Pen drive seguro

Propaganda
Criptografia de pen drive
Perder um pen drive é fácil demais. Proteja seus
dados para evitar que caiam em mãos erradas.
por Kristian Kissling
M
uitos usuários guardam
dados importantes em
pendrives. Podem ser senhas, endereços de email, planilhas
ou outras informações confidenciais.
Para as empresas, isso representa um
risco significativo, pois se o pendrive
for extraviado, os dados podem fornecer informações que podem ser usadas contra a própria empresa ou até
contra seus clientes e fornecedores.
Este artigo mostra como criptografar
dados em qualquer pendrive, uma
medida que deveria fazer parte das
obrigações de toda empresa.
A criptografia elimina a preocupação de guardar dados valiosos em
pendrives. Graças à infraestrutura de
mapeamento de dispositivos introduzida no kernel 2.6, o Linux agora
permite adicionar um escudo protetor
aos sistemas de arquivos. O módulo
do kernel dm_crypt usa esse conceito
para encapsular sistemas de arquivos
com uma camada de criptografia. Para
montar a partição no disco rígido, primeiro é preciso remover a proteção
informando a senha correta.
Pendrives criptografados deste modo
funcionam apenas com um kernel que
possua o módulo dm_crypt; eles não
funcionarão no Windows. O módulo
também precisa conhecer e saber usar
o método de criptografia; por exemplo,
o kernel 2.6.24 pode usar opcionalmente o algoritmo aes-xts-plain, que não
existia na versão anterior do Linux. Isso
significa que um pendrive criptografado com aes-xts-plain no Ubuntu 8.04
não será montado no Ubuntu 7.10,
porém um pendrive criptografado
nas versões anteriores funcionará em
versões recentes.
Criptografia
de pendrive
O pacote cryptsetup é necessário
tanto para criptografar quanto para
descriptografar uma partição. É possí-
Figura 1 Colete à prova de balas: o Cryptsetup permite encapsular a partição
/dev/sdb1 numa camada de proteção.
66
LM57 66
Rodolfo Olix – www.sxc.hu
SEGURANÇA
Pen drive seguro
vel criptografar discos rígidos inteiros
e partições, mas tenha cuidado: se
você digitar acidentalmente /dev/sda1
em vez de /dev/sdb1, não conseguirá
acessar sua partição raiz. Também é
necessário formatar a partição antes
de criptografá-la, o que apagará todos
os seus dados contidos nela.
Os exemplos a seguir utilizam sdz
para representar o dispositivo do pendrive. Certifique-se de substituí-lo pelo
dispositivo correto na sua máquina. Use
o fdisk ou o cfdisk para apagar qualquer
partição que já exista no pendrive e
em seguida criar uma nova partição
primária. Em seguida, é bom gravar
dados aleatórios na nova partição (sdz1):
# dd if=/dev/urandom of=/dev/sdz1
bs=4K
Os dados aleatórios evitam dar
qualquer pista para potenciais ataques a respeito do conteúdo e do
tamanho dos dados criptografados.
Se o processo estiver lento demais,
altere o tamanho do bloco, de 4 KB
para, por exemplo, 1 MB, trocando
o parâmetro bs=4K por bs=1M.
Em seguida, carregue o módulo
dm_crypt com modprobe dm_crypt.
Agora use a ferramenta cryptsetup
e o mapeador de dispositivos para
criar a camada de proteção (figura 1):
$ sudo cryptsetup -yvh sha256 -c
aes-xts-plain -s 256 luksFormat
/dev/sdz1
http://www.linuxmagazine.com.br
07/08/09 19:39
A opção -yvh sha256 pede a senha
duas vezes e a salva em um hash de
256 bits. A opção -c permite especificar o método de criptografia. Este
exemplo usa o algoritmo AES XTS
com uma chave de 256 bits (-s 256).
Para usar o pendrive em sistemas
com versões do kernel anteriores à
2.6.24, selecione -c aes-lrw-benbi
como algoritmo de criptografia. Para
versões anteriores à 2.6.20, escolha
-c aes-cbc-essiv:sha256.
O comando luksFormat, que inicializa a partição, é parte do padrão
LUKS (veja o quadro 1). É necessário definir uma senha. O segundo
passo é usar o comando luksOpen
para acessar a partição criptografada (listagem 1, linha 1). É permitido
escolher qualquer nome (pendrive,
neste caso) ao montar a partição pelo
mapeador de dispositivos.
