Alguns endereços sobre o assunto:
Enviada por JW em 17/01/2007
1 Comment »O GDV é um projeto simples, consistindo em gerar e compilar o maior número de artigos e dicas, detalhadas e simples, para todos os interessados em privacidade, segurança e anonimato na Internet.
Pelo mundo a fora, as liberdades que consideramos garantidas na Internet estão sendo ameaçadas e diariamente sequestradas por sistemas jurídicos capengas, grandes corporações, governos autoritários. Leis antigas e não adaptadas às novas tecnologias servem como pretexto para o este ataque, e quase nada nos resta a fazer.
Mas, como bons cidadãos, ainda nos resta a Desobediência. A Desobediência Virtual é apenas um nome para a desobediência civil. Você pode ler mais sobre a Desobediência Civil aqui.
Como?
Todos podem contribuir. Basta deixar um comentário ou enviar via email a colaboração. O plano é o seguinte:
Ao enviar o material, o link para o original fica aqui e aberto para comentários. Qualquer tipo de material pode ser enviado, desde que tenha alguma relação com os assuntos: privacidade, segurança, anonimato. Isso inclui não apenas guias técnicos mas também modelos de protestos, cartas que podem ser utilizadas em petições, exemplos de protestos e idéias em geral. Ninguém precisa fazer uma greve de fome, mas utilizar blogs para organizar uma manifestação precisa de algum know how. Este guia não tem NADA a ver com invasões, teste de penetração, cracking, virus, etc… É sobre proteger a identidade e não ter a liberdade tolhida por desmandos. Não importa se o assunto já foi enviado, quanto mais material sobre um assunto existir maiores serão as chances de que alguém encontre exatamente o que está procurando.
Importante, se enviar algum material, deixe claro no mesmo que os direitos foram cedidos ou liberados para a utilização, isso pode atrapalhar todo o processo.
Todo o material relacionado a este guia vai ser colocado sob a a categoria Desobediência Virtual.
7 Comments »E então. Pela segunda vez tenho a impressão de que o Brasil está degringolando para um autoritarismo sem pé nem cabeça na internet.
E o pior, desta vez nem é o governo ou grandes corporações como foi da última vez, agora é um “empresário” com advogados demais e inteligência de menos acompanhado da sua namoradinha ofendida que sequestram o acesso ao YouTube de grande parte do país simplesmente porque, literamente, não conseguiram pensar com a cabeça de cima…
Mas felizmente, as pessoas que pensam já tinham uma solução pra isso há algum tempo. A EFF já previa há algum tempo casos como estes e principalmente a necessidade de uma internet anônima. Para isso eles criaram o projeto Tor (The Onion Routing, ou o Roteamento Cebola). Sem entrar em muitos detalhes, o Tor faz com que sua conexão seja feita passando por vários caminhos alternativos pelo mundo inteiro, efetivamente transformando sua conexão numa conexão irreconhecível por IP. Usando o Tor mais uma ferramentinha para o Firefox, acessamos o YouTube numa boa e podemos voltar a assistir ao que importa.
Porque, veja bem, eu nunca me interessei em ficar assistindo ciclicamente o vídeo da supracitada modelo e seu namorado com priapismo… Eu uso o YouTube basicamente para assistir séries famosas como “Ask a Ninja” ou diversos outros vídeos, dos engraçados aos mini-programas, que existem na comunidade. Mas obviamente os responsáveis pelo bloqueio não estão nem aí com isso. Então, sem mais delongas:
)Apenas um detalhe: por mais que eu não concorde com o bloqueio, foi uma ordem judicial que obrigou o mesmo. A ordem judicial foi, aparentemente, mal elaborada e acabou bloqueando o site inteiro, enquanto deveria filtrar apenas o vídeo da infeliz modelo. Mas, de qualquer forma, usem o Tor da forma acima sabendo que atravessar este bloqueio pode ser um crime ou na melhor das hipóteses uma desobediência.
Eu acho que precisamos realmente de uma EFF. Continuo achando. Talvez eu monte uma.
E no mais, cito o A Declaration of Independence of Cyberspace:
In China, Germany, France, Russia, Singapore,
Italy and the United States, you are trying to ward off the virus of
liberty by erecting guard posts at the frontiers of Cyberspace. These
may keep out the contagion for a small time, but they will not work in
a world that will soon be blanketed in bit-bearing media.
