Criptografia

Segurança no armazenamento de dados

Uma das áreas problemáticas que surgiram ao longo dos últimos anos são os discos rígidos fisicamente pequenos, mas de grande capacidade de armazenamento. Especificamente, os que estamos preocupados aqui são os discos rígidos externos que usam USB ou FireWire para interagir com um sistema. A proliferação desses dispositivos é resultado de sua capacidade de mover grandes quantidades de dados em um formato fácil de transportar. Este é também o problema com os dispositivos: Eles carregam uma enorme quantidade de informações e podem ser facilmente transportados. A unidade de mídia externa normalmente não é maior do que um baralho ou uma carteira. Dispositivos USB na forma de unidades flash apresentam um problema ainda mais interessante e alarmante com seu pequeno fator de forma e capacidade de transportar grandes volumes de informações. Este formato permite o upload fácil de informações, como malware, que tem sido usado em muitos cybercrimes.

Problemas com USB

Discos rígidos externos foram perdidos ou roubados em várias ocasiões, comprometendo a segurança da empresa. Em alguns casos, unidades que foram compradas com a intenção de servir como um backup, eventualmente se tornou a área de armazenamento para a única cópia de dados. Devido à perda de tais backups, muitas empresas tiveram que reconstruir ou recuperar dados, o que resultou em grandes perdas financeiras, bem como perda de tempo e produtividade.

Apenas por razões de segurança, muitas organizações, como o Departamento de Defesa dos EUA, proibiram o uso desses dispositivos, tornando-se um crime passível de tê-los em algumas instalações.

Proteger um disco rígido portátil ou qualquer dispositivo de armazenamento pode ser mais fácil através da aplicação de tecnologia e procedimentos adequados. Uma das formas mais eficientes de proteger a confidencialidade e a integridade das informações nesses dispositivos é a criptografia.

Aplicar criptografia em todo um volume ou unidade fornece proteção robusta contra dados caindo nas mãos erradas. Com a disponibilidade cada vez maior de criptografia completa de unidade, vale a pena para cada empresa ou organização avaliar a necessidade e os benefícios da implementação deste tipo de proteção. Embora a criptografia completa da unidade não impede que uma unidade seja fisicamente roubada, mas evitará que os ladrões acessem as informações facilmente.

Questões legais com dados

A criptografia pode ser obrigatória por lei. Por exemplo, algumas agências dos EUA estão legalmente obrigadas a criptografar os discos rígidos que estão presentes nos laptops para se prevenir caso o dispositivo seja perdido ou roubado. Em 2006, o Departamento de Assuntos de Veteranos dos EUA (VA) perdeu um laptop que resultou no comprometimento de 26,5 milhões de registros de pacientes. As consequências deste incidente foram questões financeiras devido ao roubo de identidade de muitos dos pacientes afetados.

Atualmente existem inúmeras opções para implantar a criptografia de unidade. Entre as principais soluções estão:

  • PGP
  • Microsoft BitLocker
  • VeraCrypt
  • WinMagic
  • Instalação de chaves unificadas do Linux (LUKS)

Prós e contras da criptografia de unidade

A criptografia de unidade está se tornando uma opção cada vez mais comum em todos os tipos de dispositivos, desde laptops e dispositivos móveis até as unidades em algumas impressoras. Criptografia neste nível é muitas vezes necessária por razões legais, bem como de segurança, mas em muitos casos, você precisa considerar os impactos de desempenho.

Há sempre um preço a se pagar para obter algo em troca, e a criptografia não é diferente. Devido à complexidade do processo e às grandes quantidades de dados envolvidos, a penalidade no desempenho do sistema pode ser perceptível. Isso se torna uma preocupação maior com sistemas móveis onde o desempenho é um prêmio e a necessidade de criptografia é maior.

Como profissional, você terá que escolher qual é mais importante para você: desempenho ou segurança. Desempenho pode sofrer, mas a necessidade de segurança de dados pode ser de maior importância, bem como legalmente exigido.

Ao falar sobre discos rígidos, precisamos cobrir unidades flash também. Flash drives provaram ser uma bênção e uma maldição porque permitem o transporte de grandes quantidades de dados, mas ao mesmo tempo, eles são pequenos e facilmente perdidos. Para prevenir esse problema, as empresas precisam considerar a criptografia. Infelizmente, muitas das unidades comercialmente disponíveis não oferecem serviços de criptografia, e aqueles que tem são relativamente caros. No entanto, você deve pesar o custo contra quão perigoso e problemático seria se um desses dispositivos foi perdido e cair nas mãos erradas.

Esses dispositivos, especialmente flash drives, são extremamente portáteis e fáceis de ocultar, por isso representam um enorme risco de segurança. É fácil para um atacante transportar uma unidade flash em uma organização e conectá-la para roubar informações ou para executar um pedaço de malware. Para evitar isso em sua organização, você deve restringir o uso de unidades flash e discos rígidos portáteis, bem como considerar criptografia e políticas de uso para controlar ou barrar seu uso.

