Esse é o nosso mundo (o que demais nunca é o bastante…)

Estou cursando uma pós-graduação em Gerenciamento de Projetos. É a segunda pós-graduação que faço e desta vez estou gostando muito do curso. Sinto que estou aprendendo algo que fará a diferença em meu dia-a-dia.

Outro dia, um professor propôs um trabalho em grupo. Não seria feito durante a aula. Tratava-se de uma atividade extra classe. Eu e os três outros componentes do grupo nos reunimos no intervalo entre as aulas para discutir como seria feito o trabalho. Decidimos que teríamos que nos encontrar fora do horário das aulas.

Me bateu uma agulhada na espinha quando um dos componentes perguntou: e então, quando nos encontraremos e na casa de quem? Eu não acreditei no que ouvia. Não é possível que eu tenha que continuar fazendo as coisas que faço desde a infância da mesma forma, com todo o avanço tecnológico que tivemos nas últimas décadas. Foi então que eu disse:

- Quando é uma boa pergunta, mas o onde eu já vou responder: na Internet, via Skype ou outro comunicador que vocês prefiram!

E se o seu notebook for roubado? TrueCrypt nele!

Lançado em fevereiro de 2004, o TrueCrypt é uma opção válida para aquelas pessoas que desejam agregar mais segurança às informações gravadas em computadores pessoais, sejam desktops ou computadores móveis. Foi desenvolvido a partir de outro software lançado em 1997, chamado E4M (Encryption for the Masses), criado por Paul Le Roux. 

O software é especialmente útil para quem possui um notebook ou netbook. Ao criptografar seu disco rígido ou pen-drive, o portador do dispositivo tem a garantia de que suas informações não serão acessadas, utilizadas ou publicadas de forma indevida em caso de perda, roubo ou furto do dispositivo. E esses incidentes estão cada vez mais comuns em nosso dia-a-dia.

Criptografando o HD principal do micro, a inicialização do sistema operacional fica condicionada à digitação da senha principal configurada pelo usuário durante a instalação do TrueCrypt. Os usuários devem ter muito cuidado para não esquecer a tal senha.

Útil também para usuários de desktops, a criptografia do HD impede que um espião que tenha acesso físico ao micro utilize um CD ou pen-drive de boot para assumir o controle da máquina e acessar arquivos ao seu bel prazer. Além disso, os usuários do TrueCrypt podem criar discos virtuais criptografados, que serão vistos pelo sistema operacional como uma unidade de disco comum. Um D:\ ou E:\, por exemplo.

 

 O software está disponível  gratuitamente e seu código fonte é aberto. É distribuído através de uma licença própria, chamada “TrueCrypt License”, que envolve alguns pontos de copyrights. Dentre os recursos que ele oferece, podemos destacar: 

• Criação de um ou mais discos virtuais criptografados, que na prática são gravados como arquivos em seu sistema operacional, mas se apresentam como um disco real.
• Criptografia de toda uma partição ou dispositivo de armazenamento como um drive USB, um HD externo ou um HD interno adicional.
• Criptografia da participação ou do drive onde o sistema operacional está instalado. 

Tudo isso de forma automática e transparente para usuários de Windows, Linux ou MAC OS X. Dentre os algoritmos de criptografia suportados pelo TrueCrypt podemos destacar o AES-256, Serpent e Twofish.

 

É claro que questões relacionadas ao desempenho do micro podem ser levantadas, já que todas informações gravadas no HD estariam criptografadas e precisariam ser descriptografadas antes de serem usadas pelos usuários. Eu testei o TrueCrypt por algum tempo e não notei nada que impacte gravamente no dia-a-dia. Uma pouco de lentidão quando o antivírus precisa varrer todo o disco, talvez. Mais isso já era esperado.

Há também ataques montados para se quebrar a segurança proposta pelo TrueCrypt, mas novamente não acho que seja algo que impacte negativamente no software. Acredito que é uma boa pedida para quem quer se proteger um pouco mais.

Só não recomendo o uso do TrueCrypt para usuários corporativos, porque ainda não vi recursos para gerenciar o software estando ele distribuído em um grande parque de máquinas com muitos usuários diferentes. Mais cedo ou mais tarde alguém vai esquecer a senha principal e a área de TI ficará com um abacaxi na mão. Neste caso, recomendo o uso de ferramentas similares proprietárias, que podem ser integradas no AD (ou outro serviço de LDAP) e possuem módulos de gestão centralizada.

