Como criar uma máscara de email

Máscara de email é um endereço de fachada criado sobre uma conta de email principal. Dependendo do servidor de email, essa opção está disponível ou não.Os emails enviados para a máscara são recebido na caixa de entrada da conta principal. Preste atenção na hora de escolher qual email será usado para responder às suas máscaras.

Você pode criar uma máscara de email por diversos motivos, como por exemplo, para despistar o seu endereço principal sem ter que criar uma nova conta ou organizar os seus diferentes perfis virtuais que atuam nos coletivos que você participa. Obviamente, é sempre bom ter formas de contato não vinculadas à sua identidade burocrática (seu nome registrado nas bases de dados do Estado), como emails com pseudônimos.

No momento que inventou-se o webmail, todo mundo ficou maravilhado: “uau, vou poder ver minhas mensagens a partir de qualquer computador que esteja conectado na internet”. Só que criou-se um problema que antes não existia: é um saco ficar mudando de conta e checando email pelo navegador. Não dá para abrir no mesmo navegador diversas contas de email do mesmo provedor (por causa dos cookies). A solução milenar é usar um cliente de emails instalado no seu computador pessoal (hoje, mais do que nunca, os computadores finalmente são pessoais, e isso é bem importante para a sua privacidade e segurança).

Então, não se assuste. Crie quantas contas de email quiser e administre-as todas a partir do mesmo cliente de emails, como o Thunderbird. Para cada uma das suas contas (que são dedicadas a funções diferentes), crie as máscaras de email que precisar.

Email é uma forma de comunicação federada com opção de criptografia forte ponta a ponta e que funciona em qualquer sistema operacional ou espertofone.

(Se você está procurando um email descartável para receber um confirmação de cadastro e nunca mais vai usar a conta, então utilize um serviço como https://www.guerrillamail.com/.)

Como criar uma máscara de email no Riseup.net

Entre no endereço de configuração de usuário: https://user.riseup.net

Clique em Configurações de Email e em seguida na aba Aliases. No campo New Aliases escreva um endereço válido completo do riseup. Se o endereço já estiver sendo usado, você será avisado e terá que escolher outro.

Pronto.

No caso do Riseup, uma vantagem, em termos de segurança, do uso de máscaras é que no cabeçalho do email não aparece o email principal. Outros provedores muito provavelmente deixam esse rastro no “código fonte” do email.

Como criar uma máscara de email no Autistici.org

Entre no endereço de configuração de usuário: https://www.inventati.org/pannello/login

Clique no ícone da da engrenagem, ao lado do botão de webmail e em seguida no item Manage Aliases. Abaixo de Create new alias, preencha com um endereço válido e selecione um dos domínios oferecidos pelo Autistici. Se o endereço já estiver sendo usado, você será avisado e terá que escolher outro.

No caso do Autistici, é apenas possível usar uma máscara de email como uma identidade vinculada ao email principal já que o servidor revela o endereço do email principal no cabeçalho.

Configurando máscara de email no Thunderbird

Caso você use máscaras de email para administrar melhor suas comunicações por email, é bem útil configurá-las no seu cliente de email. Aqui descreveremos como se faz isso no Thunderbird.

Clique no ícone de Menu, vá na opção Preferências e depois em Configurações de Conta.

Nas página inicial das configurações da sua conta principal, aquela onde você criou sua máscara e clique em Gerenciar Identidades abaixo à direita.

Em seguida, clique em Adicionar.

Uma janela aparecerá com as configurações da sua máscara. Coloque ali o endereço da máscara, preencha as opções de nome, organização, assinatura, se quiser e pronto.

Agora, na hora de enviar um email, no campo Remetente você poderá escolher sua máscara.

Recuperando Arquivos com Linux

Discos rígidos e outros dispositivos de armazenamento estão sujeitos a falhas. Algumas vezes essas falhas podem ser causadas por vírus ou malware, outras vezes por corrupção dos dados, erro humano, ou também falha mecânica. Independente da razão, a perda de dados é no melhor dos casos uma dor de cabeça, mas pode significar problemas muito maiores dependendo dos dados envolvidos.

Muitas vezes supomos que a recuperação de dados de um disco é um serviço especializado, de alta complexidade e que necessita mão-de-obra técnica. Mas nos casos onde a falha não é mecânica é possível recuperar parcial ou totalmente os dados através de software desenvolvido especificamente para isso. Nesse tutorial vamos falar de duas ferramentas de recuperação de dados, TestDisk e Foremost. Ambas ferramentas estão disponíveis para as principais distribuições Gnu/Linux e podem ser instaladas através de gerenciadores de pacotes como o APT, Synaptic ou Ubuntu Software Center.

Testdisk

Com o TestDisk, além de restaurar arquivos corrompidos e excluídos, também é possível alterar e escrever partições e tentar recuperar discos que não estão inicializando normalmente.

O programa deve ser rodado no terminal com privilégios administrativos:

$ sudo testdisk

A partir desse comando o programa apresenta uma interface de texto com diversas opções. Para recuperar arquivos, devemos seguir os seguintes passos. Primeiro, precisamos escolher entre criar ou não um arquivo de log da operação, essa opção não influencia nos próximos passos. Depois dessa escolha, o programa listará os dispositivos de armazenamento de dados instalados e montados na sua máquina. Você deve ser capaz de identificar em qual deles quer buscar pelos arquivos perdidos. Selecionando o disco correto, agora é hora de escolher qual formato de partição o programa deve buscar – na grande maioria dos casos deve-se selecionar Intel (para discos formatados como ext2, ext3, NTFS, FAT32 entre outros). Agora selecione [Analyse]. O programa iniciará buscando por partições e em alguns casos pode encontrar antigas partições que não nos interessam ou que ele é incapaz de recuperar. Pressione [Continue] até encontrar a partição procurada. Ao encontrar, é possível listar todos os arquivos contidos na partição com a tecla P (shift+p) e então copiar os arquivos. Os principais comandos para realizar operações com os arquivos são os seguintes:

: para selecionar o diretório / arquivo destacada
a para selecionar todos os diretórios / arquivos
c para copiar o arquivo destacado
C (shift+c) para copiar todos os arquivos
seta direita, seta esquerda para navegar pelos diretórios

Uma vez copiados os arquivos, o programa automaticamente nos direciona para nossa pasta pessoal onde podemos selecionar onde queremos colar os arquivos. A tecla para colar os arquivos é C. Esse processo pode demorar bastante tempo.

