Motivos para comemorar

Sempre que leio notícias como esta que saiu na revista INFO, com o título “Firefox é o software favorito dos leitores“, e também no Br-Linux.org, com o título “Prêmio Info: Firefox é o melhor software do ano“, fico ao mesmo tempo feliz e ao mesmo tempo triste.

Feliz pois é mais do que merecido o Firefox ter ganho o tal “Prêmio INFO 2007″, mesmo que eu não entenda muito bem os critérios utilizados para designar um navegador como o “software favorito dos leitores”, em detrimento de tantas outras excelentes, úteis e imprescindíveis aplicações; mas tudo bem. Feliz também pelo Firefox ter obtido a tal marca de mais de 400 milhões de downloads durante o ano de 2007, pois isto significa que mais pessoas optaram por um navegador mais seguro, mais prático, mais customizável e, além de tudo isso, totalmente gratuíto e com o código fonte aberto. Feliz pois, além do mais, uma notícia (e um prêmio) como esta sempre funciona como uma propaganda e tanto do navegador, e então, poderemos contar (vamos sonhar) com um incremento nesta marca.

Motivos para pensar

Mas ao mesmo tempo em que me sinto feliz, também me sinto meio que triste ao ler algo assim, não tanto pela notícia em si (a qual é boa, sem sombra de dúvidas), mas pelo que a mesma nos faz pensar. Pois ela nos faz pensar e chegar à conclusão de que esta não é uma marca nada “consoladora” se for comparada aos resultados obtidos pelo IE, e em como tem sido (e continua sendo) difícil para o Firefox (e toda a comunidade envolvida) sobrepujar o IE em número de downloads e usuários (infelizmente, o IE ainda é utilizado pela grande maioria dos usuários).

Me sinto triste também ao relembrar todo o tempo de estrada que o Firefox tem e toda sua evolução (já mudou até de nome), e ver que ele já poderia ter chegado muito mais longe. Me sinto triste ao perceber que, infelizmente, o enorme “know-how” obtido pela Mozilla, desenvolvedores e usuários durante este tempo não foi suficiente (não sei muito bem de quem é a culpa) para fazer do Firefox um navegador mais difundido, utilizado e “amado”. Sei que isto pode soar meio pessimista de minha parte, mas enfim, é o que penso.

Aliás, este é um “fantasma” que ronda grande parte do mundo do software livre/opensource. Vemos ótimas soluções livres sendo preteridas em função de outras pagas e de código fechado, como é o caso, por exemplo, da excelente suíte para escritórios OpenOffice / BrOffice, mesmo que os usuários utilizem apenas o “básico”, e nada mais. Muitos preferem utilizar o “basicão” em uma aplicação paga e de código fechado (muitas vezes “pirateada”), ao invés de fazer o mesmo em uma solução livre, “não castrada”, e de forma totalmente legalizada. Não vou nem citar aqui outros exemplos, para não fugir muito do assunto, pois a lista é longa.

Voltando ao ponto, apesar de todas as melhorias, de todo o empenho da fundação Mozilla em promover o navegador, da maior segurança obtida através de sua utilização (e das inúmeras extensões destinadas a aumentar a segurança), da maior possibilidade de customização, da enorme quantidade de extensões disponíveis, etc, etc, nosso querido Firerox ainda não é o preferido do pessoal. Aí eu me pergunto: “Por que?”

E eu mesmo consigo encontrar algumas respostas não muito consoladoras somente analisando o meu dia a dia e o contato que mantenho com diversas pessoas em meu trabalho, bem como no convívio com amigos e parentes. Infelizmente, a maior parte dos usuários não quer ter muito trabalho além do (infelizmente, em suas opiniões) estritamente necessário; não quer descobrir novas ferramentas (e passar pelo período de aprendizado que isto requer, pois muitas vezes a curva de aprendizado pode ser longa), não quer descobrir novas maneiras de fazer a mesma coisa e, resumindo, simplesmente não quer mudar. Isto é fato.