Mais informações em:

http://www.truecrypt.org/

http://en.wikipedia.org/wiki/TrueCrypt

http://mypenguim.wordpress.com/2009/10/18/seguranca-truecrypt-no-fedora11/

http://itversa.wordpress.com/2010/04/21/criptografia-truecrypt-software-de-criptografia-de-disco/

http://brunomeireles.wordpress.com/2009/09/12/criptografi-truecrypt/

http://snnangola.wordpress.com/2008/02/06/truecrypt-encripte-facil-e-de-graca/

http://sourcefree.wordpress.com/2008/04/11/truecrypt/

http://secnow.wordpress.com/2010/03/31/quebrando-a-criptografia-de-disco-do-truecrypt/

Password Safe = comodidade + segurança

Apesar de todos os avanços tecnológicos das últimas décadas, algumas coisas ainda incomodam muito quando se quer usar um computador. Uma dessas coisas é, sem dúvida, a quantidade de logins e senhas que cada pessoa deve guardar para entrar nos diversos sistemas que usa habitualmente. Eu, por exemplo, tenho uma conta no Orkut, uma no LinkedIn, uma no Twitter, uma no Yahoo, uma no WordPress, uma no Ceviu, uma para o site do banco, uma para o site da pós-graduação, e assim por diante.

Um projeto bacana chamado OpenID propõe a criação de uma conta única para acessar diversos serviços diferentes. Pode ser que em um futuro próximo isso funcione bem, principalmente quando falamos de sistemas Web. Mesmo assim, acho que há um longo caminho até que as aplicações desenvolvidas para rodar nos computadores pessoais estejam prontas para essa tecnologia.

Enquanto isso, eu gostaria de lhes apresentar um ótimo programa chamado Password Safe. Sua missão é ser um concentrador de credenciais, onde uma credencial é igual a um par de login e senha. Uma vez cadastradas todas as suas credenciais, não mais será necessário se lembrar desses dados toda vez que quiser entrar em um ou outro site ou sistema.

A esta altura você pode dizer: grandes coisas… posso fazer isso com uma planilha em Excel ou até mesmo um arquivo do bloco de notas… Mas o Password Safe vai além. Ele te pede uma senha única para acessar as demais credenciais e esta senha única é também uma chave utilizada para criptografar as demais informações.

Desta forma, você evita que um bisbilhoteiro de plantão consiga, em um único lugar, todas as suas senhas. E de uma coisa você pode ter certeza: é muito mais difícil quebrar a segurança do Password Safe que “invadir” um arquivo Excel protegido por senha. Afinal, arquivos de Excel protegidos por senha podem ser “invadidos” em poucos segundos, desde que se tenha as ferramentas corretas para isso.

Como pode ser visto na imagem acima, você pode organizar suas credenciais em grupos. Assim fica fácil localizar aquela conta daquele site que você usa só de vez em quando. No exemplo acima, os grupos PESSOAL e PROFISSIONAL foram criados por mim. Você pode criar os grupos que quiser.

O programa traz ainda uma série de ferramentas e configurações para facilitar o dia-a-dia dos seus usuários. É possível, por exemplo, clicar duas vezes sobre uma conta cadastrada e o Password Safe abrirá o site relativo àquela conta. Ou seja, ele pode ser usado para armazenar sua lista de “favoritos”. É possível também clicar no botão “Perform Autotype” e o Password Safe preenche automaticamente o login e a senha no web site, sem que você tenha que digitar nada no teclado. Aí você ganha em comodidade e segurança, o que é uma combinação rara, diga-se de passagem.

Outra função muito legal é a possibilidade de se definir uma política de formação de senhas, tipo: as senhas devem conter ao menos uma letra, um algarismo e um caractere especial e ainda ter mais de oito caracteres no total. Daí você pode usar o Password Safe para gerar novas senhas respeitando a política.

O programa permite também definir a data de expiração da senha de uma conta, de forma que, quando a tal data chegar, ele lhe avise que é preciso trocar aquela senha.

A versão atual é a 3.17 e ela possui interfaces para backup, importação e exportação de contas e mais uma série de opções de configuração.

Referências:
OpenID: http://openid.net
Password Safe: http://passwordsafe.sourceforge.net

GnuPG: liberdade e segurança com criptografia e assinatura digital!

Resolvi escrever um pouco sobre um tema que acho muito interessante: a segurança proporcionada pelo uso de criptografia e assinatura digital. Para não ficar apenas nos conceitos básicos, vou contar um pouco da história do software livre chamado GnuPG, que para mim é uma boa ferramenta para quem deseja aproveitar os benefícios das tecnologias citadas acima.

 

Para começar, proponho uma pequena reflexão e por isso peço que leia as quatro perguntas abaixo. Perceba que cada pergunta “mestre” possui uma pergunta “complemento” que tem por objetivo apimentar a discussão.