Foremost

Foremost é uma ferramenta muito completa de data carving . Ele busca por cabeçalhos e rodapés dos arquivos no disco e os reconstrói a partir dessas informações. É um processo mais complexo mas que consegue recuperar dados que estão mais corrompidos ou danificados.

Com os comandos básicos é possível executar uma varredura do disco alvo copiando os arquivos de forma rápida através de filtragens por formato de arquivo. Supondo que os arquivos procurados sejam imagens, uma busca exclusiva por jpg e png se torna muito mais ágil do que buscar por todos os arquivos contidos no disco. Os principais comandos são os seguintes:

-t antecede uma lista separada por vírgulas de formatos de arquivos que você quer buscar
-v modo verbose, exibe informações do andamento da operação de cópia
-o o diretório onde você quer salvar os arquivos de saída (output) da sua varredura
-i o diretório onde você quer efetuar a busca (input), pode ser um HD, ou outras imagens de disco de diferentes formatos

por exemplo:
$ sudo foremost -t pdf,jpg,odt -o pastadesaida -v -i /dev/sdb

Nesse exemplo, utilizamos o [sudo] para obter privilégios administrativos e fazemos uma busca por arquivos pdf, jpg e odt no dispositivo e copiamos os arquivos que correspondem a essa busca em diretório chamado .

Além dessas duas ferramentas que apresentamos aqui, existem várias outras opções livres e de código aberto para recuperação dados. Algumas são mais especializadas e outras amplas demais. Para problemas mais específicos ou complexos essas outras opções podem ser úteis. Lembre-se: mantenha sempre um backup de seus informações mais sensíveis!

HookTube

No site, tá dito mais ou menos assim:

Compartilhe vídeos do YouTube sem dar pra Google a contagem de visitas, além de desviar dos bloqueios nacionais e restrições de idade. Também é possível baixar as músicas e vídeos. Mantenha seus dados longe dos olhos da Google.

Como funciona: é só substituir o domínio de qualquer link do YT por hooktube.com e você irá para uma página levinha que carregará os arquivos de mídia (mp4, webm, etc.) do YouTube diretamente no tocador de mídia nativo do seu navegador. Por exemplo: https://youtube.com/watch?v=-fny99f8amM vira https://hooktube.com/watch?v=-fny99f8amM

Atualização 11-08-2018: Infelizmente, ao que tudo indica em razão de pressão legal, o HookTube não mais funciona como uma ferramenta que permite assistir vídeos do YouTube sem gerar tráfego e dados estatísticos para a plataforma da Google ou escapar da censura.

Leia a postagem no site do próprio HookTube que traduzimos livremente aqui:

Foi bom enquanto durou, 1.5 anos. Iniciou como uma adição ao projeto norbot feita as pressas, e com o tempo tivemos que fazer upgrade nos servidores várias vezes. É claro que o time legal do YouTube seria inevitável a essa altura.
Um muito obrigado especial para todas as pessoas que criaram plugins e extensões para hooktube, /g/, as cinco pessoas que doaram anonimamente, e BitChute por trabalhar duro numa verdadeira alternativa para o YouTube. Nos vemos no próximo projeto.
16 de Julho: as funcionalidades da api do YouTube estão de volta mas o <video> mp4 foi substituído pelo vídeo incorporado padrão do YT. HookTube é agora de fato apenas uma versão leve do youtube e inútil para 90% de vocês primariamente preocupados em negar dados para o Google e assistir videos bloqueados pelos seus governos.

Instalando LineageOS em seu Android

Hoje em dia smartphones são ferramentas que acompanham a maioria de nós o tempo todo. Esses dispositivos se tornaram computadores de bolso que utilizamos para fazer muito mais do que apenas ligações. Com eles tiramos fotos e gravamos vídeos, acessamos a internet, checamos nossos emails, interagimos em redes sociais e principalmente trocamos mensagens instantâneas com nossos contatos. Porém, ao contrário de computadores comuns, smartphones são computadores sobre os quais temos muito pouco controle.

Atualmente apenas dois sistemas operacionais de dispositivos móveis dominam o mercado, iOS desenvolvido pela Apple e Android desenvolvido pela Google. Enquanto que o primeiro é um sistema operacional proprietário, ou seja, uma caixa preta de código fechado, o segundo é parcialmente livre. Parcialmente porque o Android é composto de uma base livre com código aberto chamada de Android Open Source Project (AOSP) mas também de uma base proprietária, ambas desenvolvidas pela Google. Apesar de ser muitas vezes considerado um software livre, essa porção proprietária afeta a confiança do sistema como um todo. É impossível saber com certeza quais dados estão sendo coletados pela Google ou se existe algum tipo de backdoor escondido no sistema. Além disso, na maioria das vezes os dispositivos vem com um número limitado de atualizações o que faz com que fiquemos trancados em versões ultrapassadas e vulneráveis do Android. Outro problema corriqueiro é a falta de espaço de armazenamento porque não é possível excluir apps instalados pelo fabricante e que não utilizamos. Isso tudo somado ao fato que os smartphones são localizadores de alta precisão, constantemente ligados à antenas das operadoras, à sistemas de GPS e todo o tipo de sensores torna esse tipo de dispositivo um pesadelo em termos de segurança.