Este fato pode ser comparado com o total desconhecimento e inércia (infelizmente) por parte da maior parte dos usuários no que diz respeito às boas práticas durante a navegação, utilização de ferramentas de segurança adequadas (um bom anti-vírus, um bom firewall, etc). A maioria das pessoas não quer ter trabalho com a instalação de um bom firewall, por exemplo, e depois ter de conviver durante algum tempo com os diversos popups apresentados pelo mesmo quando algum programa ainda “desconhecido” tenta acessar pela primeira vez a internet ou algum processo do sistema.

Isto quando, é claro, o usuário resolve instalar um firewall. Pois conheço gente que já teve seus dados bancários roubados, perdeu dinheiro, e mesmo após a formatação da máquina e troca de todas as senhas ainda continua não utilizando um firewall e/ou outras soluções de segurança e mantendo os mesmos hábitos “inadequados” durante a utilização da internet.

Infelizmente, devido a todos (além de muitos outros) os fatores expostos acima e pelo menos em minha opinião, o Firefox (e também o Opera, outro excelente navegador) permanece (por enquanto?) sendo o navegador preferido apenas pelos Geeks, pelos usuários mais experientes, por aqueles que utilizam a web para algo mais do que simplesmente ler e-mails, acessar sites de relacionamento e coisas do gênero, e não muito mais do que isso. Posso estar sendo muito pessimista neste ponto (eita palavra que não sai da minha cabeça), mas infelizmente é o que penso a respeito, e muitos fatos, pesquisas e estatísticas comprovam tal fato.

Falando nisso, outro dia estava lendo uma matéria a respeito do fato do Internet Explorer ainda ser o navegador de internet mais utilizado (não me lembro onde, ainda vou procurar e postar por aqui), e a mesma dizia que, inacreditavelmente, a versão mais utilizada do mesmo é a 6.x! Ou seja, a grande maioria dos usuários de internet não se preocupa nem em atualizar para a versão 7, a qual contém, comprovadamente, menos bugs, menos brechas de segurança e mais recursos (apesar de não chegar nem perto do Firefox ou do Opera).

Quer dizer, é a inércia elevada ao cubo. Uma lamentável e curiosa “preguiça” toma conta da maioria dos usuários, e mesmo a maioria que opta pelo IE o faz sem se dar conta de que existem atualizações, de que sua experiência na internet pode ser um pouco melhorada mesmo com o uso do mesmo navegador, apenas sendo necessária uma simples atualização do mesmo. Que dizer, então, de uma mudança “drástica” como, por exemplo, a troca de um navegador por outro? Sinceramente, o cenário não é muito satisfatório, em minha triste opinião.

É difícil enfrentar barreiras tais como, por exemplo, o fato do navegador padrão do windows ser o IE, fato que por si só é responsável pela maioria dos usuários sequer pensar que existem alternativas, que sua experiência na internet pode ser muito mais rica e facilitada, que outros navegadores podem ser instalados gratuita e rapidamente. Aliás, acredito até que uma parte dos usuários não faz idéia “do que é um “navegador/browser”, e por este motivo, faz a associação “Internet Explorer = Internet”, e tudo o mais é “mistério”. Parece pessimista? Nem tanto, e falo por experiência própria. Já ouvi pessoas dizendo que a internet havia “sumido” de seu computador somente porque o ícone do IE sumiu da área de trabalho!

Será que a Mozilla poderia fazer algo a este respeito? Às vezes me pergunto tal coisa e fico em dúvida se isto seria possível sem um maior engajamento por parte dos próprios usuários, e da comunidade em geral. A fórmula é simples, difícil é sua aplicação. Difícil é enfrentar barreiras como a exposta acima, contando com um mundo de usuários que “não querem mudar e/ou descobrir novos horizontes”.

O futuro

400 milhões parece um número alto, absurdo, mas se pararmos para pensar que o IE obteve mais do que isto, que muitos ainda correm riscos desnecessários apenas por comodismo ou desconhecimento (ou devido ao comodismo proporcionado por um tal sistema operacional proprietário que vem com um certo “navegador padrão” embutido) e que o mundo poderia ser muito melhor (eita frase pronta, mas vá lá…rs) se mais alternativas livres fossem difundidas, conhecidas e utilizadas, em detrimento das fechadas/pagas, proporcionando assim redução de custos, acesso a excelentes ferramentas, maior possibilidade de aprendizado e maior comodidade a todos, esse número não parece tão “vantajoso” assim.

