Aplicativos, geek

Quer Chamadas de Voz Pelo Telegram? Pergunte-me como

telegram voice call

Ou melhor, não precisa perguntar, eu já respondo:

O Telegram está liberando chamadas de voz para o Brasil. Mas para poder fazer chamadas para os seus amigos, é preciso alguém ligar para você primeiro. Uma espécie de sistema de convites.

Estou me sentindo caridoso hoje. Se você ainda não tem o recurso liberado no Telegram, entre em contato comigo que eu te ligo.

https://t.me/c0anomalous

Já tenho uma boa ação para incluir na minha carta ao Papai Noel no fim do ano.

Adendo: Só para constar, eu não estou fazendo uma piada de primeiro de abril, os caras do Telegram estão mesmo liberando a chamada de voz nesse sistema.

Anúncios
Padrão
Aplicativos, geek, internet, Segurança e Privacidade

O Que esses tais de “Year Zero” e “Vault 7” do Wikileaks significam?

101-wikileaks-revealed-cnn-640x360

Original: Telegram, em http://telegra.ph/Wikileaks-Vault7-NEWS

Tradução: c0anomalous

O Wikileaks divulgou uma nova coletânea de documentos que eles chamaram “Year Zero” (“Ano Zero”). De acordo com estes documentos, a CIA criou “sua própria NSA” com “ainda menos responsabilidade e transparência”. O recém descoberto arsenal hacker da agência inclui técnicas que alegadamente permitem à CIA burlar a criptografia de aplicativos de mensagens como WhatsApp ou Signal, hackeando os smartphones das pessoas e coletando tráfego de mensagens e áudio antes da criptografia ser aplicada.

Isto não é um problema de aplicativo. É relevante ao nível de dispositivos e sistemas operacionais como iOS e Android. Por esta razão, nomear qualquer aplicativo em particular neste contexto é enganoso.

Como assim?

Para colocar “Year Zero” em termos familiares, imagine um castelo numa montanha. O castelo é um aplicativo de mensagens seguro. O dispositivo e seu sistema operacional são a montanha. Seu castelo pode ser forte, mas se a montanha abaixo for um vulcão ativo, há pouco que seus engenheiros possam fazer.

Então, no caso do “Year Zero”, não importa realmente qual aplicativo de mensagens você use. Aplicativo nenhum pode impedir seu teclado de saber quais teclas você pressiona. Nenhum aplicativo pode esconder o que aparece na tela do seu sistema. E nada disso é um problema do aplicativo.

Então quem pode consertar isto?

Agora depende dos fabricantes do dispositivo e do sistema operacional, como Apple e Google, ou Samsung, para consertar seus vulcões e torna-los montanhas novamente.

Felizmente, no caso do “Year Zero”, a montanha não é exatamente um vulcão. É mais como uma grande montanha que está repleta de túneis e passagens secretas. As ferramentas do “Vault 7” [o pacote de documentos vazados completo, do qual Year Zero é a primeira parte] são como um mapa destes túneis. Agora que os fabricantes dos sistemas operacionais e dispositivos, como Apple e Google, vão pegar este mapa, eles podem começar a preencher os buracos e barrar as passagens. Isto requererá muitas horas de trabalho e muitas atualizações de segurança, mas eventualmente eles devem conseguir cuidar da maioria dos problemas.

Quem é afetado?

A boa notícia é que por hora tudo isso é irrelevante para a maioria dos usuários do Telegram. Se a CIA não estiver atrás de você, você não deve começar a se preocupar ainda. E se ela estiver, não importa quais aplicativos de mensagens você use, enquanto seu dispositivo estiver rodando iOS ou Android.

Os documentos publicados não incluem detalhes de como recriar e usar as ciberarmas da CIA. Wikileaks disse que eles iriam reter tais publicações até que se torne claro como estas armas devam ser “analisadas, desarmadas e publicadas”.

Isto significa que o seu vizinho provavelmente não terá acesso às ferramentas recém descobertas antes delas serem neutralizadas.

O que eu posso fazer?

