26 de maio de 2009

TrueCrypt: Open Source para criptografia

Para quem precisa manter algumas informações sigilosas, armazenar dados de maneira segura, evitar a cópia do sistema de arquivos ou mesmo do SO completo, o mundo do software livre nos possibilita utilizar uma ferramenta gratuita, de ótimo desempenho e com muitas possibilidades de uso: o TrueCrypt.

O programa possui versões para Linux, Windows e Mac OS, e permite que baixemos, além do binário, o código fonte em C e Assembly.

O TrueCrypt permite criptografar arquivos, pastas, partições inteiras e até mesmo o sistema operacional com diversos tipos de chaves diferentes, de 128, 256 e 512bits. Ele permite, inclusive, criptografarmos no modo on-the-fly: enquanto usamos o arquivo, ele automaticamente criptografa ou descriptografa de acordo com a necessidade do usuário. Outra possibilidade, é manter o arquivo, pasta ou partição criptografada oculta, mesmo assim ainda permitindo a utilização da mesma.

Outra possibilidade é utilizá-lo no formato Portable, através de um pendrive, não deixando rastro algum no HD de que estamos utilizando um programa de criptografia, evitando que um atacante descubra qual software usamos para criptografar os dados.

O software e a documentação referente encontra-se em: http://www.truecrypt.org

Na página de download do TrueCrypt é possível realizar o download do mesmo, seja para Windows, MAC OS X ou Linux (pacotes rpm ou deb).

Já na página http://www.truecrypt.org/downloads2 é possível baixar os fontes, traduções e chave pública do produto.

Para instalar o arquivo .deb baixado, vá ao terminal e digite:

# tar -xzvf truecrypt-6.1a-ubuntu-x86.tar.gz
# chmod +x truecrypt-6.1a-ubuntu-x86
# ./truecrypt-6.1a-ubuntu-x86


O primeiro comando descompactará o arquivo tar.gz. O segundo, dará a permissão de execução ao arquivo de shell script que contém a instalação. E o terceiro, obviamente, executa o arquivo shell script.

No Ubuntu Linux, se dermos dois cliques sobre o arquivo truecrypt-6.1a-ubuntu-x86 ele perguntará se desejamos extrair o arquivo .deb ou instalar diretamente o programa. A última opção já resolve tudo, deixando o programa instalado e no menu para fácil acesso, de forma simples, rápida e indolor, para quem ainda tem um pouco de receio do terminal. :-)

Depois de tudo instalado, a utilização básica do programa é bem simples. Podemos criar uma pasta ou arquivo criptografado, uma partição virtual criptografada, uma partição lógica totalmente criptografada, ou até mesmo criptografarmos o sistema operacional, que será executado no modo on-the-fly, com criptografia em tempo real.

13 de maio de 2009

Hackeando sem riscos

As leis vigentes desencorajam a prática de exploração de vulnerabilidades, o que na verdade é um grande avanço, visto que no Brasil só agora essas leis estão surgindo, enquanto que em outros países já existem há tempos.

O grande problema é que muitas vezes isso inibe até mesmo o desenvolvimento de ferramentas nessa área. Então, para quem gosta de testar sistemas e explorar vulnerabilidades sem o risco de tomar um processo judicial nas costas, há ótimos lugares para teste.

Compilei aqui uma série de links de lugares para quem gosta de se divertir, brincar ou pesquisar determinadas vulnerabilidades para o desenvolvimento de ferramentas pertinentes.

Espero que aproveitem e divirtam-se: