BARATA ELETRICA - numero 3

 ____                  _          ______ _      _        _            
|  _ \                | |        |  ____| |    | |      (_)           
| |_) | __ _ _ __ __ _| |_ __ _  | |__  | | ___| |_ _ __ _  ___ __ _  
|  _ < / _` | '__/ _` | __/ _` | |  __| | |/ _ \ __| '__| |/ __/ _` | 
| |_) | (_| | | | (_| | || (_| | | |____| |  __/ |_| |  | | (_| (_| | 
|____/ \__,_|_|  \__,_|\__\__,_| |______|_|\___|\__|_|  |_|\___\__,_|

BARATA ELETRICA, numero 3
Sao Paulo, 15 de abril de 1995
(versão ligeiramente modificada p. html em 24/09/02)
---------------------------------------------------------------------------

Conteudo:
--------

1- INTRODUCAO
2- PESSOA DIGITAL
3- 1984 - O LIVRO E NOSSA PRIVACIDADE
4- BRINCANDO COM CRIPTOGRAFIA
5- PGP - PRETTY GOOD PRIVACY
6- ENDERECOS DE EMPRESAS DE SOFTWARE NA REDE
7- HACKING AT THE END OF THE WORLD CONGRESS
8- CRIME POR COMPUTADOR - 2a PARTE
9- CARTAS
10- BIBLIOGRAFIA

Creditos:
--------

Este jornal foi escrito por Derneval R. R. da Cunha
Com as devidas excecoes, toda a redacao e' minha. Esta' liberada a copia
(obvio) em formato eletronico, mas se trechos forem usados em outras
publicacoes, por favor incluam de onde tiraram e quem escreveu. Aqueles
interessados em receber futuras edicoes deste ou de outro jornal (nao sei
se ira' continuar com esse titulo) mandem um mail eletronico para:
wu100@fim.uni-erlangen.de

(Obs: Esta página está sendo transformada em html - o endereço mais atual para contato com é

http://www1.webng.com/curupira/credi.htm)

INTRODUCAO:
==========

Entramos no mes de abril, Pascoa. Nao foi dessa vez que a reuniao que
a reuniao que eu planejava aconteceu. Problemas pessoais e de ordem
financeira me impediram de planejar a coisa. Traduzindo: faltou tempo
e grana. Minha renovacao de bolsa foi postergada e a vida nao ta'
facil. O envio da ultima edicao do Barata Eletrica tambem me custou um
pouco de imaginacao. Como nao podia usar os computadores da USP para
fazer o envio, usei uma conta que eu tenho na Europa. Chique, porem
necessario. Quando voce tem acesso via telnet, e' muito dificil barrar
seu acesso a uma conta Internet legitima da qual voce pode pelo menos
manter contato com pessoas.
O grande problema e' que no acesso telnet, existe uma diferenca
de tempo muito grande entre aquilo que voce tecla e o que aparece na
tela. Para fazer acontecer a coisa, eu tive que descobrir uma caracte-
ristica de todo mail decente, que e' a possibilidade de fazer uma
lista de correspondencia ou "alias". Da primeira vez, eu pensei em
fazer uma coisa meio ilegal, que e' o "fake mail". Para quem nao sabe,
fake-mail e' uma forma de se enviar um "e-mail" com endereco de reme-
tente falso. E' complicado (para quem nao sabe), e de qualquer forma,
pode-se rotear (no sentido de descobrir a rota) o envio do dito, de
forma que, se a carta foi enviada de computador tal, basta uma chegada
nos arquivos para se saber de onde e' que alguem fez o tal envio.
Muita gente usa esse recurso para enviar cartas anonimas ou de
gente famosa, como o presidente dos EUA. Um "inteligente" la' nos EUA
resolveu usar esse recurso para enviar uma carta de ameaca ao
presidente. Nao vou dizer que ele nao foi esperto. Acontece que isso
e' um crime serio naquelas bandas, e o Servico Secreto checa qualquer
carta, por mais idiota que seja. Descobriram o computador de onde foi
enviado e tambem que o cara que fez a coisa nem tinha conta naquele
servidor Internet. Foi processado nao pelo crime informatico, mas pela
ameaca, coisa que e' crime aqui tambem no Brasil.
Portanto, fiz uma coisa diferente, que foi arranjar para que o
arquivo fosse enviado para a Freenet onde eu tinha conta e fiquei um
tempo editando um arquivo de "alias" para fazer o envio. Usei como
base uma lista de pessoas que estavam logadas na lista de hackers da
Unicamp, a qual, por sinal, ainda nao tive coragem de perguntar pro
administrador se ainda esta' funcionando. Isso porque eu recebia os
arquivos que eu enviava para a lista, mas nao sabia de ninguem mais
que estava logado e que recebesse esses arquivos. Pode ser por
lentidao do sistema ou porque la' tambem nao gostam da lista..
E', pode-se dizer que a paranoia esta' comecando. Os responsaveis
pelo break-in na USP de Sao Carlos me enviaram um mail, comentando o
que acham do meu e-zine. Impressionante. O primeiro grupo de crackers
a me mandar uma carta. Ainda bem que nao gostaram muito dele. Nao e'
preciso muito para pensar que a minha conta atualmente deve estar
sendo "checada", volta e meia. Eu faria isso, se fosse administrador
do computador onde tenho conta. Um Sysop tem um nome a zelar. Ele e'
um cara que pode ser despedido ou rebaixado, se for incapaz de
administrar o sistema.
O mesmo acontece comigo e a minha carreira, se o meu nome for
ligado a atividades criminosas. Nao e' legal? Mas paciencia. Vou
continuar a divulgar minhas ideias, que vao mais pelo lado de
conscientizar do que de fazer apologia de vandalismo. Porque tem um
detalhe: quanto maior o numero de vandalismos, maior sera' a
dificuldade de implantar isso no Brasil e o prejuizo sera' para todos,
nao apenas para um ou dois usuarios.

A PESSOA DIGITAL
================

Quando voce entra com em possessao de um usercode e uma senha de
acesso a um computador que tenha acesso a rede, ou a uma BBS de
qualquer tipo, e voce passa a usar esse acesso, algo ocorre. Voce
esta' entrando num ambiente onde so' aquilo que o teclado mostra
interessa. A mudanca fica mais evidente quando voce faz parte de uma
conferencia tipo Chat ou IRC. Escolhendo um apelido, so' algumas
pessoas terao inteligencia o bastante para descobrir se voce e' homem
ou mulher, rico ou pobre, bonito ou feio. E essas pessoas dependerao
do seu discurso no teclado para isso. Em outras palavras, como
apareceu numa charge: " Na Internet, ninguem sabe que voce e' um
cachorro".
Roger Clarke, descreveu essa pessoa digital como: " um modelo da
personalidade publica do individuo baseada em dados e mantida por
transacoes". Existe a personalidade que o individuo impoe na sociedade
ou seja, a projetada e a outra, fruto daquilo que o individuo fez e
ficou registrado, coisas como registro bancario, etc.
A tela de computador, ao contrario da vida real, permite
construcoes de personalidade relativamente faceis. Uma pessoa pode
frequentar meios digitais completamente diferentes, exibir
comportamentos diferentes, sem grande dificuldade. Em "Neuromancer", a
coisa vai mais longe: a pessoa digital e' gravada num cassete, e todas
as suas respostas, obssessoes, e habilidades estao la'. Essa
personalidade projetada poderia ser imortal.
Algo mais interessante e' o uso de "handlers" ou "nicknames".
O cara que entra nesse universo tenta arrumar um nome ou apelido que
substitua sua identidade real. Esse nome substitui o real e ao mesmo
tempo passa uma vaga ideia sobre como voce e' ou o que voce faz.
"Captain Crunch" foi um hacker famoso durante bastante tempo e o nome
veio de um personagem de caixa de flocos de milho. O brinde era um
apito que podia ser usado para "phreaking".
"Phiber Optik" ficou na historia do "Hacker Crackdown", pela sua
habilidade. Mark Abene, seu nome verdadeiro. Fez varias demonstracoes
sobre como "entrar" em bancos de dados de acesso restrito. Foi preso
por fraude telefonica, coisa bastante simples perto do tipo de
"cracking" que era capaz de praticar. Bastante conhecido dos jornais e
revistas (colaborador da "2600 - Hacker Quaterly"). O juiz pronunciou
mais ou menos a seguinte sentenca:
"Mister Abene, o senhor e' um simbolo para a comunidade hacker.
Dessa forma, eu devo sentencia-lo como um simbolo. Mas o senhor deve
cumprir a pena em pessoa."
Os dados arquivados sobre as interacoes do sujeito na sociedade
compoem outro tipo de pessoa digital, a passiva. Essa e' composta nao
e' composta da forma como a pessoa age, mas por exemplo, os newsgroups
que ela frequenta, os horarios em que ela acessa a rede, com que tipo
de assuntos normalmente lida. Em suma, dados pertinentes sobre a
pessoa.
Vou usar um exemplo pessoal para colocar a diferenca:
A minha pess. digital projetada e' a minha personalidade, as pessoas
sentem ao ver minhas cartas ou ao fazerem "talk" ou "chat" comigo.
O que eu faco, por outro lado, pode estar sendo monitorado por um
programa qualquer. Os dados que eu coleto na rede, sistemas que eu
acesso, mail que recebo, tudo isso sao dados podem ser relacionadas
a coisas que eu fiz na rede. Esta' registrado. Eu nao posso mudar
isso, porque nao tenho acesso aos registros. Essa e' a pess. digital
passiva.
A partir do momento em que existem dados o suficiente sobre mim,
um perfil pode ser tracado, e diferencas podem ser inferidas. Voce
pode ser dessa forma, inserido num grupo ou subgrupo e ser tratado de
acordo. Isso e' muito usado em pesquisa publicitaria, que tenta
avaliar o publico para determinado produto.
Esse tipo de raciocinio, se formos ver a Internet, que nao tem o
que chamamos de leis, mas antes regras de conduta, nao significa
muito. Mas as empresas estao comecando a entrar na rede, em busca de
mercados novos, na area de propaganda. E' prematuro ainda dizer que
tal preocupacao em anotar os dados da pessoa ocorra.
Apenas existe o fato de que existe um passado digital que e'
acumulado sobre o individuo que acessa a Internet ou qualquer BBS. Se
voce acessa informacoes sobre crime por computador, aids, ou confeccao
de boomerangs, tudo isso e' algo que pode ou estar sendo registrado em
algum lugar. No Brasil, ja' houve o caso de um engenheiro que foi
processado por colocar sua opiniao sobre um livro de MSDOS. O editor
do dito leu a mensagem do cara e entrou com um processo por perdas e
danos. Outro cara la' nos EUA usou um nome real numa historia ficticia
e levou outro processo.
Nao e' pelo fato de estar por tras de um modem e de um computador
que as coisas nao podem acontecer com voce. Para quem nao sabe o que
isso significa, nem nunca morou em ambientes onde a fofoca pode trazer
prejuizo, vou dar um exemplo comum:
Vamos supor que voce foi pego fumando maconha. Podia ser sua primeira
vez. Se foi seu pai que foi te tirar da policia, a coisa ate' poderia
parar ai'. Ficaria em familia. Mas se voce foi preso com outro cara,
mais antigo na coisa e a noticia espalhou. Quem conta um conto aumenta
um ponto e subtamente, voce e' "o maconheiro". Voce tem passagem na
policia. Os seus amigos tem entao duas opcoes, a de continuar seus
amigos ou de te esquecer. Porque quem aparecer com voce, pode correr o
risco de ser rotulado tambem como maconheiro, (Diga-me com quem andas
e te direi quem es) e sujeito a desconfianca paterna, na hora de
emprestar o carro ou pedir dinheiro (e' para comprar o que).