Há algumas precauções gerais que você pode seguir para aumentar a segurança de seu dispositivo:

  • Não use dispositivos com root ou jailbreak até que você esteja 400% certo de que sabe o que está fazendo.
  • Nunca instale aplicativos de fontes desconhecidas ou não confiáveis.
  • Mantenha seu dispositivo atualizado e sempre instale as atualizações de segurança que ele oferece.
  • Pegue um fabricante que ofereça atualizações de longo prazo para seus produtos.
  • Lembre-se que dispositivos que não recebem mais suporte têm um risco aumentado de estarem vulneráveis.

Estas medidas o protegerão de exploits “Year Zero” apenas quando fabricantes de sistemas operacionais e dispositivos implementarem os consertos relevantes, mas seguir estas dicas desde já pode te deixar muito mais seguro contra várias das ameaças conhecidas às quais você estaria exposto.

Sumarizando

“Year Zero” não é um problema de aplicativo. Ele se aplica a dispositivos e sistemas operacionais e requererá atualizações de segurança de seus respectivos fabricantes para mitigar as ameaças. Mencionar qualquer aplicativo em particular neste contexto é enganoso.

Wikileaks alega que a CIA tem tido um mapa dos túneis e passagens secretas na sua montanha há vários anos. A CIA poderia usá-los para olhar dentro de seu castelo e ler dados da tela do seu celular, antes que qualquer aplicativo tenha a chance de criptografá-los. É possível que alguns dos túneis dos mapas secretos tenham sido ou sejam descobertos por atores além da CIA.

A notícia mais importante é que após este vazamento, os fabricantes de dispositivos e sistemas operacionais finalmente terão acesso a estes mapas também. E então Samsung, Apple, Google e outros poderão começar a trabalhar para fazer suas montanhas inacessíveis à CIA e qualquer um que tente seguir em seu encalço.

Padrão
geek, Segurança e Privacidade

Novo Vazamento do WikiLeaks: Fiquem Ligados

1000px-wikileaks_logo-svg_

Novo vazamento de dados, obtidos de um funcionário ou ex-funcionário da CIA (não da NSA desta vez) revelam toda a gama de ferramentas de que a agência dispunha, algumas compradas de empresas privadas, para hackear dispositivos móveis. Este vazamento, um pacote de dados chamado Vault 7, que Assange promete ser maior que os de Snowden em 2013, revela que o governo americano esteve trabalhando em meios de poder espionar comunicações, inclusive de serviços de mensagem como Telegram e WhatsApp, sem precisar quebrar a criptografia destes aplicativos, mas explorando fragilidades dos sistemas operacionais iOS e Android. Ah, e você por acaso tem uma Smart TV Samsung? Pois é…

O primeiro lote de documentos do Vault 7, chamado Year Zero, você encontra no link abaixo:

https://wikileaks.org/ciav7p1/

https://motherboard.vice.com/pt_br/article/wikileaks-acaba-de-vazar-informacoes-das-supostas-ferramentas-de-hacking-da-cia

https://www.washingtonpost.com/world/national-security/wikileaks-says-it-has-obtained-trove-of-cia-hacking-tools/2017/03/07/c8c50c5c-0345-11e7-b1e9-a05d3c21f7cf_story.html

Padrão
geek, Segurança e Privacidade

WhatsApp Desmascarado

http://olhardigital.uol.com.br/fique_seguro/noticia/brecha-na-criptografia-do-whatsapp-permite-que-mensagens-sejam-interceptadas/65316

https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages?CMP=fb_gu

https://www.theguardian.com/technology/2017/jan/13/whatsapp-encryption-backdoor-snooping-signal

Em outras palavras: O protocolo Signal realmente é imbatível, o protocolo Signal customizado para o WhatsApp não. O WhatsApp, e por extensão o Facebook, pode ler as suas mensagens, por exemplo, a mando do governo, e o próprio WhatsApp já foi informado desta falha abril do ano passado mas menosprezou o problema.. Se o governo brasileiro ainda não sabia desta vulnerabilidade (e já tirou o WhatsApp do ar 3 vezes por isso) agora já sabe. Aliás, só no primeiro semestre de 2016, o governo brasileiro fez 1751 requisições de dados ao Facebook, de 4486 contas e usuários. Isto falando só do que eles pediram pro Facebook, sem contar outras empresas. Imagina agora que eles sabem que dá pra burlar a criptografia do WhatsApp.

