Alternativas seguras a serviços sem criptografia

http

O uso de alternativas seguras é indispensável em servidores que servem páginas de comércio eletrônico, banco de dados, sistemas bancários, administração via web ou que tenham dados que oferecem risco, se capturados.

Existem duas alternativas: instalar o servidor Apache-ssl (pacote ou adicionar o módulo mod-ssl na instalação padrão do Apache. Esta segunda é a preferida por ser mais rápida e simples de se administrar, por usar o servidor Web Apache padrão e sua configuração. Veja ??? para detalhes de como configurar um servidor Web para transmissão de dados criptografados.

Transmissão segura de e-mails

A codificação padrão usada para o envio de mensagens em muitos clientes de e-mail é o MIME/base64. Isto não oferece muita segurança porque os dados podem ser facilmente descriptografados se pegos por sniffers (veja “Sniffer”) ou abertos por administradores não confiáveis no diretório de spool do servidor.

Existem uma diversidade de servidores SMTP, POP, IMAP do Linux que já implementam o protocolo de autenticação SSL/TLS, exigindo login/senha para o envio/recepção de mensagens, cabeçalhos de autenticação (aumentando um pouco mais a confiança sobre quem enviou a mensagem). Em especial, a autenticação é útil quando desejamos abrir nossas contas de e-mail para a Internet, por algum motivo, e não queremos que outros façam relay sem nossa autorização.

Outra forma de garantir a segurança da mensagem/arquivos através do correio eletrônico é usando o PGP (veja “Usando o GPG para Autenticação e Criptografia”) em conjunto com um MUA (Mail User Agent - cliente de e-mails) que suporte o envio de mensagens criptografadas/assinadas usando PGP. A vantagem do GPG em cima da autenticação SSL é que você tem garantidas da autenticidade da mensagem e você pode verificar sua integridade. Os dois programas mais usados em sistemas Unix são o mutt e o sylpheed. O mutt é um MUA para modo texto e o sylpheed para modo gráfico. Ambos são muito flexíveis, permitem uma grande variedade de configurações, personalizações, possuem agenda de endereços e gerenciam diversas contas de e-mails em um só programa.

Para encriptar/assinar uma mensagem no mutt escreva/responda seu e-mail normalmente, quando aparecer a tela onde você tecla "y" para enviar a mensagem, tecle "p" e selecione uma das opções para criptografar/assinar uma mensagem.

Para fazer a mesma operação no sylpheed, escreva/responda seu e-mail normalmente e clique no menu "Mensagem" e marque "assinar", "criptografar" ou ambos. A chave pública deverá estar disponível para tal operação (veja “Adicionando chaves públicas ao seu chaveiro pessoal” e “Extraindo sua chave pública do chaveiro”).

Servidor pop3

A alternativa mais segura é a utilização do protocolo IMAP com suporte a ssl. Nem todos os clientes de e-mail suportam este protocolo.

Transferência de arquivos

Ao invés do ftp, use o scp ou o sftp para transferência segura de arquivos. Veja ??? e ???. Uma outra alternativa é a configuração de uma VPN entre redes para garantir não só a transferência de arquivos, mas uma seção em cima de um tunel seguro entre duas pontas.

login remoto

Ao invés do uso do rlogin, telnet e rsh utilize o ssh (veja ???) ou o telnet com suporte a ssl (veja ???).

Bate papo via IRC

O programa SILC (Secure Internet Live Conference) realiza a criptografia de dados durante o bate papo entre diversos usuários conectados via rede.

Transmissão de mensagens via ICQ

O protocolo ICQ trabalha de forma plana para transmissão de suas mensagens, inclusive as senhas. Clientes anteriores ainda usavam o UDP (até a versão 7) para envio de mensagens, piorando um pouco mais a situação e deixando o cliente mais vulnerável a falsificações de pacotes. Outro ponto fraco é que se alguma coisa acontecer com os pacotes UDP, eles serão simplesmente descartados perdendo a mensagem.

Ao invés do ICQ, você poderá usar algum cliente do protocolo Jabber (como o gaim, gaber ou gossip) ou o LICQ mais atual com suporte a ssl compilado. O problema do LICQ com ssh, é que as duas pontas deverão ter este suporte compilado e funcionando.