Arquivo da tag: segurança

Sobre o novo ataque (KRACK) no WPA

O interessante ataque KRACK mostra uma falha grave no WPA, protocolo de segurança para redes sem fio usado em toda parte — e que segue sendo o mais seguro que temos disponível, mesmo depois desse ataque.

Bruce Schneier definiu o ataque como brilhante: “embora a vulnerabilidade seja óbvia depois que alguém aponta pra ela, por mais de 10 anos ninguém percebeu”.

É bom que a mídia nacional e internacional tenha dado destaque para a descoberta. Ajuda na pressão para que o problema seja consertado mais rápido. Porém, me parecem sensacionalistas as notícias que falam coisas como “a partir de hoje, não existe rede wifi segura”. Além da manchete, a chamada dessa matéria é um exagero: “Vulnerabilidades no principal padrão de segurança de wifi utilizado hoje, o WPA2, tornam sua criptografia e medidas de segurança praticamente inúteis.”

Pelo pouco que li, não é o fim do mundo. Listo alguns motivos:

1. A maioria das redes wifi já não é segura. Usam chaves fracas que podem ser descobertas por meio de ataques de força bruta. E quem tem a chave já consegue descriptografar o tráfego com tranquilidade. Pra não falar de redes sem chave, usadas em aeroportos e outros lugares públicos, que já não têm nenhuma segurança. Usar Wi-Fi apenas em lugares com autenticação por certificados no lugar de senhas compartilhadas tem que ser pré-requisito para considerar esse ataque o fim do mundo. É por isso que Nicholas Weaver conclui que só quem deve se preocupar são as empresas que usam tais padrões mais seguros. Pra elas houve uma mudança maior, de fato.

2. A falha pode ser corrigida do lado do cliente. A Microsoft e a Apple já lançaram patches para corrigir seus sistemas operacionais, diversos patches já existem também para Linux e o Google se comprometeu a lançar um patch para Android nas próximas semanas. Ou seja, basta instalar uma atualização no seu sistema operacional (uma boa prática de segurança) para estar livre da vulnerabilidade (e aí talvez escrevam novas matérias dizendo “a partir de hoje, as redes wifi voltam a ser seguras”?). Como diz o próprio site do KRACK, “Do we now need WPA3? No, luckily implementations can be patched in a backwards-compatible manner.”

3. Como diz o resumo do artigo em que a falha é apresentada: “The impact depends on the handshake being attacked, and the data-confidentiality protocol in use. Simplified, against AES-CCMP an adversary can replay and decrypt (but not forge) packets. This makes it possible to hijack TCP streams and inject malicious data into them. Against WPA-TKIP and GCMP the impact is catastrophic: packets can be replayed, decrypted, and forged. Because GCMP uses the same authentication key in both communication directions, it is especially affected.” Ou seja, mudando a configuração do WPA no seu roteador você pode obter um pouco mais de segurança.

4. Como a vulnerabilidade exige que o atacante esteja fisicamente no mesmo lugar que você, não vai haver um ataque em massa como o ransomware que comprometeu centenas de milhares de máquinas no mundo inteiro. Por algumas semanas (até os seu sistema operacional estar atualizado), pessoas perto de você que implementem o ataque descrito no artigo poderão ver seu tráfego *não criptografado* (mas elas provavelmente já podiam, pelo item 1).

5. A ênfase no “não criptografado” do item acima se deve ao fato de que a maioria do tráfego na web hoje é criptografado usando TLS (https). Tal tráfego não está sujeito a interceptação. É verdade que no vídeo do ataque o pesquisador usa o sslstrip para interceptar esse tráfego. Mas creio que seja justo dizer, ao menos, que quando você vê um cadeadinho e um “https” na barra de endereço do seu navegador seu tráfego segue sendo seguro. [No mais, usar extensões como HTTPS Everywhere segue sendo uma ótima recomendação.]

6. Medidas de segurança não se tornaram inúteis. Usar uma VPN segura em lugares públicos (ou mesmo privados), por exemplo, segue sendo uma boa prática que protege seu tráfego.

Por fim, parece bom aproveitar o momento pra dizer que a maioria das redes sem fio não são seguras e que é bom se preocupar com a segurança delas. Usar WPA com certificados segue sendo a melhor opção pra quem se preocupa com isso; como é difícil e quase ninguém configura isso na sua casa, usar WPA com uma senha grande e difícil é uma alternativa razoável.

(No seu computador também há a opção de usar os bons e velhos cabos de rede, que são uma beleza: mais seguros, mais rápidos e perdem menos pacotes)

Destaques do 1º dia do 12º Fórum Internacional do Software Livre

ATENÇÃO: Este conteúdo foi publicado há 6 anos. Eu talvez nem concorde mais com ele. Se é um post sobre tecnologia, talvez não faça mais sentido. Mantenho neste blog o que escrevo desde os 14 anos por motivos históricos. Leia levando isso em conta.

Seguem alguns registros aleatórios do que vi no primeiro dia (29/06) deste FISL em Porto Alegre.

Software livre

“Debater software livre não é discutir trocar Windows pra Linux. Isso é o de menos. Debater, e mais importante, militar pelo software livre, é criar redes para transformar o mundo.”

(Wilkens Lenon)

“A liberdade de software não é útil só pra quem escreve o programa, mas para todos, da mesma forma que a liberdade de imprensa não é útil só pra quem escreve, mas pra todos, porque você pode escolher o que escutar (ou o que usar).”

