Surveillance
Self-Defense

Juventude LGBT

  • Juventude LGBT

    Dicas e ferramentas para ajudá-lo a acessar os recursos LGBT com mais segurança, navegar nas redes sociais e evitar bisbilhoteiros

    Se você precisa de apoio adequado e acesso aos recursos LGBT, este guia ensina como explorar de maneira segura esses recursos on-line para ajudar a evitar uma exposição acidental com seus colegas, familiares ou anunciantes on-line como resultado de rastreamento on-line ou bisbilhoteiros.

  • Escolhendo suas ferramentas

    Com tantas empresas e sites oferecendo ferramentas voltadas a ajudar as pessoas a melhorar sua segurança digital, como você escolhe aquelas que são adequadas para você?

    Nós não temos uma lista infalível de ferramentas para te defender (ainda que você possa ver algumas das opções mais comumente utilizadas nos nossos Guias de Ferramentas [Tool Guides]). Mas se você tem uma boa ideia do que você está tentando proteger – e de quem você está tentando proteger –, este guia pode te ajudar a escolher as ferramentas apropriadas a partir de algumas orientações básicas.

    Lembre-se: a segurança não é determinada pelas ferramentas que você usa ou pelo software que você baixa. Ela começa por entender as ameaças específicas que você enfrenta e por como você pode combatê-las. Para mais informações, veja o nosso guia Avaliando seus riscos [Assessing your risks].

    A segurança é um processo, não uma compra

    Antes de trocar o software que você usa ou antes de comprar novas ferramentas, a primeira coisa a ter em mente é o fato de que nenhuma ferramenta ou software específico vai fornecer proteção absoluta ou assegurar que você vai estar protegido contra vigilância e monitoramento em todas as circunstâncias. Por essa razão, é importante pensar sobre suas práticas de segurança digital de maneira holística. Por exemplo: se você usa ferramentas seguras no seu telefone, mas não coloca senha no seu computador, é bem provável que as ferramentas do seu telefone não te ajudem tanto. Se alguém quiser descobrir informações sobre você, a pessoa vai escolher o caminho mais fácil para obtê-las – e não o mais difícil.

    Em segundo lugar, é impossível se proteger de todo e qualquer tipo de truque ou invasor, então você deve se concentrar em determinar quais são as pessoas que podem querer seus dados, o que elas podem querer fazer com eles e como elas poderão ter a acesso às informações. Se a maior ameaça que você enfrenta é o monitoramento físico feito por um investigador privado e sem acesso às ferramentas de vigilância da internet, você não precisa comprar um sistema caro de telefonia criptografada que diz ser “à prova da Agência Nacional de Segurança”. Por outro lado, se você estiver enfrentando um governo que prende dissidentes com frequência justamente porque eles usam ferramentas de encriptação, pode fazer mais sentido usar táticas mais simples – como estabelecer um conjunto de códigos que soem inofensivos para transmitir mensagens – ao invés de arriscar deixar provas de que você usa um software de criptografia no seu laptop. Pensar com antecedência num conjunto de possíveis ataques contra os quais você quer se proteger é chamado de modelagem de ameaça.

    Tendo tudo isto em conta, estas são algumas perguntas que você pode fazer antes de baixar, comprar ou usar uma ferramenta específica.

    Ela é transparente?

    Há uma forte crença entre os pesquisadores da segurança de que abertura e transparência levam a ferramentas mais seguras.

    Grande parte dos softwares utilizados e recomendados pela comunidade da segurança digital é de código aberto. Isto significa que o código que define como o software funciona está disponível publicamente para que outros possam examinar, modificar e compartilhar. Ao serem transparentes em relação ao funcionamento de seus programas, os criadores destas ferramentas convidam outras pessoas a procurar por falhas de segurança e a ajudar a melhorar o programa.

    Um software de código aberto é uma oportunidade para uma segurança melhor, mas não a garante. A vantagem do código aberto está, em parte, no fato de que existe uma comunidade de tecnólogos que estão de fato verificando o código, o que pode ser difícil de conseguir em projetos pequenos (e mesmo em projetos complexos e mais populares).

    Quando você estiver avaliando uma ferramenta, veja se o código-fonte está disponível e se ele tem uma auditoria independente de segurança para confirmar a qualidade da proteção oferecida. Uma explicação técnica detalhada sobre seu funcionamento, disponível para que outros experts possam inspecionar, é o mínimo que um software ou hardware devem oferecer.

    Seus criadores são claros a respeito das vantagens e desvantagens?

    Nenhum software ou hardware é completamente seguro. Procure por ferramentas feitas por criadores ou vendedores que sejam honestos a respeito das limitações de seus produtos.

    Declarações genéricas que afirmam que o código é de “nível militar” ou “à prova da Agência Nacional de Segurança” são alertas para desconfiar. Estas declarações indicam que os criadores têm uma confiança excessiva em seus produtos ou que não estão dispostos a levar suas possíveis falhas em consideração.

    Como invasores estão sempre tentando descobrir novas formas de quebrar a segurança das ferramentas, os softwares e hardwares precisam ser atualizados para corrigir vulnerabilidades. Pode ser um problema sério se os criadores do programa não estiverem dispostos a fazer isso, seja porque eles têm medo da má propaganda ou porque eles não montaram a infraestrutura para fornecer essas soluções. Procure por criadores que estejam dispostos a fornecer essas atualizações e que sejam honestos e claros sobre as razões porque eles estão fazendo isso.

    Um bom indicador para saber como os desenvolvedores de ferramentas vão se comportar no futuro é seu histórico de atividades. Se o site da ferramenta lista problemas anteriores e disponibiliza links para atualizações e informações regulares – tal como, especificamente, quanto tempo faz desde a última atualização do software –, você pode ter confiança de que eles provavelmente vão continuar a fornecer este serviço no futuro.

    O que acontece se os criadores ficarem comprometidos?

    Quando desenvolvedores de ferramentas de segurança criam um software ou hardware, eles (assim como você) precisam ter um modelo de ameaça claro. Os melhores criadores descrevem explicitamente de qual tipo de adversários eles podem te proteger.

    Mas tem um invasor específico a respeito do qual muitos fabricantes não querem pensar: eles mesmos! E se eles se virem comprometidos ou decidirem atacar seus próprios usuários? Por exemplo: um tribunal ou um governo podem obrigar uma empresa a fornecer dados pessoais ou a criar um backdoor que retira todas as proteções oferecidas pela ferramenta. Por isso, leve em conta a jurisdição – ou as jurisdições – onde os criadores têm sede. Se você estiver preocupado em se proteger contra o governo do Irã, por exemplo, uma empresa com sede nos Estados Unidos poderá se contrapor às ordens judiciais iranianas, ainda que tenha que cumprir as ordens judiciais americanas.

    Ainda que um criador consiga se opor à pressão de um governo, um atacante pode tentar invadir os próprios sistemas do desenvolvedor da ferramenta para atacar seus clientes.

    As ferramentas mais resilientes são aquelas que levam em conta que este tipo de ataque pode acontecer e que são desenhadas para se defender contra isto. Procure por declarações que assegurem que o criador não pode ter acesso a dados privados ao invés de afirmações que dizem que o criador não irá acessá-los. Procure por instituições com fama de se recusar a cumprir decisões judiciais que exigem o fornecimento de dados pessoais de seus usuários.

    Ela passou por recall ou foi criticada online?

    Empresas vendendo seus produtos e entusiastas fazendo propaganda de seus softwares mais recentes podem ser enganados, podem ser enganosos ou podem até mesmo mentir descaradamente. Um produto que originariamente era seguro pode ter falhas terríveis no futuro. Certifique-se de que você está sempre bem informado sobre as últimas notícias a respeito das ferramentas que você usa.

    Manter-se atualizado acerca de todas as novidades de uma ferramenta é trabalho demais para uma pessoa só. Se você tem colegas que usam um produto ou serviço específico, trabalhe em conjunto com eles para se manter informado.

    Qual telefone eu deveria comprar? E qual computador?

    Instrutores de segurança recebem as seguintes perguntas com frequência: “Eu deveria comprar um celular Android ou um iPhone?”, “Eu deveria usar um PC ou um Mac?” ou “Qual sistema operacional eu deveria usar?” Não existem respostas fáceis para essas perguntas. A segurança relativa de softwares e dispositivos está em constante mudança, na medida em que novas falhas são descobertas e bugs antigos são consertados. As empresas podem competir entre si para fornecer melhores mecanismos de segurança para seus usuários ou todas elas podem estar sob pressão dos governos para enfraquecer essa segurança.

