Enviando e-mail criptografado com Icedove/ThuderBird, Enigmail e GnuPGP

Deixe um comentário

criptografia

Este presente texto tem por intuito lhe ensinar a como enviar e-mails criptografados usando o aplicativo ThunderBird — ou Icedove no caso do debian — com o plugin Enigmail e o software GnuPG.

Vale ressaltar que o finalidade deste tutorial é fazer com que você troque e-mails criptografados e/ou comece a refletir sobre a privacidade de sua comunicação que troca via e-mail, questões técnicas aprofundadas pode ser esclarecidas nos comentários ou você mesmo pode pesquisar.

Para instalar no Windows você vai precisar baixar os seguintes pacotes:

1 — ThunderBird

2 — Enigmail (É um complemento que pode ser baixado após instalar o thunderbird. Ferramentas — Complementos e pesquise por enigmail e instale)

3 — GPG4Win (No final da instalação irá instalar o GPG e o Kleopatra, software responsável pelo gerenciamento de certificados)

Para instalar no OS X você vai precisar baixar os seguintes pacotes:

1 — ThunderBird

2 — Enigmail (É um complemento/plugin que pode ser baixado após instalar o thunderbird. Ferramentas — Complementos e pesquise por enigmail e instale)

3 — GPGTools (Responsável por instalar o GPG na sua máquina. O gerenciador de key GPG Keychain se responsabiliza por listar todas suas chaves adicionadas, pesquisar e remover por chaves)

Para instalar no Debian, ou qualquer distribuição .deb, você vai precisar digitar o seguinte comando em seu terminal como root:

# apt-get install gnupg icedove enigmail

1 — gnupg irá instalar o PGP em seu computador.

2 — icedove será seu cliente de e-mail, visualmente idêntico ao thunderbird

3 — enigmail será o plugin necessário que irá permitir usar GnuPGP no Icedove

Independente do Sistema Operacional que você utilizar, o que desejo é que troque e-mails criptografados, logo não existe mais desculpa para não fazer o procedimento. Após as instalações os procedimentos a seguir são iguais para a configuração do ambiente para o envio e recebimento de e-mail criptografado.

Ao abrir o ThunderBird/Icedove irá aparecer a seguinte tela:

Icedove ao ser aberto pela primeira vez.

Icedove ao ser aberto pela primeira vez.

Clique em “Skip this and use my existing email” (Ignorar isto e utilizar o meu e-mail existente). Desta forma você irá adicionar um e-mail que já utiliza.

Se possível não utilize e-mails de companhias americanas como Gmail, YahooMail e Outlook. Tais companhias são parceiras da NSA e utilizam os dados dos seus clientes para vender propaganda direcionada e comercializam seus dados.

A seguinte tela será apresentada:

Gmail meramente ilustrativo :P

Gmail meramente ilustrativo 😛

Em Your Name, você poderá colocar seu nome ou qualquer outro que deseja. Email address, você adiciona o seu e-mail e em Password a senha do seu e-mail.

Ao clicar em Continue o Icedove/ThunderBird irá localizar as configurações de envio e recebimento de e-mail. Caso você utilize um serviço de e-mail popular as configurações serão adicionadas automaticamente. Se isso não ocorrer basta você entrar em contato com o serviço de e-mail e solicitar tais informações.

Dê preferência por usar o protocolo IMAP para suas mensagens ficarem guardadas no servidor. Após a detecção ou configuração manual clique em Done para finalizar este procedimento.

Agora será a configuração do Enigmail. Caso você esteja usando Windows ou OS X no Icedove/ThunderBird clique em Ferramentas — Complementos e pesquise pelo plugin Enigmail e instale-o. Ao finalizar a instalação será solicitado que reinicie seu cliente. O Icedove/ThunderBird será aberto juntamente com o Assistente de Configuração do Enigmail.

Em sua primeira tela será perguntado se deseja configurar o Enigmail neste momento ou em outro. Selecionamos Start setup now e clicamos em Next.

A próxima tela que será apresentada irá lhe fornecer três opções de configuração. Uma para Iniciantes (beginners), outra para usuários avançados (advanced users) e por fim uma para experts. Todas resultam no mesmo fim que é configurar no enigmail para funcionar juntamente com o Icedove/ThunderBird.

