerguem, precisamos de soluções com massa crítica. -* Que operem fora de silos e jardins murados. -* Fator Babel: de tal modo que que se tornem **padrões** e **ubíquas** -* O comportamento seguro deve ser o *padrão* - -A pergunta central é: para mudarmos os protocolos, a melhor estratégia é: - -1. De ruptura: criamos novos serviços seguros e encorajamos a migração direta dos/as usuários? -2. Incremental: upgrade transparente de protocolos conforme os softwares forem atualizados? - -Os grandes problemas -==================== - -* Há uma série de problemas difíceis de serem resolvidos, especialmente porque para eles não - existe consenso ou mesmo propostas de soluções. - -* Assim, a estratégia será incremental! - -* Ei-los: gestão de chaves, proteção de metadados, assincronicidade com sigilo futuro, - comunicação em grupo, compartilhamento de recursos, disponibilidade, atualização e autenticação - seguras, facilidade de uso, etc. - - https://oblivia.vc/pt-br/content/problemas-difíceis-na-comunicação-segura - -Aprendendo com os erros... -========================== - -* Exemplo limite: Lavabit: qualquer nova plataforma deve ter um modelo de ameaças - mais resistente. -* Exemplo ruim: Telegram: não crie protocolos em casa e forneça-os como serviço de massa - sem antes submetê-los ao escrutínio público. - -Comparativo entre arquiteturas -============================== - -![https://leap.se/en/docs/tech/infosec](table.png) - -LEAP Encryption Access Project -============================== - -* Foco: autenticidade, usabilidade e proteção de metadados. -* Serviços: email, VPN, mensageria. -* Plataforma automatizada no lado do servidor. - -![https://leap.se/en/docs/tech/infosec](leap.png) - -Outras plataformas -================== - -* Relatório sobre projetos de comunicação segura: https://github.com/OpenTechFund/secure-email -* TextSecure: abre perspectivas para mensageria instantânea. -* DarkMail, SilentCircle, Wickr, etc: abrirão o código? -* Sistemas de cauda longa (Pond, Enigmabox, etc): https://rhatto.fluxo.info/services/ -* Voz e vídeo (ZRTP). - -Segurança dos dispositivos -========================== - -* Sistemas operacionais mais seguros. -* Hardware aberto: evitando backdoors. -* Geração satisfatória de números aleatórios. -* Agoritmos e protocolos criptográficos do estado da arte. -* Armazenamento criptografado. - -Segurança mental -================ - -* Como resolver o problema das senhas? -* Fácil de lembrar, fácil de quebrar. -* Gerenciadores de senhas. -* Biometria: facilmente forjável. -* Tokens afanáveis? -* Implante de senhas e chaves? :P - -Perspectivas e previsões -======================== - -Poderíamos pensar numa agenda cypherpunk para segurança de massas? - -Criptografia -============ - -* Difícil de prever, depente de descobertas paradigmáticas! -* Aplicação do estado da arte na prática: computação homomórfica, zero-knowledge! - -Hardware -======== - -* Onde estão as foundries locais? -* Será mais fácil produzir plataformas abertas? -* Patentes e propriedade intelectual afeta especialmente o hardware. - -Softwares -========= - -* Linguagens de programação e frameworks pró-ativos. -* Bibliotecas com melhores implementações de primitivas criptográficas (NaCl, cripto++, RELIC, polarssl, GnuTLS...) -* Checagem a integridade de código fonte e binários deve ser a regra (assinaturas, compilação determinística). - -Protocolos e Serviços -===================== - -* Superar problemas difíceis. -* Disputar com protocolos e serviços menos seguros. -* Conseguir o apoio da base de usuários/as. - -Financiamento -============= - -* Desenvolvimento em seguraça custa caro pois demanda estudo e cuidado! -* Crowdsourcing e micropagamentos. -* Modelos de negócios diretos ao invés da espionagem e mineração de dados, com serviços massivos a preços acessíveis. -* Que permita auditoria dos softwares, plataformas e serviços. - -Educação -======== - -* Maior acesso ao público de informações sobre segurança. -* É preciso incentivar uma nova geração de estudantes de criptografia! :) - -Legislação -========== - -* Marcos regulatórios compatíveis com requisitos de privacidade (sem retenção de dados, por exemplo). -* Mesmo num cenário draconiano a tecnologia consegue evadir medidas de vigilância. - -Fim -=== - -* Perguntas? -* Podemos fazer previsões para os próximos cinco e dez anos? -* rhatto @ riseup.net / https://seguranca.fluxo.info / https://oblivia.vc -* OpenPGP 66CA 01CE 2BF2 C9B7 E8D6 4E34 0546 8239 64E3 9FCA diff --git a/events/2014/pilulas.md b/events/2014/pilulas.md new file mode 100644 index 0000000..81d8508 --- /dev/null +++ b/events/2014/pilulas.md @@ -0,0 +1,51 @@ +[[!meta title="Pílulas de Privacidade"]] + +* http://antivigilancia.tk/pilulas +* https://anotador.sarava.org/p/arenamundial__cryptoparty + +Hardware & Soberania computacional +---------------------------------- + +* A segurança se dá por camadas. +* Insegurança numa camada compromete as camadas acima. +* Hardware: a camada mais baixa! +* Trusted Computing: moeda com dois lados? DRM também limita. +* O que é um backdoor? +* Onde é mais barato implantar backdoor? Hardware ou software? + +Referências: + +* [Advogato: Sovereign Computing](http://www.advogato.org/article/808.html). +* [Spy agencies ban Lenovo PCs on security concerns](https://arquivo.sarava.org/conteudo/links.sarava.org/assets/32fd7fe29b621ed824ce76efeeb87429ab8d67f4/www.afr.com/p/technology/spy_agencies_ban_lenovo_pcs_on_security_HVgcKTHp4bIA4ulCPqC7SL.html). + +Celulares e smartphones +----------------------- + +1. Introdução: Celular é um tracking device; citação de chelsea manning na conversa com adrian lamo +1.1. Quais dados são coletados (imei, imsi, localização e outros metadados); +1.2. Plataformas existentes de smartphone: iOS, Android/CyanogenMod, Firefox OS, Replicant, etc +1.3. Como ter um celular anônimo + +2. Suíte de APPs para smartphones +2.1. Guardian Project - orbot, chatsecure, pixelknot, obscura cam +2.2. Whisper System - textsecure +2.3. Fdroid x google play + +3. Hardening de sistema operacional +3.1. Cyanogenmod e seus limites (integrado com o google) +3.2. Full disk encryption +3.3. PIN x Passphrase +3.4. OpenPDroid +3.5. "CryptogenMod": in kernel enable XTS, disable NFC, dev/mem, dev/kmem, "android"; then add OpenPDroid, remove CMota + CMuser + SSH. + +4. Vulnerabilidades +4.1. Documentos revelados pelo Snowden que afetam iphone/android + +Projetos que vale a pena olhar: + +* Dark Matter - https://github.com/grugq/darkmatter +* Mobile Opsec - http://www.slideshare.net/grugq/mobile-opsec + +Projetos comerciais: + +* BlackPhone diff --git a/events/2014/pilulas.mdwn b/events/2014/pilulas.mdwn deleted file mode 100644 index 81d8508..0000000 --- a/events/2014/pilulas.mdwn +++ /dev/null @@ -1,51 +0,0 @@ -[[!meta title="Pílulas de Privacidade"]] - -* http://antivigilancia.tk/pilulas -* https://anotador.sarava.org/p/arenamundial__cryptoparty - -Hardware & Soberania computacional ----------------------------------- - -* A segurança se dá por camadas. -* Insegurança numa camada compromete as camadas acima. -* Hardware: a camada mais baixa! -* Trusted Computing: moeda com dois lados? DRM também limita. -* O que é um backdoor? -* Onde é mais barato implantar backdoor? Hardware ou software? - -Referências: - -* [Advogato: Sovereign Computing](http://www.advogato.org/article/808.html). -* [Spy agencies ban Lenovo PCs on security concerns](https://arquivo.sarava.org/conteudo/links.sarava.org/assets/32fd7fe29b621ed824ce76efeeb87429ab8d67f4/www.afr.com/p/technology/spy_agencies_ban_lenovo_pcs_on_security_HVgcKTHp4bIA4ulCPqC7SL.html). - -Celulares e smartphones ------------------------ - -1. Introdução: Celular é um tracking device; citação de chelsea manning na conversa com adrian lamo -1.1. Quais