Surveillance
Self-Defense

Defensor dos direitos humanos?

  • Defensor dos direitos humanos?

    Conselhos para organizações que precisam se proteger da escuta do governo

    Caso atue em uma organização cujo trabalho possa ser monitorado por governos, localmente ou em viagem, você precisa pensar em blindar as suas comunicações. Aqui está um guia básico para pensar no planejamento de sua autoproteção em relação à vigilância institucional.

  • Avaliando Seus Riscos

    Tentar proteger todos os seus dados de todas as pessoas e todo o tempo é impraticável e extremamente cansativo. Mas não se preocupe! Segurança é um processo, e através de planejamento cuidadoso você pode avaliar o que é o ideal para você. Segurança não se trata das ferramentas que você utiliza ou dos programas que baixa, ela começa com a compreensão de quais são as ameaças específicas que você enfrenta e como você pode combatê-las.

    Em segurança da informação, uma ameaça é um evento potencial que pode tornar menos efetivos os esforços que você faz para defender seus dados. Você pode combater as ameaças que enfrenta ao entender que coisas precisa proteger, bem como de quem precisa protegê-las. Este processo é chamado de modelagem de ameaças.

    Este guia o ensinará como modelar ameaças, ou como avaliar os riscos aos quais suas informações digitais estão expostos e determinar quais as melhores soluções para você.

    Como é o processo de modelagem de ameaças? Vamos dizer que você deseja manter sua casa e seus bens seguros... Aqui estão algumas perguntas que você pode querer se fazer:

    O que eu tenho dentro da minha casa merece ser protegido?

    • Ativos podem incluir jóias, eletrônicos, documentos financeiros, passaportes ou fotos.

    De quem eu quero proteger estes ativos?

    • Adversários podem incluir: ladrões, colegas de quarto e visitas.

    O quão provável é que eu precise proteger estes ativos?

    • Minha vizinhança tem um histórico de roubos? O quão confiável são meus colegas de quarto/visitas? Quais são os recursos de meus adversários? Que riscos eu devo considerar?

    O quão graves serão as consequências caso eu falhe?

    • Eu tenho alguma coisa na minha casa que eu não tenha como repor? Eu tenho tempo ou dinheiro para repor ativos? Eu tenho um seguro que cubra ativos roubados da minha casa?

    Até onde eu estou disposto a ir para me prevenir destas consequências?

    • Eu estou disposto a comprar um cofre para documentos importantes? Eu tenho recursos para comprar uma fechadura de alta qualidade? Tenho tempo para alugar um cofre no meu banco e manter meus objetos de valor neste cofre?

    Uma vez que você tenha se feito estas perguntas, você estará em condições de avaliar que medidas deve tomar. Se suas posses são valiosas mas o risco de um roubo à sua casa é baixo, então talvez você decida não investir muito dinheiro em uma fechadura. Por outro lado, se o risco for alto você desejará comprar a melhor fechadura do mercado e ainda instalar um sistema de segurança.

    Construir um modelo de ameaça o ajudará a entender as ameaças específicas que você corre e a avaliar seus ativos, seus adversários e os recursos que estes adversários possuem, bem como a probabilidade de que tais riscos se tornem realidade.

    O que é modelagem de ameaças e por onde eu começo?

    A modelagem de ameaças o ajuda a identificar ameaças às coisas que você dá valor e determinar de quem precisa protegê-las. Quando estiver construindo um modelo de ameaça, responda a estas cinco perguntas:

    1. Que coisas eu quero proteger?
    2. De quem eu quero protegê-las?
    3. O quão graves serão as consequências caso eu falhe?
    4. O quão provável é que eu precise protegê-las?
    5. Até onde eu estou disposto a ir para tentar evitar potenciais consequências?

    Vamos avaliar uma a uma estas perguntas.

    Que coisas eu quero proteger?

    Um “ativo” é algo ao qual você dá valor e que deseja proteger. No contexto de segurança digital, um ativo é normalmente algum tipo de informação. Por exemplo: seus e-mails, lista de contatos, mensagens instantâneas e arquivos são todos possíveis ativos. Seus dispositivos também podem ser ativos.

    Faça uma lista de seus ativos: dados que você mantém, onde eles são mantidos, quem tem acesso a eles, e o que impede que outros os acessem.

    De quem eu quero protegê-las?