Ou, tradução livre:
Na China, Alemanha, França, Russia, Singapura, Itália e Estados Unidos, vocês estão tentando combater o vírus da liberdade construindo guaritas nas fronteiras do Cyberspace. Estas podem manter o contágio longe algum tempo, mas elas não vão funcionar em um mundo que em breve vai ser coberto em bits.
coredump desligando.
tags: tor, eff, youtube, proxy
Então…
Acho que já comentei que meu medo com relação as ações arbitrárias contra a privacidade no Brasil começam a aumentar. Por um lado, eu estou me especializando em segurança e entendo a necessidade, por outro eu também sou um usuário e sei dos abusos que podem ser feitos no tocante a privacidade e ao direito individual de cada um no uso da internet. Como muitos sabem, meu CPF foi pego aqui mesmo no site por causa do meu antigo currículo e atualmente eu vivo tendo problemas com roubo de identidade…
O que me levou a escrever um pequeno guia de privacidade para usuários de windows. Porquê windows? Pq é um sistema operacional que por natureza falha em implementar alguns controles que no unix nós temos como garantidos, como a segurança de um home dir criptografado e por aí vai. Além disso, o guia usa GPG que é um padrão aberto e cross-platform, então os dois mundos se beneficiam de alguma forma.
Lembrem-se sempre do Cypherpunk Manifesto:
A privacidade é necessária para uma sociedade aberta na era eletrônica. Privacidade não é segredo. Um assunto privado é um assunto que alguém não quer que o mundo inteiro saiba, mas um assunto secreto é algo que alguém quer que ninguém saiba. Privacidade é o poder de seletivamente revelar alguém para o mundo.
Primeiramente… Um pequeno conceito sobre GPG e criptografia assimétrica em geral, meio técnico mas interessante como pano de fundo:
O GPG (GNU Privacy Guard) é um programa que implementa o padrão OpenPGP. Basicamente, são algoritmos e formas de criptografia, ou seja, a arte de embaralhar dados. Obviamente todo mundo já embaralhou dados, nem que seja usando a língua do P ou com aquelas brincadeiras de zenit-polar, mas neste caso estamos falando de embaralhar dados de uma forma que demoraria séculos para tentar adivinhar o que originalmente estava representado ou escrito naqueles dados.
A Criptografia pode ser simétrica ou assimétrica. A simétrica usa uma mesma senha em todos os lados da transação, enquanto a assimétrica usa senhas diferentes em cada ponta. A criptografia assimétrica é mais cara do ponto de vista de processamento mas é mais segura e prática para transações online e grandes redes onde várias pessoas precisam trocar dados criptografados. Quando você acessa um banco ou loja online e aquele cadeado aparece na barra do browser indicando conexão segura, você está usando um misto de criptografia simétrica e assimétrica, para garantir a conexão.
Mais detalhes sobre criptografia e os inevitáveis exemplos com os proverbiais Alice e Bob podem ser achados na internet, como aqui (em português) e aqui (wikipedia em inglês).
Lembrete: Neste artigo, PGP e GPG vão ser usados como sinônimos, mesmo não sendo exatamente a mesma coisa. Existe bastante literatura sobre a diferença entre PGP, OpenPGP e etc. na internet.
Começando. Vá até http://www.gpg4win.org/ e baixe o pacote de programas para windows. É uma mão na roda porque já vem tudo resolvido e pronto pra instalar, sem precisar correr atrás de sites diferentes pra cada programa. Existe uma versão com manuais e uma versão sem manuais, vai a gosto do freguês. Instale com o tradicional next-next-finish. Prestem atenção ao instalar, se você usa outlook provavelmente vai se interessar pelo plugin que eu não instalei na imagem abaixo. Eu uso Mozilla Thunderbird então…
Depois de instalado você vai ter uma série de programas no seu Menu Iniciar. Um deles é o WinPT, diminutivo para Windows Privacy Tray, um aplicativo bem legalzinho para gerenciar o GPG. inicie o WinPT e essa tela deve aparecer:
Que é exatamente a WinPT First Start. Se é sua primeira vez instalando ou pelo menos testando chaves GPG, a primeira opção é a sua escolha.
O que vamos fazer é gerar um par de chaves para você. Se você foi um autêntico hacker e leu os links sobre criptografia por pura curiosidade, já sabe disso, mas se não:
GPG utiliza a chamada infraestrutura de chaves públicas/privadas. Basicamente, cada sujeito da criptografia tem duas chaves: a chave pública é distribuida e acessível de forma simples ou facilitada. A chave privada é deveras importante e deve ser protegida e nunca perdida, estraviada ou comprometida de qualquer forma (e normalmente requer uma senha para ser utilizada). Quando uma outra ponta qualquer da transação deseja enviar dados criptografados para o sujeito ela usa a parte pública de sua chave para criptografar os dados. Somente a chave privada correspodente pode decifrar estes dados, ou seja, de posse da chave pública tudo que eu posso fazer é criptografar os dados para que o dono da chave privada correspondente consiga acessá-los/lê-los.
