Tornando seu pendrive mais seguro

Usando volumes criptografados

Semana passada falei dos riscos de exposição de dados por extravio ou roubo de pendrives. Uma forma de se proteger é utilizado criptografia para impedir que qualquer pessoa venha a ter acesso aos seus dados pessoais ou corporativos gravados neles. Isso também se aplica a equipamentos portáteis como os notebooks.

Uma forma simples é através da utilização de volumes criptografados, que consistem em arquivos que funcionam como containers de dados. Para utilizar esses containers, temos que fornecer uma senha de uso pessoal a um programa que “monta” esse arquivo no sistema operacional, passando a ser reconhecido por ele como um drive adicional, da mesma forma que um pendrive. Assim, podemos ler e gravar nessa unidade, mas todos os dados que são ali armazenados, são feitos de forma criptografada. Quando “desmontamos” a unidade, ele volta a ser simplesmente um arquivo como outro qualquer.

A solução que utilizo e vou apresentar aqui baseia-se num programa gratuito chamado TrueCrypt. Ele possui versões para Windows e Linux, de forma que um mesmo volume criptografado pode ser lido ou gravado em qualquer um desses sistemas.

Instalando o TrueCrypt

O programa pode ser obtido no endereço http://www.truecrypt.org/downloads.php. A versão mais recente disponível no momento é a 6.0a. Faça download do arquivo de instalação e salve em uma pasta de sua escolha.

Ao final do download, você vai ter na pasta escolhida, o arquivo “TrueCrypt Setup 6.0a.exe”. Clique duas vezes sobre ele para iniciar a instalação.

A tela inicial apresenta os termos da licença. Na tela seguinte você deve escolher a forma de instalação. A opção “Install” serve para instalar o TrueCrypt como qualquer programa Windows. Vamos utilizar a segunda opção, “Extract”, onde os arquivos do programa serão simplesmente descompactados para a pasta que escolhermos. Essa pasta pode ser copiada para um pendrive, por exemplo, para permitir que você execute o programa em qualquer micro, sem que seja necessário instalar o programa.

Na próxima tela vamos especificar para onde esses arquivos serão extraídos. Você pode escolher qualquer pasta, mas por questões de padronização, vamos extrair para “c:\Arquivos de Programas\Truecrypt”.

Clique no botão “Extract” para iniciar a extração.

A tela seguinte simplesmente apresenta a extração dos arquivos. Quando o botão “Finish” ficar disponível, clique para fechar o programa de instalação.

Quando o programa instalador fechar, o Windows Explorer vai abrir automaticamente, apresentando os arquivos extraídos. Vamos aproveitar para criar o atalho para o programa. Para isso, clique com o botão direito do mouse sobre o arquivo “Truecrypt.exe” (pode ser que a extensão .exe não esteja visível) e escolha a opção “Criar atalho” no menu apresentado.

Clique e arraste o atalho para a área de trabalho.

Criando o volume criptografado

Ainda aproveitando a janela do Windows Explorer, clique duas vezes no arquivo “Truecrypt Format.exe” para criar o seu volume criptografado.

Na primeira tela desse assistente vamos escolher a primeira opção que cria o volume criptografado em um arquivo normal.

Na tela seguinte devemos especificar o tipo de volume que estamos criando. É possível criar um volume oculto, dentro de um volume criptografado, aumentando ainda mais a segurança, mas não é o nosso caso, portanto escolha a primeira opção, “Standard TrueCrypt volume”.

Escolha a localização e o nome do arquivo do volume. Você pode escolher qualquer lugar e nome de arquivo. Para disfarçar a existência do volume criptografado, você pode criar uma pasta “vídeos”, por exemplo, e nomear seu arquivo com um nome de filme e extensão “.mpeg”, “.wma” ou “.dvix”. A pessoa que achar seu pendrive extraviado, pode olhar a pasta, ver o arquivo e achar que é um filme. Claro que ao tentar reproduzir, o programa reprodutor não vai reconhecer o arquivo e achar que ele está corrompido, desviando a atenção do seu intruso. No nosso exemplo, vamos criar o arquivo “Swordfish.mpeg” na pasta “D:\Videos”.