    Para responder a esta pergunta, é importante identificar quem pode ter você ou suas informações como alvo. Uma pessoa ou entidade que represente uma ameaça aos seus ativos é um “adversário”. Exemplos de potenciais adversários são seu chefe, seu ex-cônjuge ou ex-namorado(a), seu concorrente, seu governo, ou um hacker numa rede pública.

    Faça uma lista de seus adversários, ou daqueles que possam ter interesse em ter acesso aos seus dados. Sua lista pode incluir pessoas, agências governamentais ou empresas.

    Dependendo de quem sejam seus adversários, em alguns casos esta lista pode se tornar algo que você queira destruir após terminar sua modelagem de ameaça.

    O quão graves serão as consequências caso eu falhe?

    Existem diversas formas pelas quais um adversário pode ameaçar seus dados. Por exemplo, um adversário pode ler suas comunicações pessoais enquanto tem acesso à rede, ou pode apagar ou corromper seus dados.

    Os objetivos dos adversários diferem enormemente, assim como seus ataques. Um governo tentando evitar a disseminação de um vídeo que mostra violência policial pode se satisfazer simplesmente apagando ou reduzindo a disponibilidade deste vídeo. Por outro lado, um adversário político pode querer ter acesso a conteúdos secretos e publicar este conteúdo sem que você saiba.

    A modelagem de ameaças envolve compreender o quão graves as consequências podem ser caso um adversário ataque com sucesso um de seus ativos. Para chegar a esta conclusão, você deve levar em conta os recursos dos quais seu adversário dispõe. Por exemplo, sua operadora de telefonia móvel tem acesso a todas as suas ligações e, consequentemente, a capacidade de usar estes dados contra você; um hacker numa rede Wi-Fi aberta pode acessar suas comunicações não criptografadas; já seu governo pode ter recursos ainda mais abrangentes.

    Coloque num papel o que o seu adversário pode querer fazer com seus dados privados.

    O quão provável é que eu precise protegê-las?

    Risco é a probabilidade de que uma ameaça específica contra um ativo específico efetivamente venha a se concretizar. Ele é sempre proporcional à capacidade. Apesar de sua operadora de telefonia celular ter a capacidade de acessar todos os seus dados, o risco de que ela poste seus dados online para prejudicar sua reputação é baixo.

    É importante distinguir entre ameaças e riscos. Enquanto uma ameaça é algo ruim que pode ocorrer, risco é a probabilidade de que esta ameaça seja levada a termo. Por exemplo, sempre há a ameaça de que seu prédio possa desmoronar, mas o risco de isso acontecer é bem maior em São Francisco (onde terremotos são comuns) do que em Estocolmo (onde eles não são).

    Efetuar uma análise de risco é ao mesmo tempo um processo pessoal e subjetivo: nem todas as pessoas têm as mesmas prioridades ou enxergam ameaças da mesma forma. Muitas pessoas acham certas ameaças inaceitáveis, independente do risco delas ocorrerem, porque a mera presença da ameaça, por menor que seja o risco, não compensa. Em outros casos, pessoas desprezam riscos altos porque não veem a ameaça como um problema.

    Coloque num papel quais ameaças você deseja levar a sério, e quais são tão raras ou tão sem consequências (ou difíceis de combater) que não vale à pena se preocupar.

    Até onde eu estou disposto a ir para tentar evitar potenciais consequências?

    Responder a esta pergunta requer a condução da análise de riscos. Nem todas as pessoas têm as mesmas prioridades ou enxergar as ameaças da mesma maneira.

    Por exemplo, um advogado que representa um cliente em um caso de segurança nacional estará provavelmente disposto a utilizar mais recursos para proteger as comunicações sobre o caso, como por exemplo utilizar e-mails criptografados, do que uma mãe que regularmente envia à sua filha e-mails com vídeos engraçados de gatos.

    Coloque num papel as opções disponíveis para ajudá-lo a atenuar as ameaças que você enfrenta pessoalmente. Leve em conta suas restrições de orçamento, técnicas, ou sociais.

    Modelagem de ameaças como uma prática regular

    Tenha em mente que seu modelo de ameaça pode mudar de acordo com a mudança da sua situação pessoal. Desta maneira, conduzir modelagens de ameaça frequentes é uma boa prática.

    Crie seu próprio modelo de ameaça baseado em sua situação única. Feito isso, marque em sua agenda uma data no futuro para rever este modelo de ameaça e verificar se ele ainda se enquadra na sua situação.