OBS: O exemplo pode parecer meio besta, mas muita gente comenta o
caso de um politico brasileiro que perdeu as eleicoes por conta
do fato de ter assumido que ja' tivera experiencia com a coisa.
Por essas e outras, estou colocando uma resenha do livro "1984",
de George Orwell. O livro e' ficcao, mas para nos latino-
americanos, ja' foi e qualquer dia pode voltar a ser realidade.
Basta ver o caso do Peru, que implantou a ditadura, para ver se
escapava da ameaca de um movimento campones que poderia
significar tambem outra ditadura.

1984 - O LIVRO E NOSSA PRIVACIDADE
==================================

George Orwell escreveu esse romance durante a Segunda Grande Guerra,
revoltado com o que julgava ser um palco de hipocrisias gigantescas. O
livro conta, basicamente, como um funcionario do governo, que se
apaixona por uma colega de trabalho acaba sendo preso por crimideia,
ou crime por pensamento.
No mundo relatado por Orwell, nao existem leis. Mas qualquer
coisa que nao for aprovada pode significar a prisao. O interessante,
e' que todo mundo esta' sendo vigiado pelas tele-telas, aparelhos de
tv que permitem que o individuo seja escutado e observado, enquanto
assiste sua programacao. Microfones estao por toda a parte, e ate'
existe um projeto de criacao de uma nova linguagem, que tornara' o
crime de pensamento impossivel.
Em suma o livro e' uma descricao sobre como o aparato tecnologico
pode ser usado para escravizar o homem. E' pesado de ler, principal-
mente quando se sabe que situacao semelhante aconteceu no Brasil,
durante o regime militar. As pessoas nao se davam conta da ditadura,
por causa do fato de que havia uma imensa maquina de propaganda,
controlando a opiniao. A imprensa era censurada. Professores nao
sabiam se um de seus alunos nao era um informante do SNI.
No tempo em que foi escrito, existia varios tipos de regime
totalitarios, como o Nazismo, o Facismo, o Comunismo e suas variantes.
Por isso, era relativamente facil se descrever tal tipo de situacao. O
radio comecava a ser usado como forma de distribuir o pensamento
politico do governo e tanto na Alemanha como na U.R.S.S., uma crianca
podia mandar seus pais para campos de concentracao, ao "dedurar" uma
ou outra opiniao politica discordando da vigente. Todos estavam sendo
vigiados para possiveis crimes ou "atos de sabotagem".
Esse e' um livro que merece ser lido, por qualquer um que
pretenda ter uma opiniao sobre o futuro. Ainda que nao exista mais um
regime comunista, nao impede o uso das mesmas tecnicas, em lugares
inesperados, como nosso ambiente de trabalho. Estamos vivendo numa
epoca em que a informacao esta' cada vez mais facil de acessar. So'
para fechar, o livro e' leitura obrigatoria no curso secundario dos
EUA. Deu origem a varios outros no mesmo estilo, como "Laranja
Mecanica" - Anthony Burgess, e pode-se perceber a influencia em outras
obras, como o filme "Blade Runner" e o livro "Volta ao admiravel mundo
novo", de Aldous Huxley.
Explicar a fixacao de hackers, crackers e outros por esses livros
e' simples: eles colocam o fato de que cada vez mais, estamos entrando
num universo semelhante ao retratado neles, em que a opiniao pessoal
e' substituida pela opiniao da midia. Para quem nao sabe, na
Tailandia, as pessoas vao ter um unico documento: um cartao magnetico
com a foto do sujeito e dados pertinentes. Oba! E', toda a papelada
que existe sobre voce sera' substituida por um arquivo, armazenado num
computador central existente em algum lugar. Um arquivo que pode ser
apagado por um virus de computador (voce deixa de existir como pessoa
fisica e cidadao) ou erroneamente manuseado (como no filme "Brazil").
Ate' um tempo atras, para se usar um motel, o sujeito preenchia
uma ficha, como em qualquer hotel. Ai' descobriu-se que acontecia, era
pratica talvez da policia, entrar no estabelecimento, pedir as fichas
sobre pretexto de procurar um suspeito, e anotar o nome do pessoal
casado (acompanhado de gente solteira). Depois esses elementos, iam na
casa do sujeito pedir um dinheiro para nao abrir o jogo com a
companheira do cara. Isso faz muito tempo, e logico que nao podemos
supor que as coisas sempre aconteciam desse jeito. Nem todo mundo e'
corrupto a esse ponto. Mas o sistema de registro de moteis de alta
rotatividade foi alterado.
Nos EUA, esse tipo de coisa vai mais longe. Se voce vai num
medico se consultar, ele anota dados a seu respeito. Esses dados vao
para uma ficha medica, que e' armazenada numa instituicao. E ficam
fora do alcance do individuo para alteracoes, mas dentro do alcance de
empresas, para consulta. Uma funcionaria teve o pedido de licenca
medica negado, sob a alegacao de que o motivo alegado era
irrelevante, diante da ficha medica. Outro, foi mal interpretado pelo
medico, que anotou um consumo abusivo de bebida na ficha do sujeito,
atrapalhando sua vida para uma serie de coisas, inclusive ao mudar de
emprego (historico de alcoolismo, estas coisas).
Na revista Super-Interessante, num artigo ate' interessante sobre
isso, o exemplo real sobre um bancario, que ao chegar a chefe de
sindicato, foi alertado para o perigo de um cheque sem fundo, motivo
para demissao por justa-causa. Num banco, sempre se sabe quando houve
uma festa num buteco e quem participou, pelos cheques que sao deposi-
tados na mesma conta. Aqui no Brasil nao sei, mas nos EUA, todo mundo
usar cartao de credito, e pelo historico do cartao de credito sabe-se
todas as despesas que a pessoa tem. Com que, quando e como.
Hoje, no Brasil, esse tipo de coisa e' uma curiosidade. Amanha,
pode acontecer com voce, ver o seu passado vasculhado em busca de algo
que possa ser usado, mas nao para seu beneficio.

BRINCANDO COM CRIPTOGRAFIA
==========================

Criptografia vem do grego cryptos (escondido) + grafia (escrita). Uma
coisa que volta e meia aparece na rede Internet sao discussoes sobre
esse tema, normalmente envolvendo a questao do PGP e do chip Clipper.
Essa preocupacao ocorre porque o americano tem embutido na
Constituicao o direito a privacidade. O brasileiro e' ligeiramente
diferente. Ele so' se preocupa com o direito a privacidade quando vai
fazer algo que nao quer que os outros saibam, tipo trair a mulher ou
sonegar dinheiro do imposto de renda. So' que nesses casos, varias
vezes a coisa da' errado, porque e' feita de forma amadora, acaba
dando problema pela inexperiencia da pessoa. O gosto pela criptografia
como um passatempo nao e' algo difundido, da mesma forma. O brasileiro
acha mais interessante o misterio do que a descoberta. Existe a paixao
por palavras cruzadas, que engloba tambem cripto-analise, mas nao a de
cifrar e esconder mensagens, a nao ser na nossa querida musica popular
e outras formas de expressao popular durante os periodos "negros" do
pais.
Na verdade, talvez pela ditadura, talvez pelo fato de que o
brasileiro teve o acesso as letras (crescimento do parque industrial
necessario a impressao e distribuicao de livros a precos populares)
mais ou menos durante o tempo em que o radio e a televisao faziam sua
estreia aqui no Brasil. O maior estimulo contra o analfabetismo, que
seria a ansia de ler noticias do jornal ou novelas e romances de
aventura, foi sendo preenchido pela TV. O que nao aparece na Globo,
nao existe. Um analfeto sobrevive perfeitamente na nossa sociedade,
com um misero aparelho comprado num camelo. Dai, como entender algo
tao sutil, como arrumar razoes para se interessar por criptografia ou
criptoanalise? Existem pessoas cuja grafia faria qualquer medico se
morder de inveja. As vezes a propria pessoa nao entende o que escreve.
Durante os periodos da ditadura, coisa que e' quase moda
acontecer aqui no Pais (basta ler um pouco de historia), havia a
censura aos meios de comunicacao. Nao podia se dar o nome aos bois,
nao podia se falar palavras indevidas, nao podia se contar o que
estava acontecendo. O reporter que quisesse dar um colorido a sua
materia ou transmitir algo diferente, de conteudo mais ideologico ou
subversivo tinha que mascarar o conteudo, para ver se "driblava" o
censor, mas nao o leitor. Se a noticia fosse muito forte, podia
acontecer de toda a tiragem do jornal ser pura e simplesmente
confiscada. E' facil de encontrar lembrancas desse periodo, basta
procurar em livros antigos, a mensagem "texto integral, sem cortes".
Para garantir a vendagem dos jornais, durante o periodo da ditadura,
alguns editores comecaram a editar receitas culinarias. Imagina
jornais, do porte do Estado de Sao Paulo ou o Globo fazendo isso:
Na primeira pagina, ao inves de uma noticia sobre a queda de um
ministro: "Rabada 'a moda Magri - Primeiro pegue uma carne de segunda
ou de terceira, guarde o caldo, misture com um molho Volnei...".
Algumas vezes, os leitores escreviam cartas reclamando que as receitas
nao funcionavam, apesar do aviso de que essas receitas nao
significavam absolutamente nada. E o pior e' que os jornais duplicavam
a receita, quando imprimiam este tipo de coisa. Na musica popular,
isso acontecia muito tambem, ate' a mocada ser obrigada a se asilar,
antes de enfrentar cadeia. Dizer que determinado artista queria ou nao
transmitir essa ou aquela mensagem e' algo meio forte. Mas era
proibido abordar uma serie de temas, durante aquele periodo do milagre
brasileiro, como a pobreza ou a repressao. So' pra se ter uma ideia,
durante o bicentenario da independencia dos EUA, comemorado em 1976,
foi proibida a publicacao de trechos da declaracao dos direitos do
homem nos meios de comunicacao (coisas como "Todo homem tem direito a
liberdade de opiniao e expressao" eram consideradas subversivas).
Pode-se encontrar montes de mensagens de duplo sentido, na musica
daquele tempo. Na literatura, o romance Zero, do Ignacio de Loyola
Brandao, um verdadeiro diario de um "terrorista", passou incolume pela
censura (virou um sucesso de vendas e..foi proibido depois que
esgotou, porque descobriram o lance).
Okay, eu contei a historia de varios exemplos de *codificacao* de
conteudo de uma mensagem, mas nao de criptografia. Existe um grupo de
discussao sobre isso (em portugues), na esquina-das-listas e existem
varios em ingles, como o sci.cript, sci.crypt.research, etc. Os FAQs
(Perguntas mais frequentemente respondidas - documento introdutorio)
desse grupo e' uma fonte de referencia muito boa, e nao tenho muita
*intencao de substituir, mas aqui vai um vocabulario para os
iniciantes que queiram depois se aprofundar:

TEXTO PURO: E' o texto destinado a ser colocado de forma secreta ou
ininteligivel para o publico comum.

