Posted: outubro 31st, 2006 | Author: coredump | Filed under: Pessoal | Tags: Música
“Trick Or Treat”
Nek-romantix
Trick Trick Trick or Treat
Open up your door and give me what I need
Thrill kill Halloween I’ll show you something
That you’ve never seen [x2]
Smiling pumpkins, fake vampire fangs
and paper bats
tacky spiders, rubber skulls
and plastic sewer rats
I’ve been a serial killer, had a Lucifer costume
last year I was the wolf man
howling at the moon
tonight is my night oh yes indeed
I don’t want no candy, blood is my treat
Trick Trick Trick or Treat
Open up your door and give me what I need
Thrill kill Halloween I’ll show you something
That you’ve never seen
Inflatable coffins, home-made mask’s
of leather face
alien candleholders,
even little dolls of Norman Bates
I’ve been a killer clown a scary mummy too
you better watch out
tonight I’m coming to get you
I’m gonna be so cool when I dress up nice
put on the perfect makeup
for my favorite killer disguise
Trick Trick Trick or Treat
Open up your door and give me what I need
Thrill kill Halloween I’ll show you something
That you’ve never seen [repeat till end]
Technorati Tags: trick or treat, halloween, nekromantix
No Comments »
Posted: outubro 27th, 2006 | Author: coredump | Filed under: Cybermundo, desobediência Virtual, segurança | Tags: artigos, privacidade, segurança
Então…
Acho que já comentei que meu medo com relação as ações arbitrárias contra a privacidade no Brasil começam a aumentar. Por um lado, eu estou me especializando em segurança e entendo a necessidade, por outro eu também sou um usuário e sei dos abusos que podem ser feitos no tocante a privacidade e ao direito individual de cada um no uso da internet. Como muitos sabem, meu CPF foi pego aqui mesmo no site por causa do meu antigo currículo e atualmente eu vivo tendo problemas com roubo de identidade…
O que me levou a escrever um pequeno guia de privacidade para usuários de windows. Porquê windows? Pq é um sistema operacional que por natureza falha em implementar alguns controles que no unix nós temos como garantidos, como a segurança de um home dir criptografado e por aí vai. Além disso, o guia usa GPG que é um padrão aberto e cross-platform, então os dois mundos se beneficiam de alguma forma.
Lembrem-se sempre do Cypherpunk Manifesto:
A privacidade é necessária para uma sociedade aberta na era eletrônica. Privacidade não é segredo. Um assunto privado é um assunto que alguém não quer que o mundo inteiro saiba, mas um assunto secreto é algo que alguém quer que ninguém saiba. Privacidade é o poder de seletivamente revelar alguém para o mundo.
Primeiramente… Um pequeno conceito sobre GPG e criptografia assimétrica em geral, meio técnico mas interessante como pano de fundo:
O GPG (GNU Privacy Guard) é um programa que implementa o padrão OpenPGP. Basicamente, são algoritmos e formas de criptografia, ou seja, a arte de embaralhar dados. Obviamente todo mundo já embaralhou dados, nem que seja usando a língua do P ou com aquelas brincadeiras de zenit-polar, mas neste caso estamos falando de embaralhar dados de uma forma que demoraria séculos para tentar adivinhar o que originalmente estava representado ou escrito naqueles dados.
A Criptografia pode ser simétrica ou assimétrica. A simétrica usa uma mesma senha em todos os lados da transação, enquanto a assimétrica usa senhas diferentes em cada ponta. A criptografia assimétrica é mais cara do ponto de vista de processamento mas é mais segura e prática para transações online e grandes redes onde várias pessoas precisam trocar dados criptografados. Quando você acessa um banco ou loja online e aquele cadeado aparece na barra do browser indicando conexão segura, você está usando um misto de criptografia simétrica e assimétrica, para garantir a conexão.
Mais detalhes sobre criptografia e os inevitáveis exemplos com os proverbiais Alice e Bob podem ser achados na internet, como aqui (em português) e aqui (wikipedia em inglês).
Lembrete: Neste artigo, PGP e GPG vão ser usados como sinônimos, mesmo não sendo exatamente a mesma coisa. Existe bastante literatura sobre a diferença entre PGP, OpenPGP e etc. na internet.
