Cryptorave 2016

Entre os dias 6 e 7 de maio de 2016, no Centro Cultural São Paulo durante 24 horas, a CryptoRave trará mais de 40 atividades sobre segurança, criptografia, hacking, anonimato, privacidade e liberdade na rede.

E eu estarei lá falando sobre criptografia de disco no linux usando as ferramentas presentes nas principais distros linux já na instalação. vou mostrar também como usar as ferramentas do ecryptfs-utils e gpg para criptografar arquivos e imagens de disco.

Vou dividir a oficina com o Alexandre Deckleva, hacker OpenBSD, eu falarei da parte do linux e ele das ferramentas disponíveis no BSD, segue a descrição da oficina:

Criptografia de disco com OpenBSD e Linux

14:40h – 15:40h
Dentre as várias abordagens sobre criptografia de disco em sistema operacionais, o OpenBSD desde a versão 5.4 até a atual 5.9, dispõe de um recurso em sua instalação de criptografar com chave simétrica mais alta entropia, toda o armazenamento de dados da área de sistema, o espaço do usuário e seu swap. Essa apresentação resume tecnicamente esse recurso e indica um procedimento de aplicação prática.
Uma abordagem prática do uso das ferramentas para criptografar partições, flash-disks e HDs externos, usando cryptoloop, LVM com LUKS. Truques para deletar os dados de forma segura de computadores e de Volumes de storage em serviços de cloud. Também vou abordar o uso de ferramentas para criptografar arquivos.

Alexandre Deckleva e Liquuid
Alexandre é psicologo (PUCSP) e SysAdmin em sistemas legados. Usuário, consultor e ativista do OPenBSD desde 2005
Liquuid é um entusiasta de sistemas operacionais Unix, especialmente o linux, sistema que estuda e trabalha a mais de uma década. Já criou algumas distribuiçõesfocadas em máquinas de baixo desempenho, tem experiência em projetar e administrar arquiteturas em ambientes cloud escalaveis para portais e sistemas com centenas de milhares de acessos diários. Marceneiro amador, fez o curso apenas para montar seu próprio Arcade. Motociclista hardcore, encara passeios de 1000 km sozinho, desde que seja feito em um único dia, como se fosse a coisa mais normal do mundo.

Confira a programação completa aqui

Se inscreva on-line, é de graça

Espero vocês lá !

 

PS: Segue a apresentação:

O ano do linux chegou, e agora ?

O Anahuac soltou um texto no Br-Linux sobre o estado das comunidades linux no Brasil, seguem as minhas opiniões sobre o assunto.

Eu não concordo com tudo que o Anahuac escreveu, mas entendo um pouco dessa amargura que ele tá sentido. Em 200x quando eu conheci o Anahuac por meio de listas de discussão, o ano do linux era o ano corrente + 1, várias empresas se estruturaram em torno das migrações de windows para linux, tinha a Conectiva empregando um monte de gente que desenvolvia software livre no Brasil, tinha um lobby forte pra fazer os governos usarem software livre, hordas de estudantes se envolvendo com traduções.

A gente usava jabber como im, email bacana era o do pessoal do riseup, tinha pouco espaço mas tinha 4 níveis de criptografia no disco. O grande desafio era montar um setup de desktop com o mínimo de drivers proprietários possivel, tinha sites listando softwares alternativos livres, o legal era xingar o KDE pq o QT era livre mas não era GPL. Conheci gente que preferia não usar o Wifi do que instalar driver proprietário ou usar o ndiswrapper com driver do windows… Pessoal se juntava de fim de semana pra fazer uma distro linux bootavel com interface gráfica caber em um disquete de 1.4 Mb só por diversão, o gentoo era uma distro que permitia compilar o sistema inteiro escolhendo a dedo as dependências usadas, era possível escolher a implementação da libPNG desejada por exemplo. Liberdade total pra tunar o SO.

Era tudo muito legal, a própria flexibilidade do software livre permitiu a evolução de modelos de negócio, dos serviços de internet e da própria internet. Com o surgimento dos webApps, compartilhar o código deixou de ser requisito, a liberdade também, o caso mais emblemático foi o Gmail, ele surgiu em uma era onde administrar emails era um pepino, servidor e espaço em disco eram caros. Ele seduziu muita gente oferecendo 1Gb de espaço… naquela época eu tinha um HD de 14.3Gb… Em troca o google só queria a autorização para ler os emails e gerar propaganda direcionada. Muita gente olhou torto, mas a interface era bonita, clean e tinha muito espaço.

