Escolhendo suas ferramentas

Com tantas empresas e sites oferecendo ferramentas voltadas para ajudar as pessoas a melhorar sua própria segurança digital, como escolher as ferramentas certas para você?

Não temos uma lista infalível de ferramentas que podem defendê-lo (embora você possa ver algumas opções comuns em nossos Guias de ferramentas). Mas se tiver uma boa ideia do que deseja proteger e de quem deseja protegê-lo, este guia poderá ajudá-lo a escolher as ferramentas adequadas usando algumas diretrizes básicas.

Lembre-se de que a segurança não se refere às ferramentas que você usa ou ao software que você baixa. Ela começa com uma compreensão das ameaças especificas que você enfrenta e como você deve combatê-las. Consulte o nosso guia de planejamento de segurança para obter mais informações.

A segurança é um processo, não uma compra anchor link

A primeira coisa a lembrar antes de mudar o software que usa ou comprar novas ferramentas é que nenhuma ferramenta ou software lhe dará proteção absoluta contra vigilância em todas as circunstâncias. Portanto, é importante pensar em suas práticas de segurança digital de forma holística. Por exemplo, se você usa ferramentas seguras em seu telefone, mas não coloca uma senha em seu computador, as ferramentas em seu telefone podem não lhe ajudar muito. Se alguém quiser descobrir informações sobre você, essa pessoa escolherá a maneira mais fácil de obter essas informações, não a mais difícil.

É impossível se proteger contra todo tipo de truque ou invasor, portanto, você deve se concentrar em quem pode querer seus dados , o que eles podem pretender com estes e como eles podem obtê-los. Se a sua maior ameaça for a vigilância física de um investigador particular sem acesso a ferramentas de vigilância na Internet, você não precisa comprar um sistema telefônico criptografado caro que alega ser "à prova da NSA". Como alternativa, se você enfrenta um governo que prende regularmente dissidentes porque eles usam ferramentas de criptografia , pode fazer sentido usar táticas mais simples - como organizar um conjunto de códigos inofensivos e pré-arranjados para transmitir mensagens - em vez de arriscar deixar evidências de que você usa software de criptografia em seu laptop. A elaboração de uma lista de possíveis ataques contra os quais queira se proteger é chamada de modelagem de ameaças.

Diante de tudo isso, aqui estão algumas perguntas que você pode fazer sobre uma ferramenta antes de baixar, comprar ou usá-la.

Qual é o grau de transparência? anchor link

Os pesquisadores de segurança acreditam firmemente que a abertura e a transparência levam a ferramentas mais seguras.

Grande parte do software que a comunidade de segurança digital usa e recomenda é de código aberto. Isso significa que o código que define como ele funciona está disponível publicamente para que outras pessoas o examinem, modifiquem e compartilhem. Ao serem transparentes sobre o funcionamento de seus programas, os criadores dessas ferramentas convidam outras pessoas a procurar falhas de segurança e ajudar a aprimorar o programa.

O software de código aberto oferece a oportunidade de melhorar a segurança, mas não a garante. A vantagem do código aberto depende, em parte, de uma comunidade de tecnólogos que realmente verificam o código, o que, para projetos pequenos (e até mesmo para projetos populares e complexos), pode ser difícil de alcançar.

Ao considerar uma ferramenta, verifique se o código-fonte está disponível e se ela possui uma auditoria de segurança independente para confirmar a qualidade de sua segurança. No mínimo, o software ou hardware deve ter uma explicação técnica detalhada de como funciona para que outros especialistas possam inspecionar.

Quão claros são seus criadores sobre suas vantagens e desvantagens? anchor link

Nenhum software ou hardware é totalmente seguro. Procure ferramentas com criadores ou vendedores que sejam honestos sobre as limitações de seus produtos.

Declarações genéricas que dizem que o código é "de nível militar (ou bancário)" ou "à prova da NSA" são sinais de alerta. Essas declarações indicam que os criadores estão confiantes demais ou não estão dispostos a considerar as possíveis falhas em seu produto.

Como os invasores tentam descobrir novas maneiras de violar a segurança das ferramentas, o software e o hardware precisam de atualizações para corrigir as vulnerabilidades. Pode ser um problema sério se os criadores não estiverem dispostos a fazer isso, seja por medo de publicidade negativa ou porque não criaram a infraestrutura para isso. Procure criadores que liberem essas atualizações e que sejam honestos e claros sobre o motivo pelo qual fazem.

Um bom indicador de como os fabricantes de ferramentas se comportarão no futuro é sua atividade histórica. Se o site da ferramenta elenca problemas anteriores e enlaces para atualizações e informações regulares - como, especificamente, quanto tempo se passou desde a última atualização do software -, poderá ter mais confiança de que eles continuarão a fornecer esse serviço no futuro. Muitas vezes, é possível consultar o histórico de atualizações nas lojas de aplicativos oficiais, como a App Store da Apple ou o Google Play, no GitHub ou no site do desenvolvedor. Isso só pode mostrar que o desenvolvedor está trabalhando no software com alguma regularidade, mas é indicador ainda melhor se incluir notas detalhadas sobre o que está incluído em cada atualização.