    No entanto, algumas destas recomendações gerais são sempre verdadeiras. Quando você compra um dispositivo ou um sistema operacional, mantenha-o sempre em dia com as atualizações de software. As atualizações geralmente consertam problemas de segurança do código antigo que poderiam ser explorados por invasores. É importante notar que alguns telefones e sistemas operacionais mais antigos podem não ser mais suportados, mesmo no caso de atualizações de segurança. Em particular, a Microsoft deixou claro que as versões do Windows Vista, XP e anteriores não vão receber correções mesmo quando se tratar de problemas sérios de segurança. Isto significa que, se você usa alguma dessas versões, você não pode esperar que elas estejam protegidas contra invasores. A mesma coisa vale para o OS X anterior a 10.11 ou El Capitan.

    Agora que você já levou em consideração as ameaças que enfrenta e que você já sabe o que procurar numa ferramenta de segurança digital, você pode ter mais confiança ao escolher as ferramentas mais apropriadas à sua situação específica.

    Produtos mencionados em ‘Autodefesa contra vigilância’ [Surveillance Self-Defense]

    Nós procuramos assegurar que os softwares e hardwares mencionados neste guia atendam aos critérios listados acima. Nós fizemos um esforço de boa fé para listar apenas produtos que:

    • têm uma base sólida no que diz respeito ao que nós sabemos sobre segurança digital atualmente,
    • em geral são transparentes sobre seu funcionamento (e sobre suas falhas),
    • têm defesas contra a possibilidade de que os próprios criadores se vejam comprometidos e
    • têm manutenção constante, com uma grande base de usuários com bons conhecimentos de tecnologia.

    Nós acreditamos que, no momento em que escrevemos este guia, esses produtos têm uma ampla audiência que está examinando os softwares e hardwares, procurando encontrar falhas, e, caso estas fragilidades sejam encontradas, essa audiência traria rapidamente suas preocupações a público. Por favor, compreenda que nós não temos recursos para examinar ou para dar garantias independentes sobre a segurança de cada um deles. Nós não estamos endossando esses produtos e não podemos garantir que eles sejam completamente seguros.

    Última revisão: 
    29-10-2018
  • Como se proteger nas redes sociais

    As redes sociais estão entre os sites mais populares na internet. O Facebook tem mais de um bilhão de usuários e o Instagram e o Twitter têm centenas de milhões de usuários cada um. De maneira geral, as redes sociais foram criadas a partir da ideia do compartilhamento de publicações, fotos e informação pessoal. Agora, elas também se tornaram fóruns de organização e discussão. Qualquer uma destas atividades pode ter por base a privacidade e o uso de pseudônimos.

    Assim, é importante levar as seguintes questões em consideração quando utilizamos redes sociais: Como posso interagir com estes sites protegendo ao mesmo tempo em que me protejo deles? Minha privacidade básica? Minha identidade? Meus contatos e associações? Que informações quero manter privadas e quem será excluído do acesso a elas?

    Dependendo das circunstâncias, pode ser que você precise se proteger da própria rede social, de outros usuários ou de ambos.

    Dicas para levar em conta quando criar uma conta em redes sociais

    • Você quer usar seu nome verdadeiro? Algumas redes sociais têm as assim chamadas “políticas de nome verdadeiro”, mas têm-se tornado menos rigorosas com o passar do tempo. Se você não quiser usar seu nome verdadeiro quando se registra numa rede social, então não o faça.
    • Ao se registrar, não dê mais informações do que é necessário. Se você está preocupado em esconder sua identidade, use um endereço de e-mail diferente e evite informar seu número de telefone. Estas duas informações podem identificá-lo invidualmente e podem associá-lo a diversas outras contas.
    • Seja cuidadoso quando escolher uma foto ou imagem de perfil. Além dos metadados da imagem, que podem incluir o local e a hora em que a foto foi tirada, a própria imagem pode fornecer informações. Antes de escolher a foto de perfil, pergunte a si mesmo: foi tirada na frente de sua casa ou do seu local de trabalho? Há algum endereço ou placas de trânsito visível na imagem, que possa permitir identificação?
    • Saiba que seu endereço de IP pode estar logado no momento em que você se registra.
    • Escolha uma senha forte e, se possível, ative autenticação de dois fatores.
    • Esteja atento às questões de segurança para a recuperação da senha, tais como “Em que cidade você nasceu?” ou “Qual o nome do seu animal de estimação?”, pois estas respostas podem ser extraídas dos detalhes disponibilizados em seus perfis de redes sociais. É recomendável dar respostas falsas às questões de segurança. Caso você escolha dar respostas falsas para ter ainda mais segurança, uma boa maneira de se lembrar das respostas é anotar suas respostas e armazená-las num gerenciador de senhas.

    Verifique a política de privacidade da rede social

    As informações armazenadas por terceiros estão sujeitas às suas próprias políticas e podem ser utilizadas para propósitos comerciais ou compartilhadas com outras empresas, tais como empresas de marketing. Ainda que ler as políticas de privacidade seja uma tarefa praticamente impossível, é importante que você leia as seções que descrevem como os dados são usados, quando são compartilhados com terceiros e como o serviço responde a demandas de autoridades legais.

    Redes sociais são, de maneira geral, empresas com fins lucrativos e frequentemente recolhem informações sensíveis para além daquelas que você forneceu explicitamente – onde você está, a quais interesses e anúncios você reage, que outros sites você visita (por exemplo, por meio do botão “curtir”). Considere bloquear cookies de terceiros e usar as extensões de bloqueio do rastreamento do navegador para garantir que as informações não estão sendo passivamente transmitidas a terceiros.

    Altere as configurações de privacidade

    Especificamente, altere as configurações padrão. Por exemplo: você quer compartilhar as suas postagens com o público ou apenas com um grupo específico de pessoas? As pessoas podem encontrá-lo usando seu endereço de e-mail ou seu número de telefone? Você quer que a sua localização seja compartilhada automaticamente?

    Ainda que cada rede social tenha suas próprias configurações únicas, é possível perceber alguns padrões.

    • Configurações de privacidade tendem a responder à questão: “Quem pode ver o quê?” Nesta seção, você provavelmente vai encontrar configurações relacionadas a pré-determinações da audiência (“público”, “amigos de amigos”, “apenas amigos apenas” etc. ), localização, fotos, informações de contato, tagging e se e como as pessoas podem encontrar seu perfil nas buscas.
    • Configurações de segurança provavelmente estarão mais relacionadas a bloquear ou silenciar outras contas e a se e como você quer ser notificado caso haja uma tentativa não autorizada de entrar na sua conta. Às vezes você vai encontrar configurações de login nessa seção – tais como a autenticação de dois fatores e um e-mail ou número de telefone para back-up. Outras vezes, essas configurações de login poderão ser encontradas nas seções de configuração da conta ou de login, junto com as opções para alterar sua senha.

    Aproveite os check-upsde privacidade e segurança. O Facebook, o Google e outros sites grandes oferecem dispositivos de “check-up de segurança”. Estes guias, formatados no estilo de tutoriais, oferecem orientação, explicando as configurações mais comuns de privacidade e segurança ao usuário com uma linguagem simples. São uma excelente funcionalidade aos usuários.

    Por fim, lembre-se que as configurações de privacidade estão sujeitas a mudanças. Por vezes, estas configurações se tornam melhores e mais detalhadas; por vezes, não. Preste atenção a estas mudanças para ver se qualquer informação que antes era privada passa a ser passível de ser compartilhada publicamente. Também fique atento a quaisquer configurações adicionais que lhe permitam ter mais controle sobre sua privacidade.

    Mantenha perfis separados

    Para muitos de nós, manter separadas as identidades de contas diferentes é fundamental. Isto pode se aplicar a sites de namoro e paquera, a perfis profissionais, a contas anônimas e a contas em várias comunidades.

