proteja seus dados em casa e na internet
DESCRIPTION
Palestra ministrada no Curso Capacita da Faculdade Maurício de Nassau.TRANSCRIPT
2014 .1 – Curso Capacita
Proteja seus Dados em casa e na Internet
Frederico MadeiraLPIC-1, LPIC-2, [email protected]: 1024D/0F0A721D Key fingerprint = C424 D86B 57D5 BE55 767A 6ED1 53F8 254E 0F0A 721D
Cenário Atual
2014 .1 – Curso Capacita
Fonte: The Guardian
Cenário Atual
2014 .1 – Curso Capacita
Fonte: Spiegel
Fonte: Spiegel
Como se Proteger ?
2014 .1 – Curso Capacita
O que é ?
2014 .1 – Curso Capacita
✔ É um software livre que cria uma Open Network que defende os usuários contra analise de tráfego, que é um tipo de vigilância eletrônica via rede, que ameaça a liberdade e privacidade das pessoas
✔ Permite a navegação anônima na internet
✔ Desenvolvido, financiado e promovido pela Marinha Americana.
✔ Permite que pessoas ou organizações compartilhem informações e uma rede pública sem que sua privacidade seja comprometida. (Caso do Wikileaks)
✔ O TOR também é usado para comunicações sociais, como chats o formus sobre estupro, sobreviventes de abusos ou pessoas com doenças
Possibilidades
2014 .1 – Curso Capacita
✔ Utilização em comunicações sociais sensíveis, como chats o formus sobre estupro, sobreviventes de abusos ou pessoas com doenças
✔ Acesso a sites que restringem o acesso ao seu conteúdo, a partir de determinadas regiões:
✔ Governo Chinês✔ Sites Americanos de conteúdo multimídia
✔ Jornalistas estabelecem comunicação com denunciantes ou dissidentes
✔ Funcionários das ONGs utilizam o TOR para comunicação com suas bases quando estão realizando trabalhos remotos
✔ Empresas utilizam tor para realização de analises competitivas sem que sejam detectados pelos concorrentes.
Por que precisamos do TOR
2014 .1 – Curso Capacita
✔ Técnica de Internet Surveillance chamada de Traffic Analysis
✔ Infere quem está falando com quem em uma rede pública
✔ O endereço de IP de origem e destino da comunicação são conhecidos
✔ Este endereço permite que seja rastreado seu comportamento e interesses
✔ Mesmo se a comunicação for cifrada, será possível realizar a análise, visto que o header do IP estará disponível para que os roteadores façam o encaminhamento do pacote.
Como funciona
2014 .1 – Curso Capacita
● Distribui as transações por diversos nós da rede
● Modifica os nós periodicamente● São criados caminhos virtuais
privados entre os nós da rede● Esses caminhos são encriptados● Os caminhos são estendidos um
hop por vez● Cada nó, só tem conhecimento da
conexão do nó anterior● Nenhum dos nós conhece o
caminho completo de uma comunicação
● Chaves diferentes de encriptação são negociados com cada nó individualmente conforme o caminho vai sendo formado
Como funciona
2014 .1 – Curso Capacita
● Uma vez estabelecido o caminho, muitos protocolos podem ser negociados através dele
● Suporta apenas streams TCP
Como funciona
2014 .1 – Curso Capacita
● Uma vez estabelecido o caminho, muitas aplicações podem ser negociados através dele
● Suporta apenas streams TCP● Suporta a ocultação da localização
Ferramentas
2014 .1 – Curso Capacita
O que é ?
2014 .1 – Curso Capacita
“É uma substituição gratuita e completa do PGP e nãopossui nenhum problema de patente ou licenciamento,
sendo compatível com o padrão OpenPGP que podeser encontrado na RFC 2440”.
“É uma ferramenta bastante utilizada sendo útil nacomunicação com outras pessoas que usam o “gpg”
ou algum outro aplicativo orientado para PGP”.
http://www.gnupg.org/
O que é ?
2014 .1 – Curso Capacita
PGP é um programa de criptografia de chave pública altamente seguro, originalmente escrito por Philip
Zimmermann. Nos últimos anos o PGP conquistou milhares de entusiastas em todo o mundo e tornou-se de fato, um
padrão para a criptografia de correio eletrônico”.http://www.pgpi.org/
Vantagens
2014 .1 – Curso Capacita
● Dados são armazenados cifrados, onde quer que se leve o disco, sua senha será necessário para ler os dados
● Utilização de técnicas/algorítimos de criptografia modernas e abertos (Não possuem backdoor)
● A senha para decifrar o conteudo, não pode ser alterada por outros dispositivos ou softwares
● Utilização de frase secreta como senha
● Quinta ementa americana: nobody may be "compelled in any criminal case to be a witness against himself. Ver este caso
● De acordo a legislação Brasileira qualquer coação que vise obrigar outrem a se confessar é ilícita e configurará crime de tortura de acordo com a alínea “a”, inciso I, art 1° da lei 9.455/97.
● Mantê suas comunicações seguras
Funcionamento
2014 .1 – Curso Capacita
● Utiliza duas chaves diferentes: Uma para cifrar (publica) e outra para decifrar (privada)
● Cada pessoa deve gerar seu par de chaves
● A chave pública pode ser divulgada publicamente
● A chave privada deve ficar restrita apenas ao dono da chave
● Quando alguem for enviar algum arquivo/email, cifra o conteudo utilizado sua chave pública
● Este conteudo cifrado, só pode ser aberto com sua chave privada.
Envio da Chave Pública
Cifrando a Mensagem
Funcionamento
2014 .1 – Curso Capacita
Funcionamento
A mensagem será vista desta forma por uma pessoa intermediária que não possua a chave privada para decifra esta mensagem
2014 .1 – Curso Capacita
Ferramentas
2014 .1 – Curso Capacita
● Seahorse● Gerenciado GPG para Gnome
● Kgpg● Gerenciado GPG para KDE]
● Enigmail● OpenPGP message encryption and authentication para
Thunderbird
● Gpg4win● Implementação do PGP para Windows
Desafios
2014 .1 – Curso Capacita
● Poder computacional do atacante
● Ataques a rede TOR● NSA and GCHQ target Tor network that protects anonymity o
f web users● Attacking Tor: how the NSA targets users' online anonymity
● Uso correto das ferramentas
● Disseminação e divulgação destas ferramentas para que se tornem padrão no cotidiano das pessoas.
Dúvidas
2014 .1 – Curso Capacita
Referências
● Site oficial do Projeto TOR, disponível em https://www.torproject.org/
● Timeline of Edward Snowden's revelations, disponível em http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html
● The Guardian, disponível em http://www.theguardian.com/
● The Gnu Privacy Guard, página oficial. Disponível em http://www.gnupg.org
2014 .1 – Curso Capacita