Surveillance
Self-Defense

Escolhendo suas ferramentas

Última revisão: 
29-10-2018
A versão em Inglês pode estar mais atualizada.

Com tantas empresas e sites oferecendo ferramentas voltadas a ajudar as pessoas a melhorar sua segurança digital, como você escolhe aquelas que são adequadas para você?

Nós não temos uma lista infalível de ferramentas para te defender (ainda que você possa ver algumas das opções mais comumente utilizadas nos nossos Guias de Ferramentas [Tool Guides]). Mas se você tem uma boa ideia do que você está tentando proteger – e de quem você está tentando proteger –, este guia pode te ajudar a escolher as ferramentas apropriadas a partir de algumas orientações básicas.

Lembre-se: a segurança não é determinada pelas ferramentas que você usa ou pelo software que você baixa. Ela começa por entender as ameaças específicas que você enfrenta e por como você pode combatê-las. Para mais informações, veja o nosso guia Avaliando seus riscos [Assessing your risks].

 

A segurança é um processo, não uma compra Anchor link

Antes de trocar o software que você usa ou antes de comprar novas ferramentas, a primeira coisa a ter em mente é o fato de que nenhuma ferramenta ou software específico vai fornecer proteção absoluta ou assegurar que você vai estar protegido contra vigilância e monitoramento em todas as circunstâncias. Por essa razão, é importante pensar sobre suas práticas de segurança digital de maneira holística. Por exemplo: se você usa ferramentas seguras no seu telefone, mas não coloca senha no seu computador, é bem provável que as ferramentas do seu telefone não te ajudem tanto. Se alguém quiser descobrir informações sobre você, a pessoa vai escolher o caminho mais fácil para obtê-las – e não o mais difícil.

Em segundo lugar, é impossível se proteger de todo e qualquer tipo de truque ou invasor, então você deve se concentrar em determinar quais são as pessoas que podem querer seus dados, o que elas podem querer fazer com eles e como elas poderão ter a acesso às informações. Se a maior ameaça que você enfrenta é o monitoramento físico feito por um investigador privado e sem acesso às ferramentas de vigilância da internet, você não precisa comprar um sistema caro de telefonia criptografada que diz ser “à prova da Agência Nacional de Segurança”. Por outro lado, se você estiver enfrentando um governo que prende dissidentes com frequência justamente porque eles usam ferramentas de encriptação, pode fazer mais sentido usar táticas mais simples – como estabelecer um conjunto de códigos que soem inofensivos para transmitir mensagens – ao invés de arriscar deixar provas de que você usa um software de criptografia no seu laptop. Pensar com antecedência num conjunto de possíveis ataques contra os quais você quer se proteger é chamado de modelagem de ameaça.

Tendo tudo isto em conta, estas são algumas perguntas que você pode fazer antes de baixar, comprar ou usar uma ferramenta específica.

 

Ela é transparente? Anchor link

Há uma forte crença entre os pesquisadores da segurança de que abertura e transparência levam a ferramentas mais seguras.

Grande parte dos softwares utilizados e recomendados pela comunidade da segurança digital é de código aberto. Isto significa que o código que define como o software funciona está disponível publicamente para que outros possam examinar, modificar e compartilhar. Ao serem transparentes em relação ao funcionamento de seus programas, os criadores destas ferramentas convidam outras pessoas a procurar por falhas de segurança e a ajudar a melhorar o programa.

Um software de código aberto é uma oportunidade para uma segurança melhor, mas não a garante. A vantagem do código aberto está, em parte, no fato de que existe uma comunidade de tecnólogos que estão de fato verificando o código, o que pode ser difícil de conseguir em projetos pequenos (e mesmo em projetos complexos e mais populares).

Quando você estiver avaliando uma ferramenta, veja se o código-fonte está disponível e se ele tem uma auditoria independente de segurança para confirmar a qualidade da proteção oferecida. Uma explicação técnica detalhada sobre seu funcionamento, disponível para que outros experts possam inspecionar, é o mínimo que um software ou hardware devem oferecer.

 

Seus criadores são claros a respeito das vantagens e desvantagens? Anchor link

Nenhum software ou hardware é completamente seguro. Procure por ferramentas feitas por criadores ou vendedores que sejam honestos a respeito das limitações de seus produtos.

Declarações genéricas que afirmam que o código é de “nível militar” ou “à prova da Agência Nacional de Segurança” são alertas para desconfiar. Estas declarações indicam que os criadores têm uma confiança excessiva em seus produtos ou que não estão dispostos a levar suas possíveis falhas em consideração.

Como invasores estão sempre tentando descobrir novas formas de quebrar a segurança das ferramentas, os softwares e hardwares precisam ser atualizados para corrigir vulnerabilidades. Pode ser um problema sério se os criadores do programa não estiverem dispostos a fazer isso, seja porque eles têm medo da má propaganda ou porque eles não montaram a infraestrutura para fornecer essas soluções. Procure por criadores que estejam dispostos a fornecer essas atualizações e que sejam honestos e claros sobre as razões porque eles estão fazendo isso.