    Números de telefone e fotos são os dois tipos de infomação a que se deve prestar mais atenção. Em particular, fotos podem sorrateiramente vincular contas que você pretendia que ficassem separadas. Isto é muito comum entre sites de namoro e paquera e perfis profissionais. Se você quer manter seu anonimato ou manter uma certa identidade separada de outras, use uma foto ou imagem que você não usa em qualquer outro lugar online. Para verificar, você pode usar a funcionalidade “reverse image search” [“busca reversa de imagens”] do Google. Outras variáveis que podem vincular as identidades são seu nome (ou mesmo apelidos) e seu e-mail. Se descobrir algum desses nomes num lugar onde não deveriam estar, não entre em pânico ou fique assustado. Em vez disso, pensa em pequenos passos: em vez de tentar fazer com que toda a informação sobre você desapareça da internet, foque em informações específicas, onde elas estão e o que você pode fazer em relação a elas.

    Familiarize-se com as configurações de grupos no Facebook

    Grupos de Facebook  são, cada vez mais, espaços para ação social e para outras atividades potencialmente sensíveis. As configurações dos grupos podem ser confusas. Informe-se mais sobre as configurações dos grupos e, se os participantes estão interessados em aprender mais sobre as configurações de grupo, trabalhe em conjunto com eles para manter seus grupos de Facebook privados e seguros.

    Privacidade é um esporte em equipe

    Não mude apenas as suas próprias configurações e o seu próprio comportamento nas redes sociais. Dê um passo além e converse com seus amigos sobre os dados potencialmente sensíveis que cada um revela sobre demais online. Mesmo que você não tenha uma conta numa rede social ou mesmo que remova o seu tag das postagens, ainda assim seus amigos podem identificá-lo, indicar sua localização e expor as conexões que têm com você, mesmo que não tenham a intenção de fazê-lo. Proteger a privacidade não significa apenas termos cuidado conosco, mas também cuidarmos de todos à nossa volta.

    Última revisão: 
    30-10-2018
  • Avaliando Seus Riscos

    Tentar proteger todos os seus dados de todas as pessoas e todo o tempo é impraticável e extremamente cansativo. Mas não se preocupe! Segurança é um processo, e através de planejamento cuidadoso você pode avaliar o que é o ideal para você. Segurança não se trata das ferramentas que você utiliza ou dos programas que baixa, ela começa com a compreensão de quais são as ameaças específicas que você enfrenta e como você pode combatê-las.

    Em segurança da informação, uma ameaça é um evento potencial que pode tornar menos efetivos os esforços que você faz para defender seus dados. Você pode combater as ameaças que enfrenta ao entender que coisas precisa proteger, bem como de quem precisa protegê-las. Este processo é chamado de modelagem de ameaças.

    Este guia o ensinará como modelar ameaças, ou como avaliar os riscos aos quais suas informações digitais estão expostos e determinar quais as melhores soluções para você.

    Como é o processo de modelagem de ameaças? Vamos dizer que você deseja manter sua casa e seus bens seguros... Aqui estão algumas perguntas que você pode querer se fazer:

    O que eu tenho dentro da minha casa merece ser protegido?

    • Ativos podem incluir jóias, eletrônicos, documentos financeiros, passaportes ou fotos.

    De quem eu quero proteger estes ativos?

    • Adversários podem incluir: ladrões, colegas de quarto e visitas.

    O quão provável é que eu precise proteger estes ativos?

    • Minha vizinhança tem um histórico de roubos? O quão confiável são meus colegas de quarto/visitas? Quais são os recursos de meus adversários? Que riscos eu devo considerar?

    O quão graves serão as consequências caso eu falhe?

    • Eu tenho alguma coisa na minha casa que eu não tenha como repor? Eu tenho tempo ou dinheiro para repor ativos? Eu tenho um seguro que cubra ativos roubados da minha casa?

    Até onde eu estou disposto a ir para me prevenir destas consequências?

    • Eu estou disposto a comprar um cofre para documentos importantes? Eu tenho recursos para comprar uma fechadura de alta qualidade? Tenho tempo para alugar um cofre no meu banco e manter meus objetos de valor neste cofre?

    Uma vez que você tenha se feito estas perguntas, você estará em condições de avaliar que medidas deve tomar. Se suas posses são valiosas mas o risco de um roubo à sua casa é baixo, então talvez você decida não investir muito dinheiro em uma fechadura. Por outro lado, se o risco for alto você desejará comprar a melhor fechadura do mercado e ainda instalar um sistema de segurança.

    Construir um modelo de ameaça o ajudará a entender as ameaças específicas que você corre e a avaliar seus ativos, seus adversários e os recursos que estes adversários possuem, bem como a probabilidade de que tais riscos se tornem realidade.

    O que é modelagem de ameaças e por onde eu começo?

    A modelagem de ameaças o ajuda a identificar ameaças às coisas que você dá valor e determinar de quem precisa protegê-las. Quando estiver construindo um modelo de ameaça, responda a estas cinco perguntas:

    1. Que coisas eu quero proteger?
    2. De quem eu quero protegê-las?
    3. O quão graves serão as consequências caso eu falhe?
    4. O quão provável é que eu precise protegê-las?
    5. Até onde eu estou disposto a ir para tentar evitar potenciais consequências?

    Vamos avaliar uma a uma estas perguntas.

    Que coisas eu quero proteger?

    Um “ativo” é algo ao qual você dá valor e que deseja proteger. No contexto de segurança digital, um ativo é normalmente algum tipo de informação. Por exemplo: seus e-mails, lista de contatos, mensagens instantâneas e arquivos são todos possíveis ativos. Seus dispositivos também podem ser ativos.

    Faça uma lista de seus ativos: dados que você mantém, onde eles são mantidos, quem tem acesso a eles, e o que impede que outros os acessem.

    De quem eu quero protegê-las?

    Para responder a esta pergunta, é importante identificar quem pode ter você ou suas informações como alvo. Uma pessoa ou entidade que represente uma ameaça aos seus ativos é um “adversário”. Exemplos de potenciais adversários são seu chefe, seu ex-cônjuge ou ex-namorado(a), seu concorrente, seu governo, ou um hacker numa rede pública.

    Faça uma lista de seus adversários, ou daqueles que possam ter interesse em ter acesso aos seus dados. Sua lista pode incluir pessoas, agências governamentais ou empresas.

    Dependendo de quem sejam seus adversários, em alguns casos esta lista pode se tornar algo que você queira destruir após terminar sua modelagem de ameaça.

    O quão graves serão as consequências caso eu falhe?

    Existem diversas formas pelas quais um adversário pode ameaçar seus dados. Por exemplo, um adversário pode ler suas comunicações pessoais enquanto tem acesso à rede, ou pode apagar ou corromper seus dados.

    Os objetivos dos adversários diferem enormemente, assim como seus ataques. Um governo tentando evitar a disseminação de um vídeo que mostra violência policial pode se satisfazer simplesmente apagando ou reduzindo a disponibilidade deste vídeo. Por outro lado, um adversário político pode querer ter acesso a conteúdos secretos e publicar este conteúdo sem que você saiba.

    A modelagem de ameaças envolve compreender o quão graves as consequências podem ser caso um adversário ataque com sucesso um de seus ativos. Para chegar a esta conclusão, você deve levar em conta os recursos dos quais seu adversário dispõe. Por exemplo, sua operadora de telefonia móvel tem acesso a todas as suas ligações e, consequentemente, a capacidade de usar estes dados contra você; um hacker numa rede Wi-Fi aberta pode acessar suas comunicações não criptografadas; já seu governo pode ter recursos ainda mais abrangentes.

    Coloque num papel o que o seu adversário pode querer fazer com seus dados privados.

    O quão provável é que eu precise protegê-las?

    Risco é a probabilidade de que uma ameaça específica contra um ativo específico efetivamente venha a se concretizar. Ele é sempre proporcional à capacidade. Apesar de sua operadora de telefonia celular ter a capacidade de acessar todos os seus dados, o risco de que ela poste seus dados online para prejudicar sua reputação é baixo.

    É importante distinguir entre ameaças e riscos. Enquanto uma ameaça é algo ruim que pode ocorrer, risco é a probabilidade de que esta ameaça seja levada a termo. Por exemplo, sempre há a ameaça de que seu prédio possa desmoronar, mas o risco de isso acontecer é bem maior em São Francisco (onde terremotos são comuns) do que em Estocolmo (onde eles não são).

    Efetuar uma análise de risco é ao mesmo tempo um processo pessoal e subjetivo: nem todas as pessoas têm as mesmas prioridades ou enxergam ameaças da mesma forma. Muitas pessoas acham certas ameaças inaceitáveis, independente do risco delas ocorrerem, porque a mera presença da ameaça, por menor que seja o risco, não compensa. Em outros casos, pessoas desprezam riscos altos porque não veem a ameaça como um problema.

