‘Segurança e Privacidade’ (Parte 3) – Dicas para fugir ao controlo da google e outras

[Para quem não queira ler esta versão director's cut ;) no Debian Dicas têm a versão curta!
Agradecem-se criticas e mais dicas de segurança e privacidade]


Após a triste intervenção do CEO da google
, mas a qual agradecemos pelos esclarecimentos sobre o que o manda chuva da google acha da privacidade dos seus utilizadores, resolvi criar uma entrada com alguma informação sobre como nos proteger-mos da espionagem e invasão da nossa privacidade por parte da empresa deste senhor e não só.

As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It’s true for cryptographic algorithms, security protocols, and security source code. For us, open source isn’t just a business model; it’s smart engineering practice. Bruce Schneier, Crypto-Gram 1999/09/15

Confesso desde já que sou utilizador de algumas das ferramentas da google, das quais na sua globalidade tenho uma opinião positiva.
Há muito que só uso serviços da google e como tal sobre outros não me posso pronunciar, aconselho no entanto a seguirem estas regras básicas que Bruce Schneier colocou no seu blog, alguns dos serviços que usei foram o hotmail quando ainda era um produto de qualidade que usava nos seus servidores o poderoso FreeBSD, o qual deixei de usar a quando da compra pela microsoft, também já usei os serviços da yahoo.

Como creio que já havia mencionado, cada vez mais devido a todos estes serviços online disponibilizados por empresas como a google, yahoo, microsoft e a cloud da amazon, a nossa utilização de um computador ligado à rede resume-se quase e só ao uso de um browser e eventualmente de um programa de conversação, Instant Messaging, como por exemplo o Pidgin, msn, ou até do skype, por isso mesmo é que a google se prepara para lançar o seu ChromeOS.

Os dois últimos, msn e skype [German Proposal Gives A New Perspective On 'Spyware'] se pretendem ter privacidade e segurança por e simplesmente esqueçam-nos, ou melhor, se não os usam não os instalem e se os têm instalados desinstalem-nos.

E deixem-se de choramingar porque como em tudo na vida, a segurança e a privacidade têm um custo, se não estão dispostos a pagarem-no, podem parar neste momento de ler o resto.

Como escrevi nas entradas anteriores, se não usam um sistema operativo livre, deveriam seriamente começar a pensar em usar, uma vez que são sistemas seguros e que respeitam a privacidade dos seus utilizadores, nestes sistemas quem manda é o utilizador e não o sistema ou a empresa que o produziu como são bem patentes os casos da microsoft e da apple, que acham que os utilizadores é que têm de fazer o que suas excelências querem.

Peguem num LiveCD de uma qualquer distro de GNU/Linux ou de um BSD e experimentem, não dói! ;) nem sequer precisam de instalar!

Passando agora para o browser, esqueçam tudo o que tenha a ver com a microsoft (m$-IExplorer), se possível usem um browser que seja software livre, um Mozilla Firefox e seus derivados (a que chamarei apenas de Mozilla), Konqueror (KDE), Camino (Mozilla para macosx), GNU Icecat (blog), Iceweasel e Swiftweasel (estes só para GNU/Linux), o Opera é seguro mas é proprietário e o seu código fonte fechado, logo nunca se sabe se não terá algo escondido.

Quanto ao google Chrome apesar de ser seguro e de ser Open Source, esqueçam, uma vez que tem muita coisa ligada que permite à google saber tudo o que fazem com ele, caso gostem mesmo dele, nesse caso têm uma alternativa que usa o código do google chromium/chrome e que surgiu exactamente para colmatar os problemas de invasão de privacidade que o Chrome tem, trata-se do Srware Iron que na sua página explica porque devemos fugir do Chrome.
A versão para GNU/Linux encontra-se no forum.

A minha opção tem recaído sobre estes quatro, GNU Icecat e Debian Iceweasel, Swiftweasel e Iron, principalmente os três primeiros por causa do que irei falar a seguir, as extensões de segurança.
Nos últimos tempos o meu favorito é mesmo o GNU Icecat que irei compilar seguindo estas dicas do Bruno, e até porque:

In addition, GNU IceCat includes some privacy protection features, included in a separate addon:
  1. Some sites refer to zero-size images on other hosts to keep track of cookies. When IceCat detects this mechanism it blocks cookies from the site hosting the zero-length image file. (It is possible to re-enable such a site by removing it from the blocked hosts list.)
  2. Other sites rewrite the host name in links redirecting the user to another site, mainly to “spy” on clicks. When this behavior is detected, IceCat shows a message alerting the user.