Um bom indicador para saber como os desenvolvedores de ferramentas vão se comportar no futuro é seu histórico de atividades. Se o site da ferramenta lista problemas anteriores e disponibiliza links para atualizações e informações regulares – tal como, especificamente, quanto tempo faz desde a última atualização do software –, você pode ter confiança de que eles provavelmente vão continuar a fornecer este serviço no futuro.

 

O que acontece se os criadores ficarem comprometidos? Anchor link

Quando desenvolvedores de ferramentas de segurança criam um software ou hardware, eles (assim como você) precisam ter um modelo de ameaça claro. Os melhores criadores descrevem explicitamente de qual tipo de adversários eles podem te proteger.

Mas tem um invasor específico a respeito do qual muitos fabricantes não querem pensar: eles mesmos! E se eles se virem comprometidos ou decidirem atacar seus próprios usuários? Por exemplo: um tribunal ou um governo podem obrigar uma empresa a fornecer dados pessoais ou a criar um backdoor que retira todas as proteções oferecidas pela ferramenta. Por isso, leve em conta a jurisdição – ou as jurisdições – onde os criadores têm sede. Se você estiver preocupado em se proteger contra o governo do Irã, por exemplo, uma empresa com sede nos Estados Unidos poderá se contrapor às ordens judiciais iranianas, ainda que tenha que cumprir as ordens judiciais americanas.

Ainda que um criador consiga se opor à pressão de um governo, um atacante pode tentar invadir os próprios sistemas do desenvolvedor da ferramenta para atacar seus clientes.

As ferramentas mais resilientes são aquelas que levam em conta que este tipo de ataque pode acontecer e que são desenhadas para se defender contra isto. Procure por declarações que assegurem que o criador não pode ter acesso a dados privados ao invés de afirmações que dizem que o criador não irá acessá-los. Procure por instituições com fama de se recusar a cumprir decisões judiciais que exigem o fornecimento de dados pessoais de seus usuários.

 

Ela passou por recall ou foi criticada online? Anchor link

Empresas vendendo seus produtos e entusiastas fazendo propaganda de seus softwares mais recentes podem ser enganados, podem ser enganosos ou podem até mesmo mentir descaradamente. Um produto que originariamente era seguro pode ter falhas terríveis no futuro. Certifique-se de que você está sempre bem informado sobre as últimas notícias a respeito das ferramentas que você usa.

Manter-se atualizado acerca de todas as novidades de uma ferramenta é trabalho demais para uma pessoa só. Se você tem colegas que usam um produto ou serviço específico, trabalhe em conjunto com eles para se manter informado.

 

Qual telefone eu deveria comprar? E qual computador? Anchor link

Instrutores de segurança recebem as seguintes perguntas com frequência: “Eu deveria comprar um celular Android ou um iPhone?”, “Eu deveria usar um PC ou um Mac?” ou “Qual sistema operacional eu deveria usar?” Não existem respostas fáceis para essas perguntas. A segurança relativa de softwares e dispositivos está em constante mudança, na medida em que novas falhas são descobertas e bugs antigos são consertados. As empresas podem competir entre si para fornecer melhores mecanismos de segurança para seus usuários ou todas elas podem estar sob pressão dos governos para enfraquecer essa segurança.

No entanto, algumas destas recomendações gerais são sempre verdadeiras. Quando você compra um dispositivo ou um sistema operacional, mantenha-o sempre em dia com as atualizações de software. As atualizações geralmente consertam problemas de segurança do código antigo que poderiam ser explorados por invasores. É importante notar que alguns telefones e sistemas operacionais mais antigos podem não ser mais suportados, mesmo no caso de atualizações de segurança. Em particular, a Microsoft deixou claro que as versões do Windows Vista, XP e anteriores não vão receber correções mesmo quando se tratar de problemas sérios de segurança. Isto significa que, se você usa alguma dessas versões, você não pode esperar que elas estejam protegidas contra invasores. A mesma coisa vale para o OS X anterior a 10.11 ou El Capitan.

Agora que você já levou em consideração as ameaças que enfrenta e que você já sabe o que procurar numa ferramenta de segurança digital, você pode ter mais confiança ao escolher as ferramentas mais apropriadas à sua situação específica.

 

Produtos mencionados em ‘Autodefesa contra vigilância’ [Surveillance Self-Defense] Anchor link

Nós procuramos assegurar que os softwares e hardwares mencionados neste guia atendam aos critérios listados acima. Nós fizemos um esforço de boa fé para listar apenas produtos que:

  • têm uma base sólida no que diz respeito ao que nós sabemos sobre segurança digital atualmente,
  • em geral são transparentes sobre seu funcionamento (e sobre suas falhas),
  • têm defesas contra a possibilidade de que os próprios criadores se vejam comprometidos e
  • têm manutenção constante, com uma grande base de usuários com bons conhecimentos de tecnologia.

Nós acreditamos que, no momento em que escrevemos este guia, esses produtos têm uma ampla audiência que está examinando os softwares e hardwares, procurando encontrar falhas, e, caso estas fragilidades sejam encontradas, essa audiência traria rapidamente suas preocupações a público. Por favor, compreenda que nós não temos recursos para examinar ou para dar garantias independentes sobre a segurança de cada um deles. Nós não estamos endossando esses produtos e não podemos garantir que eles sejam completamente seguros.

JavaScript license information