No entanto existem alternativas de sistemas operacionais para dispositivos móveis totalmente livres. Esses sistemas permitem que xs usuárixs reganhem certo controle sobre seus dispositivos, reduzindo a coleta de dados pela Google e aumentando a vida útil de seu aparelho. Uma dessas alternativas mais bem desenvolvidas e documentadas se chama LineageOS, uma distribuição baseada na porção livre do Android.

>>> Leia mais sobre outras alternativas aos serviços da Google
>>> Leia mais sobre as intenções da Google em Foda-se o Google [PDF]

O processo todo de instalação de um novo sistema operacional (também conhecidos como ROMs) em seu dispositivo varia bastante dependendo da marca e do modelo do celular, e alguns dispositivos sequer possuem maneiras fáceis de fazer essa troca. Nessa postagem vamos fazer um passo-a-passo de como instalar o LineageOS em celulares Samsung.

Antes de começar o tutorial é importante que você tenha em mãos um computador GNU/Linux com adb e heimdall instalados, um celular compatível, uma ferramenta de recuperação (sugerimos TWRP) especifica para o modelo de seu celular, o ROM especifico para o modelo de seu celular e um cabo USB>MicroUSB.

IMPORTANTE: Consulte a lista de modelos compatíveis no site do LineagesOS, como cada ROM é específico para cada modelo, tentar instalar um ROM de outro modelo pode deixar o celular inoperável.

1. No seu celular, libere a depuração USB e ADB nas configurações de desenvolvedor do celular. As vezes as configurações de desenvolvedor estão escondidas. Para encontrá-las você deve entrar no menu “Sobre o Dispositivo”(About) e clicar repetidamente em “Número da Versão” (Build Number).
2. Desligue seu dispositivo, e ligue novamente em modo download segurando vol para baixo + home + power e só então conecte o celular ao computador através do cabo USB. Aceita a responsabilidade de alterar o conteúdo de seu celular navegando com as teclas de volume conforme indicado na tela.
3. Verifique se a conexão entre o celular e o computadro estão funcionando corretamente. Abra um terminal no seu computador e digite:

heimdall print-pit

Vários dados serão impressos na sua tela e o celular vai reiniciar em modo normal.

4. Desconecte o celular do computador e ligue-o novamente em modo download. Conecte ao computador e instale o arquivo de recuperação que você baixou para o celular usando o seguinte comando:

heimdall flash --BOOT o_nome_do_arquivo_twrp.img --RECOVERY o_nome_do_arquivo_twrp.img

Uma barra de progresso vai indicar o andamento da instalação. Aguarde o término. Uma vez que o processo estiver concluído, o celular irá reinicializar em modo de recuperação.
5. Passe o arquivo do LineageOS que você baixou para o arquivo raiz do cartão de memória do celular usando o adb. Em um terminal dentro da pasta onde o arquivo se encontra digite:

adb push nomedoarquivoLineageOS.zip /sdcard/

6. Faça o backup do seu sistema operacional atual selecionando a opção backup do TWRP.
7. Limpe seu dispositivo com a ferramenta Wipe >Advanced Wipe e selecionando os ítens cache, system e data
8. Volte ao menu principal do TWRP e selecione instalar.

Pronto! Agora é só aproveitar um sistema operacional livre, com atualizações regulares e muitas opções de customizações. Alguns aplicativos populares dependem de serviços proprietários da Google e portanto podem não funcionar perfeitamente. Sempre que possível prefira apps livres. Sugerimos a “loja” de apps F-Droid que tem uma vasta seleção de aplicativos livres.

Como verificar arquivos através de soma de verificação (checksum)

Quando baixamos arquivos de sites (como uma distribuição linux ou softwares de segurança), é necessário conferir se aquilo que chegou é o mesmo que foi enviado pelo servidor. É sabido que ataques de man-in-the-middle podem acontecer em redes monitoradas e assim informações podem ser modificadas ou substituídas por semelhante.

Uma forma de ter a confirmação de que o arquivo que você está baixando é de fato aquele oferecido pelo site é através da soma de verificação (checksum). Existem várias opções de geração de soma de verificação: MD5, SHA, etc. (Outra opção de verificação é a assinatura com GPG, ver essa postagem.) A ideia é o seguinte: após receber o arquivo, você rodará uma ferramenta que cria uma soma de verificação com base no arquivo. Compare esse resultado com a soma de verificação fornecida pelo site (que pode estar postada textualmente ou através de um arquivo, por exemplo, .md5). Se elas forem iguais, o arquivo é o mesmo. Caso contrário, algo pode ter dado errado.

Exemplo: verificando o arquivo de instalação do LineageOS:

Baixe o arquivo .zip de instalação do Lineage (por exemplo, para o Moto G falcon)

No site, temos o link para o arquivo e, logo abaixo, um link para a soma de verificação sha256 e outro para a sha1. Ao clicar no sha256, a seguinte informação apareceu:

9f772038b089bfefde5df76d69fee657a5b8a24048e3a73adf4159c244bfad46 lineage-14.1-20171107-nightly-falcon-signed.zip

Quando o arquivo tiver terminado de baixar, vá no terminal do linux, acesse a pasta onde foi salvo o arquivo e rode:

$ sha256sum lineage-14.1-20171107-nightly-falcon-signed.zip

Outras funções semelhantes são sha1sum e md5sum. Compare o resultado da linha de comando com aquilo fornecido pelo site. Se você baixou um arquivo .md5, por exemplo, peça para mostrar seu conteúdo com o comando:

$ cat lineage-14.1-20171107-nightly-falcon-signed.zip.md5

Lembrete: o Lineage não fornece soma de verificação MD5. Aqui é só um exemplo ilustrativo.

Ambas informações devem ser a mesma.

Adendos:

Se o site foi comprometido, esse método não serve.
Assinar um arquivo usando GPG é bem mais confiável.
A soma de verificação MD5 só confere o conteúdo do arquivo, ignorando o nome. Se você mudar as permissões do arquivo, a soma de verificação irá mudar também.
Vários linux já vêm com essas ferramentas de verificação, inclusive a GnuPG.
Você pode criar um arquivo com a soma de verificação e o nome do arquivo através do comando:
```
$ sha256 arquivo.zzz > soma.sha256
```
Onde arquivo.zzz é o arquivo sobre o qual será criada a soma de verificação e soma.sha256 é o resultado, gravado no seu disco.

[Livro] A Criptografia Funciona: Como Proteger Sua Privacidade na Era da Vigilância em Massa

Andamos tratando aqui no blog sobre criptografia PGP e algumas das maneiras que ela pode ser implementada. Hoje estamos compartilhando um guia publicado em 2013 que oferece um rápido panorama sobre o potencial da criptografia seguido de alguns tutoriais passo a passo. Os programas abordados nos tutoriais são Tor, Pidgin e OTR, Email e PGP e Tails. Esse artigo foi escrito por Micah Lee, da Freedom of the Press Foundation. logo após os primeiros vazamentos feitos por Edward Snowden. Esta versão em português contém alguns erros de ortografia mas que não afetam o conteúdo prático.

Baixe o PDF aqui.

Como Criptografar seus Emails de Forma Fácil

Quando enviamos um e-mail para outras pessoas é como se enviássemos cartões postais, quer dizer toda a mensagem fica exposta para quem quiser interceptar. Em alguns casos, a mensagem até fica protegida enquanto está em trânsito, mas uma vez que chega nos servidores, fica legível e à disposição das empresas que hospedam nossas contas.

Usar métodos de criptografia para impedir que leiam seus e-mails muitas vezes é percebido como uma tarefa complexa. Porém com as ferramentas certas, podemos criptografar nossas mensagens com uns poucos cliques. Isso é uma saída para quando precisamos trocar mensagens mais intimas ou proteger nossas conspirações para organizar piqueniques subversivos. Na verdade, a criptografia serve para todos os momentos em que não queremos que nossos dados sejam observados, vendidos, gravados e guardados para posterioridade, independente do que estamos falando. Ou seja, SEMPRE. Nesse tutorial vamos ensinar como instalar os plugins necessários para criar seu par de chaves GPG e criptografar suas mensagens no cliente de email.

Breve História

Paul Zimmermann, um ativista contra o uso de energia nuclear norte-americano, desenvolveu em 1991 a primeira versão do programa de criptografia PGP. O nome vem da sigla em inglês Pretty Good Privacy (em português seria algo como Privacidade Muito Boa) e tinha o intuito de permitir a postagem anônima em fóruns online, impedindo que o movimento anti-nuclear fosse vigiado pelo Estado. O programa se espalhou rapidamente, principalmente por ter sido lançado gratuitamente e com código aberto incluído com todas as cópias. Em pouco tempo, estava sendo usado ao redor do mundo por dissidentes, ativistas e cypherpunks.

Nos anos que se seguiram, Zimmermann enfrentou várias batalhas judiciais em função de ter sido responsável pelo desenvolvimento do PGP, no entanto seguiu desenvolvendo melhorias no código. Na metade da década de 1990, Zimmermann e seus colegas formaram uma empresa para seguir com o desenvolvimento do PGP. Posteriormente, essa empresa foi adquirida por outras companhias, entre elas a Symantec. Em 1997, Zimmermann e sua equipe propuseram para a IETF (Internet Engineering Task Force) a criação de um padrão de criptografia que pudesse ser intercambiável com o protocolo PGP. Esse padrão veio a ser chamado OpenPGP e a partir daí muitos programas começaram a ser desenvolvidos em torno desse protocolo. A Free Software Foundation desenvolveu o programa Gnu Privacy Guard (GPG ou GnuPG) que é aplicado por várias interfaces. Outros programas estão disponíveis em diferentes linguagens e para diferentes plataformas, incluindo Android e iOS.

Como Funciona

A criptografia PGP funciona com o uso de um par de chaves assimétricas geradas aleatoriamente. Cada pessoa possui seu par de chaves, sendo uma chave pública e a outra privada. A chave privada é secreta, deve ser guardada com segurança e nunca compartilhada com nenhuma pessoa. É com ela que você vai desembaralhar as mensagens criptografadas que receber. Já a chave pública será utilizada por quem quiser lhe enviar uma mensagem criptografada, por isso é bom que você divulgue ela para seus contatos. Abordamos mais a fundo esse assunto nessa postagem.

Existem muitos usos para a criptografia por chaves assimétricas além de segurança de e-mails, sendo parte importante da segurança em vários protocolos da internet como TLS, mensagens instantâneas e podendo ser usada para verificar a integridade de arquivos como demonstramos anteriormente aqui.

Baixando os complementos necessários

GnuPG, GPG4Win e GPGTools

Se você usa sistemas operacionais Gnu/Linux você provavelmente já tem GnuPG instalado em seu computador. Se você roda sistemas operacionais não-livres, terá que baixar e instalar um programa para operar as suas chaves. Para Windows, você deve baixar o programa GPG4Win e para Mac o programa se chama GPGTools. Baixe e instale optando sempre pelas configurações padrões.

Thunderbird

Você vai precisar de um cliente de e-mails instalado em seu computador. Um cliente de e-mails é um programa que opera no seu computador e acessa de modo seguro seu servidor de e-mails para receber e enviar mensagens. Ainda que existam complementos que permitem utilizar chaves PGP diretamente no webmail, é preferível fazer a criptografia na própria máquina. Lembre-se, sua chave privada deve ficar somente com você. Para esse tutorial, vamos usar o Thunderbird (da Mozilla Foundation). Existe um software livre de código aberto baseado no cliente da Mozilla chamado de IceDove. Caso você ainda não tenha o programa instalado, baixe-o no site da Mozilla e instale-o.

