nanda's page

Há um tempo atrás, escrevi o post Era só o que faltava...lei contra anonimato na troca de e-mail, sobre a proposição de lei (PL 6827/2006) do Deputado Jefferson Alves de Campos, do PTB/SP, que pretendia acabar com a privacidade dos usuários de emails no Brasil.

Explicação da Ementa: Proíbe o anonimato do usuário de serviço de correio eletrônico, devendo os provedores manter registro de todas as mensagens eletrônicas enviadas (e-mail).

Me cadastrei no site da Câmara (em asp, que vergonha) pedindo para receber as informações sobre o andamento deste processo, e comecei a trocar emails com o Deputado (eu seja lá quem responde os emails dele), explicando o porque aquele projeto de lei seria uma derrota para a privacidade. Também seria uma derrota para a legislação brasileira, já que a Câmara é famosa por projetos absurdos de lei, que como este, que são na prática impossíveis de se aplicar.

Hoje, me surpreendi com um e-mail do sistema da Câmara, me avisando de mudanças no processo. Entrei no site da Câmara (em asp, que vergonha), e vi que o Deputado enviou em 17 de agosto de 2006, o pedido de retirada do Projeto de Lei!

Mais informações: http://www.camara.gov.br/sileg/prop_detalhe.asp?id=318885.

Depois da minha experiência de "uma brasileira perdida sozinha em Zurich", vivida no começo deste ano. Loimar Vianna, que começou comigo o Projeto Software Livre Mulheres passou pelo mesmo nas suas aventuras como "uma brasileira perdida sozinha em Dublin". Então, de bate papo via jabber estes dias, decidimos fazer alguma coisa pra ajudar os outros, pra variar.

Estamos montando um site de informações para brasileiros sobre como se virar na Irlanda e na Suíça, onde encontrar as coisas, falamr de como os sistemas funcionam, fazer fofocas do tipo "os bancos da Irlanda não aprenderam a usar internet ainda", entre outras coisas.

O nome do site? Cantinho Brasileiro.

Vamos ver no que dá...

Depois de 5 meses morando neste apartamento, ontem finalmente conseguimos realizar nossa festinha. Tentei trazer para Erlenbach um pedacinho do Brasil, por uma noite.

Depois que eu encontrei um mercadinho brasileiro em Zurich, foi fácil decidir o cardápio: Feijoada!

A janta: 1,5 Kg de feijão, 1 Kg de bacon, 4 Kg de carne de porco, 0,5 Kg de carne seca, 0,5 Kg de linguiça, 2 Kg de couve, 1 Kg de farofa, 48 latinhas de Guaraná, 3,5 l de cachaça, 17 limões, 1 caixas de pé de moleque, 1 caixa de paçoquinha, 6 laranjas.

E como consequência disso: em torno de 17 pessoas bêbadas e satisfeitas :)

Ganhamos muitas bebidas, copos e um vasinho de flores. Eu até me senti no Brasil por uma noite :)

Meu amigo Aurélio Heckert me mandou há um tempo atrás um email com este subject, que continha versões da minha tattoo sem o resto de mim. Só a tattoo. Então remexendo os emails antigos, encontrei esta imagem que agora é o logo do meu site. E meu. Obrigada Aurrélio!!!

Trusted Computing - Computação Confiável. Mas confiável pra quem?

Em 1999, um grupo de empresas do qual faz parte IBM, AMD, Intel, HP, Microsoft, entre outras, criou um grupo chamado Trusted Computing Group[0], “Grupo de Computação Confiável” (TCG), com o objetivo de criar e promover mecanismos e dispositivos de Computação Confiável.

O que isso significa?

Significa que o TCG começou a desenvolver mecanismos para tornar dispositivos eletrônicos mais confiáveis, através do controle do que está sendo executado ou reproduzido nesses dispositivos. Fazendo então com que vírus, programas maliciosos ou desconhecidos, entre muitas outras coisas, não pudessem mais ser excutados, porque não teriam permissão para isso. Parece bom, não parece?

Mas isso também significa que os computadores, PDAs, telefones celulares, e outros artefatos eletrônicos que todos nós utilizamos, serão (alguns já vêm sendo) equipados com Trusted Plataform Modules, “Módulos de Plataforma Confiável” (TPM), que controlarão, entre outras coisas, se você pode ou não tocar aquele cd de música que você gravou, assistir aquele filme que você baixou da internet, ou até mesmo instalar aquele programa que você quer no seu computador.

