Defesa pessoal com o GPG, Nautilus Scripts, partições encriptadas e leves doses de paranoia

Que tal aumentar a segurança dos seus arquivos com algumas práticas bem simples e ferramentas de segurança nativas sem esquentar muito a cabeça?

[ Hits: 43.839 ]

Por: Bruno Rafael Santos em 23/09/2011 | Blog: https://cutt.ly/4H7vrPh


Noções de segurança de dados: importância e ferramentas



Dia desses, especificamente semana passada, imaginei o que seria de mim se meu notebook fosse roubado. Além do prejuízo e de ser meu único computador, me preocupa o fato de ter dados sensíveis nele. Além dos tradicionais cookies existem minhas senhas de email, históricos, arquivos pessoais e no caso de quem não tem impressora, mas é fã de PDF e TXTs, muitos dados pessoais diversos. Isso pode ser especialmente preocupante se documentos digitais são carregados com você.

Partindo de minhas novas preocupações com segurança, decidi pesquisar e implementar o máximo possível de soluções. Foquei em coisas práticas e fáceis de manter, pois odeio me prender a aplicativos ou formatos específicos (proprietários geralmente).

As soluções aqui apresentadas foram testadas em um ambiente Gnome rodando em openSUSE 11.4. Busquei focar em ferramentas padrão do mundo Gnu/Linux e do respectivo ambiente. O que apresento a seguir é um guia prático de segurança pessoal para desktop/notebooks.

Uma curiosidade do mundo da informática é que a internet e os computadores foram criados e um ambiente totalmente seguro e os dados que circulavam por ela estavam ali para serem livremente distribuídos. Falo dos primeiros computadores que controlavam mísseis (seguros localmente) e das primeiras páginas da Web que eram impalatáveis artigos acadêmicos (seguros "psicologicamente").

Conforme a tecnologia ficou acessível para nós e para empresas surgiu a preocupação com segurança de dados. Até hoje os sistemas de segurança em TI são algo desenvolvido a parte pois o sistema em si é naturalmente inseguro em nome da praticidade, os velhos arquivos de senha do Windows que o digam.

Como Carlos Morimoto costumava dizer no GDH: "não existe segurança local". Se seu computador for roubado, conforme-se, os dados estão na mão de quem pegou. Senhas do Windows, se existirem, são recuperáveis com aplicativos do Baixaki. E para quem usa Linux e nunca ouviu falar nos truques de recuperação de senha envolvendo Live-CDs: sinto muito... Felizmente existe uma forma de ao menos proteger os seus dados contra intrusos domésticos, como o seu cunhado, contras crackers desocupados na web e "pessoas que encontram coisas nas mãos dos outros".

A encriptação é um processo fantástico que transforma uma informação qualquer em algo ilegível. Curiosamente a origem dos computadores modernos está ligada a isso e o próprio processo é mais antigo que a informática. Os romanos usavam códigos e truques bem primários para comunicação entre os militares como mensagens escritas em código, alfabetos trocados e coisas mais sofisticadas de vez em quando como ocultação química (tintas invisíveis). Algumas destas técnicas estão mais para esteganografia, que é esconder a mensagem, enquanto que criptografia é esconder o significado. Uma boa prática de segurança é usar as duas!

Artigo sobre esteganografia no VOL: Esteganografia e Esteganálise: transmissão e detecção de informações ocultas em imagens digitais

Voltando ao assunto. O que encriptação tem haver com a origem dos computadores? Os nazistas, espertos como só eles eram, fizeram bom uso de uma coisa que todo mundo na época tinha, O Enigma. Era uma máquina que escrevia mensagens cifradas indecifráveis e que deixou a inteligência militar aliada no escuro por muito tempo. Foi graças aos esforços de pesquisadores como Alan Turing que o Enigma foi decifrado e os subprodutos desta pesquisa foram a base para os conceitos como algoritmos e processamento de dados.

Sobre o Enigma na Wikipedia: http://pt.wikipedia.org/wiki/Enigma_%28m%C3%A1quina%29

Ferramentas e boas práticas

Então a encriptação é a chave para proteger nossos dados. Assim como o Enigma, os algoritmos modernos de criptografia podem ser decifrados, mas nada que possa ser feito por um monte de matemáticos obstinados com muitas canetas como fora feito antes.

Algumas criptografias modernas só podem ser decifradas com uma tecnologia muito mais moderna do que as criou. Então a criptografia não é infalível, mas é forte o bastante para nos proteger e aos bancos, empresas e todo mundo que usa.

A maioria das ferramentas de segurança é baseada em alguma forma de criptografia. A principal ferramenta do GNU/Linux é o Gnu Privacy Guard (gpg), que usa a tecnologia OpenPgp, que é muito segura.

