PGP Whole Disk Encryption

Se você já foi roubado conhece a sensação de absoluta impotência diante da violência (especialmente em caso de assalto). Depois do ocorrido, intercalam-se sentimentos de alívio (por você estar bem) e de raiva. Mas o alívio pode ser momentâneo, no caso de o objeto de furto ter sido o seu notebook, algo relativamente comum (infelizmente) hoje em dia.

Em meu notebook, por exemplo, eu carrego fotos da família, documentos importantes, emails de trabalho e pessoais, contratos incluindo os de aluguel, de compra (casa, carro), etc e uma infinidade de coisas absolutamente sensíveis que poderiam ser utilizadas para me identificar com detalhes, incluindo a possibilidade de usar meus dados para praticar golpes e afins. No meu notebook estão inclusos até mesmo os dados de rotina, horários e afins, já que costumo trocar e-mails e IMs com a minha esposa ao longo do dia. Essa montanha de dados vale ouro (muito mais que o próprio notebook) tanto para o bandido que levou a sua máquina quanto o que vai recebê-la (sim, porque quem compra ou recepta notebooks roubados é bandido do mesmo jeito). Não que você tenha milhões na conta e tenha muito dinheiro. Não é esta a questão. Você pode ser um pé rapado como eu, mas certamente não vai conseguir dormir direito sabendo que coisas íntimas como fotos, documentos, contratos, extratos e outras coisas absolutamente pessoais podem estar nas mãos de bandidos, seja para a prática de golpes ou para simplesmente olhar para suas fotos e pensar: esse é o mané de teve o notebook roubado.

Para evitar isso você pode usar uma senha na BIOS do notebook e argumentar que sem conhecê-la ninguém poderia ligar o seu notebook. Ledo engano. Dar um Clear-CMOS num notebook é algo bastante simples. A senha de usuário do seu sistema operacional (seja ele Windows, Mac, Linux) tampouco poderia proteger os seus arquivos do escrutínio alheio mal intencionado. Tendo em mãos qualquer distro Linux com boot em CD, que pudesse “bypassar” o sistema de autenticação (qualquer que seja) ou mesmo qualquer um destes softwares de recuperação de dados, qualquer bandido relativamente bem instruído (e acredite, eles existem) teria acesso fácil aos seus arquivos.

A única solução real (e atual) para este problema (além da erradicação da violência, claro) é a criptografia. O problema é que normalmente os softwares de criptografia são sacais, tediosos e trabalhosos (mais ou menos como os de backup). Não são todos os usuários que tem saco de, por exemplo, criptografar arquivos, e-mails e fotos toda vez que estes são alterados ou gerados. Na verdade, já seria complicado (em termos de tempo) escolher o que deve e o que não deve ser criptografado dentro do seu notebook. Isso deveria ser feito sem pensar, sem se preocupar.

Criptografar o notebook inteiro pode ser a solução. Buscando exatamente isso, encontrei um software bastante interessante chamado PGP Whole Disk Encryption, da conhecidíssima PGP Corporation, que como o nome diz, criptografa o conteúdo de seu disco rígido por inteiro, tornando impossível acessá-lo inteiramente (ou em partes) sem conhecer a chave de criptografia (o software utiliza o algoritmo AES 256-bit, um dos mais usados por comprovada segurança). Por U$ 143,00 numa licença perpétua, decidi que valia a pena usá-lo, e me surpreendi com a qualidade do mesmo. Entre os pontos fortes está a criptografia em tempo real, sem distinção de arquivos pois o disco inteiro, literalmente, incluindo sistema operacional é criptografado. Há ainda a integração com o seu login no Windows para facilitar o processo de logon (importante: o software só suporta Windows e MacOS por enquanto) e desempenho excelente, sem interferir no uso normal do notebook (imperceptível), entre outros (confira a lista de features).

Se você preza pela sua segurança e privacidade (não se trata de paranóia, mas de mero bom senso e cuidado), não deixe para pensar nisso depois de ter o seu notebook roubado. Fica aí a dica deste excelente software, e que pelo que entrega e faz (e protege), não custa nada caro.

PGP Whole Disk Encryption


PHP: Pretty Hard to Protect?

