Atualmente o número de pessoas que navega na web todos os dias é alto. Estamos altamente dependentes de e-mail, sites de notícias, fóruns, sites de relacionamento, dentre outros. Muitos usuários da grande rede possuem contas em vários portais diferentes (já parou para se perguntar quantas contas em portais na web você possui?). Num mundo assim, onde vivemos de logins e logouts, não é muito prático manter vários nomes de usuário e senhas diferentes, por isso muita gente usa uma senha para [quase] tudo.

Quando dizemos que um site é seguro, significa que ele usa SSL sobre o HTTP, ou na forma mais conhecida, HTTPS. Mas isso não garante que o site é seguro (!). O site implementa segurança, mas não é imune à falhas e ataques, no entanto, é mais protegido que um sistema de login sobre HTTP puro, que é mais rápido, porém sem segurança alguma. A coisa fica mais feia quando estamos em redes desconhecidas (hotéis, LAN houses, cyber cafés, feiras, etc). Os pacotes numa autenticação HTTP trafegam pela rede como texto puro (clear text), ou seja, seu nome de usuário e sua senha são visíveis a qualquer pessoa com um sniffer instalado que consiga capturar seus pacotes, sem contar o gateway da rede, que obrigatoriamente recebe esses pacotes. Este artigo vai mostrar uma maneira de minimizar esta exposição e fazer com que você fique ligeiramente mais tranqüilo ao fazer login em suas milhares de contas na web quando estiver numa rede desconhecida.

Uma solução acessível é usar um túnel criptografado, via SSH. O servidor Secure SHel possui este recurso nativo e basta que o seu navegador suporte tenha suporte a SOCKS, um protocolo que age similar a um proxy comum. Ao utilizá-lo, todas as suas requisições vão passar por ele mas a idéia do SOCKS é criptografar o conteúdo, criando um túnel por onde seus dados trafegam de forma mais segura. No entanto, para utilizar o SOCKS você precisa apontar o seu navegador para um servidor onde exista um serviço escutando capaz de tunelar o tráfego. Por sorte temos o SSH e se você tem acesso a um servidor SSH que tenha acesso a internet, já tem tudo que precisa. Vamos entender o processo.

Imagine que você esteja com seu notebook num quiosque e tenha um PC em casa ou no trabalho que aceite conexões SSH na porta 22 (padrão). Este servidor também tem acesso à internet, logicamente.

1 Você conecta, via SSH no servidor SSH externo. Mas ao invés de simplesmente conectar para enviar comandos, você manda o SSH (cliente) criar um túnel entre o seu notebook e o servidor e escutar localmente numa porta alta qualquer. Vamos utilizar a porta 9999 como exemplo. No Linux, basta utilizar a opção -D, assim:

$ ssh -ND 9999 fernando@serverssh

Dissecando o comando:

-N : faz com que a conexão SSH não aceite comandos (você não receberá um shell para digitar comandos). É opcional, mas interessante se você só quer usar o túnel mesmo.

-D 9999 : cria um túnel e escuta localmente na porta 9999.

fernando@serverssh : seu nome de usuário no servidor SSH e o nome na internet ou IP do servidor SSH em questão.

2 Após digitar a senha do seu usário no servidor SSH, você pode verificar que há um serviço escutando localmente na porta 9999:

$ netstat -ant

3 É justamente para este serviço que você vai apontar seu navegador. No Firefox a configuração fica em "Editar > Preferências > Avançado > Rede > Configurar". Então basta selecionar a configuração manual e apontar o campo referente ao SOCKS para o seu serviço local:

A partir deste ponto, toda a comunicação entre o Firefox e a internet será dada através do túnel SSH encriptado. Uma captura de pacotes resulta em pacotes criptografados:

Em máquinas Windows também é possível utilizar esta técnica, basta configurar o PuTTY e o browser em questão (IE, Firefox, etc). Mostraremos abaixo um passo-a-passo para máquinas Windows:

1 Execute o PuTTY e preencha as informações de login no servidor SSH e depois abra o categoria "Connection > SSH" (à esquerda):

2 Agora o túnel deve ser configurado. Selecione "Tunnels" no menu da esquerda e coloque as informações como a imagem propõe. Depois clique no botão "Add".

3 Certifique-se de que a porta de origem escolhida aparecerá no campo "Forwaded ports", como mostra a imagem abaixo, e clique no botão "Open".

4 Agora você deve configurar o navegador para usar o SOCKS no endereço localhost e porta 9999, assim como fizemos no Firefox, e a partir daí terá uma nevegação tunelada.

Qualquer software que suporte SOCKS poderá utilizar este túnel criptografado para comunicar-se com a internet.