A tela apresentada é esta:

Tela inicial de configuração do Enigmail

Tela inicial de configuração do Enigmail

Como este tutorial é voltado para iniciantes escolheremos a primeira opção I prefer a standard configuration (recommended for beginners) “Eu prefiro uma configuração padrão (recomendado para iniciantes)” e clicamos em Next/Avançar.

A próxima tela é solicitado a sua passphrase. Escolha uma frase complexa e guarde-a em segurança, pois ela é responsável por revogar sua chave em caso de comprometimento de sua chave privada e por protege-la. Na mesma tela explicasse a criação de uma chave pública e uma privada e suas respectivas funções.

Tela solicitando sua passphrase que devem conter no mínimo 8 caracteres

Tela solicitando sua passphrase que devem conter no mínimo 8 caracteres

Clique em Avançar e aguarde o procedimento para gerar sua chaves que pode demorar alguns minutos até terminar.

Ao finalizar a criação de suas chaves você deve criar seu certificado de revogação. É importante ter este certificado de revogação, pois ele permitirá que você torne as chaves pública e privadas inválidas em caso de comprometimento de segurança de seu computador ou conta. Deletar sua chave privada não impede que as pessoas te enviem mensagens criptografadas, porém você não conseguirá visualizar, pois não terá mais sua chave privada.

Processo de finalização da criação de suas chaves e criação do Certificado de Revogação

Processo de finalização da criação de suas chaves e criação do Certificado de Revogação

Clique em Criar Certificado de Revogação, digite sua passphrase e clique em OK. Após isso salve em um local seguro. Caso um indivíduo que não tenha permissão tenha acesso ao seu certificado ela pode invalidar ou se passar por você e descriptografar suas mensagens. Clique em Avançar e depois em Concluir para finalizar a configuração do Enigmail.

Agora para você enviar mensagens criptografadas para seus amigos/contatos é necessário trocar as chaves públicas para que nenhuma Pessoa, Empresa, Governo ou Agência de Inteligência possa ler o conteúdo de seu e-mail.

Ao adicionar a chave pública de uma pessoa o e-mail dela é criptografado com sua chave pública (da pessoa que receberá o e-mail) e sua chave privada (da pessoa que receberá o e-mail) irá descriptografar a mensagem para ser lida.

No seu Icedove/ThunderBird clique em Enigmail — Gerenciador de chaves OpenGPG. A tela apresentada mostrará todas as chaves que você possui podendo adicionar novas ou removê-las.

Para fornecer sua chave pública existe duas formas simples. A primeira é fornecer o ID da chave, que são os últimos seis números da sua fingerprint, e outra forma é enviar um e-mail com sua chave pública anexada.

Para enviar um e-mail criptografado é necessário clicar no cadeado para ativar a criptografia. É recomendado que você também assine seu e-mail, que é simbolizado por uma caneta, pois isto garante que o e-mail não foi interceptado, alterado e re-enviado.

A imagem abaixo demonstra que tanto a criptografia e a assinatura do e-mail estão ativas.

A própria tela informa quando a criptografia e assinatura está ativa

A própria tela informa quando a criptografia e assinatura está ativa

Dependendo do Sistema Operacional que está usando ao enviar um e-mail criptografado a sua passphrase pode ser solicitada para confirmar o envio do e-mail. Digite sua senha e clique em Ok para enviar o e-mail.

Se você chegou até aqui significa que você está totalmente apto para enviar e receber e-mails criptografados. O procedimento informado acima é totalmente básico para não assustar as pessoas que não tenham conhecimento com de configurar sua máquina para enviar e-mails criptografados, pois a minha intenção é que o máximo de pessoas utilizem criptografia, incluindo pessoas que não são da área de TI.

Em caso de dúvidas fique à vontade para perguntar. Compartilhe, copie para o máximo de pessoas que poder. Usar criptografia é um direito seu, você não é criminoso ou suspeito pelo simples fato de se comunicar de forma segura.

Caso vocês queiram informações médias/avançadas na utilização do Icedove/ThunderBird + Enigmail solicitem usando os comentários ou falando comigo no twitter.

Algumas imagens foram coletadas deste site, no qual sugiro a leitura.

