Dica Avançada - Montando HD Externo Criptografado

Amigos leitores, nesse post sobre o MEGA (antigo Megaupload) lhes falei sobre a busca por alternativas ao site. Depois de muito buscar e testar outros serviços, cheguei a uma conclusão: Não há atualmente um serviço de nuvem que esteja  engajado no propósito "anti-espionagem" e "underground".

Para arquivos "normais" (ou se a falta privacidade total não é um problema para você) eu continuo indicando o MEGA, pois ainda é um serviço muito bom, com 50GB grátis de espaço, comparado às opções do mercado. Outro que pode ser interessante (paga) é o "OwnCloud" que pode ser conhecido clicando aqui (em inglês).

Porém, compreendo que alguns, assim como eu, podem querer mais. Então venho trazer uma alternativa que precisará de algum investimento inicial, mas que pode tornar seus arquivos bem mais seguros.

Primeiro passo

Começando com a compra (caso não se possua) de um HD Externo, precisaremos investir um valor que varia de acordo com a marca e capacidade escolhidas. Já aviso que no momento atual, a compra pode ser mais custosa por causa do dólar (material informático ainda é importado na maioria das vezes) e também que às vezes, por causa de R$100 você sai de 1TB de armazenamento para 750GB, então talvez seja necessário aguardar.

Não irei recomendar marcas aqui, pois esse não é o objetivo porém já adianto que, geralmente, marcas conhecidas costumam ser boas opções, na dúvida procure uma loja de informática especializada na sua região e veja as opções e preços, no caso da internet, procure e-commerce's conhecidas ou que já tenha comprado nelas e cuidado com Mercado Livre e afins.

Uma outra dica válida talvez seja comprar um HD à prova d'água, ou uma "case" com essa finalidade, pois tudo que passarei nesse post, com certeza, serve para o caso de um backup de documentos, fotos e etc do seu computador de casa ou até mesmo da sua estação de trabalho (se a política da empresa permitir, claro).

Mexendo com software

Bem, após ter o HD em mãos, vamos ao que interessa. Existem vários softwares disponíveis no mercado como o VeraCrypt (que já mostramos aqui), o LUKS (que também já foi mostrado), o CCrypt, entre outros.

Se você usa o TrueCrypt, recomendo que saia imediatamente, pois seus desenvolvedores o abandonaram (como pode ser visto aqui, em inglês).

Caso ache interessante, vou mostrar rapidamente duas opções, o CCrypt (que ainda não foi mostrado aqui no site) e o GPG (que não é específico para esse fim, mas pode ser interessante para arquivamento).

- CCrypt (Linux recomendado)

Para começar, faça o download dos arquivos:

-> Linux:

- Genérico (32 bits)
- Genérico (64 bits / X86_64)
- Genérico (amd64)
- Debian (i386)
- Debian (amd64)
- FreeBSD (32 bits / i386)
- Android (4.0 ou superior)
- Red Hat (X86_64)
- Red Hat (Source)
- Solaris (i386)
- Solaris (Sparc)
- SuSE (RPM)
- OpenBSD (i386)
- FreeBSD (i386)


-> Windows:

- 95/98/2000/NT

-> MAC:

- MAC OS (todas as versões)

Instalação (Debian)

Após baixar, execute no terminal:

cd /caminhodopacote/

sudo dpkg -i nomepacote.deb

Substituindo caminhodopacote pelo caminho (ex: /home/debian/Desktop/) e  nomedopacote.deb pelo nome do pacote que acabou de baixar (ex: debian_X86.deb).

No caso de algum erro:

Caso dependências sejam necessárias (haverá aviso na tela), execute:

sudo dpkg -f nomepacote.deb

Em caso de nova falha:

sudo apt-get -f install

E então:

sudo dpkg -i nomepacote.deb

Pronto.

Instalação (MAC OS)

Extraia o conteúdo do pacote que acabou de salvar e copie o conteúdo para a pasta que desejar. Caso queira, adicione um atalho na desktop.