    Coloque num papel quais ameaças você deseja levar a sério, e quais são tão raras ou tão sem consequências (ou difíceis de combater) que não vale à pena se preocupar.

    Até onde eu estou disposto a ir para tentar evitar potenciais consequências?

    Responder a esta pergunta requer a condução da análise de riscos. Nem todas as pessoas têm as mesmas prioridades ou enxergar as ameaças da mesma maneira.

    Por exemplo, um advogado que representa um cliente em um caso de segurança nacional estará provavelmente disposto a utilizar mais recursos para proteger as comunicações sobre o caso, como por exemplo utilizar e-mails criptografados, do que uma mãe que regularmente envia à sua filha e-mails com vídeos engraçados de gatos.

    Coloque num papel as opções disponíveis para ajudá-lo a atenuar as ameaças que você enfrenta pessoalmente. Leve em conta suas restrições de orçamento, técnicas, ou sociais.

    Modelagem de ameaças como uma prática regular

    Tenha em mente que seu modelo de ameaça pode mudar de acordo com a mudança da sua situação pessoal. Desta maneira, conduzir modelagens de ameaça frequentes é uma boa prática.

    Crie seu próprio modelo de ameaça baseado em sua situação única. Feito isso, marque em sua agenda uma data no futuro para rever este modelo de ameaça e verificar se ele ainda se enquadra na sua situação.

    Última revisão: 
    07-09-2017
  • Comunicando-se com outros

    As redes de telecomunicação e a internet tornaram a comunicação entre as pessoas mais fácil do que nunca, mas também permitiram que a vigilância se tornasse mais predominante do que jamais se viu na história da humanidade. Cada telefonema, mensagem de texto, e-mail, mensagem instantânea, ligação de voz sobre IP (VoIP), vídeo chat e mensagem de redes sociais podem ser vulneráveis a intrusos, caso não se tome medidas adicionais para proteger sua privacidade.



    Na maioria das vezes, a maneira mais segura de se comunicar com outras pessoas é pessoalmente, sem a presença de computadores ou telefones. Uma vez que isso nem sempre é possível, o melhor a ser feito é utilizar a criptografia ponto a ponto, caso precise proteger o conteúdo de suas comunicações quando se comunicar por meio de uma rede.

    Como funciona a criptografia ponto a ponto?

    Quando duas pessoas querem se comunicar de modo seguro (por exemplo, a Akiko e o Boris), elas precisam gerar individualmente chaves de criptografia. Antes da Akiko enviar uma mensagem para o Boris, ela criptografa a chave dele para que somente o Boris possa decifrá-la. Então ela envia a mensagem já criptografada pela internet. Se alguém estiver espionando a Akiko e o Boris, mesmo que tenha acesso ao serviço que ela está utilizando para enviar essa mensagem (como a sua conta de e-mail), esta pessoa apenas verá os dados criptografados, mas não conseguirá ler a mensagem. Quando o Boris recebê-la, deve utilizar sua chave para descriptografá-la, tornando-a legível.



    A criptografia ponto a ponto requer algum sacrifício, mas é a única maneira dos usuários verificarem a segurança das suas comunicações, sem ter de confiar na plataforma que estão utilizando. Alguns serviços, como o Skype, afirmam que oferecem a criptografia ponto a ponto, mas, ao que parece, não a fazem. Para que a criptografia ponto a ponto seja segura, os usuários devem verificar se a chave que está criptografando as mensagens pertence à pessoa que eles acreditam que a criaram. Se o software de comunicação não tem essa capacidade integrada, então qualquer mensagem criptografada poderia, por exemplo, ser interceptada pelo próprio provedor de serviços, caso algum governo o obrigue a isso.

    Você pode ler o informativo Encryption Works (Funcionamento da Criptografia), da Freedom of the Press Foundation (Fundação para a Liberdade de Imprensa), para obter instruções detalhadas sobre como utilizar a criptografia ponto a ponto para proteger suas mensagens instantâneas e e-mails. Confira também os seguintes módulos da SSD:

    Chamadas de voz

    Quando você faz uma ligação por telefone fixo ou celular, sua chamada não é criptografada ponto a ponto. Se estiver utilizando um aparelho móvel, a ligação pode ser (tenuemente) criptografada entre o seu celular e as torres de telefonia. No entanto, como sua conversa viaja pela rede de transmissão, ela é vulnerável à interceptação pela sua companhia telefônica e extensivamente por todos os governos ou organizações que têm poder sobre a sua empresa de telefonia. A maneira mais fácil de garantir que você tenha a criptografia ponto a ponto nas conversas de voz é utilizar o VoIP.

    Cuidado! A maioria dos provedores de VoIP, como o Skype e o Google Hangouts, oferecem criptografia em trânsito, de modo que os espiões não podem ouvi-las, porém seus próprios provedores ainda têm potencial de escutá-las. Isso pode ou não ser um problema, dependendo do seu modelo de ameaça.

    Dentre alguns serviços que oferecem a criptografia ponto a ponto nas chamadas por VoIP, incluem-se:

    Para ter conversas de VoIP criptografadas ponto a ponto, ambos devem utilizar o mesmo software (ou compatível).

    Mensagens de texto

    As mensagens de texto padrões (SMS) não dispõem de criptografia ponto a ponto. Se você quer enviar mensagens criptografadas pelo seu telefone, considere utilizar um software de mensagens instantâneas criptografadas em vez de mensagens de texto SMS.

    Alguns serviços de mensagens instantâneas criptografadas ponto a ponto utilizam seu próprio protocolo. Então, por exemplo, os usuários do Signal, no Android e no iOS, podem conversar de modo seguro com outras pessoas que utilizam esses programas. O ChatSecure é um aplicativo móvel que criptografa conversas com o OTR em qualquer rede que usa o XMPP, significando que você pode escolher dentre os serviços, independentes de mensagens instantâneas.

    Mensagens instantâneas

    O Off-the-Record (OTR) (Fora da Banda) é um protocolo de criptografia ponto a ponto para mensagens de texto em tempo real, o qual pode ser utilizado no topo de uma série de serviços.

    Dentre algumas ferramentas que incorporam o OTR nas mensagens instantâneas, incluem-se:

    Email

    A maioria dos provedores de e-mail proporciona uma maneira de você acessá-los utilizando um navegador da Web, como o Firefox ou o Chrome. A maioria desses provedores suporta o protocolo HTTPS ou a criptografia de camada de transporte (do inglês transport-layer encryption). Você pode verificar se o seu provedor de e-mail suporta o protocolo HTTPS, acessando o seu webmail e conferindo se a URL no topo do seu navegador começa com as letras HTTPS em vez de HTTP (por exemplo: https://mail.google.com).

    Caso o seu provedor de e-mail suporte o HTTPS, mas não o faz por padrão, tente substituir o HTTP pelo HTTPS na URL e atualizar a página. Caso queira ter a certeza de sempre estar utilizando o protocolo HTTPS nos sites onde estiver disponível, faça o download do complemento do navegador HTTPS Everywhere, no Firefox ou no Chrome.

    Dentre alguns provedores de webmail que utilizam o protocolo HTTPS por padrão, incluem-se:

    • Gmail
    • Riseup
    • Yahoo

    Alguns provedores de webmail dão a opção de escolher utilizar o HTTPS por padrão, selecionando-o em suas configurações. O serviço mais popular, que ainda faz isso, é o Hotmail.



    O que faz a criptografia de camada de transporte (do inglês transport-layer encryption) e por que você precisa dela? O HTTPS, também referido como SSL ou TLS, criptografa suas comunicações de modo que elas não possam ser lidas por outras pessoas na sua rede. Isso pode incluir as que estão utilizando a mesma rede Wi-Fi em um aeroporto ou em uma cafeteria, no seu escritório ou na escola, os administradores de seu ISP, hackers maliciosos, agentes da lei ou do governo. As comunicações enviadas pelo seu navegador da Web, incluindo as páginas que você visita e o conteúdo de seus e-mails, postagens e mensagens, utilizando o protocolo HTTP em vez do HTTPS são de pouca importância para um oponente interceptá-las e lê-las.

    O HTTPS é o nível mais básico de criptografia para sua navegação na Web e é recomendado a todos. Ele é tão básico quanto colocar o cinto de segurança ao dirigir.