Como a CPICIBER está criminalizando a Internet para combater Crimes

Deixe um comentário

E não é que a CPI de Crimes Cibernéticos acabou com seus inúmeros convites para esclarecimentos e entendimento de diversos casos que ocorreram no Brasil e no mundo sobre crimes cometidos na Rede Mundial de Computadores.

Primeiro saiu o relatório parcial, foram apresentadas 8 propostas de leis que pareciam medidas para solucionar os problemas ouvidos de uma forma onde o lado técnico foi ignorado e conquistas e garantias presentes na Carta Magna foram totalmente ignoradas em nome de soluções de crimes.

Segundo o relator e sub-relator foram ouvidas críticas referente as propostas apresentadas e reformularam respeitando os direitos dos usuários e sua privacidade. Será? Mas quando foi apresentado as novas propostas de lei o que pareceu foram coisas pioras, sim, eles conseguem fazem isso, ou mudanças de termos para falar a mesma coisa.

Abaixo irei analisar as propostas de leis apresentadas pela CPICIBER.

1.1 — PROJETO DE LEI QUE ESTABELECE, COMO EFEITO DA CONDENAÇÃO, O PERDIMENTO DOS INSTRUMENTOS DO CRIME DOLOSO.

Está proposta pretende fazer com que a pessoa que cometa um crime cibernético tenha seus dispositivos apreendidos com a simples justificativa de que ele não utilize os mesmos dispositivos para cometer novos crimes.

Ainda utilizam como tal justificativa que essa medida vai aprimorar o combate às fraudes bancárias, pois o criminoso não terá seu dispositivo para cometer o crime.

Eis alguns problemas dessa proposta e sua justificativa. Os aparelhos serão recolhidos se o mesmo utiliza intencionalmente para cometer crimes, mas como a justiça irá saber se ele teve a intenção de utilizar para o crime? Caso ele utilize dispositivos de locais públicos eles serão recolhidos? Sério que a apreensão dos dispositivos vai impedir do criminoso cometer novamente um crime?
Essa prática de perdimento dos dispositivos já é uma prática da Polícia Federal e Civil em casos de investigações que envolva dispositivos. Então na prática nada muda.

1.2 — PROJETO DE LEI PARA ALTERAR A REDAÇÃO DO ART. 154-A DO DECRETO-LEI No 2.848, DE 7 DE DEZEMBRO DE 1940, PARA AMPLIAR A ABRANGÊNCIA DO CRIME DE INVASÃO DE DISPOSITIVO INFORMÁTICO.

Esse projeto de lei trata de acesso indevido a sistema informatizado. O grande problema desta proposta de lei é que ele criminaliza ações que visem informações de interesse público como por exemplo o Wikileaks e todo qualquer vazamento de informação. No caso recente do Panama Papers o hacker responsável por disponibilizar as informações aos jornalistas do Jornal Alemão seria condenado por expor informações de interesse público tendo sua pena agravada caso o acesso e a distribuição da informação seja da União e demais esferas públicas.
Será que um Jornalista, que por lei deve e pode proteger sua fonte jornalística, terá que explicar como e onde ele consegui tais informações de seu vazamento? Vão prender seus dispositivos para não repetir tal “crime”?

Em sua justificativa o relatório diz: “A proposta determina que, caso os dados informatizados acessados indevidamente sejam expostos a risco de divulgação ou de utilização indevida, a conduta será criminalizada.”

A fonte Jornalística e o Jornalista são criminosos ou os criminosos são as pessoas que cometeram irregularidades apresentadas pelo Jornalista? É esse tipo de coisa que está proposta pode coibir.

1.3 — PROJETO DE LEI VISANDO À ALTERAÇÃO DA LEI NO 5.070, DE 7 DE JULHO DE 1966, PARA AUTORIZAR O USO DOS RECURSOS DO FISTEL POR ÓRGÃOS DA POLÍCIA JUDICIÁRIA.

Está proposta diz que até 10% do FISTEL — Fundo de Fiscalização das Telecomunicações — órgão responsável pelo aperfeiçoamento da fiscalização dos serviços de telecomunicações seja utilizado para implementação e melhorias de policias criminais no país. Em sua justificativa, como na proposta de lei, não é tratado como será fiscalizado a utilização deste dinheiro.

Uma parcela do dinheiro que é utilizado para fiscalizar as empresas de telecomunicações será usado de uma forma misteriosa para aparelhar órgãos criminais, sendo que os usuários das empresas de telecomunicações sofrem com o mal serviço, preços abusivos e medidas controversas, como a franquia na Internet Móvel e agora com franquia até na Banda Larga.

