Segurança em redes "abertas"

[fatecano]

Pessoal, sendo o mais sincero possível, não estou sabendo estruturar a pergunta, mas acho que vocês vão entender onde quero chegar.

Poderiam me indicar opções para dar algum nível de segurança a quem usa uma rede que, embora não seja totalmente aberta e tenha criptografia, é usada por muita gente?

Pode parecer uma coisa bem besta, mas fiquei bastante chateado ao ver que o uso de clientes de e-mail como o Thunderbird e o Evolution não é algo seguro.

Uso o Thunderbird porque gosto da forma que ele gerencia vários e-mails, mas não sabia que eu estava tão vulnerável assim.

Fiquei muito preocupado após ler esse artigo: Isto é o que malfeitores vêem quando você usa uma rede Wi-Fi aberta

Ok, entendi que o link acima fala de redes Wi-Fi abertas, mas passo quase o dia inteiro na universidade e a internet que eu tenho é justamente essa.

Embora ela tenha uma senha, a mesma é conhecida por todos e divulgada até nos murais da universidade.

O problema em relação ao uso de clientes de e-mails nem é por culpa dos aplicativos e sim dos próprios e-mails que não permitem o uso de criptografia na autenticação.

Não sei se estou falando bobagem por causa do meu pouco conhecimento na área, mas de que adianta a transferência do Gmail e Outlook serem criptografadas e a autenticação não?

Pelo que entendi, o invasor não consegueria ler a conversa atual, mas poderia roubar a senha porque a autenticação não é criptografada.

É isso mesmo?

No caso do e-mail da UOL Host que utilizamos num site que gerenciamos, é pior ainda, pois eles não oferecem criptografia nem na transferência e nem na autenticação.

Sinceramente, me senti um impotente agora e sensação que tenho é que usar clientes de e-mails é algo bastante inseguro. :/

Não gostaria de acessar os e-mails pelo browser, mas os motivos não cabem nesse post.

A única coisa que digo é que isso afeta muito a minha produtividade.

Alguém saberia dizer que tipo de coisas podemos fazer para melhorar a nossa segurança / privacidade?

Parece que VPN é uma boa alternativa, mas a sensação que fiquei é que não é algo muito acessível para usuários médios e sim para avançados. :/

Li esse artigo sobre servidor VPN no Ubuntu, mas achei super complicado.

Alguém conhece alternativas a isso?

Como ter o mínimo de privacidade para ler um simples e-mail?

Abraços

[zekkerj]

O problema em relação ao uso de clientes de e-mails nem é por culpa dos aplicativos e sim dos próprios e-mails que não permitem o uso de criptografia na autenticação.

Não sei se estou falando bobagem por causa do meu pouco conhecimento na área, mas de que adianta a transferência do Gmail e Outlook serem criptografadas e a autenticação não?

Pelo que entendi, o invasor não consegueria ler a conversa atual, mas poderia roubar a senha porque a autenticação não é criptografada.

É isso mesmo?

Olá Fatecano,

Seria uma baita idiotice fazer um protocolo de acesso que criptografasse os dados sem criptografar a autenticação. Está mais pra esse artigo estar errado. Ainda não li, vou dar uma olhada e ver se o que eles falam tem fundamento.

[zekkerj]

Bem, o artigo não é longo, e não me trouxe surpresas.

Em nenhum momento ele afirmou que a autenticação não é criptografada. O que ele chamou a atenção é que alguns serviços, como gmail, facebook, yahoo, etc., têm uma falha que permite que uma sessão seja roubada, após estar aberta. Apesar dele não ter entrado em detalhes sobre como isso ocorre, eu imagino que seja associado ao mecanismo de cookyes.

[fatecano]

Seria uma baita idiotice fazer um protocolo de acesso que criptografasse os dados sem criptografar a autenticação.

Olá zekkerj, boa tarde!

Olha só como fica a configuração dos e-mails.

Repare que a conexão é criptografada e a autenticação é "normal password".

Gmail:



Outlook:



O caso do UOL Host é ainda pior, pois não oferecem criptografia para nada:



Inclusive, o Thunderbird exibe uma mensagem de alerta para essa transferência sem criptografia do UOL Host.

[fatecano]

O que ele chamou a atenção é que alguns serviços, como gmail, facebook, yahoo, etc., têm uma falha que permite que uma sessão seja roubada, após estar aberta.