To see these new features in action, some test pages are available.

De uploads

Mas antes de ir a elas podemos começar por desligar algumas coisas na nossa conta do google, o Histórico das nossas andanças pela rede, que está ligado por omissão e que não deveria de estar, nós é que deveríamos ou não optar por o ligar.
Para mudar tudo isto, o mais simples é acederem ao google dashboard.

Dirijam-se ao Histórico da Web e apaguem tudo, de seguida desactivem esse histórico para que o google não mais guarde essa informação.
É claro que no resto dos serviços, usem do vosso bom senso e dêem o minimo possível de informações ao google ou a qualquer outro site/empresa.

E já que estão com a mão na massa, vão até às configurações do vosso mozilla e desliguem mais algumas coisas, como por exemplo na aba CONTENT desliguem a java e o java script (a não ser que usem o NoScript), na aba Privacy, escolham Use custom settings for history, diminuam o histórico ou configurem-no para apagar quando fecham o browser.

Configurem os browsers para apagarem os cookies quando os fecham e só aceitem cookies dos sites que pretendem, uma extensão boa para a qualquer momento apagar ou barrar (GNUzilla privacy extension) os cookies é a CookieSafe.

De uploads

Se possível activem a gestão de passwords por forma a terem uma master password, podem facilmente em GNU/Linux criar passwords através do comando apg (a password generator) ou o pwgen todos disponíveis na Debian e derivadas com um #apt-get install apg pwgen, aqui têm uma lista deste tipo de software.
Podem ainda guardarem as vossas passwords encriptadas e gerarem outras recorrendo ao software livre e multiplataforma KeePassX (GNU/Linux, ms-windows e macosx) ou ainda recorrendo a estas duas extensões, Password Exporter, que permite exportar e importar passwords encriptadas bem como à pwgen Password Generator.
Uma das vantagens do KeePassX é que o podem usar numa pen USB.

De uploads

O passo seguinte é abandonarem o google para pesquisas, usem em vez dele o Scroogle que apesar de usar o google para obter os dados que pesquisamos, protege os utilizadores e ainda por cima pesquisamos através de uma ligação segura SSL, outra hipótese é o ixquick que não guarda absolutamente nada nos seus logs, do que nós buscamos, usa ligação SSL e até recebeu o selo de privacidade europeu.
Aproveito para frisar que sempre que haja a possibilidade de usarem uma ligação SSL, prefiram-na, um dos exemplos é a wikipedia, todos os serviços que a wikimedia disponibiliza online podem ser acedidos via SSL.

Os browsers modernos permitem ainda outro tipo de privacidade relativamente ao que escrevem e deixam nos vossos discos rígidos, para usarem desta faculdade nos Mozilla basta irem a Tools/Ferramentas e escolherem a opção Start Private Browsing/iniciar navegação privada, no Srware Iron têm no canto superior direito a New Incognito Window.

Uma ferramenta muito importante para removerem os cookies do Flash, os LSO, uma vez que estes nunca são removidos pelo browser, é a BetterPrivacy, podem também ver a lixeira que têm no vosso disco rígido indo no GNU/Linux a ~/.adobe/Flash_Player/AssetCache/ e aqui ~/.macromedia (notem o . ponto no inicio, uma vez que se trata de uma directoria não visível) nos sistemas da microsoft fica aqui LSO files are stored typically with a “.SOL” extension, within each user’s Application Data directory, under Macromedia\FlashPlayer\#SharedObjects e no Mac Mac OS X: For Web sites, ~/Library/Preferences/Macromedia/FlashPlayer. For AIR Applications, ~/Library/Preferences/[package name (ID)of your app] and ~/Library/Preferences/Macromedia/FlashPlayer/macromedia.com/Support/flashplayer/sysOS X: For Web sites, ~/Library/Preferences/Macromedia/FlashPlayer. For AIR Applications, ~/Library/Preferences/[package name (ID)of your app] and ~/Library/Preferences/Macromedia/FlashPlayer/macromedia.com/Support/flashplayer/sys

Se quiserem aumentar o ruído no vosso estilo de navegação, para que o google deixe de saber o que vocês andam a fazer, existe uma interessante extensão, trata-se da TrackMeNot, que protege os utilizadores contra o search data profiling/pesquisa de dados de perfis.
Claro que se quiserem ir mais longe, dá um pouco mais de trabalho e torna a ligação mais lenta, podem recorrer à tecnologia do TOR e Privoxy e a extensão Torbutton, mas isto ficará para outra altura, para já podem recorrer também ao uso de proxys anónimos [lista]usando a extensão PhProxy/Phzilla, podem fazer alguns testes aqui e aqui.

