Skip navigation

Monthly Archives: abril 2017

Habemus programação!! Ou a versão um-ponto-zero!

Embora algumas pessoas ainda não tenham confirmado a participação nos horários definidos pela organização, a versão 1.0 da programação da CryptoRave 2017 está pronta! Esse ano recebemos mais de 140 inscrições de atividades. Foram aprovadas 107, das quais há 31 atividades propostas por mulheres!

Você pode checar as propostas já aprovadas e confirmadas aqui:

https://cpa.cryptorave.org/pt-BR/CR2017/public/events

E no site: https://cryptorave.org/

ATENÇÃO: Esta não é a programação final da CryptoRave 2017! Ela ainda está sujeita a alterações e aguardando mais confirmações.

Locais do evento!

Atenção! Diferente dos últimos anos, a festança acontecerá na noite de sábado e não de sexta.

A Crypto acontece dia 05 e 06 de maio na Casa do Povo:

Rua Três Rios, 252 – Bom Retiro, São Paulo – SP, 01123-000
Fica pertinho da estação do Metrô Tiradentes – linha azul
Aqui ó: http://www.openstreetmap.org/search?query=Rua%20tr%C3%AAs%20rios%2C%20252#map=19/-23.52909/-46.63658&layers=N

A Rave da CryptoRave acontecerá na noite de sábado, dia 06 de maio às 20h, no Al Janiah e contará com performances, DJs e bandas, em breve disponível no site!

Al Janiah
Rua Rui Barbosa, 269 – Bela Vista – São Paulo
(esquina com a Conselheiro Carrão)
http://www.openstreetmap.org/way/425925638#map=19/-23.55789/-46.64546&layers=N

Você pode ir de Metrô de um lugar para o outro, basta pegar a linha azul do Metrô na estação Tiradentes, descer na Estação São Joaquim e andar mais 16 minutos até o Al Janiah.

Outra opção é andar até a frente da estação da Luz (que fica a 5min da Casa do Povo) e pegar o ônibus 5154-10 – Terminal Santo Amaro, descer na Rua Brigadeiro Luiz Antônio e andar 5min até o Al Janiah.

Aqui há um mapa da rede de metrô de São Paulo: http://www.metro.sp.gov.br/pdf/mapa-da-rede-metro.pdf

Outros serviços

Feira de comida 24 horas
—————————

Embora este ano a CryptoRave aconteça em um bairro conhecido pela variedade de excelentes restaurantes, nós teremos uma feirinha de comidas rápidas para quem não quiser perder nenhuma atividade.

Não haverá pausa para o almoço! Por isso, prepare-se, leve seu lanchinho de casa ou se delicie com as opções de comida disponíveis em nossa feira de comidas.

Feira do rolo
————–

Achado não é roubado! Sabe aquele adaptador wifi que você comprou achando que seria super útil e nunca usou? Ou aqueles pentes de memória que sobraram do computador antigo? Ou celular smartphone obsoleto? Ou ainda o arduino que você nunca tirou da caixinha?

Este ano a CryptoRave terá uma feira do rolo de usados em boas condições ou no estado! Não vale trazer aquele servidor 1U de 10 anos atrás que é um atentado a natureza (vale sim). Além de equipos, vale trazer livros, cabos, adaptadores, enfim!

A feira do rolo será realizada no sábado, na laje da Casa do Povo.

CryptoRave


Existem inúmeras opções para escolher quando você precisa enviar um arquivo pela internet. No entanto, muitas delas não são seguras e não protegem seus dados, e outras, como o e-mail, permitem enviar apenas pequenos arquivos. Além disso, anexos de e-mails sobrecarregam os servidores, em especial se você usa servidores sem fins lucrativos.

Uma alternativa segura é o OnionShare, um programa que permite enviar arquivos de qualquer tamanho de forma segura, anônima e efêmera. O OnionShare funciona criando um servidor web temporário, acessível apenas pela rede Onion do Tor através de uma URL praticamente impossível de ser adivinhada. É bastante diferente de ter que confiar em serviços de terceiros já que usa seu próprio dispositivo para hospedar o arquivo. Para fazer o download, a outra pessoa precisa apenas acessar o link que você enviou em um navegador Tor.

