Fraude por e-mail é tirar doce de criança (II)

Criptografia não é coisa (apenas) de nerd. Você pode e deve proteger seus e–mails, certificá–los digitalmente e ter um mínimo de privacidade. Deixe o preconceito de lado e descubra as maravilhas do PGP.

Por Nenhum

Paulo Rebêlo

Então devemos desconfiar de pessoas com e–mail gratuito e procurar evitar aderir a essas belezinhas? Não é tão simples assim. (leia a primeira parte aqui).

Sempre sugiro que as pessoas criem e–mails gratuitos, se possível mais de um. Por quê? Paradoxalmente, por uma questão de segurança.

E–mail gratuito é inseguro para quem recebe; mas proporciona uma certa privacidade para quem envia. Se vão usar essa privacidade para o bem ou para o mal, aí é outra história. Sobre privacidade em e–mail gratuito e de provedor, leia mais ao lado, em matérias relacionadas.

Quem tem olho é rei –

Adoramos instalar firulas bonitinhas no computador, baixar as últimas versões do ICQ e MSN Messenger, protetores de telas animados e reenviar correntes e piadas para os “amigos”. Entretanto, é na hora de zelar pela própria segurança e privacidade que a porca torce o rabo.

Os prejuízos milionários em empresas que permitem aos funcionários abrir arquivos anexos ao e–mail, sem qualquer filtragem técnica, é a maior prova de que a segurança digital parece ser um tabu. E não é só no Brasil, há de se realçar. Antivírus atualizado semanalmente e firewall ligado para todos os usuários domésticos é um sonho distante.

Se o e–mail é tão inseguro, e há tanto tempo, quer dizer que nunca fizeram nada para melhorar? Fizeram, sim. E não é novidade. Pense em criptografia.

É a mãe –



Criptografia não é palavrão, nem xingamento. Muitos relacionam criptografia com FBI, CIA, Pentágono e outras instituições que lidam com informações ultraconfidenciais. Ou, simplesmente, acham que é coisa de nerd. O que talvez até tenha um fundo de verdade, quem sabe.

Para quem acredita que um e–mail de cunho pessoal ou sigiloso escrito por você é público e que qualquer um pode ler, então esqueça a criptografia ou qualquer outro recurso de proteção. Não é o meu caso e, acredito piamente, não é o caso da maioria.

Há muitos anos existem ferramentas extremamente eficientes para proteger seu e–mail de fraudes e abelhudos. O destaque é para o internacionalmente adotado PGP , sigla para Pretty Good Privacy, que é inclusive usado em órgãos governamentais e instituições que lidam com informações confidenciais.

Todos nós, leigos ou não, podemos – e devemos – usar uma ferramenta assim. O funcionamento do PGP é simples. Há farta literatura sobre o assunto em português. É só procurar no Google. Mas, em linguagem resumida:

** Para cada pessoa que usa PGP é criada uma assinatura única e exclusiva. São criadas duas chaves: uma pública e uma privada. Então você tem a opção de “assinar” com o PGP todas suas mensagens enviadas com sua chave pública.

** O PGP só tem cabimento se o receptor também usar PGP. No Brasil, a adoção desse tipo de criptografia é incipiente. Consigo contar nos dedos conhecidos meus que usam o recurso. Tudo bem, talvez eu não conheça tantos nerds assim.

Portas sem chaves –

O PGP exige que você digite uma senha, previamente criada quando instala o programa e cria sua conta pessoal, toda vez em que for enviar um e–mail. Se alguém usar seu computador e não tiver a senha, o e–mail é enviado sem a assinatura de autenticação. E sem a assinatura do PGP, o receptor já pode desconfiar de que você pode não ser exatamente você…

Ao receber o e–mail, o PGP na casa do receptor pode automaticamente conferir os dados de sua chave pública para ver se você é você mesmo, através de uma sincronia em tempo real com os servidores do PGP. Caso o e–mail não esteja assinado com sua chave, voltamos à estaca zero: qualquer pessoa pode alterar o nome do remetente e se fazer passar pelo Sílvio Santos, Bill Gates etc.