1.5 — PROJETO DE LEI DETERMINANDO A INDISPONIBILIDADE DE CÓPIA DE CONTEÚDO RECONHECIDO COMO INFRINGENTE, SEM A NECESSIDADE DE NOVA ORDEM JUDICIAL E DÁ OUTRAS PROVIDÊNCIAS.

Está proposta de lei que modificar e piorar mais ainda o Marco Civil da Internet fazendo que com fique a cargo dos provedores de aplicação a remoção de cópias ou que contenha parte majoritária de conteúdos anteriormente solicitados por Ordem Judicial ou de notificações.

O provedor de acesso que irá decidir o que é cópia ou uma cópia parcial do que foi já solicitado pelo denunciante para fazer as remoções do conteúdo. Em justificativa a proposta informa que pelo fato de remover conteúdo com ordens judiciais a sua não utilização facilitaria em tal remoção.

Sem contar que em sua justificativa informa que provedores de aplicação podem remover cópias ou cópias majoritárias também sem uma Ordem Judicial conforme o Artigo 21-A proposto para alteração do Marco Civil. Para os deputados “As principais aplicações dispõem de todas as condições técnicas e os recursos financeiros necessários para bloquear essas replicações”.

Desta forma uma pessoa má intencionada poderia indisponibilizar diversos serviços pelo simples fatos de compartilhar uma cópia ou cópia majoritária. Caso uma pessoa envie um e-mail utilizando o serviço da UOL com algo que foi notificado para ser removido todo o site da UOL será indisponibilizado por conta deste e-mail? E no caso de compartilhar uma imagem via Whatsapp/Telegram o serviço teria que quebrar sua criptografia para espionar toda sua base de usuário para impedir o compartilhamento de uma imagem ou teria seu serviço bloqueado porque uma pessoa compartilhou algo que foi notificado para não ser.

Essa é uma proposta de lei muito perigosa que pode fechar serviços de forma simplória, pois não será necessário uma Ordem Judicial para se remover conteúdos.

1.6 — PROJETO DE LEI PERMITINDO QUE A AUTORIDADE DE INVESTIGAÇÃO REQUISITE, INDEPENDENTEMENTE DE AUTORIZAÇÃO JUDICIAL, ENDEREÇO IP QUE IDENTIFIQUE CONTEÚDO OU SERVIÇO ESPECÍFICO, OBJETO DE INVESTIGAÇÃO CRIMINAL, MANTIDOS POR PROVEDOR DE CONEXÃO OU DE APLICAÇÃO DE INTERNET.

Está proposta já em seu título já deixa claro o absurdo que ela é. Permitir que uma autoridade policial, que ninguém sabe exatamente o que seria isso, ou o Ministério Público requisite sem a necessidade de Ordem Judicial o endereço IP como objeto de investigação criminal.

Em sua justificativa a proposta informa que a autoridade policial e o MP tem dificuldade de obter tal informação não informando as dificuldades encontradas para ambos. Como solução genial, os deputados criam uma proposta na qual qualquer autoridade policial e o MP obtenha o endereço IP que identifique conteúdo(?) ou algum serviço específico.

É totalmente perigoso, e inconstitucional, que a obtenção de IP seja feita sem a necessidade de Ordem Judicial, pois pode acarretar em uma caça a bruxas.

1.7 — PROJETO DE LEI QUE POSSIBILITA O BLOQUEIO DE APLICAÇÕES.

Está proposta de lei que também tem a intenção de modificar e piorar mais o Marco Civil da Internet tem em sua construção o seguinte parágrafo: “Esgotadas as alternativas de punição previstas na legislação aplicável sem que se faça cessar conduta considerada criminosa no curso de processo judicial, o juiz poderá obrigar que os provedores de conexão bloqueiem o acesso ao conteúdo ou a aplicações(..)”

O problema é que o Marco Civil em seu Artigo 12, parágrafo III já permite esse tipo de medida. O parágrafo diz: “Suspensão temporária das atividades que envolvam os atos previstos no art 11”. No parágrafo IV informa “proibição de exercício das atividades que envolvam os atos previstos no art 11.”

Logo o Marco Civil já permite que uma aplicação ou acesso a determinado seja bloqueado. O que está proposta quer fazer já é algo que a justiça brasileira fez uso, no caso do bloqueio do Whatsapp. A grande questão desta proposta é que possibilita que sites de conteúdos considerados piratas possam ser bloqueados, por exemplo o The Pirate Bay.

Na sua justificativa informa que “O projeto considera que o bloqueio à aplicações deva se dar apenas como último recurso e quando outras medidas judiciais cabíveis já tiverem sido cumpridas.” Só que foi justamente por isso que o Whatsapp foi bloqueado utilizando os artigos do Marco Civil, pois medidas anterior como notificação e aplicação de multa foram sancionadas para o Whatsapp, como elas não surtiram efeito o juiz decidiu pelo bloqueio do aplicativo.

Então é algo que já está permitido por lei, tem nada de novo no front.

O que fica claro neste relatório final é que os deputados enxergam a Internet como um local perigoso e obscuro. Tais propostas foram elaboradas pensadas a resolver crimes, porém medidas de obtenção de informação sem ordem judicial, termos não precisos e falta de conhecimentos técnicos pelos parlamentares deixa a legislação mais vigilantista e tornar os usuários da Internet em potenciais criminosos dando ao Estado poder de tomarem quaisquer medidas para criminalizar as pessoas.

Já não bastasse o Marco Civil registrando todas as pessoas que utilizam a Internet, agora temos algumas propostas da CPICIBER querendo piorar o que já está ruim. Sem contar que atualmente as TELEs querem colocar franquia na Internet Banda Larga.

O futuro da Internet no Brasil é negro, cheio de olhos e cada vez mais ameaçador da liberdade de expressão dos usuários.

1984 não é mais ficção, é uma realidade. Infelizmente.

Você tem um minuto para a minuta do Marco Civil?

Deixe um comentário

Caso a sua resposta seja não, você deveria ter mais do que um minuto para a Minuta do Marco Civil.

Depois da aprovação do Marco Civil da Internet o Governo Brasileiro vem tentando criar PLs que modifiquem o Marco Civil para além de piorá-lo terem maior controle da Internet Brasileira. Abraço #PLEspiao.

Irei fazer uma análise geral dos pontos mais polêmicos desta Minuta e sim, o texto vai ser longo. O decreto está divido em 4 partes:

I — Disposições Gerais
II — Da Neutralidade da Rede
III — Da Proteção aos Registros, Aos Dados Pessoais e Às Comunicações Privadas
IV — Fiscalização e Transparência

Em Disposições Gerais o artigo 1º já nos demonstra que a Neutralidade da Rede não é tão neutra assim.

Art. 1º Este Decreto trata das exceções à neutralidade de rede e indica procedimentos para a guarda de dados por provedores de conexão e de aplicações.

O mais engraçado disso é que no Capítulo II — Da Neutralidade da Rede o Decreto exige que o tratamento seja isonômico (igual) ao acesso à Internet.

Art. 3º A exigência de tratamento isonômico de que trata o art. 9º da Lei 12.965, de 23 de abril de 2014, deve garantir a preservação do caráter público e irrestrito do acesso à Internet.

Em seu artigo 4º o decreto informa que “A discriminação ou degradação de tráfego somente poderá decorrer de requisitos técnicos.” Em seu parágrafo único já diz que a o acesso a Internet deve preservar uma Internet única, de natureza aberta, plural e diversa.

O artigo 5º informa quais problemas técnicos poderiam resultar na quebra da Neutralidade da Rede porém esse artigo escrito de forma vaga proporciona diversas interpretações que podem comprometer realmente a Neutralidade da Rede e no funcionamento da Internet.

O parágrafo II do artigo 5º da margem para uma prática já conhecida dos usuários brasileiros, o Traffic Shaping, técnica na qual prioriza um determinado — serviço — tráfego de dados em detrimento de outro — serviço.

Isso da brecha para as Teles fecharem contratos com determinadas empresas para priorizarem o seu tráfego de dados em detrimento de outros fazendo com que grandes companhias tenham prioridades em relação as demais. Isso já ocorre quando se prioriza serviços que consomem menos banda de conexão, como aplicativos de troca de mensagens se comparando a software peer-to-peer que consomem muito mais banda de Internet.