Trocando em miúdos, você só vai poder fazer com SEU equipamento, aquilo que é certo. E quem define o que é certo? A empresa da qual você comprou o equipamento, e seus parceiros, que geralmente inclui gravadoras.

As gravadoras e indústria cinematográfica já estão trabalhando no desenvolvimento de Digital Restriction Management, “Gestão Digital de Restrições”. Assim, eles teriam o controle sobre a violação de Copyright que pode estar acontecendo no meu computador. Adeus a troca de vídeos pela internet, adeus troca de músicas pela internet. Adeus compartilhamento, adeus liberdade de escolher que eu quero ser uma fora-da-lei.

A idéia é que seu computador agora obedeça não mais a você, e sim às empresas que fabricam os computadores e desenvolvem os sistemas operacionais que rodam neles.

Eles podem decidir que eles não confiam na comunidade Software Livre, ou seja, isso significa que você também não confia (já que você são eles quem escolhem em quem você confia) e por isso você não pode instalar Software Livre no seu computador!

Há alguns meses eu assisti um vídeo sobre Computação Confiável[1], que contém a melhor definição do que isso realmente significa:
Eles querem que o seu computador seja mais confiável, e por isso instalam estes chips de controle. Só que são eles quem decide o que é ou não confiável, você não pode decidir. Eles decidiram que você tem que confiar neles, porque eles não confiam em você. Agora, se eles não confiam em você, porque você iria confiar neles?

Mais informações sobre o assunto podem ser encontradas no site http://www.againsttcpa.com

Confiança na troca de informações – Assinatura e criptografia na troca de mensagens.

Há duas semanas instalei um artefato nerd e extremamente interessante no meu computador: um smart card para criptografar e assinar mensagens. Smart cards contendo chaves GPG é o que eu chamaria de o estado-da-arte em matéria de segurança para autenticação, assinatura digital e criptografia.
Estou ajudando o pessoal da Free Software Foundation Europa (FSFE)[2] a revisar os manuais deles, então resolvi escrever sobre o assunto para quem estiver interessado em ter um desses brinquedinhos.

*************
Para quem não sabe o que é GPG

Quando eu recebo um e-mail da Aninha, eu procuro saber quem já assinou a chave dela, e vejo que o Luizinho, de quem eu assinei a chave e assinou a minha, assinou a chave dela também. Então eu sei que posso confiar que a Aninha é realmente a Aninha.
*************

A chave GPG usualmente é guardada no seu computador. E eu computador está sujeito ao seu irmão ou irmã que usa, ao ladrão que pode roubar o computador pra sempre, ao cracker que pode invadí-lo e ter acesso aos seus dados, a um programa que pode enviar seus dados “sem querer” para uma terceira pessoa. Também existe o problema de trabalhar em vários computadores diferentes. Se você usa 3 computadores, precisa ter sua chave secreta nestas três máquinas. Espalhar sua chave secreta GPG não é uma maneira sábia de manter sua confidencialidade.

Por isso, para garantir que sua chave GPG vai continuar sendo confiável, são necessárias maneiras alternativas de segurança física dessa chave. Usar um token com sua chave, com uma senha de acesso a ele pode ser uma boa forma de manter essa confidencialidade.

Trabalhando com smart cards, você pode criar uma sub-key para sua chave primária GPG, guarda sua chave primária num lugar seguro, e pronto! Sua chave GPG estará mais segura do que nunca num cartãozinho do tamanho de um cartão de crédito. A sub-key herdará todas as assinaturas da chave principal.

E se você perde o cartão, ainda pode revogar a sub-key, adquirir outro cartão, criar outra sub-key, e suas assinaturas (que sempre são feitas na chave principal) estão todas lá, intactas!

Cada vez que você solicitar o envio de uma mensagem assinada ou criptgrafada, seu cliente de e-mail solicitará a senha (ou PIN) do seu cartão. Se o cartão não está conectado ao computador, sua chave privada não está acessível. Tão simples quanto isso.

E o cartão possui também uma terceira chave que é de autenticação, o que significa que você pode user seu cartão para fazer login ssh, single signon, e o que mais sua paranóia com segurança conseguir imaginar.