A assinatura funciona, enfim, para comprovar a veracidade do envio da mensagem, nada mais. O conteúdo do e–mail não é criptografado, apenas a assinatura específica do programa o é. É um recurso de confirmação do remetente. O conteúdo do e–mail, porém, continua bastante inseguro. Prato cheio para os abelhudos de plantão.

Então, para e–mails ainda mais importantes, sigilosos ou bem particulares, a melhor opção é criptografar todo o conteúdo da mensagem. O PGP faz isso bem rápido.

O e–mail é enviado em forma de código aleatório (cifrado) e só quem pode ler é o receptor a quem você deu permissão. Os servidores vão verificar as chaves públicas e privadas dos dois para poder desembaralhar o conteúdo.

Se der boi na linha, ou seja, alguém pegar o e–mail pelo meio do caminho, só consegue ler o conteúdo se souber a senha. E aí, para descobrir, só colocando o verdadeiro emissor sob tortura.

Todas as operações do PGP são rápidas e não exigem muito do computador. Diferentemente de protetores de tela e novas versões de ICQ e Messenger, o PGP foi feito para ser rápido, leve e funcional.

Para assinar e criptografar e–mails em PGP é necessário que a mensagem esteja em texto puro. Traduzindo: nada de mensagens em HTML que mais parecem um website, com figurinhas, desenhos, musiquinhas e coloridinhos.

A adoção de e–mails criptografados, ou pelo menos assinados digitalmente, é de uma necessidade urgente para empresas e para profissionais que dependem da internet para trabalhar. E para o usuário doméstico, mesmo aquele leigo, é um recurso deveras interessante que vale a pena ser estudado.

As alternativas existem –

O PGP não é a única solução de segurança no e–mail. Existem várias certificadoras digitais, inclusive brasileiras, que oferecem serviços de assinatura digital e criptografia.

Mais uma vez, o “oráculo” (Google) tem as respostas para quem quiser saber mais. Até porque o PGP também tem lá suas falhas.

Uma delas é falta de compatibilidade com todos os programas de correio eletrônico. Mesmo a versão mais recente é compatível apenas com os programas mais conhecidos, como Eudora, Outlook e Outlook Express. Há uma compatibilidade “forçada” para usuários do The Bat, ainda longe do ideal.

Outra falha é que se você costuma checar e enviar e–mails pela web, usando o navegador (browser), então não é possível usar PGP. Você pode até assinar digitalmente, copiando sua chave pública (CTRL+C) e colando em cada e–mail enviado. Mas, se o receptor do e–mail pegar a mensagem também pelo webmail, aí complica ainda mais para verificar a autenticidade.

O PGP sempre foi gratuito. Não é mais. Hoje, quem usa versões do Windows anterior ao XP pode baixar a versão 7.0.3 e usar gratuitamente. O problema é que a versão 7.0.3 não funciona no XP.

Quem usa Windows XP ou posterior só pode usar a versão 8.0, que é paga. Existe uma versão gratuita (freeware), mas é bem básica e não tem integração com nenhum programa de correio eletrônico. Além de e–mail, o PGP ainda oferece opções de criptografia para arquivos, pastas e discos rígidos inteiros. Tudo à distância de poucos cliques de mouse. É um recurso sem igual para sua privacidade. [Webinsider]

Ninguém comentou o artigo "Fraude por e-mail é tirar doce de criança (II)"

Avisos

Os ítens com asterisco ( * ) são campos de preenchimento obrigatório.

Todos os links inseridos nos comentários possuem o atributo rel="nofollow" para impedir com que user agents (como os mecanismos de busca) sigam os links inseridos para desestimular spammers.

Todos devem se identificar através de e-mail válido.

Os e-mails dos usuários não serão divulgados no site.