Skip to topic | Skip to bottom
Home
Search:

Local

Local.CmiBrasilSegurancar1.19 - 13 Sep 2007 - 20:41 - AlsteRtopic end
You are here: Local > CmiBrasilTech > CmiBrasilSeguranca
Start of topic | Skip to actions

Segurança e privacidade

Quando uma pessoa toma contato pela primeira vez com meios de comunicação como a internet ou telefones celulares, há um período de aprendizagem e "aclimatação", onde a existência de salas de bate-papo, da web, do email e dos programas de compartilhamento são descobertos e começam a ser usados.

Infelizmente, durante esse processo pouca atenção é dada para a segurança e a privacidade da usuária ou do usuário, que passa a se dar conta da questão apenas quando ambas foram violadas.

Este texto versa sobre o básico da segurança e privacidade em meios digitais. Ele procura, mais do que detalhar tecnicamente cada sistema de comunicação, sugerir uma política pessoal de relação com cada um desses sistemas, que também pode ser adotada por grupos de pessoas trabalhando num mesmo projeto que tenha necessidade de segurança e privacidade.

Lembre-se também que a vida de uma pessoa paranóica oscila entre a segurança e a praticidade. Em geral, quanto mais complicado o procedimento adotado para aumentar a segurança de uma pessoa, menos prático ele será. Por isso, antes de viver sua vida, procure estabelecer uma política pessoal levando em conta qual nível de privacidade você quer nas suas informações e a partir disso construa seu esquema de segurança informacional.

Índice

Introdução

A segurança e a privacidade em meios digitais dependem de três aspetos:

  • Protocolo do sistema utilizado
  • Implementação do protocolo
  • Usuários(as)

Falhas na segurança, implicando na abertura do sistema a terceiros, pode ocorrer em qualquer um destes três pontos. Neste texto explicaremos quais protocolos são essencialmente vulneráveis, quais implementações dos protocolos acarretam em maiores vulnerabilidades e quais medidas o usuário deve tomar para não provocar a abertura não-intencional do sistema.

Calma! Não é tão complicado assim! Vamos lá!

Senhas

O primeiro ponto que comentaremos está no nível do usuário, que é a escolha, uso e administração de suas próprias senhas.

O conceito de senha não foi criado para ser simples e fácil de lembrar. Muito pelo contrário, a senha é um pedaço de informação que só deve ser de conhecimento de seu detentor(a). Exatamente por ter essa associação com o seu proprietário é que a senha não deve ter nenhuma relação com o mesmo.

Em outras palavras, sua senha não deve remeter a nada que tenha relação com você. Não deve ser o nome de algo que você conhece ou uma mistura de números que fazem sentido pra você. Você deve ser capaz de memorizar sua senha. Se é tão simples decorar números de telefone, RG, seguro social e CPF, por que lembrar de uma senha seria tão difícil?

Critérios para escolha de senhas

Teoricamente, uma boa senha deve ser o mais aleatória possível. Mas isso pode fazer com que você não se lembre dela e acabe por anotá-la num papel que pode cair em mãos erradas. A seguir daremos dicas para que você consiga criar uma boa senha mas que ao mesmo tempo seja usável. Estas são apenas sugestões: você deve descobrir os métodos de criação de senhas que funcionam melhor para você.

  • Você pode criar senhas pronunciáveis utilizando palavras que não estejam no dicionário, preferivelmente uma palavra que você mesmo inventou: como por exemplo sambanhangava;
  • Em seguida, você pode trocar as vogais e as consoantes dessa palavra por outros símbolos sambaganhava pode se tornar então s4m34nh4ng4\/a, que é uma ótima senha (não agora que todo mundo já a conhece :P)!
  • Misture letras maiúsculas e minúsculas: s4m34nh4ng4\/a por se tornar s4m34Nh4nG4\/a!

Outras dicas importantes são:

  • Misture sempre letras, números e símbolos, se possível
  • Tamanho: quanto maior sua senha, melhor, mas tome cuidado para não esquecê-la!

E se você tem dificuldade de tirar letras, números e palavras imaginárias da cabeça? Ah, é muito simples! Busque páginas à esmo de diferentes livros e pegue um símbolo por página.

Validade das senhas

Além do cuidado na criação da senha, é importante também definir sua área de validade. Se você quer realmente segurança, não use a senha para todos os seus acessos. Se alguém descobrir a senha de um dos seus emails, é bem provável que vá tentar usá-la em outros locais onde você tem conta.

Se for muito difícil ter um monte de senhas diferentes e complicadas para diferentes locais, deixe suas senhas mais complicadas para os acessos mais sensíveis - quando você estará lidando com as informações mais importantes - e senhas simples para coisas de menor importância.

Digitando senhas

O momento da digitação de uma senha é especialmente vulnerável já que é a hora em que ela passa da sua cabeça para o computador, passando por um meio intermediário onde ela possivelmente possa "vazar". Alguns cuidados ajudam:

  • Apenas digite sua senha quando o computador estiver esperando por ela; pode acontecer de você digitar seu usuário e logo de cara começar a entrar com a senha mesmo antes do computador pedi-la. Nesse meio tempo, pode acontecer da senha aparecer na tela, principalmente em computadores mais lentos.