Além da criptografia para discos rígidos e armazenamento móvel, considere como impedir ações como dumpster diving das mídias descartadas. As empresas geram uma enorme quantidade de informações em CDs, DVDs e outros formatos, incluindo o disco flexível (embora raro). Desenvolver procedimentos para o armazenamento, manuseio e destruição adequada desses materiais. Na maioria dos casos, trituração ou métodos destrutivos semelhantes podem ser utilizados antes da eliminação, a fim de manter as informações fora das mãos dos ladrões. A Gestão também deve ditar como cada uma dessas formas aprovadas de armazenamento podem ser manipuladas e destruídas.

Alguns dos métodos utilizados para o saneamento são os seguintes:

  • Drive Wiping é o ato de substituir todas as informações na unidade. Como um Exemplo, DoD.5200.28-STD especifica sobrescrever a unidade com um padrão digital especial através de sete passagens. A limpeza da unidade permite que a unidade seja reutilizada;
  • Zeroization este processo geralmente é associado com processos criptográficos. O termo foi originalmente usado com dispositivos criptográficos mecânicos. Esses dispositivos seriam redefinidos para 0 para impedir que qualquer pessoa recuperasse a chave. No domínio eletrônico, a zeroization envolve a sobregravação dos dados com zeros. Zeroization é definida como um padrão em ANSI X9.17.
  • Desmagnetização  é o processo usado para destruir permanentemente o conteúdo do disco rígido ou meios magnéticos. Desmagnetização funciona por meio de um poderoso ímã que usa seu campo de força para penetrar na mídia e reverter a polaridade das partículas magnéticas na fita ou nas travessas do disco rígido. Depois que a mídia foi desmagnetizada, ela não pode ser reutilizada. O único método mais seguro do que desmagnetizar é a destruição física.

Desmagnetizador

Em alguns casos, as opções listadas aqui podem não ser algo que você pode usar porque a mídia pode conter informações que exigem a destruição física da mídia. Isto pode ser verdade no caso de discos rígidos, onde a destruição física do dispositivo pode ser necessária, até derreter o dispositivo.

Os problemas com unidades de estado sólido

Nos últimos anos, discos rígidos tradicionais (os que têm discos giratórios no interior) foram cada vez mais substituídos em favor dos discos de estado sólido (SSDs). Essas unidades oferecem maior velocidade, melhor desempenho, menor consumo de energia e outros benefícios, mas não podem ser apagadas da mesma maneira. Os métodos de saneamento que são usados atualmente para limpar, substituir ou zeroizar discos rígidos tradicionais não funcionam em mecanismos SSD.

Em teoria, alguns dos métodos usados para drives tradicionais devem funcionar, mas eles tendem a ser questionável. Por exemplo, substituindo uma unidade com uns e zeros algumas vezes soa como uma boa maneira de eliminar restos, mas mesmo se tudo é substituído ainda há chips na unidade que poderia conter dados. Alguns fornecedores têm rotinas em suas unidades que são supostamente para limpar as unidades, mas essas rotinas são frequentemente implementadas incorretamente. Ainda outras unidades oferecem recursos para proteger a unidade, descartando chaves de criptografia, mas isso nem sempre é uma eliminação completa. Finalmente, nenhum dos métodos atuais para limpar drives pode reivindicar ser totalmente eficaz para sanitizar dispositivos SSD.

Se você tem esses dispositivos em seu ambiente, você pode ter que recorrer a trituração, esmagamento, derretimento, ou até a moagem da unidade para garantir que os dados sensíveis dele não caiam nas mãos erradas.

Sugestões de livros:

Lavabit lança protocolo de e-mail com criptografia de ponta a ponta

Conhecido por ser usado por Edward Snowden, serviço de mensagens.

O desenvolvedor por trás do Lavabit, um serviço de e-mail que era usado por Edward Snowden, está liberando seu código fonte para um padrão open-source de um e-mail com criptografia de ponta a ponta que promete proteger as suas mensagens de espionagem.

O código para o padrão chamado Dark Internet Mail Environment (DIME) foi disponibilizado no Github, juntamente com um programa associado de servidor de e-mail. (mais…)

Falhas críticas são encontradas em app open-source de criptografia

Uma nova auditoria de segurança encontrou vulnerabilidades críticas no VeraCrypt, um programa open-source de criptografia completa que é o sucessor direto do muito popular e agora morto TrueCrypt.

Os usuários são encorajados a fazer um upgrade para o VeraCrypt 1.19, que foi liberado nesta semana e inclui patches para a maioria das falhas. Alguns problemas continuam sem solução porque corrigi-los exige mudanças complexas no código e em alguns casos afetaria a compatibilidade reversa com o TrueCrypt.

