geek, internet, Segurança e Privacidade

FichaCoin: Aprenda como funciona o BitCoin e o blockchain com uma fábula didática

Adaptado livremente do texto do blog do Kaspersky: https://www.kaspersky.com/blog/bitcoin-easy-explanation/12915/

Em uma escola muito moderna, começa um experimento lúdico para ensinar matemática e noções básicas de economia para as crianças: Em uma sala de 50 alunos, coordenados pela professora, ao invés de trocarem dinheiro entre si com notas e moedas de real, os alunos aproveitam uma segunda lousa na sala (que normalmente não é usada) e anotam nesta lousa o nome de cada aluno e a quantidade de dinheiro que cada um tem no início do experimento. Joãozinho: R$25, Marilena: R$10, Hugo, R$50, e assim por diante. As moedas são convertidas em fichas, pedacinhos de papel com o carimbo da professora, e o preço de cada ficha fica estabelecido em X reais, sendo X fixado como preço de uma coxinha na cantina. As fichas podem ser divididas em unidades menores, como centavos da ficha, o que a professora usa para reforçar a prática de contas com números quebrados. Mas os alunos quase nem encostam nas fichas físicas, elas são meramente simbólicas, não têm nenhuma importância real: Todas as transações ocorrem só na lousa, um livro contábil da turma, e como todos os alunos já sabem assinar o próprio nome, cada transação precisa ser assinada por quem está mandando dinheiro, então se algum malandrinho tentar adulterar uma transação no intervalo, por exemplo, João escrevendo que Hugo lhe mandou 20 fichas sem Hugo autorizar, ficará claro que foi uma adulteração, e a transação será cancelada (e João voltará para casa com uma cartinha da professora).

Continuar lendo

Anúncios
Padrão
geek, Segurança e Privacidade

 

http://telegra.ph/Novos-processadores-qu%C3%A2nticos-podem-acabar-com-o-Bitcoin-11-16

Não só o bitcoin, mas toda segurança baseada em criptografia atual, incluindo o protocolo HTTPS e aqueles por trás de aplicativos de mensagens como o WhatsApp e o Telegram…. Se algum dia os computadores quânticos plenamente funcionais forem realidade, o único jeito seguro de mandar suas nudes será tirando-as com máquina Polaroid e entregando em pessoa.

No entanto, o potencial inimaginável do que a ciência poderia fazer com uma máquina de processamento de informação tão poderosa é muito mais importante. Afinal, se por um lado é possível os algoritmos atuais serem quebrados, é possível também criarem um novo algoritmo de criptografia que use a própria computação quântica.

 

Link
Aplicativos, geek, internet, Segurança e Privacidade

Criptografia Pode ser Inútil

9sfb_breach_web

“Três pessoas só podem guardar um segredo se duas delas estiverem mortas”

Quem escreve o título deste post é o mesmo c0anomalous que fez este e vários outros sobre o assunto criptografia, pelo qual sou assumidamente fascinado, a matemática e a computação a serviço de guardar segredos. Mas a verdade vale mais que o meu fascínio. A verdade é que, em situações práticas, em especial de comunicação, nem o mais avançado algoritmo criptográfico pode salvar você de ter seu sigilo violado, e suas informações repassadas a terceiros. Ponderei sobre qual título seria mais adequado, “Criptografia é inútil” definitivamente não. “Criptografia: Quase Inútil”, impreciso demais. Realmente, ela pode ser inútil, e temo que eu e outros entusiastas às vezes a exaltemos demais.

Continuar lendo

Padrão
Aplicativos, geek, internet, Segurança e Privacidade

O Que esses tais de “Year Zero” e “Vault 7” do Wikileaks significam?

101-wikileaks-revealed-cnn-640x360

Original: Telegram, em http://telegra.ph/Wikileaks-Vault7-NEWS

Tradução: c0anomalous

O Wikileaks divulgou uma nova coletânea de documentos que eles chamaram “Year Zero” (“Ano Zero”). De acordo com estes documentos, a CIA criou “sua própria NSA” com “ainda menos responsabilidade e transparência”. O recém descoberto arsenal hacker da agência inclui técnicas que alegadamente permitem à CIA burlar a criptografia de aplicativos de mensagens como WhatsApp ou Signal, hackeando os smartphones das pessoas e coletando tráfego de mensagens e áudio antes da criptografia ser aplicada.

