Serviço de e-mail baseado em software livre no governo em âmbito federal

Iniciado por rudregues, 15 de Outubro de 2013, 17:14

tópico anterior - próximo tópico

rudregues

É galera, após os acontecimentos de espionagem pela NSA parece que a presidente tomou alguma atitude. Ela mandou cancelar as renovações com o Outlook da Microsoft pra iniciar uma parceria com a Serpro que utiliza software livre pra pacotes de software para email. Não sei se isso realmente impedirá a interceptação de informações, mas com certeza diminuirá os custos do governo e incentivará mais o uso de software livre.

Notícia rápida:
http://telesintese.com.br/index.php/plantao/24457-dilma-anuncia-adocao-de-email-criptografado-do-serpro-pelo-governo

Mais completa:
http://geopoliticablog.blogspot.com.br/2013/10/buscando-seguranca-dilma-nao-renova.html

Crítica sobre essa implementação (tem cara de FUD):
http://camaragibeemfoco.blogspot.com.br/2013/10/correio-eletronico.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+CamaragibeEmFoco+(Camaragibe+em+Foco)
Gentoo — Controle total sobre o sistema.

selvaking

Há um ano atrás quando implantei esta ferramenta no meu local de trabalho, após já tê-la usado como usuário em outro local, fiquei maravilhado com sua página de login que dizia "Expresso Livre".

Para um amante do software livre esta página dizia tudo.

Recomendo como e-mail corporativo.
Dê-me um computador com o Tux que movo o mundo!

Linux User #323049

rudregues

Citação de: selvaking online 15 de Outubro de 2013, 18:13
Há um ano atrás quando implantei esta ferramenta no meu local de trabalho, após já tê-la usado como usuário em outro local, fiquei maravilhado com sua página de login que dizia "Expresso Livre".

Para um amante do software livre esta página dizia tudo.

Recomendo como e-mail corporativo.
Então selvaking, qual a sua opinião sobre a segurança da plataforma? Acha que é suficiente pra proteger a gente da NSA, hackers e afins? Se puder também falar em qual empresa/organização trabalha também seria legal :-)

Pesquisei sobre Expresso Livre mas não encontrei muita coisa... o quão seguro ele é, como funciona, se é ele que será utilizado na implementação federal etc.
Gentoo — Controle total sobre o sistema.

rudregues

Mais informações:
"Ele disse mais: segundo o presidente do Serpro, na sua infraestrutura ele garante que não haverá invasão, e o uso da tecnologia, cuja implantação começa em novembro, trará economia, já que não haverá cobrança para o tráfego de dados e uso dos servidores – que atualmente usam software fornecido pela Microsoft.
A presidência da república deu prazo: tudo tem que estar pronto até o 2º semestre de 2014."
fonte: http://br-linux.org/2013/01/agora-vai-serpro-diz-que-expresso-v3-identifica-qualquer-tentativa-de-acesso-ilegal-e-vai-livrar-governo-da-espionagem.html

Tem vários comentários nesse link. E pelo que percebi a até a V2 era meio problemático e fraco, mas a versão mais nova V3 parece que está boa e com cada vez mais gente colaborando.  Nesse link http://comunidadeexpresso.serpro.gov.br/portal/index.php?lang=pt-BR é possível ter mais informações sobre. Diversos comentários realçando que é impossível ter um sistema impenetrável, até concordo, mas prefiro essa plataforma livre e em desenvolvimento que depende de nós mesmos a uma proprietária que depende de empresas como a Microsoft. Não deixa de ser um passo na direção certa, mesmo que essa declaração seja apenas por 'politicagem'.

Obs.: só pra saber até que ponto pode chegar essa espionagem da NSA até mesmo hardware pode ter backdoor http://www.inovacaotecnologica.com.br/noticias/noticia.php?artigo=espionagem-norte-americana-manipulando-chips-computador&id=010150131014
Gentoo — Controle total sobre o sistema.

selvaking

Citação de: rudregues online 15 de Outubro de 2013, 19:04
Então selvaking, qual a sua opinião sobre a segurança da plataforma?
Não existe plataforma 100% segura, mas em comparação com outros sistemas pagos de E-groupware não deixa nada a desejar.
Citação de: rudregues online 15 de Outubro de 2013, 19:04
Acha que é suficiente pra proteger a gente da NSA, hackers e afins?
Vai depender muito dos administradores deste sistema.
Citação de: rudregues online 15 de Outubro de 2013, 19:04Se puder também falar em qual empresa/organização trabalha também seria legal :-)
Um quartel do Exército Brasileiro. Hehehehh!
Citação de: rudregues online 15 de Outubro de 2013, 19:04
Pesquisei sobre Expresso Livre mas não encontrei muita coisa... o quão seguro ele é
Como já disse. A segurança vai depender muito da equipe de administradores.
Citação de: rudregues online 15 de Outubro de 2013, 19:04
como funciona
Um script bash que instala vários servidores (Apache, Zend - PHP, PostgreSQL, OpenLDAP, Cyrus IMAP, Postfix, SASL, Jabber e etc) que estão intrisecamente configurados e um site para acesso e administração destes servidores. Este script pode instalar estes servidores em várias plataformas linux. O Ubuntu Server fica show de bola.
Citação de: rudregues online 15 de Outubro de 2013, 19:04se é ele que será utilizado na implementação federal etc.
Pelo jeito, é sim.
Dê-me um computador com o Tux que movo o mundo!