Fica a cargo da Anatel a fiscalização, seguindo as diretrizes do CGI, de verificar como a quebra da Neutralidade será feita por parte das TELEs.

O artigo 6º da a bênção para a quebra da Neutralidade da Rede, pois para “melhorar a experiência” do usuário vale tudo não é?

Art. 6º O responsável pela transmissão, comutação ou roteamento deverá adotar medidas de transparência ativa para explicitar ao usuário os motivos do gerenciamento que implique a discriminação ou degradação de que trata o art. 4º.

O artigo 8º § 2º diz: “Acordos entre provedores de conexão e provedores de aplicação estão sujeitos à avaliação do órgão competente”. Demi Getschkro já declarou que o Zero Rating do Facebook, Whatsapp e Twitter não quebram a Neutralidade da Rede, isso porque ele é consultor do CGI, acha mesmo que o CGI vai impedir a implementação do Free Basics no Brasil?

Vale ressaltar que o Zero Rating foi totalmente ignorado nesta minuta e por não respeitar a Neutralidade da Rede como diz seu criador Mark foi BANIDO da Índia.

A Seção I — Da Requisição dos dados cadastrais nada mais é de uma cópia de uma prática que já ocorre no EUA que é a divulgação de dados cadastrais que as empresas são solicitadas a informar a justiça. Vale lembrar que com a aprovação da #PLEspiao o pedido de um mandato judicial não será mais necessário para que uma autoridade competente, na própria lei não explica o que seria uma autoridade competente, solicite os dados pessoais de uma determinada pessoa.

Na Seção II — Padrões de Segurança e Sigilo dos Registros, Dados Pessoais e Comunicações Privadas fica claro que o responsável por criar métodos de armazenamento e acesso a informações pessoais e conversas privadas será o CGI. Porém como isto será feito, se haverá uma consulta pública ninguém sabe, pois o decreto passa a responsabilidade exclusiva para o CGI promover métodos e padronizações no armazenamento e tratamento de dados dos Brasileiros.

Parágrafo único. Cabe ao CGI promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais para o disposto no caput, de acordo com as especificidades e porte dos provedores de conexão e de aplicação.

O capítulo IV — Fiscalização e Transparência deixa claro que a Anatel ficará responsável apenas na fiscalização e apuração de infrações relacionadas a competição e registros de conexão.

Porém não será exclusividade da Anatel a fiscalização, pois a Secretaria Nacional do Consumidor e o Sistema Brasileiro de Defesa e Concorrência também vão fiscalizar a Internet em cada âmbito que lhe compete, sempre escutando o CGI quando necessário.
___

Este decreto escrito de forma ampla deixa muitas brechas e interpretações para que se comentam irregularidades na Internet no Brasil. É de suma importância a cobrança e participação de todos na construção de leis que queiram prejudicar uma Internet livre e aberta.

O Marco Civil desde a sua aprovação não assegura a privacidade e neutralidade da rede na Internet e com adição de decretos desse tipo com a junção de Pls, como a PL 215/2015, só fazem da Internet um meio de privilegiar grandes corporações retirando direitos dos usuários para que Governos e empresas espionem sua população.

Psi(u) NSA.. Está lendo? Linux + XMPP + OTR + TOR

3 comentários

A utilização de criptografia nas conversas é algo de suma importância, pois estamos vivenciando uma cultura e normalização de Coleta de Dados em massa onde o Grande Irmão, que deixou de ser um personagem da ficção, está de olho em tudo o que fazemos.

Criptografar nossas conversas é embaralhar tudo o que conversamos, dificultando e/ou impedindo que Governos e Agências de Vigilância saibam o que estamos conversando. Com um Estado aprovando cada vez mais leis que vigiam e oprimem sua população é de suma importância que a comunicação das pessoas sejam protegidas, assim como suas identidades.

O que vamos precisar para proteger nossa comunicação?

0 — Computador
1 — Psi+
2 — Jabber (XMPP)
3 — OTR
4 — TOR

1 — Psi é um mensageiro instantâneo, sob a licença GPL, para o protocolo Jabber (XMPP), que usa o toolkit Qt. Funciona em Linux, Windows e OS X.