Um outro gargalo na adoção do linux era a suite Office, o Star/Open/Br/LibreOffice demorou um tempão pra chegar no nível do MS Office, e quando chegou as pessoas perceberam que era mais cômodo usar uma suite Office on-line, mesmo que com recursos limitados. Ninguém mais se importava em deixar sua planilha de gastos pessoais ou teses acadêmicas em serviços on-line, todos concordam em autorizar o provedor do serviço a vasculhar os documentos para gerar métricas.

As pessoas mudaram, aquela neura com privacidade se foi, pra quase todo mundo é ok trocar a privacidade dos dados por comodidade, bater uma foto e ela aparecer magicamente em um repositório on-line e de graça putz, é ou não é um sonho ?

Então com os devices móveis, todos concordam em deixar aberto seus logs de movimentação, fazendo checkins públicos em estabelecimentos comerciais, ensinando ao provedor do serviço os hábitos de consumo de quem usa o serviço, em troca o usuário sabe onde outros usuários estão indo.

Então fomos invadidos por APIs, os sites deixaram de ser meros portais de informação e se tornaram provedores de serviços e troca de dados, aplicativos desktop foram gradativamente substituídos com vantagens por soluções superiores hospedados em servidores sabe-se lá onde.

Enquanto isso, as listas de discussão foram esvaziando, as comunidades deixaram de crescer …

Em 2002 colaborei com um grupo de entusiastas para apresentar o linux para os bixos de Física na USP, foram palestras e mini-cursos, acho que 80% da turma que participou usa linux até hoje em suas pesquisas de pós-graduação e em seus empregos. Sondei a criação de um grupo de estudos de software livre em 2013 com os bixos de Sistemas de informação na USP Leste e a aceitação foi muito ruim, disseram que trabalhariam com o que pagasse mais, e que não queriam se envolver com discussões políticas, teve um que falou que parecia coisa de comunista, outro falou que não trabalha de graça.

99% dos softwares que o cara usa no dia a dia são software livre, mas pensar em contribuir com a comunidade é quase uma ofensa. Me senti um xiita pregando pra quem não quer ouvir.

Hoje em dia o Stallman é taxado como gordo barbudo excêntrico, ninguém leva nada do que ele diz a sério, provavelmente o garoto que fez o joguinho dos passarinho e desistiu de distribuir por causa da “pressão” seja mais exemplo a ser seguido do que o cara que criou as bases pra industria de TI que temos hoje.

Vejo num futuro próximo o fim da computação pessoal, tudo vai rodar em servidores de empresas e o que teremos em nossos escritórios serão apenas terminais burros.

Boot remoto com pxe no ubuntu server

Configurar um serviço de boot remoto é um skill dos sysadmins da era paleozóica, a idéia é usar um servidor dedicado à persistência de dados, servindo todos os dados, incluindo o sistema operacional via rede. A vantagem desse modelo é o custo de administração, como os sistemas são centralizados em uma máquina, instalar, remover ou configurar todo o parque é muito mais rápido, e é possível administrar o SO de uma máquina mesmo com ela desligada.

Essa técnica, é a base primordial da cloud computing, à partir dessa infra é possível configurar e servir VPS, e migrar de um node pra outro de forma transparente, e com a dose de redundancia certa, o sistema se torna muito confiável, já que uma falha de hardware é minimizada, já que a persistência é feita em outra máquina.

A topologia é simples:

O processo de boot remoto é relativamente simples:

  • o node chama o boot via PXE, que envia pacotes arp pela rede pedindo um IP.
  •  O storage capta esses pacotes, envia um IP para o node junto com algumas configurações, como o path do root e o kernel que será usado.
  • O node, agora portando um IP, pede ao storage um kernel e a imagem de ram via tftp.
  • O kernel boota no node, monta o sistema de arquivo contido na imagem de ram (initramfs), os drivers de rede são carregados.
  • O sistema contido no initramfs monta o sistema root do SO via nfs.
  • O processo de boot continua normalmente, como se fosse de um disco qualquer.

 

As ferramentas usadas para a tarefa são:

  • ISC DHCP Server, serve os IPs e as configurações iniciais.
  • TFTP-HPA, um servidor FTP super simples, que aceita poucos comandos.
  • nfs-kernel-server, um servidor nfs que roda parcialmente em kernel space, e tem um desempenho superior ao seu equivalente user space.

