Sistema seguro de mensagens para Tor

Mais uma ferramenta útil disponível para rede Tor, o SMS4TOR. SMS4TOR é um sistema automatizado para encriptar mensagens que são destruídas logo após a sua picture29leitura. Depois que a mensagem é submetida ao sistema, ela é armazenada em um banco de dados, o usuário recebe uma URL que torna possível a recuperação da mensagem. Depois de lida, a mensagem é removida do banco de dados e não poderá mais ser recuperada. Mensagens com mais de 30 dias em estado de espera, também são eliminadas.

Os desenvolvedores da ferramentas tomaram algumas precauções para garantir a segurança e confiabilidade do sistema. As mensagens são criptografadas com o Bcrypt (Blowfish encryption – http://bcrypt.sourceforge.net/). Bcrypt é um utilitário de criptografia de arquivos e estes mesmos arquivos são portáveis para todos os sistemas operacionais e processadores. O serviço SMS4TOR está hospedado em um data center e com hardware dedicado. Nada de: “Em algum lugar na nuvem com backups dos dados em uma base regular”.

Trecho retirado do F.A.Q do SMS4TOR:

“If you’re curious, here’s what the phrase, “Hello World” looks like in our database:”
fUTAyJACtd9X4c9OEjftHfp01VgDKKjMJgB2Hgnsikk=$2a$08$FgkFXNvaqMu.fCHusoDsJu2H9Z7meUfwjtT1aRtG1T/Kw.bNUaEEm

Mas a motivação principal dos desenvolvedores foi a criação de um processo mais simples que os existentes para troca segura de mensagens em uma rede TOR.

picture30

http://sms4tor3vcr2geip.onion/ – Lembrando, este endereço só pode ser acessado via rede Tor.

E como podemos fazer um bom uso do serviço ? A primeira coisa que me veio a cabeça foi o compartilhamento de senhas. Administradores, sistemas, serviços e aplicações, podem fazer uso de troca de mensagens seguras, um exemplo seria o uso de credenciais por demanda. Vamos supor que uma empresa ou orgão tem um gateway Gnu Linux remoto e sempre que uma manutenção local é necessária, é fornecida ao operador da localidade a senha de um usuário, vamos dar como exemplo o user suporte. Suporte é um usuário devidamente personalizado para sempre que ele efetuar um logon, o password seja expirado, gerando a inatividade momentânea e controlada do usuário. Geralmente, sistemas do tipo geram um password automaticamente e o compartilha para um destino, neste caminho abrem-se falhas relevantes ao transporte da senha temporária. Se o sistema gerador de senha temporária tiver condições de usar a rede Tor, submeter a mensagem no site do SMS4TOR, capturar a URL de recuperação de mensagem e compartilhar, pode ser por e-mail ou qualquer outro serviço oculto, teremos um aumento na segurança do processo. Se o operador remoto me informa que ao acessar a URL não conseguiu recuperar a mensagem, alguém capturou.

Este é apenas um exemplo das vantagens oferecidas para serviços do segmento. Pessoas só imaginam o uso da rede Tor para fins errôneos, mas a exploração dos benéficos desta arquitetura por pesquisadores autônomos  ou não, tem ajudado a quebrar este preconceito.