    Última revisão: 
    07-09-2017
  • Comunicando-se com outros

    As redes de telecomunicação e a internet tornaram a comunicação entre as pessoas mais fácil do que nunca, mas também permitiram que a vigilância se tornasse mais predominante do que jamais se viu na história da humanidade. Cada telefonema, mensagem de texto, e-mail, mensagem instantânea, ligação de voz sobre IP (VoIP), vídeo chat e mensagem de redes sociais podem ser vulneráveis a intrusos, caso não se tome medidas adicionais para proteger sua privacidade.



    Na maioria das vezes, a maneira mais segura de se comunicar com outras pessoas é pessoalmente, sem a presença de computadores ou telefones. Uma vez que isso nem sempre é possível, o melhor a ser feito é utilizar a criptografia ponto a ponto, caso precise proteger o conteúdo de suas comunicações quando se comunicar por meio de uma rede.

    Como funciona a criptografia ponto a ponto?

    Quando duas pessoas querem se comunicar de modo seguro (por exemplo, a Akiko e o Boris), elas precisam gerar individualmente chaves de criptografia. Antes da Akiko enviar uma mensagem para o Boris, ela criptografa a chave dele para que somente o Boris possa decifrá-la. Então ela envia a mensagem já criptografada pela internet. Se alguém estiver espionando a Akiko e o Boris, mesmo que tenha acesso ao serviço que ela está utilizando para enviar essa mensagem (como a sua conta de e-mail), esta pessoa apenas verá os dados criptografados, mas não conseguirá ler a mensagem. Quando o Boris recebê-la, deve utilizar sua chave para descriptografá-la, tornando-a legível.



    A criptografia ponto a ponto requer algum sacrifício, mas é a única maneira dos usuários verificarem a segurança das suas comunicações, sem ter de confiar na plataforma que estão utilizando. Alguns serviços, como o Skype, afirmam que oferecem a criptografia ponto a ponto, mas, ao que parece, não a fazem. Para que a criptografia ponto a ponto seja segura, os usuários devem verificar se a chave que está criptografando as mensagens pertence à pessoa que eles acreditam que a criaram. Se o software de comunicação não tem essa capacidade integrada, então qualquer mensagem criptografada poderia, por exemplo, ser interceptada pelo próprio provedor de serviços, caso algum governo o obrigue a isso.

    Você pode ler o informativo Encryption Works (Funcionamento da Criptografia), da Freedom of the Press Foundation (Fundação para a Liberdade de Imprensa), para obter instruções detalhadas sobre como utilizar a criptografia ponto a ponto para proteger suas mensagens instantâneas e e-mails. Confira também os seguintes módulos da SSD:

    Chamadas de voz

    Quando você faz uma ligação por telefone fixo ou celular, sua chamada não é criptografada ponto a ponto. Se estiver utilizando um aparelho móvel, a ligação pode ser (tenuemente) criptografada entre o seu celular e as torres de telefonia. No entanto, como sua conversa viaja pela rede de transmissão, ela é vulnerável à interceptação pela sua companhia telefônica e extensivamente por todos os governos ou organizações que têm poder sobre a sua empresa de telefonia. A maneira mais fácil de garantir que você tenha a criptografia ponto a ponto nas conversas de voz é utilizar o VoIP.

    Cuidado! A maioria dos provedores de VoIP, como o Skype e o Google Hangouts, oferecem criptografia em trânsito, de modo que os espiões não podem ouvi-las, porém seus próprios provedores ainda têm potencial de escutá-las. Isso pode ou não ser um problema, dependendo do seu modelo de ameaça.

    Dentre alguns serviços que oferecem a criptografia ponto a ponto nas chamadas por VoIP, incluem-se:

    Para ter conversas de VoIP criptografadas ponto a ponto, ambos devem utilizar o mesmo software (ou compatível).

    Mensagens de texto

    As mensagens de texto padrões (SMS) não dispõem de criptografia ponto a ponto. Se você quer enviar mensagens criptografadas pelo seu telefone, considere utilizar um software de mensagens instantâneas criptografadas em vez de mensagens de texto SMS.

    Alguns serviços de mensagens instantâneas criptografadas ponto a ponto utilizam seu próprio protocolo. Então, por exemplo, os usuários do Signal, no Android e no iOS, podem conversar de modo seguro com outras pessoas que utilizam esses programas. O ChatSecure é um aplicativo móvel que criptografa conversas com o OTR em qualquer rede que usa o XMPP, significando que você pode escolher dentre os serviços, independentes de mensagens instantâneas.