dados são coletados (imei, imsi, localização e outros metadados); -1.2. Plataformas existentes de smartphone: iOS, Android/CyanogenMod, Firefox OS, Replicant, etc -1.3. Como ter um celular anônimo - -2. Suíte de APPs para smartphones -2.1. Guardian Project - orbot, chatsecure, pixelknot, obscura cam -2.2. Whisper System - textsecure -2.3. Fdroid x google play - -3. Hardening de sistema operacional -3.1. Cyanogenmod e seus limites (integrado com o google) -3.2. Full disk encryption -3.3. PIN x Passphrase -3.4. OpenPDroid -3.5. "CryptogenMod": in kernel enable XTS, disable NFC, dev/mem, dev/kmem, "android"; then add OpenPDroid, remove CMota + CMuser + SSH. - -4. Vulnerabilidades -4.1. Documentos revelados pelo Snowden que afetam iphone/android - -Projetos que vale a pena olhar: - -* Dark Matter - https://github.com/grugq/darkmatter -* Mobile Opsec - http://www.slideshare.net/grugq/mobile-opsec - -Projetos comerciais: - -* BlackPhone diff --git a/events/2014/securebrasil.md b/events/2014/securebrasil.md new file mode 100644 index 0000000..df004c3 --- /dev/null +++ b/events/2014/securebrasil.md @@ -0,0 +1,122 @@ +[[!meta title="LEAP: stack completo de comunicação segura"]] + +Bio +--- + +Silvio Rhatto é um cypherpunk brasileiro e mantenedor do keyringer.pw, +um software para compartilhamento de segredos. Participa do sarava.org +e está iniciando o provedor oblivia.vc. + +Descritivo +---------- + +O LEAP Encryption Access Project (htps://leap.se) é uma solução de +software aberto completa e automatizada para provedores de comunicação. + +Atualmente oferece serviços de Proxy de Internet Criptografado (EIP, +vulgo VPN) e email de próxima geração. + +As funcionalidades do LEAP serão abordadas, porém o foco da palestra é o +conjunto de escolhas técnicas que facilitam o desenvolvimento e a +auditoria da plataforma, o que é crucial para a sua difusão. + +Por que o tema é importante? +---------------------------- + +Precisamos de novas abordagens para comunicação segura se quisermos +massificar tecnologia com alto nível de privacidade. + +O LEAP é uma delas, disputando padronização e atacando problemas como o +da usabilidade. Podemos usá-la como modelo para outras iniciativas? + +LEAP: stack de comunicação segura +================================= + +Como promover privacidade **de massa** em tempos de paranoia? + +Comunicação Segura - Problemas +------------------------------ + +* Gestão de chaves. +* Proteção de metadados. +* Assincronicidade com sigilo futuro. +* Comunicação em grupo. +* Compartilhamento de recursos e disponibilidade. +* Atualização e autenticação seguras. +* Facilidade de uso. +* Etc!! + +https://oblivia.vc/pt-br/content/problemas-difíceis-na-comunicação-segura + +LEAP Encryption Access Project +------------------------------ + +* Código aberto - https://leap.se +* Provedores federados, friend-in-the-middle, criptografia ponta-a-ponta. +* Foco na **comunicação** - autenticidade, usabilidade e proteção de metadados. + +LEAP - Serviços e Cronograma +---------------------------- + +* VPN/EIP: navegação por proxy criptografado (implementado). +* Email de próxima geração (fase beta). +* Chat seguro (2015+). +* Compartilhamento de arquivos (2016+). +* Conferência de voz segura (2018). + +LEAP - Bitmask Application +-------------------------- + +* Cliente com interface mínima. +* Funciona como um proxy local. +* Pode ser distribuído num "pacote" com cliente de comunicação integrados. + +LEAP - Provider Platform +------------------------ + +* UX para DevOps! +* Suíte automatizada suportanto múltiplos provedores simultâneos. +* Simplifica a gestão de uma infra complexa e com requisitos fortes. +* Ciclo de desenvolvimento, provisionamento e deploying *turn key*. +* Pode ser usada conjuntamente com OpenStack ou soluções similares. + +Como esse modelo pode ser aproveitado? +-------------------------------------- + +Características para uma plataforma *padrão* e *ubíqua*: + +* Federalismo e escalabilidade: diversos atores participando de uma + mesma rede (email X web 2.0). + +* Código aberto: desenvolvimento por equipe internacional, auditorias + e certificações locais, regionais, nacionais. + +* Retrocompatibilidade, migração transparente, upgrades incrementais! + +* Usuários/as: facilidade de uso sem comprometer segurança e privacidade; + liberdade de escolha de provedor; dados sincronizados entre dispisitivos. + +* Sysadmins: suíte de gestão reduzindo a barreira de entrada para novos + provedores. + +Muito diferente do modelo de silo das grandes redes sociais! + +Modelos de negócio +------------------ + +* Ad free, sem mineração de dados, cobrança pelo serviço. +* Provedores comerciais, empresariais e administração pública. +* Auditoria, especialmente nacional. +* Soberania computacional: o que importa é o bare metal! +* Brasil: muito potencial no mercado interno e externo, mas custo de datacenter tem que cair! + +Como participar? +---------------- + +* Testando em https://bitmask.net +* Discutindo e desenvolvendo em https://leap.se + +Backup +------ + +* Com o LEAP, vaza dado do Itamaraty? diff --git a/events/2014/securebrasil.mdwn b/events/2014/securebrasil.mdwn deleted file mode 100644 index df004c3..0000000 --- a/events/2014/securebrasil.mdwn +++ /dev/null @@ -1,122 +0,0 @@ -[[!meta title="LEAP: stack completo de comunicação segura"]] - -Bio ---- - -Silvio Rhatto é um cypherpunk brasileiro e mantenedor do keyringer.pw, -um software para compartilhamento de segredos. Participa do sarava.org -e está iniciando o provedor oblivia.vc. - -Descritivo ----------- - -O LEAP Encryption Access Project (htps://leap.se) é uma solução de -software aberto completa e automatizada para provedores de comunicação. - -Atualmente oferece serviços de Proxy de Internet Criptografado (EIP, -vulgo VPN) e email de próxima geração. - -As funcionalidades do LEAP serão abordadas, porém o foco da palestra é o -conjunto de escolhas técnicas que facilitam o desenvolvimento e a -auditoria da plataforma, o que é crucial para a sua difusão. - -Por que o tema é importante? ----------------------------- - -Precisamos de novas abordagens para comunicação segura se quisermos -massificar tecnologia com alto nível de privacidade. - -O LEAP é uma delas, disputando padronização e atacando problemas como o -da usabilidade. Podemos usá-la como modelo para outras iniciativas? - -LEAP: stack de comunicação segura -================================= - -Como promover privacidade **de massa** em tempos de paranoia? - -Comunicação Segura - Problemas ------------------------------- - -* Gestão de chaves. -* Proteção de metadados. -* Assincronicidade com sigilo futuro. -* Comunicação em grupo. -* Compartilhamento de recursos e disponibilidade. -* Atualização e autenticação seguras. -* Facilidade de uso. -* Etc!! - -https://oblivia.vc/pt-br/content/problemas-difíceis-na-comunicação-segura - -LEAP Encryption Access Project ------------------------------- - -* Código aberto - https://leap.se -* Provedores federados, friend-in-the-middle, criptografia ponta-a-ponta. -* Foco na **comunicação** - autenticidade, usabilidade e proteção de metadados. - -LEAP - Serviços e Cronograma ----------------------------- - -* VPN/EIP: navegação por proxy criptografado (implementado). -* Email de próxima geração (fase beta). -* Chat seguro (2015+). -* Compartilhamento de arquivos (2016+). -* Conferência de voz segura (2018). - -LEAP - Bitmask Application --------------------------- - -* Cliente com interface mínima. -* Funciona como um proxy local. -* Pode ser distribuído num "pacote" com cliente de comunicação integrados. - -LEAP - Provider Platform ------------------------- - -* UX para DevOps! -* Suíte automatizada suportanto múltiplos provedores simultâneos. -* Simplifica a gestão