Se você não confia no Telegram ou Wire para suas mensagens, ao menos para as mais sigilosas, então use o Signal original da Open Whisper System, não a versão recauchutada do “zapzap”. Lembre-se: Todo mundo tem um bom motivo para se preocupar com privacidade. Você não sabe como as suas informações pessoais podem te comprometer até que já seja tarde demais.

Como eu sei que nesse país usar WhatsApp frequentemente é a única opção, pelo menos configure-o para ficar o mais seguro possível. Além de desligar o backup em nuvem (obviamente), na tela inicial, onde aparecem todas as suas conversas, clique no ícone dos três pontinhos, em cima, na barra verde, e em “configurações”, depois em “conta”, “segurança”, e ative a opção “mostrar configurações de segurança”. Se na conversa com o seu contato aparecer o aviso de que a chave dele mudou, confira se ele trocou de aparelho ou reinstalou o WhatsApp. Se não, pode ser que a sua comunicação esteja comprometida. Não é perfeito (o artigo do The Guardian mostra que tem como você não ser avisado da troca de chaves mesmo com essa configuração ativada) mas é o mínimo que se deve fazer.

Padrão
Aplicativos, geek, internet, Segurança e Privacidade

PGP e Criptografia de Chave Pública: O que é e para que serve?

encryption-and-key

Em 1991, o criptógrafo Phil Zimmermann desafiou o governo dos Estados Unidos ao lançar publicamente seu novo programa de criptografia de chave pública chamado PGP, Pretty Good Privacy, o primeiro que permitiu criptografia de email de forma relativamente prática, sem exigir que remetente e destinatário se encontrem fisicamente em algum momento. Foi ousado publicar o software para distribuição livre na então jovem internet, porque qualquer sistema de criptografia com chave maior que 40 bits (ou seja, qualquer um que não seja um brinquedo) era considerada pelo governo americano como criptografia de nível balístico ou militar, e sua exportação, pela lei da época, era análoga à exportação de munição, e estava proibida, especialmente para países que estavam sob embargo dos EUA, como Irã. Zimmermann sabia e enfrentou bravamente o governo americano num longo processo. Foi um dos casos em que desobedecer a lei é a coisa a se fazer, e o benefício que o PGP ofereceu às pessoas de todo mundo é incalculável, os que mais usufruíram dele foram jornalistas, ativistas, militantes, whistleblowers, e quaisquer pessoas residentes em países ditatoriais (ou não) em que suas comunicações privadas poderiam até lhes custar a vida. Mas não se engane, não são só os iranianos, cubanos e paquistaneses precisam de privacidade, e também não apenas criminosos, como muitos pensam. Todos precisam, e você não sabe de que forma uma informação aparentemente trivial sua pode ser usada contra você, até que o improvável aconteça.

O protocolo PGP, apesar de ser fácil o bastante para ser usado por leigos em informática com algum esforço e alguma vontade de aprender coisas novas, é bastante complexo em seu funcionamento, e a troca de mensagens criptografadas envolve não apenas a criptografia assimétrica ou de chave pública, mas também criptografia simétrica tradicional para chaves de sessão e outras minúcias técnicas. Mas aqui, para todos os efeitos, vou ignorar estas tecnicalidades e falar apenas da criptografia assimétrica, que é a essência do PGP. A intenção neste post é explicar o mínimo que você precisa saber sobre o sistema e decidir se é necessário para você. É um pouquinho complicado, mas não é ciência de foguetes, então vamos por partes (insira sua piada manjada favorita de professor de cursinho envolvendo serial killers londrinos)

Continuar lendo

Padrão