Escolhendo suas ferramentas

Todas as ferramentas digitais, sejam elas de hardware ou de software, devem ser seguras. Ou seja, elas devem protegê-lo de vigilância, e evitar que o seu dispositivo seja controlado por terceiros. Lamentavelmente, atualmente esse não é o caso. Para muitas atividades digitais, você pode terminar necessitando de programas dedicados ou equipamentos destinados a prover funções de segurança específicas. Os exemplos que utilizamos neste guia incluem um software que lhe permite criptografar suas mensagens ou arquivos, como o PGP.

Como escolher o mais adequado para você, dado o grande número de empresas e websites que oferecem programas ou hardware de segurança?

A segurança é um processo, não uma compra Anchor link

Antes de trocar o software que você utiliza ou comprar novas ferramentas, a primeira coisa a recordar é que nenhuma ferramenta lhe proporcionará proteção absoluta de vigilância em todas as circunstâncias. A utilização de software de criptografia geralmente torna mais difícil que outros leiam suas comunicações ou vasculhem os arquivos em seu computador. Mas os que ataques a sua segurança digital sempre procurarão o elemento mais fraco de suas práticas de segurança. Quando utilizar uma nova ferramenta de segurança, você deve pensar em como a sua utilização pode afetar outras maneiras que alguém poderia atingi-lo. Por exemplo, se você decidir utilizar um programa de mensagens de texto seguro para falar com um contato porque sabe que o seu telefone pode estar comprometido, talvez o simples fato de estar utilizando esse programa, dê a um oponente um indício de que você está falando informações confidenciais?

Em segundo lugar, lembre-se de seu modelo de ameaça. Você não precisa comprar algum sistema de telefonia criptografado caro, que se diz ser “à prova da NSA”, se a sua maior ameaça é a vigilância física de um investigador particular sem nenhum acesso às ferramentas de vigilância na Internet. Alternativamente, se você está enfrentando um governo que condena regularmente dissidentes porque eles utilizam ferramentas de criptografia, pode fazer sentido usar truques mais simples, como um conjunto de códigos pré-arranjados, em vez do risco de deixar evidências que você utiliza software de criptografia em seu laptop.

Tendo tudo isso em conta, eis aqui algumas perguntas que você pode fazer sobre uma ferramenta antes de fazer download, comprá-la ou utilizá-la.

O quão transparente é? Anchor link

Apesar da segurança digital parecer ser principalmente sobre manter segredos, há uma forte crença entre os pesquisadores de segurança que a abertura e a transparência levam a ferramentas mais seguras.

Grande parte do software utilizado e recomendado pela comunidade de segurança digital é livre e de código aberto, o que significa dizer que o código que define a forma como ele funciona é disponível publicamente para outros examinarem, modificarem e compartilharem. Por serem transparentes quanto à sua funcionalidade, os criadores destas ferramentas convidam outras pessoas a procurar falhas de segurança e ajudar a melhorar o programa.

O software aberto oferece a oportunidade de uma segurança melhor, mas não a garante. A vantagem do código aberto depende em parte de uma comunidade de tecnólogos que efetivamente verificam o código, que para pequenos projetos (e mesmo para os complexos, populares) pode ser difícil de alcançar. Quando você estiver utilizando uma ferramenta, veja se seu código fonte está disponível e se tem uma auditoria de segurança independente para confirmar a qualidade da sua segurança. Pelo menos, o software e o hardware devem ter uma explicação técnica detalhada de como funcionam para que outros especialistas possam inspecioná-los.

Quão claro são os seus criadores em relação à suas vantagens e desvantagens? Anchor link

Nenhum software ou hardware é plenamente seguro. Os criadores e vendedores que são honestos sobre as limitações dos seus produtos lhe darão uma ideia muito mais sólida se seu aplicativo é adequado para você.

Não acredite em declarações genéricas que dizem que o código é de "nível militar" ou "à prova da NSA"; estes nada significam e advertem claramente que os criadores estão superestimando ou indispostos a considerar possíveis falhas em seus produtos.

Em virtude dos invasores estarem sempre tentando descobrir novas maneiras de quebrar a segurança das ferramentas, o software e o hardware precisam ser atualizados com frequência para corrigir novas vulnerabilidades. Se os criadores de uma ferramenta não estão dispostos a fazê-lo, seja pelo receio da má publicidade, ou por não terem elaborado a infraestrutura para corrigir problemas, pode ser um problema sério.

Não se pode prever o futuro, mas um bom indicador de como os fabricantes de ferramentas se comportarão no futuro é o seu histórico de atividades. Se o website da ferramenta relaciona os problemas anteriores e links para as atualizações regulares e informações, especificamente há quanto tempo o software recebeu a última atualização - você pode confiar que eles continuarão a prestar este serviço no futuro.