O texto daquele link é bem genérico e eu também imagino que seja roubo de sessão através de cookye.

Apesar dele não ter entrado em detalhes sobre como isso ocorre, eu imagino que seja associado ao mecanismo de cookyes.

Dei uma olhada no canal do YouTube daquele aplicativo para Android e parece que é isso mesmo.

Esse seria mais um problema de acessar uma rede como a da universidade.

Porém, como uso gerador de códigos para logar no Facebook, Gmail e WordPress, minha preocupação é um pouquinho menor do que usar o Thunderbird.

Essa questão da criptografia me preocupa bastante, pois nas conversas pelos corredores da universidade, descobri que existe rumores de bisbilhotagem por parte de alunos, com invasões de e-mails e até sites (possivelmente pelo FTP).

O que mais preocupa é que o nível técnico dos alunos dessa universidade é bastante alto, sendo que um dos cursos tem um enfoque na computação e outros dois são totalmente nessa área.

Ou seja, tem bastante gente com muito conhecimento técnico nisso.

Complicado! 

Estou pegando alguns tutoriais para ver se entendo como funciona uma VPN.

[zekkerj]

Repare que a conexão é criptografada e a autenticação é "normal password".

Normalmente essas conexões são projetadas de forma que qualquer comunicação --- inclusive usuário/senha --- só é feita depois que o túnel SSL é estabelecido. Eu diria que nesse caso, a segurança de sua senha é a mesma que você tem em uma conexão SSH (que usa a mesma tecnologia).

[zekkerj]

Quanto à VPN, não é tão simples... uma VPN é uma conexão criptografada entre dois pontos. Significa que não basta vc ter a VPN em sua máquina, vc precisa ter um segundo ponto pra onde vc vai estabelecer a VPN.

[fatecano]

Normalmente essas conexões são projetadas de forma que qualquer comunicação --- inclusive usuário/senha --- só é feita depois que o túnel SSL é estabelecido. Eu diria que nesse caso, a segurança de sua senha é a mesma que você tem em uma conexão SSH (que usa a mesma tecnologia).

Rapaz, você falou uma coisa importantíssima.

Deixa eu ver se entendi.

A ideia de um túnel SSH seria a mesma de um túnel onde passa carros.

Existe apenas uma entrada e uma saída e quem está fora não vê o que está passando por dentro.

Isso significa que na hora que o cliente de e-mail vai se conectar ao servidor (Gmail, Outlook, etc), ele criptografa e encapsula para enviar por esse túnel?

Nesse caso, ele estaria enviando o meu usuário e senha juntamente com os outros pacotes de informações?

Se for isso mesmo, então a minha preocupação inicial com a segurança do cliente de e-mail está praticamente resolvida! 

[fatecano]

Quanto à VPN, não é tão simples... uma VPN é uma conexão criptografada entre dois pontos. Significa que não basta vc ter a VPN em sua máquina, vc precisa ter um segundo ponto pra onde vc vai estabelecer a VPN.

Fiz uma pesquisa aqui e vi que a VPN funciona mais ou menos assim:

• deixo um computador em casa e ligado o tempo todo na internet
• esse computador será o servidor
• levo o notebook para a universidade e, mesmo usando a internet "aberta" deles, os pacotes são criptografados, encapsulados e enviados para a VPN que instalei no servidor que deixei em casa
• tudo o que eu fizer pela internet, passará por esse túnel
• tudo o que eu acessar, na verdade, será acessado pelo servidor que deixei em casa

Resumindo: seria como se eu usasse a internet da minha casa, mesmo estando em qualquer outra lugar.

Correto?

Se for isso mesmo, tenho que começar em dar um upgrade na máquina que seria o servidor.

[sigur]

Se for isso mesmo, tenho que começar em dar um upgrade na máquina que seria o servidor.

Não seria melhor falar com o pessoal da universidade para melhorarem a segurança no uso da rede?

[Renan Rischiotto]

Se for isso mesmo, tenho que começar em dar um upgrade na máquina que seria o servidor.

Não seria melhor falar com o pessoal da universidade para melhorarem a segurança no uso da rede?

+1

[zekkerj]

A preocupação dele é pertinente para qualquer HotSpot aberto, independente de qualquer medida a ser tomada na universidade.

[fatecano]

Acabei de lembrar do TOR.

http://www.tecmundo.com.br/tutorial/23773-tor-como-navegar-anonimamente-na-internet.htm

Na verdade, minha preocupação não era manter o anonimato e sim ter segurança ao ler e-mails.