Continuando, a próxima tela já possui informações pessoais importantes que devem ser preenchidas corretamente:
Como dito acima, a chave pública tende a ficar num local de fácil acesso. Existem servidores especializados em guardar chaves públicas na internet, mas estes servidores dependem que os dados corretos sejam colocados na chave para que as buscas sejam frutíferas. Principalmente, se você pretende usar esta chave para proteger dados ou receber dados protegidos de pessoas de várias partes do país e do mundo, é melhor que os dados coincidam com os que estas pessoas já tem (email, nome, etc..).
Ignore a opção sobre RSA Keys e clique em Ok.
Esta vai ser a Passphrase ou frase-senha da sua chave. É como uma senha, mas ao invés de ser uma passWORD (palavra), é uma passPHRASE (frase). Use letras maiúsculas e minúsculas, espaços, sinais de pontuação e números. NÃO use símbolos especiais, acentuação e cedilhas, nem todo teclado do planeta tem estes símbolos e nem todos os sistemas operacionais entendem eles da mesma forma. Lembre-se sempre de utilizar uma senha que seja difícil de adivinhar mas fácil de lembrar, perder a senha da chave privada quer dizer perder TODOS os dados criptografados com a mesma. Da mesma forma, utilizar uma chave privada e deixar a senha anotada em algum lugar é o mesmo que não usar criptografia.
A próxima tela pede para você digitar a passphrase novamente para confirmação e finalmente o par de chaves e gerado:
Pode parecer estranho, mas mexer o mouse, digitar a esmo no teclado ou fazer o disco da máquina ler alguma coisa aumenta a velocidade do processo de criação da chave. Existe um bom motivo pra isso, tem a ver com o gerador de números aleatórios do computador. Denovo, curiosos, google.com.
Depois disso seu par de chaves está criado e o WinPT está alojado na sua systray, do lado ali do relógio. Clicando com o botão direito nele você pode abrir o Key Manager, que é esta janela:
Ai está o seu par de chaves e, a medida que você for adicionando as chaves públicas de outras pessoas, vão ser mostradas também. Clicando com o botão direito você tem várias opções, explorar é a palavra, com cuidado para não PERDER sua chave pública, por mais que seja complicado fazer isso sem uma confirmação explícita 
.
É interessante, assim que possível, enviar a sua chave para um servidor público, clicando com o botão direito na mesma e escolhendo Send to Keyserver. Normalmente, enviar para um dos servidores é o bastante, eles são interligados e com o tempo a chave se propaga por eles.
Outro aplicativo interessante do WinPT é o File Manager. Uma interface simpática para encriptar arquivos:
Arraste os arquivos que você deseja encriptar para dentro da janela, vá até o menu File -> Encrypt, selecione na lista quem você quer que seja capaz de decriptar os arquivos (pode ser inclusive você mesmo) e clique em Ok. O arquivo vai ser salvo no mesmo local que o arquivo de origem, com a extensão .gpg adicionada ao nome. Este arquivo é virtualmente inquebrável para os níveis comerciais de criptografia e só poderá ser aberto pela pessoa detentora da chave privada a qual foi destinado. Lembre-se que se você não se incluir na lista de chaves privadas que podem decriptar um arquivo e apagar o original, aquele arquivo está perdido para você.
A opção Wipe Original vai não só apagar o arquivo original como usar alguns métodos para garantir que mesmo ferramentas não profissionais (e até algumas profissionais) consigam ler o conteúdo do arquivo original apagado do disco. Uma opção similar está no menu File -> Wipe e File -> Wipe Free Space, a primeira apaga/wipe um determinado arquivo e a segunda realiza a operação de wipe em todo espaço livre do disco. Pode ser demorado, mas para aqueles que trabalham com documentos sensíveis é uma necessidade.
O gpg4win instala também uma extensão para o explorer que facilita muito a criptografia de arquivos, em qualquer lugar do Windows Explorer, ao se clicar com o botão direito em um arquivo, opções de criptografia estão no menu Gpgee. Elas funcionam basicamente como as opções do File Manager do WinPT, mas mais facilmente acessíveis.
Então, isso foi um rápido e geral apanhado sobre criptografia usando gpg no windows. Notem que eu não falei nada sobre ASSINATURA DIGITAL, porque não era o foco. Assim como não falei muita coisa sobre PGP em si. O objetivo aqui era demonstrar os primeiros passos para que os interessados partam daí.
Aproveitem.
intel.
Technorati Tags: crypto, pgp, security, tutorials
Tags: criptografia, pgp, gpg, segurança, tutoriais
3 Comments »
Comentários