Como Usar

Partindo do ponto que você já deve ter o navegador Tor instalado em sua máquina, basta instalar o OnionShare. Feita a instalação, você primeiro deve rodar o navegador Tor e então abrir o OnionShare. O próximo passo é arrastar os arquivos ou diretórios que deseja compartilhar (ou navegar por seus diretórios) e clicar em <start server>. O programa irá gerar uma URL .onion para você compartilhar com a outra pessoa. Assim que o download for feito, o compartilhamento é interrompido. Caso você queira compartilhar com mais pessoas, é possível optar por não interromper automaticamente o servidor e manter o link disponível. Mas tenha cuidado ao compartilhar o link, pois a mensagem pode ser interceptada. Sempre envie os links de forma segura com criptografia de ponta-a-ponta.

Para fazer o download, tudo que a outra pessoa precisa é ter o navegador Tor instalado e abrir o link que você enviou, ou seja, ela não precisa ter o OnionShare instalado.

 

Resumindo…

  •  Terceiros não têm acesso aos arquivos compartilhados.
    Não há upload para servidores remotos. O seu próprio computador hospeda o(s) arquivo(s).
  • Interceptadores não podem espionar os arquivos em trânsito.
    Como as conexões entre serviços da rede Tor Onion são encriptados de ponta-a-ponta, não há forma de espionar os arquivos compartilhados ou baixá-los. Mesmo um adversário posicionado na entrada ou saída da rede Tor só verá tráfego Tor.
  • A Rede Tor protege o seu anonimato e o da pessoa para quem você está enviando arquivos.
    Contanto que você se comunique de forma anônima com a pessoa com quem deseja compartilhar o arquivo, a Rede Tor e o OnionShare irão proteger suas identidades.
  • Se um ataque conseguir descobrir o endereço .Onion, os arquivos continuam seguros.
    Existem ataques que conseguem descobrir endereços .Onion, mas mesmo assim é impossível baixar os arquivos sem conhecer o slug. Para cada envio, é criado um slug de forma aleatória a partir de uma lista de 6800 palavras, o que significa que existem 6800², ou cerca de 46 milhões, de slugs possíveis. Após 20 tentativas de adivinhar um slug o servidor é parado automaticamente para prevenir ataques de força bruta.
  • O envio da URL depende de você.
    A responsabilidade de enviar de forma segura e secreta a URL para a pessoa com quem você quer compartilhar o arquivo é toda sua. Se um adversário está espionando seus e-mails ou outros meios de comunicação, o OnionShare não irá proteger seus arquivos.
  • O anonimato depende dos seus hábitos.
    Mesmo que consiga enviar a URL de forma segura e criptografada, se você precisa se manter anônima, então deve usar sempre contas que não estejam atreladas à sua identidade e que tenham sido criadas pela rede Tor. Se o arquivo não é tão sigiloso, ou o envio de arquivos entre você e essa pessoa é algo corriqueiro, você não precisa se prevenir tanto.

 

Instalação

Linux

Debian / Ubuntu
Em um terminal adicione o repositório:
$ sudo add-apt-repository ppa:micahflee/ppa

Em seguida rode a atualização:
$ sudo apt-get update

E depois instale o OnionShare:
$ sudo apt-get install onionshare

Fedora
Se você está usando Fedora, instale a partir do Software ou abre um terminal e digite:
$ sudo dnf install onionshare

Outras Distros
Se você está usando uma distribuição diferente de Linux, siga esses passos para instalar.

Windows
OnionShare para Windows

Mac OS
OnionShare para Mac OS

De repente me veio a pergunta: será que dá para usar FTP com uma camada de criptografia?

Eis uma breve pesquisa sobre o tema.

O que é FTP?