De uploads

Já agora, relativamente ao vosso mail no Gmail/google mail, podem e devem executar um backup dele para os vossos discos rígidos, existem dois métodos um que é transversal e que pode ser executado na maior parte dos sistemas operativos que o Fetchmail suporta e outro para GNU/Linux e outros nix’s que é o getmail, ambos Software Livre.
Aqui podem ver como se usa o getmail e aqui podem verificar como se usa o Fetchmail em ms-windows e em qualquer *nix.

Fica ainda a dica para quando o google fica adoentado e não conseguem aceder a ele via web, primeiro experimentem usar a versão Basic HTML, caso não dê, espero que tenham activado o acesso IMAP e POP no vosso Thunderbird ou Kmail, com quase toda a certeza têm acesso a ele, as configurações para isso estão aqui.

Porque existem dados relativos a passwords, contas bancárias, conversas, fotografias, vídeos, etc que nunca devemos enviar como se tratasse de um postal dos correios, e é disso mesmo que se trata, porque razão não temos online os mesmos comportamentos que temos na nossa vida fora da rede?!
A melhor maneira de nos proteger-mos quer da invasão da nossa privacidade quer mantendo seguros certos dados que enviamos, o melhor que temos a fazer é usar encriptação/cifra, nos nossos mails e não só, uma vez que devemos sempre guardar e muito bem guardados certos dados que temos no disco rígido.

Para além de proteger o que é nosso, ainda permite através de uma assinatura digital provar que fomos realmente nós que enviámos determinados dados ou mensagem.

Para tal recomendo o uso do excelente software livre de cifra, baseado na norma OpenPGP, o GnuPG.

Este software é multiplataforma como tal toda a gente o pode usar, incluindo os utilizadores que persistem no erro de usar o ms-windows ;) trata-se do GPG4Win, o GnuPG possui ainda diversas ferramentas gráficas para a sua utilização, como só uso Software Livre a minha favorita é a do KDE, a KGpg, para o software da empresa monopolista têm a GnuPG Shell, para a wannabe monopolista, a apple e o seu macosx, têm aqui o Mac GNU Privacy Guard.

Mas até podem usar o GnuPG directamente no vosso programa de mail, Thunderbird (através da extensão Enigmail), Kmail entre outros, embora recomende estes dois e o leve ClawsMail (todos eles já possuem os plugins de encriptação) e até directamente na vossa conta web do Gmail, através da extensão FireGPG.

Para saberem como se usa o GnuPG, uma vez que ainda por aqui não escrevi nada sobre o tema, recomendo darem olhada a estas dicas para GNU/Linux bem como o manual do GnuPG, para utilizadores de ms-windows dêem olhada às screenshots e vídeo do GnuPG Shell, é facílimo por isso não há desculpa para não usar.

Por fim uma lista de extensões de segurança e privacidade, tendo em conta o seguinte, instalem só as que necessitam e que usam, tudo o resto só aumenta quer o gasto de RAM por parte do browser quer os vectores de ataque, tornando-o mais inseguro, isto é válido para o resto do software que tenham instalado; recomendo ainda que antes de tudo dêem olhada à lista das extensões recomendadas pelo projecto GNUzilla.

Seguindo por ordem alfabética tal como aparecem no meu GNU Icecat:

Caso desejem depois de instaladas fazer um backup delas e até exportá-las, é para isso que servem as extensões FEBE e CLEO.

Trust no one!

Disclaimer: Todas as dicas destas entradas têm um único propósito, defender o direito fundamental de qualquer ser humano relativo à sua liberdade e à sua privacidade.

Como é óbvio não me responsabilizo pela maneira ou o uso que façam das mesmas, bem como pela eventual perda de dados.

Convém frisar que ter direito à privacidade não implica que se tenha algo a esconder ou que se vá praticar qualquer crime.

Quando enviamos uma carta, uma encomenda pelos vulgares correios estas também vão fechadas, respeita-se a privacidade de quem as envia e de quem as recebe, presume-se que quer o emissor quer o receptor são pessoas idóneas e com direito à privacidade.

Porque razão não se respeita o mesmo direito no mundo digital da rede?!

Porque razão se coloca em causa o uso de criptografia e de VPN’s por particulares, alegando que terão algo a esconder?

Há que ter sempre em mente que Todos Somos Inocentes até Prova em Contrário e que o ónus dessa prova nunca está connosco mas sim do lado de quem nos acusa.

Trust no one!

Powered by ScribeFire.

Como verificar links curtos – short URL

Com o aparecimento de serviços como o Identi.ca e o Twitter, apareceram também serviços que permitem reduzir o tamanho dos links por forma a gastarem menos caracteres, o meu favorito é o http://ur1.ca que usa uma licença livre, nomeadamente a GPL.

Apesar de serem muito úteis, uma vez que não dá para perceber para onde o link encurtado nos está a levar, este pode causar problemas de segurança, malware, spyware etc.

Como tal existem formas de contrariar este tipo de coisas.
Para links que estejam visiveis, ou seja links que se possam logo clicar, como por exemplo este http://ur1.ca/femq, podem usar directamente a extensão para Firefox, LongURLplease.

Caso o link não possa ser clicado como por vezes acontece em alguns sites, onde aparece apenas escrito sem formatação html, como isto http://ur1.ca/fen1 podem usar um site que expande e mostra para onde esse link encurtado está a apontar, um dos sites é o http://longurl.org/

Aconselha-se ainda o uso das extensões Adblock Plus e NoScript, especialmente esta última.

Outros exemplos:

Shortened URLs: the real dangers behind and how to avoid troubles « mxlab – all about anti virus and anti spam

The dark side is that with these shortening services you are no longer able to see directly where your browser will be pointed to. Shortened URLs could lead to the following security risks.

Powered by ScribeFire.

Lei do cibercrime uma vírgula informática para proteger boys e girls incompetentes…

Lendo algumas das ‘notícias’ que por aí circulam relativamente ao buraco que são as redes e sistemas informáticos das entidades Governamentais deste país, tal como afirmou o professor José Tribolet do IST e sobre a sua mais que possível infiltração por uma rede criminosa com origem na China, usando uma rede designada de Ghostnet e sobre a qual já por aqui falei, rede essa que terá sido descoberta devido a uma investigação à infiltração dessa rede nos sistemas do Dalai Lama na Índia, oferece-me dizer o seguinte.

http://2.bp.blogspot.com/_7i3AwV5S9-U/R_a2t52OMQI/AAAAAAAAAqY/IXgGT3nFrt4/s400/avestruz.jpg

Mais uma vez parece que os senhores das entidades governamentais visadas, em vez de protegerem convenientemente os sistemas informáticos, de corrigir as muitas falhas, que como o professor Tribolet já o afirmou, são um inúmeras, preferem usar uma lei pessimamente mal feita e que não serve para absolutamente nada, a não ser para os incompetentes boys e girls
arranjarem bodes expiatórios para justificar a sua incompetência.

Mas creio que o problema é mais grave estes senhores e senhoras com esta lei do cibercrime, criaram uma espécie de vírgula informática a qual permite fugas de informação cirúrgicas consoante dá jeito a determinado personagem ou
grupos de interesses.

Pelo que li e pelo que está escrito no relatório da Trusted, os seus técnicos acederam directamente à Ghostnet e foi a partir dela que obtiveram os tais documentos confidenciais.

A investigação realizada ao longo de aproximadamente 6 meses, consumiu dezenas de horas de trabalho, e pretende claramente confirmar que alguns órgãos do estado português sofreram (e possivelmente ainda sofrem), intrusões graves nos seus sistemas informáticos, estando a protecção de dados sensíveis e confidenciais em causa.

Através deste estudo cujo sucesso se deve à nossa infiltração bem sucedida em computadores de uma rede de espionagem digital (“GhostNet”), foi possível verificar a existência de documentos altamente sensíveis, retirados de computadores do Estado Português.
Durante o período em que foi possível ter acesso a dois “GhostNet Controllers”, conseguiu-se identificar diversos computadores do Estado Português infectados, e retirar dos “GhostNet Controllers” diversos documentos entre os quais:

· Documentos e informação altamente sensível do Ministério da   Justiça (alguns relacionados com a própria rede do sistema   eleitoral).
· Documentos e informação altamente sensível da Direcção Geral de Registos e Notariado.
via GhostNet in Portugal

A trusted vai ser processada, os seus técnicos foram constituídos arguidos, porque acederam a uma rede mafiosa que ainda por cima se encontra fora de qualquer parte do território português, logo sem estar abrangida por qualquer lei do Estado Português? Devo estar na twilight zone…

[update: o J M Cerqueira Esteves, chamou-me à atenção para este facto, "In March, France became the third developed nation after Spain and Portugal to sign an extradition treaty with China."]

