Criptografando conversas no MSN Messenger

Já comentei aqui sobre o quão vulnerável é o protocolo de mensagens do MSN, que sem utilizar qualquer tipo de criptografia, envia e recebe mensagens através da internet sendo estas facilmente interceptadas e capturadas por qualquer pessoa não necessitando de nenhum conhecimento avançado já que existem vários programas para tal. O cenário é facilitado por exemplo em ambientes corporativos, internet a rádio ou cabo, ambientes onde a internet é compartilhada.

Cofre

O que você fala no MSN pode sim, e em muitos casos é interceptado em busca de informações confidenciais. Existem alternativas seguras, porém pouco usadas, como o Jabber. Este utiliza-se do protocolo de comunicação opensource chamado XMPP, o mesmo utilizado pelo Google Talk.

Voltando ao assunto do título, se você não vive longe do MSN, ainda existe solução. A Secway, uma empresa francesa especializada em segurança da informação, possui um software que age como um proxy para o MSN criptografando as mensagens e autenticando os usuários. Para tanto, é necessário que você e seus contatos possuam o programa instalado.

Feito isto, você cria uma chave de até 1024bits 2048bits RSA protegida por senha que será como uma impressão digital servindo para autentica-lo para seus contatos provando assim que você é realmente quem diz ser. Além desta, o software utiliza uma chave de até 128bits AES ou Twofish para criptografar suas mensagens com seus contatos impossibilitando assim a leitura das mensagens, mesmo que sejam interceptadas.

A solução está disponível para MSN, ICQ/AIM, Yahoo! e Jabber/GoogleTalk na plataforma Windows e também para Linux.

Links para download:

O software é gratuito para uso pessoal, tanto em casa quando no ambiente de trabalho, tendo a versão gratuita como única restrição o fato de proteger apenas um protocolo por vez. A versão Pro do produto criptografa mais de uma rede de mensagens instantâneas simultaneamente.


Tentando reinventar a roda com Silverlight

Lendo minha dose diária de informação nos feeds web a fora, me deparei com uma notícia do Meio Bit sobre o Silverlight. Após ler a notícia, fui ao site da Microsoft e logo de cara avisto um banner sobre o produto, o qual leva a um “hotsite” com o link de download do mesmo. Clico no link e o que acontece? NADA! NADAAAAA (Como diria o Sr. Donizildo, do Mundo Canibal)!!!!

Pensei um pouco e em alguns segundos (leia-se 2 no máximo), me veio a resposta: Eu estou no Linux!

A Microsoft pretende reinventar a roda, mas já começou mal. Atualmente a comunidade adepta do software livre é muito maior do que era a alguns anos, muitos dos computadores vendidos atualmente saem das lojas com Linux instalado, mas a MS não enxerga isto e insiste em tentar empurrar sua tecnologia.

Veremos no que isto tudo vai dar, mas de qualquer maneira, ou adicionam suporte a mais plataformas ou a coisa não vai pra frente.


Segurança da informação – Parte 4

Continuando o assunto, tentarei explicar um pouco o conceito de camadas e algumas maneiras de como podemos protegê-las.

Camadas

A melhor maneira de entender as camadas é fazendo uma associação com uma cebola. As camadas mais externas referem-se a WAN, as medianas referem-se a LAN e a camada mais interna a seu próprio computador. Não adianta seu computador ser uma fortaleza quando a rede a qual ele se conecta não possua uma boa segurança. Afinal, a maior parte da informação que trafegamos hoje é via web. Trocamos informações a cada instante, de diversas maneiras como emails, msn, transferência de arquivos, formulários em sites, etc, e estas informações em sua maioria, preocupantemente não são criptografadas, ou seja, de maneira não segura.

FIQUE PREOCUPADO! O mundo inteiro utiliza os e-mails, tanto pessoal como corporativo, para troca de informações importantes, confidenciais e sigilosas. Pois fique sabendo que estes e-mails em sua maioria não são criptografados, ou seja, são enviados em texto puro e são facilmente interceptados assim como as conversas de MSN podem ser facilmente capturadas. Agora você entende o porque daquelas mensagens: Nunca diga seu número de cartão de crédito ou senhas a ninguém.

Apesar de esta ser uma dica simples e óbvia, infelizmente muitas pessoas a ignoram por completo.

Alvo principal

Qual o objetivo principal dos vírus, trojans e spywares senão o roubo de informações, em especial as financeiras? Desconheço. Obviamente existem malwares que não tem o roubo de informação como objetivo principal, mas sim induzir o usuário a fazer ou comprar coisas. Já vi spywares que para se desinstalarem, pedia uma senha que era obtida através de um site mediante pagamento de alguns dólares. No fim tudo se resume a dinheiro.


Segurança da informação – Parte 3

Para começar, seja cético. Não acredite em todos os e-mails que lhe dizem para “recadastrar seu orkut” para que sua conta não seja cancelada. Praticamente todo mundo conhece alguém que “entende de computador” e a quem pode pedir ajuda ou perguntar sobre coisas deste tipo. Saiba que é melhor admitir que você não sabe, do que acabar entrando numa fria.