    Mensagens instantâneas

    O Off-the-Record (OTR) (Fora da Banda) é um protocolo de criptografia ponto a ponto para mensagens de texto em tempo real, o qual pode ser utilizado no topo de uma série de serviços.

    Dentre algumas ferramentas que incorporam o OTR nas mensagens instantâneas, incluem-se:

    Email

    A maioria dos provedores de e-mail proporciona uma maneira de você acessá-los utilizando um navegador da Web, como o Firefox ou o Chrome. A maioria desses provedores suporta o protocolo HTTPS ou a criptografia de camada de transporte (do inglês transport-layer encryption). Você pode verificar se o seu provedor de e-mail suporta o protocolo HTTPS, acessando o seu webmail e conferindo se a URL no topo do seu navegador começa com as letras HTTPS em vez de HTTP (por exemplo: https://mail.google.com).

    Caso o seu provedor de e-mail suporte o HTTPS, mas não o faz por padrão, tente substituir o HTTP pelo HTTPS na URL e atualizar a página. Caso queira ter a certeza de sempre estar utilizando o protocolo HTTPS nos sites onde estiver disponível, faça o download do complemento do navegador HTTPS Everywhere, no Firefox ou no Chrome.

    Dentre alguns provedores de webmail que utilizam o protocolo HTTPS por padrão, incluem-se:

    • Gmail
    • Riseup
    • Yahoo

    Alguns provedores de webmail dão a opção de escolher utilizar o HTTPS por padrão, selecionando-o em suas configurações. O serviço mais popular, que ainda faz isso, é o Hotmail.



    O que faz a criptografia de camada de transporte (do inglês transport-layer encryption) e por que você precisa dela? O HTTPS, também referido como SSL ou TLS, criptografa suas comunicações de modo que elas não possam ser lidas por outras pessoas na sua rede. Isso pode incluir as que estão utilizando a mesma rede Wi-Fi em um aeroporto ou em uma cafeteria, no seu escritório ou na escola, os administradores de seu ISP, hackers maliciosos, agentes da lei ou do governo. As comunicações enviadas pelo seu navegador da Web, incluindo as páginas que você visita e o conteúdo de seus e-mails, postagens e mensagens, utilizando o protocolo HTTP em vez do HTTPS são de pouca importância para um oponente interceptá-las e lê-las.

    O HTTPS é o nível mais básico de criptografia para sua navegação na Web e é recomendado a todos. Ele é tão básico quanto colocar o cinto de segurança ao dirigir.



    Mas há algumas coisas que o HTTPS não faz. Quando você envia um e-mail utilizando o HTTPS, o seu provedor de e-mail ainda recebe uma cópia não criptografada da sua comunicação. Os governos e os agentes de aplicação da lei podem obter um mandato para acessar esses dados. Nos Estados Unidos, a maioria dos provedores de e-mail têm uma política que informa quando essas empresas receberem uma solicitação do governo, para que cedam os dados do usuário, desde que estejam legalmente autorizados a fazê-lo. Essas políticas, porém, são estritamente voluntárias e, em muitos casos, os provedores estão legalmente impedidos de informar essas solicitações de dados aos seus usuários. Alguns provedores de e-mail, como o Google, Yahoo e Microsoft, publicam relatórios de transparência, detalhando o número de solicitações que recebem do governo sobre os dados dos usuários, quais países fazem esses pedidos e quantas vezes a empresa cedeu essas informações.



    Se o seu modelo de ameaça inclui um governo ou agentes de aplicação da lei, ou se você tem alguma outra razão para assegurar que seu provedor de e-mail não possa ceder o conteúdo de suas comunicações por e-mail a um terceiro, considere utilizar a criptografia ponto a ponto nas suas comunicações por e-mail.

    A PGP (do inglês Pretty Good Privacy, que significa uma Privacidade Muito Boa) é um padrão para a criptografia ponto a ponto do seu e-mail. Utilizada corretamente, ela oferece proteções muito fortes às suas comunicações. Para instruções detalhadas de como instalar e utilizar a criptografia PGP para o seu e-mail, consulte os guias de:

    O que a criptografia ponto a ponto não faz?

    A criptografia ponto a ponto protege apenas o conteúdo das suas comunicações e não o fato da comunicação em si. Ela não protege os seus metadados - que é todo o restante, incluindo a linha de assunto do seu e-mail ou com quem e quando você está se comunicando.



    Os metadados podem fornecer informações extremamente reveladoras sobre você, mesmo quando o conteúdo de sua comunicação permanece secreto.