Uma das práticas de segurança dos usuários do Windows ou dos linuxers que desconhecem o Gpg são os arquivos Zip criptografados. A maioria dos programas de compactação suportam alguma forma de criptografia, mesmo as avançadas como AES256 estão amplamente disponíveis. Eu particularmente me tornei um grande fã do Gpg por ele fornecer algumas facilidades que veremos adiante. Outros programas como Firefox e Thunderbird oferecem senhas mestras para a proteção dos logins do usuário. Para o Thunderbird é particularmente útil, para o Firefox eu dispenso.

Mas não só de criptografia é feita a segurança do seu computador, boas práticas de segurança são o mais importante. A maioria dos problemas de segurança são comportamento do usuário. Embora a segurança do Linux e a insegurança do Windows sejam amplamente conhecidas, a maioria dos casos de invasões são erros humanos e não falhas dos sistemas em si. Eu tenho um amigo que nunca usou antivírus na vida e o PC dele é um Windows XP limpinho, como? Bom comportamento!

Boas práticas:

Não guarde dados sensíveis no computador: eu sei que é difícil, mas é sempre uma opção. É o famoso "Não que que saibam? Não faça!".

Guarde o mínimo possível de informação sensível: se você é do tipo de deixa sites logados, guarda logins automáticos, sugiro mudar de hábitos.

Tenha senhas seguras: 90% das senhas do Hotmail são "123456". Linux, encriptação e toda segurança é inútil com senhas fracas.

Encripte e oculte arquivos importantes: estes são o nosso foco, se temos arquivos com dados sensíveis no note, então vamos mantê-los seguros.

Use senhas diferentes: além de ter uma senha forte, tenha uma senha diferente para cada coisa. É comum usuários de Ubuntu recém chegados terem a mesma senha de usuário e root (e se duvidar a mesma do Hotmail, Yahoo, Gmail, Orkut, Twitter...).

Dicas para senhas seguras são inúmeras, uma das minhas favoritas é a 5u85717u1ç40 d3 c4r4c73r35, é meio boba, mas funciona. Outra para ter uma senha diferente para cada tipo de serviço é ter uma senha sufixo ou prefixo. Por exemplo:

Facebook: faceSufixo
Gmail: googleSufixo

Claro que é necessário que o sufixo ou prefixo seja minimamente seguro, assim como a palavra chave de cada serviço. Mas é uma camada de complexidade a mais com uma camada de memorização a menos, afinal, somos humanos ainda. Uma coisa interessante é usar o teclado numérico do celular para transformar letras em números, é uma forma mais simples de substituição de caracteres que pode surpreender.

Aqui está uma série de dicas de segurança sobre como criar senhas: Segurança: Uma senha diferente para cada serviço ou site, sem anotar nem esquecer

    Próxima página

Páginas do artigo
   1. Noções de segurança de dados: importância e ferramentas
   2. Segurança de arquivos: usando o GPG
   3. Removendo arquivos com segurança: Nautilus Scripts e o comando Shred
   4. Partições encriptadas e sistemas de arquivos compartilhados
   5. Outras coisinhas
Outros artigos deste autor

getopts: criando scripts Bash com parâmetros e argumentos personalizáveis

Assinatura de documentos PDF em lote via Bash

Cronogramas e gestão do tempo com o LibreOffice Calc

GNU Parallel: criando atividades em paralelo com shell script

Tutorial GIMP: Preparando mapas para artigos científicos

Leitura recomendada

IDS com Debian 4, Snort 2.8.3.1 e BASE 1.4.1

Block Hosts: Bloqueando ataques de força-bruta (brute force) em FTP, SSH e outros

O que é ForceCommand

Como funcionam os sistemas de biometria: um estudo geral

TinyOS

  
Comentários
[1] Comentário enviado por removido em 23/09/2011 - 19:58h

eita cabra medroso!!!
kkkkkkkkkkkkkkkkkkkkkkk

parabéns, um excelente trabalho. Muito completo!
;-))

[2] Comentário enviado por tonnytg em 23/09/2011 - 20:09h

Hehe, tantas opções que temos e sempre haverá formas de quebrar ou acesar isso tudo.
Tava lendo a pouco tempo também preocupado com historicos da net, já que google mantém seu rastro por ip.
Tava usando o duckduckgo e acabei esbarrando uma noticia do wall street falando sobre supercookies que não são facéis de remover e fazem log do que vc acessa para as empresas saberem seus acessos =S

http://online.wsj.com/article/SB10001424053111903480904576508382675931492.html

[3] Comentário enviado por julio_hoffimann em 24/09/2011 - 17:49h

Parabéns Bruno!

Ótimo artigo! Muito bem explicado e, ao mesmo tempo, objetivo.

Abraço!

[4] Comentário enviado por tatuiano em 25/09/2011 - 21:23h

verdade.tanto que essa semana alterei minha senha no vol.