Vamos “filosofar” um pouco agora, e tentar imaginar o seguinte cenário: “onde irá dar tudo isto”? Talvez, esta seja uma resposta que só poderemos responder após muitos anos. Mas, por enquanto, podemos todos fazermos a nossa parte. Seu computador é um bem adquirido, ele é sua propriedade. Nada impede que você instale nele o software que desejar, pago ou gratuito, com o código fechado ou aberto. Por que, então, não dar uma chance às ótimas ferramentas livres existentes, e ver como as mesmas se comportam em seu dia a dia? Vai ver que é muito mais fácil do que imagina, e que existe uma enorme comunidade por trás de tudo, desenvolvendo, testando, prestando suporte voluntário em fóruns, listas de discussão, etc.

Se você não gostar, tudo bem, é só desinstalar, mas pelo menos você testou, deu uma chance. Agora, se gostar, seja bem vindo ao time! A caminhada é longa, e enormes são as possibilidades!

Dê uma chance

E, para começar, nada melhor do que trocar sua atual “janela” proprietária para a web por uma alternativa livre, poderosa e customizável: o Firefox. Depois do primeiro passo, o resto é consequência, e só depende de você. Você é livre! Implante este conceito também em seu computador. Talvez assim, possamos dobrar esta marca dos 400 milhões em 2008, e quem sabe até ultrapassar a tal “janela” proprietária já citada acima, dentro de alguns anos.

Ganhamos todos: eu, você, a rede e o mundo. Pense nisso.

Informações adicionais

Link para download do Firefox em português:

http://br.mozdev.org

Central de ajuda com fórum, FAQ’s e tutoriais sobre o Firefox:

http://br.mozdev.org/suporte

Mais informações a respeito da “Mozilla Foundation”:

http://www.mozilla.org/foundation

Divulgue o Firefox! Coloque um botão em seu site ou blog, não custa nada :

http://br.mozdev.org/firefox/botoes

O problema

Confesso que sempre tive interesse por segurança da informação, mas curiosamente a utilização de uma senha diferente para cada “item” onde isto era necessário não fazia parte das minhas políticas de segurança há até algum tempo atrás: eu utilizava uma única senha “forte” (como forte leia-se apenas uma senha com 12 caracteres utilizando letras, números e alguns caracteres especiais) para todos os serviços, sites, servidores, softwares e o que quer que necessitasse de uma senha para acesso. Isto sempre me incomodou, e não sei bem ao certo o motivo de ter postergado por tanto tempo uma mudança neste modo (errado) de trabalho.

Entretanto, com o passar do tempo, comecei a sentir que este modo de trabalho era muito arriscado, pois se por algum motivo esta “senha única” fosse descoberta, muitas informações confidenciais, pessoais e coisas do tipo iriam literalmente pro “beleléu“. E aqui pode-se considerar como agravante não somente a descoberta das tais senhas por outras pessoas pelos meios mais óbvios, mas também a imensa quantidade de malwares existentes e operantes a pleno vapor, muitos deles com o único e exclusivo objetivo de capturar dados de acesso e lesar os incautos.

Devido a isto, resolvi diversificar um pouco a coisa toda, e passei a criar mais algumas senhas, trocando as de alguns serviços, utilizando senhas diferentes em novos serviços/sites, etc. Mas aí, um novo problema surgiu: onde e como armazenar com segurança todas estas senhas e dados importantes?

Minha cabeça já não estava mais dando conta de lembrar de tantos números, letras, asteriscos, underlines e sinais de adição e subtração, e guardar tudo isto em simples arquivos *.DOC ou *.XLS, mesmo que protegidos por senha, seria super arriscado, pois é fato comprovado que qualquer pessoa com um pouco de paciência e utilizando as ferramentas certas consegue quebrar as senhas de tais arquivos em questão de minutos (ou segundos, dependendo do caso); arquivos txt, então, nem se fala.