TEXTO CIFRADO: E' o texto puro apos ser alterado pela cifra ou
palavra-chave.

CIFRAR, CODIFICAR: Ato de transformar o texto puro em texto cifrado.

DECIFRAR, DECODIFICAR: Ato de transformar o texto cifrado em texto
puro.

QUEBRAR A SENHA OU SEGREDO: Conseguir decifrar um texto cifrado sem
possuir a senha.

COMPACTACAO DE ARQUIVOS: Metodo de reduzir o espaco ocupado em bytes
por um arquivo armazenado em computador. Alguns programas que realizam
esse trabalho tem opcao de criptografar o conteudo com uma senha
escolhida pelo usuario.

ESTENOGRAFIA: Sobre as formas de se ocultar ate' que a mensagem
existe. Metodos como sublinhar a primeira letra de cada palavra do
texto ou produzir um texto de tal forma que suas primeiras letras
tenham uma mensagem.
(exemplo: Quem assistiu a novela "Guerra dos Sexos" pode especular se
a personagem Francisca Moura Imperial nao era uma forma de fazer
referencia ao FMI, que como a personagem, controlava a economia
brasileira).

TRANSPOSICAO: Alterar a ordem das letras, tal como tranformar
segredo em esoderg.

SUBSTITUICAO: Substituir letras especificas por outras, ou por
numeros ou simbolos. Escrever SOS em codigo morse seria uma
substituicao.

ex: texto puro: SOS codigo morse: ...---...

Varios musicos tambem usavam linguagem de
duplo sentido, para poder transmitir sua mensagem (isso, antes de
terem que se asilar para escaparem a repressao).

ALFABETO CIFRADO: Um alfabeto para ser usado para transposicao.

ex:

Alfabeto puro: a b c d e f g h i j k l m n o p q r s t u v x y z

Dessa forma, inimigo viraria TQTPTCE. Pode-se usar mais de um
alfabeto, quando entao o sistema se chama polialfabetico.

CODIGOS: Essa e' mais ou menos, a forma favorita do brasileiro de
cripotografia. Consiste em se utilizar palavras-de-codigo ou numeros-
de-codigo para representar o texto, como acontece com as girias.

ex: numero-codigo texto-puro

11 muito bom (ver filme "mulher nota 10")
10 bom
1 ruim
5 medio
24 homossexual
171 estelionato

Obs: Usei exemplos ja' incorporados a cultura popular, mas esse tipo
de codigo e' muito usado pela policia. A giria usada por um grupo
especifico, tal como usar "foca" para designar reporter iniciante na
imprensa tambem pode ser chamada de codigo.

VOCABULARIO: Nesse texto, o conjunto de palavras que compoem um
codigo, tal como visto acima.

PALAVRA-CHAVE: A expressao ou codigo que permite o deciframento do
texto cifrado.

HISTORIA:

A criptografia e' algo bastante antigo, tao antigo quanto a escrita.
Era usada no antigo Egito e na Mesopotamia. No Kama-Sutra, e' citada
como uma das 64 artes, ou yogas, que a mulher deveria conhecer e
praticar. Na Grecia antiga, o que hoje conhecemos como civilizacao
ocidental teria sido extinto se nao fosse uma mensagem criptografada
avisando da invasao persa. O episodio dos "300 de Esparta" nao teria
acontecido, porque os gregos nao teriam sido avisados em tempo.
Julio Cesar tambem relatou o uso de mensagens cifradas em seu
livro, sobre as Guerras Galicas. Seu nome foi dado a qualquer tipo de
alfabeto cifrado semelhante ao que usou:

alf. puro: a b c d e f g h i j k l m n o p q r s t u v x y w z
alf. Cesar: D E F G H I J K L M N O P Q R S T U V X Y Z A B C D

Pulando alguns seculos, Leonardo da Vinci escreveu seus projetos, na
epoca mirabolantes (e passiveis de serem premiados com um churrasco
promovido pela Inquisicao) atraves da escrita em forma reversa. Podia
ser lida colocando-se o original de frente a um espelho.
Nostradamus foi outro que tambem se preocupou com a possibilidade
de virar churrasco e desenvolveu suas centurias numa linguagem que
ate' hoje tenta se descobrir. Descobre-se o que ele estava falando
depois do acontecido, na maioria das vezes. Os alquimistas, de forma
geral, ficaram bastante conhecidos por escreverem suas receitas de
forma cifrada, durante a idade media.
Ja' mais recentemente, no inicio do seculo, varios situacoes na
historia tiveram o seu curso alterado gracas ao bom (ou mal) uso da
criptografia. Os alemaes, na primeira guerra venceram os russos
facilmente, por conta disso. Os EUA conseguiram nao perder do Japao na
Segunda Guerra por possuirem os codigos de transmissao deste. Os
alemaes, por sua vez, nao conseguiram invadir a Inglaterra pelo mesmo
motivo. Rommel deve sua fama de raposa do deserto em parte ao fato de
que conseguiu capturar uma transmissao americana detalhando como era o
modo de operacao dos britanicos no deserto.
Nao e' a toa que os EUA tem uma agencia devotada ao estudo de
codigos criptograficos, conhecida como NSA. La' no norte, para sair do
pais com um telefone celular contendo mecanismo de codificacao, e'
necessario permissao especial, ou a pessoa e' enquadrada numa lei
feita inicialmente para prevenir o contrabando de armas. Se voce entra
com um mecanismo desses nos EUA, ao voltar com ele voce pode ser
preso. Quem nao acredita, pode ver o caso Zimmerman, que desenvolveu o
PGP. O fato dele ter colocado o programa como freeware, disponivel na
Internet, tornou-o um criminoso.
Existem muitos casos em que a criptografia e' usada, como em
empresas que querem proteger seus segredos de espionagem industrial,
quando transmitindo por via telefonica ou telegrafica. Existiam livros
de codigos especificos para tambem se poupar dinheiro com transmissoes
telegraficas, quando este era o modo mais completo de comunicacao.
Dessa forma, frases inteiras eram substituidas por uma palavra, (mais
ou menos como o carioca fala, resumindo numa palavra, coisa que
levaria varias frases: Pergunta "Cade fulano?" Resposta: "sifu." Disse
tudo) e estes eram chamados de codigos comerciais.
O melhor livro para se ler sobre criptografia e' o "THE CODEBREAKERS",
do autor americano David Kahn. Um livro para macho. 1127 paginas em
ingles. No que se refere a historia da coisa, e' obrigatorio.
Lendo o livro, fica-se boquiaberto em saber que existiam ja'
clubes dedicados ao estudo dessa materia como hobby na maioria dos
paises civilizados, desde o inicio do seculo, mas nao no Brazil, que
so' aparece como referencia quando se fala que pais XXX conseguiu
decodificar o codigo diplomatico de pais YYY, e do Brazil. Quando se
imagina o problema estrategico que isso representa, e' de se estranhar
como e' que nao se pensa mais nisso.
Poderia se acrescentar por exemplo, que no periodo Sarney, um
radioamador conseguiu fazer a escuta do telefone celular do presidente
em seu sitio, e esse se recusou a instalar um dispositivo de seguranca
mesmo apos saber pela imprensa da falha. No caso PC-Farias, foi muito
criticada pela comunidade de seguranca informatica, o uso tao pobre de
criptografia num sistema de valor tao alto (ainda bem).

TECNICAS SIMPLES:
----------------

TRANSPOSICAO:

Ordem Reversa:

A mensagem e' escrita de tras para frente. Em seguida, reune as letras
em novos grupos.

Texto Puro: Seu marido vai embora quando?

(1) odnauq arobme iav odiram ues?
(2) od nauqa rob me iavod ram ues?

Texto cifrado: od nauqa rob me iavod ram ues?

Bi-reverso:

As letras sao agrupadas em pares e os pares tem a ordem invertida.

Texto Puro: seu marido vai embora quando?

(1) (se) (um) (ar) (id) (ov) (ai) (em) (bo) (ra) (qu) (an) (do)
(2) (es) (mu) (ra) (di) (vo) (ia) (me) (ob) (ar) (uq) (na) (od)

Texto cifrado: esmu radi voiame obar uqna od

Grupo reverso:

As letras sao divididas em grupos que sao colocados em ordem reversa.

Texto Puro: seu marido vai embora quando

(1) seuma ridov aiemb oraqu ando
(2) amues vodir bmeia uqaro odna

Texto Cifrado: amues vodir bmeia uqaro odna

SUBSTITUICAO:

Alfabeto cifrado:

Alfabeto Cesar. Como se pode ver, o alfabeto comeca na letra D, mas
poderia comecar em qualquer outra. As letras iniciais sao colocadas
depois da letra Z.

alf. puro: a b c d e f g h i j k l m n o p q r s t u v x y w z
alf. Cesar: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

Ex:

Texto puro: ganhei na loto
Texto cifr: jdqkhl qd orwr

Observacoes: A partir desse metodo, pode-se colocar mais de um
alfabeto, para dificultar a critpo-analise. Quando a mesma letra se
repetir, usa-se a segunda cifra. Essa e' a cifragem por substituicao
multipla.

alf. puro: a b c d e f g h i j k l m n o p q r s t u v x y w z
alf. Cifr1: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Alf. Cifr2: F E G D J H I M K L P N O S Q R V T U Y W X B Z A C

Texto puro: ganhei na loto
Texto cifr: jdqkhl sf orwq

TRANSPOSICAO:

Este metodo, projetado pelo grego Polybius, e' anterior a Cesar, mas
continua difundido como metodo de criptografia. Funciona se ajuntando
as letras do nosso alfabeto num quadrado 5X5. Para nao complicar, a
letra K e' retirada e substituida por C:

1 2 3 4 5
--------------------------
1 I a b c d e
2 I f g h i j
3 I l m n o p
4 I q r s t u
5 I v x y w z

Dessa forma, a letra E passa a ser representada por 15, a letra O pelo
numero 34 e assim por diante.

TECNICAS DE CRIPTOANALISE:

Para praticar, o ideal sao palavras cruzadas. Mas para tentar decifrar
um texto feito com um dos metodos acima, sem saber qual, ha' varias
formas.
Primeiro e mais importante e' nao trabalhar com o texto original, mas
fazer uma copia com espaco entre as linhas, para se trabalhar. Depois
procurar as vogais, que estao presentes em todas as palavras. As
consoantes duplas como ss e rr sao outro bom alvo. Outras combinacoes
comuns de letras sao lh, ch, nh, br, cr, dr, gr, pr, tr, bl, cl, fl,
gl, pl, tl.
Saber sobre o que o texto fala pode ajudar, assim como ajuda saber o
destinatario da carta. Palavras como amanha, que repetem a letra a
varias vezes, tambem sao bons indicadores.