Werner Koch, o pai do GnuPG[3], tem uma pequena empresa na Alemanha chamada g10 code[4], que produz estes cartões, e distribui através de uma empresa chamada Kernel concepts[5]. Um cartão de criptografia GPG custa 16 EUR (em torno de 45 reais). O leitor de smart card (obviamente requerido para o funcionamento), custa 29 EUR (em torno de 80 reais).

Você também pode ganhar um cartão ao se associar ao programa Fellowship da FSFE[6], o custo para se associar é de no mínimo 60 EUR (aproximadamente 165 reais). Eles enviam o cartão pelo correio e você ainda ajuda o trabalho da FSFE!

O manual de como instalar seu cartão GPG pode ser encontrado no portal do Fellowship da FSFE[5], e para maiores informações, você pode consultar o manual sobre o Fellowship Card[7] na página do GnuPG.

Links relacionados:
[0] http://www.trustedcomputinggroup.org
[1] http://www.lafkon.net/tc/
[2] http://www.fsfeurope.org
[3] http://www.gnupg.org
[4] http://www.g10code.com
[5] http://www.kernelconcepts.de/products/security.shtml
[6] http://www.fsfe.org
[7] http://www.gnupg.org/howtos/card-howto/en/smartcard-howto.html

Este artigo foi publicado na Revista PC Master em fevereiro/2006

Para aqueles que se dizem os melhores programadores do universo. Show us the code! Google Code Jam 2006 abre as incrições hoje!

Se você conseguir fazer fogo, é claro.

Na semana passada, por motivo de segurança, o governo proibiu as pessoas de fazerem churrasco com carvão. Choveu somente 30% do que deveria ter chovido no mês de julho e eu acho que os politicamente corretos estavam se sentindo contribuidores para o aquecimento global por causa do churrasco ou eles têm sérias dúvidas quanto a capacidade dos suíços em lidar com fogo. Duvidar da capacidade de fazer e controlar o fogo da minha churrasqueira é quase uma ofensa pessoal a uma gaúcha!

Somente pessoas que possuíssem churrasqueiras à gás poderiam fazer churrasco. Se é que dá pra chamar aquilo de churrasco. As churrasqueiras à gás são como os fogões do Brasil, mas como aqui os fogões são elétricos e, apesar do nome, não fazem fogo de verdade, então qualquer coisa que faça fogo aqui é churrasqueira.

Enquanto no Brasil churrasco bom é aquele que a carne está começando a ficar com cara de cozida e o sangue ainda escorre depois que você tira do fogo, aqui, churrasco é quando tudo fica com cara de carvão. E, apesar de eu nunca ter comido carvão, suspeito que o gosto também seja de carvão.

Enfim, o churrasco está legalizado, mas só esqueceram de avisar São Pedro sobre isso. Não pára de chover desde que o churrasco voltou a ser legal na Suíça.

O deputado Pastor Jefferson Campos (PTB-SP) encaminhou o Projeto de Lei 6827/06 que agora está sendo analizado pela câmara dos deputados. Segundo a proposta de lei, todos os provedores de serviço de e-mail deverão manter dados como endereço, CPF e número de indentidade de todos os usuários cadastrados.

Não consigo deixar de imaginar aquele bando de usuário de Windows da Câmara, que não sabe nem o que significa protocolo, discutindo como regular a internet...

Há um tempo atrás, quando eu li o tal projeto, enviei um e-mail ao deputado questionando, e tentando explicar que o modo descentralizado e completamente globalizado no qual a internet funciona, faria com que essa lei fosse na prática quase sem efeito. Imagina se eu coloco meu servidor de e-mails no ar, o super seriedetubos.com.br e começo a distribuir contas email para meus amigos. Como o governo fiscalizaria a minha ação?

Como pedir que uma empresa no México tenha CPF de todos os usuários cadastrados? Como uma empresa brasileira vai ter o CPF de um estrangeiro no seu cadastro, já que somente brasileiros têm CPF? Estariam as empresas brasileiras então proibidas de prestar serviços de e-mail a estrangeiros, já que estes não podem fornecer os dados exigidos pela lei?

Cada vez mais me questiono o que estas criaturas estão fazendo na Câmara dos Deputados....talvez tentando competir com o Senado estadosunidense pra ver quem é mais irracional, já que lá na terra do Tio Sam agora querem colocar pedágio nos roteadores, afirmando que a internet é uma série de tubos, e por isso, o dono de cada tubo pode cobrar por sua utilização...