    Mas há algumas coisas que o HTTPS não faz. Quando você envia um e-mail utilizando o HTTPS, o seu provedor de e-mail ainda recebe uma cópia não criptografada da sua comunicação. Os governos e os agentes de aplicação da lei podem obter um mandato para acessar esses dados. Nos Estados Unidos, a maioria dos provedores de e-mail têm uma política que informa quando essas empresas receberem uma solicitação do governo, para que cedam os dados do usuário, desde que estejam legalmente autorizados a fazê-lo. Essas políticas, porém, são estritamente voluntárias e, em muitos casos, os provedores estão legalmente impedidos de informar essas solicitações de dados aos seus usuários. Alguns provedores de e-mail, como o Google, Yahoo e Microsoft, publicam relatórios de transparência, detalhando o número de solicitações que recebem do governo sobre os dados dos usuários, quais países fazem esses pedidos e quantas vezes a empresa cedeu essas informações.



    Se o seu modelo de ameaça inclui um governo ou agentes de aplicação da lei, ou se você tem alguma outra razão para assegurar que seu provedor de e-mail não possa ceder o conteúdo de suas comunicações por e-mail a um terceiro, considere utilizar a criptografia ponto a ponto nas suas comunicações por e-mail.

    A PGP (do inglês Pretty Good Privacy, que significa uma Privacidade Muito Boa) é um padrão para a criptografia ponto a ponto do seu e-mail. Utilizada corretamente, ela oferece proteções muito fortes às suas comunicações. Para instruções detalhadas de como instalar e utilizar a criptografia PGP para o seu e-mail, consulte os guias de:

    O que a criptografia ponto a ponto não faz?

    A criptografia ponto a ponto protege apenas o conteúdo das suas comunicações e não o fato da comunicação em si. Ela não protege os seus metadados - que é todo o restante, incluindo a linha de assunto do seu e-mail ou com quem e quando você está se comunicando.



    Os metadados podem fornecer informações extremamente reveladoras sobre você, mesmo quando o conteúdo de sua comunicação permanece secreto.



    Os metadados das suas chamadas telefônicas podem fornecer algumas informações muito íntimas e confidenciais. Por exemplo:

    • Eles sabem que você ligou para um serviço de sexo por telefone às 2h24 e falou durante 18 minutos. Eles só não sabem o foi dito por você.
    • Eles sabem que você telefonou da Ponte Golden Gate para o número de atendimento à prevenção de suicídio, mas o tema da chamada permanece em segredo.
    • Eles sabem que você falou com um serviço de testes de HIV, em seguida falou com o seu médico e depois, na mesma hora, falou com a sua seguradora de saúde; porém, eles não sabem o que foi conversado.
    • Eles sabem que você recebeu uma chamada do escritório local da NRA (em inglês National Rifle Association, que é a Associação Nacional de Rifles) enquanto estava tendo uma campanha contra a legislação de armas e, a seguir, ligou imediatamente para os seus senadores e representantes do Congresso, mas o conteúdo dessas chamadas continua sendo protegido contra a intromissão do governo.
    • Eles sabem que você telefonou para um ginecologista, falou durante meia hora e mais tarde, naquele mesmo dia, ligou para o escritório local da ONG de planejamento familiar Planned Parenthood, mas ninguém sabe sobre o que você conversou.

    Se você estiver ligando de um telefone celular, as informações da sua localização são metadados. Em 2009, o político Malte Spitz, do Partido Verde, processou a Deutsche Telekom para forçá-los a entregar seis meses de dados do telefone de Spitz, os quais ele disponibilizou para um jornal alemão. A visualização resultante mostrou um histórico detalhado dos movimentos dele.

    Proteger seus metadados requer que utilize outras ferramentas, como o Tor, ao mesmo tempo que usa a criptografia ponto a ponto.



    Para se ter um exemplo de como o Tor e o HTTPS trabalham em conjunto para proteger o conteúdo de suas comunicações e de seus metadados de uma variedade de potenciais invasores, leia esta explicação.

    Última revisão: 
    12-01-2017
  • Criando senhas fortes

    Reutilizar senhas é uma prática excepcionalmente ruim do ponto de vista da segurança. Se um invasor tiver acesso a uma senha que você tenha reutilizado em diversos serviços diferentes, ele poderá ter acesso a muitas de suas contas. É por isso que é tão importante ter senhas fortes, únicas e distintas.

    Felizmente, um gerenciador de senhas pode ajudar. Gerenciadores de senhas são ferramentas que criam e armazenam senhas para você, de maneira que você possa utilizar senhas diferentes para cada site ou serviço sem precisar memorizá-las. Gerenciadores de senhas:

    • geram senhas fortes que um ser humano dificilmente poderá adivinhar.
    • armazenam diversas senhas de maneira segura (e também as respostas para perguntas de segurança).
    • protegem todas as suas senhas com uma única senha-mestre (ou frase-chave).

    O KeePassXC é um exemplo de gerenciador de senhas com fonte aberta e gratuito. Você pode manter esta ferramenta em seu desktop ou integrá-lo ao seu navegador de internet. O KeePassXC não salva automaticamente as alterações que você faz quando o utiliza, portanto se ele apresentar um erro e fechar inesperadamente você perderá para sempre as senhas que tiver adicionado desde que o abriu. Isto pode ser alterado nas configurações do programa.

    Você está se perguntando se um gerenciador de senha é a ferramenta certa para você? Se você for alvo de um adversário poderoso, como um governo, pode ser que não seja.

    Lembre-se:

    • utilizar um gerenciador de senhas cria um ponto de falha centralizado.
    • gerenciadores de senhas são um alvo óbvio para adversários.
    • pesquisas sugerem que diversos gerenciadores de senha têm vulnerabilidades.

    Se você está preocupado com ataques digitais poderosos, considere algo menos tecnológico. Você pode criar senhas fortes manualmente (veja “Criando senhas fortes usando dados de números” abaixo), anotá-las em um papel e guardá-las em algum lugar seguro consigo próprio.

    Mas espere: não devemos sempre guardar as senhas de cor e jamais anotá-las? Na verdade, escrevê-las e guardá-las na sua carteira, por exemplo, pode ser útil para que ao menos você saiba se elas desaparecerem ou forem roubadas.

    Criando senhas fortes usando dados numéricos

    Há algumas senhas que você deve memorizar e que precisam ser particularmente fortes. Por exemplo:

    Uma das muitas dificuldades que ocorrem quando as pessoas escolhem senhas por si mesmas é que seres humanos não são muitos bons em fazer escolhas aleatórias e imprevisíveis. Uma forma eficiente de criar uma senha forte e que possa ser memorizada é utilizar dados numéricos e uma lista de palavras para escolher palavras de maneira aleatória. Juntas, estas palavras formarão sua “frase-chave”. Uma “frase-chave” é um tipo de senha mais comprida, com o objetivo de ser mais segura. Para criptografia de discos inteiros e para seu gerenciador de senhas, recomendamos escolher um mínimo de seis palavras.

    Por que utilizar um mínimo de seis palavras? Por que usar um dado numérico para escolher palavras aleatoriamente numa frase? Quanto mais comprida e mais aleatória for a senha, mais difícil será para computadores e humanos adivinhá-las. Para entender porque você precisa de uma senha tão comprida e forte assim, aqui está uma explicação em vídeo (em inglês).

    Tente criar uma frase-senha utilizando uma das listas de palavras da EFF.

    Se o seu computador ou dispositivo for comprometido e tiver spyware instalado, o spyware pode monitorar a digitação de sua senha-mestre e roubar o conteúdo do seu gerenciador de senhas. Desta maneira, continua sendo muito importante manter seu computador e outros dispositivos livres de malware quando estiver usando um gerenciador de senhas.

    Um pouco sobre “perguntas de segurança”

    Cuidado com as “perguntas de segurança” que sites utilizam para confirmar sua identidade. Respostas honestas a estas perguntas muitas vezes são fatos públicos fáces de descobrir e que um determinado adversário pode encontrar facilmente e utilizá-las para acessar sua conta sem nem mesmo saber sua senha.

    Ao invés disso, dê a estas perguntas respostas fictícias e que ninguém mais saberá, exceto você. Por exemplo, se a pergunta for:

    “Qual era o nome de seu primeiro animal de estimação?”

