https://pad.femprocomuns.cat/sobtec19censura

Recepta per activistes: munta una web anònima i resistent a la censura

> Data i hora: 2/3/2019 - 13:00 h

SOBTEC 2019. IV Congrés de Sobirania Tecnològica. Relatoria col·laborativa que es transferirà a la plataforma Teixidora.net com a documentació del Congrés.

https://www.teixidora.net/wiki/sobtec19

> Pots identificar-te amb un nom i pseudònim i un color a la part superior dreta de la pantalla.

> Pots comunicar-te amb les altres persones connectades amb el chat de baix a la dreta.

Apunts col·laboratius

Col·labora a prendre apunts a continuació. Ajuda a identificar temes, projectes, organitzacions i autor/es mencionats/des. Enllaça informació complementària si cal.

> Si vols expressar una opinió, posa-ho entre claudàtors [Opinió> ...]

> Si estàs a distància i vols traslladar preguntes a la taula, posa-les al final en una llista "Preguntes per a la taula"

Identifiquem què es diu sobre les sobiranies

Identifiquem el diagnòstic, les propostes de solució i les alternatives que ja tenim en marxa que surtin en aquesta activitat.

Posa-ho en forma de llista als apartats següents

-||-|-

Apunts

Altres apunts que no s'hagin recollit de forma estructurada a les llistes superiors

Llista d'intervinents separada per comes

Aportacions

Aportacions de les persones intervinents

Antecedents: volíem fer una web per un tema sindical, no volíem represalies empresa. Teníem un Blogspot de Google i ens el van tancar. Algú de l'empresa va dir que violava la propietat intel·lectual i va aconseguir la censura de Google que mai va donar explicacions.

Aquí va començar la nostra investigació.

Advertència: això és per escapar censura a un nivell com el nostre, que ens enfrontàvem a una empresa relativament important. Si us heu d'enfrontar a un estat necessitareu més coneixements que els que puc donar avui.

Continguts

• Per què volem una web anònima i replidable
• Avaluar l'amenaça
• Recepta

Per què web anònima?

• Per autoprotecció
• Per previsible repressió estatal/policial
• Per denunciar un conflicte laboral
• Per aïllar identitats (separar la nostra identitat militant de la laboral, per exemple)

Per què reproduïble?

• Per evitar censura

Ha de ser lliure?, no té perquè en aquest cas, el que ha de ser és "accessible" perquè algú pugui replicar i fer quelcom similar

Qui és l'adversari?

• nazis del barri
• lloc de treball
• estat "democràtic" o "autoritari" (pot ser el mateix estat, depèn del que qüestionis i el nivell d'activació de mesures repressives que adopti)

Analitzar l'escenari:

• capacitats de l'adversari
• conseqüències a les quals ens haurem d'enfrontar
• contramesures que podrem prendre

Per als nazis del barri:

• què sap?, entrar a facebook, té contactes policia o amic informàtic?
• què pot passar si es trenca l'anonimat (ciberassetjament?)
• contramesures:

Lloc de treball:

• capacitats: controlen l'equip de treball, el mail, poden monitorar la xarxa, fer servir detectius privats
• conseqüències: assetjament laboral i acomiadament, denúncies
• contramesures: no fer servir mitjans de l'empresa

Estats:

• capacitats: control infraestructures estatals (poden obligar a operadors internet), accés ISP, DNS, ubicació telèfons, intercepció comunicacions amb permís judicial, accés físic a dispositius personals, accés a experts en seguretat i informàtica forense
• Conseqüències: multes, presó
• contramesures: criptografia forta en comunicacions, ús de navegador anònim com Tor, ús de sistema operatiu anònim i descartable com Tails (tails és un OS amnèsic), aprofitar les fronteres jurisdiccionals, formar-se

Estat autoritari:

• Capacitats: accés a totes les comunicacions sense control legal, portes de darrere a IPS, portes posteriors i ZeroDays en telèfons i PCs, potència de càlcul per trencar la criptografia, atacs amb fusta de goma, accés a experts
• Conseqüències: presó, tortura, segrest
• Contramesures: buscar país sense extradició...,

Ingredients de la recepta:

• Tor, Gitlab, Bash, Integració contínua, Tails

Integració contínua: concepte de programació, quan puges un programa a un servidor (pe: GitLab) pots automatitzar processos perquè facin quelcom que vulguis (p.e: automatitzar publicació web o altres tasques que faries manualment)

Recepta

1. La web es mostra a través d'un Gitlab-PAGES que genera una pàgina web estàtica (aquest servidor és descartable, en podem tenir uns quants apunts)
2. compte de gitLab separat on pugem la web amb integració contínua (servidor privat on només gitLab i un estat amb capacitat per coaccionar-lo pot accedir-hi)
3. redireccionador que dóna accés a la web estàtica però que pot canviar.

La comunicació entre 1 i 2 es fa per Tor de manera que l'anàlisi de logs d'1 no ens porti a 2.

A 2 nosaltres hi publiquem per Tor de manera que si algú arriba a 2 no sàpiga qui hi ha publicat.

Ingredients en detall:

• software lliure i un ordinador fiable
• Navegador Tor
• dos o més comptes de correu electrònic temporals i anònims (que no siguin de gmail)
• dos o més comptes dedicades
• ... [m'ho he perdut]

Elaboració:

• preparar infraestructura necessària (comptes...,)
• crea els continguts de la web
• automatitza la generació de la web i replicació en els projectes sacrificables
• fer una url curta apuntant a la web sacrificable

Recomanacions:

• fes servir software lliure i màquines amb control exclusiu
• fes servir Tor
• accedint per Tor fer comptes temporals (atenció, són molt dinàmiques, GitLab en bloqueja, has d'anar canviant i trobar la que no està bloquejada). Pots fer servir ProtonMail però fan servir un telèfon per generar un hash.
• paciència pels captchas perquè GitLab és més exigent si vens de Tor
• Fer la web: Jekyll, Hugo, reveal.js ...
• automatitza la publicació
• fer servir un reencaminador com bit.do que permeti canviar l'adreça on reencamina

Actuació en cas de censura:

• Canviar a BURNER_REPO
• Si et canvien el reencaminador, anar-lo canviant (com va passar 1Oct)

No desar res localment. Fer servir la interfície web de GitLab.

Fes servir una altre compte de gitLab com a "cau" per tenir accés a tot. Posa-ho xifrat (per exemple GPG simètric, en lloc de clau privada que seria comprometedor)

Si tens una còpia local xifra-la.

Com esborrar:

• Si has fet servir Tails ja ho tens
• Si és màquina virtual esborra-la
• Si has fet servir el teu SO no podràs eliminar-lo totalment

Altres recomanacions:

• eines per eliminar metadades (MAT, SCRAMBLED EXIF...)
• identificació imperfeccions a la càmera del teu dispositiu (pixel fingerprint). Contramesures, comprimir amb pèrdua JPEG 60% per difuminar

Atenció coses que poden passar:

• anàlisi d'ús

Intervencions del públic

Preguntes i aportacions del públic, respostes de les intervinents

...

Buidatge de continguts (separats per comes)

Extreu del que s'ha dit i/o dels apunts recollits els temes tractats en forma de paraules clau així com els projectes, organitzacions i persones mencionades (autors/es, pensadors/es, activistes, etc.). Aquesta informació es transferirà automàticament al wiki semàntic Teixidora.net i servirà per relacionar els continguts d'aquesta activitat amb altres. Fes-ho en un text separat per comes per facilitar aquesta transferència automàtica.

-||-|-

-