Abra o Thunderbird e siga o assistente de configuração passo-a-passo para configurar sua conta de e-mail.

Caso utilize uma conta em servidores radicais como o Riseup.net ou Inventati, dê uma conferida nos tutoriais que esses coletivos disponibilizam, pois oferecem configurações otimizadas para maior segurança.

Enigmail

Com sua conta configurada para receber e enviar e-mails através do Thunderbird, é hora de baixar o complemento Enigmail. É esse plugin que vai servir de interface para todo o processo de criptografia do GnuPG.

No menu do programa de e-mails, busque a parte de configurações – geralmente representada por três barras empilhadas no canto direito superior. Nesse menu, vá até Ferramentas e então Complementos. Busque por Enigmail, e depois de instalá-lo reinicie o programa.

Criando suas chaves

Quando reiniciar o programa, o assistente de configurações do Enigmail deve abrir automaticamente. Caso não abra, vá novamente até o menu do programa de e-mails e selecione Enigmail e Assistente de Configuração.

No assistente de configuração, clique em Avançar com as opções padrão selecionadas, exceto nesses casos:

-> Na tela intitulada “Encryption”, selecione “Encrypt all of my messages by default, because privacy is critical to me”.
-> Na tela intitulada “Assinatura”, selecione “Don’t sign my messages by default”.
-> Na tela intitulada “Seleção de Chave”, selecione “Eu desejo criar um novo par de chaves para assinar e criptografar minhas mensagens”.
-> Na tela intitulada “Criar Chave”, escolha uma senha forte!

Recomendamos fortemente a utilização de senhas longas e aleatórias. Considere utilizar um gerenciador de senhas ou o método Diceware (Dadoware) para elaboração dessa senha. Descreveremos esse método em breve.

A seguir, o computador irá gerar seu par de chaves. Isso pode demorar um pouco, nesse meio tempo é importante que você utilize seu computador para todo o tipo de tarefas, isso vai ajudar o computador a gerar suas chaves aleatórias.

Pronto!

Teste suas configurações: Envie um e-mail para Edward, o bot da Free Software Foundation, << edward-pt-br@fsf.org >>. Comece enviando sua chave pública em anexo para o bot. Lembre-se que esse e-mail não pode ser criptografado, já que você ainda não tem a chave pública de Edward. Ele lhe responderá em alguns minutos e você poderá testar descriptografar sua primeira mensagem! Desse momento em diante, a criptografia acontecerá automaticamente entre vocês.

Aproveite para achar um/a cúmplice para seguir esse tutorial e criar suas chaves. Usem as ferramentas para começar a se enviar e-mails verdadeiramente privados!

Migrando sua chave OTR do Pidgin para o Gajim

Essa é uma postagem bem específica, mas pode quebrar o galho de alguém.

Sempre usei o Pidgin como gerenciador de contas de mensageria instantânea. Nele é possível configurar diversas contas de chat e já faz um bom tempo uso apenas o protocolo federado XMPP. Optei pelo Pidgin no Debian porque tinha a possibilidade de instalar o plugin do Off-The-Record (OTR), que faz encriptação de ponta-a-ponta no chat. Com isso, temos as seguintes condições de segurança satisfeitas:

Software livre de código aberto: pidgin
Protocolo federado: XMPP
Servidor autônomo: pode ser o do riseup.net
criptografia de ponta-a-ponta: OTR
controle das chaves públicas e, principalmente, da privada: numa subpasta da sua “/home/”

Aí outro dia, d4rkcrist4l postou aqui no blog falando que usar um plugin para rodar o OTR poderia ser uma furada. Então, fui atrás de outro programa. Infelizmente, não encontrei nenhum que satisfizesse todos os critérios acima, mais o meu gosto, e ainda tivesse o OTR embutido de fábrica. Porém, descobri outra falha do Pidgin. Dizem por aí que por ele ser escrito em C há mais chances de ele sofrer ataques relacionados à memória (cadê o LINK?), pois essa linguagem precisa de acesso total para manipulação da memória do computador.

Foi então que apareceu o Gajim. Um amigo já havia comentado dele e finalmente resolvi instalar. O Gajim é escrito em python, o que, até onde o meu conhecimento de leigo alcança, melhora drasticamente a vulnerabilidade de memória que o C pode ter. Além disso, esse programa também roda o OMEMO, protocolo que criptografa de ponta-a-ponta conversas em grupo, coisa que o OTR (e o pidgin) não faz.

Com o Gajim instalado, descobri que ele lida com as chaves OTR de um jeito diferente do Pidgin. Como eu não queria ter que gerar novas chaves, descobri um script que resolve o problema. Daqui pra frente é a tradução das instruções do repositório github do pidgin2gajim.

pidgin2gajim

Este programa converte as chaves OTR do formado Pidgin para o forma Gajim.

Seus arquivos OTR do Pidgin estão aqui:

~/.purple/otr.private_key  # chaves(s) secreta(s)
~/.purple/otr.fingerprints # impressões digitais (fingerprints)

Seus arquivos OTR do Gajim estão aqui:

~/.local/share/gajim/ACCOUNT.key3 # chave secreta
~/.local/share/gajim/ACCOUNT.fpr  # fingerprints

Quando você rodar o pidgin2gajim.py, ele irá carregar automaticamente os seus arquivos OTR do Pidgin do diretório ~/.purple/. Em seguida, criará um novo diretório relativo ao seu local atual chamado “output” e salvará nele os arquivos no formato-Gajim .key3 e .fpr para cada conta que você tiver no Pidgin.

