Blog do TaQ

Proteja seus dados

Publicado em GNU/Linux

Circulando, nada para se ver aqui

Como todo mundo deve ter visto, está o maior "auê" na mídia (golpista! golpista! :-) sobre o roubo dos laptops da Petrobrás. A Sandra Carvalho da Info pergunta no seu blog "por que andar por aí com dados secretos num laptop", e eu já pergunto "por que andar por aí com dados secretos num laptop sem criptografia"?

Convenhamos que, dependendo da vontade e dos recursos disponíveis, dá para brincar um pouco com dados criptografados, ainda mais se for usado algum algoritmo mais fraco ou uma senha boba e fácil, mas se a pessoa escolheu criptografar seus dados já é meio caminho andado.

O duro que tem gente que nem sabe o que é isso ou que tem essa opção "só uso para trabalhar", dizem. Isso é um reflexo negativo da facilidade e comodidade trazida nos últimos anos no uso dos computadores, que em minha humilde opinião houve uma banalização do conhecimento, pouco incentivo e muita preguiça de pessoas que deveriam, em razão do fator crítico do uso pessoal ou profissional do computador.

Bom, chega de reclamar, deixa eu dar uma dica disso logo. ;-)

No meu notebook eu uso um volume criptografado, criado em um arquivo, e movo todos os dados que considero mais críticos para lá. Faço isso usando, no GNU/Linux, o cryptsetup. Em 10 passos, podemos fazer o seguinte:

  1. Carregar os módulos: aes, dm-crypt e loop.
  2. Instalar e inserir o losetup e o cryptsetup na lista de comandos permitidos através de um sudo. Isso é assunto para outro artigo, mas compensa fazer, afinal, você não vai querer ficar usando root toda hora né?
  3. Criar um arquivo para usar como loopback. No meu caso, usei /home/taq/encrypted/.data para isso. Além de tudo, deixo ele escondidinho. ;-) Para criar esse arquivo, digamos, com 100 Mb (para esse exemplo), utilizamos:
    dd if=/dev/random of=/home/taq/encrypted/.data bs=1M count=100
    Aviso: utilizar o /dev/random pode demorar mais que um cão de zorba se o ruído no pool de entropia for baixo. Se quisermos algo mais rápido, podemos utilizar o /dev/zero, porém, com menor nível de paranóia. ;-)
  4. Agora que já tenho o arquivo criado, vou montar ele como um dispositivo de loopback utilizando o comando:
    sudo losetup /dev/loop0 /home/taq/encrypted/.data
  5. Vou informar que desejo criar um dispositivo criptografado utilizando AES:
    sudo /usr/sbin/cryptsetup -c aes -y create .data /dev/loop0
    Reparem que não é utilizado o path completo, somente o .data, e nessa hora vai ser requisitada uma senha. Informem uma senha de macho masoquista tipo "batatinhaquandonasceesparramapelochaonenezinhoquandodormepoeamaonocoracao" e não se esqueçam dela!
  6. Agora é hora de criar o sistema de arquivos no dispositivo. Vou criar um sistema EXT3 mas fiquem à vontade para utilizar o da sua preferência:
    sudo mkfs.ext3 /dev/mapper/.data
  7. Vou montar o dispositivo em algum diretório destinado para isso. Eu utilizei um diretório chamado /home/taq/encrypted/data para isso, e vou montar o dispositivo com:
    mount /dev/mapper/.data /home/taq/encrypted/data
  8. Listando o conteúdo do diretório, já vejo o lost+found do EXT3 lá dentro. Se necessário, alterem as permissões do diretório para o seu usuário. Vou criar um arquivo pequeno e verificar se ficou tudo ok com:
    echo "oi" > /home/taq/encrypted/data/oi.txt
    cat /home/taq/encrypted/data/oi.txt
    Ok, tudo certo.
  9. Agora é hora de desmontar o volume. Para isso, utilizo:
    umount /home/taq/encrypted/data
    sudo cryptsetup remove .data
    sudo losetup -d /dev/loop0

    Nesse ponto, o diretório /home/taq/encrypted/data já não contém mais nada.
  10. E, finalmente, para montar novamente o meu volume criptografado, utilizo:
    sudo losetup /dev/loop0 /home/taq/encrypted/.data
    sudo cryptsetup create .data /dev/loop0
    Enter passphrase: *********
    mount /dev/mapper/.data /home/taq/encrypted/data

    Pronto, todos os dados secretos disponíveis novamente. Agora é só mover alguns diretórios como o ~/.thunderbird lá para dentro e criar links simbólicos apontando os arquivos do volume encriptado para os caminhos originais.

Só para tentar deixar mais claro, talvez para um usuário final (talvez o que, com certeza!) isso seria uma coisa meio complicada para se fazer, mas há ferramentas (em qualquer sistema) que podem ajudar nessa tarefa. O que me indigna é que talvez os responsáveis pela área de tecnologia de informação de empresas que tem um informações críticas nos computadores portáveis de certos funcionários não ligarem a mínima para esse tipo de coisa. Se, no caso da Petrobrás, isso tiver sido feito de maneira eficiente, era só chegar na mídia (golpista, golpista! :-) e dizer: "os dados estavam encriptados, se o ladrão conseguir quebrar a criptografia pode ficar com eles". ;-)


Tags:


Comentários

comments powered by Disqus

Twitter