  • Experimente digitar qualquer coisa no lugar da senha para ver como o computador se comporta; existem ocasiões em que o computador preenche cada caractere digitado com um asterisco (*), outras a senha pode até aparecer normalmente (!); depois de se certificar de que está tudo bem com o pedido de senha, apague tudo o que você digitou anteriormente e entre com sua senha correta.

  • Verifique se as teclas Num Lock e Caps Lock do teclado estão ligadas, desligando-as caso desejado.

Limite da confiabilidade de senhas

Por mais que uma senha seja longa e difícil, sempre é possível que alguém a descubra por tentativa e erro. Mas se você tomar os cuidados da seção anterior, vai demorar muito tempo até que alguém consiga quebrá-la.

É possível ainda que você passe por interrogatórios ou até mesmo por torturas. Nesse caso, dependerá apenas do seu estômago se você fornecerá ou não a senha para o torturador. O importante, nessa discussão, é você ter em mente que senhas nem sempre implicam na a inviolabilidade das suas informações e que você deve ter consciência do que pode acontecer caso seus dados sejam obtidos por terceiros. Torturas e interrogatórios são casos extremos, porém pode acontecer de terceiros descobrirem sua senha por outros meios, tanto pela tentativa e erro quanto por falhas de protocolo ou falhas de implementação.

Identidade

Além da sua senha, a questão da identidade também é importante. Não é necessário usar sempre seu nome real. Muito pelo contrário, é muito interessante adotar um ou mais pseudônimos, como o fez Fernando Pessoa, que inclusive reservou um estilo literário por heterônimo.

Você não precisa ser como Pessoa e criar muitos nomes e personalidades diferentes: o simples fato de você não usar seu nome ou seu nome completo já é grande progresso.

Email

Agora que você já sabe como ter uma boa política de senhas e preservação da sua identidade, falaremos sobre vários protocolos de comunicação, a começar pelo correio eletrônico, que atualmente é uma das ferramentas de comunicação mais utilizadas em informática.

O email é um sistema de comunicação muito popular que remonta às primeiras redes computacionais. Quando o sistema de email foi criado, não existia SPAM, vírus de email ou pessoas querendo interceptar suas mensagens. Por isso, os protocolos de comunicação de email não foram preparados para esses tipos de ataques. Em outras palavras, a insegurança do sistema de email já conhece pela arquitetura do próprio protocolo.

A falha do protocolo de email já começa com a problemática da privacidade, que é descrita nesta seção do Manual de Criptografia.

Além desse problema de terceiros poderem ler suas mensagens, o correio eletrônico ainda é uma porta para o recebimento de vírus. Para evitar esse tipo de inconveniente, use programas de email e um sistema operacional que sejam o mais imune possível.

Outro problema do sistema de email é a possibilidade de, apenas observando uma mensagem, descobrir por onde ela foi enviada. Isso não é exatamente uma vulnerabilidade, novamente é uma questão de design do sistema de email, onde as mensagens são etiquetadas por cada servidor por onde ela passou. Assim, se você receber um email de uma pessoa, em geral você pode olhar os cabeçalhos da mensagem e descobrir qual servidor a pessoa usou para enviar a mensagem! Essa informação é o chute inicial para que você descubra qual é o provedor que a pessoa usa e dependendo de quem você for é até possível descobrir de que local físico o email foi enviado.

Qual a solução para esses problemas com email?

Listas de discussão

Participar de listas de discussão também requer medidas básicas de segurança:

  • Sempre que você entrar numa lista de discussão, verifique se os arquivos da lista são fechados. Você encontra aqui uma explicação sobre o que são listas abertas e fechadas.

  • A lista de discussão, apesar de ter arquivos fechados, pode ser pública, ou seja, qualquer pessoa pode se inscrever e a partir disso ter acesso aos arquivos.

  • Não divulgue dados pessoais seus ou de terceiros em listas de discussão. Quando necessário, apenas faça isso em mensagens privadas.

Navegando na internet

Navegar na internet pode parecer algo inofensivo, só que muitas vulnerabilidades em navegadores estão sendo exploradas para inúmeros fins, dentre eles a obtenção de dados do usuário disponíveis pelo navegador. Fora isso, sítios maliciosos podem levar o internauta a revelar voluntariamente seus dados. Contra essas e outras vulnerabilidades, tome as seguintes providências:

  • Limpe sempre seu histórico de navegação, os arquivos temporários (cache) e os cookies
  • Não salve no navegador suas senhas de formulários
  • Saiba suspeitar quando um sítio é falso, ou seja, quando ele aparenta ser o sítio de uma empresa ou organização (em geral bancos) mas na verdade é apenas pretende obter suas senhas ou dados pessoais
  • Use, sempre que disponível, conexão segura (https ao invés de http)
  • Utilize alguma ferramenta de navegação anônima, como o Tor

Bate-papo

Procure utilizar um bate-papo seguro, que criptografe suas mensagens e mantenha seu computador anônimo. Se você quer um messenger (programa de mensagens instantâneas com lista de contatos), experimente os seguintes:

  • Jabber: protocolo livre de mensagens instantâneas com suporte parcial a criptografia.
  • Silc: protocolo de conferência segura, onde todas as mensagens são criptografados (não é possível enviar mensagens não-criptografadas numa sessão de Silc).