Segundo a wikipedia:

FTP ou File Transfer Protocol (Protocolo de Transferência de Arquivos) é uma forma bastante rápida e versátil de transferir arquivos, sendo uma das mais usadas na Internet.

O protocolo é especificado na RFC959, resumida logo a seguir.

Um cliente realiza uma conexão TCP para a porta 21 do servidor. Essa conexão, chamada de conexão de controle, permanece aberta ao longo da sessão enquanto uma segunda conexão, chamada conexão de dados, é estabelecida na porta 20 do servidor e em alguma porta do cliente (estabelecida no diálogo entre ambos) como requisitado para a transferência de arquivo. A conexão de controle é utilizada para administração da sessão (comandos, identificação, senhas) entre cliente e servidor utilizando um protocolo semelhante ao Telnet.

FTP pode ser executado em modo ativo ou passivo, os quais determinam como a conexão de dados é estabelecida. No modo ativo, o cliente envia para o servidor o endereço IP e o número da porta na qual ele irá ouvir e então o servidor inicia a conexão TCP. Em situações onde o cliente está atrás de um firewall e inapto para aceitar entradas de conexões TCP, o modo passivo pode ser utilizado. O cliente envia um comando PASV para o servidor e recebe um endereço IP e um número de porta como resposta, os quais o cliente utiliza para abrir a conexão de dados com o servidor.

Acesso aos servidores FTP

O acesso a servidores FTP pode ocorrer de dois modos: através de uma interface ou através da linha de comando, tanto usuários LINUX como usuários Windows podem acessar através dos dois modos. O modo linha de comando está presente em qualquer distribuição LINUX-like e Windows, através do telnet.

A partir de qualquer navegador credenciado (Internet Explorer, Firefox, ou mesmo no Windows Explorer), conforme a norma RFC1738 também é possível aceder a um servidor FTP digitando na barra de endereço:

ftp://[username]:[password]@[servidor]

ou

ftp://[username]:[password]@[servidor]:[porta]

Basicamente, FTP é um protocolo muito simples para transferência de arquivos. Mas e como fica a segurança da conexão com um servidor FTP?

O que encontrei foi a aplicação de uma camada SSL/TLS sobre o FTP tradicional (FTP Secure – FTPS). Uma opção semelhante seria passar (tunneling) a transferência FTP através de uma conexão SSH. Uma outra forma ainda, fácil de confundir, é o SFTP, que é utilizar o protocolo Secure Shell (SSH) para transferir arquivos (SSH File Transfer Protocol).

O FTP Seguro (FTPS)

A Netscape desenvolveu a Secure Sockets Layer (SSL) em 1994 e em meados de 1996 ela foi aplicada sobre o FTP. (Acho sempre interessante lembrar que a SSL só foi virar padrão para a web, através do HTTPS, em 2010, quando um hacker lançou a extensão para Firefox Firesheep. Essa extensão capturava os cookies de logins de sites da web 2.0 como webmail e redes sociais e extraia informações de nome de usuária e senha. Essa falha (exploit) consistia em que os cookies (assim como várias outras informações, como mensagens de email) trafegavam em texto legível pela rede sem criptografia.)

Bom, o FTPS funciona da mesma forma que qualquer implementação que use o SSL (ex. HTTPS para web ou SMTPS para email). O servidor que está sendo acessado envia uma chave pública ao cliente. O servidor precisa fornecer também um certificado para essa chave. É possível criá-los através do OpenSSL e geralmente usa-se uma Autoridade Certificadora (empresa que gerencia certificados) para garantir a autenticidade da chave, mas podemos verificar a chave pública nós mesmo. Ela é então usada por este para enviar uma chamada secreta, criada aleatoriamente. Desta forma, com a autenticação das duas partes, fica estabelecida a troca de dados criptografados entre dois computadores. A principal função do SSL é prover a privacidade da informação e sua integridade. Por isso, ele também evita que o conteúdo dos pacotes transferidos seja alterado.