    Sua resposta pode ser uma senha aleatória gerada pelo seu gerenciador de senhas. Você pode armazenar estas respostas fictícias no próprio gerenciador de senhas.

    Tente lembrar dos sites em que você utilizou perguntas de segurança e considere alterar as respostas. Nunca utilize as mesmas senhas ou respostas às perguntas de segurança para diversas contas em sites ou serviços diferentes.

    Sincronizando suas senhas em diversos dispositivos

    Diversos gerenciadores de senhas permitem que você acesse suas senhas em múltiplos dispositivos através de um recurso de sincronização de senhas. Isso significa que quando você sincronizar seu arquivo de senhas em um dispositivo, ela será atualizada em todos os outros.

    Gerenciadores de senhas podem armazenar suas senhas “na nuvem”, ou seja, criptografadas em um servidor remoto. Quando você precisar das suas senhas, estes gerenciadores vão recuperá-las e decriptá-las automaticamente para você. Gerenciadores de senhas que utilizam seus próprios servidores para armazenar ou sincronizar suas senhas são mais convenientes, mas ligeiramente mais vulneráveis a ataques. Se suas senhas forem armazenadas tanto em seu computador quando na nuvem, um atacante não precisará ter acesso ao seu computador para descobrir suas senhas (embora ainda assim tenha que descobrir a frase-chave do seu gerenciador de senhas).

    Se isso o preocupa, não sincronize suas senhas para a nuvem e, em vez disso, opte por armazená-las apenas em seus dispositivos.

    Por segurança, mantenha um backup de seu banco de dados de senhas. Ter um backup é útil caso você perca seu banco de dados devido a problemas em seu computador, ou caso seu dispositivo seja tomado de você. Gerenciadores de senhas normalmente possuem uma maneira de criar um arquivo de backup ou você pode utilizar seu programa padrão de backup.

    Autenticação de múltiplos fatores e senhas de uso único

    Senhas fortes e únicas tornam muito mais difícil para que atacantes tenham acesso às suas contas. Para protegê-las ainda mais, utilize autenticação de dois fatores.

    Alguns serviços oferecem autenticação de dois fatores (também chamada de 2FA, autenticação de múltiplos fatores, ou verificação em dois passos), que requer que você possua dois componentes distintos (uma senha e um segundo fator) para ter acesso a sua conta. O segundo fator pode ser um código secreto de uso único ou um número gerado por um programa executado em um dispositivo móvel.

    A autenticação de dois fatores em um telefone celular pode ser feita de duas formas:

    • seu telefone pode rodar um aplicativo que gera códigos de segurança (como o Google Authenticator ou o Authy) ou você pode utilizar um dispositivo de hardware em separado (como uma YubiKey); ou
    • o serviço pode enviar a você uma mensagem de texto SMS contendo um código extra de segurança que você precisará digitar sempre que desejar acessá-lo.

    Se você puder escolher, prefira a aplicação de autenticação no celular (ou o dispositivo de hardware à parte) em vez de receber códigos por mensagens de texto. É mais fácil para um atacante redirecionar estes códigos para seu próprio telefone do que conseguir burlar o autenticador.

    Alguns serviços, como o Google, também permitem que você gere uma lista de senhas de uso único. Estas senhas podem ser impressas ou anotadas em papel e levadas com você. Cada uma delas funciona apenas uma vez, portanto se uma for roubada por um spyware quando você a digitar, o ladrão não poderá utilizá-la para nada no futuro.

    Se você ou sua organização mantém sua própria infraestrutura de comunicações, existem softwares gratuitos que podem ser utilizados para implementar a autenticação de dois fatores para acessar seus sistemas. Procure por softwares que ofereçam implementações do padrão aberto “Time-Based One-Time Passwords” ou RFC 6238.

    Às vezes, você precisará informar sua senha a terceiros

    As leis que tratam sobre revelar senhas diferem de um lugar para outro. Em algumas jurisdições você pode questionar uma ordem para revelar sua senha na justiça, enquanto em outras, as leis locais permitem que o governo obrigue a revelá-la – e o governo pode até mesmo prendê-lo pela suspeita de que você saiba uma determinada senha. Ameaças de violência física também podem ser usadas para forçar alguém a revelar sua senha. Você pode ainda se ver em uma situação, como por exemplo quando estiver atravessando uma fronteira entre nações, na qual autoridades podem retê-lo ou confiscar seus dispositivos caso você se recuse a fornecer uma senha ou desbloquear seu dispositivo.

    Nós temos um guia em separado sobre atravessar a fronteira dos Estados Unidos, dando conselhos sobre como lidar com solicitações para acessar dispositivos quando estiver viajando para ou a partir dos EUA. Em outras situações, você deve considerar de que forma alguém poderá forçar você ou outros a fornecer suas senhas, e quais serão as consequências disso.

    Última revisão: 
    29-10-2018
  • Como contornar a censura on-line

    Esta é uma visão geral sucinta para contornar a censura on-line, mas não se trata de um documento abrangente.

    Muitos governos, empresas, escolas e pontos de acesso públicos utilizam softwares para evitar que os usuários da internet acessem determinados websites e serviços da web. Isso é chamado de filtragem ou bloqueio da internet e é uma forma de censura. A filtragem do conteúdo vem de diferentes formas. Algumas vezes o website inteiro está bloqueado; outras vezes, apenas páginas avulsas da Web; e em outras o conteúdo é bloqueado baseado em palavras que ele contém.

    Há diferentes maneiras de derrotar a censura na Internet. Algumas protegem você contra a vigilância, mas muitas não. Quando alguém que controla sua conexão à rede filtra ou bloqueia um site, você pode quase sempre utilizar uma ferramenta de evasão para chegar à informação que deseja. Note: Ferramentas de evasão que prometem privacidade ou segurança nem sempre são privadas ou seguras, e ferramentas que utilizam termos como “anonimizador” nem sempre mantêm sua identidade completamente secreta.

    A melhor ferramenta de evasão para você depende do seu modelo de ameaça. Se você não estiver seguro(a) sobre qual é o seu modelo de ameaça, comece aqui.

    Neste artigo, apresentaremos quatro maneiras de driblar a vigilância:

    • Visitando um web proxy para acessar um site bloqueado.
    • Visitando um web proxy criptografado para acessar um site bloqueado.
    • Utilizando uma Rede Privada Virtual (VPN) para acessar um site ou serviço bloqueado.
    • Utilizando o Tor Browser para acessar um site bloqueado ou proteger a sua identidade.

    Técnicas básicas

    Ferramentas de evasão normalmente funcionam desviando seu tráfego de rede para outro computador, de forma a contornar as máquinas que realizam a censura. O serviço intermediário através do qual você canaliza sua comunicação neste processo é chamado de proxy.

    O protocolo HTTPS é uma versão segura do HTTP, utilizado para acessar websites. Algumas vezes o censor bloqueará apenas a versão não segura de um site, permitindo que você o acesse pela versão do domínio que se inicia com HTTPS.

    Isso é particularmente útil se a filtragem a que você está sujeito baseia-se em palavras ou só bloqueia páginas avulsas da Web. O HTTPS impede que os censores leiam seu tráfego na Web; portanto eles não podem dizer quais palavras-chave estão sendo enviadas ou qual página da web você está visitando.

    Censores ainda podem ver o nome de domínio de todos os sites que você visita. Então, por exemplo, se você visitar “eff.org/https-everywhere”, censores podem ver que você está na “eff.org” mas não conseguem ver que você está na página do “https-everywhere”.

    Se suspeita deste tipo de bloqueio simples, tente acessar por meio do https:// antes do domínio, em vez de http://.

    Tente o plug-in HTTPS Everywhere da EFF para ligar o HTTPS automaticamente para aqueles sites que o suportam.

    Outra maneira de conseguir contornar as técnicas básicas de censura é tentar um nome de domínio ou uma URL alternativa. Em vez de visitar http://twitter.com, você pode, por exemplo, visitar http://m.twitter.com, que é a versão móvel do site. Censores que bloqueiam os sites ou páginas da web costumam fazê-lo a partir de uma lista negra de websites proibidos, então qualquer coisa que não esteja na lista negra fica acessível. Eles podem não saber de todas as variações de um determinado nome de domínio de um website, ainda mais se o proprietário do site souber que está bloqueado e registrar mais de um nome.