Depois de digitar o comando,
o cryptsetup pede a senha recémcriada. Será necessário repetir esse
comando sempre que se quiser
montar o pendrive criptografado.
Feito isso, já é possível enxergar o
conteúdo da partição pelo ponto de
montagem /dev/mapper/pendrive, mas
ela ainda não contém um sistema
de arquivos. Para criar um sistema
Ext3 normal, digite mkfs.ext3 /dev/
mapper/pendrive (listagem 1, linha 2).
Em seguida, monte a partição (listagem 1, linha 3).
Montado no diretório /mnt/, o pendrive pode precisar de uma pequena
REDES:
T p.52
muita
de
IP MULTICAS
fluxo
.
economizar
um únicodestinatários
É possível
EDIÇÃO: p.44
enviando
NESTAde rede eficaz
banda para múltiplos
p.48
to
p.58
pacotes
TAMBÉM
o Dogtag p.72
balanceameno OpenSolaris
s com
SQL Reactor
» PePLink: dominando
centralizado com
SSL
de dados
» Continue
E.COM.BR
ao banco
» Certificados
fácil
XMAGAZIN
» Acesso
VEJA
Use
somente autenticarem
firewall que se
usuários
no
A VPN
p.64
portas dos
ÇA: DISPENSE
abrir
para
sucesso.
as máquinas
SEGURAN
com
o Portsmith para
A REVISTA
DO PROF
ISSIONAL
DE TI
# 56
IPS
Fundamentos ao
aproveitar um sistema
para
de
qualidades
p.66
E IDS
A: IPS práticas
as
SEGURANÇe melhores
e IDS.
máximo
Controle de rede
WebHTB.
clientes
e competente
DE BANDA
LIMITEde rede dos
REDES:a banda com
o fácil
O?
ADEQUADO
AO USO
MANTENHA
AMEAÇA
UMA EMPRESA.
ÇÃO É
p.29
SUA
DE TI.
TI DA
A DESORGANIZA DE SEU PARQUE
SOBRE
DOS RECURSOS
p.30
p.36
O CONTROLE
NagVis
GLPI
com o
com o
p.42
e bonita
script
sob controle
clara
de TI
» Rede
por shell
conversam
» Infraestrutura
e AD
» Samba
p.62
SOLUÇÃ
TEM
A REVISTA
COMPARATIVO
INFRAESTRUTURA
NUVEM
DE TI
VIRTUALIZAÇÃ
O
IP MULTICAST
SHELL
FIREWALL
IPS/IDS
AUTENTICAÇÃ
O
LINUX-LIBR
WEBHTB
OPENSOLARI
S
E
OPENSOLARIS
PHP
SQL
GNU + LINUX
CERTIFICADO
JAVA VM
M.BR
AGAZINE.CO
NS
16:33
08/07/09 14:21
VEJA TAM
BÉM
29/04/09
NESTA EDI
» Ataques
auto
ÇÃO:
» Novo colu matizados a prot
ocol
nista: Alex
» Linux
andre Borg osIp.16
não é
es p.18
» OpenSola Sofware Livre
p.62
ris: Dom
ine o siste
ma aber
to da Sun
p.65
ial completo
p.29
: Servidor
» Compara
de arquivos
mos todo
p.30
s os siste
mas de arqu
» Btrfs, a
ivos! p.40
próxima
geração
» ZFS no
p.46
Linux com
oFUSE p.50
» Nove solu
ções de
becape p.54
S NO
Resolver
nomes NetB LINUX p.70 SEG
Samba já
IOS com
URANÇA:
é possível
PER
Todo lapto
e fácil.
p está em DEU O LAPTOP
risco. Use
?
rastrear
WWW.LI
seu com
o Adeona p.74
NUXMAG
putador
para
e recuperá
AZINE.CO
M.BR
-lo.
SAMBA4WI
WWW.LINUXM
RIS
REDES: WIN
TI
RISCO
AL DE
FISSION
DO PRO
dados e
m
A REVISTA
TV + PC
Entrevista+ SL p.28
do inova com o criador
dor iBlog
TV
ER COM
PUTADOR
PODE SER
SEGURA
NÇA, QUA
VIR ARQ
UIVOS, MAS
LIDADE
É PRECISO
LIVRE, FICA E RAPIDEZ. COM
GARANT
LINUX E
MUITO MAI
IR
SOFTWA
S FÁCIL.
