Seguindo a série de posts sobre o TrueCrypt que pode ser vista aqui, aqui e aqui, trataremos nesse post de uma funcionalidade muito importante dessa ferramenta (na minha opinião, a mais útil), que é o uso criptografado de toda a unidade de disco.
Conforme já mencionado por diversas vezes nesse blog, a "informação" é um dos ativos mais importantes que uma pessoa/empresa pode ter. A informação está presente em todo e qualquer processo e apresenta-se como um elemento crucial para a tomada de decisão, pois dela pode depender o sucesso ou o fracasso de uma empreitada.
Nesse contexto, é muito comum que as empresas tenham colaboradores com informações armazenadas em seus dispositivos móveis, aumentando o risco dessas informações serem capturadas enquanto em trânsito. O "gerente de vendas" de uma empresa que tenha seu laptop roubado, por exemplo, pode ter informações extremamente críticas, sensíveis ou relevantes sobre os negócios da empresa armazenados no seu dispositivo. Uma pessoa não autorizada com acesso a essas informações pode causar estragos irreversíveis aos negócios da empresa. A espionagem industrial, por mais abstrata que possa parecer para você, é um perigo real e se não acredita dê uma olhada nesse post.
Além da ameaça do roubo de informações através das redes de computadores, não podemos descartar a possibilidade de os dados serem roubados fisicamente. Por isso vamos verificar nesse post uma funcionalidade do TrueCrypt que permite a você criptografar o seu disco inteiro, solicitando uma senha de acesso para montar o mesmo ao ligar o equipamento. Se alguém lhe roubar o computador, não conseguirá acessar as informações contidas nele (a não ser é claro que possua a senha de acesso). Não adiantará também bootar com um CD do Linux e montar a partição do drive do dispositivo pois, como comentado anteriormente, todo o disco está criptografado.
É claro que no caso de um roubo de equipamento, você terá o prejuízo financeiro inerente ao hardware, mas as suas informações (fotos, músicas, vídeos, documentos em geral), que convenhamos, possuem valor inestimável, não poderão ser acessadas.
O procedimento a seguir, como é de praxe nesse blog, foi realizado numa máquina virtual com o Oracle Virtual Box. A versão do TrueCrypt utilizada foi o 7.1a disponível aqui: http://www.truecrypt.org/downloads
Conforme já mencionado por diversas vezes nesse blog, a "informação" é um dos ativos mais importantes que uma pessoa/empresa pode ter. A informação está presente em todo e qualquer processo e apresenta-se como um elemento crucial para a tomada de decisão, pois dela pode depender o sucesso ou o fracasso de uma empreitada.
Nesse contexto, é muito comum que as empresas tenham colaboradores com informações armazenadas em seus dispositivos móveis, aumentando o risco dessas informações serem capturadas enquanto em trânsito. O "gerente de vendas" de uma empresa que tenha seu laptop roubado, por exemplo, pode ter informações extremamente críticas, sensíveis ou relevantes sobre os negócios da empresa armazenados no seu dispositivo. Uma pessoa não autorizada com acesso a essas informações pode causar estragos irreversíveis aos negócios da empresa. A espionagem industrial, por mais abstrata que possa parecer para você, é um perigo real e se não acredita dê uma olhada nesse post.
Além da ameaça do roubo de informações através das redes de computadores, não podemos descartar a possibilidade de os dados serem roubados fisicamente. Por isso vamos verificar nesse post uma funcionalidade do TrueCrypt que permite a você criptografar o seu disco inteiro, solicitando uma senha de acesso para montar o mesmo ao ligar o equipamento. Se alguém lhe roubar o computador, não conseguirá acessar as informações contidas nele (a não ser é claro que possua a senha de acesso). Não adiantará também bootar com um CD do Linux e montar a partição do drive do dispositivo pois, como comentado anteriormente, todo o disco está criptografado.
É claro que no caso de um roubo de equipamento, você terá o prejuízo financeiro inerente ao hardware, mas as suas informações (fotos, músicas, vídeos, documentos em geral), que convenhamos, possuem valor inestimável, não poderão ser acessadas.
O procedimento a seguir, como é de praxe nesse blog, foi realizado numa máquina virtual com o Oracle Virtual Box. A versão do TrueCrypt utilizada foi o 7.1a disponível aqui: http://www.truecrypt.org/downloads
O programa obviamente, precisa ser baixado e instalado na máquina virtual, pois é o disco dela que iremos criptografar. No cenário abaixo, estamos utilizando um computador com processador de 2.8Ghz, memória RAM de 512MB e HD de 10 GB, ou seja, pode ser utilizado em qualquer hardware moderno sem muitos problemas de processamento.
Na interface do programa, acesse o menu "System" e depois "Encrypt System Partition/Drive".
Na tela inicial do programa é possível escolher qual o tipo de encriptação, se normal ou escondida. A não ser que você seja um super espião ou esteja desenvolvendo um projeto de ultra secreto de "teletransporte", a opção "Normal" deve ser o suficiente.
Na tela seguinte, será necessário escolher a área a ser criptografada. Você pode escolher entre encriptar apenas a partição do Windows ou o drive todo. Nesse exemplo vamos aplicar a ferramenta no drive todo, independente de quantas partições ele contém. Para isso, selecionaremos a opção "Encrypt the whole drive".