Não abra qualquer anexo que te enviam, mesmo que tenha sido enviado por alguém que você conheça. Seja muito cauteloso ao abrir anexos executáveis como exe, bat e com, ou anexos compactados como zip ou rar. Ao acessar qualquer link, deixe o cursor do mouse alguns segundos em cima dele e verifique se o destino é o correto para a descrição na barra de status de seu navegador ou cliente de correio eletrônico e não abra links estranhos como bancodobrasil.rg3.net.

Proteção em camadas

Não cair nos truques mais simples como os que acabei de citar são apenas o começo. Você ainda não está, aliás, está longe de estar, e talvez nunca esteja 100% protegido.

Chegamos ao ponto principal desta pequena série sobre segurança da informação e deverei discorrer um pouco mais sobre esta seção. Então, para não deixar muito longo: Confira em breve, na quarta parte da série sobre segurança da informação.


Segurança da informação – Parte 2

Não é apenas um apesar de o subtítulo estar no singular. Imagine que um dia você descobre que aquela foto indecente que você tirou de sua namorada no aniversário dos dois está na internet num típico e conhecido e-mail à “Confiou no namorado e se deu mal”, que aquela estratégia de marketing ou talvez aquele novo produto que você passou noites em claro desenvolvendo chegou primeiro ao mercado nas mãos do seu concorrente? Não esqueça também daquele cenário onde você vai comprar algo com seu cartão de crédito ou débito, e após ter sua compra recusada descobre que seu limite está estourado e sua conta zerada.

Isso não é coisa de televisão, de novela ou de jornal. Acontece todos os dias, a toda hora em algum lugar do planeta. Pode acontecer com alguém que esteja ao seu lado, ou pior, com você!

Pontos críticos

O principal e mais comum ponto de ataque é o e-mail e não há como ignorar a quantidade absurda de malwares que recebemos nele todos os dias. São dezenas de mensagens oferecendo soluções milagrosas para emagrecer; maneiras de ganhar dinheiro fácil sem sair de casa; que sua compra no site das Americanas.com foi efetuada corretamente; que seu e-mail, orkut ou afins serão cancelados; que você foi incluído no SPC, ou que deve uma fortuna a TIM; com uma foto engraçada de sua época do colégio, etc.

São tantas as mensagens que eu poderia ficar enumerando-as por um bom tempo, mas no fim, tudo se resume a um anexo contendo um malware, a um link direto para um malware ou a um perfeito e funcional phishing.

Joãozinho: Eu não corro esse risco, só abro anexos dos e-mails após confirmar o envio com o remetente.

Muito bom meu amigo. É assim que se fala! Mas, e os CDs? Disquetes (Caso alguma alma ainda use disquetes)? e os Pen-drives? Seu sistema operacional está atualizado? O seu servidor de internet está bem atualizado? Foi o que pensei.

O que fazer para me proteger?

Confira em breve, na terceira parte da série sobre segurança da informação.


Segurança da informação – Parte 1

Uma das maiores preocupações no mundo corporativo é a segurança de suas informações, mas ainda mais preocupante é o fato de que ainda existem inúmeras empresas que a ignoram por completo no que se refere a “segurança digital”. Os responsáveis parecem esquecer que atualmente, a maior parte dos dados importantes sobre estas corporações são criadas ou possuem uma cópia armazenada em pelo menos um computador, afinal, ninguém mais em sã consciência redige documentos ou cria planilhas e gráficos utilizando uma máquina de escrever ou a mão.

Se está em um computador, está correndo risco. Não importa se a informação está armazenada em uma máquina Windows, Linux ou MAC, a informação sempre pode estar correndo algum risco.

Atualmente, existem uma infinidade de vírus, spywares, spams, phishings, ou seja, malwares em geral prontos para infectar seu computador pessoal, de trabalho ou servidor. Todos estes passaram por diversas fases. A exemplo dos vírus, primeiramente eles tinham por objetivo destruir dados, incomodar ou atrapalhar o usuário e trazer fama ao seu autor.

Hoje, o principal objetivo destes malwares é obter informações ao invés de destruí-las, e a maior motivação para seus autores é a financeira.

O problema

Confira em breve a segunda parte da série sobre segurança da informação.


Ajude a divulgar a lista brasileira de equipamentos e serviços compatíveis com Linux

…e concorra a MP4 e MP3 players, mochilas Targus, períodos de VoIP grátis e até a ventiladores USB – além de contribuir automaticamente para doações para a Wikipedia e o WordPress! O BR-Linux coletou mais de 12.000 registros de compatibilidade de equipamentos e serviços (webcams, scanners, notebooks, …) na sua Pesquisa Nacional de Compatibilidade 2007, e agora convida a comunidade a ajudar a divulgar o resultado. Veja as regras da promoção no BR-Linux e ajude a divulgar – quanto mais divulgação, maior será a doação do BR-Linux à Wikipedia e ao WordPress.

Vale a pena galera! Vamos mostrar ao mundo a força dos brasileiros e ajudar nossos compatriotas.