O TrueCrypt pode utilizar diversos algoritmos para criptografia. Para o nosso caso, uso pessoal, vamos aceitar o padrão oferecido pelo programa, conforme mostrado abaixo.

Na próxima tela, vamos escolher o tamanho do nosso volume. Para efeitos de praticidade, sugiro que seja criado com cerca de 680 MB porque com esse tamanho ele pode ser gravado num pendrive de 1 GB ou num CD, que comporta 700 MB. Nada impede que você crie um volume de 4.6 GB para gravar num DVD, que suporta 4.7 GB. Fica a seu critério, mas sugiro evitar volumes muito grandes por questões de praticidade. Um volume muito grande leva mais tempo para montar, formatar, copiar e sincronizar (vou falar disso depois). Sugiro utilizar os 680 MB e se for o caso criar vários volumes, separados por temas (trabalho, pessoais, fotos, etc).

No exemplo abaixo, utilizei 64 MB somente para efeito de ilustração, pois quanto maior o volume, maior é o tempo necessário para sua criação.

Informe a senha de sua escolha e confirme a mesma senha na tela seguinte. Uma senha forte, deve conter no mínimo 8 caracteres e deve possuir letras maiúsculas, minúsculas, números e caracteres especiais. Para facilitar sua memorização você pode substituir a letra “I” por “!”, “E” por “3”, “S” por “$” e assim por diante. Crie sua própria associação. Ex: “T3$t3” ao invés de “Teste”

ATENÇÃO! Crie uma senha que você não esqueça. Se você esquecer a senha, não terá mais como recuperar os dados armazenados no volume!

A tela seguinte irá formatar o volume, preparando para o uso. Antes de clicar no botão “Format”, movimente o mouse de forma aleatória ao longo da tela. Quanto mais irregular for o movimento, melhor a segurança da criptografia.

Após movimentar bastante o mouse, clique no botão “Format” e aguarde a preparação do volume.

Quando a preparação do volume estiver concluída, o programa irá exibir a mensagem notificando sua conclusão. Clique no botão “OK” para fechar essa janela.

A tela seguinte notifica que o volume foi criado e oferece a opção para criar um novo volume. Se for esse o caso, clique no botão “Next”. Caso contrário, clique no botão “Exit” para fechar o assistente.

Utilizando volume criptografado

Para utilizar o seu volume criptografado, execute o programa clicando duas vezes no atalho criado na sua área de trabalho e clique numa letra de unidade que deseja utilizar para o seu volume. No nosso exemplo, selecionei a letra H: .

Clique no botão “Select File” para procurar o volume criado anteriormente. No nosso caso, “D:\videos\Swordfish.mpeg” e em seguida, no botão “Mount” para montar a unidade.

Digite a senha utilizada na criação do volume, conforme o quadro abaixo e clique no botão “OK”.

Se você digitou corretamente a senha, verá o nome do seu arquivo associado à letra da unidade escolhida, conforme pode ser visto abaixo.

Você pode clicar no botão “Exit” para sair do programa. Ele permanecerá em execução e um ícone azul ficará visível na barra de tarefas, junto ao relógio. A qualquer momento você pode clicar 2 vezes nesse ícone para abrir o programa novamente.

Para desmontar o volume, clique na linha correspondente à unidade desejada e em seguida no botão “Dismount”. Se houverem várias unidades montadas, você pode clicar no botão “Dismount All” para desmontar todos os volumes de uma vez.

O volume criptografado, uma vez montado pode ser utilizado como se fosse um drive qualquer. Tudo que for gravado nesse “drive” é criptografado automaticamente e descriptografado no momento em que você acessar o arquivo nele contido.

Usando de forma inteligente

Esse arquivo pode ser mantido no pendrive, no disco rígido (HD) ou em ambos. Como existe um custo em temos de recursos computacionais (processamento), utilize essa unidade para armazenar somente seus arquivos pessoais ou profissionais (textos, fotos, planilhas, etc). Arquivos que podem ser recuperados de outras formas (internet, por exemplo) como programas, MP3, vídeos, etc. devem ser gravados fora do volume. Use o espaço com sabedoria.