[5] Comentário enviado por nicolo em 27/09/2011 - 14:42h

É um artigo legal. poderia ter indo mais fundo do cryptsetup e no truecrypt para pastas, conteiners e partições. A referência apontada é pouco prática.

No Brasil não há nem preocupação com segurança, nem boas leis para garantir a privacidade e do cidadão. Todos escafuncham onde querem roubam senhas e fazem bagunça sem conseqüência.

Divulgar princípios úteis de segurança é muito bom. Parabéns.




[6] Comentário enviado por davimendes em 28/09/2011 - 10:55h

Cara tá mto bom isso aki!

Parabéns!

[7] Comentário enviado por santosbrc em 28/09/2011 - 15:12h

Agradeço os comentários pessoal.

bakunin, até pesquisei esses assuntos, mas preferi manter o texto enxuto e objetivo. Já viajei demais com o UMASK e outras coisas que estavam fora do meu plano original ;)

[8] Comentário enviado por astdarkness em 03/10/2011 - 00:36h

Ótimo artigo!! Parabéns. Faltou citar o TrueCript que foi uma das ferramentas usada pelo banqueiro da Oportunity que nem o FBI conseguiu quebrar a criptografia dos hd's. Vlw

[9] Comentário enviado por ceejay-br em 07/11/2011 - 22:59h

Parabéns pelo artigo Rafael.

Só quero retificar uma coisa em relação às permissões em octal.
Elas são 1 - executar, 2 - excrever, 4 - ler. Sendo assim, com o octal 754 você tem permissão total a seus arquivos (rwx), o grupo selecionado tem leitura e execução (r-x) e os demais usuários somente leitura (r--).

Um abraço!

[10] Comentário enviado por xiloba em 31/12/2011 - 21:15h

Parabéns, Rafael.
Sensacional! Há muitos tutoriais sobre gpg, mas nenhum explicou tão bem quanto você.
Tive várias dúvidas sobre uso de gpg, pgp etc. e aqui, consegui entender melhor.

Olha uma contribuição sobre como encriptar um arquivo usando sua chave, e deletar o arquivo de origem:
pwgen -1 -y -s 256 >securitypasswd.txt && gpg -e -r andré securitypasswd.txt && rm -f securitypasswd.txt

Acima, eu usei o pwgen para criar uma chave de 256 dígitos, jogá-la para um arquivo chamado securitypasswd.txt, encriptá-lo e remover o arquivo em que foi salva a chave, pois já o tenho encriptado.

está aqui a fonte:http://vivaolinux.com.br/topico/UbuntuBR/Ha-como-encriptar-um-arquivo-e-apagar-o-original-tudo-num-so-comando

E esta outra contribuição e um script criado pelo colega rai3mb. Este script encripta duas vezes um arquivo ou diretório; primeiro o faz com o zip; depois, fá-lo com o gpg (com criptografia simétrica):

#!/bin/bash
# MOstra o texto na tela, espera o usuário fornecer um valor e guarda na variável ARQUIVO
read -p 'Digite o nome do arquivo/diretório a ser encriptado: ' ARQUIVO
# Teste se é arquivo -f, ou diretório -d
! [ -f "$ARQUIVO" -o -d "$ARQUIVO" ] && echo -e "\nO arquivo/diretório '$ARQUIVO' não existe!" && exit 0
zip -e -r "$ARQUIVO".zip "$ARQUIVO" && gpg -c "$ARQUIVO".zip


fonte:http://vivaolinux.com.br/topico/Shell-Script/script-para-encriptar-um-arquivo-duas-vezes

[11] Comentário enviado por santosbrc em 02/01/2012 - 19:07h

Vlw pelas dicas André e e Charles. Estou estudando o shell script agora para automatizar algumas tarefas como backups e implantar umas soluções mais personalizadas aqui no meu note. Essa dica do André é um bom norte para scripts. E obrigado pela correção Charles, fiz várias modificações nesse umask antes de publicar, mas como não tenho a menor ideia de como realmente funciona acabei deixando escapar.

[12] Comentário enviado por marcoaw em 06/01/2012 - 11:25h

Muito bom este artigo, infelizmente nos dias em que vivemos , temos que ter senha até para morrer rsrs.
Acho interessante as diversas formas de criptografias. Pretendo utiliza-las.
Valeu mesmo pela dica !!!
Belo Artigo !!!

[13] Comentário enviado por removido em 16/04/2012 - 10:17h

Faltou falar de HTTPS em fibra óptica com criptografia quãntica usando AES prá reforçar contra Man-InThe-Middle Attack!

Fora isso acho que está bom. :-)

[14] Comentário enviado por kleber-rr em 16/05/2012 - 15:57h

Excelente artigo. Parabens.

[15] Comentário enviado por removido em 15/06/2012 - 13:11h

Entrei achando que era uma nova arte marcial....


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts