O melhor antivirus do mundo é o mouse. E quando isso falha?

O melhor antivirus do mundo é o mouse.

02

Digo e repito esta frase inúmeras vezes aos meus filhos — sobretudo o mais velho, que já tem idade para jogar Minecraft e instalar e desinstalar mod packs e outros bichos, todos tirados diretamente da grande rede mundial de computadores.

Sabendo que, se conselho fosse bom, a gente vendia, e não dava, eis que, essa semana, me deparei com um alerta de vírus no computador — fruto de algum destes add ons que meu filho instalou —, vírus este que foi prontamente removido com minha cópia do Kaspersky 2016.

Apenas um pequeno detalhe: O vírus realmente se foi, mas uma mensagem alertando sobre link malicioso bloqueado, emitida pelo antivirus, começou a aparecer o tempo inteiro, sempre que resolvia navegar e abrir uma nova aba. Para quem navega abrindo abas e mais abas o tempo tempo, isso pode ser uma verdadeira chatice.

Como executar o Kaspersky mais uma vez, usar o Hitman Pro, o MalwareBytes e o Vipre Rescue foram todas técnicas que não tiveram sucesso — a mensagem teimava em continuar a aparecer o tempo inteiro —, pensei que precisava fazer alguma coisa diferente, ou morrer louco com os pop ups do próprio antivirus, que, apesar de estarem ali para me avisar que o acesso ao link malicioso foi bloqueado, não deixam de ser bastante irritantes à sua maneira.

Eis que lembrei que sou um usuário pago da Kaspersky.

Assim, resolvi entrar em contato com o suporte técnico deles, fazendo o que normalmente fazemos quando estamos com um problema técnico, ou seja, acionar o Help Desk e abrir um ticket de suporte com eles. O mais interessante é que, descontado o fato de que resolvi abrir um ticket com eles num sábado, a resposta foi muito rápida, e quero dividir os passos que executei através deste texto, para ajudar outras pessoas que possam estar passando pela mesma situação:

Clique em sairA primeira coisa que se deve fazer é baixar um utilitário criado pela própria Kaspersky, o GetSystemInfo. O download da ferramenta é rápido, e basta salvá-la na Área de Trabalho mesmo.

Em seguida, a recomendação é sair do Kaspersky Anti Virus. Para isso, basta clicar com o botão direito do mouse sobre o ícone do programa e selecionar a opção Sair.

Execute o GetSystemInfo como administrador. Aceite os termos de licença que serão exibidos e, em seguida, a janela do programa será exibida, conforme ilustrado abaixo. Você pode selecionar um local para gravar o relatório do programa, e, em seguida, clicar sobre o botão verde, para iniciar os procedimentos necessários.

janela_gsi

A ferramenta fará uma varredura completa do seu sistema, coletando uma série de informações internas que ajudarão a equipe de técnicos da Kaspersky a entender o que se passa em seu computador. Este processo é relativamente demorado, então você pode ir tomar um café enquanto a coisa acaba.

Ao final do processo, um arquivo zip com diversas informações e arquivos será criado, e é este arquivo inteiro que deve ser encaminhado ao suporte técnico através do próprio ticket aberto por você.

conteudo-do-zip

A resposta, no meu caso, não demorou muito. O técnico que  estava analisando meu problema simplesmente disse que eu precisava remover um arquivo específico:

Olá tenho isto no relatorio

C:\Program Files (x86)\Viva\viva.exe

Assim, reiniciei o computador no famoso modo de segurança e apaguei não apenas o arquivo executável que o técnico mencionou, mas também os outros que estavam na mesma pasta.

safe-boot-windows7

Para quem não sabe, é possível forçar o Windows a executar o modo de segurança da próxima vez em que for iniciado. Para isso, digite msconfig na caixa Executar do Windows para abrir a janela de Configuração do Sistema e selecione a aba Inicialização do Sistema, selecionando, entre as opções de inicialização, a inicialização segura, com suporte mínimo, evitando assim que drivers e eventuais programas maliciosos sejam carregados indevidamente. Clique em Aplicar e o Windows lhe dirá que o computador precisa ser reiniciado.

Uma vez excluídos os arquivos, ainda no modo de segurança, acesse a janela acima novamente e desmarque a opção de inicialização segura, para que seu computador não fique reiniciando apenas no modo de segurança.

Os procedimentos de exclusão acima não foram os únicos que realizei. Por via das dúvidas, também resetei as configurações de todos os navegadores web que utilizo em casa: Firefox, Chrome e Internet Explorer.

Para restaurar o Firefox

Você pode restaurar o Firefox abrindo o navegador e digitando about:support na barra de endereços do programa. Do lado direito superior da tela, haverá uma seção chamada Restaurar o estado inicial do Firefox, e, a partir desta seção, basta clicar no botão Restaurar o Firefox… e seguir o procedimento.

Para restaurar o Google Chrome

Restaurar o Google Chrome é um processo igualmente simples. Também na barra de endereços do navegador, digite chrome://settings/ e em seguida, vá até o final da página e clique no link Show advanced settings. Mais uma vez, vá até o final da página e clique o botão Reset settings.

Para restaurar o Internet Explorer

Você pode restaurar o Internet Explorer diretamente do menu Iniciar. Na caixa de busca, digite Inetcpl.cpl e abra a janela Propriedades da Internet. Em seguida, vá até a guia Avançado e clique no botão Reset que está no rodapé da guia. Siga os procedimentos.

Moral da história: Se você, assim como eu, possui uma assinatura paga de antivirus, não hesite em usar e abusar do suporte técnico em situações em que todos os procedimentos que você conhece falharam. Eles podem até demorar um pouco pra responder, mas, pelo menos no meu caso, foram eficientes em resolver o problema.

O que está escondido em um cartão de embarque?

Muita coisa.

“Besides his name, frequent flyer number and other [personally identifiable information], I was able to get his record locator (a.k.a. “record key” for the Lufthansa flight he was taking that day,” Cory said. “I then proceeded to Lufthansa’s website and using his last name (which was encoded in the barcode) and the record locator was able to get access to his entire account. Not only could I see this one flight, but I could see ANY future flights that were booked to his frequent flyer number from the Star Alliance.”

boardingpass

Em um texto muito interessante de seu blog Krebs on Security, Brian Krebs destrincha o que acontece quando alguém, movido por simples curiosidade, resolve se perguntar que tipo de informações estão escondidas em um cartão de embarque de companhia aérea, encontra sites especializados na leitura destes códigos, e revela informações interessantes — e particulares — sobre o passageiro.

Da próxima vez em que eu tiver voado, triturarei o meu cartão ao término da viagem.

Dois passos a seguir se você for atacado por um hack eval(base64

Para minha mais completa infelicidade, encontrei esta semana indícios de que eu — e este humilde blog —continuamos a ser vítimas de ataques de [tippy title=”script injection“]Um ataque de script injection é aquele em que alguém, de maneira mal intencionada, se aproveita de falhas de segurança ou de vulnerabilidades em ferramentas como o WordPress para introduzir em seu código-fonte mecanismos que alterem o seu funcionamento normal. Ao visitar um site atacado, você poderia, por exemplo, ser direcionado para um endereço em que um programa mal intencionado ou vírus fosse baixado para seu computador. É por isso que estes ataques tem que ser combatidos.[/tippy].

Mas você pode estar se perguntando como se faz para descobrir que você foi vítima de um ataque de script injection.

Bom, é fato que a maneira mais desagradável possível aconteceu comigo: Tentei acessar meu site um belo dia e descobri [tippy title=”uma página de bloqueio do Google” width=”675″ height=”350″][/tippy], informando que o site é inseguro. Daí precisei tomar uma série de medidas, entre as quais estas que estão descritas aqui, para recuperar tudo. Para que isso não aconteça com você, é importante examinar seu site periodicamente, tal como quando executamos anti-vírus em nossos computadores. Dois plugins que podem ser úteis neste caso são o Exploit Scanner e o Antivirus, sendo que confesso que prefiro o primeiro, por sua riqueza de informações. Também pode ser uma boa ideia utilizar o Sucuri Site Check, que informa a situação atual do seu site sob o ponto de vista de diversos sites especializados (há um plugin para WordPress que traz esta varredura para dentro do painel de administração, também).

Bom… se você, assim como eu, se deparar com alguma evidência de ataque, ou, no mínimo, com algum sintoma suspeito, pode seguir dois passos simples. Mas aviso que será necessário se munir de toda a paciência possível e fazer aquilo que eu acredito que seja a única opção plausível em uma situação destas: Executar alguns comandos diretamente no servidor via [tippy title=”telnet“]Telnet é um protocolo cliente-servidor usado para permitir a comunicação entre computadores ligados em rede local, ou através da internet.[/tippy], para acabar com alguns comportamentos inadequados.

Se você quer uma dica de ferramenta para utilizar em uma conexão telnet (ou SSH, seu substituto mais recente e mais seguro), experimente o Putty. Para continuar a escrever este texto, assumirei que você já possui o Putty, ou outra ferramenta similar para o processo, e usarei minha própria experiência aqui no site como base.

Primeiro passo: Acabe com os arquivos world-writable

Antes de qualquer coisa, dado que fazia um boooooom tempo que eu não acessava minha conta e meus arquivos hospedados, resolvi dar uma olhada para ver se alguma de minhas pastas era, digamos, world-writable — ou seja, será que alguém do mundo exterior conseguiria alterar meus arquivos? Isto seria um enorme pecado. Para descobrir isso, já conectado ao servidor, executei a seguinte instrução:

[code lang=”bash”]find . -type d -perm -o=w[/code]

E, não é que, infelizmente, encontrei [tippy title=”arquivos expostos“]Arquivos com permissão de escrita fornecida para o mundo inteiro podem ser resultado de instalações ou desinstalações de plugins mal feitas, como foi o meu caso. Cuidado com o que instala ou deixa de instalar em seu website.[/tippy]? Para evitar que pessoas do mal pudessem continuar fazendo o que bem entendessem por aqui, executei mais um comando, para que as permissões dos arquivos em questão fossem alteradas, bloqueando o acesso do mundo exterior:

[code lang=”bash”]find . -type d -perm -o=w -print -exec chmod 770 {} \;[/code]

Segundo passo: Detecte quais são as infecções e as elimine

Dado que já suspeitava de que haviam arquivos vitimados com script injection, resolvi que seria importante saber quais eram os infectados. Arquivos infectados com script injection possuem linhas em seu conteúdo — geralmente no topo do arquivo, no final do arquivo, ou logo após a abertura da tag <html> — que se assemelham ao seguinte:

[code lang=”php”]<!–?php /**/ //eval(base64_decode("aWYoZnVuY3Rpb25fZ….[/code]

Um comando útil para listar que arquivos são os que contém o script injection é o seguinte:

[code lang=”bash”]grep -lr –include=*.php "eval(base64_decode" /caminho/do/seu/servidor[/code]

Se o output deste comando for diferente de nulo, como foi no meu caso, com mais de mil arquivos listados, pode ter certeza de que há script injection na parada. Mas não há problema, você pode se livrar desses arquivos facilmente. Basta executar um pequeno script de uma linha em perl — através da própria sessão aberta via telnet:

[code lang=”perl”]for f in `find . -name "*.php"`; do perl -p -i.bak -e ‘s/<\?php \/\*\*\/ eval\(base64_decode\(\"[^\"]+"\)\);\?>//’ $f; done[/code]

O resultado deste script será a eliminação de todas as linhas, em todos os arquivos com extensão php, do trecho de código inserido através do script injection. O processo gerará arquivos de backup como resultado — vários arquivos com a extensão bak. Isso porquê, se algo der errado e você [tippy title=”quebrar o seu site“]Sim, veja que estas dicas não possuem garantia alguma, e, muito menos, [hi]são garantia de 100% de eliminação dos problemas[/hi]. No entanto, é verdade, vale   pena tentar.[/tippy], você ainda terá os arquivos originais a seu dispor, ainda que infectados.

Se nada se quebrar durante o processo e você não tiver mais arquivos vitimados por script injection em seu site, vale citar um comando para apagar todos os arquivos .bak, recursivamente:

[code lang=”bash”]find . -type f -name "*.bak" -exec rm -f {} \;[/code]

Finalmente… uma faxina!

A etapa final, como eu a fiz, consistiu de passar um bom tempo dando uma olhada nos diretórios hospedados em cada um dos meus sites. Arquivos muito antigos foram para o beleléu — acreditem ou não, o que ocorreu no meu caso foi uma vulnerabilidade causada por um plugin de galeria de fotos esquecido há anos dentro do meu servidor — e tudo aquilo que eu julgava não saber do que se tratava, também (CUIDADO). Além disso, sempre vale dizer que é imporante resetar suas senhas. Todas. Agora.

Encipher.it: Criptografe mensagens do GMail!

É incontestável que, dia após dia, milhões de mensagens de e-mail circulam internet afora. Algumas são mais importantes, outras, menos importantes — como aquelas cansativas correntes que vez por outra lotam meu inbox, prometendo-me 7 anos de azar ou calvície certa caso eu não repasse a mensagem em questão para mais 218 pessoas nas próximas 2 horas e meia.

Se mantivermos em questão apenas as mensagens importantes — aquelas recheadas com informações ditas sensíveis, ou até mesmo confidenciaisque trocamos entre familiares, amigos ou colegas de trabalho, é seguro dizer que, pelo menos uma vez na vida que seja, quer você, como eu, use o GMail ou não, já deve ter se preocupado com a segurança do que envia através do e-mail. “E se alguém interceptar a mensagem que eu acabei de enviar?”.

Eis que, na semana passada, me deparei com uma ferramenta extremamente simples — mas, ao mesmo tempo, sofisticada —, cuja finalidade é permitir a criptografia de mensagens de e-mail. Trata-se do Encipher.it.

Quando acessamos o site do Encipher.it, nos é apresentada uma página inicial em que está contido o passo-a-passo para emprego da ferramenta na proteção de mensagens de e-mail, ou de campos texto de formulários, por exemplo. Basicamente, você deve arrastar um bookmark para sua barra de favoritos, e, em seguida, efetuar o login no site onde você deseja proteger as informações que julgar necessário.

Digita-se o texto normalmente — o conteúdo de uma mensagem de e-mail com dados confidenciais que precisem ser enviados, por exemplo — e então clica-se sobre o bookmark recentemente adicionado   sua barra de favoritos. Será solicitado que se informe uma encryption key, ou seja, uma chave de criptografia, que nada mais é do que a senha de proteção do texto recém-digitado.

Uma vez informada a senha desejada, basta clicar o botão Encrypt. Após um pequeno tempo de processamento, será exibida a nova mensagem, desta vez já devidamente protegida pelo padrão de criptografia Advanced Encryption Standard, o AES adotado para proteção de informações, entre outros, pelo governo norte-americano.

É importante notar que a mensagem criptografada traz, acima de si própria, uma  nota alertando o destinatário da mensagem de que ele, também, deverá visitar o site do Encipher.it, de maneira que possa obter o bookmark e, usando a senha combinada entre as partes, fazer a leitura da mensagem, que,   esta altura, não mais terá sido vista por olhos indevidos.

E se você se interessou pelo mecanismo do Encipher.it mas não sabe se sua senha é forte ou segura o suficiente, sempre pode fazer um teste e ter certeza.

Protegendo melhor o meu WordPress

Depois de ter sido recentemente atacado por uma script injection que surgiu do nada, fiquei mais cauteloso no que diz respeito ao blog, quando se trata de segurança.

No começo deste mês acabei encontrando um artigo da Smashing Magazine, com 10 dicas para reforçar a proteção de sites que, como o meu, utilizam o WordPress. Embora seja verdade que reforçar a segurança de um site por conta própria requeira um conhecimento mínimo de Apache — e não se sentir intimidado com alterações no arquivo .htaccess —, não há nada realmente muito cabeludo a se fazer.

Assim sendo, quero compartilhar com vocês duas das alterações que fiz:

Primeira coisa: Proteger o blog de injeções de script

Os ataques de injeção de scripts acontecem quando um hacker introduz algumas linhas de código malicioso em um site através de um de seus formulários — o de comentários, por exemplo — e então envia tais dados através deste formulário. Isso é feito, geralmente, para que se possa enganar os sistemas em uso nos sites, de maneira que eles pensem que se trata de conteúdo enviado por um usuário válido, e assim acabem permitindo, sem querer, que dados sejam acessados, editados excluídos, ou que scripts mal intencionados sejam acessados e instalem vírus nas máquinas dos internautas desavisados.

Uma das técnicas básicas para um script injection é que uma máquina cliente submeta informações que contem tags, como a tag <script>. Isso nos leva  s diretivas abaixo, sugerida no artigo que li:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Ao serem adicionadas ao arquivo .htaccess, tais diretivas fazem com que qualquer requisição de acesso   uma página no blog seja verificada. Caso ela contenha referências   uma tag <script> ou, mais ainda, tenha tentado modificar o valor das variáveis GLOBALS ou _REQUEST do PHP, a requisição será bloqueada com um erro 403 (“Forbidden“) do Apache, ou seja, quem quer que esteja tentando realizar o acesso — neste caso, provavelmente alguém muito mal intencionado — será impedido de fazê-lo. Você pode até criar um documento personalizado para recepcionar alguém que tenha recebido o erro em questão:

ErrorDocument 403 /forbidden.php

Uma última palavra sobre as diretivas acima, é que estas podem ser facilmente modificadas para que incluam também as tags  <object>, <applet> e <embed>, também utilizadas em script injections. Desta maneira, reforça-se ainda mais a segurança.

Segunda coisa: Proteger o arquivo wp-config.php

Quando li o artigo da Smashing Magazine, vi que eles recomendam a proteção do arquivo wp-config.php — onde residem todas as configurações principais do WordPress, inclusive nomes de usuário e senha do banco de dados, que permitem a qualquer um com más intenções acesse todo o conteúdo do seu blog e faça com ele o que bem entender —, o que, afinal de contas, é uma excelente ideia.

O único problema é que eles, mais uma vez, se valem de alterações no arquivo .htaccess, da seguinte maneira:

<files wp-config.php>
order allow,deny
deny from all
</files>

Acredito, no entanto, que uma solução muito mais efetiva para impedir o acesso ao conteúdo do arquivo seja movê-lo para um lugar inacessível publicamente. Na prática, normalmente, isso significa movê-lo para antes da pasta public_html — onde fica tudo o que é visível para o mundo lá fora — em sua conta de usuário. Felizmente, desde a versão 2.6 do WordPress, isso é possível. Dessa maneira, basta que você utilize um programa de FTP de sua confiança e mova o arquivo em questão um nível acima.

De qualquer maneira, a dica dada pela Smashing Magazine ainda é válida se adaptarmos um pouco as coisas: Por exemplo, podemos aproveitar para proteger não o arquivo wp-config.php, mas sim o próprio arquivo .htaccess, da seguinte maneira:

<files .htaccess>
order allow,deny
deny from all
</files>

Conclusão

É óbvio que a proteção de um site contra ataques envolve uma série de outros passos e medidas de segurança, e muito mais leitura e estudo. Ainda assim, minha decisão de dividir estas duas simples alterações se deu porquê acredito serem realmente de grande valia para alguém que está pensando em proteger melhor seu conteúdo, e espero que, desta maneira, esteja prestando um serviço a quem se encontrar em uma situação difícil.

Para maiores informações, recomendo também a leitura do excelente artigo Hardening WordPress, disponível no próprio Codex da ferramenta.

Meu blog foi atacado pelo zettapetta.js

Depois de estar ausente do site por — praticamente três semanas seguidas, descobri hoje que meu site foi vítima de um ataque em massa a blogs que são movidos a WordPress. A descoberta não ocorreu instantaneamente: Tudo começou porquê, ao logar no dashboard do WordPress, percebi que a aparência das coisas estava um tanto quanto diferente, como se houvessem apagado todos os arquivos css (da área administrativa) do site. Intrigado por não entender a origem do problema — afinal, eu não havia feito grandes atualizações ou instalado novos plugins recentemente —, já havia me rendido   solução desesperada padrão, reinstalar a última versão da ferramenta.

Durante a reinstalação, graças a um vício que possuo — ficar apertando F5 freneticamente para ver todas as mensagens (temporárias) de erro que aparecem enquanto os arquivos estão sendo recolocados no lugar —, percebi que meu site estava se conectando ao domínio zettapetta.com, e logo imaginei que provavelmente havia mais caroços neste angu do que eu realmente gostaria. Um pouco de investigação me levou a descobrir que um script injection prejudicou vários sites que usam o WordPress a partir dos dias 6 e 7 de maio de 2010.

Dentre os possíveis comportamentos inadequados encontrados nos sites invadidos, identifiquei, com a ajuda de um programa de FTP, que próximo ao cabeçalho de todos os arquivos .php da minha instalação de WordPress havia um código malicioso que começava da seguinte maneira:

<?php /**/ eval(base64_decode(“aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9z.

Este era um indicador claro de que eu havia sido vítima do malware MW:MROBH:1, que se infiltra em sites como o meu e tenta instalar, nas máquinas de usuários desavisados, uma série de códigos maliciosos. Percebi que eu deveria fazer alguma coisa imediatamente.

Quando já estava me conformando com o fato de que perderia todo o conteúdo deste blog — pois as instruções iniciais de recuperação citavam medidas realmente drásticas, como excluir todos os arquivos do site —, acabei encontrando uma solução de clean up muito simples, graças ao site de segurança digital sucuri.net. Tal solução pode ser aplicada com o uso de SSH ou baixando um arquivo texto de lá — neste último caso, é necessário mudar a extensão do arquivo para .php, fazer o upload para o servidor do seu blog e executá-lo a partir de qualquer navegador. Em alguns instantes, uma mensagem similar a esta será exibida:

Tirei duas grandes lições deste episódio. A primeira, que nem sempre rodar a última versão disponível de um software te garante imunidade a algumas ameaças. A segunda, que ficar muito tempo sem visitar o próprio blog pode fazer com que estejamos executando ameaças como estas sem nem mesmo sabermos disso. Neste último caso, peço desculpas a quem quer que tenha visitado meu blog neste período de infecção, e seriamente recomendo que passem um anti-vírus atualizado em seus computadores.

Agora, voltaremos   programação normal.

Combatendo vírus na nuvem

A PandaLabs anunciou esta semana, segundo nota divulgada pela PCMagazine, a disponibilização de um anti-vírus gratuito, e que consome poucos recursos.

Já que consumir poucos recursos é a promessa de 9 entre cada 10 anti-vírus disponíveis atualmente no mercado, não foi exatamente isso o que me chamou a atenção, mas sim o mecanismo que eles alegam que torna a solução leve: O Panda Cloud Antivirus, como o próprio nome delata, é uma ferramenta que emprega tecnologia de cloud computing.

Imagine ter   sua disposição uma comunidade global de mais de 10 milhões de usuários que façam por conta própria — e automaticamente — o trabalho de identificar e classificar novas ameaças, como malwares e spywares, tudo em tempo real. Assim é a cloud computing, ou computação nas nuvens, ao pé da letra. A nuvem, neste caso, é uma referência   Internet, justamente onde ficam localizados todos os recursos que trabalharão em prol de cada usuário.

Fazendo com que o processamento seja realizado na nuvem, ao invés de no computador da minha ou da sua casa, o Cloud Antivirus deixa de consumir maiores recursos. Além disso, a nova ferramenta posterga ao máximo a análise de cada item suspeito. Na prática, isso quer dizer que o item não será verificado durante a cópia ou um download, mas sim, somente a partir do momento em que tentar executar alguma coisa suspeita, quando será devidamente bloqueado.

Uma coisa é certa: Ao longo dos anos eu já perdi a conta de quantas vezes cruzei com discussões do tipo “qual é o melhor anti-vírus da paróquia“. Não foram poucas, isso é verdade, assim como também é verdade o fato de que, na grande maioria das vezes, as reclamações das pessoas fatalmente estavam em consumo de recursos e lentidão dos programas.

Como esta questão de lentidão também é uma reclamação pessoal, nada melhor do que testar a solução oferecida pela Panda, e assim comprovar por conta própria se a ferramenta é tudo isso mesmo que diz ser. Aguardem. Fui em frente, baixei o programa e o pus   prova. A seguir, conforme prometi, as minhas impressões e comentários.

Continue reading

Esteganografia para as massas

Lembra quando você era criança e brincava de esconder mensagens secretas em folhas de papel escritas com suco de limão e um cotonete? A diversão era, na seq¼ência, aproximar a folha de uma vela ou de uma lâmpada, que era pro calor revelar o que estava escrito, como num passe de mágica

Bons tempos, não é mesmo?

Acontece que esse tipo de coisa pode muito bem acontecer nos dias de hoje, em pleno mundo digital! Isso graças a uma técnica chamada esteganografia. Essa palavra meio esquisita vem do grego, e significa ââ?¬Å?escrita escondidaââ?¬Â.

Diferente da famosa criptografia, em que alguém mal intencionado que intercepte uma mensagem sabe bem que há algo de sigiloso escondido ali, esperando para ser descoberto após a eventual quebra de uma chave ââ?¬â?? seja ela mais forte ou mais fraca ââ?¬â?? a esteganografia é algo mais anônimo, em que praticamente não dá pra descobrir que há alguma coisa escondida no meio de uma mensagem, a menos que você seja o remetente ou o destinatário.

Justamente por causa disso, a esteganografia é causadora de boatos e lendas: Há notícias falsas e verdadeiras de seu emprego por contrabandistas, traficantes e até mesmo terroristas, que a utilizam para passar em paz ââ?¬â?? ou com um pouco mais de privacidade ââ?¬â?? suas próprias mensagens.

As mensagens, aliás, podem ser de texto puro, mas também podem ser compostas de um ou mais arquivos que se deseja manter ou transmitir em sigilo. Para transportá-las podem ser usadas fotos ou arquivos MP3. Também podem ser usadas páginas em HTML ou documentos PDF, que passam a carregar um algo a mais de maneira não declarada.

Se um bandido invade nossa casa, procura dentro de nossos guarda-roupas ou atrás de quadros, até encontrar um cofre ou algo de valor. Ele nunca pensaria, no entanto, que seu dinheiro está guardado naquela caixa de sucrilhos vazia que você deixa na última prateleira do armário da cozinha, não é? Eis aí a vantagem principal da esteganografia: Nenhum curioso, ao invadir seu computador, procuraria por suas senhas bancárias dentro daquela foto em que você e sua família estão sorrindo logo depois da ceia de Natal, percebem? Misture a foto em meio a outras centenas, e bingo: Só você — e quem mais você quiser — poderão recuperar a informação oculta.

Para fazer a mágica de embutir conteúdo em arquivos comuns existem dezenas de softwares disponíveis, sendo que muitos deles são gratuitos. Um artigo recente do site Lifehacker — que foi, aliás, o causador do meu interesse pelo tema — menciona o Hide in Picture, que, como o próprio nome diz, oculta arquivos em imagens nos formatos bitmap ou GIF.

Como exemplo, suponham que eu queira pegar um inocente arquivo com uma paisagem bem bonita e ocultar nele uma mensagem de Natal super legal para os meus amigos, embora totalmente secreta. Basta que eu acesse o Hide in Picture e selecione a opção Hide file in picture, tal como na figura abaixo.

Interface do Hide in Picture

Em seguida, só é preciso informar uma senha e, opcionalmente, o algoritmo a ser utilizado pelo programa para criptografar o arquivo que está sendo anexado   nossa imagem, e pronto: A mensagem secreta já fará parte da paisagem, e o melhor: Ninguém suspeitará disso, porquê visualmente tudo continuará como antes!

Protegendo a mensagem com uma senha

A vantagem destes programas é que na maioria das vezes eles procuram manter o tamanho original do arquivo hospedeiro, utilizando algoritmos de compressão que cumprem bem sua tarefa. É claro que fica óbvio que, nestes casos, você simplesmente não consegue esconder um arquivo maior dentro de um arquivo menor, mas essa aparente limitação não deve intimidar ninguém disposto a proteger seus dados para uma eventual transferência a partir da Internet.

Inspirado pelo princípio da esteganografia, no entanto, está um procedimento muito mais simples e direto, ideal para quem não precisa transferir conteúdos muito grandes e está interessado apenas em ocultar pequenos arquivos ââ?¬â?? talvez aqueles em que estão gravadas suas senhas de serviços da internet ou dos bancos, e até mesmo uma ou outra planilha ou foto. No pequeno screencast que acompanha este meu inspirado artigo, fiz a descrição de um método que só precisa do Windows e de um velho compactador de arquivos, sucesso e bastante conhecido entre muita gente: Trata-se do 7-Zip, que é gratuito.

[flv:cast_estego_281208.flv 560 352]

O ponto positivo é que a técnica é muito simples, e pode ser usada pra esconder arquivos não apenas em fotos, mas também em documentos PDF — como no exemplo que eu dou — e músicas.

A advertência, no entanto, fica para o tamanho do arquivo a ser gerado: Ninguém acharia normal, por exemplo, uma imagem JPEG de 30 megabytes, não é mesmo? Assim, cuidado para esconder apenas pequenos arquivos, e no mais… divirta-se!

[ratings]

Diga-me como digitas e te direi quem és

Eu não sou nenhum perito em datilografia — mal uso todos os dedos para fazer minhas digitações —, mas isso não impede os amigos do trabalho de fazer brincadeiras do tipo “Calma, Daniel… desse jeito o teclado vai pegar fogo! Vá mais devagar“, ou “Ele digita rápido assim, mas provavelmente 97% do tempo fica pressionando mesmo o backspace“, quando me vêem digitar.

Nenhuma das afirmativas é verdadeira, claro: Os teclados não podem simplesmente pegar fogo graças   velocidade de digitação de alguém. Se isso fosse verdade, imaginem só o número de acidentes que teríamos, principalmente envolvendo operadores de caixas bancários e outros profissionais que precisam digitar muito mais rápido. Da mesma forma, não é em 97% do tempo que eu aperto o backspace, e sim cerca de, digamos, 15% a 20%. De qualquer forma, essas brincadeiras servem para me dizer que os amigos reconhecem, por assim dizer, o meu padrão de digitação.

A novidade é que, talvez, no futuro, não sejam apenas os meus amigos os que serão capazes de reconhecer o meu padrão: Isso graças   biometria e aos estudos, nesta área, do pesquisador cearense Leonardo Torres. Ele está desenvolvendo uma ferramenta que poderá eventualmente começar a ser aplicada para melhorar a segurança nas transações via Internet e também nos terminais de atendimento eletrônico, como os caixas rápidos, por exemplo:

“Cada um de nós tem um padrão de comportamento no ato da digitação. Temos um ritmo próprio e padrões de erros, por exemplo. O que estamos propondo é a implantação de uma ferramenta complementar de segurança capaz de identificar não apenas se uma senha digitada na web ou em um terminal eletrônico está correta, mas se foi o proprietário dela que realmente a digitou (…)

A grande finalidade da ferramenta é evitar fraudes, reforçando os sistemas de segurançaââ?¬Â, resume.”