Instalação (Linux, outras distros)

Execute no terminal:

cd /caminhodopacote/

sudo tar -vxf nomedopacote.tar.gz

Substituindo caminhodopacote pelo caminho (ex: /home/user/Desktop/); e  nomedopacote.tar.gz pelo nome do pacote que acabou de baixar (ex: linux_amd64.tar.gz). 

Após os comandos, caso exista um arquivo chamado install execute no terminal:

sudo ./install

ou

sudo ./install.sh

Caso exista um pacote (ex: ccrypt.deb) execute:

sudo dpkg -i nomedopacote.deb

Caso deseje, copie a pasta e arquivos que saírem e coloque-os na pasta share:

sudo cp /caminhodosarquivos/ /usr/share/pasta/

O ideal é que caminhodosarquivos seja uma pasta com todos eles, pois o processo acima copia uma coisa por vez. Substituindo caminhodosarquivos pelo caminho da pasta (ex: /home/user/Desktop/ccrypt/) e pasta pelo nome da pasta que deverá ficar em share (ex: ccrypt).

Execução (Linux, todas as versões)

No terminal:

ccrypt -e /caminhodoarquivo/

Substituindo caminhodoarquivo pelo caminho (ex: /home/user/Desktop/crypt).

Será pedida uma senha e o arquivo será criptografado. Após o fim do processo ele estará pronto para ser arquivado.

OBS: Não esqueça a senha, pois não é fácil recuperá-la.

Recuperando os arquivos

No terminal:

ccrypt -d /caminhoarquivo/

A senha fornecida na encriptação será requisitada, ao final do processo o arquivo original surgirá.

 

- GPG (GnuPG)

Já falei sobre ele em outro artigo aqui no site, por isso nesse post não abordarei ele profundamente, recomendo que use ele ao invés do ccrypt para arquivamento (após criptografar).

Hash's suportadas

Vou ser simples e direto aqui:

- LUKS: SHA-1
- Ccrypt: AES (256 bits)
- VeraCrypt: RIPEMD160 e SHA-2
- GPG: 3DES, CAST5, BLOWFISH, AES (64/192/256 bits), TWOFISH e CAMELLIA (128/192/256 bits)

Ideias

Como já disse em outros posts, para se aumentar a segurança, a adoção de processos e métodos mais seguros e eficientes sempre podem ajudar (a teoria da Segurança da Informação prega isso).

Uma ideia, seria a de combinar uma partição criptografada com arquivos e pastas criptografadas dentro dela.

Uma outra, seria a de usar o próprio "tar" (ou gerenciador de arquivos compactados, rar, entre outros) para criar pacotes com senha, criptografar com o GPG e depois jogar no disco, assim teríamos três senhas e caso as mesmas sejam fortes, melhor ainda.

Referências

https://guardianproject.info/code/luks/
https://veracrypt.codeplex.com/
http://ccrypt.sourceforge.net/ccrypt.html

Recomendamos a leitura

Segurança Digital - Criptografia básica com GPG (GnuPG) no linux
Segurança Digital - Criptografia com VeraCrypt
Criptografia Linux disco rígido com LUKS [cryptsetup Command]

Dúvidas e sugestões? Venha para o nosso grupo no Facebook.

Até a próxima!

Read More

Recomendação - MEGA, o sucessor do Megaupload

No post de hoje, falarei sobre o serviço de compartilhamento de arquivos MEGA, que veio para substituir o antigo Megaupload.

Breve Histórico

Após problemas de violação de direitos autorais e o dono do site Megaupload, Kim Dotcon, sofrer diversos processos na justiça nos mais diversos países, o maior site de compartilhamento de arquivos (até então) foi retirado do ar.