A solução

Foi então que descobri o Keepass, um gerenciador de senhas opensource, que trás consigo inúmeras vantagens, incluindo o óbvio de que qualquer um pode efetuar o download do código fonte, dar uma olhada nos algorítimos de criptografia implementados, e muito mais .

Mas aí você pode pensar:

“- Epa, um gerenciador de senhas com código aberto? É seguro?”

E é o próprio Dominik Reich, desenvolvedor do software, quem diz:

“- Em minha opinião, todo software que tem algo a ver com segurança deve ser de código aberto.”

E ele ainda complementa, citando uma frase do Bruce Schneier, um dos maiores experts mundiais em criptografia e assuntos relacionados a segurança :

“- As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It’s true for cryptographic algorithms, security protocols, and security source code. For us, open source isn’t just a business model; it’s smart engineering practice.”

Ou em uma tradução livre:

“- Como um especialista em criptografia e segurança da computação, eu nunca entendi o atual rebuliço a respeito do movimento de software de fonte aberto. No mundo da criptografia, nós consideramos o fonte aberto necessário para uma boa segurança; temos durante décadas. Segurança pública é sempre mais segura que segurança proprietária. Isto é verdadeiro para algorítimos criptográficos, protocolos de segurança e código fonte de segurança. Para nós, o fonte aberto não é somente um modelo de negócio; ele é uma considerável/talentosa/inteligente prática de engenharia.”

Com a citação acima do Bruce Schneier, o Dominik deixa bem claro o porquê do Keepass estar licenciado da forma que está, e acredito que este seja um motivo a mais para se utilizar a ferramenta, pois diferentemente de outras soluções proprietárias/fechadas, como o Roboform, por exemplo, pode-se guardar quaisquer informações confidenciais e importantes sem estar-se preso ao pagamento de licenças de uso, expiração de licenças, risco do software ser abandonado e, por ser fechado não se ter acesso ao fonte do mesmo para poder, por exemplo, continuar o desenvolvimento, corrigir bugs, recuperar dados, etc.

Nada disto ocorre com o Keepass, pelos motivos já expostos acima, e o software realmente cumpre o que promete, excedendo em muito minhas expectativas, tanto por sua leveza quanto pela facilidade de uso e grande quantidade de recursos disponíveis, incluindo tradução disponível para diversos idiomas, entre eles o português do Brasil. Isto sem contar o fato de que você só precisa de uma única senha (chave-mestra) para ter acesso a todos os dados e senhas armazenados no mesmo.

Ou seja, você pode a partir de agora ter uma senha diferente para cada site/fórum em que participa, uma senha diferente para cada servidor que possui, uma senha diferente para cada conta de e-mail que possui, etc, aumentando assim sua segurança e diminuindo o risco de que algum destes serviços seja invadido: muito mais fácil, prático e seguro, não é?

Se você desejar aumentar ainda mais a segurança, pode escolher trabalhar com a chave-mestra em conjunto com um “key file” (que pode ser armazenado em qualquer local, inclusive em um pendrive), e desta forma será sempre necessário o conjunto “digitação da chave-mestra” + presença/localização do key file” para se ter acesso aos dados armazenados.

É claro, você deve sempre tomar o máximo cuidado para jamais esquecer a senha principal/chave mestra (ou perder o key file, caso o utilize), pois se isto acontecer, seus dados também irão para o beleléu, como citado no segundo parágrafo deste artigo, e aí a extrema segurança da solução deixará de ser um benefício, e se transformará em um tormento.

Lembre-se de que o Keepass armazenará seus dados em uma base de dados extremamente segura e à prova de “quebras”, (e você pode criar várias) utilizando criptografia AES de 256 bits como padrão, a mais segura disponível atualmente e “praticamente” (sendo aqui um pouco otimista para não desanimá-lo caso você perca sua chave-mestra ) inquebrável. Por isso, lembro mais uma vez: memorize e jamais esqueça sua chave-mestra (e não perca seu key-file, caso o utilize).