Isto não é um problema de aplicativo. É relevante ao nível de dispositivos e sistemas operacionais como iOS e Android. Por esta razão, nomear qualquer aplicativo em particular neste contexto é enganoso.

Como assim?

Para colocar “Year Zero” em termos familiares, imagine um castelo numa montanha. O castelo é um aplicativo de mensagens seguro. O dispositivo e seu sistema operacional são a montanha. Seu castelo pode ser forte, mas se a montanha abaixo for um vulcão ativo, há pouco que seus engenheiros possam fazer.

Então, no caso do “Year Zero”, não importa realmente qual aplicativo de mensagens você use. Aplicativo nenhum pode impedir seu teclado de saber quais teclas você pressiona. Nenhum aplicativo pode esconder o que aparece na tela do seu sistema. E nada disso é um problema do aplicativo.

Então quem pode consertar isto?

Agora depende dos fabricantes do dispositivo e do sistema operacional, como Apple e Google, ou Samsung, para consertar seus vulcões e torna-los montanhas novamente.

Felizmente, no caso do “Year Zero”, a montanha não é exatamente um vulcão. É mais como uma grande montanha que está repleta de túneis e passagens secretas. As ferramentas do “Vault 7” [o pacote de documentos vazados completo, do qual Year Zero é a primeira parte] são como um mapa destes túneis. Agora que os fabricantes dos sistemas operacionais e dispositivos, como Apple e Google, vão pegar este mapa, eles podem começar a preencher os buracos e barrar as passagens. Isto requererá muitas horas de trabalho e muitas atualizações de segurança, mas eventualmente eles devem conseguir cuidar da maioria dos problemas.

Quem é afetado?

A boa notícia é que por hora tudo isso é irrelevante para a maioria dos usuários do Telegram. Se a CIA não estiver atrás de você, você não deve começar a se preocupar ainda. E se ela estiver, não importa quais aplicativos de mensagens você use, enquanto seu dispositivo estiver rodando iOS ou Android.

Os documentos publicados não incluem detalhes de como recriar e usar as ciberarmas da CIA. Wikileaks disse que eles iriam reter tais publicações até que se torne claro como estas armas devam ser “analisadas, desarmadas e publicadas”.

Isto significa que o seu vizinho provavelmente não terá acesso às ferramentas recém descobertas antes delas serem neutralizadas.

O que eu posso fazer?

Há algumas precauções gerais que você pode seguir para aumentar a segurança de seu dispositivo:

  • Não use dispositivos com root ou jailbreak até que você esteja 400% certo de que sabe o que está fazendo.
  • Nunca instale aplicativos de fontes desconhecidas ou não confiáveis.
  • Mantenha seu dispositivo atualizado e sempre instale as atualizações de segurança que ele oferece.
  • Pegue um fabricante que ofereça atualizações de longo prazo para seus produtos.
  • Lembre-se que dispositivos que não recebem mais suporte têm um risco aumentado de estarem vulneráveis.

Estas medidas o protegerão de exploits “Year Zero” apenas quando fabricantes de sistemas operacionais e dispositivos implementarem os consertos relevantes, mas seguir estas dicas desde já pode te deixar muito mais seguro contra várias das ameaças conhecidas às quais você estaria exposto.

Sumarizando

“Year Zero” não é um problema de aplicativo. Ele se aplica a dispositivos e sistemas operacionais e requererá atualizações de segurança de seus respectivos fabricantes para mitigar as ameaças. Mencionar qualquer aplicativo em particular neste contexto é enganoso.

Wikileaks alega que a CIA tem tido um mapa dos túneis e passagens secretas na sua montanha há vários anos. A CIA poderia usá-los para olhar dentro de seu castelo e ler dados da tela do seu celular, antes que qualquer aplicativo tenha a chance de criptografá-los. É possível que alguns dos túneis dos mapas secretos tenham sido ou sejam descobertos por atores além da CIA.

A notícia mais importante é que após este vazamento, os fabricantes de dispositivos e sistemas operacionais finalmente terão acesso a estes mapas também. E então Samsung, Apple, Google e outros poderão começar a trabalhar para fazer suas montanhas inacessíveis à CIA e qualquer um que tente seguir em seu encalço.

