Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler um artigo do G12 sobre a falha do INC de do FBI.
Clique aqui para ir ao site da TrueCrypt.
Clique aqui para ir ao site da PGP.
Para ler esse artigo, clique no botão abaixo.
Após um ano de tentativas frustradas o FBI devolveu ao governo brasileiro — no fim da semana passada — os discos que havia recebido para decodificação, confiscados do banqueiro Daniel Dantas. Somadas as capacidades os discos contêm mais de 2 terabytes de informações, e nem o INC, Instituto Nacional de Criminalística e nem o poderoso FBI conseguiram extrair sequer um byte de informação dos discos.
E por quê? Porque a criptografia, quando utilizada adequadamente, é uma ferramenta poderosa à disposição do usuário para proteger suas informações. Não tenho a menor competência para julgar as atitudes de Dantas nesse caso, e não vou me meter a dar palpites jurídicos desse calibre. Limito-me, aqui, a comentar os aspectos de segurança da situação, como sempre.
É bastante significativo que um dos mais capacitados e bem aparelhados órgãos de inteligência do planeta tenha falhado diante da tarefa de decifrar informações criptografadas com tecnologias disponíveis para o cidadão brasileiro. Mais significativo ainda é que a falha tanto do INC quanto do FBI deu-se diante de aplicativos de uso gratuito, disponíveis para download para qualquer pessoa de qualquer parte do mundo. As ferramentas em questão são o TrueCrypt e o PGP, aliás, e usam técnicas de codificação que hoje em dia são consideradas “feijão com arroz”, isto é, sem conter nenhuma grande mirabolância tecnológica, e sendo conhecidas há vários anos.
E ainda assim os dados de Dantas estão preservados, e tendem a permanecer assim enquanto o banqueiro quiser, uma vez que é um direito constitucional de qualquer cidadão abster-se de produzir provas contra si mesmo em processos legais.
O sucesso de ferramentas tão simples em proteger dados contra entidades tão proeminentes se deve a um fator sutil, mas bastante importante: a senha utilizada. Os dados criptografados só estão disponíveis para o usuário se este digitar a senha correta. Senão, é mais fácil ganhar sozinho na mega-sena 10 vezes seguidas do que conseguir decifrar os dados criptografados. Diante dessa situação, as agências brasileira e americana técnica mais sensata disponível: a dos dicionários. Funciona assim: com base nas informações acerca de Daniel Dantas e do Opportunity, os técnicos criam gigantescas listas de palavras. Essas listas são os tais dicionários, claro. Aí tentam uma por uma, para ver se alguma delas é a senha que permite decifrar os dados. É claro que datas importantes para o banqueiro e para sua família (aniversários, casamento, etc.) são as primeiras a serem tentadas. Nomes de parentes, de animais de estimação, termos importantes usados no banco Opportunity, e inúmeras outras palavras e combinações são tentadas e descartadas. Ah, e não adianta só a troca de símbolos, viu? Se a minha senha é, por exemplo, “sapo”, não adianta trocar o “s” por um “5”, o “a” por um “@”, o “p” por um “P” e o “o” por um “0”. Os programas de quebra de senha por dicionário conseguem fazer vários de tipos de substituições, testando milhares de combinações em poucos segundos.
Dantas sabe, assim como os usuários mais espertos, que senhas fracas são o caminho mais fácil para se decifrar informações criptografadas. E as dicas aqui são duas: devemos considerar o uso de ferramentas de criptografia para proteger nossos dados mais críticos, e devemos pensar com muito, mas muito cuidado mesmo nas senhas que adotamos para garantir nosso sigilo.
Até a próxima.
E por quê? Porque a criptografia, quando utilizada adequadamente, é uma ferramenta poderosa à disposição do usuário para proteger suas informações. Não tenho a menor competência para julgar as atitudes de Dantas nesse caso, e não vou me meter a dar palpites jurídicos desse calibre. Limito-me, aqui, a comentar os aspectos de segurança da situação, como sempre.
É bastante significativo que um dos mais capacitados e bem aparelhados órgãos de inteligência do planeta tenha falhado diante da tarefa de decifrar informações criptografadas com tecnologias disponíveis para o cidadão brasileiro. Mais significativo ainda é que a falha tanto do INC quanto do FBI deu-se diante de aplicativos de uso gratuito, disponíveis para download para qualquer pessoa de qualquer parte do mundo. As ferramentas em questão são o TrueCrypt e o PGP, aliás, e usam técnicas de codificação que hoje em dia são consideradas “feijão com arroz”, isto é, sem conter nenhuma grande mirabolância tecnológica, e sendo conhecidas há vários anos.
E ainda assim os dados de Dantas estão preservados, e tendem a permanecer assim enquanto o banqueiro quiser, uma vez que é um direito constitucional de qualquer cidadão abster-se de produzir provas contra si mesmo em processos legais.
O sucesso de ferramentas tão simples em proteger dados contra entidades tão proeminentes se deve a um fator sutil, mas bastante importante: a senha utilizada. Os dados criptografados só estão disponíveis para o usuário se este digitar a senha correta. Senão, é mais fácil ganhar sozinho na mega-sena 10 vezes seguidas do que conseguir decifrar os dados criptografados. Diante dessa situação, as agências brasileira e americana técnica mais sensata disponível: a dos dicionários. Funciona assim: com base nas informações acerca de Daniel Dantas e do Opportunity, os técnicos criam gigantescas listas de palavras. Essas listas são os tais dicionários, claro. Aí tentam uma por uma, para ver se alguma delas é a senha que permite decifrar os dados. É claro que datas importantes para o banqueiro e para sua família (aniversários, casamento, etc.) são as primeiras a serem tentadas. Nomes de parentes, de animais de estimação, termos importantes usados no banco Opportunity, e inúmeras outras palavras e combinações são tentadas e descartadas. Ah, e não adianta só a troca de símbolos, viu? Se a minha senha é, por exemplo, “sapo”, não adianta trocar o “s” por um “5”, o “a” por um “@”, o “p” por um “P” e o “o” por um “0”. Os programas de quebra de senha por dicionário conseguem fazer vários de tipos de substituições, testando milhares de combinações em poucos segundos.
Dantas sabe, assim como os usuários mais espertos, que senhas fracas são o caminho mais fácil para se decifrar informações criptografadas. E as dicas aqui são duas: devemos considerar o uso de ferramentas de criptografia para proteger nossos dados mais críticos, e devemos pensar com muito, mas muito cuidado mesmo nas senhas que adotamos para garantir nosso sigilo.
Até a próxima.
Comecei a usar o TrueCrypt poucos dias antes deste artigo ser publicado, e agora fico ainda mais tranquilo com mais uma confirmação de que sua criptografia é praticamente impenetrável.
ResponderExcluirParabéns pelo artigo e pelo conteúdo do blog!!
Obrigado, anônimo.
ResponderExcluirFico feliz que você esteja cuidando da privacidade de seus dados.
Abraço.