(Alexandre Oliva)

Cloud computing

“Onde há nuvem há tempestade. Computação em nuvem é pior do que computação privativa porque você não tem nenhuma das quatro liberdades. Mais que isso: além de não ter acesso ao programa, você não tem acesso aos seus dados.”

(Alexandre Oliva)

“Software livre rodando na nuvem é tão maléfico quanto software proprietário rodando na nuvem.”

(Rodrigo R. Silva)

Sobre Flash

“O Gnash é uma máquina virtual. O Gnash não é solução, nem que funcione. A solução é não precisar rodar uma aplicação alienígena no seu computador para assistir um vídeo.”

(Felipe Sanches)

Formatos fechados

“Delimitam, controlam, bloqueiam, aprisionam e criam dependência. Documentos não são como blocos de papel: daqui a 10 anos eu consigo ler o que está escrito num papel, mas dependo de uma empresa pra conseguir ler um formato fechado.”

(Sérgio Amadeu)

Além das citações

  1. Numa mesa sobre educação e inclusão digital, Sady Jacques mencionou que seria interessante ter fundamentos de ciência da computação nas escolas. É algo que eu acho muito importante e, entre o pessoal de OBI/Maratona, discutimos com frequência. Surgiu a ideia de lançar um abaixo-assinado.
  2. No Encontro de Hackers GNU+Linux-libre, foi discutida a importância de termos firmwares livres. Recomendou-se enviar e-mails para as empresas cobrando o código dos firmwares.
  3. Na audiência pública com Tarso Genro, Alexandre Oliva citou por minutos problemas que governos e pessoas tiveram confiando em software proprietário. São bons exemplos para habituais discussões. Não lembro de todos, mas aqui vão alguns: a guerra entre Argentina e Inglaterra em que os mísseis (comprados da França) não funcionavam contra navios ingleses; a Microsoft ter usado criptografia com apenas 40 bits nos computadores dos usuários durante anos, permitindo que o governo americano descriptografasse o que os usuários de Windows faziam; recentemente espionando conversas no Skype; o Gmail ter um backdoor para o governo dos EUA (que China usou para invadir recentemente); a Sony processando pessoas que descobriram como usar um computador para instalar o que quisessem nele (o Playstation 3); a Nintendo destruindo videogames a distância; a Amazon deletando e-books do Kindle a distância (ironicamente, o livro 1984); o iPhone e o Android anotando todos os lugares por onde o usuário passa junto com informações sobre redes sem fio e mandando para a Apple / o Google; o celular distribuído para crianças com câmera acionada pela sua escola.
  4. Na mesma audiência, Sérgio Amadeu falou da importância que tem os governos abrirem seus bancos de dados e todas as informações que têm em formato aberto e em redes P2P, sugerindo uma democracia radical em que todos os usuários da internet possam baixar rápido e processar as informações (data mining), de forma que grupos organizados (e desorganizados) possam controlar gastos e decisões públicas. Ideia interessante. Outras ideias interessantes da mesma fala, para pensar mais a respeito: analogia entre rede elétrica e a internet (alguém controla se você liga um liquidificador ou um chuveiro?); recursos educacionais abertos (professores remixam o material que usam); biotecnologia de garagem (nunca escrevi ou pesquisei muito sobre o tema, que é uma aplicação legal da cultura hacker fora do computador).

Objetivos

ATENÇÃO: Este conteúdo foi publicado há 9 anos. Eu talvez nem concorde mais com ele. Se é um post sobre tecnologia, talvez não faça mais sentido. Mantenho neste blog o que escrevo desde os 14 anos por motivos históricos. Leia levando isso em conta.

Listo aqui cinco objetivos (talvez utópicos, talvez eu desista deles na próxima semana) para os próximos 50, 60 anos.

0. Ganhar uma medalha numa final mundial de um ACM ICPC.

Não é simplesmente pela competição, que é muito divertida. É também porque isso precisa de uma quantidade de estudo de ciência da computação e prática na resolução de problemas que fará diferença pro resto da minha vida e me ajudará com os outros objetivos. Afinal, a vida não passa de uma série de problemas que precisam ser resolvidos da maneira mais eficiente possiǘel.

1. Obter um bom PhD numa boa instituição.

Novamente não é simplesmente pelo prestígio e porque isso é importante na Academia, mas porque o PhD significa muita pesquisa e muita pesquisa significa MUITO conhecimento. Conhecimento este que será necessário pros próximos itens…

2. Solucionar o problema da segurança em São Paulo.

As pessoas acham que isso é impossível. Porém, eu quero resolver esse problema com ciência da computação, não com conversa mole ou politicagem. A realidade é que resolver o problema da violência em São Paulo não passa de um problema de otimização (minimizar a diferença social, minimizar o uso de drogas, maximizar a quantidade de pessoas felizes, maximizar a quantidade de respeito entre as pessoas…). Vou abstrair o problema, determinar suas causas e resolver uma por uma, de modo a contribuir pra uma cidade tão importante pra tantas milhões de pessoas.

3. Desenvolver a cura do câncer.

Na minha opinião o câncer é o mais cruel dos problemas de saúde. Atinge muita gente, sem motivo. Vem de repente, tortura e mata. Por isso acho fundamental resolver esse problema, que pode inclusive me atingir um dia. Como farei isso? Se eu soubesse, já teria feito. Mas, basicamente, atacando-o da mesma maneira que todos os outros problemas.

4. Receber um Turing Award.

Creio que será natural depois dos itens 2 e 3.