OBSERVACOES:

Na verdade, todos os metodos acima estao bastante obsoletos. Poderia
ate' colocar um programinha em C ou Basic para implementa-los, mas
acho besteira. Quem souber um pouco de Word for windows nao tera'
dificuldade em fazer uma macro tanto para cifrar como para decifrar.
Sao interessantes porem, porque sao simples e faceis de usar, o que
pode ser interessante para praticar. Com estes elementos basicos podem
se projetar outros mais complicados.

METODOS MAIS AVANCADOS E FRAQUEZAS:

Existe centenas de metodos de criptografia. Alguns famosos, como o
Playfair, o Vignere, e as cifras de utilizacao unica. Muito poucos
resistem a um bom cripto-analista. Hoje em dia, a criptografia e'
feita tanto via hardware como software. O programa Unix carrega em si
um programa de criptografia, chamado CRYPT. Ja' existe software que
permite, com um pouco (medio) trabalho, decifrar textos cifrados por
ele. Outros softwares, como o WordPerfect, versao 5 (a 6.0 eu nao
conheco) tem opcao para criptografar os documentos. Funcionam, mas
qualquer conhecedor de BBSes ou de sitios FTP como o Simtel 20, ja'
viu referencia a um programa que "quebra" a senha do arquivo
criptografado dessa forma.
O unico programa com uma fama de ter a criptografia dificil de
quebrar e fartamente disponivel ao publico e' o PKZIP204G. Trata-se de
um compactador de arquivos, com opcao -s. Existe o HPACK, outro
compactador menos cotado, mas teoricamente ate' mais eficiente, bem
pouco conhecido. O ARJ, ate' a ultima versao, tem a reputacao de ser
facilimo de ter seus arquivos criptografados "quebrados". Existe o
programa DISKREET, que vem junto com o Norton Utilities, mas nao
ouvi muitas coisas a respeito dele. Parece facil de usar.
Isso sem falar no uso do metodo de "Forca Bruta", que ja'
mencionei no numero anterior. Nesse caso, usa-se uma versao do
programa e vai se usando senhas possiveis ate' se encontrar aquela que
destrava o arquivo. Pode-se ate' fazer um programa que faca a busca de
todas as senhas possiveis. Teoricamente, a quantidade de tempo para se
achar a senha aumenta geometricamente de acordo com o numero de letras
usadas, sendo que qualquer senha com menos de 6 letras ou numeros e'
considerada relativamente facil de quebrar.
O metodo de criptografia mais inteligente ate' agora e' o PGP,
vulgo Pretty Good Privacy. O autor tinha o interesse em trazer a
criptografia para as massas e desenvolveu um metodo atraves do qual
qualquer pessoa, com um minimo de treinamento, pode ter sua
privacidade garantida. O codigo fonte do programa esta' disponivel em
varios lugares, e e' de dominio publico.

PGP - PRETTY GOOD PRIVACY
=========================

Achar que existe ou nao uma utilidade para um software que criptografa
arquivos e' algo pessoal. Pode ser um caso amoroso, pode ser os
numeros de uma conta numerada na Suica, pode ser um diario, pode ser
qualquer coisa que voce nao quer se arriscar a que ninguem veja. Se
certificar do segredo, usando um software que talvez nem uma agencia
americana, como o NSA, uma especie de primo da CIA, seja capaz de
decifrar e' algo diferente. E' preciso ter um tipo de preocupacao que
pode ate' ser paranoico. Afinal de contas, nao basta um cofre forte?
Porque alguem se daria ao trabalho?
Para que gastar talvez uns 10, 20 minutos se preocupando em
criptografar horas de trabalho que podem tambem ser destruidas por um
virus de computador? Se o problema e' perseguicao por forcas
criminosas, nada impede que o conteudo do arquivo seja recuperado de
outras formas, talvez ate' pela violencia, ja' que se fala em neurose.
Voce usa Correio Eletronico para se comunicar. Mas seus parceiros
ou colegas de bate-papo, nao sabem seu endereco, nao sabem seu
telefone, voce nao tem um canal seguro de comunicacao com eles. Nao
pode estabelecer um codigo atraves do qual eles entendam aquela dica
que voce recebeu anteotem de comprar dolar ou investir em cavalos.
Tudo bem, voce pode enviar por correio normal, mas e se a namorada ou
namorado da pessoa descobrir que voces se comunicam. Mesmo que seja
estabelecido um codigo entre as duas partes, num dia qualquer, como
e' que fica, quando outra pessoa finalmente acha a solucao para o
enigma? Outro encontro privado? O problema sempre volta. Ontem, a
Embratel queria controlar a Internet no Brasil. De uma hora para
outra, BBSes tiveram seus contratos de uso da rede cancelados. Se isso
torna a acontecer, como enviar aqueles quinze disquetes contendo a
folha de pagamento da sua empresa pelo malote, sem temer violacao?
Se voce se torna famoso, e alguem quer lhe fazer uma proposta
interessante, mas discreta, como enviar uma mensagem, que so' o
destinatario podera' ler? A partir desse numero de possibilidades,
pode-se ver que nao e' so' um paranoico que deseja ter privacidade,
coisa cada vez mais dificil, num mundo cada vez mais cheio de gente. E
nao pense que se voce tem uma conta na Internet, voce nao pode ter sua
correspondencia lida. O Sysop ou super-usuario, tem poder de ler todas
as cartas. Ele nao precisa nem mesmo ler todas ele mesmo. Existem
programas que fazem isso, chamados de "sniffers". Mesmo um comando
GREP do Unix pode ser feito de forma a procurar palavras-chave, dentro
de seu arquivo. Mesmo que hoje voce acha ridiculo se preocupar com
gente bisbilhotando sua vida pessoal, pense no seu amanha, quando
a necessidade aparecer. Voce nao e' o Principe Charles, mas se sua
mulher ou namorada resolver agir como Lady Diana, voce vai lamentar
nao ter pensado em ter seus segredos guardados num cofre.
O Programa PGP foi desenvolvido por Philip Zimmerman, por volta
de 1990, apos uma longa pesquisa, sobre como resolver varios problemas
que sempre plaguearam aqueles que se interessaram por proteger seus
dados atraves da criptografia. O nome do programa vem de "Pretty Good
Privacy", ou numa traducao mais livre: "Privacidade da Boa..".
Nos EUA, a palavra privacidade e' algo parte da constituicao. O homem
tem direitos alienaveis, pelos quais ate' hoje se luta e se discute.
Philip tinha essa preocupacao, tipica de um grupo da rede que se
denomina de "Cipher-punks". Aqueles que nao querem que outros sejam
capazes de vasculhar ou descobrir algo sobre suas vidas. O motivo
ideologico e' esse. Talvez o outro motivo seja um gosto pela arte da
criptografia, que e' uma especie de hobby em varios outros paises, mas
o fato e' que por varias razoes, desde garoto o Philip matutou em cima
de varios aspectos sobre cifras e codigos e aquela coisa de livros de
espionagem. Depois de muita busca (ja' que material sobre o assunto
tende a ser classificado como top-secret) e alguns anos de estudo, ele
chegou a algumas conclusoes:
Um metodo de criptografia totalmente novo, sempre e' possivel de
se quebrar, quando se leva em conta uma instituicao com grandes
recursos ou outra pessoa com inteligencia e tempo o suficientes. Tudo
o que um homem fez, outro pode repetir. Quando se mensagens cifradas,
depende-se de uma cifra, ou metodo de codificacao, da qual ambas as
partes devem possuir. Se este for quebrado ou violado de alguma forma,
pode-se levar muito tempo para o desenvolvimento de outro. Metodos de
cifragem "perfeitos" podem levar horas para serem usados (no caso dos
antigos metodos, que usavam lapis e papel) e podem ser dificeis de
serem aprendidos. Outros metodos simples e rapidos de serem usados,
por mais sofisticados ou novos, podem ser "quebrados" por um estudante
de palavras cruzadas que tenha alguma nocao do conteudo. E por ultimo,
todo criptologista cedo ou tarde chega a conclusao, alguma hora, de
que inventou um metodo "perfeito" e "impossivel" de ser decifrado.
Tudo isso acima e' quase que basico na criptologia e na cripto-
analise. Zimmerman descobriu que seu metodo "perfeito" era exercicio
basico para estudantes de cripto-analise, numa ocasiao. Ja' haviam
os codigos comerciais, postos a venda para empresas e firmas que
precisassem deles. Mas ainda assim, eram codigos vulneraveis. Sera'
que so' os governos seriam capazes de ter direito a ter documentos
passiveis de continuarem secretos? Haveria um jeito do cidadao comum
ter o direito de manter seus escritos ininteligiveis para os outros a
sua volta? Afinal de contas, se um codigo esta' a venda, varios podem
decifrar aquilo que fulano aprendeu a criptografar.
O PGP foi feito apartir de um algoritimo, chamado RSA (as
iniciais dos inventores) e um conceito de dupla chave. Uma ideia
simples, mas que cobre quase todas as fraquezas que um sistema de
seguranca poderia ter. O metodo se baseia na existencia de duas
chaves, de criptografia. Um metodo normal teria uma senha ou conjunto
de numeros atraves do qual o(s) arquivos de dados seriam
criptografados ou descriptografados. Mas essa senha teria que ser
distribuida atraves de um canal seguro de comunicacao. As embaixadas
usam "Couriers" ou pessoas de alta-confianca para a entrega dessas
senhas, que sao escoltadas durante o trajeto. Nem sempre isso e'
possivel, para o cidadao comum.
O metodo do PGP se baseia na ideia de uma chave (senha) publica
de criptografacao, que nao serve de forma alguma para reverter o
processo. Essa chave, e' ainda distribuida atraves de um canal que
pelo menos assegure a origem (ja' que nao deve ser alterada ou
substituida antes de se encontrar o destinatario final). A mensagem,
uma vez entregue no destino, sera' decifrada pelo programa com uma
outra chave, privativa do usuario, que precisara' tambem de uma senha,
sem a qual o programa nao inicia o processo.

                          transmissao
  ----------    ---------            ---------   +-----+   +--------+
  |mensagem| +  |chave  | -------->  |chave  | + |senha| = |mensagem|
  |emitida |    |publica|            |privada|   +-----+   +--------+
  ----------    ---------            ---------

Tudo bem, mas e se algo acontece e a pessoa nao se lembra da
senha, a mensagem esta' perdida e todas as outras seguintes tambem
estarao. Nao. A pessoa pode enviar uma mensagem revogando a chave-
publica, para todas as pessoas que ainda tem uma copia dessa chave.
Elas esperariam uma mensagem contendo a nova chave. E como seria
possivel que essa mesma chave nao fosse distribuida a pessoas erradas,
que a usariam ou tentariam adulterar.
Tudo bem. Mas a questao e' que nesse caso, duas pessoas que se
comunicam tem cada qual, a chave-publica da outra. O problema que uma
delas tiver afeta todo o conjunto chave-publica+senha+chave-privada,
de modo que a pessoa nao pode mais decifrar mensagens que recebe. Mas
ela pode enviar mensagens, pois a outra pessoa nao tem o mesmo
problema. O conjunto chave-publica+senha+chave-privada pode ser re-
feito. Uma nova chave-publica revogando a anterior pode ser enviada
para o destinatario, do ponto de vista tecnico, vai simplesmente
decifrar o arquivo, e copia-lo para usar na proxima correspondencia.