Depois de resolvidos os problemas judiciais, Kim decidiu mudar os rumos de sua vida e investir em vários projetos como o MEGA, uma internet com um novo protocolo (que não o TCP/IP como é hoje), entre outros. Um de seus projetos que está no ar é o que vou mostrar aqui hoje, o MEGA.

MEGA

Ao acessar o site você verá uma página como essa:

Página inicial do site

Para conhecer os detalhes do site (em inglês), basta rolar a página para baixo e conferir tudo o que quiser.

Contas "free" (gratuitas) possuem 50GB de armazenamento grátis, com 10GB de tráfego mensal, já as pagas, possuem 4TB (4.000GB) de armazenamento e 96TB (96.000GB) de tráfego mensal e custam €8,33 (aproximadamente R$ 25,40 nas taxas de câmbio atuais) por mês.

Registro

Se registrar é muito simples, vá à página inicial do MEGA e clique em "Create Account" no canto superior direito da barra do cabeçalho:

Você será redirecionado à seguinte página:

Preencha os campos e clique no botão "Create Account":

Um e-mail de validação será enviado para o endereço cadastrado. Após validar seu e-mail a conta estará pronta para uso.

O seu uso é bem intuitivo e simples. É possível criar pastas, compartilhar uma pasta específica, compartilhar um arquivo, e tudo que qualquer outro compartilhador de arquivos faz.

Aplicativo para Android

Há também como sincronizar o seu celular com a sua conta no MEGA, vá na PlayStore e procure por MEGA (ou clique aqui) e instale o APP chamado "MEGA v2".

Assim que ele for executado a primeira vez, será necessário realizar a autenticação (da mesma maneira que é feita no site) e então haverá o acesso a todo conteúdo de sua conta.

Possuir o APP do site instalado, permite também que links de arquivos hospedados no mesmo sejam abertos e salvos (download) no seu próprio dispositivo ou ainda serem transferidos diretamente a sua conta no site.

Aumentando a segurança

- Dispositivos

Uma dica que considero essencial é que somente acesse sua conta em dispositivos e redes confiáveis. Como o próprio site explica, a senha é a chave mestra da segurança da conta, logo, com ela é possível fazer tudo em sua conta, use uma forte e guarde-a em segurança.

- Extensão para navegadores

No próprio site, há como instalar um plugin para navegadores, na página inicial, role para baixo e encontre a frase "MEGA Browser Apps" (no canto direito, possivelmente) e clique sobre ela, uma página com um botão chamado "Download MEGA for NAVEGADOR" (onde "NAVEGADOR" será substituído pelo nome do seu navegador), clique nele e aceite a instalação do plugin. Após a conclusão da instalação, recarregue completamente a página (Ctrl + F5) e perceberá que o link do site (antes http://mega.co.nz/) vai mudar para chrome://mega/content/secure.html isso significa que a extensão está instalada com sucesso. Infelizmente, será necessário repetir o processo em todos os navegadores de seu computador, os quais forem acessar a sua conta no MEGA.

- No Android

Caso seja necessário mais segurança, ao terminar de utilizar o aplicativo do MEGA, faça o logout (desconexão) pois, isso encerrará sua seção no servidor e evitará que caso o seu telefone seja roubado/invadido sua conta esteja acessível.

Funcionamento básico da extensão

Ela faz o download dos arquivos de "base" do site e guarda-os localmente (em seu computador), assim, quando houver conexão com o site, o mínimo de informação possível será trocada com o servidor, evitando assim um possível rastreamento e aumentando a velocidade de carregamento, além de desativar todos os scripts provenientes do servidor (visto a quantidade de falhas descobertas no Javascript), há também um aumento da segurança geral da navegação no site, por meio de uma criptografia de chave privada. Note que nenhum dado relativo a sua conta ou senha ficam armazenados localmente, somente arquivos do próprio site.

Referência

https://mega.co.nz/


Espero que tenham gostado e que possam usufruir deste mega serviço. Não deixe de visitar nosso grupo no Facebook.

Até a próxima.