Padrão
geek, Segurança e Privacidade

WhatsApp Desmascarado

http://olhardigital.uol.com.br/fique_seguro/noticia/brecha-na-criptografia-do-whatsapp-permite-que-mensagens-sejam-interceptadas/65316

https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages?CMP=fb_gu

https://www.theguardian.com/technology/2017/jan/13/whatsapp-encryption-backdoor-snooping-signal

Em outras palavras: O protocolo Signal realmente é imbatível, o protocolo Signal customizado para o WhatsApp não. O WhatsApp, e por extensão o Facebook, pode ler as suas mensagens, por exemplo, a mando do governo, e o próprio WhatsApp já foi informado desta falha abril do ano passado mas menosprezou o problema.. Se o governo brasileiro ainda não sabia desta vulnerabilidade (e já tirou o WhatsApp do ar 3 vezes por isso) agora já sabe. Aliás, só no primeiro semestre de 2016, o governo brasileiro fez 1751 requisições de dados ao Facebook, de 4486 contas e usuários. Isto falando só do que eles pediram pro Facebook, sem contar outras empresas. Imagina agora que eles sabem que dá pra burlar a criptografia do WhatsApp.

Se você não confia no Telegram ou Wire para suas mensagens, ao menos para as mais sigilosas, então use o Signal original da Open Whisper System, não a versão recauchutada do “zapzap”. Lembre-se: Todo mundo tem um bom motivo para se preocupar com privacidade. Você não sabe como as suas informações pessoais podem te comprometer até que já seja tarde demais.

Como eu sei que nesse país usar WhatsApp frequentemente é a única opção, pelo menos configure-o para ficar o mais seguro possível. Além de desligar o backup em nuvem (obviamente), na tela inicial, onde aparecem todas as suas conversas, clique no ícone dos três pontinhos, em cima, na barra verde, e em “configurações”, depois em “conta”, “segurança”, e ative a opção “mostrar configurações de segurança”. Se na conversa com o seu contato aparecer o aviso de que a chave dele mudou, confira se ele trocou de aparelho ou reinstalou o WhatsApp. Se não, pode ser que a sua comunicação esteja comprometida. Não é perfeito (o artigo do The Guardian mostra que tem como você não ser avisado da troca de chaves mesmo com essa configuração ativada) mas é o mínimo que se deve fazer.

Padrão
Aplicativos, geek, internet, Segurança e Privacidade

PGP e Criptografia de Chave Pública: O que é e para que serve?

encryption-and-key

Em 1991, o criptógrafo Phil Zimmermann desafiou o governo dos Estados Unidos ao lançar publicamente seu novo programa de criptografia de chave pública chamado PGP, Pretty Good Privacy, o primeiro que permitiu criptografia de email de forma relativamente prática, sem exigir que remetente e destinatário se encontrem fisicamente em algum momento. Foi ousado publicar o software para distribuição livre na então jovem internet, porque qualquer sistema de criptografia com chave maior que 40 bits (ou seja, qualquer um que não seja um brinquedo) era considerada pelo governo americano como criptografia de nível balístico ou militar, e sua exportação, pela lei da época, era análoga à exportação de munição, e estava proibida, especialmente para países que estavam sob embargo dos EUA, como Irã. Zimmermann sabia e enfrentou bravamente o governo americano num longo processo. Foi um dos casos em que desobedecer a lei é a coisa a se fazer, e o benefício que o PGP ofereceu às pessoas de todo mundo é incalculável, os que mais usufruíram dele foram jornalistas, ativistas, militantes, whistleblowers, e quaisquer pessoas residentes em países ditatoriais (ou não) em que suas comunicações privadas poderiam até lhes custar a vida. Mas não se engane, não são só os iranianos, cubanos e paquistaneses precisam de privacidade, e também não apenas criminosos, como muitos pensam. Todos precisam, e você não sabe de que forma uma informação aparentemente trivial sua pode ser usada contra você, até que o improvável aconteça.

O protocolo PGP, apesar de ser fácil o bastante para ser usado por leigos em informática com algum esforço e alguma vontade de aprender coisas novas, é bastante complexo em seu funcionamento, e a troca de mensagens criptografadas envolve não apenas a criptografia assimétrica ou de chave pública, mas também criptografia simétrica tradicional para chaves de sessão e outras minúcias técnicas. Mas aqui, para todos os efeitos, vou ignorar estas tecnicalidades e falar apenas da criptografia assimétrica, que é a essência do PGP. A intenção neste post é explicar o mínimo que você precisa saber sobre o sistema e decidir se é necessário para você. É um pouquinho complicado, mas não é ciência de foguetes, então vamos por partes (insira sua piada manjada favorita de professor de cursinho envolvendo serial killers londrinos)

Continuar lendo

Padrão