Mantenha cópias do volume em locais diversos. Lembre-se que sua “vida” está dentro deles. Se você possuir somente uma cópia no seu pendrive e você o perder, você pode ficar tranqüilo quanto a manutenção da sua privacidade, mas se você não tiver uma segunda cópia (e atualizada) de onde recuperar de nada adianta toda essa precaução. Semana que vem eu vou mostrar como manter diferentes cópias sincronizadas. Até lá.

Pendrives: Pequenos notáveis... e perigosos.

Um pouco de história

Se você tem pouco tempo de contato com a informática, acha bastante natural falar em gigabytes. Afinal, como é possível um micro com discos rígidos (HD) com menos de 40 giga de espaço, não é mesmo? Memória de 512 mega? Nãããoo!! Um micro decente hoje tem que ter pelo menos um giga de memória...

Quem já está a mais tempo “na estrada” deve se lembrar que não faz muito tempo (20 a 25 anos) atrás, as mídias de armazenamento removíveis eram os disquetes de 8 polegadas, que podiam armazenar, pasmem, 128 kb (kilobytes, não é megabytes, muito menos gigabytes). Só para que o leitor tenha uma idéia, 8 polegadas são exatos 20,32 centímetros. Hoje, por menos de R$30,00 você pode comprar um pendrive de 1 gigabyte que pode comportar o equivalente a 8 mil desses disquetes!

Em um dos meus primeiros empregos, trabalhei numa empresa que possuía um micro de uso profissional. Ele possuía HD de 5 megabytes! E eram do tamanho de um caixa de sapatos! (só HD, não o micro...). Quando eu saí dessa empresa, lá pelo ano de 1988, 89, não lembro exatamente, essa empresa tinha acabado de instalar um mainframe (computador de grande porte) com 8 HDs de 4 Giga cada (ou 32 no total). Só para você ter idéia, 2 HDs, empilhados tinham o tamanho de um fogão de 6 bocas. A unidade de armazenamento que comportava esses 8 HDs ocupava um armário de aproximadamente 8x2 metros!! (uns dois guarda-roupas de 6 portas, lado a lado).

Hoje já podemos encontrar pendrives com capacidade de armazenamento equivalente a esses “2 guarda-roupas” de 20 anos atrás. Pendrive de 4 gigas, já são bastante comuns. Imagine só: hoje você carrega no bolso, uma mídia com a mesma capacidade “meio fogão de 6 bocas” de 20 anos atrás!!

Transporte perigoso

O baixo custo, alta capacidade e facilidade de utilização, fazem desse dispositivo, um artefato indispensável para qualquer pessoa que utilize um computador. Eu mesmo, carrego todos os meus arquivos de uso pessoal dentro de um pendrive. Em qualquer computador que eu for utilizar, tenho meus dados todos à mão.

Essa facilidade contudo, pode representar preço muito alto para as organizações e tem tirado o sono de muitos especialistas em Segurança da Informação. Grandes quantidades de informações podem ser transportadas para fora dos limites das organizações sem que ninguém perceba. Ainda que transportadas por pessoas autorizadas, o extravio de um dispositivo tão pequeno, sem o devido tratamento criptográfico para as informações ali contidas, pode ocasionar prejuízos incalculáveis para a organização, seja diretamente pelo vazamento de dados estratégicos ou indiretamente pela exposição de dados que afetam a privacidade de seus clientes e usuários.

Segundo artigo publicado recentemente pelo Portal EXAME, recentemente, nos Estados Unidos, dados de 120.000 pacientes do hospital Wilcox Memorial, do Havai, foram expostos a partir de um pendrive extraviado. O mesmo aconteceu com 6.500 alunos da universidade de Kentucky a partir do pendrive extraviado de um professor. A Boeing revelou que ano passado foi vítima de um roubo de 320.000 arquivos de documentos confidenciais, feitas por um funcionário que durante cerca de 2 anos utilizando dispositivos de memória portáteis.

Segundo esse mesmo artigo, o custo médio de um incidente de vazamento de dados é de 1,82 milhão de dólares.

Vetor de propagação

Outro risco apresentado pelos pendrives, são as propagações de vírus e pragas semelhantes. Por ser um dispositivo fácil de usar e não requerer sequer a instalação de um software específico para que possa funcionar, eles são constantemente plugados em máquinas diferentes. Essa “promiscuidade” faz com que seja um alvo atrativo para os produtores de vírus.