Remetente A                                           Destinatario B
   
                         
 0   +----------+   +-------+         +-------+     +------------+  0
-I-  |mensagem A| # |chave B| ---->   |chave B| --> |mensagem nov| -I-
/^\  |chav.pub.A|   |publica|         |privada|     |chav.publ. A| /^\
     +----------+   +-------+         +-------+     +------------+

E' mais facil de entender quando se pensa que apesar do programa usado
por A e B ser o mesmo, ambos tem senhas diferentes. Quando um fica com
sua senha avariada, a situacao e' a do sujeito ao telefone que so'
pode falar, mas nao ouvir. Ao enviar uma nova chave-publica p. B, este
aprendeu como falar de forma que A pudesse entender a mensagem.
Mil e umas possibilidades existem, usando esse principio basico,
sem comprometimento da seguranca. Cada chave-publica apresenta uma
especie de certificado, que e' tambem garantia contra uma adulteracao.
Como os arquivos contendo as chaves sao arquivos txt, podem ser
copiados ate' sem o conhecimento do remetente e destinatario, mas como
e' necessario o arquivo contendo a chave privada + a senha (que pode
ser uma frase que so' o destinatario conheca) para a mensagem ser
decifrada, o processo e' seguro. Mesmo que a chave privada desapareca,
ainda sera' necessaria a senha.

Fim da historinha de Zimmerman e lugares para se conseguir o PGP
----------------------------------------------------------------
A NSA (National Security Agency) considerou o PGP um atentado ao
monopolio da criptografia exercido por ela. Zimmerman queria que o
metodo fosse distribuido as massas. Por isso colocou a versao inicial
do programa como dominio publico, significando que qualquer um usar o
dito para qualquer fim, ate' para conseguir dinheiro (parece que so'
uma companhia e' que ficou com uma licenca para ate' vender, mas isso,
dentro dos EUA). A questao e' que a primeira patente do algoritimo
utilizado, o RSA e' americana. So' para se ter uma ideia, esse tipo de
patente nao e' exportavel. Se voce sai dos EUA com um telefone
contendo equipamento de embaralhamento de voz sem uma licenca (para
alguns materiais criptograficos eles dao licenca, para outros nao) de
exportacao, voce e' preso por um artigo de uma lei usado para coibir
contrabando de armas. E'. Tao querendo enquadrar o Zimmerman nessa por
ter colocado esse programa na Internet. Foram lancadas varias versoes,
ate' se chegar a 2.3, que foi lancada a partir da Australia. Com
codigo fonte e tudo. Nisso o processo ja' tinha comecado, existe
ate' um movimento para arrecadar grana para o Philip nao encarar uns
anos de "chumbo", senadores falando contra e a favor, um aue^
judicial, ja' que embora por lei ele esteja limpo, as pressoes por
parte do governo sao para torna-lo um exemplo de quem se mete no que
e' privativo do governo.
Foi lancada a versao 2.6 e depois a versao 2.6.2, usando
algoritimos diferentes, desenvolvidos fora dos EUA, portanto iriam
mais ou menos aliviar a "barra" no que se refere ao algoritimo RSA
(que era patente do governo). Do lado de fora, no exterior, o pessoal
ficou tao entusiasmado que criou sua propria versao do PGP, baseada no
codigo fonte da versao 2.3. Eu nao entendo como isso acontece, mas a
versao 2.6i - i de internacional - entende mensagens cifradas com a
2.6 americana e vice-versa. Sao equivalentes. Existe o barato de que
usar a 2.6 pode ou nao implicar que voce fez um "download" ilegal dos
EUA. O americano que quiser fazer o download desse programa atraves da
Internet passa por uma burocracia para provar que e' americano e que
faz isso a partir dos EUA (senao e' crime e pode ser processado).
Dentro desse contexto, entrar e sair dos EUA com um disquete contendo
isso pode dar cana la', mas essa lei nao vale aqui. So' que ao
difundir a chave publica vai junto a versao atraves da qual a dita foi
feita. De vez em quando, um moralista pode te inquerir acerca disso na
rede e falar para voce mudar da 2.6 para a 2.6i. So' que se voce tem
como provar que nao e' responsavel pelo contrabando da dita, ja' que
todo mundo ja' tem, essa historia toda deixa no ar um cheiro de
frescura enorme. Ate' os americanos admitem isso. Mas lei e' lei. E
eles levam a serio e se voce pretende ir ate' la', e' bom respeitar.
Bom, para fazer o download do dito. A ftp.eff.org tem um
subdiretorio explicando o procedimento para quem e' americano. A
pessoa faz ftp para um lugar x, com uma senha enviada por e-mail. Como
estou escrevendo isso para os brasileiros:

Existem os seguintes sitios ftp

ftp.demon.co.uk
ftp.informatik.uni-rostok.de
ftp.dsi.unimi.it

E' necessario procurar por um subdiretorio pub/crypt ou pub/crypto.
Para quem nao acha isso o suficiente, procure na Usenet o newsgroup
News.Answers. La' provavelmente voce encontrara' um FAQ sobre onde
achar o programa (alem de outros faqs interessantes).

Observacoes finais:
-------------------

O ideal seria nao pegar a versao 2.6.2, ja' que as versoes 2.6 e 2.6i
vao estar funcionando por um tempo ainda razoavel, mesmo se a gente
esquecer que tem algo de ilegal em usar a ultima versao. Dentro da
dita vem os arquivos PGPDOC1 e 2 detalhando o uso. O ideal e' ler umas
tres ou quatro vezes e ao fazer a primeira chave publica e privada,
apagar tudo e repetir o processo, ate' ter certeza que aprendeu. Se
for usar o arquivo em ambiente Unix, acrescentar -a para obter um
arquivo em ASCII, que possa ser enviado em mail. Existe versao do PGP
para Unix, mas se voce nao for o Sysop, isso nao ira' garantir
seguranca da correspondencia enviada a voce.

ENDERECOS DE EMPRESAS DE SOFTWARE NA REDE
=========================================

Um velho chapa, Americo Oliveira <americob@microsoft.com>
me enviou uma lista que vale ouro. Acho que podera' ser util
`a rapaziada. Dei so' um jeitinho no formato, que estava
meio enrolado de ler. Segura, negada...

Sites WWW para informacao/suporte:

Empresas de Hardware:

Empresas de Software:

Sites WWW de Suporte a Sistemas Operacionais:

Windows 95:

Microsoft Windows 95 Home Page http://www.microsoft.com/pages/peropsys/win_news/chicago/wwwhtml/home/w95.htm

Windows NT:

Advanced Systems User Group http://128.150.146.76/ASUG.HTML
CSUSM Windows NT Archive Web Site http://coyote.csusm.edu/cwis/winworld/nt.html
EMWAC Web Server Site http://emwac.ed.ac.uk/html/top.html
Rocky Mountain Windows NT User Group http://budman.cmdl.noaa.gov/RMWNTUG/RMWNTUG.HTM
Stuttgart Windows NT User Group http://www.informatik.uni-stuttgart.de/misc/nt/nt.html

OS/2:

Carnegie Mellon OS/2 WWW Home Page http://www.club.cc.cmu.edu:8001/~jgrande/cmuos2.html
Cleveland OS/2 User Group Home Page ftp://ftp.wariat.org/pub/users/cos2ug.html
The Internet Relay Chat OS/2 Homepage http://venus.ee.ndsu.nodak.edu/os2/
Mid-Atlantic OS/2 User Group Home Page http://www.pinn.net/~reaper/maos2ug.html
The Munich OS/2 Archive http://www.leo.org/cgi-bin/leo-dls/pub/comp/os/os2/00-index.html
North Suburban Chicago OS/2 User Group Home Page http://www.mcs.com/~schmidtj/http/nscoug/home.html
OS/2 Stuff Worldwide Home Page http://tklab3.cs.uit.no/OS2/index.html
IBM OS/2 Warp Home Page http://www.austin.ibm.com/pspinfo/os2.html
The OS/2 WWW Homepage http://www.mit.edu:8001/activities/os2/os2world.html
OS/2 Information Page http://www.cen.uiuc.edu/~jt11635/os2/os2.html
OS/2 Internet Resources http://www.ccsf.caltech.edu/~kasturi/os2.html
OS/2 Power Home Page http://www.salford.ac.uk/os2power/os2power.html
The OS/2Web http://www.intac.com/nnjos2/os2web.html
UIUC OS/2 Home Page http://www.cen.uiuc.edu/~rs9678/raj.html
University of Texas OS/2 Home Page http://deputy.law.utexas.edu/os2homepage.html
University of Warwick OS/2 Home Page http://www.warwick.ac.uk/~phueg/os2/
The Warp Pharmacy http://www.zeta.org.au/~jon/WarpPharmacy.html

Revistas de Computacao:

PC (DOS-Windows/ OS2/ Windows NT/ Windows 95):

CADalyst http://www.ideal.com/elprint/cadhome.html
Computer ResellerNews http://techweb.cmp.com/techweb/crn/current/default.html
Computer Retail Week http://techweb.cmp.com/techweb/crw/current/default.html
Computer Shopper http://www.shopper.ziff.com/~cshopper/
Datamation http://www.datamation.com/
Home PC http://techweb.cmp.com/techweb/hpc/current/default.html
InformationWeek http://techweb.cmp.com/techweb/iw/current/default.html
InfoWorld http://www.infoworld.com/
Microsoft Systems Journal http://www.mfi.com/msj/msjtop.html
Network Computing http://techweb.cmp.com/techweb/nc/current/default.html
PC Computing http://zcias3.ziff.com/~pccomp/
PC Magazine http://zcias3.ziff.com/~pcmag/
PC Week http://zcias3.ziff.com/~pcweek/
Windows Magazine http://www.wais.com:80/win/current/
Windows Rag Online Computer Magazine http://www.eskimo.com/~scrufcat/wr.html
Windows Sources http://zcias3.ziff.com/~wsources/

MAC:

InformationWeek http://techweb.cmp.com/techweb/iw/current/default.html
InfoWorld http://www.infoworld.com/
MacNet Journal http://www.netaxs.com/~aaron/hotlinks.html
MacUser http://www.macuser.ziff.com/~macuser/
MacWEEK http://www.ziff.com/~macweek/
PowerPC News http://power.globalnews.com/
ZiffNet/Mac http://zcias3.ziff.com/~zmac/

Outras:

Boardwatch Magazine (under contruction) http://www.boardwatch.com/
CommunicationsWeek http://techweb.cmp.com/techweb/cw/current/default.html
EE Times Interactive http://techweb.cmp.com/techweb/eet/current/default.html
HotWired Online Magazine http://www.wired.com/
InteractiveAge http://techweb.cmp.com/techweb/iaa/current/default.html
Inter@active Week http://www.interactive-week.ziff.com/~intweek/
Internet World http://www.mecklerweb.com/mags/iw/iwhome.htm
NetGuide http://techweb.cmp.com/techweb/ntg/current/default.html
NetSurfer Digest http://www.netsurf.com/nsd/index.html
VAR Business: Online Edition http://techweb.cmp.com/techweb/vb/current/default.html