Depois, você precisará mover manualmente os arquivos .key3 e .fpr do diretório “output” para o ~/.local/share/gajim/. Será preciso alterar um pouco o nome dos arquivos (por exemplo, retirar o prefixo “nome_de_usuária@”).

Copiei um bom tanto de código do projeto “otrfileconverter” do Guardian Project para as partes de carregar e manusear o arquivo de chave privada OTR do Pidgin: https://github.com/guardianproject/otrfileconverter

Como Usar

Primeiro, instale o Gajim:

sudo apt-get install gajim

Rode-o e configure suas contas XMPP (jabber). Clique em Editar -> Plugins e mude para a aba Disponível (Available). Baixe e instale o plugin do OTR. (Caso você queira usar novas chaves ou gerá-las pela primeira vez, faça o seguinte: na janela de plugins, selecione o Off-The-Record (OTR) e clique em Configurar para abrir as configurações do plugin. Para cada conta XMPP, gere uma nova chave OTR; feito isso, feche completamente o Gajim.)

Em seguida, baixe e rode o script pidgin2gajim:

$ git clone https://github.com/micahflee/pidgin2gajim.git (copia o conteúdo do projeto que tá no github. Tem que tem o "git" instalado.)

$ cd pidgin2gajim

(agora instale a biblioteca python-virtualenv)
$ sudo apt-get install python-virtualenv
$ virtualenv env
$ . env/bin/activate 
$ pip install pyparsing
$ pip install python-potr
$ ./pidgin2gajim.py
$ ls -l output
$ deactivate

Agora sobrescreva suas chaves OTR do Gajim com as criadas a partir das do Pidgin que estão no diretório output.

Seria algo assim:

# descrição do comando: copiar chave_em_output para novo_nome_chave_outro_lugar
$ cp output/micah@jabber.ccc.de.key3 ~/.local/share/gajim/jabber.ccc.de.key3
$ cp output/micah@jabber.ccc.de.fpr ~/.local/share/gajim/jabber.ccc.de.fpr

O nome “fulana” dos arquivos fulana.key3 e fulana.fpr tem que ser o mesmo nome que está configurado na conta no Gajim.

Abra o Gajim novamente. Se tudo tiver corrido bem, suas chaves OTR já devem estar no Gajim. Pronto.

Senhas fáceis para você memorizar e que nem a NSA conseguirá desvendar

Copiado do site do The Intercept Brasil

Micah Lee

2016-12-29

Está ficando cada vez mais fácil proteger sua privacidade digital. Os iPhones agora criptografam grande parte de suas informações pessoais, seus discos rígidos no Mac e no Windows 8.1 são automaticamente bloqueados; e até mesmo o Facebook, que faturou uma fortuna com o compartilhamento aberto de informações, oferece criptografia de ponta a ponta na ferramenta de bate-papo WhatsApp. Mas nenhuma dessas tecnologias oferece a proteção esperada se você não souber criar uma frase secreta segura.

Uma frase secreta é como uma senha, apenas mais longa e mais segura. Funciona essencialmente como uma chave de criptografia que pode ser memorizada. Ao começar a se importar mais com sua privacidade e a aperfeiçoar seus hábitos de segurança no uso de computador, um dos primeiros desafios a ser enfrentado será a criação de uma frase secreta. Sem ela não é possível se proteger adequadamente.

Por exemplo, quando você criptografa seu disco rígido, um pendrive ou um documento em seu computador, a criptografia será tão segura quanto a sua frase secreta. Se optar por usar um banco de dados de senhas, ou um recurso de salvamento de senhas em seu navegador, crie uma frase secreta principal segura para protegê-los. Ao criptografar seus e-mails com PGP (Pretty Good Privacy – privacidade muito boa), sua chave privada é protegida com uma frase secreta. Em seu primeiro e-mail para Laura Poitras, Edward Snowden disse: “Confirme se ninguém teve acesso a uma cópia de sua chave privada e que ela usa uma frase secreta segura. Presuma que seu adversário é capaz de realizar um trilhão de tentativas por segundo”.

Neste artigo, descrevo uma forma simples de criar frases secretas extremamente seguras e fáceis de lembrar. É a última matéria de uma série em desenvolvimento de artigos que oferecem soluções — parciais e imperfeitas, mas úteis — para os muitos problemas relacionados à vigilância que investigamos agressivamente no The Intercept.

Acontece que criar uma frase secreta segura simplesmente pensando em uma é incrivelmente difícil e, se seu o adversário for realmente capaz de realizar um trilhão de tentativas por segundo, é provável que você não seja tão bem-sucedido. Se você usar uma sequência de caracteres completamente aleatória, a frase secreta pode ser segura, mas será angustiante memorizá-la (e, honestamente, um desperdício de energia cerebral).

Mas, felizmente, a dicotomia entre usabilidade e segurança é falsa. Há um método para gerar frases secretas impossíveis de serem adivinhadas até pelos adversários mais poderosos, mas possíveis de serem memorizadas por humanos. O método é chamado Diceware, e seu nome é baseado em um conceito matemático simples.

Seu macete para criar uma senha secreta não é inteligente

Com frequência, as pessoas escolhem frases baseadas na cultura pop — letras de músicas ou uma frase de um filme ou livro — e embaralham as letras ligeiramente, acrescentando maiúsculas, pontuação ou usando a primeira letra de cada palavra dessa frase. Algumas dessas frases secretas podem parecer seguras e completamente impossíveis de serem adivinhadas, mas é fácil subestimar a capacidade de quem se dispõe a adivinhá-las.

Imagine que seu adversário tenha obtido as letras de todas as músicas que já foram escritas, os roteiros de todos os filmes e programas de TV, os textos de todos os livros digitalizados até hoje e todas as páginas da Wikipedia, em todos os idiomas, e tenha usado esse material como base para sua lista de adivinhação de frases secretas. Sua frase resistiria?

Se você criou uma frase secreta tentando pensar em uma frase boa, há grandes chances de que ela não seja suficientemente segura para resistir a uma agência de espionagem. Por exemplo, você pode ter pensado em “Ser ou não ser/ ESSA é a Questão”. Se eu acertei, garanto que você não foi a primeira pessoa a usar essa frase batida de Shakespeare como frase secreta, e seu adversário sabe disso.

Passagens de Shakespeare não são seguras como frases secretas por conta de um fenômeno conhecido como entropia. Pense em entropia como se fosse aleatoriedade: um dos conceitos mais importantes em criptografia. Acontece que humanos são criaturas que seguem padrões e são incapazes de criar algo de forma verdadeiramente aleatória.

Mesmo se você não usar uma passagem de livro, mas criar uma frase em sua cabeça aleatoriamente, a frase estará longe de ser aleatória, porque a língua é previsível. Como explicou uma pesquisa sobre o assunto, “usuários não têm a capacidade de selecionar frases com palavras completamente aleatórias e são influenciados pela probabilidade de uma frase ocorrer na língua naturalmente”, ou seja, as frases secretas escolhidas por usuários não contêm o nível de entropia que você gostaria que tivessem. Seu cérebro tende a continuar a usar expressões e regras gramaticais comuns que reduzem a aleatoriedade da frase. Por exemplo, sua mente tende a colocar um advérbio depois de um verbo e vice-versa de forma desproporcional em relação à máquina, ou, para citar um dos casos da pesquisa mencionada acima, tende a colocar a palavra “maravilhosa” depois de “cidade”.

Frases secretas baseadas em cultura pop, fatos sobre sua vida ou qualquer coisa que venha diretamente de sua mente são muito mais fracas do que frases secretas embutidas de entropia verdadeira, coletada na natureza.

Esse vídeo curto, mas esclarecedor, da aula gratuita de criptografia da Khan Academy explica bem esse ponto.

Crie uma frase secreta segura com o Diceware

Apenas quando admitir que suas frases secretas antigas não são tão seguras quanto você imagina, você estará pronto para usar a técnica Diceware.

Primeiro, abra uma cópia da lista de palavras do sistema Diceware, que contém 7.776 palavras em português — 36 páginas que podem ser impressas em casa. No canto superior direito de cada página existem dois números separados por uma vírgula. Eles representam os dois primeiros resultados que determinarão a página a ser usada para selecionar aleatoriamente a primeira palavra. Os três resultados seguintes do lançamento de dados representarão a palavra a ser usada. Veja um exemplo na imagem abaixo:

Agora, pegue alguns dados de seis lados (isso mesmo, dados de verdade), lance-os diversas vezes e anote os números obtidos. Você precisa de cinco lançamentos de dados para chegar à primeira palavra da sua frase secreta. Dessa forma, você está gerando entropia, isto é, extraindo a mais pura aleatoriedade da natureza e a transformando em números.

Se lançar os dados e tirar 6,5,6,6,5, abra a lista de palavras Diceware na página 6,5, na linha 665 e chegará à palavra “vesgo”. (Ignore o acento para evitar problemas de configuração de teclado.) A palavra “vertice” será a primeira a compor sua frase secreta. Repita o processo acima. Você precisa de um frase secreta com sete palavras se estiver preocupado com a NSA, a Abin ou espiões chineses tentando adivinhar sua senha. (Veja mais detalhes sobre a lógica por trás desse número abaixo.)

Usando o Diceware, você chegará a uma frase secreta parecida com “vertice nutrir pardo paiol volupia”, “faringe caduco bulbo preciso voo afoito” ou “abade chiapas zunir olhado normal gestual arengar”. Se precisar de uma frase secreta mais segura, use mais palavras. Se uma frase secreta menos segura for aceitável para sua finalidade, você pode usar menos palavras.

As frases secretas do Diceware são suficientemente seguras?

A segurança de uma frase secreta baseada na técnica Diceware depende de quantas palavras ela contém. Se você selecionar uma palavra (em uma lista de 7.776 palavras), as chances de um invasor adivinhá-la são da ordem de 1 para 7.776. Seu invasor precisará tentar ao menos uma vez, no máximo, 7.776 vezes, e, em média, 3.888 vezes (já que há uma chance de 50% do invasor adivinhar sua palavra quando chegar à metade da lista).

Mas se você escolher duas palavras para sua frase secreta, a extensão da lista de frases possíveis aumenta exponencialmente. A chance de o invasor adivinhar sua primeira palavra corretamente ainda é de 1 em 7.776, mas para cada primeira palavra possível, a chance de a segunda palavra ser adivinhada corretamente também é de 1 em 7.776. Além disso, o invasor não saberá se a primeira palavra está correta até que adivinhe a frase secreta completa.

Portanto, com duas palavras, há 7.776²ou 60.466.176 frases secretas possíveis. Em média, uma frase secreta de duas palavras baseada na técnica Diceware pode ser adivinhada após 30 milhões de tentativas. Uma frase secreta com cinco palavras, que teria 7.776⁵ frases secretas possíveis, pode ser adivinhada após uma média de 14 quintilhões de tentativas. (O número 14 seguido de 18 zeros.)

A dimensão da aleatoriedade de uma frase secreta (ou de uma chave de criptografia, ou de qualquer tipo de informação) é medida através de bits de entropia. Você pode medir a segurança de sua frase secreta de acordo com quanto bits de entropia ela contém. Cada palavra na lista Diceware equivale a aproximadamente 12,92 bits de entropia, já que 2^12,92 é igual a 7.776, aproximadamente. Portanto, se você escolher sete palavras, chegará a uma frase secreta com aproximadamente 90,5 bits de entropia, já que 12,92 vezes 7 é igual a 90,5, aproximadamente.