» Tutor
RE
QUALQU
» Ataques automatizados a protocolosIp.16
» Novo colunista: Alexandre Borges p.18
» Linux não é Sofware Livre p.62
» OpenSolaris: Domine o sistema aberto da Sun p.65
VEJA TAMBÉM NESTA EDIÇÃO:
RELATO
Maddog DE PROBLEMA p.26
um prob explica como relat
lema para
ar
obter ajuda
# 54 Mai
o
2009
11 4082-1300
cryptsetup luksOpen /dev/sdz1 pendrive
mkfs.ext3 /dev/mapper/pendrive
mount /dev/mapper/pendrive /mnt
chmod -R seu_usuario:seu_grupo /mnt
cryptsetup luksClose /dev/mapper/pendrive
OM.BR
SAMBA + AD +
OPENSOLA
e
Fundamentos
ao máximo as
A VPN p.64
para aproveitar
e IDS.
: DISPENSE s no
sistemas IPSURA
qualidades de
SEG NÇA
abrir porta
p.52
mith para
dos
máquinas
Use o Ports
MULTICAST
nte para as
sucesso.
REDES: IP
muita
firewall some autenticarem com
economizar
de
É possível
que se O:
iosEDIÇÃ
único fluxo
um
usuár
ndo
A
s.
atário
ÉM NEST
banda envia
TAMB
plos destin
múltiVEJA
renome p.48
uma questão de
pacotes para
p.52
» GNU e Linux,
02/06/09
você conhece todas?
» JVMs para Linux:
p.56
os
periféric
» OpenSolaris e
p.72
em Boo, um prazer
» Programação
ADEONA
IPS E IDS p.66
SEGURANÇA:melhor
es práticas
WWW.LINUXMAGAZINE.COM.BR
Resolver nomes NetBIOS com
Samba já é possível e fácil.
p.74
Todo laptop está em risco. Use o Adeona para
rastrear seu computador e recuperá-lo.
» Nove soluções de becape p.54
» ZFS no Linux com oFUSE p.50
» Btrfs, a próxima geração p.46
» Comparamos todos os sistemas de arquivos! p.40
» Tutorial completo: Servidor de arquivos p.30
QUALQUER COMPUTADOR PODE SERVIR ARQUIVOS, MAS É PRECISO GARANTIR
SEGURANÇA, QUALIDADE E RAPIDEZ. COM LINUX E SOFTWARE
LIVRE, FICA MUITO MAIS FÁCIL. p.29
REDES: WINS NO LINUX p.70 SEGURANÇA: PERDEU O LAPTOP?
# 54 Maio 2009
2009
# 56 Julho
RISCO
dados em
TV + PC + SL p.28
Entrevista com o criador
do inovador iBlogTV
SL NA CAIX
Sucesso A p.24
de códig em vários proje
tos
o aberto
RELATO DE PROBLEMA p.26
Maddog explica como relatar
um problema para obter ajuda
A REVISTA DO PROFISSIONAL DE TI
A REVISTA DO PROFISSIONAL DE TI
#54 05/09
00054
SL NA CAIXA p.22
Sucesso em vários projetos
de código aberto
Listagem 1: Criptografando um pendrive
NE.C
XMAGAZI
WWW.LINU
GLPI
balan
p.48
» PePLink:
o OpenSolaris
g p.58
dominando
os com o Dogta
» Continue
SSL centralizad com SQL Reactor p.72
» Certificados
dados
ao banco de
» Acesso fácil
NAGVIS
BECAPE
Controle a banda
fácil e
clientes com o
.
competente WebHTB
FUSE-ZFS
BANDA p.62
REDES: LIMITEdeDE
rede dos
BTRFS
p.30
bonita com o NagVis
» Rede clara e
com o GLPI p.36
de TI sob controle
» Infraestrutura
shell script p.42
conversam por
» Samba e AD
RK FS’S
ADO
A AO USO ADEQU
ÇÃO É UMA AMEAÇ
NHA
A DESORGANIZA TI DA SUA EMPRESA. MANTE
DE
TI. p.29
DOS RECURSOS
SEU PARQUE DE
O CONTROLE SOBRE
BENCHMA
SOLUÇÃO?