    Os Proxies baseados na Web

    Um proxy baseado na Web (como o http://proxy.org/) é uma boa maneira de contornar a censura. Tudo que precisa fazer para utilizar um proxy baseado na Web é digitar o endereço filtrado que você quer utilizar e o proxy exibirá, então, o conteúdo solicitado.

    Os proxies baseados na Web são uma boa maneira de acessar rapidamente os websites bloqueados, mas muitas vezes não proporcionam qualquer segurança, e será uma escolha ruim se seu modelo de ameaças inclui alguém vigiando sua conexão com a internet. Além disso, eles não lhe ajudarão a utilizar outros serviços bloqueados, tais como o seu programa de mensagens instantâneas. Finalmente, dependendo do modelo de ameaça, os proxies baseados na Web constituem um risco de privacidade para muitos usuários, pois o proxy terá um registro completo de tudo que você faz on-line.

    Proxies criptografados

    Diversas ferramentas de proxy utilizam criptografia para fornecer uma camada adicional de segurança acima da habilidade de contornar os filtros. A comexão é encriptada para que outros não vejam o que você está visitando. Enquanto proxies criptografados geralmente são mais seguros do que outros proxies baseados na web, o fornecedor da ferramenta pode ter informações sobre você. Ele pode ter seu nome e endereço de email em seus registros, por exemplo. Isso significa que essas ferramentas não fornecem anonimato total.

    A forma mais simples de um proxy da Web criptografado é aquele que começa com "https", pois utilizará a criptografia normalmente fornecida por sites seguros. Ironicamente, no processo, os proprietários desses proxies começarão a ver os dados que você envia e recebe de outros sites seguros, portanto seja cauteloso. O Ultrasurf e o Psiphon são exemplos destas ferramentas.

    Redes privadas virtuais

    Uma Rede Privada Virtual (Virtual Private Network ou VPN) criptografa e envia todos os dados da internet de seu computador para outro computador. Esse equipamento pode pertencer a um serviço VPN comercial ou entidade sem fins lucrativos, sua empresa ou um contato confiável. Uma vez que um serviço VPN esteja corretamente configurado, você pode utilizá-lo para acessar páginas da Web, e-mail, mensagens instantâneas, VoIP e qualquer outro serviço de internet. Uma VPN protege seu tráfego de ser interceptado localmente, porém seu provedor VPN pode manter registros do seu tráfego (websites que você conecta e quando os acessa) ou até mesmo proporcionar a um terceiro a possibilidade de sondar diretamente sua navegação na Web. Dependendo do seu modelo de ameaça, a possibilidade de um governo ouvir sua conexão VPN ou obter os registros pode ser um risco significativo e, para alguns usuários, poderia superar os benefícios de curto prazo da utilização de uma VPN.

    Clique aqui para obter as informações sobre serviços específicos de VPN.

    Nós da EFF não podemos confirmar essa pontuação dos VPNs. Algumas VPNs com políticas de privacidade exemplares poderiam perfeitamenteser mantidas por pessoas desonestas. Não utilize uma VPN na qual você não confie.

    Tor

    Tor é um software gratuito, livre e de código aberto desenhado para  fornecer a você o anonimato na rede. O Tor Browser é um navegador da web construído sobre a rede de anonimato do Tor. Por conta da forma como o Tor roteia seu tráfego de navegação na Web, ele também possibilita que você contorne a censura (Veja nosso guia “Como usar o Tor para Linux, macOS e Windows").

    Quando você inicia o Tor Browser, você pode escolher uma opção especificando que você está em uma rede que é censurada:

    O Tor não só contornará praticamente toda censura nacional, mas, se propriamente configurado, pode também proteger a sua identidade de um adversário monitorando as redes do seu país. Ele pode, no entanto, ser lento e difícil de usar.

    Para aprender a usar o Tor em um desktop, clique aqui (Linux), aqui (macOS), ou aqui (Windows), mas por favor certifique-se de clicar em “Configurar” em vez de “Conectar” na janela exibida acima.

    Última revisão: 
    10-08-2017
  • Como encriptar seu iPhone

    Caso tenha um iPhone 3GS ou posterior, um iPod Touch 3ª geração ou posterior, ou qualquer iPad, você pode proteger os conteúdos do seu dispositivo utilizando encriptação. Isso significa que se alguém obtiver acesso físico ao seu dispositivo, terá que saber sua senha de desbloqueio para desencriptar o que estiver armazenado nele, o que inclui contatos, mensagens, registros de chamadas e e-mails.

    Na verdade, a maioria dos dispositivos modernos da Apple já encripta conteúdos como configuração padrão, com vários níveis de proteção. Mas, para se proteger de alguém que rouba fisicamente o seu dispositivo, é necessário associar essa encriptação a uma frase-chave ou a um código de desbloqueio que apenas você sabe. Veja as instruções abaixo sobre como fazer isso.

    Em dispositivos com iOS 4–iOS 7:

    1. Abra as Configurações Gerais e escolha “Passcode” (ou “iTouch & Passcode”).
    2. Siga as instruções indicadas para criar um código de desbloqueio.

    Em dispositivos com iOS 8-iOS 11:

    1. Abra o app de Configurações.
    2. Clique em “Touch ID & Passcode”.
    3. Siga as instruções indicadas para criar um código de desbloqueio.

    Se o seu dispositivo utilizar o iOS 8, desative o código numérico de 4 dígitos para criar um código mais longo. Com o lançamento do iOS 9, a Apple passou a usar códigos com 6 dígitos como configuração padrão.

    Se você escolher um código exclusivamente numérico, verá um teclado numérico na tela para desbloquear seu celular, o que pode ser mais fácil do que digitar um conjunto de letras e símbolos num pequeno teclado virtual. Contudo, sugerimos escolher um código de desbloqueio alfanumérico e mais longo do que 6 caracteres simplesmente porque é mais difícil de descobrir, ainda que o hardware da Apple seja feito para desacelerar ferramentas de quebra de senha.

    Para customizar seu código, selecione “Opções de código de desbloqueio” [Passcode Options] e “Código alfanumérico personalizado” [Custom Alphanumeric Code]. Caso queira customizar seu código de desbloqueio atual, selecione “Alterar código” [Change Passcode] e, em seguida, “Opções de código”. Você também deve ativar a opção de “Exigir código” [Require passcode] para “imediatamente”, para que o dispositivo não esteja desbloqueado enquanto você não estiver utilizando.

    Uma vez definido o código de desbloqueio, desça até o final da página das configurações de código. Você deve ver uma mensagem que diz “A proteção de dados foi habilitada.” Isto significa que a encriptação do dispositivo está agora vinculada ao seu código de desbloqueio, e que será preciso digitar o código para ter acesso à maior parte dos dados armazenados no seu dispositivo.

    How to Encrypt Your iPhone 1

    Estas são outras funcionalidades do iOS que você pode pensar em usar para proteger dados privados:

    • O iTunes tem uma opção para fazer uma cópia de segurança (back-up) do dispositivo para seu computador. O iTunes não criptografa essas cópias de segurança como configuração padrão. Se você escolher a opção “Encriptar Cópia de Segurança” [Encrypt Backup] na aba de sumário do seu dispositivo no iTunes, o iTunes fará uma cópia de segurança dos seus dados mais confidenciais (tais como senhas de Wi-Fi e senhas de e-mail), mas irá criptografar tudo antes de salvar no seu computador. Assegure-se que sua senha utilizada aqui é mantida em segurança: a recuperação da cópia de segurança é um evento raro, mas torna-se ainda mais difícil se você não conseguir se lembrar da senha para desbloquear a cópia de segurança em caso de emergência.
    • Caso faça cópias de segurança para a iCloud da Apple, deve escolher uma frase-chave longa para proteger os dados e mantenha essa frase-chave bem guardada. Ao mesmo tempo em que a Apple criptografa a maior parte dos dados em suas cópias de segurança, também é possível que a empresa tenha acesso a eles por exigência das autoridades, dado que a Apple também controla as chaves usadas para encriptação na iCloud.
    • Se você ativar a proteção de dados tal como descrito acima, você também conseguirá apagar os dados no seu dispositivo de forma segura e rápida. Nas configurações “Touch ID & Passcode”, você pode programar seu dispositivo para apagar todos os seus dados depois de 10 tentativas frustradas de digitar a senha correta. Caso ative esta opção, garanta que tem cópias de segurança dos seus dados caso alguém digite 10 senhas erradas de propósito.
    • De acordo com o antigo guia da Apple para autoridades, “a Apple pode extrair certas categorias de dados ativos de dispositivos iOS bloqueados por código. Mais especificamente, os arquivos ativos gerados pelo usuário em um dispositivo iOS e que estão contidos nos apps nativos da Apple e para os quais os dados não estão criptografados por meio de um código de desbloqueio (“user generated active files”) podem ser extraídos e fornecidos para autoridades legais em mídias externas A Apple pode realizar este processo de extração de dados em dispositivos iOS com versões de iOS 4 ou mais recentes. Observe que as únicas categorias de arquivos ativos gerados pelos usuários que podem ser fornecidas às autoridades, com a apresentação de um mandado de busca e apreensão válido, são: SMS, fotos, vídeos, contatos, gravações de áudio e registro de chamadas. A Apple não consegue fornecer: mensagens de e-mail, eventos do calendário ou qualquer dado de aplicativos de terceiros.”