 

a) Na empresa onde você trabalha, quantos processos importantes são realizados utilizando o sistema de e-mail? Quando você recebe um e-mail, que garantias você tem de que ele foi enviado pela pessoa que consta no remetente?

 

b) Quantas vezes por mês você entra no site do seu banco para ver seu saldo, efetuar um pagamento ou realizar uma transferência? Como garantir que o site do banco que você está acessando é legítimo e não se trata de um site clonado por pessoas mal intencionadas?

 

c) Quem presta suporte ao usuário quando a estação de trabalho apresenta um defeito na empresa onde você trabalha? Além de consertar o defeito, em que tipo de informações o técnico poderia “dar uma olhadinha”?

 

d) Se você puder escolher, prefere usar um desktop ou um notebook? Se seu notebook for roubado, que informações estarão disponíveis para a pessoa que o receber?

 

Em 1991, Phil Zimmermann criou uma aplicação chamada PGP – Pretty Good Privacy. Seu objetivo era fornecer uma ferramenta de criptografia e assinatura digital. Distribuído pela PGP Inc., em poucos anos o PGP atingiu grande popularidade e muitas aplicações foram desenvolvidas para serem compatíveis com seu padrão de criptografia.

 

Em 1997, convencido por outros desenvolvedores, Phil propôs ao IETF a criação de um padrão aberto de criptografia e assinatura digital, chamado OpenPGP. Um ano depois, o IETF publicou a RFC 2440, substituída em 2007 pela RFC 2880.

 

O GnuPG é um projeto GNU que implementa por completo o padrão OpenPGP definido pela RFC 2880 do IETF. Também conhecido como GPG, ele possibilita a criptografia e assinatura digital de dados e comunicações.

 

Funciona também como um versátil sistema gerenciador de chaves e oferece módulos de integração para todo tipo de diretórios públicos de chaves. O projeto envolve um interpretador de comandos, interfaces gráficas, bibliotecas, rica documentação e recursos que possibilitam fácil integração com outras aplicações.

 

Algumas Características do GnuPG

 

•  

  • Distribuído sobre a GNU GPL, ou seja, seu código fonte é aberto;

  • O programa é gratuito;

  • Não utiliza algoritmos patenteados;

  • Implementa todo o protocolo OpenPGP (RFC 2880);

  • Compatível com várias versões do PGP;

  • Disponível em Português e em mais de 10 outros idiomas;

  • Trabalha com os principais algoritmos de criptografia;

 

Sobre Criptografia e Assinatura Digital

 

O termo criptografia tem sua origem em palavras gregas:

 

kriptos = oculto  +  grifo = escrita

 

Quando a mesma chave é utilizada para cifrar e decifrar uma mensagem, dizemos que a criptografia é simétrica.

 

 

 

 

Quando uma chave é utilizada para cifrar e outra para decifrar, dizemos que a criptografia é assimétrica.

 

 

 

O processo de assinatura digital é muito similar à criptografia assimétrica utilizada para confidencialidade e, de fato, usa desta tecnologia.

 

A diferença é que a chave privada do emissor é utilizada na assinatura do documento e a chave pública do emissor é utilizada pelos receptores para validar a assinatura. A assinatura digital tem como principais objetivos garantir a autenticidade, integridade e não repúdio de uma mensagem.

 

O processo de assinatura digital começa com o cálculo do HASH do documento. O HASH consiste de uma seqüencia de caracteres de tamanho fixo extraída a partir de uma mensagem. Utiliza funções matemáticas e algoritmos específicos.

 

Exemplo: considere a mensagem “Hello World”.

 

HASH(“Hello World”) = “b10a8db164e0754105b7a99be72e3fe5”

 

 

 

 

Qual foi minha surpresa quando descobri que um famoso worm que anda fazendo muito estrago quando escrevi este post, chamado Conficker, utiliza assinatura digital para verificar se as instruções que buscou na Internet são legítimas, ou seja, escritas por uma pessoa com autorização para tal, e, portanto, devem ser executadas. 

 

 

 

Então, caro leitor, fica aí minha pergunta principal: se o lado negro da força está utilizando assinatura digital para garantir que um worm execute apenas aquilo que deve executar, por que muitos de nós ainda não utilizamos a mesma tecnologia para aumentar a segurança das nossas comunicações?

 

Segue uma lista de URLs que trazem mais detalhes sobre os temas abordados:

http://www.gnupg.org

http://www.openpgp.org

http://pt.wikipedia.org/wiki/OpenPGP

http://www.ietf.org/rfc/rfc4880.txt

http://mtc.sri.com/Conficker

https://www.icpbrasil.gov.br