>>3015
Este será o melhor fio do /prog/.

O foda é que nego senta na frente do computador, abre um Eclipse da vida, sai modelando o caralho a quatro e vai pensar na segurança só no final do desenvolvimento. Aí vem um usuário beiçudo fuçador e descobre um monte de buraco que não deu pra tampar porque o "dizinvolvedô" projetou tudo sem lembrar que segurança não é plugin. Repitam comigo: segurança não é plugin.
Mais uma vez: segurança não é plugin.
E de novo: SEGURANÇA NÃO É PLUGIN.

Aproveitando a thread.

Usando o TrueCrypt, por exemplo, um keyfile seria como uma senha gigantesca, dado o número de bytes do arquivo?
Logo, é bem mais seguro usar keyfile, desconsiderando possibilidades de perda do keyfile?

>>3023
Concordo plenamente. Entretanto, acho que isso acontece mais com alguém que está começando a programar, principalmente com os milhares plugins extensões que o Eclipse tem.

Obrigado mod.

Quanto a implementação de biometria nos softwares, é viável? Para servidores de arquivos sigilosos é estritamente necessário? Enfim, como anda a biometria?

Em minha humilde (e provavelmente errônea) opinião, criptografia já é algo no estado-da-arte. Qualquer sistema de criptografia só é eficaz enquanto os computadores não são poderosos o suficiente para "vencê-los". Logo, não são de grande interesse.
Já a questão sobre assinaturas digitais de licenças é algo interessante e praticamente uma questão em aberto. Gostaria de ler suas idéias sobre o tema.
Mas na questão de segurança, o que mais me interessa é a questão de invasões de sistemas. Pena que não tenho conhecimento necessário para iniciar estudos na área. Caso possa comentar algo sobre o tema, serei grato.

Mod newfag não sabe que toda thread pinada vira lixo. Sem exceções.

>>3029
Sempre tem alguém pra reclamar. Quando não tinha mod, reclamavam. Agora tem e reclamam quando tentam fazer uma coisa legal. Sir, this is why we can't have nice things.

>>3036
O que estragam threads como esta são posts completamente não relacionados, como o seu, que invariavelmente se tornará uma flame war ou shitstorm de qualquer espécie.
Also, minha afirmativa continua verdadeira.

lrn2chan

>>3023

Secundado fortemente.

Um pouco nessa linha, de nada adianta ter-se um sistema criptográfico fudidíssimo, se a senha que o cara coloca como raiz base de todo o resto é o nome dele. A vastíssima, aterradora maioria das invasões a sistemas ocorreram por negligência humana, e não da quebra da segurança por assim dizer.

Por essa razão que eu tenho muito interesse na área de "engenharia social" como é chamado, mas eu prefiro chamar isso apenas de "padrão comportamental", tanto de usuários quanto de invasores, quando diante de um sistema de segurança.

Pouquíssimos ataques de caráter puramente algorítmico foram criados, mesmo contra algumas primitivas criptográficas mais antigas (como o DES). Mesmo assim, esses ataques só foram possíveis com o aumento do poder de processamento, na linha do que o >>3029 escreveu.

A maioria dos ataques factíveis hoje se baseiam principalmente em análise estatística do comportamento do protocolo em questão ("side-channel attacks"), observando coisas que a primeira vista seriam incríveis (como variação de potência de consumo do chip criptográfico ou estudo estatístico de tempo de cifragem/decifragem), mas que são as que mais dão resultados práticos. Os poucos ataques que a meu ver se aproximam de uma Verdadeira Quebra do sistema em questão são alguns ataques de análise entrópica do algoritmo, nos quais se detecta algum padrão visceral em meio ao aparente caos das passagens da cifra.

>Em minha humilde (e provavelmente errônea) opinião, criptografia já é algo no estado-da-arte. Qualquer sistema de criptografia só é eficaz enquanto os computadores não são poderosos o suficiente para "vencê-los". Logo, não são de grande interesse.

Eu entendo a sua linha de raciocínio, mas porra, com certeza não! A pesquisa em primitivas criptográficas nunca foi mais intensa do que hoje, principalmente porque há uma certa corrida contra o tempo para criar-se um sistema criptográfico que seja resistente à análise por um computador quântico.

>>3028

Biometria é um ramo completamente distinto dos outros, na área de segurança.

Geralmente, define-se segurança abstratamente como um sistema que forneça e negue acesso a entidades em função de alguma característica que as diferencie. Isso é bastante genérico. Uma forma de diferenciar duas entidades é diferenciar pelo que elas sabem -- daí vem a senha. Outra forma é diferenciar pelo que elas são -- daí vem a biometria. Uma terceira forma é diferenciar pelo que elas possuem -- daí vem a chave mecânica (sim, a chave de porta), cartões magnéticos e tokens eletrônicos.

Eu não entendi bem a sua pergunta (biometria em softwares), mas acho que você quis dizer se é viável implementar um sistema criptográfico em função de alguma medida biométrica. Isso depende mais do sistema criptográfico do que da biometria em si. O maior problema dos sistemas biométricos é que ele troca o risco da invasão tecnológica por um risco de coerção física contra o "possuidor" da chave. Pense nisso!

Pense nisso! O mais legal de segurança é que pensar em segurança é pensar em tudo. Sem exceção. A força da corrente é a força do seu elo mais fraco, e isso não poderia se aplicar melhor a segurança. Tudo conta. A posição física do servidor na sala conta. A semente do gerador aleatório criptográfico conta. A forma com que a secretária atende o telefone conta. A marca do no-break que alimenta o datacenter conta. Tudo conta. Tudo pode ser fonte de pequenas informações para um atacante determinado, e essa somatória de pequenos bits de informação podem ser a chave -- ou melhor, a marreta -- para a invasão.