Começando. Vá até http://www.gpg4win.org/ e baixe o pacote de programas para windows. É uma mão na roda porque já vem tudo resolvido e pronto pra instalar, sem precisar correr atrás de sites diferentes pra cada programa. Existe uma versão com manuais e uma versão sem manuais, vai a gosto do freguês. Instale com o tradicional next-next-finish. Prestem atenção ao instalar, se você usa outlook provavelmente vai se interessar pelo plugin que eu não instalei na imagem abaixo. Eu uso Mozilla Thunderbird então…
Depois de instalado você vai ter uma série de programas no seu Menu Iniciar. Um deles é o WinPT, diminutivo para Windows Privacy Tray, um aplicativo bem legalzinho para gerenciar o GPG. inicie o WinPT e essa tela deve aparecer:
Que é exatamente a WinPT First Start. Se é sua primeira vez instalando ou pelo menos testando chaves GPG, a primeira opção é a sua escolha.
O que vamos fazer é gerar um par de chaves para você. Se você foi um autêntico hacker e leu os links sobre criptografia por pura curiosidade, já sabe disso, mas se não:
GPG utiliza a chamada infraestrutura de chaves públicas/privadas. Basicamente, cada sujeito da criptografia tem duas chaves: a chave pública é distribuida e acessível de forma simples ou facilitada. A chave privada é deveras importante e deve ser protegida e nunca perdida, estraviada ou comprometida de qualquer forma (e normalmente requer uma senha para ser utilizada). Quando uma outra ponta qualquer da transação deseja enviar dados criptografados para o sujeito ela usa a parte pública de sua chave para criptografar os dados. Somente a chave privada correspodente pode decifrar estes dados, ou seja, de posse da chave pública tudo que eu posso fazer é criptografar os dados para que o dono da chave privada correspondente consiga acessá-los/lê-los.
Continuando, a próxima tela já possui informações pessoais importantes que devem ser preenchidas corretamente:
Como dito acima, a chave pública tende a ficar num local de fácil acesso. Existem servidores especializados em guardar chaves públicas na internet, mas estes servidores dependem que os dados corretos sejam colocados na chave para que as buscas sejam frutíferas. Principalmente, se você pretende usar esta chave para proteger dados ou receber dados protegidos de pessoas de várias partes do país e do mundo, é melhor que os dados coincidam com os que estas pessoas já tem (email, nome, etc..).
Ignore a opção sobre RSA Keys e clique em Ok.
Esta vai ser a Passphrase ou frase-senha da sua chave. É como uma senha, mas ao invés de ser uma passWORD (palavra), é uma passPHRASE (frase). Use letras maiúsculas e minúsculas, espaços, sinais de pontuação e números. NÃO use símbolos especiais, acentuação e cedilhas, nem todo teclado do planeta tem estes símbolos e nem todos os sistemas operacionais entendem eles da mesma forma. Lembre-se sempre de utilizar uma senha que seja difícil de adivinhar mas fácil de lembrar, perder a senha da chave privada quer dizer perder TODOS os dados criptografados com a mesma. Da mesma forma, utilizar uma chave privada e deixar a senha anotada em algum lugar é o mesmo que não usar criptografia.
A próxima tela pede para você digitar a passphrase novamente para confirmação e finalmente o par de chaves e gerado:
Pode parecer estranho, mas mexer o mouse, digitar a esmo no teclado ou fazer o disco da máquina ler alguma coisa aumenta a velocidade do processo de criação da chave. Existe um bom motivo pra isso, tem a ver com o gerador de números aleatórios do computador. Denovo, curiosos, google.com.
Depois disso seu par de chaves está criado e o WinPT está alojado na sua systray, do lado ali do relógio. Clicando com o botão direito nele você pode abrir o Key Manager, que é esta janela:
Ai está o seu par de chaves e, a medida que você for adicionando as chaves públicas de outras pessoas, vão ser mostradas também. Clicando com o botão direito você tem várias opções, explorar é a palavra, com cuidado para não PERDER sua chave pública, por mais que seja complicado fazer isso sem uma confirmação explícita 
.
É interessante, assim que possível, enviar a sua chave para um servidor público, clicando com o botão direito na mesma e escolhendo Send to Keyserver. Normalmente, enviar para um dos servidores é o bastante, eles são interligados e com o tempo a chave se propaga por eles.
Outro aplicativo interessante do WinPT é o File Manager. Uma interface simpática para encriptar arquivos:
Arraste os arquivos que você deseja encriptar para dentro da janela, vá até o menu File -> Encrypt, selecione na lista quem você quer que seja capaz de decriptar os arquivos (pode ser inclusive você mesmo) e clique em Ok. O arquivo vai ser salvo no mesmo local que o arquivo de origem, com a extensão .gpg adicionada ao nome. Este arquivo é virtualmente inquebrável para os níveis comerciais de criptografia e só poderá ser aberto pela pessoa detentora da chave privada a qual foi destinado. Lembre-se que se você não se incluir na lista de chaves privadas que podem decriptar um arquivo e apagar o original, aquele arquivo está perdido para você.
