Um dos principais assuntos de segurança recentes está sendo a invasão à Playstation Network. A coluna Segurança Digital e o G1 estão cobrindo o caso, mas ainda há algumas dúvidas. Um leitor, por exemplo, perguntou o que é o “hashing” que a Sony usou para proteger a senha. Confira também respostas sobre ações legais contra a PSN e antivírus para celular.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
>>> Hash e salt
Seria possível uma explicação ou referência sobre as tecnologias hashing e salt?
Francisco
Qualquer dado de computador pode sersubmetida a uma função de hash, gerando
uma sequência a partir de fórmulas
matemáticas. (Foto: Divulgação)
A coluna mencionou essas tecnologias quando falou do sistema de segurança da Sony. O especialista Wagner Elias comentou que a Sony deveria ter usado hashing e salt, e que a companhia confirmou ter usado hashing, mas não se sabe se foi usado salt. A coluna brevemente explicou essas tecnologias, mas agora vai explicar um pouco mais, a pedido do leitor Francisco.
“Hashing” é um algoritmo – entenda como uma sequência de fórmulas matemáticas – aplicada a uma informação qualquer, podendo ser um arquivo inteiro ou uma sequência de letras e números, como uma senha. Quando esses cálculos terminam, é gerada uma sequência de um tamanho fixo. Essa sequência é chamada de hash.
Existe mais de uma maneira de usar fórmulas matemáticas para esse fim e algumas tecnologias comuns existem, como por exemplo o SHA-1 e o MD5. Se você usar esse gerador de MD5 e digitar “senha2011”, você terá a sequência “43cd2045b30a29287fd598e4c32b6108”. Aí está o hash.
Isso não é criptografia. A sequência gerada não “contém” a senha original. Ela não pode ser revertida. De uma forma bem simplificada, é como um número; digamos, o sete: ele pode ter sido obtido de 6+1, 5+2 ou 21/3. Sabendo que o resultado é 7 não te permite saber de qual destas fórmulas ele veio. Hashs funcionam da mesma forma, mas são mais complexos: enquanto o 7 pode ter vindo de várias sequências que você consegue facilmente calcular de cabeça, o hash deve ser incalculável, exceto em uma aplicação positiva da fórmula, ou seja, você sabe que 5+2 é 7, mas você não pode saber que 7 é 5+2.
Voltando ao nosso exemplo, qualquer um pode saber que “senha2011” gera o hash “43cd2045b30a29287fd598e4c32b6108”, mas ninguém sabe, apenas olhando a sequência, que ela foi gerada a partir da "senha2011”. A única maneira de quebrar um hash é fazendo todos os hashes possíveis: “a”, gera tal hash, “b” gera tal hash, “z”, gera tal hash, “aa”, “ab” e assim por diante, até se ter todas as combinações (fazer o hash de “a” e juntá-lo com o de “b” não dá o mesmo que o hash de “ab”). Uma tabela de hashes para quebra de senhas pode ter facilmente centenas de gigabytes. Essas tabelas de valores pré-calculados são chamadas de “rainbow tables”.
Perceba que a sequência gerada pelo “senha2011” depois do MD5 tem 32 caracteres. Todos os MD5 têm 32 caracteres. Se a senha usada tiver 200 caracteres, o resultado ainda será uma sequência de 32. O resultado disso é que existe mais de uma possibilidade para a mesma sequência, da mesma forma que o 7 pode ter sido obtido por 6+1 ou 5+2. Quando dados diferentes geram a mesma sequência hash, tem-se um conflito. Conflitos ocorrem em qualquer técnica de hashing, mas eles devem ter uma frequência aleatória. Se forem menos do que aleatórios, o hash é considerado menos seguro. Esse é o problema do MD5, e por isso aplicações em que segurança é essencial já o substituíram por outras tecnologias.
PSN não é oferecida oficialmente no Brasil,deixando dúvidas a respeito de dados
roubados de brasileiros (Foto: Reprodução)
Agora, o salt. O salt é um “tempero” do hash – uma modificação da fórmula, normalmente obtida pelo acréscimo de outra fórmula ou informação. O resultado prático disso é que aquelas tabelas de valores pré-calculados de hash passam a não servir para nada. Já que a fórmula foi levemente modificada, os cálculos todos já feitos são inúteis e podem levar meses para recalcular tudo.
Por isso a importância de se usar hash com salt. O hash significa que a senha propriamente dita não está armazenada no servidor. O salt impede que o hacker tenha um valor pré-calculado do hash e saiba uma senha geradora do mesmo hash (mesmo que seja uma senha diferente, devido à existência dos conflitos).
Hashes também são usados para verificação de downloads. Por exemplo, para softwares que são baixados de muitos servidores, não é incomum a disponibilização de um hash (normalmente MD5) na página oficial. Isso permite que o usuário verifique se a cópia baixada é idêntica à original e não foi modificada maliciosamente ou mesmo corrompida durante a transferência. Caso existam mudanças nos bits do arquivo, o hash gerado será diferente, apontando a discrepância.
>>> Ação legal contra a Sony
Sou usuário da Sony Network e provavelmente tive meus dados roubados. Não fiz cadastro de cartão de credito nem outras coisas tão importantes, mas não gostei de ter meus dados roubados. Existe alguma providencia legal que eu possa realizar contra a empresa nesse caso?
Rafael
Como o estado da PSN no Brasil ainda é incerto, alguns advogados já disseram que não há recursos para os usuários brasileiros, exceto aguardar. A Sony disse estar verificando a possibilidade de colocar a América Latina em um serviço de proteção de identidade, mas ainda não há confirmação se isso vai mesmo acontecer.
Este antivírus para Android inclui funções debackup e recursos para recuperar o celular
no caso de perda (Foto: Reprodução)
>>> Antivírus para celular
Com o grande aumento no uso dos smartphones, gostaria de saber se já há no mercado antivírus confiáveis para esses telefones, principalmente para o iPhone.
Luiz Otávio Newlands Machado
A coluna abordou esse assunto não faz muito, comentando as soluções já existentes de antivírus para celular. Embora existam softwares de segurança, na maioria dos casos você não precisa deles – muito menos se sua preocupação forem as pragas digitais. Antivírus para celular têm funções agregadas de segurança, como no caso de roubo, por exemplo, que na verdade podem ser as mais interessantes.
Especialmente no caso do iPhone, não adianta instalar um antivírus, porque somente aplicativs autorizados pela Apple podem ser executados no aparelho. O que existe de software de segurança para iPhone normalmente é para o mercado empresarial e destinado ao chamado mercado de “compliance” – quando as empresas precisa atender certas normas de segurança que exigem monitoramento de todos os dispositivos eletrônicos.
A plataforma de celular mais atacada por vírus é o Symbian, usada hoje principalmente pela Nokia, mas que já está caminhando para o abandono, sendo substituída pelo Windows Phone 7. Em seguida, vem o Android, do Google. No entanto, um antivírus não iria ter ajudado nos piores ataques, que tiveram apps maliciosos incluídos no Market – o local oficial para obter apps para o celular.
Vale a pena ter apenas um pouco de cuidado e realizar backups regulares dos dados do seu celular ao invés de ficar buscando uma solução antivírus. Se seu interesse está nas funções agregadas ou você procura um software de monitoramento para sua empresa, porém, já existem soluções de alguns fabricantes.
Mais uma coluna Segurança Digital chega ao fim, mas toda quarta-feira tem pacotão, então não se esqueça de deixar sua dúvida na área de comentários. Se você tiver alguma sugestão de pauta, escreva também. E até a próxima!
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
0 comentários
Postar um comentário