 

Existem duas formas de invocar essa camada de segurança pelo lado do cliente: uma implícita e outra explícita. No modo implícito, toda a seção FTPS é criptografada. O que a difere do modo explícito é que neste caso o cliente possui controle total sobre quais áreas da conexão serão criptografadas. Ativar ou desativar a criptografia para o canal de controle do FTPS e do canal de dados do FTPS pode acontecer a qualquer momento. A única restrição vem do servidor FTPS, que pode negar comandos baseado numa política de criptografia do servidor (wikipedia.org).

É isso. Deixo o SSH File Transfer Protocol e o FTP através de SSH para outro momento.

A campanha financeira da CryptoRave 2017 está na reta final. Só há mais 4 dias para você colaborar com a realização da 4ª edição do maior evento aberto de segurança e privacidade do Brasil.

Após esse período não será possível fazer doação pelo Catarse, a plataforma de crowdfunding que estamos utilizando para receber as doações.

Como é uma campanha de financiamento TUDO OU NADA, a CryptoRave 2017 depende que seja captado 100% do valor da meta para poder acontecer.

SE A META NÃO FOR ATINGIDA, A CRYPTORAVE 2017 NÃO SERÁ REALIZADA. (!!!)

https://www.catarse.me/cryptorave2017

Neste momento, a campanha já chegou em 76% do valor total. Precisamos levantar cerca de 24%, isto é, R$ 14 mil reais em 4 dias.

Sim, temos apenas 4 dias para financiar a CryptoRave2017!
Sentiu uma leve dor no peito?
A boca ficou seca?
O gastrite atacou?

Junte-se ao clube d@s cripto-desesperad@s!! :O

Nesta reta final precisamos mais que o seu apoio!

Além de fazer a sua própria doação, a estratégia é atingir mais doadores.

Precisamos de MUITOS DOADORES FAZENDO PEQUENAS DOAÇÕES.

Lembra aquela sua amiga que super curte Black Mirror?

Ou que a-d-o-r-a  West World?

Ou que acompanha todos os novos episódios — como é mesmo o nome? — dos vazamentos do WikiLeaks?

Que tal pedir uma pequena doação para a CryptoRave 2017 e convidá-l@s para o evento?

Se você não se lembra ou não sabe o que rolou ano passado, aqui está a grade da programação de 2016:

https://we.riseup.net/cryptorave/programacaocr2016

Foram mais de 50 atividades em 24 horas. Esse ano há mais de 130 atividades inscritas e estamos tendo um trabalhão para organizá-las.

Enfim, você tem até o dia 14/04/2017 às 23h59m59s para convencê-l@s a fazer uma pequena doação.

O endereço da campanha para você divulgar e doar é esse:

https://www.catarse.me/cryptorave2017

Ou pelo site:

https://cryptorave.org

CryptoRave

Beabá da Criptografia de Ponta-a-Ponta

As Revelações do Vault 7 Significam que Criptografia é Inútil?

Se você usou a internet em algum momento desde maio de 2013, provavelmente ouviu falar que deveria usar comunicações encriptadas. As revelações de Edward Snowden de que a Agência de Segurança Nacional dos EUA registra todas as suas ligações, textos e e-mails impulsionou o desenvolvimento e uso de aplicativos e serviços criptografados. Apenas alguns anos mais tarde, a criptografia é usada em nossa comunicação diária. Se você usa alguma dessas ferramentas de criptografia, provavelmente ouviu a frase “criptografia de ponta-a-ponta”, ou “E2EE” (end-to-end encryption). O nome é direto o suficiente: ponta-a-ponta significa que o conteúdo é encriptado de um ponto final (geralmente seu celular ou computador) a outro ponto final (o celular ou computador do destinatário pretendido de sua mensagem). Mas que tipo de segurança isso promete para você, o usuário?

Desde o início da administração de Donald Trump nos EUA, a polícia alfandegária e de proteção de fronteiras dos EUA (CBP) tem ampliado as ações que invadem a privacidade de viajantes. A CBP tem ordenado tanto cidadãos dos EUA quanto visitantes a logar em seus telefones e notebooks e entregá-los para inspeção. Eles também têm ordenado que viajantes passem suas senhas ou loguem em suas redes sociais. Viajantes que não acatam com essas ordens podem ter seu ingresso no país negado.