No Windows, existe uma facilidade, habilitada por padrão, para execução automática de um software com a simples introdução de uma mídia, como CD ou pendrive. Essa facilidade é amplamente utilizada pelos produtores de vírus. Uma vez que o pendrive esteja contaminado, o simples ato de plugar numa máquina, ativa o programa do vírus escondido nele, contaminando o computador utilizado. O inverso também é verdadeiro. Ao plugar um pendrive numa máquina contaminada, o vírus se copia para dentro do pendrive para prosseguir com sua disseminação.

Para possibilitar a sua execução automática, o vírus grava um arquivo com atributo oculto (não pode ser visualizado em condições normais) de nome “autorun.inf”. Esse arquivo contém as instruções para que o Windows execute o programa do vírus.

Para minimizar o risco de propagação de vírus pelo seu pendrive, você pode criar uma pasta com esse nome (autorun.inf). Não precisa gravar nada nela, mas a sua presença vai impedir que o vírus grave seu próprio autorun.inf. Criar um arquivo comum com esse nome, não resolve. Mesmo que ele esteja protegido contra gravação, o programa do vírus consegue sobrescrever.

Dessa forma, o vírus pode até se copiar para o seu pendrive, mas sem o autorun.inf ele não vai ser executado automaticamente no computador ao qual você for conectar o seu pendrive.

Outra medida que você pode tomar para evitar a execução automática de programa quando um pendrive for conectado na sua máquina, é desabilitar essa função. Para isso, siga os seguintes passos:

1. Vá no menu Iniciar/Executar e execute o programa gpedit.msc.

2. O programa executado é o "Diretivas de grupo". Em Configurações do computador, clique em Modelos administrativos/Sistema, no painel esquerdo. No painel direito, clique duas vezes em Desativar AutoExecutar.

3. Na janela aberta (Propriedades de Desativar AutoExecutar), selecione a opção Ativado e no combo abaixo, selecione Todas as unidades. Clique OK para fechar a janela e feche a janela de Diretivas de grupo.

Até esse passo, desabilitamos a execução automática quando inserimos o pendrive, mas se clicarmos duas vezes no drive correspondente ao pendrive no windows explorer o arquivo autorun.inf ainda será executado. Para evitar que isso aconteça, continue com os passos seguintes.

4. Copie o texto abaixo, cole no Bloco de Notas salve num arquivo de nome NoAutoRunInf.reg, numa pasta ou no desktop e clique duas vezes para executa-lo. Ao fazer isso, uma mensagem será exibida pelo Editor do Registro, pedindo a confirmação para alteração do registro. Clique em Sim, para aceitar.

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

5. Após aceitar, uma nova mensagem será exibida, confirmando a operação. Clique em OK para fechar a janela.

6. Reinicie o computador.

Ferramenta do mal

Um pendrive também pode ser preparado para executar uma série de ferramentas, da mesma forma que os vírus, de forma a coletar uma série de informações do seu computador ao ser plugado. Histórico do navegador, programas instalados, senhas do navegador, senhas de e-mail, chaves de criptografia de redes sem fio, programas com acesso à rede e outras informações são passíveis de serem coletados em segundos, sem que você perceba.

É mais uma razão para desabilitar a execução automática, conforme explicado acima. E se algum estranho for usar seu computador e tiver que plugar um pendrive, faça com que ele utilize uma conta diferente da sua e sem privilégios administrativos.

Tornando seu pendrive mais seguro

O artigo do Portal EXAME, cita uma pesquisa que aponta que muitas empresas têm ciência dos riscos envolvidos no transporte de informações no pendrive, mas acredita que a solução para o problema é complexa e cara.

Semana que vem vou falar de uma solução simples e gratuita para você transportar seus dados de forma mais segura. Até semana que vem.

Prevenindo-se contra fraude bancária (parte 1)

Evitando os vampiros modernos

Reza a lenda que um vampiro não entra numa casa se não for convidado pelo dono da casa. Obviamente ele o faz sem saber que o se trata de um vampiro, caso contrário, não o faria. Quando descobre, já é tarde. Pelo menos é o que vemos nos filmes.