O que acontece se os criadores forem comprometidos? anchor link

Quando os criadores de ferramentas de segurança desenvolvem software e hardware, eles (assim como você) precisam ter um plano de segurança claro. Os melhores criadores descrevem explicitamente os tipos de adversários dos quais podem protegê-lo em sua documentação.

Mas há um invasor no qual muitos fabricantes não querem pensar: eles mesmos. E se eles forem comprometidos ou decidirem atacar seus próprios usuários? Por exemplo, um tribunal ou governo pode obrigar uma empresa a entregar dados pessoais ou criar uma "porta-dos-fundos" que removerá todas as proteções oferecidas por sua ferramenta. Portanto, considere a(s) jurisdição(ões) onde os criadores estão sediados. Se você estiver preocupado em se proteger do governo do Irã, por exemplo, uma empresa sediada nos EUA poderá resistir às ordens judiciais iranianas, mesmo que tenha que cumprir as ordens dos EUA.

Mesmo que um criador consiga resistir à pressão do governo, um invasor pode tentar invadir os sistemas dos próprios fabricantes de ferramentas para atacar seus clientes.

As ferramentas mais resistentes são aquelas que consideram isso como um possível ataque e são projetadas para se defenderem contra isso. Procure uma linguagem que afirme que um criador não pode acessar dados privados, em vez de prometer que um criador não o fará. Da mesma forma, pesquise informações sobre criptografia de dados, políticas de retenção de dados, venda a terceiros e quaisquer detalhes sobre como a empresa pode lidar com solicitações de aplicação da lei no site da ferramenta ou na política de privacidade. Este guia do Washington Post inclui algumas dicas de leitura da política de privacidade de uma empresa que são úteis para se ter uma ideia de quais informações uma empresa pode armazenar ou compartilhar.

Ele foi recolhido ou alvo de críticas on-line? anchor link

As empresas que vendem produtos e os entusiastas que anunciam seus softwares mais recentes podem ser enganados, induzir ao erro ou até mesmo mentir. Um produto que era originalmente seguro pode apresentar falhas terríveis no futuro. Certifique-se de estar bem informado sobre as últimas notícias a respeito das ferramentas que usa.

É muito trabalhoso para uma pessoa ficar a par das últimas notícias sobre uma ferramenta. Se você tiver colegas que usam um determinado produto ou serviço, trabalhe com eles para se manter informado.

Qual telefone devo comprar? Qual computador? anchor link

Os instrutores de segurança são frequentemente questionados: "Devo comprar um dispositivo Android ou um iPhone?", "Devo usar um PC ou um Mac?" ou "Qual sistema operacional devo usar?" Não há respostas simples para essas perguntas. A segurança relativa do software e dos dispositivos está mudando constantemente à medida que os pesquisadores descobrem novas falhas e defeitos antigos. As empresas podem competir entre si para oferecer a você uma segurança melhor ou podem estar sob pressão dos governos para enfraquecer essa segurança.

No entanto, alguns conselhos gerais são verdadeiros em quase todos os casos. Ao comprar um dispositivo ou um sistema operacional, mantenha-o atualizado com as atualizações de software. As atualizações geralmente corrigem problemas de segurança em códigos mais antigos que podem ser explorados por ataques. Observe que alguns telefones e sistemas operacionais mais antigos podem não ter mais suporte, mesmo para atualizações de segurança.

Nos telefones celulares, há algumas diferenças importantes entre os dois sistemas operacionais. O Android é de código aberto e tem várias versões diferentes voltadas especificamente para a privacidade e a segurança, como o CalyxOS e o GrapheneOS. O sistema operacional do iPhone, iOS, não é de código aberto, mas provou ser forte contra ferramentas forenses. Como qualquer ferramenta de segurança, uma não é universalmente melhor que a outra para todos.

Agora que você já considerou as ameaças que enfrenta e sabe o que procurar em uma ferramenta de segurança digital, pode escolher com mais confiança as ferramentas mais adequadas à sua situação específica.

Produtos mencionados em Vigilância e Autodefesa anchor link

Tentamos garantir que o software e o hardware mencionados na VeA estejam em conformidade com os critérios listados acima. Fizemos um esforço de boa-fé para citar apenas produtos que:

• Ter uma base sólida sobre o que sabemos atualmente sobre segurança digital
• São geralmente transparentes sobre suas operações (e suas falhas)
• Ter defesas contra a possibilidade de que os próprios criadores sejam comprometidos
• São mantidos atualmente, com uma base de usuários grande e com conhecimento técnico que os examina em busca de falhas

Entenda que não temos os recursos necessários para examinar ou dar garantias independentes sobre a segurança desses produtos. Não endossamos esses produtos e não podemos garantir total segurança.