2 — Extensible Messaging and Presence Protocol (XMPP) (conhecido anteriormente como Jabber é um protocolo aberto, extensível, baseado em XML, para sistemas de mensagens instantâneas, desenvolvido originalmente para mensagens instantâneas e informação de presença formalizado pelo IETF. Softwares com base XMPP são distribuídos em milhares de servidores através da internet, e usados por cerca de dez milhões de pessoas em todo mundo, de acordo com a XMPP Standards Foundation.

3 — Off-the-Record Messaging (OTR) é um protocolo criptográfico que prove criptografia para conversas em mensageiros instantâneos.

4 — Tor é um software de comunicação anônima na Internet.

Vamos colocar a mão na massa?

Indicamos a instalação do Psi Plus, pois o mesmo já vem com uma série de plugins para uso, incluindo o OTR. Para instalar o psi-plus basta você abrir seu terminal e digitar o seguinte comando como root:

# apt-get install psi-plus

Aguarde o download e instalação do software. Ao termino abra o software. No termino da instalação será solicitado para você registrar uma conta Jabber ou se logar com uma existente, feche esta opção, pois ainda iremos criar a nossa conta Jabber.

Utilizaremos o Servidor Jabber da cryptoparty, evento Internacional que aborda temas como criptografia e privacidade. Caso queira escolher um outro servidor, existe uma lista no próprio site da cryptoparty que pode ser vista aqui.

Para fazer nossa conta Jabber acessamos o servidor Jabber da cryptoparty, mas caso queira fazer sua conta pela rede TOR basta clicar aqui — é necessário utilizar o navegador TOR BROWSER para tal.

Clique na opção Register/manage account para criar sua conta. Na próxima página será apresentada três opções, mas como estamos criando nossa conta clique em Registrar uma conta Jabber.

Na próxima página será solicitado o seu username e senha. Siga as instruções do site e lembre-se de utilizar uma senha FORTE (recomendamos a utilização de um gerenciador de senha. Ex: KeepassX ).

Ao finalizar você terá uma conta assim: nome-do-usuario@jabber.cryptoparty.is.

Abra o Psi+ e logue sua conta Jabber no software. Ao abrir o programa utilize a opção Use existing account para efetuar login com a conta recém criada.

A seguinte janela ira abrir:

1 — Informe o username criado, no nosso caso será: exemploUsername@jabber.cryptoparty.is

2 — A senha que informou ao criar sua conta.

3 — Clique em Save/Gravar para salvar a modificação feita no software.

A próxima janela a se abrir contém instruções de comandos e depoimentos dos envolvidos na construção do software. Desmarque a caixa para está janela não abrir toda vez que você utilizar o software e em seguida feche está janela.

Em seguida clique no nome Offline/Desligado e selecione Online/Ligado para se conectar ao servidor Jabber da cryptoparty conforme a figura abaixo:

Ao se conectar uma nova janela ira surgir informando que você não adicionou informações suas para se identificar. Preencha se assim desejar da forma que preferir. Ao finalizar clique em Publish e será notificado que as informações de sua conta foram publicadas. Para finalizar clique em OK e depois em Close.

Para instalar o OTR basta clicar no símbolo do Psi e selecionar Opções ou clicar no ícone de uma chave/ferramenta que as opções iram abrir automaticamente. Clique em Plugins e na nova janela em Plugin Name selecione Off-the-record Messaging e marque a opção Load this plugin conforme a imagem abaixo:

Em seguida clique em My Private keys e clique na opção Generate new key para gerar uma chave GPG para seu Jabber. Aguarde a finalização do processo, dependendo do seu computador por demorar um pouco. Sugiro também a ativação do plugin GnuPG Key Manager para você trocar/assinar chaves PGP com as pessoas que conversa.

Agora vamos configurar o Psi+ para usar a rede TOR para termos mais proteção na comunicação, pois o envio da mensagem usara a estrutura da rede para envio e recebimento da mensagem. Feche o Psi+ e abra o Tor Browser (este não pode ser desligado enquanto usa o Psi+ ou não funcionará a conexão).

Caso não tenha o Tor Browser instalado, acesse este link, escolha o idioma e a arquitetura do navegador. Ao finalizar o Download, extrai o arquivo, entre na pasta e execute o Tor Browser. Você pode clicar com o Botão Direito e selecionar Executar para abrir o TOR ou executar pelo terminal.

