Como todo mundo deve ter visto, está o maior "auê" na mídia (golpista! golpista! :-) sobre o roubo dos laptops da Petrobrás. A Sandra Carvalho da Info pergunta no seu blog "por que andar por aí com dados secretos num laptop", e eu já pergunto "por que andar por aí com dados secretos num laptop sem criptografia"?

Convenhamos que, dependendo da vontade e dos recursos disponíveis, dá para brincar um pouco com dados criptografados, ainda mais se for usado algum algoritmo mais fraco ou uma senha boba e fácil, mas se a pessoa escolheu criptografar seus dados já é meio caminho andado.

O duro que tem gente que nem sabe o que é isso ou que tem essa opção "só uso para trabalhar", dizem. Isso é um reflexo negativo da facilidade e comodidade trazida nos últimos anos no uso dos computadores, que em minha humilde opinião houve uma banalização do conhecimento, pouco incentivo e muita preguiça de pessoas que deveriam, em razão do fator crítico do uso pessoal ou profissional do computador.

No meu notebook eu uso um volume criptografado, criado em um arquivo, e movo todos os dados que considero mais críticos para lá. Faço isso usando, no GNU/Linux, o cryptsetup. Em 10 passos, podemos fazer o seguinte:

1. Carregar os módulos: aes, dm-crypt e loop.
2. Instalar e inserir o losetup e o cryptsetup na lista de comandos permitidos através de um sudo. Isso é assunto para outro artigo, mas compensa fazer, afinal, você não vai querer ficar usando root toda hora né?
3. Criar um arquivo para usar como loopback. No meu caso, usei /home/taq/encrypted/.data para isso. Além de tudo, deixo ele escondidinho. ;-) Para criar esse arquivo, digamos, com 100 Mb (para esse exemplo), utilizamos:
   dd if=/dev/random of=/home/taq/encrypted/.data bs=1M count=100
   Aviso: utilizar o /dev/random pode demorar mais que um cão de zorba se o ruído no pool de entropia for baixo. Se quisermos algo mais rápido, podemos utilizar o /dev/zero, porém, com menor nível de paranóia. ;-)
4. Agora que já tenho o arquivo criado, vou montar ele como um dispositivo de loopback utilizando o comando:
   sudo losetup /dev/loop0 /home/taq/encrypted/.data
5. Vou informar que desejo criar um dispositivo criptografado utilizando AES:
   sudo /usr/sbin/cryptsetup -c aes -y create .data /dev/loop0
   Reparem que não é utilizado o path completo, somente o .data, e nessa hora vai ser requisitada uma senha. Informem uma senha de macho masoquista tipo "batatinhaquandonasceesparramapelochaonenezinhoquandodormepoeamaonocoracao" e não se esqueçam dela!
6. Agora é hora de criar o sistema de arquivos no dispositivo. Vou criar um sistema EXT3 mas fiquem à vontade para utilizar o da sua preferência:
   sudo mkfs.ext3 /dev/mapper/.data
7. Vou montar o dispositivo em algum diretório destinado para isso. Eu utilizei um diretório chamado /home/taq/encrypted/data para isso, e vou montar o dispositivo com:
   mount /dev/mapper/.data /home/taq/encrypted/data
8. Listando o conteúdo do diretório, já vejo o lost+found do EXT3 lá dentro. Se necessário, alterem as permissões do diretório para o seu usuário. Vou criar um arquivo pequeno e verificar se ficou tudo ok com:
   echo "oi" > /home/taq/encrypted/data/oi.txt
   cat /home/taq/encrypted/data/oi.txt
   Ok, tudo certo.
9. Agora é hora de desmontar o volume. Para isso, utilizo:
   umount /home/taq/encrypted/data
   sudo cryptsetup remove .data
   sudo losetup -d /dev/loop0
   Nesse ponto, o diretório /home/taq/encrypted/data já não contém mais nada.
10. E, finalmente, para montar novamente o meu volume criptografado, utilizo:
    sudo losetup /dev/loop0 /home/taq/encrypted/.data
    sudo cryptsetup create .data /dev/loop0
    Enter passphrase: *********
    mount /dev/mapper/.data /home/taq/encrypted/data
    
    Pronto, todos os dados secretos disponíveis novamente. Agora é só mover alguns diretórios como o ~/.thunderbird lá para dentro e criar links simbólicos apontando os arquivos do volume encriptado para os caminhos originais.

Só para tentar deixar mais claro, talvez para um usuário final (talvez o que, com certeza!) isso seria uma coisa meio complicada para se fazer, mas há ferramentas (em qualquer sistema) que podem ajudar nessa tarefa. O que me indigna é que talvez os responsáveis pela área de tecnologia de informação de empresas que tem um informações críticas nos computadores portáveis de certos funcionários não ligarem a mínima para esse tipo de coisa. Se, no caso da Petrobrás, isso tiver sido feito de maneira eficiente, era só chegar na mídia (golpista, golpista! :-) e dizer: "os dados estavam encriptados, se o ladrão conseguir quebrar a criptografia pode ficar com eles". ;-)

Comentários

Comentários fechados.

• valter sex, 09 de maio de 2008, 14:27:25 -0300

  Alguém sabe o Serial para o Pensave?