O que acontece se os criadores se veem comprometidos? Anchor link

Quando os fabricantes de ferramentas de segurança criam software e hardware, eles (assim como você) devem ter um claro modelo de ameaça. Os melhores criadores descreverão explicitamente em sua documentação de quais tipos de invasores eles podem protegê-lo.

Mas existe um invasor que muitos fabricantes não querem pensar: se eles mesmos se veem comprometidos ou decidem atacar seus próprios usuários. Por exemplo, um tribunal ou governo obriga uma empresa a ceder os dados pessoais ou criar uma “porta dos fundos” que removerá todas as proteções que sua ferramenta oferece. Você pode querer considerar a(s) jurisdição(ções) base(s) dos criadores. Se a sua ameaça provém do governo do Irã, por exemplo, uma empresa com sede nos Estados Unidos poderá se contrapor às ordens judiciais iranianas, mesmo que ela deva cumprir as ordens dos EUA.

Mesmo que um criador seja capaz de resistir à pressão governamental, um intruso pode tentar obter o mesmo resultado invadindo os próprios sistemas dos fabricantes de ferramentas para atacar os seus clientes.

As ferramentas mais resistentes são aquelas que consideram isso como um possível ataque, e são projetadas para se defender contra isso. Procure inscrições que assegurem que um criador não pode acessar dados confidenciais, em lugar de promessas que o mesmo não o fará. Procure instituições com fama de lutar contra as ordens judiciais para proteger os dados pessoais.

Verifique a existência de registros e críticas on-line Anchor link

É claro que empresas vendendo produtos e entusiastas anunciando seu mais recente software podem estar enganados, induzir a erro, ou até mesmo mentir propositalmente. Um produto que foi originalmente seguro pode se revelar no futuro como tendo terríveis falhas de segurança. Assegure-se de estar bem informado das últimas notícias sobre as ferramentas que utiliza.

Você conhece outras pessoas que utilizam a mesma ferramenta? Anchor link

Manter-se a par das últimas notícias sobre uma ferramenta é um trabalho enorme para uma só pessoa. Se você tem colegas que utilizam um determinado produto ou serviço, trabalhe com eles para ficar informado do que está acontecendo.

Produtos mencionados neste guia Anchor link

Procuramos garantir que o software e o hardware que mencionamos neste guia atendem aos critérios que relacionamos abaixo: temos feito um esforço de boa fé para listar apenas produtos que têm uma base sólida, com base no que atualmente sabemos sobre segurança digital, que são geralmente transparentes sobre o seu funcionamento (e suas falhas), que têm defesas contra a possibilidade de que os próprios criadores se veem comprometidos, e que atualmente são mantidos com uma grande base de usuários e tecnicamente bem informados. Acreditamos que eles tenham, no momento da escrita, a atenção de uma grande audiência que os está examinando em busca de falhas, e levantaria rapidamente quaisquer preocupações para o público. Entenda que não temos os recursos para examinar ou dar garantias independentes sobre a sua segurança, que não estamos endossando esses produtos e não podemos garantir sua total segurança.

Qual telefone eu devo comprar? Qual computador? Anchor link

Algumas das questões mais frequentes recebidas pelos instrutores de segurança são "Devo comprar um Android ou um iPhone?” ou “Devo utilizar um PC ou um Mac?” ou “Qual sistema operacional devo utilizar?” Não há respostas simples para essas questões. A segurança relativa do software e dos dispositivos está constantemente mudando à medida que novas falhas são descobertas e bugs antigos são corrigidos. As empresas podem competir entre si para lhe oferecer uma melhor segurança, ou todas elas podem estar sob pressão de governos para enfraquecer essa segurança.

No entanto, algumas recomendações gerais são quase sempre verdadeiras. Quando comprar um dispositivo ou um sistema operacional, mantenha-os em dia com as atualizações de softwares. As atualizações quase sempre corrigirão problemas de segurança em códigos antigos que os ataques podem explorar. Os telefones e os sistemas operacionais mais antigos não têm mais suporte, mesmo para as atualizações de segurança. Particularmente, a Microsoft deixou claro que o Windows XP e as versões anteriores do Windows não receberão correções, até mesmo para os graves problemas de segurança. Se você utiliza o XP, não pode esperar que ele esteja seguro de invasores (o mesmo se aplica para o OS X antes de 10.7.5 ou o “Lion”).

Last reviewed: 
2015-07-28
A versão em Inglês pode estar mais atualizada.
JavaScript license information