Na tela seguinte você precisa escolher se devem ser encriptadas áreas protegidas, localizadas no fim do disco. Estas áreas geralmente são "escondidas" do sistema operacional e podem ser utilizadas para armazenar ferramentas e dados de RAID, recuperação e configuração de sistemas, por exemplo. Se você utiliza alguma ferramenta que acesse essa área protegida, escolha não. Do contrário, escolha a opção "Yes" para encriptar também essa área protegida.
Ao confirmar a opção acima, o próprio TrueCrypt procurará por setores escondidos no disco, como mostra a tela abaixo.
Na próxima opção, precisamos escolher a quantidade de sistemas operacionais da inicialização (se o sistema possui dual-boot). No nosso exemplo, como nossa VM possui apenas um Windows Xp instalado, selecionaremos a opção "Single Boot".
Agora será preciso escolher as opções de encriptação do disco. Deixaremos com as opções padrões de encriptação AES e algoritmo de hash RIPEMD-160. Se você quiser saber mais sobre os protocolos utilizados na encriptação, o programa lhe fornece um link na própria tela denominado "Information on hash algorithms".
Escolhido o algoritmo, defina uma senha para essa operação. Creio não sr necessário, mas apenas para reforçar, crie uma senha forte para acesso ao seu disco. De nada adianta executarmos todo esse processo, se ele será protegido por uma senha de fácil dedução. A qualidade do processo depende muito da senha utilizada. Você pode utilizar senhas com até 64 caracteres alfanuméricos e símbolos.
Definida a senha, mova um pouco o seu mouse pela tela para que o protocolo colete alguns dados randômicos para geração das chaves criptográficas. Após mover por alguns segundos, clique em "Next".
Chaves geradas! Clique na opção "Next".
Obrigatoriamente após gerar as chaves, é preciso criar um disco de recuperação que, como o nome sugere, deverá ser utilizado em caso de falhas no carregador de boot do TrueCrypt. Escolha um local onde salvar essa imagem de recuperação. No exemplo abaixo o arquivo foi salvo na pasta "C:\Biblioteca".
Agora você deve gravar esse disco de recuperação num CD/DVD. E não há escapatória, se você não gravar essa imagem num CD, o processo não irá continuar. O programa inclusive lhe mostra algumas opções para gravação no link "Download CD/DVD recording software".
Logo após o disco ter sido gravado e verificado, a instalação poderá continuar. Logo após da verificação, clique em "Next".
Nessa fase é possível escolher o método de deleção de dados a ser aplicado no disco. Note que essa deleção será aplicada somente a áreas disponíveis, nenhum dado será afetado. Essa é uma proteção contra programas de recuperação de dados, que tentam recuperar uma informação após ela ter sido removida pelo usuário. Você pode escolher entre os protocolos que utilizam 3 passos (rápido), 7 passos (velocidade razoável) ou 35 passos (mais lento). Escolha a sua opção e clique em "Next".
Escolhida a configuração, o sistema irá fazer um teste para verificar se o processo funcionará corretamente. Escolha a opção "Test" para reiniciar o computador e executar o teste.
Será exibida a tela de boot do TrueCrypt solicitando a senha de acesso para carregar o sistema.
Após o reinicio, é exibida a tela informando que o teste foi completado com sucesso. Para seguir o processo, clique em "Encrypt".
Será iniciado então o processo de encriptação do disco. Para se ter um exemplo, nessa VM com 512 de memória, ele levou pouco mais de 20 minutos para encriptar 10GB.
Processo concluído.
Agora toda vez que seu computador for ligado, será exigida uma senha de acesso para que o sistema seja carregado. Se alguém roubar seu laptop, por exemplo, não poderá acessar nenhuma informação dele (a não ser que esteja de posse da sua senha, portanto, proteja-a). Não adiantará sequer carregar esse drive num outro computador, pois suas informações estão protegidas com criptografia. Recomendo que você teste essa funcionalidade do TrueCrypt num ambiente virtual ou numa máquina com informações irrelevantes e, se você gostar do resultado (facilidade de configuração, performance, etc), instale-as nos seus computadores reais.
t+
Cristiano
"A grandeza não consiste em receber honras, mas em merecê-las." - Aristóteles
2 comentários:
Bom dia Cristiano,
Cara mto bom o tutorial, parabéns.
Queria saber se vc pode me tirar uma dúvida, você sabe o pq em algumas máquinas quando encriptado o hd todo quando hibernadas as máquinas demorar pra ligar algumas que nem ligam as vezes.
Obrigado pela atenção, abraços
Bom dia Anônimo ;)
Realmente não sei te dizer porque isso ocorre, até porque nunca aconteceu comigo. Pesquisando sobre o problema, a única coisa que encontrei próxima disso foi esse link na própria página do TrueCrypt, onde se comenta sobre anomalias em drives criptografados quando o sistema entra em modo de hibernação, mas ainda assim, o problema não acontece quando toda a partição do sistema está criptografada (o que creio ser o seu caso), mas sim quando existe um contêiner montado: http://www.truecrypt.org/docs/hibernation-file
Ainda assim, é preciso salientar que, se por ventura seu disco estiver todo criptografado e você usar o recurso de hibernação, é possível que as chaves sejam comprometidas: http://arstechnica.com/security/2012/12/cheap-app-cracks-pgp/
Recomendo desligar o equipamento ao invés de hibernar ok?! (e talvez seja justamente por isso que eu nunca tenha pego um caso como esse, pois sempre recomendo aos meus usuários não usarem o recurso de hibernação).
Grande abraço e continue visitando o blog. ;)
Postar um comentário