Repositorios para Suporte de Software / Hardware:

Empresas de Hardware:

3Com ftp://ftp.3com.com/
3k Associates(support for HP3000) ftp://ftp.3k.com/
Acorn Computers Ltd. ftp://ftp.acorn.co.uk/
Adaptec, Inc. ftp://ftp.adaptec.com/
Advanced Micro Devices, Inc. (AMD) ftp://ftp.amd.com/
American Megatrends, Inc. (AMI) ftp://american.megatrends.com
Apple Computer, Inc. ftp://ftp.apple.com/
Aria ftp://ftp.wi.leidenuniv.nl/pub/audio/aria/
Asante Technologies, Inc. ftp://ftp.asante.com/
ATI Technologies Inc. ftp://atitech.ca/
BusLogic, Inc. (coming soon!!!) ftp://buslogic.com/
Cabletron Systems ftp://134.141.197.25/
Cirrus Logic Corporation ftp://ftp.cirrus.com/
Compaq Computer Corporation ftp://ftp.compaq.com/
Cray Research ftp://ftp.cray.com/
Creative Labs, Inc. ftp://ftp.creaf.com/
Crystal Lake Multimedia, Inc. ftp://ftp.teleport.com/vendors/crystal/
Dell Computer Corporation ftp://ftp.dell.com/
Diamond Multimedia Systems, Inc. ftp://ftp.diamondmm.com/
Digital Equipment Corporation ftp://ftp.digital.com/
Farallon Computing, Inc. ftp://ftp.farallon.com/
Global Village Communication, Inc. ftp://ftp.globalvillag.com/
Hercules Computer Technology, Inc. ftp://ftp.netcom.com/pub/he/hercules
Hewlett-Packard Company ftp://ftp-boi.external.hp.com/
IBM PC Company (division) ftp://ftp.pcco.ibm.com/
Intel Corporation ftp://ftp.intel.com/
Intergraph Corporation ftp://ftp.intergraph.com/
Microcom ftp://ftp.microcom.com/
Micron (coming soon!!) ftp://micron.com/
MIPS Technologies, Inc. ftp://sgigate.sgi.com/
Motorola, Inc. ftp://bode.ee.ualberta.ca/pub/motorola/
NCR Microelectronics ftp://ftp.ncr.com/
NEC USA, Inc. ftp://ftp.nec.com/
Olivetti North America ftp://ftp.isc-br.com/
Panasonic Technologies, Inc. ftp://panasonic.com/
QMS, Inc. ftp://ftp.qms.com/
Samsung Semiconductor Corporation ftp://ftp.samsung.com/
Siemens-Nixdorf Information Systems ftp://ftp.mch.sni.de/
Silicon Graphics, Inc. ftp://ftp.sgi.com/
Standard Microsystems Corporation (SMC) ftp://ftp.smc.com/
Sony ftp://sony.com/
STB Systems, Inc. ftp://stb.com/
Sun Microsystems Binary3 Archive ftp://dalek.tiac.net/pub/sun3/
Supra ftp://ftp.supra.com/
Tadpole Technology, Inc. ftp://ftp.tadpole.com/
Texas Instruments ftp://ti.com/
U.S. Robotics Corporation ftp://ftp.usr.com/
Western Digital Corporation ftp://ftp.wdc.com/
Wyse Technology ftp://ftp.wyse.com/

Empresas de Software:

Adobe Systems Incorporated ftp://ftp.adobe.com/
Apple Computer, Inc. ftp://ftp.apple.com/
Asymetrix ftp://ftp.asymetrix.com/
Autodesk, Inc. ftp://ftp.autodesk.com/
Berkeley Software Design ftp://ftp.bsdi.com/
Booklink Technologies, Inc. ftp://ftp.booklink.com/
Borland ftp://ftp.borland.com/
Calera Recognition Systems ftp://calera.com/
Claris Corporation ftp://ftp.claris.com
Delrina Corporation ftp://ftp.delrina.com/
Fractal Design Corporation ftp://ftp.fractal.com/
FTP Software, Inc. ftp://ftp.ftp.com/
IBM Corporation ftp://software.watson.ibm.com/
Gupta Corporation ftp://wji.com/gupta/
ID Software, Inc. ftp://ftp.idsoftware.com/
Insignia Solutions, Inc. ftp://ftp.insignia.com/
MathWorks, Inc. ftp://ftp.mathworks.com/
McAfee Associates, Inc. ftp://ftp.mcafee.com/
Microsoft Corporation ftp://ftp.microsoft.com/
National Center for Supercomputing Applications ftp://ftp.ncsa.uiuc.edu/
NetManage, Inc. ftp://ftp.netmanage.com/
Netscape Communications Corporation ftp://ftp.mcom.com/
NeXT Computer, Inc. ftp://ftp.next.com/
Novell, Inc. ftp://ftp.novell.com/
Phoenix Technologies ftp://ftp.ptltd.com/=7F
Quadralay Corporation ftp://ftp.quadralay.com/
Qualcomm Incorporated ftp://ftp.qualcomm.com/
Quarterdeck Office Systems, Inc. ftp://ftp.qdeck.com/
SCO Open Systems Software ftp://ftp.sco.com/
Shiva Corporation ftp://shiva.com/
SoftQuad, Inc. ftp://ftp.sq.com/
SPRY, Inc. ftp://ftp.spry.com/
Spyglass, Inc. ftp://spyglass.com/
Symantec Corporation ftp://ftp.symantec.com/
Taligent, Inc. ftp://ftp.taligent.com/
Wilson WindowWare, Inc. ftp://oneworld.wa.com/wwwftp/wilson/
WordPerfect ftp://ftp.wordperfect.com/
Ziff-Davis Publishing ftp://ftp.zdbop.ziff.com/

HACKING AT THE END OF THE UNIVERSE
==================================

Rop Gonggrijp e Hanneke Vermeulen
(* Obs - texto nao traduzido integralmente. Publicado com permissao)

Tudo comecou em janeiro de 1993. Rop, a personificacao de Hack-Tic, e
autor de mais um plano megalomano, fala de uma nova ideia sobre a qual
estava pensando por algum tempo: um congresso de hackers ao ar livre.
Em agosto de 1989, no Paradiso, um centro cultural de Amsterdan,
organizaram juntos 'A Galactic Hacker Party'. Esta seria algo similar,
mas ligeiramente diferente: em barracas e preferivelmente cortada do
mundo civilizado.
Entao, tudo aconteceu. A organizacao comecou com coisas gerais:
encontrar uma data, um terreno, oradores, e, pro-forma, um nome para o
evento. Os autores deste artigo fizeram a toda a administracao. De
acordo com uma tradicao antiga, saimos em uma 'viagem de negocios'
ate' Bielefeld e Hamburgo para contar nossos planos a clubes alemaes
de Hackers Foebud e Chaos Computer Club e a perdi-lhes uma mao.
No final de marco iniciamos nossa campanha de publicidade, a qual
foi um grande exito. Nosso panfleto, que enviamos a 70 diarios e
revistas diferentes, teve exatamente uma resposta. O comite 'Chamem
Flevoland de Flevoland' esta horrorizado porque usamos a palavra
'Flevopolder' para indicar o lugar do congresso. Flevoland e' uma das
provincias holandesas, e como esta' em um polder (terreno recuperado
com ajuda dos diques), muita gente chama de Flevopolder.
Enquanto estavamos organizando, o tempo passa e a data do
Congresso chega rapidamente. Todo tipo de coisas comecam a ficar
dramaticamente reais. Cada vez mais nosso humor varia entre a
esperanca (vai ser grandioso) e o medo (vai ser o pior fracasso de
toda a historia..) Nao temos nem mais a minima ideia de quanta gente
esperar (200? 1200?), tudo e'mais caro do que deveria ser, e nao temos
administracao. Hanneke fixa desesperadamente seus pensamentos nos 500
hospedes imaginarios para os quais estamos organizando o congresso.
Rop nao pode dormir a noite, tendo visoes de tendas vazias, um terreno
grande demais, e hackers desiludidos. Ja' aceitou a bancarrota de
Hack-Tic e a sua propria desgraca.
Dois dias antes do comeco de "Hacking at the End of The
Universe" comecamos com os preparativos no lugar. A equipe de rede ja
havia conectado cabos, terminais, e modens em um lugar de prova por
dois dias. Os voluntarios estao correndo freneticamente pelo terreno
com mesas, computadores, barris de cerveja, telefones, pacotes de cabo
Ethernet, barracas velhas do exercito, martelos, pregos, e aquele suor
no rosto. No salao aparece um bar, uma rede de computadores, um stand
onde se vendem coisas relacionadas com hackers. Por todo lado, cabos
de eletricidade e cabos Ethernet estao lado a lado no chao. Um caso
especial e' a conexao de seis linhas telefonicas extras. PTT Telecom,
a empresa local de telefones, tem uma solucao perfeita para evitar
conectar cabos extra. Com a ajuda de um multiplexor, podem nos dar
oito linhas em dois cabos. Este metodo tem a desvantagem de nao se
permitir o uso de fax e nao se podem usar comunicacoes por modem de
alta velocidade pelas linhas. "Mas isto nao e' problema para festivais
como estes, ne'?".

BLACKOUTS

Pintou um lance: a corrente. Os 22 KW, 220 volts que pudemos conseguir
da companhia eletrica local estao completamente utilizados. Os
monitores estao comecando a "sambar" e os micros fazem resets por
vontade propria quando se liga a geladeira. Por hipotese, ja' tinhamos
pensado nisso ha meses, por isso juntamos geradores para a energia
extra. Mas, os geradores arrumados sao para trabalhos pesados.
Dai, de repente, no dia anterior ao comeco, no finalzinho da
tarde, eles comecam a chegar: os visitantes. Estao vindo realmente. E
parecem vir todos ao mesmo tempo. "O pessoal esta' chegando" grita
Hanneke assustada, e de repente se da conta de que tudo isto e' real.
Mas o susto nao dura muito. Muita gente se oferece como
voluntarios quando dizemos que precisamos de ajuda. Em muito pouco
tempo temos equipes operando independentemente no bar e na recepcao.
Gente que veio como visitantes perde a metade do programa sem se
queixar, porcausa do trabalho. Varios parecem gostar de poder ajudar.

Tendas para tudo quanto e' lado.

Quando comeca o congresso, na quarta-feira dia 4 de agosto, o terreno
esta lotado de tendas e todo mundo na maior. De repente, ate' o clima
ta' demais, em meio a um verao extremamente umido e cinza. O discurso
de abertura esta a cargo de Emmanuel Goldstein, editor da revista 2600
- Hacker Quaterly, dos EUA. Os 400 assentos da tenda grande estao
ocupados. As laterais da tenda foram abertas e quem nao pode
conseguir lugar esta' sentado na grama.
Esta tarde tem lugar o forum de discussoes 'networking para as
massas' com aproximadamente 10 pessoas do mundo alternativo das redes
no podio. Se trocam opinioes, e o que importa realmente nao e' a
tecnica, mas principalmente o uso e a utilidade das redes de
computadores.
Alem dos foros de discussao estao os workshops: Pengo, de Berlin,
fala sobre os pontos fracos do sistema operacional VMS. Billsf e Rop
dao um workshop no qual contam que tipo de mensagens interessantes de
radio-amador da' para se captar com facilidade. David C., que tem uma
companhia de computacao em Amsterdam, explica os principios do
dinheiro digital anonimo. Foi desenvolvido um principio criptografico
que permite substituir a "gaita" sem perder a privacidade daqueles que
utilizam o sistema.
As pessoas que nao estao participando de um workshop se divertem,
de todas as formas. No salao principal tem uns cinquenta micros em
grandes filas sobre as mesas. Noite e dia tem caras surfando atraves
do mundo pela Internet, apartir de Flevopolder. Volta e meia, alguem
critica algum jogo ou copia algum programa. Quando uma alma solitaria
abre sua colecao de fotos porno, a massa imediatamente esta olhando
interessada sobre seu ombro. Quando esta' funcionando a rede dentro do
salao, o campo e' conectado. Largos ramos de cabo coaxial entre as
arvores e as vezes um repetidor em um saco de lixo, e voila': a
primeira rede ethernet ao ar livre comeca a existir. As pessoas se
sentam em grupos ao redor dos PCs como se fossem fogueiras de um
acampamento.

Plano de emergencia

A tarefa de alimentar centenas de hackers famintos esta' nas maos
de uma organizacao com o nome de 'Rampenplan'. Qualquer coisa assim
como plano de emergencia ou desastre. Todos os dias os voluntarios
preparam o cafe-da-manha, almoco e jantar em suas cozinhas portateis.
Para alguns hackers essas comidas vegetarianas sao demasiado
saudaveis, e todas as noites vemos quantidades de pizzas esfriando-se
no salao principal, enquanto os entregadores estao buscando
desesperadamente as donos dos pedidos.
A imprensa, que reagiu em marco com um silencio total ao anuncio
deste congresso, vem em filas compactas em agosto, armados com
microfones, maquinas fotograficas e equipe para filmar. Mas muitos
visitantes nao querem encontrar suas caras nos diarios ou na
televisao, por isso nao permitem 'as cameras filmar em todos os
lugares. Os que querem permanecer incognitos podem comprar um par de
oculos escuros numa pequena "hackshop". Alguns visitantes trasem suas
proprias cameras de video e comecam, rindo-se, a contestar filmando os
reporteres.
A imprensa tambem teve que pagar ingresso, como todos os
fanaticos de computador mal-abastados. Nao ficaram muito contentes com
isso. As equipes de filmagem (aos quais se permite entrar apenas com
todo equipamento com apenas um ticket) se queixam de que dessa maneira
apenas os jornalistas ricos podem ter a noticia enquanto descarregam
cuidadosamente seu custoso equipamento de seus automoveis de luxo. Um
jornalista ameaca escrever um artigo negativo sobre o congresso se
tiver que pagar uma entrada, e realmente escreveu tal artigo.

(* Continua no proximo numero - presumindo-se que a revista continue
ate' la' - Artigo tirado do numero 22/23 de novembro de 1993 da
revista Hack-Tic *)

CRIME POR COMPUTADOR - 2a PARTE
===============================

:_Computers: Crime, Fraud, Waste Part 2
:_Written/Typed/Edited By: Lord Kalkin
:_Information Security

CRIMES, ABUSES, AND WASTE

A survey of goverment agancies identified techniques used
in committing computer-related fraud and abuse. Few of these
frauds and abuses involved destruction of computer equipment or
data. Only 3 percent of the frauds and 8 percents of the abuses
involved willful damage or destruction of equipment, software or
data. Most of the fraud and abuses cases involved information --
manipulating it, creating it, and using it.

THE FIVE MOST COMMON TECHNIQUES USED TO COMMIT
COMPUTER-RELATED FRAUD AND ABUSE

Computer-Related Fraud
1. Entering unauthorized information
2. Manipulating authorized input information
3. Manipulating or improperly using information
files and records
4. Creating unauthorized files and records
5. Overriding internal controls

Computer-Related Abuse
1. Stealing computer time, software, information,
or equipment.
2. Entering unauthorized information
3. Creating unauthorized information fileas and
records
4. Developing computer programs for nonwork purposes
5. Manipulating or improperly using computer
processing

These techniques are often used in combination and are
identified in Computer-Related Fraud and Abuse in Goverment
Agencies, Department of Health and Human Services, Office of
Inspector General, 1983.

Another way of looking at computer-related crime is to examine
the types of crimes and abuses, and the methods used to commit them.
These include:

"Data Diddling" - Probably the most common method used to commit
computer crime because it does not require
sophisticated technical knowledge and is relatively
safe. Information is changed at the time of
input to the computer or during output. For example,
at input, documents may be forged, valid disks
exchanged, and data falsified.

"Browsing" - Another common method of obtaining information which can
lead to crime. Employees looking in others' files have
discovered personal information about coworkers. Ways to
gain access to computer files or alter them have been found
in trash containers by persons looking for such information.
Disks left on desks have been read, copied, and stolen.
The very sophisticated browser may even be able to look for
residual information left on the computer or on a storage
media after the completion of a job.

"Trojan Horse" - This method assumes that no one will notice that a
computer program was altered to include another function
before it was ever used. A computer program with a
valid, useful function is written to contain additional
hidden functions that exploit the security features of
the system.

"Trap Door" - This method relies on a hidden software or hardware
mechanism that permits system protection methods to be
circumvented. The mechanism is activated in some
nonapperent manner. Sometimes the program is written so
that a specific event, e.g., number of transactions
processed or a certain calender date, will cause the
unauthorized mechanism to function.

"Salami Technique" - So named because this technique relies on taking
slices so small that the whole is not obviously affected.
This technique is usually accomplished by altering a
computer program. For example, benefit payments may be
rounded down a few cents and these funds, which can be
considerable in the aggregate, diverted to a fraudulent
acount.

"Supperzapping" - Named after the program used in many computer centers
which bypasses all system controls and is designed to be used
in time of an emergency. Possession of this "master key"
gives the holder opportunity to access, at any time, the
computer and all of its information.

Examples of Compuer-Related crimes, abuses, and waste include:

- A payroll clerk, notified of a beneficiary's death, opened a
bank account using the beneficiary's name and social security
number. The beneficary was not removed from the computer
eligibility lists, but a computer input form changed the
address and the requested direct deposit of benefits to the
payroll clerk's new bank acount.

- A major loss occurred with the diversion of the goverment
equipment. Fictitious requisitions were prepared for routine
ordering at a major purchasing centor. The rquisitions directed
shipment of communications equipment to legitimate private
corporations holding goverment contracts. Just prior to the
delivery date, one of the conspirators would call the corporation
to alert them of their "error" and arrange "proper" delivery of
the equipment to the conspirators.

- Three data clerks, using a remote terminal, entered phony
claims into the computer to recieve over $150,00 in benefits
and then deleted records of these transactions to avoid being
caught.

- Thefts of information commonly involve selling either
personnel information, contract negotiation information
( e.g., contract bids), and company proprietary information
(e.g., product engineering information ) for outside commercial
use, or copying or using software programs for personal or
personal business use.

CLUES
The following clues can indicate information security
vulnerabilities:

1. Security policies and practices are nonexistant or not
followed. No one is assigned responsibility for information
security.
2. Passwords are posted nest to computer terminals, written in
obvoius places, shared with others, or appear on the computer
screen when they are entered.
3. Remote terminals, microcomputers, and word processors are
left on and unattended during work or nonwork hours. Data
is displayed on unattended computer screens.
4. There are no restrictions on users of the information, or on
the applications they can use. All users can access all
information and use all trhe system functions.
5. There are no audit trails, and no logs are kept of who uses
the computer for which operation.
6. Programming changes can be made without going through a
review and approval process.
7. Documentation is nonexistant or inadequate to do any of the
following: understand report definitions and calulations;
modify programs; prepare data input; correct errors;
evaluate system controls; and understand the data base
itself -- its sources, records, layout, and data relationships.
8. Numerous attempts to log on are made with invalid passwords.
In dialup systems -- those with telephone hookups -- hackers
have programmed computers to do this "trial and error" guessing
for them.
9. Input data is not subject to any verification or accuracy
checks, or, when input data is checked:
-- more data is rejected;
-- more data adjustments are made to force
reconciliation; or
-- there is no record of rejected transactions.
10. There are excessive system crashes.
11. No reviews are made of computer information to determine the
level of security needed.
12. Little attention is paid to information security. Even if
an information policy exists, there is a prevailing view
that it really is not needed.

INFORMATION SECURITY CONTROLS

1. Control access to both computer information and computer
applications. Ensure only authorized users have access.

User Identification:

Require users to log on to the computer as a means of initial
identification. To effectively control a microcomputer, it may be most
cost-effective to use it as a single user systems. Typically, a
microcomputer has no log-on procedures; authority to use the system is
granted by simply turning on the computer.

User Authentication:

Use nontransferable passwords, avoiding traceable personal data,
to authenticate the identity of the users. Establish password
management protection controls, and educate users to common problems.

Other Controls:

Passwords are one type of identification -- something users
knows. Two other types of identification which are effective are
somthing that a user has -- such as a magnetic coded card -- or
distinguished user characteristic -- such as a voice print

If the computer has a built in default password ( a password
that comes built into the computer software and overrides access
controls ) be sure it gets changed.

Consider having the computer programmed so that when the user
log on, they are told the last time of its use and the number of invalid
log-on attempts since then. This makes the user an important part of
the audit trail.

Protect your Password

- Don't share your password -- with anyone
- Choose a password that is hard to guess
- Hint: Mix letters and numbers, or select a famous saying and
select every fourth letter. Better yet, let the computer
generate your password.
- Don't use a password that is your address, pet's name,
nickname, spouse's name, telephone number or one that is
obvious -- such as sequential numbers or letters.
- Use longer passwords because they are more secure; six to
eight characters are realistic
- Be sure that your password is not visible on the computer
screen when it is entered.
- Be sure that your password does not appear on printouts
- Do not tape passwords to desks, walls, or terminals. Commit
yours to memory. <<---- Remember this!!!

Manage Passwords Carefully

- Change passwords periodically and on an irregular schedule
- Encrypt or otherwise protect from unauthorized access the
computer stored password file.
- Assign password administration to the only most trusted
officials.
- Do not use a common password for everyone in an area.
- Invalidate passwords when individuals leave the organization.
- Have individuals sign for their passwords.
- Establish and enforce password rules -- and be sure everyone
knows them.

Authorization Procedures:

Develope authorization procedures that identify which users have
access to which information and which applications -- and use
appropriate controls.

Establish procedures to require management approval to use
computer resources, gain authorization to specific information and
applications, and recieve a password.

File Protection:

In addition to user identification and authorization procedures,
develope procedures to restrict access to data files:

-- Use external file and internal file labels to identify the
type of information contained and the required security levle;
-- Restrict access to related areas that contain data files such
as off-site backup facilities, on-site libraries, and
off-line files; and
-- Use software, hardware, and procedural controls to restrict
access to on-line files to authorized users.