Atualização

(05/08/15) Leia nesse nosso post sobre um anúncio de Kim Dotcom em relação a segurança e privacidade do MEGA que estariam comprometidas.

Read More

Megachat: O serviço de chat e vídeo criptografado e gratuito

Preocupado com privacidade? É bem possível que se um hacker do governo quiser obter acesso a seus emails e outras comunicações ele vai ter.

O famoso empresário Kim Dotcom, que criou os famosos serviços de compartilhamento Megaupload e Mega, liberou dessa vez um serviço de comunicação criptografado.

O serviço chamado MegaChat tem suporte a chamadas de áudio e vídeo criptografadas ponto-a-ponto. O serviço garante que tem uma proteção muito melhor que seus concorrentes Skype e Google Hangouts.

O MegaChat é gratuito e está disponível no momento apenas direto no navegador.

Para usar o MegaChat basta apenas criar uma conta no Mega, logar no serviço e ir no botão "Conversations", adicionar seus amigos através da conta Mega e sair falando.

Read More

Kim Dotcom participará das eleições na Nova Zelândia

Kim Dotcom: "Vou participar. Vou ajudar o máximo possível nas próximas eleições (2014) para me assegurar que o governo vai levar mais a sério a internet", declarou

Sydney - Kim Dotcom, fundador do site Megaupload e que está na Nova Zelândia à espera do julgamento sobre sua extradição para os Estados Unidos, afirmou nesta quarta-feira que pretende participar das próximas eleições do país com o objetivo de defender a internet.

"Vou participar. Vou ajudar o máximo possível nas próximas eleições (2014) para me assegurar que o governo vai levar mais a sério a internet", declarou Dotcom durante a realização do "café da manhã anual "Mega"", acompanhado por especialistas e empresários da informática.

O programador de origem alemã não ofereceu mais detalhes sobre como será sua participação na política neozelandesa, afirmou o jornal "New Zealand Herald" em seu site.

Dotcom, que espera em liberdade condicional na Nova Zelândia o início de seu julgamento de extradição, também comentou que aguarda o começo do projeto de instalação de um segundo cabo submarino para aumentar a velocidade da internet na Nova Zelândia.

O fundador do Megaupload pediu aos presentes que lutem contra uma lei neozelandesa que daria maiores poderes às agências de espionagem e permitira que o governo tivesse acesso às informações das empresas de internet e de telecomunicações.

Dotcom é réu em um processo legal desde janeiro de 2012, após uma operação do FBI em sua mansão nos arredores de Auckland, que incluiu o confisco de seus bens, o fechamento do site Megaupload, o congelamento de suas contas e várias prisões.

Nesse complicado processo judicial ocorreram muitas irregularidades, como o uso de ordens ilegais para sua prisão e, no ano passado, explodiu um escândalo de espionagem ilegal de Dotcom por uma agência de Inteligência neozelandesa.

"Potencialmente, em certo ponto, podemos pedir uma indenização ao governo neozelandês por todos os danos. Mas não quero ser um fardo para a Nova Zelândia. A maior parte desse valor (possível indenização) poderia ser revertido em investimentos na instalação de cabos submarinos e banda larga para as regiões rurais", disse Dotcom.

Fonte: EXAME Abril

Read More

A polícia e o FBI podem ter que devolver os dados do Megaupload

A juíza Helen Winkelmann da alta Corte de Justiça da Nova Zelândia ordenou a polícia neozelandesa e o FBI para percorrer o material digital apreendido após a prisão do fundador do Megaupload Kim Dotcom e seus colegas e encontrou nenhum de que não é relevante para o caso, bem como clones de dispositivos que contêm qualquer material que seja considerado relevante para ele.