É bastante sabido que, quanto mais ostensivo, mais assumidamente robusto e seguro for um sistema, mais rápido ele tende a ser quebrado. Lembram-se da proteção de cópia dos DVDs há alguns anos atrás? Empresas como Sony e Warner investiram centenas de milhões de dólares nessa tecnologia, que foi quebrada em questão de minutos quando lançada ao mercado. O grave erro deles: focaram-se apenas na tecnologia, e não no fator comportamental/psicológico que ela arrebata na sociedade. Um sistema robusto é visto por muitos como um desafio, e as pessoas são incentivadas a atacar esse sistema! Enquanto isso, por exemplo, até hoje pessoas compram e compram licenças do mIRC, por mais ridícula que seja a facilidade de quebrar o software, porque o perfil, o comportamento que a empresa apresenta à sociedade é completamente diferente.

O paradigma está mudando. Hoje, pouco se fala em complexíssimos sistemas de proteção de cópia ou protocolos ainda mais agressivos de criptografia. Fala-se muito mais em mudança no modelo de negócios, mudança na distribuição e precificação de produtos, e, no segundo exemplo, em algoritmos para detectar e invalidar senhas fracas ou quaisquer inputs do usuário que possam expor seu comportamento.

Vários recursos de navegação online para o usuário comum surgiram em função dessa deficiência humana; enquanto isso, o algoritmo mais usado para conexões seguras via SSL é um sistema RSA, que em essência é o mesmo que foi publicado pelo Rivest na década de 70, e a cifra de sessão não é nada muito melhor que algum 3-DES que deve existir já faz uns 10 anos.

(Puts, escrevi pra cacete. Desculpem aí lol)

>>3040
Mas costumam trocar a chave RSA com o tempo, certo? Afinal, já fatorizaram o RSA-768...

>>3074

Já fatoraram o RSA-1024 também. O NIST recomenda que a partir desse ano, as chaves usadas tenham pelo menos 2048 bits.

Criptobicha pedante aqui.

>>3025

Sim, é mais seguro usar keyfile.

>>3029

Sim, errada. Se você quer segurança nível paranóico, é só utilizar alguma criptografia no nível de segurança adequado. AES-256 vai demorar séculos para ser quebrado.

>>3080

RSA-1024 não foi fatorado ainda. Mas de fato, a recomendação é usar chaves de 2048 bits.

Postemos sites, blogs e publicações em geral sobre segurança e criptografia loletc.

>>3023

Não é simples assim. Não culpe os desenvolvedores por falhas em softwares, culpe esses paradigmas de desenvolvimentos que administradores impõe aos desenvolvedores. A idéia dentro de uma empresa é entregar um produto dentro de um prazo de acordo com uma estratégia mercadológica. Se o programa "funciona" mas contém dezenas de falhas que surgem após uma análise um pouco mais criteriosa não é importante, o mantra é o seguinte: "o produto está pronto, lance-o. O resto resolvemos com patches". Embora em alguns casos haja desenvolvedores pouco hábeis por trás das falhas, creio que em grande parte dos casos há imposições burocráticas em jogo limitando o poder dos desenvolvedores.

Gostaria de propor aos anões do /prog/, a criação de um script que atualiza automaticamente a thread quando há novos posts, exatamente igual àqueles criados para o 4chan.

>>3292

Secundado, apesar de que acho que esse script não seria muito útil para o /prog/ no patamar atual de movimentação.

>>3292

Não entendi, dê mais detalhes.

Apenas para ver se dá pra movimentar o pinado...
Comprei isto sem grandes pretensões (promoção no Submarino). Serve pra alguma coisa??

Recomendações de publicações sobre segurança digital.

>>3749

É um bom calço para mesas.

>>3749
>H4CK3R
Não tinha nada melhor pra fazer com seu dinheiro? Como, sei la, usar de papel higiênico?

>>3749
Tenho curiosidade de ler um livro desses.

Eu li uma vez um mais ou menos parecido, desses com capa preta e coisas coloridas na capa e "hacker" no título. O livro tinha, literalmente, copypastes daqueles sites antigos do geocities ensinando a pegar ip no msn.

Como essas pessoas conseguem ser publicadas?

>>3781
Não li ainda, apenas folheei.
Mas pelo que folheei, é inútil para quem saiba o mínimo sobre redes de computadores. Enfim, digo isso só pelas "figuras". Se quiserem, posso comentar um pouco enquanto leio.
O ÇUPER DEVEDE parece cheio de coisa tosca e inútil, embora alegue ter código de trojans (também não abri nada).

>>3578
Como esse script: http://userscripts.org/scripts/show/75146. Só que para o 55chan, só seria necessário modificar eu acho.

Olá. Estou cursando CC e gostaria de boas publicações que tratem de segurança digital. Tenho todo o conceito de orientação a objetos bem firmado e sei o básico sobre redes. Como proceder? Aguardo as indicações de material. Obrigado.

>>3749

Esse aí deve ensinar a usar o NetBus e o BackOrifice.

>>3749
>Digerati
Limpe sua bunda com isso.

NT:

bem eu n li toda a thead, mas creio q as pessoas já devem te-lo advertido que segurança na área de TI não depende apenas de softwares ou criptografias.


mas se você realmente se preocupa com isto olhe esta palestra que está disponível no youtube:
http://www.youtube.com/watch?v=YYpD2JvGWxI

se possível veja as demais video aulas.