Os seguintes programas servem como messengers ou clientes de bate-papo:

  • Gaim: suporta rede Silc, IRC via SSL e Jabber criptografado.
  • Gajim: suporta Jabber criptografado.

Se você estiver usando Jabber ou IRC, certifique-se que sua conexão está criptografada para não ficar com uma falsa idéia de segurança.

Entre Jabber criptografado, Silc ou IRC via SSL, prefira Silc ou IRC via SSL, mas saiba que:

  • O Silc não esconde a origem da sua conexão
  • No IRC é possível que nem todos os/as usuários estejam usando conexão segura

Na dúvida, use o IRC via SSL e converse apenas com que também está usando IRC com conexão segura.

Programas de compartilhamento

Não compartilhe todas as pastas do seu computador em programas como KaZaa, Gnutella e SoulSeek. Se assim você o fizer, muitas pastas contento informações pessoais ou trabalhos que você não gostaria que se tornassem públicos estarão disponíveis para qualquer pessoa baixar.

Nesses programas de compartilhamento, escolha sempre uma pasta de download (arquivos baixados) diferente da pasta de upload (arquivos enviados) e em nenhuma das duas (incluindo suas subpastas) armazene conteúdo que você não queira compartilhar.

Apagamento de arquivos

Especial atenção também deve ser tomada na hora de apagar arquivos do seu computador. Se os arquivos contiverem informações que você não quer que de modo algum caiam nas mãos de terceiros, não adianta simplesmente apága-los da forma tradicional (usando os programas normalmente utilizados pelo seu sistema operacional). Isso porque:

  • Em geral, quando você solicita a um programa para apagar um arquivo, ele apenas remove a referência do mesmo no "índice" do sistema de arquivos, mas os dados podem ou não continuarem dentro do disco rígido (veja por exemplo o truque do serrote do xmux.
  • Mesmo que você tenha certeza que seu programa não só removeu a referência ao arquivo no índice do sistema de arquivos mas também sobrescreveu todos as informações do arquivo, ainda é possível recuperar os dados através de uma análise magnética do disco.

Uma ferramenta do GNU/Linux que tenta evitar ambos os problemas é o wipe.

Criptografia

Não esqueça de ler o Manual de Criptografia para criptografar sua comunicação e eventualmente os dados do seu computador.

Bancos de dados de redes sociais

Redes sociais, como o famigerado Orcúte ou as tradicionais correntes de emails são uma forma recente de se monitorar a associação entre pessoas. Pariticipar de uma rede social cuja infra-estrutura não tenha comprometimento com a preservação da privacidade dos usuários e usuárias é colaborar para a mineração de dados não-solicitada. Cuidado!

Tempestade eletromagnética

A chamada "tempestade eletromagnética" se refere à radiação emitida pelos equipamentos eletromagnéticos em funcionamento. Não é exclusividade de um transmissor emitir ondas eletromagnéticas moduladas: seu computador (principalmente seu monitor) faz isso o tempo todo.

Com aparelhos apropriados e a uma curta distância, é possível reconstruir a imagem que alguém está observando num monitor sem estar olhando diretamente para ele.

Este tópico está aqui de modo apenas ilustrativo, já que as técnicas utilizadas atualmente são dignas de filmes de espionagem e os equipamentos ainda são caros.

Como demostração, foi desenvolvido o software de GNU/Linux Tempest for Eliza, que permite qualquer pessoa transmitir uma mp3 em AM utilizando um monitor ligado num computador.

As contras medidas para esse tipo de ataque são:

  • Compre um computador blindado smile (muito caro)
  • Evite utilizar computadores em locais públicos se você está realmente desconfiado que existe alguém interessado em suas informações

Segurança e privacidade para projetos

Quando a segurança não de uma pessoa, mas de um grupo, é que está em jogo, as coisas ficam mais complicadas. Não adianta alguns seguirem uma política de segurança se a informação pode vazar facilmente através de outros. É importante que haja uma convenção e que ela seja adotada.

Referências

Referência básica:

Para os mais paranóicos/as:

-- SilvioRhatto - 03 Aug 2005
-- AlineF - 21 May 2006
-- SilvioRhatto - 29 Sep 2006
to top

End of topic
Skip to action links | Back to top

Edit | Attach image or document | Printable version | Raw text | More topic actions
Revisions: | r1.19 | > | r1.18 | > | r1.17 | Total page history | Backlinks
Local.CmiBrasilSeguranca moved from Sysadmin.CmiBrasilTechSeguranca on 27 Sep 2006 - 17:29 by SilvioRhatto - put it back
You are here: Local > CmiBrasilTech > CmiBrasilSeguranca

to top

Copyright © 1999-2008 by the contributing authors.
All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding this tool? Send feedback (in English, Francais, Deutsch or Dutch).