Aplicativos, geek, internet, Segurança e Privacidade

Criptografia Pode ser Inútil

9sfb_breach_web

“Três pessoas só podem guardar um segredo se duas delas estiverem mortas”

Quem escreve o título deste post é o mesmo c0anomalous que fez este e vários outros sobre o assunto criptografia, pelo qual sou assumidamente fascinado, a matemática e a computação a serviço de guardar segredos. Mas a verdade vale mais que o meu fascínio. A verdade é que, em situações práticas, em especial de comunicação, nem o mais avançado algoritmo criptográfico pode salvar você de ter seu sigilo violado, e suas informações repassadas a terceiros. Ponderei sobre qual título seria mais adequado, “Criptografia é inútil” definitivamente não. “Criptografia: Quase Inútil”, impreciso demais. Realmente, ela pode ser inútil, e temo que eu e outros entusiastas às vezes a exaltemos demais.

Continuar lendo

Anúncios
Padrão
Aplicativos, Empresas, geek, internet

Olhar Analógico

https://olhardigital.uol.com.br/dicas_e_tutoriais/noticia/telegram-traz-recurso-copiado-do-whatsapp-ao-brasil-saiba-como-usar/67458

Recurso “copiado” do WhatsApp. Que vexame, hein, Olhar Digital? Será que quando o WhatsApp lançou as chamadas de voz, o Olhar Digital noticiou que eles copiaram o Skype?

Padrão
geek, Segurança e Privacidade

Novo Vazamento do WikiLeaks: Fiquem Ligados

1000px-wikileaks_logo-svg_

Novo vazamento de dados, obtidos de um funcionário ou ex-funcionário da CIA (não da NSA desta vez) revelam toda a gama de ferramentas de que a agência dispunha, algumas compradas de empresas privadas, para hackear dispositivos móveis. Este vazamento, um pacote de dados chamado Vault 7, que Assange promete ser maior que os de Snowden em 2013, revela que o governo americano esteve trabalhando em meios de poder espionar comunicações, inclusive de serviços de mensagem como Telegram e WhatsApp, sem precisar quebrar a criptografia destes aplicativos, mas explorando fragilidades dos sistemas operacionais iOS e Android. Ah, e você por acaso tem uma Smart TV Samsung? Pois é…

O primeiro lote de documentos do Vault 7, chamado Year Zero, você encontra no link abaixo:

https://wikileaks.org/ciav7p1/

https://motherboard.vice.com/pt_br/article/wikileaks-acaba-de-vazar-informacoes-das-supostas-ferramentas-de-hacking-da-cia

https://www.washingtonpost.com/world/national-security/wikileaks-says-it-has-obtained-trove-of-cia-hacking-tools/2017/03/07/c8c50c5c-0345-11e7-b1e9-a05d3c21f7cf_story.html

Padrão
geek, Segurança e Privacidade

WhatsApp Desmascarado

http://olhardigital.uol.com.br/fique_seguro/noticia/brecha-na-criptografia-do-whatsapp-permite-que-mensagens-sejam-interceptadas/65316

https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages?CMP=fb_gu

https://www.theguardian.com/technology/2017/jan/13/whatsapp-encryption-backdoor-snooping-signal

Em outras palavras: O protocolo Signal realmente é imbatível, o protocolo Signal customizado para o WhatsApp não. O WhatsApp, e por extensão o Facebook, pode ler as suas mensagens, por exemplo, a mando do governo, e o próprio WhatsApp já foi informado desta falha abril do ano passado mas menosprezou o problema.. Se o governo brasileiro ainda não sabia desta vulnerabilidade (e já tirou o WhatsApp do ar 3 vezes por isso) agora já sabe. Aliás, só no primeiro semestre de 2016, o governo brasileiro fez 1751 requisições de dados ao Facebook, de 4486 contas e usuários. Isto falando só do que eles pediram pro Facebook, sem contar outras empresas. Imagina agora que eles sabem que dá pra burlar a criptografia do WhatsApp.

Se você não confia no Telegram ou Wire para suas mensagens, ao menos para as mais sigilosas, então use o Signal original da Open Whisper System, não a versão recauchutada do “zapzap”. Lembre-se: Todo mundo tem um bom motivo para se preocupar com privacidade. Você não sabe como as suas informações pessoais podem te comprometer até que já seja tarde demais.

Como eu sei que nesse país usar WhatsApp frequentemente é a única opção, pelo menos configure-o para ficar o mais seguro possível. Além de desligar o backup em nuvem (obviamente), na tela inicial, onde aparecem todas as suas conversas, clique no ícone dos três pontinhos, em cima, na barra verde, e em “configurações”, depois em “conta”, “segurança”, e ative a opção “mostrar configurações de segurança”. Se na conversa com o seu contato aparecer o aviso de que a chave dele mudou, confira se ele trocou de aparelho ou reinstalou o WhatsApp. Se não, pode ser que a sua comunicação esteja comprometida. Não é perfeito (o artigo do The Guardian mostra que tem como você não ser avisado da troca de chaves mesmo com essa configuração ativada) mas é o mínimo que se deve fazer.