Para executar no terminal dê permissão de execução digitando o seguinte comando:

$ chmod +x start-tor-browser.desktop

Em seguida execute o Tor Browser digitando o seguinte comando:

$ ./start-tor-browser.desktop

Após abrir o TOR, abra o seu Psi e fique online. Clique no símbolo o Psi e selecione a opção Definições da Conta. Segue imagem abaixo:

Na próxima janela selecione Modify. Em seguida selecione Connection, e em Connection Proxy clique em Editar. Você vera a seguinte janela:

Clique em New e de um nome a conexão, indicamos usar o nome TOR. Em Tipo selecione SOCKS Version 5. Em Host digite 127.0.0.1 e em Port digite 9150 e clique em Save.

Na janela anterior na opção Host digite o endereço TOR do servidor Jabber da cryptoparty cryjabkbdljzohnp.onion e em Port digite 5222 e finalize clicando em Save. Será solicitado que reconecte com a nova configuração de rede.

Caso a opção de Host esteja desabilitada marque a opção Manually Specify Server Host/Port e faça o processo informado anteriormente.

Clique em Gravar e o Psi vai solicitar que se conecte novamente, pois suas configurações de rede foram alteradas. Selecione Reconnect now e aguarde.

Agora que tem uma conexão mais segura, selecione a pessoa que deseja enviar uma mensagem no Psi+. Na janela do contato que deseja conversar, clique no símbolo do OTR, um cadeado aberto, e selecione a opção Start private conversation.

Automaticamente a sua chave PGP será enviada ao destinatário, porém sua conversa não está autenticada, está apenas privada. Porém você não tem uma prova concreta de que seu amigo é seu amigo certo?. Para autenticar e tornar a conversa mais segura repita o passo anterior, mas selecione Authenticate contact.

Quando a sua conversa está apenas privada o ícone do OTR fica ativo porém com uma interrogação, pois não está autenticada.
Ao selecionar para autenticar sua conversa uma nova janela ira abrir para você preencher com as seguintes opções:

1 — Uma pergunta e resposta (O seu contato terá que saber a resposta caso contrário a conversa não é autenticada).

2 — Um Segredo partilhado (O seu contato terá que saber qual o segredo caso contrário a conversa não é autenticada).

3 — Sua Fingerprint (O seu contato precisa saber sua chave GPG para autenticar a conversa).

Ao iniciar uma conversa privada o OTR é ativado porém permanece com uma interrogação, pois a conversa não está autenticada. Após a autenticação a interrogação some e a conversa fica totalmente criptografada. A imagem abaixo demonstra as duas fases de criptografia.

Unverified conversation started — Conversa privada iniciada.
Contact authenticated — Conversa autenticada utilizando uma das três opções informada acima.

Esse tutorial é voltado para pessoas que utilizam o Debian Linux ou alguma Distribuição .deb. Caso tenha alguma dúvida durante o processo procure o autor ou pesquise na Internet. Proteja a sua comunicação, é importante, é seu direito.

Licença (CC BY-NC 4.0)

Filmes e séries para você que é fã de tecnologia como eu

4 comentários

Olá 2016, tudo bom?

Voltamos a escrever nesse blog hiatico, inventei essa palavra agora, para compartilhar mais coisas bacanas.

Você gosta de Tecnologia? Informática? Ativismo? Então esse post é justamente para você que gosta de assistir filmes e séries que tratam deste assunto. Sim, irei indicar uma série de filmes/documentário/séries para quem gosta do assunto mas também é útil para pessoas que desejam saber e conhecer mais sobre esse maravilhoso mundo da rede mundial de computadores.

Os filmes e séries indicados podem ser encontrado em plataformas de streaming ou você pode baixá-los e assisti-los. Pode conter algo que você já viu ou faltar algo. No caso de faltar fique à vontade em escrever para incluir na lista e além de mim outras pessoas poderem assistir.

E não, não vai ter Piratas do Vale do Silício aqui e muito menos uma ordem cronológica de ano.

Essa lista pode ser atualizando com frequência ou não. Caso tenha uma indicação é só deixar nos comentários que irei acrescentar. Isso foi o que lembrei no momento, vejam e indiquem aos seus amigos.

Não significa que existe legenda pt-br para todas essas indicações, mas vale a pena assistir elas ou pelo menos tentar.

Espero que tenham gostado desta lista, até a próxima.