Tenho um arquivo de texto no qual guardo todos os meus dados bancários. Eu comprimo e criptografo com 7-Zip usando os seguintes parâmetros:
Compressão parâmetros:
- Formato do arquivo : 7z
- Nível de compressão : Ultra
- Método de compressão : LZMA2
- Tamanho do dicionário : 64 MB
- Tamanho do bloco sólido : 4 GB
- Número de threads de CPU : 4
Parâmetros de criptografia:
- Método de criptografia : AES-256
- Criptografar nomes de arquivos : Verdadeiro
A senha para a criptografia é escolhida de forma que não seja encontrada em nenhum dicionário e seja uma string quase aleatória (composta de 15 -20 letras maiúsculas e minúsculas, números e símbolos). Não guardo esta senha em nenhum lugar.
Além disso, o nome do arquivo do arquivo de texto é mantido de forma que ninguém seja capaz de saber se o arquivo está relacionado a banco detai ls em tudo.
Isso é seguro o suficiente, nos seguintes cenários?
- O invasor assume o controle total do sistema, mas não sabe que este arquivo em particular é importante para ele.
- O invasor está em posse do arquivo, e está ativamente tentando descriptografá-lo, sabendo que ele contém os detalhes do banco.
Comentários
- Na pergunta 1, se o invasor puder encontrar a versão não criptografada do arquivo (ou seja, arquivo de texto original não apagado da mídia de armazenamento), seu trabalho é muito simples!
- Agora que a internet sabe da existência desse arquivo, acho que podemos decidir cenário 1;)
- @AnmolSinghJaggi: Sim, você não armazena o arquivo não criptografado em nenhum lugar, mas o 7-zip faz isso automaticamente para você (que conveniente, isn ‘ t it?;)) No diretório Temp do Windows para que o arquivo seja acessível e possa ser aberto por um software editor de texto externo. O pior caso é que muitas vezes esse aplicativo nem mesmo toma o cuidado de excluir o arquivo, contando com a limpeza automática do Windows para fazer isso em algum momento no futuro … (diretório Temp do Windows, como o navegador ‘ s diretório de cache, pode ser uma verdadeira caverna de maravilhas para os invasores!)
- @WhiteWinterWolf Você está correto. Percebi o arquivo temporário quando abri o arquivo criptografado. Além disso, o 7-Zip exclui o arquivo temporário depois que eu terminar de acessar o arquivo criptografado.
- @AnmolSinghJaggi: Sim (eles tentam fazer as coisas corretamente :)), mas isso só será verdade se você fechar o editor de texto antes 7zip. Se, por algum motivo, 7zip for fechado enquanto o arquivo ainda estiver aberto, o arquivo permanecerá aqui até a próxima limpeza geral de arquivos temporários.
Resposta
A criptografia 7-zip (ou qualquer outro utilitário semelhante) foi projetada para proteger os arquivos arquivados. Portanto, desde que os designers de ferramentas tenham feito bem o seu trabalho, você está seguro para o segundo caso (alguém colocando a mão no arquivo criptografado e tentando quebrá-lo).
No entanto, esse utilitário não foi projetado para protegê-lo contra o seu primeiro caso mencionado (alguém obtendo acesso aos dados da sua conta em sua máquina e / ou você acessando o conteúdo do arquivo regularmente). Na verdade, alguém tendo obtido um acesso total (ou mesmo mínimo, sem necessidade de escalar privilégios) ao seu sistema verá você usar este arquivo e também será capaz de capturar suas teclas enquanto você digita sua senha. Pior ainda: um invasor nem mesmo terá que se preocupar com isso, pois o arquivo provavelmente estará presente de forma clara no diretório Temp do Windows.
Portanto, para sua primeira ameaça, eu definitivamente recomendaria você deve usar uma ferramenta projetada para esse uso, como KeePass que evitará o armazenamento de dados descriptografados em arquivos temporários e fornecerá uma proteção mínima ao digitar a senha .
Comentários
- Seria melhor manter o software em um dispositivo de armazenamento portátil (para exigir acesso físico)?
- @ Alpha3031: I ‘ m não tenho certeza se por ” o software ” você quer dizer 7zip ou KeePass. Pessoalmente, eu tenderia a preferir ter os arquivos executáveis instalados no diretório adequado para que o sistema operacional possa evitar qualquer modificação inesperada de seus arquivos, o que não é o caso com dispositivos de armazenamento externo. Se estiver usando um dispositivo externo, eu colocaria nele os dados criptografados ou um arquivo de chave adicional necessário para ser associado à senha para descriptografar os dados (uma funcionalidade oferecida pelo KeyPass).
Resposta
Para continuar com o cenário agressivo.
Pode-se presumir que o arquivo de texto original foi excluído e, com o conhecimento do arquivo temporário, também pode ser excluído.
No entanto, existem algumas ferramentas que localizam arquivos excluídos e podem recuperá-los facilmente, a menos que você use um programa de “destruição” que preenche os espaços “em branco” da unidade com bits aleatórios que substituem as informações originais.
Embora o seu método de esconder zip seja útil contra o usuário casual de computador, um criminoso sério poderia utilizar este software, recuperar as informações excluídas e acessar o arquivo confidencial.
Mesmo que você tenha nomes enganosos em seu arquivo de texto, o “hacker” provavelmente recuperaria todos os arquivos excluídos que pudesse encontrar e usaria uma ferramenta para pesquisar rapidamente qualquer arquivo de texto simples em busca de palavras-chave ou números relacionados a bancos.
Resposta
O problema de usar 7z ou outro software para salvar arquivos de texto criptografados com dados bancários é que quando você precisa do dados, você terá que abrir o arquivo e descompactá-lo. Nesse momento, o 7z irá despejar uma cópia não criptografada dele no diretório temporário do Windows. Você (ou o software 7z) precisará limpar o diretório temporário adequadamente sempre que abrir o arquivo.
Esta não é a melhor solução para salvar dados bancários. Use um software especialmente desenvolvido para isso. Eu sugeriria usar o Keepass em vez disso. Você não terá que lidar com qualquer coisa não criptografada sendo despejada no diretório temporário do Windows.
Comentários
- 7zip teve um bug para isso por anos e o proprietário não ‘ t parecem pensar que é um problema, mesmo que muitas pessoas tenham se apresentado falando sobre o quão grande é um problema de segurança. sourceforge.net/p/sevenzip/bugs/1448
Resposta
Veja os links abaixo para obter detalhes sobre vários bugs que foram relatados em 2019 relativos à geração de números aleatórios fracos e uma falha na forma como o IV é gerado, nas versões do 7zip naquela época:
https://threadreaderapp.com/thread/1087848040583626753.html
https://sourceforge.net/p/sevenzip/bugs/2176/
Parece que esses bugs foram corrigidos em versões posteriores do 7zip.