Linux User #323049

garfo

Duvido que isso irá parar a dita "espionagem", mas já é um começo. E pra complicar, o software é brasileiro...  :-\
Garfo -  linux
"Pra quê complicar? Facilidade e simplicidade é tudo!"

Turritopsis nutricula

Se o software é livre, o invasor pode estudar o fonte e fazer o processo inverso né?

Tota

Citação de: Turritopsis nutricula online 16 de Outubro de 2013, 14:30
Se o software é livre, o invasor pode estudar o fonte e fazer o processo inverso né?

Não se as mensagens saem encriptadas como é o projeto.

Turritopsis nutricula

#8
Citação de: Tota online 16 de Outubro de 2013, 15:41
Citação de: Turritopsis nutricula online 16 de Outubro de 2013, 14:30
Se o software é livre, o invasor pode estudar o fonte e fazer o processo inverso né?

Não se as mensagens saem encriptadas como é o projeto.
Ué... mas é possível quebrar a criptografia né? Se já quebram de software proprietário onde não se tem acesso ao fonte, image em um livre que se pode estudar o fonte para qualquer propósito.

Qualquer tipo de criptografia pode ser quebrada. Basta o cracker ter interesse.

rudregues

Citação de: Turritopsis nutricula online 16 de Outubro de 2013, 16:30
Qualquer tipo de criptografia pode ser quebrada. Basta o cracker ter interesse.
Muitas vezes a chave é grande o suficiente pra tornar o "crackeamento" computacionalmente inviável. Já tentou invadir redes WPA com seu notebook? Faz isso e irá me entender... Agora, o problema é quando não é um cracker sozinho, mas uma organização grande como a NSA que com certeza tem elevado poder computacional.
Gentoo — Controle total sobre o sistema.

Tota

Citação de: Turritopsis nutricula online 16 de Outubro de 2013, 16:30
Ué... mas é possível quebrar a criptografia né? Se já quebram de software proprietário onde não se tem acesso ao fonte, image em um livre que se pode estudar o fonte para qualquer propósito.

Voce esta fazendo uma pequena confusão entre quebrar o numero serial de algum software (o que é até moleza) e criptografia de dados.

Num e-mail criptografado com chave de 256 bit, sem a chave para descriptografar um cracker levaria mais de 100 anos deixando o programa de crack rodando 24 horas.

São coisas muito diferentes.

Turritopsis nutricula

Se eu estou confundido, por que um hacker famoso com um 486 poucos anos atrás invadiu a casa branca?
Por que o Playstation 3, XBOX360 foram hackeados? Inclusive os caras conseguem desbanir o console pelo MAC Adress que é apenas um por máquina

Cada vez mais os programas não pedem serial. Tem vezes que tem que exigir validação da BIOS e etc.

Arthur Bernardes

Turritopsis nutricula, é difícil ter uma conversa contigo, hein?!! :(

Tota

Citação de: Turritopsis nutricula online 17 de Outubro de 2013, 11:53
Se eu estou confundido, por que um hacker famoso com um 486 poucos anos atrás invadiu a casa branca?
Por que o Playstation 3, XBOX360 foram hackeados? Inclusive os caras conseguem desbanir o console pelo MAC Adress que é apenas um por máquina

Cada vez mais os programas não pedem serial. Tem vezes que tem que exigir validação da BIOS e etc.

Mas.... Tudo isto que citou acima não usa criptografia!!!!

Invadir a casa Branca é com senha de acesso

Hackear o playstation é com uso de chip NAND

Mudar MAC address é via software nadinha criptografado

Validação por serial da BIOS nada tem a ver com criptografia.

Faça uma pesquisa na rede e veja se tenho razão.

rudregues

Então rapaz, o que acontece é que essa galera explora falhas. Se eles não encontrarem falhas não são capazes de fazer nada.

Vou dar um exemplo:

Desenvolvo um algoritmo que troca as letras 'a' por '0ABC' e armazena isso num arquivo. Um banco implementa no site deles esse sistema. Você cria a senha 'maracataia' então ele armazena sua senha como 'm0ABCr0ABCcut0ABCi0ABC'.

Mas um servidor de email resolveu implementar o mesmo algoritmo no site deles, porém implementou incorretamente o algoritmo, que tornava público o acesso ao arquivo que contém a senha alterada. Resultado disso, com análise estatística, o cracker conseguiu descobrir que 'a' estava sendo substituído por '0ABC'. A falha não foi em meu algoritmo, mas sim na implementação por parte do servidor de email.
Gentoo — Controle total sobre o sistema.