    Os metadados das suas chamadas telefônicas podem fornecer algumas informações muito íntimas e confidenciais. Por exemplo:

    • Eles sabem que você ligou para um serviço de sexo por telefone às 2h24 e falou durante 18 minutos. Eles só não sabem o foi dito por você.
    • Eles sabem que você telefonou da Ponte Golden Gate para o número de atendimento à prevenção de suicídio, mas o tema da chamada permanece em segredo.
    • Eles sabem que você falou com um serviço de testes de HIV, em seguida falou com o seu médico e depois, na mesma hora, falou com a sua seguradora de saúde; porém, eles não sabem o que foi conversado.
    • Eles sabem que você recebeu uma chamada do escritório local da NRA (em inglês National Rifle Association, que é a Associação Nacional de Rifles) enquanto estava tendo uma campanha contra a legislação de armas e, a seguir, ligou imediatamente para os seus senadores e representantes do Congresso, mas o conteúdo dessas chamadas continua sendo protegido contra a intromissão do governo.
    • Eles sabem que você telefonou para um ginecologista, falou durante meia hora e mais tarde, naquele mesmo dia, ligou para o escritório local da ONG de planejamento familiar Planned Parenthood, mas ninguém sabe sobre o que você conversou.

    Se você estiver ligando de um telefone celular, as informações da sua localização são metadados. Em 2009, o político Malte Spitz, do Partido Verde, processou a Deutsche Telekom para forçá-los a entregar seis meses de dados do telefone de Spitz, os quais ele disponibilizou para um jornal alemão. A visualização resultante mostrou um histórico detalhado dos movimentos dele.

    Proteger seus metadados requer que utilize outras ferramentas, como o Tor, ao mesmo tempo que usa a criptografia ponto a ponto.



    Para se ter um exemplo de como o Tor e o HTTPS trabalham em conjunto para proteger o conteúdo de suas comunicações e de seus metadados de uma variedade de potenciais invasores, leia esta explicação.

    Última revisão: 
    12-01-2017
  • Mantendo seus dados seguros

    Um dos maiores desafios em defender os seus dados de quem os possa estar querendo é a quantidade enorme de informações que você armazena ou transporta, e a facilidade com que elas podem ser tomadas de você. Muitos de nós temos históricos inteiros de nossos contatos, comunicações, e documentos atuais em laptops, ou mesmo nos telefones celulares. Estes dados podem conter dezenas, ou até milhares de informações confidenciais de pessoas. Um telefone ou um laptop pode ser roubado ou copiado em segundos.

    Os Estados Unidos estão entre os muitos países que confiscam e copiam dados nas fronteiras. Seus dados podem ser pegos em bloqueios de estrada, nas ruas ou em um assalto à sua residência.

    Da mesma forma que você pode manter suas comunicações mais seguras com a criptografia, também pode dificultar para aqueles que roubam fisicamente seus dados, o desbloqueio de seus dados sigilosos. Os computadores e os telefones móveis podem ser bloqueados com senhas, número do PIN ou gestos, mas esses bloqueios não ajudam a proteger os dados se o dispositivo lhe for subtraído. É relativamente simples contornar esses bloqueios, porque os seus dados são armazenados de uma forma facilmente legível dentro do dispositivo. Tudo que um invasor precisa fazer é acessar diretamente o armazenamento, e os dados podem ser copiados ou examinados sem precisar saber sua senha.

    Se você utilizar criptografia, o oponente não apenas precisará do seu dispositivo, mas também da sua senha para decodificar os dados criptografados - não há nenhum atalho.

    É mais fácil e seguro criptografar todos os seus dados, e não apenas algumas pastas. A maioria dos computadores e smartphones oferecem como uma opção a criptografia de disco completo. O Android a oferece nas suas configurações de "Segurança", os dispositivos da Apple, como o iPhone e o iPad, a descrevem como "Proteção de Dados" e é ativada se você definir um código de acesso. Em computadores que executam o Windows Pro, ela é conhecida como "BitLocker".

    Código do "BitLocker" é fechado e proprietário, o que significa que é difícil para os analistas externos para saber exatamente o quão seguro ele é. Usando "BitLocker" requer que você confia Microsoft fornece um sistema de armazenamento seguro sem vulnerabilidades ocultas. Por outro lado, se você já estiver usando o Windows, você já está confiando Microsoft na mesma medida. Se você está preocupado com a vigilância do tipo de atacantes que podem saber de ou beneficiar de uma porta dos fundos no Windows ou o "BitLocker", você pode querer considerar um sistema operacional de fonte aberta alternativa, como GNU / Linux ou BSD, especialmente uma versão que tem sido endurecido contra ataques de segurança, tais Tails ou Qubes OS.

    A Apple oferece, incluído no MacOS, um recurso de criptografia total do disco rígido chamado FileVault. Já nas distribuições Linux, a possibilidade de criptografar todo o disco é oferecida no momento em que você configura seu sistema pela primeira vez. Em relação ao Windows, no momento da atualização deste guia não há, que nós possamos recomendar, nenhuma ferramenta de criptografia total do disco que não inclua o BitLocker.

    Seja como for que o seu dispositivo a nomeie, a criptografia é apenas tão boa quanto a sua senha. Se seu invasor está de posse do seu dispositivo, ele tem todo o tempo do mundo para tentar novas senhas. Um software forense pode tentar milhões de senhas por segundo. Isso significa que é pouco provável que um PIN de quatro números proteja seus dados por muito tempo em tudo, e até mesmo uma senha longa pode apenas retardar o seu invasor. Nestas condições, uma senha realmente forte deve ter mais de quinze caracteres.

    Mas sendo realista, a maioria de nós não irá memorizar e digitar tais frases-chaves em nossos telefones ou dispositivos móveis. Desse modo, enquanto a criptografia pode ser útil para evitar o acesso casual, você deve preservar os dados que realmente são confidenciais, mantendo-os ocultos do acesso físico de invasores ou isolados à distância em uma máquina muito mais segura.

    Crie uma máquina segura

    Manter um ambiente seguro pode ser um trabalho árduo. No melhor dos casos, você tem que mudar senhas, hábitos e talvez o software que você usa em seu computador ou dispositivo principal. No pior dos casos, você tem que pensar constantemente se está deixando vazar informações confidenciais ou utilizando práticas inseguras. Mesmo quando você conhece os problemas, algumas soluções podem estar fora do seu alcance. Outras pessoas podem solicitar que continue as práticas de segurança digitais inseguras, mesmo depois de você ter explicado os perigos. Por exemplo, seus colegas de trabalho podem querer que você continue a abrir anexos de e-mail nos próprios e-mails, mesmo sabendo que seus atacantes poderiam fingir ser um deles e enviar-lhe malwares. Ou você pode estar preocupado que o seu principal computador já esteja comprometido.

    Uma estratégia a considerar é isolar os dados e as comunicações valiosas em um computador mais seguro. Utilize essa máquina apenas ocasionalmente e, quando o fizer, tome muito mais cuidado com suas ações. Se precisar abrir anexos, ou utilizar softwares inseguros, faça-o em outra máquina.

    Se estiver configurando uma máquina segura, que medidas adicionais você pode tomar para torná-la mais segura?

    Certamente, você pode manter o dispositivo em um local fisicamente mais seguro: em algum lugar onde você possa dizer se ele foi adulterado, como em um armário fechado.

    Você pode instalar um sistema operacional voltado para a privacidade e a segurança como o Tails. Você pode não ser apto a (ou querer) utilizar um sistema operacional de código aberto em seu trabalho todos os dias, mas se só precisa armazenar, editar e escrever e-mails confidenciais ou mensagens instantâneas a partir deste dispositivo seguro, o Tails funcionará bem, e tem configurações de alta segurança por padrão.

    Um computador extra e seguro pode ser uma opção não tão cara quanto você pensa. Um computador que raramente é utilizado, e apenas executa alguns programas, não precisa ser particularmente rápido ou novo. Você pode comprar um netbook antigo por um preço bem inferior ao preço de um laptop moderno ou de um telefone. Máquinas antigas têm também a vantagem de que os softwares seguros como o Tails venham a ser mais susceptíveis de funcionar neles do que em modelos mais recentes.

    Você pode utilizar a máquina segura para manter a cópia primária dos dados confidenciais. Uma máquina segura pode ser valiosa ao isolar os dados confidenciais dessa maneira, mas você também deve considerar alguns riscos adicionais que ela venha a criar. Se você concentrar sua informação mais preciosa neste computador, pode torná-lo mais que um alvo óbvio. Mantenha-o bem escondido, não converse sobre a sua localização, e não deixe de criptografar o disco rígido do computador com uma senha forte, de modo que se ele for roubado, os dados continuarão a ser ilegíveis sem o cofre de senhas.

    Outro risco é o perigo que, destruindo esta máquina, destruirá a sua única cópia dos dados.