Questiono-me porque razão a Polícia Judiciária pactua com esta vergonha?
Investigue-se sim, mas pelo menos que o façam com pés e cabeça e que não digam disparates nas suas press releases.

No decurso da operação foram aprendidos dispositivos electrónicos, dados informáticos e software de cifra e encriptação“; Meus caros por acaso saberão do que estão a falar?

Depois temos ainda dois pormenores do artigo do jornal Público, segundo os quais, parece que um dos motivos de desconfiança da polícia Judiciária relativamente aos técnicos informáticos em causa é que eles “não possuem habilitações académicas”, para os senhores jornalistas do jornal público, sem sombra de dúvidas?!, licenciados por uma qualquer escola de pseudo jornalismo deste país, a ausência de habilitações académicas é sinónimo de incapacidade e burrice! Haja paciência.

O segundo pormenor é relativo à teoria da Polícia Judiciária e de uns supostos especialistas contactados pelo Público, segundo a qual , estes dois técnicos, burrinhos coitados, por não terem uma qualquer licenciatura, não poderiam ter entrado na Ghostnet em virtude desta há mais de seis meses ter sofrido diversos ataques por diversas entidades, incluindo Universidades  que a tentariam desmantelar.
Pensemos no seguinte, após ter sido descoberta, esta rede deixou de ter o valor que tinha para os seus criadores, não será concebível que após terem reunido os dados que quiseram estes a tenham deixado um pouco ao abandono, ainda por cima após os diversos ataques que esta sofreu, foi-se tendo acesso a mais informação sobre esta, logo sendo mais fácil de atacar?!

A ver vamos, mas infelizmente quem não sai bem nesta fotografia são os diversos técnicos e especialistas que os diversos orgãos Estatais possuem, presumo que alguns deles sejam muito competentes; outros não passarão de boys and girls, muito concretamente os pseudo políticos que cozinharam e aprovaram a Lei do Cibercrime, a partir de hoje designada por A Lei da Vírgula Informática!

Saber mais:

[via esta feed do FriendFeed: Fwd: PJ investiga alegadas intrusões na rede informática do Governo e dos ministérios - http://www.publico.clix.pt/Sociedade/pj-investiga-alegadas-intrusoes-na-rede-informatica-do-governo-e-dos-ministerios_1406695 (via http://ff.im/aqAoU) e J M Cerqueira Esteves]

Powered by ScribeFire.

Quem é o czar da segurança informática da Presidência da República?

[update: Este interessante artigo do CM, merece ser aqui mencionado, "Tribunais: Computadores da investigação criminal são queijo suíço", no qual se pode ler: "O Citius não é, no entanto, o único problema nos sistemas informáticos
da Justiça.
Relatórios a que o CM teve acesso arrasam a maneira como
foi feita a reforma tecnológica no ministério
, inicialmente assente no
sistema operativo Linux, escolhido pelo ITIJ em 2005.
Nessa altura,
avançou a reforma e foi criado um produto designado por ‘Linius’,
baseado num projecto de divulgação do Linux em língua portuguesa
conhecido por Caixa Mágica.
Este projecto, porém, passou a ser progressivamente abandonado quando o
Governo de Sócrates começou a celebrar protocolos com a Microsoft, em
2007.
"]

O título é um bocado exagerado, mas ao ler as notícias lembrei-me da oligarquia dos EUA e dos czars do Department of Homeland Security e a proposta de Obama para um CyberSecurity czar e não pude deixar de relacionar as duas coisas….

Afinal de contas a NWO está em todo o lado, até nas trapalhadas cá do sítio ;)

Mas indo à notícia em concreto, segundo noticiam algumas das centrais de propaganda do putativo engº Sócas, o Presidente da República terá desde o início do verão, eventualmente confirmando as tais suspeitas de insegurança informática, afastado o anterior director da área de informática da Presidência, tendo-o substituído pelo anterior director do CEGER e antigo czar de Durão Barroso para esta mesma área, José Luís Machado Seruya.

Cavaco Silva afastou director de informática no início do Verão – TSF

A Presidência da República reforçou em Junho a atenção prestada aos computadores do Palácio de Belém, criando uma nova unidade, chamada Direcção de Serviços de Informática.

Presidência tem uma direcção de serviços de informática > Política > TVI24

A Presidência da República tem desde há quatro meses uma nova «Direcção de Serviços de Informática», criada através de um decreto-lei aprovado em Conselho de Ministros em Abril e promulgado pelo chefe de Estado no mês seguinte.
(…)
A nova unidade, designada «Direcção de Serviços de Informática», tem como função «planear e coordenar as actividades relacionadas com a estratégia e os sistemas e tecnologias e informação da Secretaria-Geral da Presidência da República, com o objectivo de garantir a sua qualidade e a sua optimização».