O primeiro passo é instalar os pacotes:

apt-get install dhcp3-server tftpd-hpa nfs-kernel-server initramfs-tools

Uma boa configuração do DHCP server (/etc/dhcp/dhcpd.conf ) tem mais ou menos o seguinte aspecto:

ddns-update-style none;
option domain-name "exemplo.com";
option domain-name-servers 8.8.8.8;
default-lease-time 86400;
max-lease-time 604800;
option time-offset -18000;
authoritative;
log-facility local7;
allow booting;
allow bootp;
subnet 192.168.0.0 netmask 255.255.255.0 {
        get-lease-hostnames on;
        use-host-decl-names on;
        range 192.168.0.200 192.168.0.210;
        option routers 192.168.0.10;
        option subnet-mask 255.255.255.0;
        option broadcast-address 192.168.0.255;
        filename "pxelinux.0";
        next-server 192.168.0.10;
}

Lembrando que o IP 192.168.0.10 é o IP do servidor DHCP/Storage/Gateway

Atente ao Range de IPs na no parametro “range”, preste atenção nele isso é importante, volto nesse ponto já já.

A configuração do TFTPD é simples e auto explicativo:

# /etc/default/tftpd-hpa

TFTP_USERNAME="tftp"
TFTP_DIRECTORY="/var/lib/tftpboot"
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="--secure"

A configuração do serviço de compartilhamento NFS é simples, por exemplo:

/srv/client_root_fs 192.168.0.*(rw,no_root_squash,async) 
/srv/node01 192.168.0.*(rw,no_root_squash,async) 
/srv/node02 192.168.0.*(rw,no_root_squash,async) 
/srv/node03 192.168.0.*(rw,no_root_squash,async) 
/srv/node04 192.168.0.*(rw,no_root_squash,async) 
/data 192.168.0.*(rw,no_root_squash,async)

O PXE tem uma configuração, /var/lib/tftpboot/pxelinux.cfg/default, ela tem mais ou menos o aspecto abaixo:

DEFAULT linux
LABEL linux
    kernel vmlinuz
    append root=/dev/nfs initrd=initrd.img nfsroot=192.168.0.10:/srv/client_root_fs ip=dhcp rw

Todas as requisições que chegarem, receberão essa configuração, com esses parâmetros, isso é bacana, mas teremos problemas se todos os nodes usarem a mesma imagem de disco. É relativamente simples separar os diretórios /var e /tmp dos nodes usando links. Mas é possivel individualizar toda a imagem de root, inclusive personalizando os pacotes e serviços instalados.

Criando por exemplo 10 clones da imagem principal, denominados de node01, node02 …. node10. É possivel ter 10 máquinas completamente individualizadas, podendo inclusive servir distros diferentes.

Pra essa mágica funcionar, devemos criar uma configuração PXE para cada IP do range de ips que definimos na configuração do dhcpd. Por padrão o PXE procura pelas configurações em um arquivo com o mac address da placa que fez a requisição, por exemplo:

pxelinux.cfg/01-00-14-22-a1-53-85

Depois ele tenta pegar o arquivo à partir do IP que o node recebeu, mas antes o IP deve ser convertido para Hexadecimal, por exemplo:

pxelinux.cfg/C0A800C9

O ip 192.168.0.201 convertido para Hex é : C0A800C9, uma forma simples de converter esses ips esta no site: http://www.kloth.net/services/iplocate.php

Por último o PXE tenta ler o arquivo default, ou seja, todas as máquinas que você não declarar vão subir com a configuração do arquivo default.

pxelinux.cfg/default

Segue um exemplo de configuração PXE para um IP declarado (pxelinux.cfg/C0A800C9
) , por exemplo :

DEFAULT linux
LABEL linux
    kernel vmlinuz
    append root=/dev/nfs initrd=initrd.img nfsroot=192.168.0.10:/srv/node01 ip=dhcp rw

 

Feito isso, toda máquina que pegar um IP pelo DHCP, vai subir o sistema à partir de uma das cópias de imagem de sistema, se o IP estiver no range, ele pega um diretório especifico, se não estiver pega o default.

Deu pra sacar a mágica envolvida ? Não importa qual máquina boota, a partição de root não tá atrelado ao hardware, se o hardware pifa ? É só espetar outro que ele funciona ! Sem precisar configurar nada, é só mandar subir o PXE. Precisa aumentar o número de nodes ? Sem problema ! É só clonar as imagens, as configurações do PXE e aumentar o range no DHCP, simples assim.

Back to the Mac

Depois quase 3 anos sem usar mac como sistema principal, comprei um imac 🙂 Me arrependo de não ter comprado antes.

Já falei em outros posts, gosto do hacrdware da apple, ele é bem equilibrado, bonito, funcional e na minha mão, dura muito… Tenho 2 imacs de 98, funcionando, rodando debian… só não uso no dia a dia pq preciso da WEB e seus ajaxes e js usam memória e processador demais pra um G3 233Mhz com 192Mb de RAM. Tenho um ibook, funcionando, com um safari safado, mas funcionando e por ai vai. Meu único produto apple que morreu foi um macbook pro Rev A, que foi o primeiro mac com processador intel a ser vendido…. Por ser um Rev A, era esperado… as vezes ele liga, mas não é confiável.