System Precaution:

-- Turn off idle terminals;
-- Lock rooms where terminals are located;
-- Position computer screens away from doorways, windows, and
heavily tracked areas;
-- Install security equipment, such as devices that limit the
number of unsuccessful log-on attempts or dial-back would be
users who use telephones to access the computer;
-- Program the terminal to shut down after a specific time of
non-use; and,
-- If feasible, shut down the system during nonbusiness hours.

------

CARTAS - NEWS:
==============

Sobre a "famosa" ideia de reunir a rataiada para um bate papo aqui em
Sampa, nada rolou ainda. Mas consegui descobrir que a mocada de
algumas BBSes tipo a Mandic e a Persocom parece que ja' tem um grupo
de ratos que combinam de se reunir em um bar na av. Reboucas. Isso foi
uma pos-graduanda que me falou. Tenho minhas duvidas se e' verdade,
porque esse tipo de coisa teria divulgacao num jornal, mas em se
tratando de iniciativa privada, tudo e' possivel. O proximo BE deve
sair em duas semanas, e se eu descobrir qualquer coisa ate' la',
informo. Tenho que confessar minha total incompetencia para descolar
um local decente, uma das razoes pela qual nao chamei a rapeize. A
USP, para quem nao sabe, atualmente fecha aos fins-de-semana,
inviabilizando o que seria o melhor lugar de encontro, ja' que conto
com ajuda p. reservar sala p. o dito.

Esta aqui e' para quem acha que so' software pirata transmite virus.

Newsgroups: comp.virus
Subject: "Microsoft ships Form" (PC)
Date: 1 Mar 1995 18:14:24 -0000
Lines: 41
Original-Sender: news@Lehigh.EDU
Approved: news@netnews.cc.lehigh.edu
Distribution: world
Message-Id: <0007.9503011339.AA01815@bull-run.assist.mil>
Nntp-Posting-Host: fidoii.cc.lehigh.edu
Status: R

You may be interested to hear that the top story in the UK at the moment is
that according to reports in the computer industry press, Microsoft have
accidentally distributed the Form virus.

According to the story on the front page of Computer Weekly magazine (23
Feb 95) They accidentally distributed Form to 200 of the UK's leading
software developers. This happened last week in London at a Windows 95
Internationalisation seminar, when developers were handed a floppy disk of
sample code and document files.

The virus was spotted by a delegate who reported it to Microsoft, prompting
a full apology from the company. Microsoft wrote to developers warning of
the defect, recommending that they scan their disks with anti-virus
software.

A Microsoft spokesman blamed its disk supplier for the virus. "It is in
[the supplier's] contract to virus-check the disks they supply to us", he
said, admitting that the problem was "highly embarrassing".

Microsoft claims it is normally vigilant in the testing of disks it hands
out to users and developers, but that it ran out of time in the duplication
of its seminar disks.

Regards
Graham
- ---
Graham Cluley [gcluley@sands.co.uk]
Senior Technology Consultant, S&S International PLC, Alton House,
Dr Solomon's Anti-Virus Toolkit Gatehouse Way, Aylesbury, Bucks, UK
S&S International PLC +44 (0)1296 318700
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
In the States contact: S&S Software International, Inc,
27660 Marguerite Parkway #C-250, Mission Viejo, CA 92692, USA
Tel: 714 470 0048 Fax: 714 470 0018 [72714.2252@compuserve.com]

=================================================================
Para comentar essa outra carta, antes vou ter que mencionar o
incidente anterior.

PIRATA ELETRONICO INVADE ARQUIVOS DA USP
========================================

Condensado da materia do
Estado de Sao Paulo - 23-2-95 - Neide Maria Silva

Sao Carlos - A onda dos hackers, os piratas eletronicos que se divertem
descobrindo senhas que dao acesso a arquivos de computacao, chegou semana
passada a Universidade de Sao Paulo. O primeiro departamente a ter parte
de seus arquivos apagadosfoi a Engenharia Eletrica, na terca-feira. No dia
seguinte, o ataque foi na Fisica, que perdeu informacoes armazenadas em
tres discos e ficou com uma importante estacao de trabalho parada seis
horas. Audacioso, o hacker entrou tambem com sucesso nos sistemas do
Departamento de Matematica, na quinta-feira.
A acao foi considerada como "uma brincadeira maldosa", ja' que
o hacker nao teve nenhum proveito pratico com o ataque. O assunto foi
mantido em sigilo para evitar atrair a atencao de outros genios ciberne-
ticos. Segundo o professor Jan Slacts, responsavel pelo servico de infor-
matica do Departamento de Fisica, a invasao comecou por volta das tres
horas da madrugada e o hacker chegou a pedir aos usuarios que estavam
no sistema para que avisassem o FANTASTICO sobre o que ele estava fazendo.

-----------------------------------------------------------------------------

EFEITOS COLATERAIS NO BARATA ELETRICA

Na terca-feira, a coluna Netvox, do Jornal FOLHA DE SAO PAULO, comentou a
existencia do Barata Eletrica, como o primeiro Hacker E-Zine Brasileiro.
Isso, logo apos o "break-in" no computador da USP em Sao Carlos.
Todo computador ligado a Internet tem a sua equipe de Sysops ou
"Super-Users", encarregados de fazer a manutencao e controlar o acesso a
maquina. O encarregado da maquina onde eu tinha a conta que foi anunciada
no jornal congelou o acesso a minha conta, ate' que eu aparecesse para
explicar o quais eram minhas intencoes. Tive que explicar que minha
preocupacao era sobre hacking e nao cracking (vandalismo
eletronico).
Mesmo assim, como havia uma especie de caca as bruxas, ele me pediu para
arrumar outra forma de manter minha lista eletronica. No meu local de
trabalho, tambem me falaram quase a mesma coisa. "O problema sao as macas
podres", Derneval.

----------------------------------------------------------------
A CARTA QUE RECEBI, NUM BELO DIA, NA MINHA CONTA

>om tunel@univap.br 01:03 1995
>ate: Sun, 9 Apr 95 16:39:13-030
>rom: Tunel do tempo <tunel@univap.br>
>o: ?????????????????
>ubject: TRUE H4CK

E ai Denerval, como anda o H4CK? Pena que a B4R4T4 3L3TR1C4
sejam muito fraca, precisa um pouco mais de sal e um pouco menos de
V1RUS.:)
Nos somos conhecidos como C.R.A.Y (Computers Rats Against
Ydiots) somos os responsaveis por uma serie de ataques, inclusive o
qual voce foi responsabilizado ai na USP. :o
Quanto ao SUMMERCON seria uma boa uma vez que a classe H4CK e muito
desunida. Preste atencao a TV e voce podera nos ver agindo. :o
Mande lembrancas para o L4M3R do Arnaldo (vulgo ARNIE no IRC)
da QuimicaMolecular, e avise para ele que nao se deve rodar SN1FF3RS
num maquina como a C4T.:)
Que tal a gente comecar a invadir os .COM.BR. :) Ou criar um
canal no IRC tipo #HBRAZIL, toda quarta-feira a partir das 20:00.
Avise os seus amigos confiaveis, porque o H4CK e coisa seria pra
nos. :)

JOIN C.R.A.Y (Satan Inside)

REPLY > /DEV/NULL

P.S.: Ao Sr. Gomide, "REPENT THE END IS NEAR ... " MAYBE TO FAR AWAY :)
Ao Sr. Becherini, "NOS JA CONVERSAMOS POR TELEFONE"
Ao Sr. Cansian, "ACREDITO QUE A REAVALICAO NAO FUNCIONE" :)
Ao Sr. Dan Farmer, "AGRADECO POR TUDO"
Ao Sr. Papai e Mamae, "VOCES SAO MAXIMO!"

SPONSORED BY: SUN MICROSYSTEMS
EMBRATEL
RENPAC
TELESP E' COELHINHO
RNP
E OBVIAMENTE A FAPESP.

INTEL

=================================================================
Resposta de um amigo meu a ideia
-----------------------------------------------------------------

Subject: Re: TRUE H*** (fwd)

Hmm... Interessante... Sera' que e' verdade ou so' sao LAMMERS??? Em todo
caso, volto a sugerir a opcao do talker. Seria um talker restrito, e as
contas deveriam ser criadas por mim. Se voce achar uma boa...

Abracos,

?????? ??????

==============================================================

Minha resposta e' que eu nao tenho uma proposta de Vandalismo
Eletronico, ou ficar exibindo conhecimentos para a midia. Acho a
vida muito curta.
Colocar um monte de caras viciados em micro numa sala,
para trocar historias e dicas sobre problemas pelos quais todo
mundo passa. E passando adiante as experiencias. Se a conversa
esbarrar em "Computer Underground", tudo bem. Tem muita gente por
ai que aprende Carate, Judo, ate' Ninjutsu, mas nao sai matando
gente. Existem grupos de gentes apaixonados por romances de
espionagem, assaltos,etc, que nao saem por ai nem vasculhando a
vida das pessoas nem assaltando bancos. Ser Hacker nao tem nada
a ver com vandalismo eletronico, e e' com esta visao que faco o
meu e-zine.

--------------------------------------------------------------

BIBLIOGRAFIA:
=============

The Digital Personna and its Application to Data Surveillance - Roger
Clarke - The Information Society

Manual do Espiao

The Code-Breakers - David Kahn

Revista Super-Interessante - janeiro de 94

N.I.A - Network Information Access nr 4

PGP versao 2.6i - arquivos pgpdoc1.txt pgpdoc2.txt

Hack-Tic - novembro de 1993

Virus Report nr 18

-----------------------------------------------------------------

Date: Sun, 9 Apr 95 16:39:13-030
From: Tunel do tempo <tunel@univap.br>
To: ?????@????????????
Subject: TRUE H4CK

JOIN C.R.A.Y (Satan Inside)

REPLY > /DEV/NULL

SPONSORED BY: SUN MICROSYSTEMS
EMBRATEL
RENPAC
TELESP E' COELHINHO
RNP
E OBVIAMENTE A FAPESP.

INTEL

=================================================================
Resposta de um amigo meu a ideia
-----------------------------------------------------------------

Subject: Re: TRUE H*** (fwd)

Abracos,

?????? ??????

==============================================================

--------------------------------------------------------------

BIBLIOGRAFIA:
=============

The Digital Personna and its Application to Data Surveillance - Roger
Clarke - The Information Society

Manual do Espiao

The Code-Breakers - David Kahn

Revista Super-Interessante - janeiro de 94

N.I.A - Network Information Access nr 4

PGP versao 2.6i - arquivos pgpdoc1.txt pgpdoc2.txt

Hack-Tic - novembro de 1993

Virus Report nr 18

> Clarke - The Information Society

Manual do Espiao

The Code-Breakers - David Kahn

Revista Super-Interessante - janeiro de 94

N.I.A - Network Information Access nr 4

PGP versao 2.6i - arquivos pgpdoc1.txt pgpdoc2.txt

Hack-Tic - novembro de 1993

Virus Report nr 18