No entanto, o impacto da maioria desses problemas podem ser evitados ao seguir as práticas seguras mencionadas na documentação ao configurar contêineres criptografados e usando o software. (mais…)

Organizações querem tornar a Web mais segura, criptografando todos os sites

Mozilla Corporation, Cisco Systems, Akamai Technologies, Electronic Frontier Foundation, IdenTrust, e a Universidade de Michigan estão por trás da fundação da autoridade certificadora Let’s Encrypt. O objetivo é tornar a Web mais segura, facilitando e acelerando o uso do protocolo HTTPS (HyperText Transfer Protocol Secure ou protocolo de transferência de hipertexto seguro), uma implementação do protocolo HTTP sobre uma camada adicional de segurança que permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente por meio de certificados digitais. (mais…)

Novo método hacker pode reduzir segurança de criptografias avançadas

Com um sistema inovador que elimina redundâncias, especialista em segurança aumenta em 21% a capacidade dos sistemas de quebra de senhas.

Sabe aquela sua senha muito segura que foi criada com algarismos, letras e caracteres especiais? Pois você deve lembrar que ela pode não valer nada se os servidores em que estão armazenadas não oferecerem a segurança necessária. E agora nem mesmo as codificações SHA1 (que utilizam Hash para despistar possíveis invasores) estão garantindo o que esperamos delas.

Em um evento especializado em segurança digital realizado na Noruega, um pesquisador apresentou um novo algoritmo capaz de aumentar em 21% a capacidade dos atuais sistemas de quebras de codificação existentes. O grande trunfo deste novo sistema está na possibilidade de fazer com que operações redundantes sejam eliminadas, o que diminui bastante o tempo necessário para a quebra das senhas. (mais…)

Google, Microsoft e Yahoo corrigem falha de segurança em serviços de email

As três empresas apresentaram falhas similares em bloqueio de chaves falsificadas no envio de mensagens.

Sempre que você envia um email para alguém, sua mensagem precisa passar por servidores para que possam chegar às caixas dos destinatários. Mas para que sua conta seja considerada legítima, ela deve passar por verificações de chave DKIM — uma chave criptografada que carrega informações de segurança para a validação de mensagens –, o que evita que contas falsificadas emitam mensagens maliciosas.

O problema é que os três maiores serviços de email do mundo (Hotmail, Yahoo e Gmail) mostraram falhas nisso. Por questões de segurança, é obrigatório que as chaves DKIM tenham pelo menos 1.024 bits, mas os principais serviços do mundo estavam com chaves bem menos seguras do que se esperava. (mais…)

Será que a senha do Windows protege mesmo seus arquivos?

Na prática, recurso não serve para impedir que seus dados caiam em mãos erradas. Um sistema de criptografia é a melhor solução.

Já faz algum tempo que o Windows tem o conceito de múltiplas contas de usuário, cada uma com suas próprias preferências e pastas com arquivos pessoais. E cada conta pode ser protegida com uma senha.

Mas ao contrário do que se pensa, essa senha não protege seus arquivos mais importantes contra acesso não autorizado. Um administrador tem acesso a todos os arquivos da máquina, há formas de burlar a senha e um malfeitor mais determinado poderia simplesmente arrancar o HD do computador e lê-lo em outro PC. A senha do Windows apenas impede que outras pessoas usem seu computador como se fossem você. (mais…)

GCrack: Identificação e Quebra de Senhas Através do Google

Exatamente como o nome sugere, GCrack é um crack de hash que utiliza o motor de buscas do Google para quebrar hashes múltiplos. Outra ferramenta que funciona de forma semelhante é o -findmyhash, embora o GCrack tenha sido originalmente inspirado pelo BozoCrack. De fato, ele traz melhorias relacionadas ao BozoCrack, que quebra hashes MD5 buscando por esses hashes e utilizando a consulta resultante como uma wordlist. O utilitário tenta, automaticamente, criar [file_with_hashes], em execução para hashes que têm sido experimentados ou mesmo quebrados.  (mais…)

Novos padrões de criptografia visam maior segurança para a web

Não há bala de prata quando se trata de criptografia. Mesmo a mais complexa, invulnerável delas hoje poderia se tornar uma brincadeira de criança no futuro. O NIST (National Institute of Standards and Technology, ou Instituto Nacional de Padrões e Tecnologia, em tradução livre) está publicando novos padrões de criptografia para revisão pública, na tentativa de ficar um passo à frente do cibercime.

O NIST é uma agência governamental, e suas diretrizes só afetam realmente outras agências governamentais. No entanto, muitos especialistas em segurança e organizações olham para os padrões NIST como uma referência. (mais…)

Mecanismos de certificação e a criptografia

Os mecanismos de certificação são responsáveis em atestar a validade de um documento.

Certificação Digital

A Certificação Digital pode ser vista como um conjunto de técnicas, processos e normas estabelecidas ou adotadas, que visam propiciar mais segurança às comunicações e transações eletrônicas, proporcionando a autenticidade e integridade das informações que tramitam de forma eletrônica. (mais…)

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!