Na prática, para fazer uso da nova ferramenta de biometria, o usuário deve primeiro preencher um cadastro com suas informações pessoais. Posteriormente ele digita estes dados e aciona uma espécie de “inspetor de qualidade“, na verdade uma rotina que verifica a qualidade da digitação observando se há erros durante o processo.

Se tudo correr bem, um “extrator de características” captura o tempo de digitação entre uma tecla e outra e o tempo de pressionamento de cada tecla. Estas informações são então cruzadas e o usuário identificado conforme seu padrão de digitação.

Segundo o pesquisador, a novidade tende a chegar ao mercado com um custo muito mais baixo do que o normal, pois deve precisar de muito menos equipamentos e dispositivos eletrônicos do que as demais soluções de segurança que envolvem a biometria.

Mas eu tenho que dizer que a primeira coisa que me chamou a atenção nesta história foi o fato de se tratar de tecnologia 100% em desenvolvimento no Brasil. Isso porquê eu, que gosto muito do tema biometria, vejo que quando falamos disso os exemplos de aplicação vêm muito mais do exterior, e este caso, somado   provável adoção de 100% de urnas eletrônicas biométricas para nossas eleições em cerca de 10 anos, são raros e louváveis exemplos.

Information Cards: Uma revolução nas senhas?

cone do InfocardA empresa onde eu trabalho tem implantado gradativamente, desde o começo do ano, um programa chamado single sign-on. A intenção é acabar com um problema extremamente freq¼ente — e extremamente perturbador, diga-se de passagem: Esquecer as senhas.

Vamos admitir: Quem nunca esqueceu uma senha na vida deve jogar as mãos para o céu e agradecer. Afinal de contas, mais do que a enorme quantidade de sistemas offline que necessitam de autenticação — e que, no caso da empresa onde estou foi o grande motivador para o single sign-on —, a Internet é um grande player nessa história: Por causa dela nós vivemos de cliques e de senhas, não é mesmo? E basta um único serviço que não usemos por algum tempo e lá vamos nós esquecer uma senha e ter transtornos.

A solução para esse tipo de problema, muitas vezes, é usar uma única senha para todos os sites. Na prática, apesar de ser mais fácil, é menos seguro, todos sabemos disso. Afinal, alguém que descubra sua senha poderá invadir todos os sites que você usa e fazer sabe-se lá o que. Na prática, conforme diz Paul Trevithick, praticar esse hábito é quase como não ter senha nenhuma.

Mas quem é Paul Trevithick, afinal? Ele é o presidente da Information Card Foundation, empresa que pretende revolucionar a forma como nos autenticamos nos diversos sites que visitamos. A chave para que isso aconteça está no uso dos chamados information cards, ou simplesmente i-cards, cartões eletrônicos que os internautas baixariam para suas máquinas locais, e usariam diretamente a partir de seus navegadores, se autenticando e verificando seus acessos através de um código PIN — personal identification number, tal como nos celulares — remotamente validado sempre que entrassem em um site compatível.

I-Cards na prática

Os membros da fundação que defende o uso dos i-cards — entre os quais gigantes como Google, Microsoft, Novell e Oracle — acreditam que a prática melhoraria consideravelmente a segurança dos usuários, principalmente no que diz respeito a combater o phishing, processo pelo qual vários sites que agem de má fé tentam se passar por empresas honestas, visando obter senhas e demais informações sensíveis dos internautas menos avisados.

Para prover maior segurança na prática, o sistema de i-cards tem que sincronizar cada transação entre três participantes: Numa ponta o usuário com seu i-card, que solicita uma conexão criptografada com um fornecedor de identificação (como um banco ou empresa de cartão de crédito) e também com a parte relevante (que, neste caso seria uma faculdade, site financeiro ou de comércio eletrônico). Nada acontece enquanto estas conexões não estiverem realizadas em tempo real.

Espero que, já que essa iniciativa está sendo puxada por gente grande, ela decole. Se será uma solução final para os problemas de segurança, eu não sei, e até duvido. Mas é bom termos novidades deste porte em breve. Só não sei quanto tempo levará para um padrão desses atingir escala mundial… mas aí é outra história.