TI
IVOS
ÃO:
NESTA EDIÇeficaz p.44
VEJA TAMBÉM
de rede
ceamento
L DE
DO PROFISSIONA
azine
COISAS p.28
INTERNET DAS um futuro de
Taurion anuncia
ectados
dispositivos intercon
DE ARQU
PESQ
SERVIDOR?
ABRIGAR SEU
IÇOS. p.27
LHER PARA
OS E SERV
CENTER ESCO
S DE PREÇ
QUAL DATA
CATEGORIA
VOCÊ SABE
EM VÁRIAS
NACIONAIS
p.28
AS OFERTAS
rs nacionais
o de data cente
p.34
nte
arativ
» Comp
ão é difere
, a programaç
la? p.38
» Na nuvem
é preciso evitáo: quando
» Virtualizaçã
UISAMOS
OM.BR
MAGAZINE.C
WWW.LINUX
» Programação
p.56 p.72
» GNU para Linux:
prazer
e periféricos
» JVMs
Boo, um
» OpenSolaris em
EDIÇÃO:
p.48
NESTA
de renome p.52
todas?
TAMBÉM
VEJAe Linux, uma questão
conhece
você
R
DATA CENTETME
WWW.LINU
o melhor
» Virtualização
OS
NTER
PESQUISAM
SERVIDOR? p.27
SEU
E SERVIÇOS.
ABRIGAR
PARA
DE PREÇOS
ESCOLHER
CATEGORIAS
CENTER
DATA EM VÁRIAS
QUAL
p.28
SABE NACIONAIS
nacionais p.34
VOCÊ
centers diferente
p.38
AS OFERTAS de data
é
evitá-la?
é preciso
» Comparativoa programação
nuvem, : quando
» Na
lhor
CE
DATA
o me
p.24
MICROSOFT E SL esforços da
Como andam osno mundo
MS no Brasil e
SOFTWARE p.26
QUALIDADE DE para a falta de
Maddog alerta
de software
bons engenheiros
te
de
# 55
proibid a
e
Linux Magazin
exemplar
IRON p.22
IRE VIRTUAL
ORACLE ADQU
dança no
Continua a virtualização
mercado de
Assinan
R$ 14,90
€ 7,50
9 771806 942009
o 2009
# 55 Junh
SERVIDOR
venda
RISCO
proibida
E E SAAS p.26
s
OPEN SOURCn esclarece os efeito
Cezar Taurio o Código Aberto
do SaaS sobre
exemplar de
2009
DADOS EM
venda
# 54
Assinante
2009
de
Os ambientes desktop reagem de
maneiras diferentes ao plugarmos
um pendrive criptografado. No KDE
4, por exemplo, é preciso clicar no
item Volumes no Dolphin para então
digitar a senha na janela que se abre.
Já o Gnome exibe automaticamente o pedido de senha. Além disso, é
importante carregar o módulo dm_
crypt tanto ao criptografar pendrive
quanto para lê-lo em qualquer outro
sistemaL inux. ■
Linux Mag
nte
Descriptografando
05/2009
proib ida
LM57_seg_criptografia 67
Com isso, já é possível salvar
arquivos normalmente no pendrive criptografado, seja por meio do
gerenciador de arquivos, seja por
qualquer outra ferramenta comum.
Ao final, basta desmontar o pendrive. Para fechar o sistema de criptografia, use o comando luksClose
(listagem 1, linha 5).
exemplar
Linux Magazine #57 | Agosto de 2009
chmod -R seu_usuário:seu_grupo\
/mnt/ponto/de/montagem
venda
#
#
#
#
#
Assina
01
02
03
04
05
ORES p.24
DE PROGRAMAD
EM BUSCA
a como tornar
tável
Maddog explic
auto-susten
seu projeto
Criptografia | SEGURANÇA
Quadro 1: LUKS
O nome LUKS significa Linux Unified Key Setup. O padrão LUKS trabalha em
conjunto com o módulo do kernel dm_crypt para adicionar um cabeçalho padronizado e especificar um formato para os dados em partições criptografadas. O
LUKS é capaz de lidar com múltiplas senhas e é imune a ataques de dicionário.
modificação. Altere o dono dos arquivos contidos no dispositivo com:
BOO
S SSL
zine
Linux Maga
Gostou ddo artigo?
Queremos
mos ouvir sua opinião.
conosco
Fale con
co em
[email protected]
cartas@linu
magaz
Este artigo
go no nosso
osso site:
http://lnm.com.br/article/2959
http://
.com r/art
67
10/08/09 18:25
Download