Mas como ele criptografa, vou testá-lo também.

[fatecano]

Estava pensando na possiblidade de colocar toda a conexão nesse TOR (Thunderbird, Skype, Chrome, atualizações do Ubuntu e quaisquer outros aplicativos que acessam a internet).

O problema é que parece que não é possível ou então não é tão recomendado, pois tem a largura de banda e isso deve sobrecarregar os servidores.

E isso o deixaria mais lento do que ele parece ser.

De qualquer forma, parece que esse complemento resolve o meu problema para o Thunderbird:

https://trac.torproject.org/projects/tor/wiki/torbirdy

[Denis Ferraz]

Boa Tarde a Todos!

Caro fatecano;

Pessoal, sendo o mais sincero possível, não estou sabendo estruturar a pergunta, mas acho que vocês vão entender onde quero chegar.

Poderiam me indicar opções para dar algum nível de segurança a quem usa uma rede que, embora não seja totalmente aberta e tenha criptografia, é usada por muita gente?

Pode parecer uma coisa bem besta, mas fiquei bastante chateado ao ver que o uso de clientes de e-mail como o Thunderbird e o Evolution não é algo seguro.

Uso o Thunderbird porque gosto da forma que ele gerencia vários e-mails, mas não sabia que eu estava tão vulnerável assim.

Fiquei muito preocupado após ler esse artigo: Isto é o que malfeitores vêem quando você usa uma rede Wi-Fi aberta

Ok, entendi que o link acima fala de redes Wi-Fi abertas, mas passo quase o dia inteiro na universidade e a internet que eu tenho é justamente essa.

Embora ela tenha uma senha, a mesma é conhecida por todos e divulgada até nos murais da universidade.

O problema em relação ao uso de clientes de e-mails nem é por culpa dos aplicativos e sim dos próprios e-mails que não permitem o uso de criptografia na autenticação.

Não sei se estou falando bobagem por causa do meu pouco conhecimento na área, mas de que adianta a transferência do Gmail e Outlook serem criptografadas e a autenticação não?

Pelo que entendi, o invasor não consegueria ler a conversa atual, mas poderia roubar a senha porque a autenticação não é criptografada.

É isso mesmo?

No caso do e-mail da UOL Host que utilizamos num site que gerenciamos, é pior ainda, pois eles não oferecem criptografia nem na transferência e nem na autenticação.

Sinceramente, me senti um impotente agora e sensação que tenho é que usar clientes de e-mails é algo bastante inseguro. :/

Não gostaria de acessar os e-mails pelo browser, mas os motivos não cabem nesse post.

A única coisa que digo é que isso afeta muito a minha produtividade.

Alguém saberia dizer que tipo de coisas podemos fazer para melhorar a nossa segurança / privacidade?

Parece que VPN é uma boa alternativa, mas a sensação que fiquei é que não é algo muito acessível para usuários médios e sim para avançados. :/

Li esse artigo sobre servidor VPN no Ubuntu, mas achei super complicado.

Alguém conhece alternativas a isso?

Como ter o mínimo de privacidade para ler um simples e-mail?

Abraços

Acesse os links abaixo e verifique se te ajuda:
O Enigmail é um plugin para o o Mozilla Thunderbird que adiciona a este a função de criptografar, descriptografar, assinar e verificar assinaturas dos e-mails com o GnuPG pressionando apenas um botao no próprio Thunderbird.

O software conta ainda com um gestor de chaves e com regras automáticas por destinatário
O Enigmail é um programa que usa o GnuPG para encriptar e assinar e-mails no Mozilla Thunderbird, um programa similar ao Microsoft Outlook Express. Após a instalação haverá um novo menu no Mozilla Thunderbird a partir do qual você poderá configurar o programa e ver o seu chaveiro.

Ao enviar um e-mail basta apertar o botão assinar e encriptar que o Engimail automáticamente vai procurar a chave pública do destinatário, pedir a sua senha e efetuar a operação.

Ao receber um e-mail assinado e criptografado, ele verifica automáticamente a assinatura e pede a sua senha para descriptografar a mensagem. Ao fechar o programa as mensagens criptografadas permanecem criptografadas garantindo maior segurança.
Você pode instalar o Enigmail pelo Synaptic/Terminal/Central De Programas, ou, então, em Complementos Para Thunderbird!

Fique com Deus e obrigado!