No início de março, o Wikileaks publicou uma coleção de documentos vazados (Vault 7) da CIA, incluindo informação sobre vulnerabilidades e brechas de software (exploits) que a CIA pagou por e manteve em segredo do público em geral. Agora que essa informação vazou, já não é apenas a CIA que tem conhecimento sobre essas vulnerabilidades – é todo mundo. O jornal New York Times e outros erroneamente noticiaram que a CIA havia quebrado a criptografia em aplicativos como Signal e WhatsApp, quando de fato o que a CIA fez foi selecionar e comprometer dispositivos Android de pessoas específicas.

Resumindo, essa revelação confirma a importância do uso de comunicação criptografada de ponta-a-ponta, porque impede que adversários estatais realizem vigilância em massa de amplo espectro. A E2EE continua sendo importante.

Muitos relatos ao redor de Vault 7 tem deixado a impressão que apps encriptados como Signal foram comprometidos. Na verdade, o dispositivo (o smartphone) é que está comprometido – o ponto final. Não há motivo para pensarmos que a criptografia em si não funciona.

Limitações: Ponto final em Texto Simples

Primeiro, é importante entender que se você pode ler uma mensagem, ela está em texto simples – ou seja, não está mais encriptada. Na criptografia de ponta-a-ponta, os pontos fracos na cadeia de segurança são você e seu dispositivo e seu destinatário e o dispositivo delx. Se seu destinatário pode ler sua mensagem, qualquer pessoa com acesso ao dispositivo delx também pode ler. Um policial disfarçado poderia ler a mensagem espiando sobre o ombro do seu destinatário, ou a polícia poderia confiscar o dispositivo do seu destinatário e abri-lo a força. Se há qualquer risco de algumas dessas situações desagradáveis acontecerem, você deve pensar duas vezes antes de enviar qualquer coisa que não gostaria de compartilhar com as autoridades.

Essa limitação em particular é relevante também para as recentes revelações feitas no Vault 7, que demonstram como que apps como Signal, WhatsApp e Telegram podem não ser úteis se um adversário (como a CIA) ganha acesso físico ao seu dispositivo ou ao dispositivo de seu contato e é capaz de desbloqueá-lo. Muitos relatos sobre o Vault 7 foram um pouco enganosos, dando a impressão que os apps em si tinham sido comprometidos. Nesse caso, o comprometimento é no nível do dispositivo – no ponto final. A criptografia em si continua sendo boa.

Limitações: Vigilância Pontual

Considerando que você não pode controlar as condições de segurança no destinatário da sua mensagem, você deve considerar a possibilidade que qualquer mensagem que você enviar para essa pessoa poderá ser lida. Ainda que raros, existem casos em que poderes estatais usam vigilância pontual direcionada a alvos individuais. Nesses casos, alvos podem estar operando com dispositivos infectados por malware com a intenção de registrar todas as comunicações que entram e saem. Esse ataque funciona no nível do ponto final, tornando a E2EE inútil contra esses adversários específicos. Por ser difícil de saber se você (ou o destinatário da sua mensagem) são alvos desse tipo de ataque, é sempre melhor evitar por padrão enviar informações muito sensíveis por meios digitais. Atualmente, esse tipo de ataque parece ser raro, mas nunca se deve correr riscos desnecessários.

Limitações: Metadados

A terceira coisa que você precisa saber sobre E2EE é que ela não protege necessariamente seus metadados. Dependendo de como as comunicações são transmitidas, os registros podem ainda conter e mostrar o tamanho e horário da mensagem, assim como remetente e destinatárix. Registros podem também mostrar a localização tanto dx remetente quanto dx destinatárix no momento que a comunicação ocorreu. Apesar de tipicamente isso não ser suficiente para mandar alguém para a cadeia, pode ser útil para provar associações entre pessoas, estabelecer proximidade a cenas de crimes, e rastrear padrões de comunicações. Todos esses pedaços de informações são úteis para estabelecer padrões maiores de comportamento em casos de vigilância direta.