Apesar das diversas buscas que efectuei, não consegui encontrar em lado nenhum o Currículo do senhor em causa, segundo a TVI “O responsável é licenciado em Teologia, mas desde os anos 80 está ligado ao sector da informática, tendo passado, entre outras empresas, pela UNICRE, onde foi analista-programador, e pela Companhia de Seguros Inter-Atlântico, onde foi director de informática.”

Após mais umas googladas lá encontrei info sobre o CV do dito senhor.

Nesta actividade da segurança informática é sempre bom contar-mos com toda a ajuda possível e que melhor ajuda do que ter um teólogo, alguém que estuda O Grande SysAdmin dos Universos.

Estranho é que em diversos lados lhe são atribuídos diversos estatutos, nuns lados é engenheiro, noutros é doutor na TVI onde é afirmado que tem uma licenciatura em teologia.
É claro que o homem pode ser tudo isto, mas para o caso interessava é que os organismos por onde passam estas pessoas tivessem informação sobre os curriculos das suas principais figuras.

Pelo CV acima referido não faz qualquer sentido chamá-lo de engenheiro, uma vez que no CV em lado algum está escrito que tenha uma licenciatura ou bacharelato nessa área da engenharia, mas a verdade é que em documentos públicos é diversas vezes designado por engenheiro.

Mas num país onde nem se sabe na realidade quais são as habilitações literárias do Primeiro Ministro, não podemos exigir muito para a restante hierarquia ;)

O que podemos saber concretamente é que após ter sido director do CEGER durante o Governo de Durão Barroso, após a chegada ao poder do PS do putativo engº Socas, o teologo/engº/dr José Luís Seruya manteve-se no CEGER até à mudança que terá ocorrido em Abril/Junho, numa Comissão de serviço no âmbito da Lei nº 12/A/2008 de 27/02(LVCR)/Nomeação em Comissão de Serviço Técnico Superior Consultor 3 770 a auferir Montante pecuniário da Remuneração Base de 2 643.33€.

Já agora também é interessante frisar, uma vez que é um dos principais temas deste blog (Software Livre e sua implementação na AP; Transparência na AP), que o senhor José Luís Seruya, até tem uma visão um pouco mais alargada que os habituais técnicos/directores da AP sobre a utilização de outro tipo de software que não o habitué microsoft, nomeadamente neste documento defende a utilização do Openoffice, versão licenciada da SUN Microsystems em detrimento do ms-office.

E porque não dar logo o passo final e passar a usar o Openoffice.org tal como já fazem hoje em dia, desde o Banco do Brasil à Gendarmerie francesa entre outros?!

O Dr. José Luis Seruya (PCM) referiu-se a um pacote da Sun Microsistems, equivalente ao Office, que tem um custo de 100 para 100 licenças, que se torna muito rentável. Diz que as vantagens financeiras são imensas, e as vantagens funcionais são as mesmas.
O Presidente avançou com a proposta de este ser um assunto para próxima reunião: qual a estratégia de implementação de software aberto na AP?
O Dr. Luis Vidigal concorda que a AP deve ter uma estratégia de diversificação; até porque as universidades estão a formar muita gente, e apostando nesta área. Diz que é importante começar-se a ter uma posição pró-activa. Chamou a atenção para a existência de um Guia, publicado pela UE, de transição de software proprietário para software aberto.
http://www.citiap.gov.pt/documentos/sumula22.pdf

Mas será que com tantas trocas e baldrocas o PR se sente mais seguro?

Não é o que deixa no ar um dos jornais da central de propaganda, o JN, que afirma “Na guerra aberta entre Belém e São Bento, o Executivo tenta passar a ideia de que foi Cavaco Silva quem escolheu o responsável informático da Presidência, pelo que não se podequeixar de fugas ou de vigilância aos seus serviços. Belém riposta que a Direcção de Serviços de Informática é uma direcção dependente da secretaria-geral, “um órgão permanente” em que o Presidente cujo pessoal não é escolhido pelo Presidente. Além de que o director José Luís Seruya foi recrutado pela Secretaria-geral, não tendo sido uma escolha pessoal de Cavaco nem sendo alguém da confiança absoluta do Presidente.”