    Se o seu oponente se beneficia caso você perca todos os seus dados, não mantenha seus dados apenas em um lugar, não importa o quão seguro ele seja. Criptografe uma cópia e mantenha-a em outro lugar.

    O mais alto nível de proteção contra ataques via Internet ou contra a vigilância on-line, não surpreendentemente, é estar desconectado da Internet. Você pode garantir que o seu computador seguro nunca se conecte a uma rede local ou Wi-Fi, e apenas copiar arquivos para a máquina utilizando mídias físicas, como DVDs ou drives USB. Em segurança de redes, isto é conhecido como ter um "vácuo" (do inglês “air gap”) entre o computador e o resto do mundo. Muitas pessoas não chegarão a ir tão longe assim, mas isso pode ser uma opção se você quiser manter os dados que são raramente acessados sem perdê-los. Exemplo disso, pode ser uma chave de criptografia que utilize apenas para mensagens importantes (como "Minhas outras chaves de criptografia estão inseguras no momento"), uma lista de senhas ou instruções para outras pessoas encontrarem, caso você fique indisponível, ou uma cópia de backup que lhe foi confiada contendo os dados confidenciais de outra pessoa. Na maioria desses casos, você pode querer considerar ter apenas um dispositivo de armazenamento escondido, em vez de ter um computador completo. Uma chave USB criptografada mantida de forma segura escondida, provavelmente é tão útil (ou tão inútil) quanto um computador completo desconectado da Internet.

    Se você utilizar o dispositivo seguro para se conectar à Internet, pode optar por não fazer login ou utilizar suas contas habituais. Crie contas de e-mail ou da web separadas das que você utiliza para as comunicações a partir deste dispositivo, e utilize o Tor para manter o seu endereço IP oculto dos referidos serviços. Se alguém está escolhendo atacar especificamente a sua identidade com um malware, ou só está interceptando suas comunicações, separe suas contas e o Tor poderá ajudá-lo a quebrar o link entre a sua identidade e essa máquina em particular.

    Uma variação sobre a ideia de uma máquina segura é ter uma máquina insegura: um dispositivo que você só utiliza quando está indo a lugares perigosos ou precisa tentar uma operação arriscada. Muitos jornalistas e ativistas, por exemplo, levam consigo um netbook mínimo quando viajam. Este computador não contém nenhum de seus documentos, nem informações de contatos habituais ou de e-mails, e por isso nem chega a ser uma perda se ele for confiscado ou digitalizado. Você pode aplicar a mesma estratégia com telefones móveis. Se você costuma utilizar um smartphone, considere comprar um telefone descartável barato ou um “telefone para queimar” (do inglês “burner phone”) quando for viajar ou para comunicações específicas.

    Última revisão: 
    01-12-2016
  • Itens a considerar ao cruzar a fronteira dos EUA

    Está planejando cruzar em breve a fronteira para os Estados Unidos? Você sabia que o governo norte-americano, como parte do seu poder tradicional para controlar a entrada de mercadorias no país, pode revistar, sem ter um mandado, os viajantes na fronteira, inclusive quando eles chegam aos aeroportos internacionais? (Observe que, embora existam praticamente as mesmas justificativas legais para revistar as pessoas que deixam os EUA e que estas revistas são possíveis, rotineiramente os viajantes não são revistados ao saírem do país.)

    Para um tratamento mais detalhado sobre este assunto, consulte o guia da EFF, Defesa de Privacidade nas Fronteiras dos Estados Unidos.

    Enquanto isso, aqui estão algumas coisas para ter em mente ao atravessar a fronteira dos EUA:

    • Você fez backup dos seus dispositivos? Isto pode ajudá-lo, caso um ou mais de seus dispositivos sejam confiscados. Você pode utilizar um serviço de backup on-line ou um disco rígido externo, apesar de não ser recomendado que carregue o seu laptop e o seu disco rígido de backup juntos.

    • Você precisa carregar tantos dados assim? Sugerimos que minimize a quantidade de dados que carrega ao atravessar a fronteira. Considere viajar com um laptop “limpo” e observe que o simples arrastar de arquivos para a sua lixeira não os excluirá totalmente. Certifique-se de excluir seus arquivos de modo seguro.