"Os mandados não poderiam autorizar a apreensão permanente de discos rígidos e materiais digitais contra a possibilidade de que eles possam conter material relevante, sem obrigação de verificar-los por relevância", Winkelmann escreveu em sua ordem. "Eles não poderiam autorizar a offshore de transporte dessas unidades de disco rígido com nenhuma verificação para ver se eles continham material relevante. Nem poderiam autorizar mantendo os autores de suas próprias informações, incluindo informações irrelevantes para as ofensas."

A decisão vem após o apelo do Megaupload para derrubar a decisão judicial inicial que lhes proibiu de acessar qualquer uma das provas digitais coletadas pela polícia e enviados para o FBI. As agências de aplicação da lei acima referidos devem cumprir com esta última decisão, a expensas próprias, que inclui também destruir todos os dados irrelevantes que têm em sua posse.

Para qualquer um de vocês que podem não se lembrar, Kim Dotcom e seus três sócios foram presos em janeiro de 2012 e atualmente estão lutando contra a extradição para os Estados Unidos. Sua audiência de extradição está prevista para agosto.

Em julho de 2012 Winkelmann decidiu que o ataque contra a casa de Dotcom, bem como a apreensão mandados de seus dados eram ilegais porque eram demasiado amplo em escopo.

Fonte: net-security

Read More

Kim Dotcom alega propriedade da autenticação em duas etapas

O chefão do compartilhamento de arquivos Kim Dotcom afirmou hoje ele é o inventor de autenticação de dois fatores, um método de segurança de serviços online.

O anúncio em seu Twitter veio um dia depois de que o Twitter anunciou que havia adotado dois fatores para seus milhões de usuários.

Com efeito, Dotcom ganhou uma patente, em 2000, o qual "se refere a um método e a um dispositivo para a autorização em sistemas de transmissão de dados empregam um número de autorização de transação (TAN) ou uma palavra-passe comparável."

Muitas outras empresas, incluindo o braço de segurança da EMC, RSA, foram concedidas patentes no espaço de dois fatores. Mas Dotcom deu um passo ousado hoje e ameaçou processar empresas como Facebook, Twitter e Google, que empregam dois fatores.

"Google, Facebook, Twitter, Citibank, etc oferecem a Two Step Authentication", escreveu Dotcom, cujo nome anterior é Kim Schmitz. "Violação maciça IP por empresas norte-americanas. Minha inovação. Minha patente. "

Se o governo dos EUA está a ser acreditado, as alegações de Dotcom estão cheias de ironia.

Dotcom, que está vivendo na Nova Zelândia, é acusado de dirigir Megaupload, o popular site de compartilhamento de arquivos que foi fechado no ano passado, em um esquema de o Departamento de Justiça disse que estava "entre os maiores casos de direitos autorais penal já interpostos pelos Estados Unidos." A governo disse que o site facilitou violação de direitos autorais de filmes "muitas vezes antes de seu lançamento nos cinemas, música, programas de televisão, livros eletrônicos e software de negócios e entretenimento em grande escala."

O governo disse que "dano estimado" do Megaupload para os detentores de direitos de autor foi "bem mais de US $ 500 milhões."

Dotcom afirma que ele é inocente e que ele está lutando contra a extradição para os Estados Unidos. Ele quer que as empresas que ele acha que estão roubando os direitos dos dois fatores para ajudar a pagar a sua defesa, como dezenas de milhões de dólares de seus bens foram apreendidos pelas autoridades federais.

"Eu nunca processei eles. Acredito na partilha de conhecimentos e ideias para o bem da sociedade. Mas eu poderia processá-los agora porque o que os EUA fizeram a mim ", disse ele.

Método de dois fatores do Twitter é semelhante ao que os outros sites citados vem praticando. Por exemplo, se um usuário do Twitter optou por usar dois fatores, sempre que essa conta logar no Twitter em um dispositivo desconhecido ou novo aplicativo, eles vão receber uma mensagem de texto com um código de seis dígitos. Esse código deve ser digitado para entrar

Dotcom adicionada em seu Twitter que: "Eu sou um inovador, não um criminoso".

Fonte: Wired

Read More