Deixando de lado estas guerrinhas políticas, a realidade é que as redes/sistemas informáticas do Estado são um caos como afirma o Professor José Tribolet do IST, como se comprova na realidade pelas auditorias levadas a cabo por técnicos portugueses, mas acima de tudo pelas notícias internacionais que mostram por exemplo que a Embaixada Portuguesa na Índia serve malware  ou ainda que os sistemas informáticos portugueses, especialmente ao nível de embaixadas poderiam fazer parte do caso divulgado nos media sobre a invasão dos sistemas críticos do Dalai Lama, o caso da Ghostnet.

[http://www.videos.iol.pt/consola.php?projecto=27&mul_id=13169277&tipo_conteudo=1&tipo=2&referer=1]
[http://tsf.sapo.pt/PaginaInicial/Portugal/Interior.aspx?content_id=1376787]
[http://aeiou.exameinformatica.pt/ainda-e-possivel-confiar-na-rede-informatica-do-estado=f1003587]

Administração pública tem sistemas informáticos vulneráveis, alerta INESC – TSF

«Estou indignado porque o estado de fragilidade e de indignidade da operação e do suporte aos agentes diplomáticos portugueses no país e no estrangeiro é inaceitável», alertou, acrescentando que não compreende como é que um estudo que fez para o Ministério dos Negócios Estrangeiros foi metido na gaveta.

«Este problema é muito mais sério do que neste momento se levantou com o Presidente da República», sublinhou, lembrando que há muitos sites da administração pública que transportam «muita informação confidencial».

Lendo o relatório dos especialistas que detectaram esta rede, eis o que eles aconselham às ONG’s, o uso de software livre e  de tecnologia livre e aberta como os projectos SElinux que corre por exemplo nas diversas distribuições de GNU/Linux bem como TrustedSolaris.

Until recently, high-grade MAC/MLS products were not available to normal users and were even export-controlled; but now products such as Trusted Solaris and SELinux are available without restriction. But could a typical organisation use these tools effectively?
    The classical MAC/MLS approach to the Tibetans’ protection problem would start with a system of information classification, as we discussed already. A firewall or mail guard implemented on an SELinux platform might be used to ensure that no secret documents are made available to resources at a lower level, such as a machine on which external email or web pages had been read.
[PDF]

A Alemanha tem vindo a passar toda a sua rede e sistemas informáticos do Ministério dos Negócios Estrangeiros e todas as suas embaixadas para Software Livre, GNU/Linux, usando ainda VPN’s e criptografia como o Software Livre GnuPG e o seu projecto SINA.

DE: Foreign ministry: ‘Cost of Open Source desktop maintenance is by far the lowest’ —

Open source desktops are far cheaper to maintain than proprietary desktop configurations, says Rolf Schuster, a diplomat at the German Embassy in Madrid and the former head of IT at the Foreign Ministry.

E já agora um documento que descreve a implementação dos sistemas das Embaixadas Alemãs usando Software Livre.

Open Source facilitates German world-wide secure network —

In our modern western economies, most people have become used to being connected to the internet 24 hours a day. We browse, mail and chat wherever and whenever we want. The same thing holds for large organisations, which deploy their own intranets to provide internal information to employees. But what if most of the employees work abroad, with a large number in risky or unsafe regions? And what if one security leak in the communication could lead to political scandals?

Termino esta longa entrada com um link para uma história curiosa das cyberwars travadas na wikipedia pelos nossos pseudo politicos cá do bairro!

Assaltos Informáticos Pirataria Governamental?

Pelo que foi apurado pelo blog Zero de Conduta e depois publicado pelo Público e pelo Diário de Notícias, o Centro de Gestão da Rede Informática do Governo (CEGER), da responsabilidade de José Luís Seruya, segundo o registo da Internet, assaltou o site da Wikipedia por várias vezes, e apagou ou modificou parte das inscrições sobre o Primeiro-Ministro e o Ministro Luís Amado. Os actos de pirataria foram denunciados.

Powered by ScribeFire.

Roubando informação através das tomadas electricas

Já não é recente a notícia, é do início do mês mas aqui fica.

Irá ser apresentada mo Black Hat 2009 uma técnica de eavesdrop, que permite roubar a informação que estamos a teclar usando laser ou uma tomada eléctrica, como se pode fazer isto será explicado por Andrea Barisani and Daniele Bianco.

Segundo eles, só necessitam da rede eléctrica e do acesso a uma tomada ou então para usarem o LASER, um bon ângulo de visão directa.
No ataque usando a rede eléctrica o atacante explora os sinais eléctricos que são gerados quando se tecla, uma vez que os cabos são desprotegidos.

Afirmam que o equipamento que permite este tipo de vigilância custa apenas cerca de US$500 para a rede eléctrica ou US$100 para o LASER.