Padrão
geek, Segurança e Privacidade

Segurança em Celular e Autenticação em Duas Etapas

sms-of-surveillance-system_318-52685

https://blog.kaspersky.com.br/gsm-hijacking/6150/

Este post do blog do Kaspersky é interessante, mas os nomes e detalhes técnicos são bastante espinhosos, provavelmente não vão fazer muito sentido para quem não é especialista em criptografia, eu por exemplo não sou especialista, no máximo um autodidata dedicado.

Mas a conclusão final não é difícil de entender: Não é seguro, as suas chamadas e mensagens não são protegidas com chaves às quais o servidor (ou melhor, a operadora) não tem acesso. Apesar de ser relativamente caro e difícil, requerendo uma espécie de torre de celular falsa perto do local onde está o dono do celular, não é impossível interceptar o sinal de um celular (ataque man-in-the-middle), descobrir a chave de autenticação do usuário com criptoanálise, e realizar ataques, tais como se passar pelo dono do celular, ouvir conversas ou ler mensagens trocadas por aquele número.

Isto não é exatamente um defeito do sistema: A falha é um backdoor proposital dos engenheiros que elaboraram o sistema GSM, para que as operadoras pudessem obedecer pedidos de grampo por autoridades. Todo backdoor feito para ser usado legalmente também pode ser usado ilegalmente, e se o governo tem acesso por motivos que todos julgaríamos legítimos, também tem acesso para qualquer coisa. Se for com a ajuda da operadora, é trivialmente fácil: Ela pode literalmente mandar um sinal mandando o celular desligar a criptografia, e o usuário nem fica sabendo, não em modelos novos.

Quando Glenn Greenwald foi falar pela primeira vez com Laura Poitras, no restaurante de um hotel, sobre a fonte misteriosa que tinha entrado em contato com eles oferecendo um vazamento bombástico de segredos de governo (que depois ele descobriria ser Edward Snowden), Laura, melhor informada, pediu para que ele desligasse o celular e tirasse a bateria, ou o deixasse no quarto de hotel. Não era paranoia.

Todas as vezes que foi anunciado que o Telegram foi hackeado, principalmente em países ditatoriais, como o Irã, o que aconteceu na verdade foi que o número do celular, por padrão a única forma de autenticação do Telegram, foi clonado. É uma ótima ideia criar uma senha para o Telegram também, a chamada autenticação em duas etapas. Não use uma senha ridícula, e se estiver trocando informações extremamente sigilosas e comprometedoras, dispense a nuvem, use apenas o chat secreto, ou outro aplicativo como o Signal. O WhatsApp, e qualquer aplicativo de mensagem que também exige apenas sms de confirmação, também pode sofrer um ataque deste tipo sem problema algum.

Falando em autenticação em duas etapas, vários serviços, incluindo Google, Facebook, Microsoft e WordPress, oferecem este incremento de segurança, as duas etapas seriam a senha e um sms para o seu celular… Que como vimos não é exatamente a coisa mais segura do mundo. Sem falar que muitas vezes as mensagens demoram pra chegar, ou nem chegam. O melhor é você trocar a opção de segunda etapa com SMS por segunda etapa com Google Authenticator. É um aplicativo grátis, tem para todos os sistemas operacionais, veja como instalar e usar o Google Authenticator, ou outro autenticador de sua escolha. Pode ser no celular mesmo, no PC ou Notebook, ou, melhor ainda, se puder, em algum dispositivo que não saia da sua casa e que você não usa muito (um celular ou tablet velho é uma ótima pedida). Ele funciona gerando um código de 6 dígitos como senha descartável para cada acesso do serviço em um novo dispositivo, similar ao token que alguns bancos oferecem ao usuário. Por exemplo, se você comprar um celular novo e for entrar no Facebook nele pela primeira vez, vai pedir a senha do Authenticator.

A Apple também oferece este tipo de verificação em duas etapas, via Google Authenticator, sms, e, apenas para sistemas compatíveis com iOS 9, OS X El Capitan ou superior, um sistema de autenticação em duas etapas próprio, que eles chama de autenticação de dois fatores, em que a senha secundária é informada em dispositivos da Apple que você já tenha.