de uma infra complexa e com requisitos fortes. -* Ciclo de desenvolvimento, provisionamento e deploying *turn key*. -* Pode ser usada conjuntamente com OpenStack ou soluções similares. - -Como esse modelo pode ser aproveitado? --------------------------------------- - -Características para uma plataforma *padrão* e *ubíqua*: - -* Federalismo e escalabilidade: diversos atores participando de uma - mesma rede (email X web 2.0). - -* Código aberto: desenvolvimento por equipe internacional, auditorias - e certificações locais, regionais, nacionais. - -* Retrocompatibilidade, migração transparente, upgrades incrementais! - -* Usuários/as: facilidade de uso sem comprometer segurança e privacidade; - liberdade de escolha de provedor; dados sincronizados entre dispisitivos. - -* Sysadmins: suíte de gestão reduzindo a barreira de entrada para novos - provedores. - -Muito diferente do modelo de silo das grandes redes sociais! - -Modelos de negócio ------------------- - -* Ad free, sem mineração de dados, cobrança pelo serviço. -* Provedores comerciais, empresariais e administração pública. -* Auditoria, especialmente nacional. -* Soberania computacional: o que importa é o bare metal! -* Brasil: muito potencial no mercado interno e externo, mas custo de datacenter tem que cair! - -Como participar? ----------------- - -* Testando em https://bitmask.net -* Discutindo e desenvolvendo em https://leap.se - -Backup ------- - -* Com o LEAP, vaza dado do Itamaraty? diff --git a/events/2014/sesc.md b/events/2014/sesc.md new file mode 100644 index 0000000..9f5341b --- /dev/null +++ b/events/2014/sesc.md @@ -0,0 +1,186 @@ +[[!meta title="Espionagem e liberdade nos meios digitais"]] + +* Silvio Rhatto - Oficinas de Criatividade - SESC Pompéia 2014 +* [Espionagem e liberdade nos meios digitais - Oficinas de criatividade - SESC Pompeia](http://oficinas.sescsp.org.br/curso/espionagem-e-liberdade-nos-meios-digitais). +* [PDF](apresentacao.pdf) ([Makefile](Makefile)). + + + +Pressupostos +============ + +Comunicação +----------- + +- Requisito para a participação política e social. + +Política +-------- + +- Disputa por audiência. +- Luta pelo convencimento para mudar o rumo da sociedade. + +Computação +---------- + +- Base da comunicação contemporânea. +- Cypherpunks: aplicação da computação para problemas políticos. +- Participação política implica em **soberania computacional** + +Política e Comunicação +====================== + +- Disputa por recursos computacionais: banda, armazenamento, processamento. +- O acesso a esses recursos facilita ou dificulta a invenção de novas formas de associação e comunicação. + +Tensão +------ + +- Esses recursos estão se tornando ilimitados!!! +- Mas sistemas de controle tentam limitá-los a todo custo!!! + +Control freaks +============== + +Governos e empresas se unindo para manter os recursos computacionais e canais +de comunicação limitados, consequentemente limitando a possibilidade de +participação política: + +- Combatendo com o P2P. + +- Tornando alguma ponta fechada: arquitetura de sistemas, SaaS, PaaS, IaaS, quebra + da neutralidade da rede, etc. + +- Negociações fechadas (ACTA, TPP, TTIP), cortes e leis secretas (FISA). + +- **"Se não conseguimos censurá-las, vamos espioná-las!"** + +Feliz 2014! +=========== + + + + "Esta é a última geração livre [...] A chegada conjunta + de sistemas de governo e o apartheid informational é + tal que nenhum(a) de nós será capaz the escapar deles + em apenas uma década" + + -- Julian Assange, "Sysadmins do mundo, uni-vos!" + http://is.gd/ZceGDz, tradução livre + + + + "Uma criança nascida hoje crescerá sem nenhum conceito de + privacidade. Ela jamais saberá o que significa ter um + momento privado para si mesmas [..] E esse é um problema, + porque privacidade é importante. Privacidade é o que nos + permite determinar quem somos e quem queremos ser." + + -- Mensagem