A opção Wipe Original vai não só apagar o arquivo original como usar alguns métodos para garantir que mesmo ferramentas não profissionais (e até algumas profissionais) consigam ler o conteúdo do arquivo original apagado do disco. Uma opção similar está no menu File -> Wipe e File -> Wipe Free Space, a primeira apaga/wipe um determinado arquivo e a segunda realiza a operação de wipe em todo espaço livre do disco. Pode ser demorado, mas para aqueles que trabalham com documentos sensíveis é uma necessidade.
O gpg4win instala também uma extensão para o explorer que facilita muito a criptografia de arquivos, em qualquer lugar do Windows Explorer, ao se clicar com o botão direito em um arquivo, opções de criptografia estão no menu Gpgee. Elas funcionam basicamente como as opções do File Manager do WinPT, mas mais facilmente acessíveis.
Então, isso foi um rápido e geral apanhado sobre criptografia usando gpg no windows. Notem que eu não falei nada sobre ASSINATURA DIGITAL, porque não era o foco. Assim como não falei muita coisa sobre PGP em si. O objetivo aqui era demonstrar os primeiros passos para que os interessados partam daí.
Aproveitem.
intel.
Technorati Tags: crypto, pgp, security, tutorials
Tags: criptografia, pgp, gpg, segurança, tutoriais
3 Comments »
Posted: outubro 18th, 2006 | Author: coredump | Filed under: Cybermundo, segurança | Tags: opinião, privacidade, segurança
Eis que leio nos meus RSS:
Indústria fonográfica processará piratas digitais no Brasil
E será que agora teremos uma RIAA brasileira? Estes processos abertos, são fogo de palha ou só a ponta do Iceberg? Isso me levanta várias questões…
Se vamos ter uma RIAA no Brasil, encarnada como a ABPD, que tipo de encarnação vai ser esta? Vai ser uma encarnação na forma norte americana? Ao que parece, já estamos todos sob suspeita. A campanha da associação já vai pelo mesmo molde da sua contraparte gringa: fazer download de músicas é como roubar um cd na loja. Assim, nós, usuários de qualquer sistema de P2P estamos automaticamente sob suspeita de estarmos roubando, independente do que estamos baixando e de qual a licença original do trabalho. Ou seja, P2P = Crime. Isso pode escalar para sermos processados por baixar qualquer coisa em qualquer P2P? Mesmo que seja um download perfeitamente legal como uma ISO de uma distro linux? Um CD de uma banda que disponibilizou suas músicas gratuitamente?
Por outro lado, teremos então a encarnação nacional da EFF? A Eletronic Frontier Foundation tem sido desde o início uma voz ativa contra os constantes ataques contra a privacidade e os direitos online, as vezes chegando até a soar ilegal para algumas pessoas mais puristas. Nos EUA, ela conseguiu ajudar na defesa contra acusações da RIAA e tem uma boa página de informações sobre estes casos, mas não só isso: ainda faz campanha para mostrar que o erro não está na troca de músicas ou no P2P e sim no formato de negócio e na forma que o Copyright é explorado atualmente.
Infelizmente eu sou pessimista e acho que, na verdade, teremos o pior dos dois lados. Imagino que a tal associação brasileira vá ser tão obtusa e grossa como a EUA, com grandes gravadoras financiando processos e prováveis lobbies. Além disso, todo mundo sabe que no Brasil, se gasta menos dinheiro que nos EUA para se mudar uma opinião ou para se conseguir alguns favorzinhos de certas áreas.
Do outro lado, imagino que ao contrario da EFF no Brasil teremos uma resistência feita pelo grosso do usuário-padrão-vândalo-virtual-brasileiro, provavelmente com algum argumento embasado no preço do CD e na realidade do país. Ou seja, o aborrecente de sempre. Tudo que posso esperar é que em algum lugar a galera ligada a projetos como mídia livre, Creative Commons, e mesmo as ligadas ao direito e privacidade estejam olhando por nós e pensando no bem geral.
intel.
Technorati Tags: security, eff, freedom, riaa
Blogblogs Tags: seguranca, emule, mp3, pirataria
3 Comments »
Comentários