Então… Por quê?

Então, se criptografia de ponta-a-ponta não necessariamente protege o conteúdo de suas comunicações, e ainda assim deixa passar metadados úteis, qual o sentido em usá-la? Uma das coisas mais importantes que a E2EE faz é garantir que seus dados nunca atinjam os servidores de outra pessoa de forma legível. Como a criptografia de ponta-a-ponta inicia no momento que você pressiona “enviar” e persiste até atingir o dispositivo dx destinatárix, quando uma empresa – como o Facebook – é intimada a fornecer os registros de suas comunicações, ela não possui nenhum conteúdo em texto simples para dar. Isso coloca as autoridades em uma posição de que, se precisam conseguir o conteúdo de suas comunicações, serão forçadas a gastar muito tempo e recursos tentando quebrar a criptografia. Nos Estados Unidos, seu direito a um julgamento rápido pode tornar essa evidência inútil para xs promotorxs, que podem não ser capazes de desencriptar a tempo de agradar umx juízx.

Vigilância em Massa

Outro uso útil para a E2EE é dificultar muito a vigilância indiscriminada, feita de arrasto pela NSA e outras órgãos da repressão. Já que não existe um ponto no meio em que suas comunicações não criptografadas possam ser pegas, o que é capturado são os mesmos blocos de texto encriptado disponíveis através de intimação. Vigilância de arrasto é geralmente conduzida coletando quaisquer dados disponíveis e submetendo-os a uma classificação automatizada em vez de análise individual. O uso de criptografia impede que algoritmos peneirem conteúdos específicos, tornando o processo muito mais complicado e geralmente não vantajoso.

Torres de Celular falsas (Stingrays)

Além da coleta de dados que a NSA executa, as polícias estaduais e federal têm, e frequentemente usam, simuladores de torres celulares conhecidos como “capturadores de IMSI” ou “Stingrays”. Capturadores de IMSI fingem ser torres celulares para enganar seu telefone e fazer com que ele dê informações que possam servir para lhe identificar, incluindo sua localização. Simuladores de torres celulares também capturam e registram suas comunicações. Como com outros tipos de interceptação, a criptografia significa que o que é capturado é largamente inútil, a menos que os órgãos da repressão estejam dispostos ao dispendioso trabalho de desencriptá-lo.

Criptografia em Repouso

Em adição ao uso de criptografia de ponta-a-ponta para proteger o conteúdo de suas mensagens enquanto elas estão em trânsito, você também pode usar encriptação total de disco para proteger suas informações enquanto estão armazenadas em seu dispositivo. Criptografia de disco significa que todas as informações em seu dispositivo são indecifráveis sem sua chave de criptografia (geralmente uma palavra-chave), criando um ponto final reforçado que é muito mais difícil de comprometer. Ainda que criptografar seu ponto final não seja necessariamente uma proteção contra os métodos mais insidiosos de vigilância, como malware, a criptografia pode prevenir que adversários que tomam posse de seus dispositivos tirem qualquer informação útil deles.


Criptografia de ponta-a-ponta não é de forma alguma um escudo mágico contra a vigilância feita por adversários Estatais ou indivíduos maliciosos, mas como visibilizado no Vault 7, seu uso pode ajudar a forçar uma mudança de procedimento: ao invés de vigilância de arrasto em massa, ataques direcionados super dispendiosos. Quando aliados ao bom senso, a dispositivos criptografados, e demais práticas de segurança, a E2EE pode ser uma ferramenta poderosa para reduzir significativamente a área de ataque. O uso consistente e habitual de criptografia de ponta-a-ponta pode anular muitas das ameaças de nível inferior e podem até mesmo levar adversários de alto nível a decidir que lhe atacar simplesmente não vale o esforço.

Leitura Adicional

— Por Elle Armageddon

Traduzido do inglês da postagem original em Crimethinc.