    • Os seus dispositivos estão criptografados? Recomendamos que faça a criptografia de disco completo em seus dispositivos (laptop, telefone celular, etc.) e escolha frases-chaves seguras. Se um agente da fronteira solicitar a sua frase-chave, você não precisa obedecê-lo. Apenas um juiz pode pressioná-lo a revelar esta informação. Entretanto, a recusa pode trazer algumas consequências, tais como: para o não cidadão, ser negada a entrada no país; já para o cidadão, até a polícia da fronteira decidir o que fará, pode ocorrer a detenção, o que inclui a possibilidade do confisco do seu computador, telefone, câmera, pendrive USB, etc.

    • Ao entrar em um novo país, considere comprar um telefone provisório e transferir o seu SIM card para ele ou comprar um novo número. Este aparelho conterá muito menos dados do que o seu telefone normal.

    • Quando estiver com os guardas da fronteira, lembre-se destas três coisas: seja cortês, não minta e não interfira fisicamente na revista de um agente.

    Última revisão: 
    18-10-2014
  • Escolhendo a VPN (rede virtual privada) mais adequada para você

    O que é uma VPN? A VPN é o acrônimo de “Virtual Private Network”, em inglês, que em português significa “rede virtual privada”. Ela permite que os computadores enviem e recebam dados por meio das redes públicas ou compartilhadas, como se estivesse conectada a uma rede privada - beneficiando-se das funcionalidades, da segurança e das políticas administrativas dela.

    Para o que é bom uma VPN?

    Você pode utilizar uma VPN para se conectar à intranet corporativa no seu escritório enquanto estiver em viagem externa, em sua casa ou em qualquer outro horário que esteja fora do seu local de trabalho.



    Você também pode utilizar uma VPN comercial para criptografar seus dados enquanto eles se deslocam por uma rede pública, como o Wi-Fi em um cibercafé ou em um hotel.



    Você pode utilizar uma VPN comercial para driblar a censura na Internet, em uma rede que bloqueia determinados sites ou serviços. Por exemplo, alguns usuários chineses utilizam VPNs comerciais para acessar sites bloqueados pelo sistema de controle chinês, chamado de a “Grande Muralha de Fogo da China"" (do inglês “Great Firewall of China”).

    Você pode se conectar também à sua rede doméstica, executando seu próprio serviço de VPN, utilizando um software de código aberto, como o OpenVPN.

    O que não faz uma VPN?

    Uma VPN protege o seu tráfego de Internet da vigilância nas redes públicas, mas não protege seus dados das pessoas na rede privada, a qual você está utilizando. Caso esteja usando uma VPN corporativa, então quem quer que esteja ocupando a rede corporativa verá o seu tráfego. Se estiver utilizando uma VPN comercial, quem quer que esteja usando o serviço poderá ver o seu tráfego.

    Um serviço de VPN de má reputação pode fazer isso deliberadamente, para recolher informações pessoais ou outros dados valiosos.



    O administrador da rede VPN corporativa ou comercial pode estar sujeito também às pressões de governos ou aos agentes de aplicação da lei para fornecer informações sobre os dados que você enviou por meio da rede. Você deve rever as políticas de privacidade do seu provedor de VPN sobre as circunstâncias que ele pode fornecer seus dados aos governos ou agentes de aplicação da lei.



    Você deve tomar nota também dos países que o seu provedor de VPN faz negócios. Ele estará sujeito às leis dessas nações, as quais podem incluir tanto as solicitações do governo às suas informações como as de outros países com os quais esse provedor mantém um tratado de assistência jurídica. Em alguns casos, as leis permitirão solicitações, sem avisá-lo ou dar oportunidade para que conteste tal pedido.



    A maioria das VPNs requer que você pague utilizando um cartão de crédito, o qual contém informações sobre sua pessoa, as quais talvez não queira divulgar para o seu provedor da VPN. Se quiser manter registrado o número do seu cartão de crédito no seu provedor de VPN comercial, utilize um provedor que aceite Bitcoins ou use números de cartões de crédito provisórios ou descartáveis. Também observe que quando utiliza o serviço do provedor de VPN, ele ainda pode coletar o seu endereço de IP, o qual pode ser utilizado para identificá-lo, mesmo se você usar um método de pagamento alternativo. Caso queira manter seu endereço IP oculto de seu provedor de VPN, utilize o Tor ao conectar-se à sua VPN.

    Clique aqui para obter as informações sobre serviços específicos de VPN.

    Nós da EFF não podemos confirmar essa pontuação dos VPNs. Algumas VPNs com políticas de privacidade exemplares poderiam perfeitamenteser mantidas por pessoas desonestas. Não utilize uma VPN na qual você não confie.

    Última revisão: 
    17-10-2014
Next:
JavaScript license information