Lendas à parte, quando falamos em crimes cibernéticos, particularmente em termos de fraudes bancárias, é a mesma coisa. A imprensa insiste em denominar esses criminosos de hackers, mas de hackers não têm nada (leia meu artigo “Entendendo a guerra real do mundo virtual”). Esses criminosos não “invadem” seu computador como você pode imaginar, levado pelo folclore popular. Na realidade, para que você seja uma vítima de fraude bancária, você tem que “convidar” o cibercriminoso a “entrar” no seu computador.

Calma! Sei que a essa altura você deve estar me xingando e me chamando de louco... Afinal, “quem, em sã consciência convidaria um ladrão a entrar na sua própria casa?”. Exatamente!! Esse é o ponto: CONSCIÊNCIA. Você faz isso SEM SABER e é por isso que estou escrevendo esse artigo.

Na Segurança da Informação, existe um termo bastante conhecido: Engenharia Social. Nome bonito para a arte de enganar pessoas com o objetivo de obter alguma informação relevante, geralmente confidencial, como usuário e senha de acesso à um sistema.

Quanta vezes você já não recebeu um e-mail dizendo que você tem uma pendência no seu CPF ou que você foi o feliz ganhador de um automóvel? Talvez um e-mail, aparentemente enviado por algum conhecido seu, convidando-o a assistir um vídeo ou ver uma foto comprometedora? Todos eles possuem algo em comum: você tem que clicar em alguma coisa. Um link ou um botão. No exato instante em que você clicar nesse link você estará “convidando” o vampiro, digo criminoso, a entrar na sua máquina.

Através desse processo de Engenharia Social, valendo-se da sua ingenuidade, o cibercriminoso está instalando em um programa sua máquina que vai monitorar a utilização do sistema e capturar o número da sua conta bancária e sua senha, por exemplo. Uma vez capturados, esses dados são enviados ao criminoso pela própria internet. A partir daí deixa de existir o fator “cibernético” e inicia a esfera meramente “criminal”, que não é mais foco da minha área de atuação.

As vezes, mesmo com o conhecimento somos enganados num momento de distração. Há algum tempo atrás recebi um e-mail de uma pessoa conhecida, convidando para ver um vídeo engraçado no youtube. Como era alguem com grau de importância significativo na minha rede de relacionamentos, cliquei para ver. Ao invés de ser direcionado para o site do youtube, fui redirecionado para uma página da Adobe para fazer uma “atualização do Flash player”. Como sei que o youtube utiliza o Flash player, cliquei instintivamente no link. Só me dei conta da bobagem ao perceber que a “atualização” foi muito rápida. A suposta página da Adobe era falsa e eu havia acabado de instalar o software malicioso na minha máquina.

O uso de páginas falsas é outra técnica que já foi muito utilizada por esses criminosos. Utilizando envio de e-mails em massa, convidavam o usuário de um determinado banco a atualizar seus dados cadastrais, por exemplo. Para isso era redirecionado para uma página falsa, muito semelhante à página verdadeira do banco, onde o usuário deveria digitar o número da conta e a senha. Com enorme quantidade de e-mails enviados indiscriminadamente, muitas acabavam caindo em caixas postais de clientes do banco vitimado, que ingenuamente digitavam seus números de conta corrente e senha. Algumas dessas páginas, entretanto, possuíam erros grosseiros de português que de imediato denunciavam a fraude, mas o detalhe principal era a ausência do teclado virtual (aquele que você tem que clicar nos botões ao invés de digitar no teclado do computador).

Atualmente, na maioria das vezes, o usuário nem é direcionado a site algum, mas simplesmente apresenta um link onde ao ser clicado baixa um programa da internet, que ao ser executado, passa a capturar as senhas.

Essa técnica de envio de e-mails com mensagens e sites falsos é denominada de PHISHING, corruptela da palavra inglesa FISHING ou "pescaria" em português. Acho que o motivo desse nome agora já é obvio a você amigo leitor.

De modo genérico, todo software malicioso é denominado de MALWARE. Dependendo da forma como ele “entra” na máquina ou do que ele faz, recebe uma denominação mais específica como trojan, worm, vírus, spyware, keylogger, etc. Mas isso é assunto para outra conversa.

Na semana que vem, continuamos essa conversa onde vou passar algumas dicas para que você evite “identifique o vampiro antes de convida-lo a entrar na sua casa”. Até lá.

(parte 2)