Isto é o que se consegue efectuar apenas com estes gastos, imaginem o que a NSA e outras não conseguem com todo o equipamento e dinheiro que têm à disposição.

Discussão no /.

How to use electrical outlets and cheap lasers to steal data – Network World

If attackers intent on data theft can tap into an electrical socket near a computer or if they can draw a bead on the machine with a laser, they can steal whatever is being typed into it.

Powered by ScribeFire.

Megatux o supercomputador que usando GNU/Linux e Wine estuda botnets m$-windows

Uma interessante notícia no NYTimes sobre investigação de botnets.

http://imgs.xkcd.com/comics/network.png

Segundo o artigo, os laboratórios de Sandia em Livermore criaram uma experiência por forma a estudar botnets usando para tal GNU/Linux e Wine, o software que emula um ms-windows em NIX’s.

Trata-se do Megatux, que corre no supercomputador Dell Thunderbird com 4480 CPU’s Intel, através dele podem construir cerca de 1 milhão de máquinas virtuais por forma a emularem uma enorme botnet.

Os investigadores optaram por usar GNU/Linux e Wine por forma a não terem de adquirir licenças para 1 milhão de sistemas da microsoft.

Discussão no /.

Researchers Try to Stalk Botnets Used by Hackers – NYTimes.com

Researchers at Sandia National Laboratories in Livermore, Calif., are creating what is in effect a vast digital petri dish able to hold one million operating systems at once in an effort to study the behavior of rogue programs known as botnets.

[...]

Because most botnets are written for the Windows operating system, the researchers are planning to use an open source program called Wine, making it possible to run Windows-based programs without actually having the complete Windows operating system. They said they were not using Windows itself because of the licensing costs of purchasing one million copies of Windows.

Powered by ScribeFire.

A Insegurança e a invasão de privacidade dos chips RFID

O Washington Post tem um interessante artigo sobre a utilização de chips RFID em cartões de identificação como por exemplo passaportes, BI’s etc e de como eles são inseguros e permitem a vigilância em tempo real dos seus possuidores.

Chris Paget um Hacker (não é cracker) resolveu verificar a segurança deste tipo de tecnologia, tendo andado pelas ruas de San Francisco com um único objectivo, ler, ter acesso aos dados dos cartões com RFID das pessoas que por lá passavam, usando tecnologia wireless, sem sair do seu carro, em cerca de 20 minutos o seu scanner fez o download para o seu portátil do número de série único de um dos transeuntes que por lá passou e que possuía um passaporte dos EUA com RFID.

Em cerca de uma hora, Chris Paget conseguiu obter 5 identificações únicas e privadas sem que os seus possuidores alguma vez venham a ter conhecimento que viram a sua privacidade colocada em causa e que dados únicos e privados dos seus cartões foram acedidos sem qualquer consentimento e que caso fosse outro o propósito de Chris Paget, esses dados poderiam vir a ser usados para um sem número de ilegalidades, incluindo o roubo de identidade.

Esta demonstração mostra que os governos ao usarem e ao fomentarem este tipo de tecnologias em conjunto com outras como as que mencionei noutra entrada sobre as capacidades da NSA e do Echelon, poderão se já não o estão a conseguir, acabar de vez com a privacidade das pessoas, uma vez que todos nós podemos ser vigiados em tempo real onde quer que estejamos.

Artigo na Scientific American contra o RFID – Mythbusters impedidos de emitir programa sobre a insegurança do RFID

Base de dados de ADN em Portugal – mais um ataque às nossas liberdades

Chip automóvel – o Big Brother Comercial com objectivos obscuros

Chips in official IDs raise privacy fears – washingtonpost.com

Putting a traceable RFID in every pocket has the potential to make everybody a blip on someone’s radar screen, critics say, and to redefine Orwellian government snooping for the digital age.
(…)
But with advances in tracking technologies coming at an ever-faster rate, critics say, it won’t be long before governments could be able to identify and track anyone in real time, 24-7, from a cafe in Paris to the shores of California.

Chips in official IDs raise privacy fears – washingtonpost.com

RFID, he wrote, has a fundamental flaw: Each chip is built to faithfully transmit its unique identifier “in the clear, exposing the tag number to interception during the wireless communication.”

Once a tag number is intercepted, “it is relatively easy to directly associate it with an individual,” he says. “If this is done, then it is possible to make an entire set of movements posing as somebody else without that person’s knowledge.”

Seguir

Get every new post delivered to your Inbox.

Junte-se a 67 outros seguidores