  Abraços

• Thiago sáb, 01 de março de 2008, 17:35:49 -0300

  ah... esqueci do site...

  www.pensave.com.br

• Thiago sáb, 01 de março de 2008, 17:34:07 -0300

  Utilizo no meu pendrive o programa Pensave. É simples, pequeno e não tem instalação, é só copiar e usar. Pena que só funciona em Windows.

• Fabiano França ter, 26 de fevereiro de 2008, 11:22:55 -0300

  Taq,

  Para quem usa Windows ou Mac tem também o TrueCrypt (linux também). Além de trabalhar com discos virtuais criptografados ele também permite criptografar partições e pendrives.

  Ele usa os algotimos: AES-256, Serpent e Twofish.

  http://www.truecrypt.org

• TaQ seg, 25 de fevereiro de 2008, 07:09:12 -0300

  Olhem só isso: http://tinyurl.com/273m5w

  Eu já não levo meu notebook em standby quando vou passar em algum lugar que haja mais probabilidade de ser afanado, mas parece que o lance agora é desligar ele alguns minutos antes de sair de casa e evitar ir para algum onde o clima esteja em -50C. :-)

• Bruno Souza seg, 25 de fevereiro de 2008, 06:31:20 -0300

  Quero dizer, se os notebooks de lá são criptografados, pode ser que ele tenha fugido da regra. Como disse o Sérgio F. Lima "E finalmente, existindo tudo isso, se os caras têm o hábito de seguir!"...

• Bruno Souza seg, 25 de fevereiro de 2008, 06:23:46 -0300

  Primeiramente, olá Taq! Bom dia!

  Bom, eu penso que por mais que a grande imprensa julgasse que criptografia é algo que o "povão" não saberia se é de comer ou assoprar, se o notebook do camarada fosse criptografado, alguma informação oficial a respeito disso teria saido em algum lugar.

  Abraço!

  ps. Estive na sua palestra no Minas On Rails!

• TaQ sáb, 23 de fevereiro de 2008, 17:39:54 -0300

  Cris, uai, e porque será que não anunciaram isso? Os dados criptografados foi a primeira coisa que pensei quando anunciaram o roubo ... será que não acharam que valia a pena pois o "povão" nem saberia o que isso significa?

• Cristiano Dias sáb, 23 de fevereiro de 2008, 16:49:06 -0300

  Olha, não estou acompanhando o caso de perto, mas um amigo meu que trabalha na Petrobras disse que os notebooks de lá têm critptografia sim.

• Esdras sáb, 23 de fevereiro de 2008, 06:36:09 -0300

  Parei de ler a Info faz tempo. Mesmo quando eu tinha 14 anos e só 3 meses de GNU/Linux, eu já achava que sabia mais sobre Linux que os colunistas, que frequentemente se perdiam no que falavam.

  Hoje tenho 22, e acabo de me deparar com esse texto. Ora, as pessoas levam informações sigilosas no seu notebook talvez por precisarem, vários amigos meus fazem isso. A diferença é que eles fazem da maneira como você faz: criptografando os dados.

  Infelizmente, os leitores da Info que lerem esse texto procurando orientação talvez vão achar que não há solução para esse problema.

  E minha pergunta: tem coisa mais chata que um chefe seu dando pitaco por alguma coisa que ele está errado e, em seguida, ele dizer "eu li na Info"? Eu já passei muito por isso.

• Rodrigo Dutra sex, 22 de fevereiro de 2008, 12:34:02 -0300

  A propósito, me lembrei que escrevi algo sobre o assunto em agosto de 2007:

  http://tinyurl.com/2rkmxx

• Rodrigo Dutra sex, 22 de fevereiro de 2008, 12:20:57 -0300

  Não só a Petrobrás, mas 95% das empresas brasileiras não dão a devida atenção à segurança da informação.

  E quando se importam com o assunto, cuidam apenas e tão-somente da TI, sem pensar que segurança é um processo que envolve todos os ativos do negócio e não apenas a aquisição/implantação de soluções provindas exclusivamente da área de tecnologia.

• Rafael Mueller sex, 22 de fevereiro de 2008, 11:04:59 -0300

  muito bom o final: "se o ladrão conseguir quebrar a criptografia pode ficar com eles"

  Se ele quebrar, é porque merece! :D

• Adler Medrado sex, 22 de fevereiro de 2008, 09:52:46 -0300

  É lamentável ver como a Petrobrás trata as informações 'secretas' dela. Isso deve ser fruto da qualidade dos profissionais que exercem as funções relacionadas à TI dentro desta instituição. Acho que deve ser algum sindicalista que fez boca de urna para algum 'pic@ grossa' do PT na época das eleições.

  Eles são amadores ... é lamentável.

• Sérgio F. Lima sex, 22 de fevereiro de 2008, 09:38:15 -0300

  Opa Taq!

  Eu tenho dúvidas se o pessoal usa um SO seguro, que dirá seguir existir uma rotina de encriptação de dados secretos.

  E finalmente, existindo tudo isso, se os caras têm o hábito de seguir!

  Esse pessoal conversa assuntos secreto em telefones! Aposto 1/2 bala juquinha que a senha de usuário deve ser petrobras1234 :-)

  []'s