Em outras palavras, se um invasor souber que você está usando uma frase secreta de sete palavras com base na técnica Diceware e selecionarem sete palavras aleatórias da lista Diceware, a cada tentativa, o invasor terá a chance de adivinhar sua frase secreta de 1 em 1.719.070.799.748.422.591.028.658.176 por tentativa.

De acordo com o alerta de Edward Snowden em janeiro de 2013, com a possibilidade de um trilhão de tentativas por segundo, essa frase secreta levaria 27 milhões de anos para ser adivinhada.

Nada mau para uma frase secreta como “abade chiapas zunir olhado normal gestual arengar”, que é perfeitamente possível de ser memorizada pela maioria das pessoas. Compare a frase secreta acima a “d07;oj7MgLz’%v”, uma senha aleatória que contém menos entropia do que a frase secreta de sete palavras com base na técnica Diceware, mas que é muito mais difícil de ser memorizada.

Uma frase secreta de cinco palavras, por sua vez, seria adivinhada em pouco menos de seis meses, enquanto uma frase secreta de seis palavras levaria, em média, 3.505 anos para ser adivinhada, com base em um trilhão de tentativas por segundo. Levando em consideração a Lei de Moore, a capacidade dos computadores cresce constantemente — em pouco tempo, um trilhão de tentativas por segundo será considerado um desempenho lento — portanto, é importante manter suas frases secretas um passo à frente dos avanços tecnológicos.

Com um sistema como esse, não importa a lista usada para escolher suas palavras. Nem mesmo as palavras em si importam (palavras com duas letras são tão seguras quanto palavras de seis letras). O importante é a extensão da lista de palavras e que cada palavra na lista seja única. A probabilidade de uma frase secreta composta por essas palavras selecionadas de forma aleatória ser adivinhada diminui exponencialmente a cada palavra acrescentada, logo, é possível criar frases secretas que nunca serão adivinhadas.

Preciso mesmo usar os dados?

Esse é um debate mais extenso, mas a resposta objetiva é: o uso de dados de verdade oferece uma garantia muito maior de que nada deu errado. Mas é uma tarefa demorada e entediante, e o uso de um computador para gerar números aleatórios é quase sempre suficiente.

Mas infelizmente, parece não haver softwares fáceis de usar disponíveis para ajudar na geração de frases secretas com base na técnica Diceware, apenas alguns projetos no GitHub capazes de gerar frases secretas Diceware com base em linhas de comando que podem servir a usuários avançados. Fique atento para um artigo futuro sobre isso.

Como memorizar sua frase secreta maluca (sem ficar maluco)

Após gerar sua frase secreta, o próximo passo é memorizá-la.

Recomendo que você anote sua nova frase secreta em um pedaço de papel e o carregue com você por quanto tempo for necessário. Cada vez que digitar a frase secreta, tente usar a memória primeiro, mas consulte a anotação se precisar. Supondo que você digite a frase secreta duas vezes por dia, não deve levar mais de dois ou três dias para que a anotação não seja mais necessária e, portanto, destruída.

Digitar sua frase secreta regularmente permite que você a memorize por meio de um processo conhecido como “repetição espaçada”, de acordo com uma pesquisa promissora sobre frases secretas de alta entropia.

Agora que você sabe como usar frases secretas, saiba quando evitá-las

As frases secretas do Diceware são ótimas para descriptografar algo localmente em seu computador, como seu disco rígido, sua chave privada PGP ou seu banco de dados de senhas.

Você não precisa tanto delas para entrar em um site na Internet. Para isso, o uso de frases secretas de alta entropia tem um benefício menor. Invasores nunca conseguiram executar um trilhão de tentativas por segundo se a cada tentativa for preciso entrar em contato com um servidor na Internet. Em alguns casos, os invasores controlam ou invadem servidores remotos — de forma que podem obter sua frase secreta assim que você a digitar, independente do nível de criptografia da frase.

Para entrar em sites e outros servidores, use um banco de dados de senhas. Eu gosto do KeePassX porque é gratuito, usa código aberto, funciona em diversas plataformas e nunca armazena nada na nuvem. Basta trancafiar todas as suas senhas com uma frase secreta gerada por meio do Diceware. Use seu gerenciador de senha para criar e armazenar senhas diferentes e aleatórias para cada site que você usa.

Como usamos o Diceware para proteger nossas senhas

The Intercept conta com o servidor SecureDrop, um sistema de envio de informações confidenciais de código aberto que facilita o contato conosco e protege o anonimato de nossas fontes.

Quando uma fonte de informações nova visita nosso site SecureDrop, recebe um codinome composto de sete palavras aleatórias. Após enviar mensagens ou documentos, eles podem usar o codinome para ler as possíveis respostas de nossos jornalistas.

Na verdade, esse codinome age como uma frase secreta de criptografia para a fonte gerada por meio do método Diceware com um gerador de números aleatórios provido de segurança digital criptográfica, em vez de se valer do lançamento de dados. O dicionário do SecureDrop tem apenas 6.800 palavras (algumas palavras foram removidas pelos desenvolvedores por serem potencialmente ofensivas) fazendo com que cada palavra tenha aproximadamente 12,73 bits de entropia. Mas isso é mais do que suficiente para impedir que alguém descubra o codinome de uma fonte, a menos que tenha acesso a recursos computacionais poderosíssimos e alguns milhões de anos em mãos.

Frases secretas simples e aleatórias, em outras palavras, são tão eficientes na proteção de nossas fontes quanto na segurança de seu computador. É uma pena vivermos em um mundo onde cidadãos comuns precisem de tamanha proteção, mas enquanto esse for o caso, o sistema Diceware permite que nos protejamos com uma segurança no nível da CIA, sem ter que passar por um treinamento secreto avançado.

Agradecimento a Garrett Robinson por conferir meus cálculos matemáticos e evitar que eu cometesse erros tolos.