OBS: particularmente, utilizo somente a chave-mestra, e acredito que esteja de bom tamanho para minhas necessidades.

Vale ressaltar, entretanto, que nada disto tem sentido se você não mantiver um backup de sua base de dados do Keepass (arquivo com extensão *.KDB) em local seguro. Se perder definitivamente tal arquivo, perdeu todos os dados armazenados.

Características

O Keepass é um software extremamente amigável e fácil de ser utilizado. Gostaria de ressaltar que neste artigo tenho a intenção de dar uma “geral” no Keepass, apresentando suas características e recursos mais marcantes. Em breve postarei um tutorial detalhando o mesmo em todos os seus aspectos, desde a instalação até todas as suas funcionalidades e opções. Por enquanto, vou listar abaixo alguns dos recursos presentes na atual versão 1.09.

OBS: existe também uma outra versão do Keepass, desenvolvida em paralelo à 1.x: a “2.x“. Esta é uma versão ainda não estável, que requer a instalação do .NET Framework e possui alguns recursos a mais do que a 1.x, mas não falarei dela por enquanto.

Mesmo porque, o próprio Dominik Reich recomenda por enquanto a utilização da versão 1.x, e afirma que esta continuará sendo suportada indefinidamente, com a consequente adição de novos recursos, juntamente com a versão 2.x.

A versão 1.x tem me atendido extremamente bem, e possui recursos mais do que suficientes para armazenar e gerenciar seus dados confidenciais e senhas, portanto, vamos à lista com alguns dos recursos:

• Criptografia AES (Advanced Encryption Standard) de 256 bits
• Uma única senha para acessar todas as suas demais senhas, usuários e dados de qualquer tipo
• Possui versão “portátil”, para você carregar em seu pendrive
• Cópia da senha e/ou usuário para a área de transferência do windows, para “colagem” em qualquer campo, sendo que o próprio software apaga a senha da área de transferência após o tempo de expiração que você configurou previamente. Segurança elevada ao cubo, não?
• Proteção adicional e reforçada contra keyloggers
• Criação de “grupos” e “sub-grupos”, com possibilidade de visualização em árvore
• Possibilidade de definição de data e horário para a expiração de uma entrada qualquer
• Gerador de senhas customizável
• Gerador de senhas TAN (que só podem ser utilizadas uma única vez)
• Exportação dos dados para vários formatos diferentes, entre eles XML, HTML e TXT
• Pode ser minimizado para o system tray, facilitando o acesso aos dados, e ainda assim mantendo as senhas e usuários protegidos
• Possibilidade de anexar (e assim proteger) arquivos dos mais variados tipos a uma entrada qualquer
• Abertura de URL’s no navegador a partir de uma entrada qualquer, seguida da inserção automática do “usuário” e da “senha” (caso necessário e solicitado) de forma totalmente segura: ou seja, você escolhe uma entrada e “pede” para que o Keepass abra a url da mesma no navegador e em seguida efetue o login para você, sem que você tenha que digitar informação alguma, ou até mesmo copiar manualmente dados para a área de transferência (o usuário e a senha são automaticamente apagados da área de transferência após o uso). Quer mais comodidade do que isto?
• Travamento opcional do software quando minimizado para o system tray: assim, ninguém terá acesso às suas senhas quando você se ausentar do computador, pois será solicitada novamente a chave-mestra para a reabertura do software.
• Inúmeros plugins disponíveis no site oficial, como por exemplo plugins para backup automático da base de dados, verificação automática de updates, etc.
• Tradução para diversos idiomas, entre eles o português do Brasil
• O melhor de tudo: código aberto, pode ser distribuído livremente e você não paga nada por isso!

Informações adicionais

Para download, utilize o link abaixo:

http://keepass.info/download.html

Para download dos pacotes de tradução, utilize o link abaixo:

http://keepass.info/translations.html

Página oficial:

http://keepass.info

Em breve postarei um tutorial sobre o Keepass. Aguarde!