Um levantamento na base de dados do NIST (National Institute of Standards and Technology) mostrou que aplicações escritas em PHP detinham 43% das falhas de segurança de aplicações web em 2006. E a maior parte dessas falhas não eram do PHP em si, e sim de como os programadores – a maioria deles amadores, segundo o NIST – haviam escrito a aplicação. (fonte: SecurityFocus)

Para mim é um caso claro em que a facilidade de uso da linguagem (atrelada a sua produtividade) possibilita que até mesmo programadores inexperientes construam um aplicativo. Assim, pela inexperiência, cometem erros básicos, inclusive de segurança. O ColdFusion igualmente pode sofrer (mas felizmente não sofre) do mesmo mal. E isso é um questionamento tão comum que até está presente no CFFaq (Usando ColdFusion terei códigos ruins e mal escritos? De maneira alguma!).

A tecnologia ser segura por si só é apenas uma das pontas. Se o desenvolvedor não escrever código seguro, não adianta. É como eu digo em apresentações: a Volvo afirma que seu carro é o mais seguro do mundo, mas eles nunca dizem com quem dirigindo. Segurança não é apenas questão da tecnologia, e sim do uso. Fazer bom uso é que são elas. E isso vale para qualquer segmento: energia nuclear te lembra algo?


ColdFusion no OWASP

Open Web Application Security Project (OWASP) é um projeto sobre segurança de aplicativos web, e há muito informação por lá. Acho que um dos documentos mais conhecidos do projeto é o “Top Ten”, com as vunerabilidades mais comuns nos aplicativos web. Hoje o site é um wiki e há muita informação disponível também sobre o ColdFusion. Vale a pena dar uma navegada por lá e conhecer o acervo.

Se você se interessa pelo assunto, envolva-se com o projeto no Brasil.


Frase do dia

“You are better off running as non-admin without anti-virus than you are running as admin with anti-virus.”
Aaron Margosis


Frase do dia

“If you think installing patches and security updates is expensive, try not installing them.”
– Mark Crall


Face it: Linux is insecure

Nem tanto… Mas mesmo assim é algo que eu sempre digo: não existem sistemas seguros, existem usuários e administradores inseguros. Linux is insecure. Open source is insecure. Windows is insecure. All software is insecure. Leitura óbvia, mas ainda sim recomendável: Face it: Linux is insecure


Frase do dia

“A segurança só funciona se a forma segura de fazer algo for também a mais fácil.”
– Héctor Minaya, consultor em tecnologias Microsoft


OpenSource Software é mais fácil de hackear

Segundo esta reportagem da Tectonic, Kevin Mitnick diz ser mais fácil de hackear sistema de código aberto, uma vez que, evidentemente, o código é aberto e torna a tarefa de procurar por brechas mais fácil, sem a necessidade de engenharia reversa. O que faz bastante sentido. E claro, comenta da possibilidade de ser mais seguro, já que muitas pessoas, entendidas ou não, podem olhar o código e sugerir modificações.

Importante lembrar que a maioria das invasões realizadas por Mitnick pouca tinham a ver com crackear softwares, e sim com manipular e enganar um dos elos mais fracos da segurança: as pessoas.


Frase do dia

“Segurança M&M: dura por fora, mas muito mole e fácil de mastigar por dentro!”
— Do Livro “A Arte de Enganar”, de Kevin Mitnick


Que firewall que nada…

Adoro assertivas de quebras de paradgima. Esse texto [The Death Of A Firewall] sugere que firewalls não são mais necessários nos dias de hoje, já que o firewall tras muitas limitações e pouca flexibilidade para aplicações, assim como uma falsa sensação de segurança absoluta.

Ao invés de bloquear inúmeros serviços e “isolar-se” do mundo focando o exterior como problema e não dando a mínima para a rede interna, o modelo por ele proposto foca na segurança da rede interna, em uma nova arquitetura.

Me faz lembrar de algumas pesquisas que apontavam o ambiente interno como o maior responsável por problemas de seguranças nas empresas.

Conheço empresas que têm regras de firewall limitadíssimas e procedimentos completamentes obscuros e pouco flexíveis (no estilo “as aplicações que se danem, elas que estão erradas”), mas basta surgir um vírus mais moderninho com uma técnica diferente que ele entra fácil-fácil pela caixa postal dos usuários e a empresa inteira pára. Ou ainda, aquele patch do SQL Server que já existe há um tempão mas ainda não foi atualizado. Isso se agrava mais ainda com gerentes de TI ou administrador de sistema “supremos”, donos da verdade que não aceitam ser questionados (nem sugestões, nem dicas, nem ensinamentos de quem sabe mais), e culpam pelas falhas de segurança (como um vírus bobinho que entrou na rede) qualquer um (os softwares, consultores, etc) e não seus procedimentos inócuos e pouco efetivos.