de Natal de Edward Snowden + http://vimeo.com/82686097, tradução livre + +Paranoia Mode On? +================= + +* Por padrão, dados de comunicação são armazenados! +* O que não implica que necessariamente você seja um alvo de espionagem ativa. +* No entanto, dados podem ser guardados indefinidamente. +* Haja com naturalidade: assuma que, independente de espionagem, você deve se proteger. + + + +Soluções? +========= + +* A espionagem é um problema comum. +* A solução precisa ser coletiva. +* Exemplo: documentação e educação: https://seguranca.sarava.org/chamado/ + +Dúvidas? +======== + +- rhatto @ sarava.org +- https://seguranca.sarava.org (coming soon) +- https://rhatto.sarava.org/campusparty (coming soon) diff --git a/events/2014/sesc.mdwn b/events/2014/sesc.mdwn deleted file mode 100644 index 9f5341b..0000000 --- a/events/2014/sesc.mdwn +++ /dev/null @@ -1,186 +0,0 @@ -[[!meta title="Espionagem e liberdade nos meios digitais"]] - -* Silvio Rhatto - Oficinas de Criatividade - SESC Pompéia 2014 -* [Espionagem e liberdade nos meios digitais - Oficinas de criatividade - SESC Pompeia](http://oficinas.sescsp.org.br/curso/espionagem-e-liberdade-nos-meios-digitais). -* [PDF](apresentacao.pdf) ([Makefile](Makefile)). - - - -Pressupostos -============ - -Comunicação ------------ - -- Requisito para a participação política e social. - -Política --------- - -- Disputa por audiência. -- Luta pelo convencimento para mudar o rumo da sociedade. - -Computação ----------- - -- Base da comunicação contemporânea. -- Cypherpunks: aplicação da computação para problemas políticos. -- Participação política implica em **soberania computacional** - -Política e Comunicação -====================== - -- Disputa por recursos computacionais: banda, armazenamento, processamento. -- O acesso a esses recursos facilita ou dificulta a invenção de novas formas de associação e comunicação. - -Tensão ------- - -- Esses recursos estão se tornando ilimitados!!! -- Mas sistemas de controle tentam limitá-los a todo custo!!! - -Control freaks -============== - -Governos e empresas se unindo para manter os recursos computacionais e canais -de comunicação limitados, consequentemente limitando a possibilidade de -participação política: - -- Combatendo com o P2P. - -- Tornando alguma ponta fechada: arquitetura de sistemas, SaaS, PaaS, IaaS, quebra - da neutralidade da rede, etc. - -- Negociações fechadas (ACTA, TPP, TTIP), cortes e leis secretas (FISA). - -- **"Se não conseguimos censurá-las, vamos espioná-las!"** - -Feliz 2014! -=========== - - - - "Esta é a última geração livre [...] A chegada conjunta - de sistemas de governo e o apartheid informational é - tal que nenhum(a) de nós será capaz the escapar deles - em apenas uma década" - - -- Julian Assange, "Sysadmins do mundo, uni-vos!" - http://is.gd/ZceGDz, tradução livre - - - - "Uma criança nascida hoje crescerá sem nenhum conceito de - privacidade. Ela jamais saberá o que significa ter um - momento privado para si mesmas [..] E esse é um problema, - porque privacidade é importante. Privacidade é o que nos - permite determinar quem somos e quem queremos ser." - - -- Mensagem de Natal de Edward Snowden - http://vimeo.com/82686097, tradução livre - -Paranoia Mode On? -================= - -* Por padrão, dados de comunicação são armazenados! -* O que não implica que necessariamente você seja um alvo de espionagem ativa. -* No entanto, dados podem ser guardados indefinidamente. -* Haja com naturalidade: assuma que, independente de espionagem, você deve se proteger. - - - -Soluções? -========= - -* A espionagem é um problema comum. -* A solução precisa ser coletiva. -* Exemplo: documentação e educação: https://seguranca.sarava.org/chamado/ - -Dúvidas? -======== - -- rhatto @ sarava.org -- https://seguranca.sarava.org (coming soon) -- https://rhatto.sarava.org/campusparty (coming soon) -- cgit v1.2.3