I-Secure

Com o aumento da importância de comunicações multidestinatárias é desejável que as trocas de informações entre membros de um grupo ocorram em um ambiente seguro, onde há garantia da privacidade, autenticidade e integridade das informações transmitidas.

Os senhores podem não saber mas as comunicações que utilizamos no nosso dia a dia não são nada seguras. Um simples sniffer (wireshark) na rede pode captar todo o conteúdo de e-mails, mensagens instantâneas (MSN, ICQ, IRC e etc) e até gravar o conteúdo de conversas sobre VoIP. http://wiki.wireshark.org/VoIP_calls

Para que nós possamos prevenir que nossos dados sejam expostos há uma série de procedimentos que podem (e devem) ser tomados para garantir a segurança nas suas comunicações.

Neste artigo vou abordar a criação de uma forma segura e simples de se comunicar utilizando o Ubuntu, o cliente de mensagens Pidgin.

Para mantermos a comunicação entre diversos protocolos de mensagens instantâneas, utilizaremos um plugin do Pidgin chamado OTR (Off the record Messaging ou Messagens sem registro).

Para saber como Instalar, configurar e usar o pidgin dê uma olhada neste outro post.

Após estar familiarizado com o Pidgin, basta ir em: http://www.cypherpunks.ca/otr/index.php#downloads

Baixe a versão do seu sistema operacional e instale.
Lembre-se que após instalar a versão com o plugin você tem que reiniciar o pidgin para que o plugin funcione.

Uma vez baixado, ele irá constar como “plugin” no Pidgin. Basta clicar no menu Ferramentas --> Plugins e selecionar a opção “Configurar plugin”. Ali é possível gerar as chaves criptográficas que serão usadas para “criptografar” as conversas.

Depois, basta iniciar uma conversa com outra pessoa que também tenha o OTR e iniciar a sessão de conversa (private). O OTR exigirá que você “autentique” a outra pessoa. Isso serve para certificar que a pessoa com quem você está falando é mesmo quem ela diz ser.

Na versão atual do OTR, a 3.2.0, é possível fazer a autenticação de três maneiras: pergunta com resposta secreta, segredo compartilhado e autenticação manual. A primeira, como o próprio nome sugere, funciona com uma pergunta que a outra pessoa terá de responder. O “segredo compartilhado” é apenas uma frase ou combinação qualquer que os dois participantes da conversa precisam saber com antecedência. É claro que o referido “segredo” precisa ser compartilhado por um meio seguro (pessoalmente, por exemplo).

A autenticação manual ambos dizem que confiam na chave do outro. A chave pode ser identificada por meio da digital (“fingerprint”). A chave não deverá mudar desde que o computador usado para a comunicação seja o mesmo. Caso o mesmo usuário esteja com outra chave, seria sinal de um impostor.

Assim, além de garantir a segurança da comunicação, o OTR também garante que a pessoa com quem você está falando não teve sua a senha roubada. A vantagem dos outros métodos de autenticação (resposta secreta e segredo compartilhado) é que haverá uma verificação em cada conversa, garantindo que mesmo alguém usando o mesmo computador não consiga se passar pela pessoa com quem você gostaria de falar.

Vale lembrar também que você pode aumentar sua segurança criando um servidor de mensagens XMPP no qual ele fará o manuseio das suas sessões e mensagens. Um ótimo XMPP server é o Openfire. Vale a pena conferir, pois ele substitui os Mensageiros Instantâneos em várias empresas e governos.

segunda-feira, 21 de setembro de 2009

Curso do Metasploit Framework

sexta-feira, 11 de setembro de 2009

Comunicações seguras.

Usando o Pidgin para conectar na rede Jabber

Quem sou eu

Pesquisar neste blog

Últimos posts

Seguidores

Arquivo do blog