A apple perdeu um pouco do esmero, lembro de um imac aluminio que tirei da caixa em 2008, ele veio até com flanelinha pra limpar a tela, esse meu, só veio com mouse, teclado, o mac e o cabo…. nada de DVD, controle remoto ou flanelinha.

O que me motivou a comprar um iMac principalmente foram os problemas de hardware dos meus dois computadores domésticos. Meu desktop, de 2008 mas com tecnologia de 2007 que foi por 2 anos um hackintosh de respeito, mas que tinha um problema de limitação de memória (apenas 2gb sem possibilidade de expansão). Com o tempo ele ficou muito lerdo pra rodar o Leopard, troquei por um linux, mas como uso muitas maquinas virtuais ficou inviavel.

A outra máquina é um dell studio, máquina que me arrependo de ter comprado, apesar do processador potente o resto não acompanha, teclado mole, tela com cores ruins, som péssimo, HD lerdo e bateria que arriou com menos de 2 anos… nas ultimas semanas a rede tanto por wifi quanto por cabo se tornaram intermitentes… não importa o SO, um fiasco. A gota ficou pela atualização do driver proprietário da AMD/ATI, ela abandonou o suporte a minha placa, e o driver livre não presta… Já passei por isso antes, daqui a alguns releases do kernel o driver velho não vai compilar mais, e eu vou ficar na mão … Acho que usar um windows 7 com cygwin é um final mais digno pro notebook.

Enfim, não desisti do linux, onde ele funciona sem me encher o saco ele continuará sendo usado, como no meu netbook, mas o imac me traz uma estabilidade, tenho garantia pelos próximos 3 anos, e pelo menos mais 5 anos de suporte ao sistema operacional pela apple, e após esse período ele será uma workstation bacana rodando um linux leve pra máquinas antigas.

Minha fase de sair recomendando macs a torto e a direito passou, mas me traz uma satisfação enorme dizer que daquela época pra cá, temos 3 sistemas operacionais decentes tanto pra users avançados quanto iniciantes, tá de saco cheio de um vai pro outro, sem frescura, simples assim.

 

 

 

 

Configurando o monitor ST2220T Touch Screen da Dell no linux

Recebemos o desafio de desenvolver a parte técnica de uma cabine de cinema, nessa cabine você escolhe uma cena clássica do cinema e assiste dentro, sentado em uma confortável poltrona de cinema.

Para selecionar o filme é usada uma tela touchscreen, o modelo escolhido foi o ST2220T da Dell, principalmente por possuir um touch sensível (lembra muito o do ipad), e ter uma tela maravilhosa fullHD.  O lado ruim é que apesar de ter vários meses de estrada a Dell nunca liberou nenhum driver para o monitor, deixando a cargo da comunidade.

Ao ligar o monitor no PC o touchscreen ele pode até funcionar, mas é necessário usar os dois dedos para movimentar o cursor. Isso acontece pois o a tela é dual-touch, ou seja, reconhece até dois toques simultâneos.

O driver que corrige esse problema foi recentemente incluído no kernel 3.4 do linux, mas boa parte das distros ainda usam a versão 3.0, então segue um breve tutorial de como instalar os drivers no Ubuntu 12.04 (Funciona no Debian testing!).

Existem três formas de se obter os drivers, uma é aplicando este patch no fonte do kernel, compilando e instalando apropriadamente.

Outra forma, bem simples é baixando e instalando um kernel com o patch citado acima pré-aplicado, ou seja, pronto para usar. Nesse caso, basta baixar o kernel desse site:

http://people.canonical.com/~bradf/lp791833/

Instale com o comando:

dpkg -i linux-image-3.2.0-20-generic_3.2.0-20.33~lp791833_i386.deb
update-grub2

Após o reboot, o touch funcionará normalmente.

Uma outra forma mais genérica, é compilar o driver para o kernel que você já possui instatalado, para isso, faça:

apt-get install build-essential
git clone git://git.lii-enac.fr/linux-input/ubuntu-multitouch
cd ubuntu-multitouch

Use o comando git branch -a
, para listar os branchs disponíveis, escolha um e digite:

git checkout hid-multitouch-ubuntu-12.04
make
sudo make install
sudo depmode -a

Após esses passos, basta rebootar.

Para melhor funcionamento da tela, vale a pena instalar alguns pacotes com:

apt-get install xinput evtest xserver-xorg-input-evtouch

Existem vários outros detalhes técnicos dessa cabine que quero mostrar em breve 🙂

fontes: enac, launchpad, redhat