Mais detalhes:

O que é a autenticação de dois fatores e como usá-la? | Nós …

Verificação em duas etapas do Google

Autenticação de dois fatores do ID Apple – Suporte da Apple

Verificação de duas etapas para o ID Apple – Suporte da Apple

Verificação em Duas Etapas – Microsoft Community

 

 

Padrão
Aplicativos, geek, Internet, Segurança e Privacidade

Telegram: É Hora de Mudar de Perspectiva

telegram-logo

O Telegram é melhor que o WhatsApp em quase todos os aspectos. As funções “novas” que vejo aparecerem no WhatsApp e outros aplicativos são imitações do que o Telegram já tem há muito tempo. E os stickers, marca registrada do Telegram e uma das funções mais divertidas do aplicativo, que a Apple comprou e agora está vendendo para os usuários do iMessage por um dólar por pacote , enquanto continuam de graça no Telegram…

Uma de suas maiores vantagens é que é multidispositivo, de verdade, não aquela gambiarra tosca do WhatsApp Web. Tem um cliente Telegram para quase toda plataforma, até porque a API é aberta, e a organização Telegram LLC sempre encorajou programadores a desenvolverem clientes não oficiais (tem até pra BlackBerry). As mensagens são mandadas com muita velocidade e com extrema segurança, garantida pelo protocolo MTProto. Apesar de todo ceticismo que o cerca, nenhum criptógrafo conseguiu achar uma falha no MTProto que pudesse ser usada para um ataque. Ficam salvas na nuvem por padrão, mas, ao contrário do que já li em muitos lugares, isto não significa que não são criptografadas, apenas que não são criptografadas ponta-a-ponta, mas ficam criptografadas nos servidores do Telegram, que ficam em vários países, em locais secretos, as chaves para criptografia e os arquivos ficam sempre em jurisdições diferentes.

Até hoje, jamais entregaram dados a governo nenhum, nem a empresa nenhuma, e alegam que qualquer pedido de entrega de dados é jogado no lixo. O Telegram LLC não divulga o endereço de seus escritórios, e Pavel Durov (o “dono” do Telegram) e seu grupo de programadores vivem nomadicamente, tudo para evitar assédio de autoridades. Sem dúvida, o serviço de nuvem mais seguro do mundo, tanto contra governo quanto contra crackers, e basicamente o máximo de segurança que você pode ter com a conveniência de ter as mensagens na nuvem, acessíveis em vários dispositivos. Mas se você não confia nestes servidores, ou não usa vários dispositivos, use o chat secreto.

E você pode mandar qualquer tipo de arquivo pelo Telegram (ao contrário do WhatsApp, que só aceita alguns formatos, como PDF e DOC), de no máximo 1,5 GB cada, mas sem limite  no número de arquivos ou no tamanho total da sua nuvem. E você pode mandar mensagens para si mesmo, tendo, ao mesmo tempo, um bloco de anotações e uma nuvem pessoal ilimitada.

Só isso já derruba o argumento que eu ouço de quase todos quando ofereço o Telegram (pra que eu vou usar isso se ninguém mais usa?). Tenho uma nuvem pessoal ilimitada. Ah, um ótimo jeito de não perder seu carro no estacionamento é, ao estacionar, mandar a sua localização para si mesmo pelo Telegram. Ele também oferece grupos bem maiores que os do WhatsApp e tem mais recursos, como fixar mensagens, à moda dos bons e velhos fóruns BBCode. Também tem a função de canais, que é como um Twitter, mas sem limite de caracteres.

Mesmo sem a nuvem pessoal, a ladainha de “ninguém usa” estaria errada. Mude esta perspectiva: O Telegram é grátis e você não precisa optar entre ter ele ou o WhatsApp em seu celular, pode perfeitamente ter os dois. E se ao invés de dizer “ninguém usa” e continuar usando o aplicativo pior, você instalar o Telegram  e disser aos seus amigos para fazerem o mesmo? Se você tiver 5 amigos, pelo menos já tem 5 contatos com os quais falar no Telegram, o WhatsApp fica pros demais. Parece que ninguém quer criar uma corrente, como se fosse demais pedir a alguém para instalar um app grátis no celular.

Eu disse que ele é melhor que o WhatsApp em quase todos os aspectos porque o WhatsApp conta com chamadas de áudio e vídeo. E o que me deixa perplexo é que essas funções, que literalmente são as únicas coisas que o WhatsApp tem e o Telegram não, ninguém usa! As pessoas falam cada vez menos ao telefone, e, quando falam, parece que ignoram a chamada de voz do WhatsApp e usam o telefone convencional. E chamada de vídeo é mais ignorada ainda… Uma lástima. As poucas pessoas que fazem videoconferência, normalmente para trabalho, usam Skype. Mas mesmo se você quiser estas funções, o melhor aplicativo para você é o Wire, aplicativo multiplataforma (desktop e mobile) feito por uma equipe liderada por um ex-funcionário do Skype, e é para o Skype o que o Telegram é para o WhatsApp, melhor em qualidade de som e vídeo, e mais ainda em questão de privacidade e segurança em geral. Mesma coisa que o Telegram, ao invés de reclamar que ninguém usa, comece um círculo virtuoso, ao invés de alimentar um vicioso.

Por fim, fique com esta mensagem do próprio Telegram, sobre como eles tratam os seus dados:

telegram

Padrão