    A informação acima se aplica apenas a dispositivos anteriores ao iOS 8.0.

    • Atualmente, a Apple declara que “Para todos os dispositivos com versões do iOS 8.0 ou posteriores, a Apple não é capaz de realizar o procedimento de extração de dados, uma vez que o conteúdo comumente procurado por autoridades legais é encriptado e a Apple não possui as chaves de encriptação.”

    LEMBRE-SE: Apesar de a Apple não ser capaz de extrair esses dados diretamente de um telefone celular, se o dispositivo estiver sincronizado com a iCloud ou tenha cópias de segurança em um computador, muitos desses dados estarão de fato disponíveis às autoridades legais. Na maioria das circunstâncias, a encriptação do iOS somente é efetiva quando o dispositivo está completamente sem bateria (ou reiniciado recentemente, sem ter ainda sido desbloqueado). Alguns atacantes podem conseguir obter dados valiosos da memória do seu dispositivo enquanto ele estiver ligado. (Podem até mesmo conseguir retirar os dados logo depois de ele ter sido desligado). Preste atenção a isto e, se possível, tente assegurar que seu dispositivo esteja desligado (ou reiniciado, mas ainda não desbloqueado), se você achar que é provável que o dispositivo seja furtado ou roubado. No momento em que este guia foi publicado, algumas empresas afirmavam que eram capazes de quebrar os códigos de desbloqueio de iPhones a pedido das autoridades, mas os detalhes em torno dessas afirmações ainda não são claros.

    • Se você estiver preocupado em perder seu dispositivo ou que ele seja roubado, você também pode configurá-lo para que os dados possam ser apagados remotamente, utilizando a funcionalidade “Find My iPhone” [Encontre meu iPhone]. Note que isto permite que a Apple possa solicitar, remotamente, a localização do seu dispositivo a qualquer momento. Você deve ponderar o benefício de apagar os dados remotamente caso perca o controle do seu dispositivo com o risco de revelar sua localização. (Por rotina, telefones celulares transmitem esta informação às empresas de telecomunicações; dispositivos Wi-Fi como iPads ou o iPod Touch não fazem isto.)
    Última revisão: 
    26-03-2018
  • Tutorial: Como usar o Signal em iOS

    Instalando o Signal – Private Messenger no seu iPhone por meio de um

    Passo 1: Transferir e instalar o Signal Private Messenger

    No seu dispositivo iOS, abra a App Store e pesquise por “Signal.” Selecione o app Signal - Private Messenger desenvolvido por Open Whisper Systems.

    Clique em "OBTER" para transferir o app e, em seguida, clique em "INSTALAR." É possível que solicitem suas credenciais Apple ID. Uma vez instalado, clique em “ABRIR” para dar início ao aplicativo.

    Passo 2: Registrar e verificar o seu número de telefone

    Agora você verá uma tela como esta. Digite o seu número de telefone e clique em “Activate This Device.” [“Ativar este dispositivo”]

    Para verificar seu número de telefone, uma mensagem de SMS com um código de seis dígitos será enviada a você. Você receberá uma solicitação para digitar o código no local assinalado. Depois clique em “Submit” [“Enviar”].

    Em seguida, o Signal pedirá permissão para lhe enviar notificações. Clique em "Allow." [“Permitir”].

    Passo 3: Escolher um nome e uma imagem de perfil

    A imagem e o nome de perfil que você escolher ficarão visíveis a todos os contatos que você tiver na agenda de seu dispositivo, ao iniciar novas conversas ou quando você explicitamente permitir que contatos ou outros grupos vejam esta informação. Neste passo, insira todas as  informações que considerar relevantes e clique em “Save” [“Salvar”] ou pule este passo clicando em “Skip” [“Pular”], no topo.

    Utilizando o do Signal

    Para utilizar o Signal, a pessoa com quem você está entrando em contato também precisa ter o aplicativo instalado. Se você tentar enviar uma mensagem ou fazer uma chamada para alguém que não tenha o aplicativo instalado, o Signal irá perguntar se você deseja enviar um convite para via SMS para que a pessoa entre no aplicativo, mas isto não permite que a chamada seja completada ou que a mensagem seja enviada a partir do app.

    O Signal te oferece uma lista de outros usuários do Signal que fazem parte dos seus contatos. Para fazer isto, os números de telefone em seus contatos são enviados para os servidores do Signal, mas estes dados são deletados  quase imediatamente.

    Como enviar Mensagens Encriptadas

    Note que a Open Whisper Systems, que desenvolve o Signal, usa a infraestrutura de outras empresas para enviar aos usuários alertas de que receberam uma nova mensagem. A Google é utilizada para o Android e a Apple para o iPhone. Isto significa que informações sobre quem recebeu mensagens e quando recebeu pode ser vazada para estas empresas.

    Para começar,  clique no ícone de “nova mensagem” no canto superior direito da tela.

    O Signal irá pedir permissão para ter acesso a seus contatos. Clique em “OK” se estiver confortável com isso. Se não estiver, você poderá adicionar, manualmente, os números telefônicos de quem deseja contatar.

    Você verá uma lista de todos os seus contatos que utilizam o Signal.

    Quando clicar num contacto, aparecerá uma tela de mensagens de texto para aquele contato. É a partir desta tela que você poderá enviar mensagens de texto, imagens e mensagens de vídeo encriptadas de ponta a ponta.

    Como Iniciar uma Chamada Encriptada

    Para iniciar uma chamada encriptada para um contato, selecione o contato desejado e então clique no ícone do telefone.

    Neste ponto, o Signal poderá pedir permissão para ter acesso ao microfone. Clique em "OK."

    Uma vez estabelecida, sua chamada está encriptada.

    Como Iniciar uma Chamada de Vídeo Encriptada

    Para iniciar uma chamada de vídeo encriptada, simplesmente ligue para alguém tal como descrito acima

    e clique no ícone da câmara de vídeo. O Signal poderá pedir permissão para ter acesso à sua câmera e ao microfone. Isto compartilha o vídeo com seu amigo ou com sua amiga (seu amigo ou sua amiga terá que fazer o mesmo).

    Como Iniciar Conversas de Grupo Encriptadas

    Você pode enviar uma mensagem encriptada para um grupo ao clicar no ícone de “nova mensagem” no canto superior direito da sua tela (o quadrado com um lápis apontando para o centro) e, em seguida, clicando no ícone com três pessoas, que estará na mesma posição que o anterior.

    Na tela seguinte, você poderá escolher um nome para o grupo e incluir participantes. Após incluir os participantes, clique no botão “Create” [“Criar”] no canto superior direito da tela.

    Isto iniciará uma conversa de grupo.

    Se desejar alterar o nome do grupo, a imagem ou adicionar novos participantes, poderá a partir da tela da conversa do grupo, ao clicar no nome do grupo e clicar em “Edit group” [‘Editar grupo”]

    Silenciar Conversas

    Às vezes as conversas podem nos distrair. Silenciar notificações é uma funcionalidade particularmente útil para grupos de mensagens,  para que, assim, você não veja uma nova notificação todas as vezes em que alguém escrever uma nova mensagem. Isto pode ser feito a partir da tela da conversa de grupo, clicando no nome do grupo e selecionando “Mute” [“Silenciar”]. Você também poderá escolher o período pelo qual a conversa permanecerá silenciada. Se você quiser, isto também pode ser aplicado a conversas entre apenas duas pessoas.

    Como Verificar os seus Contatos

    A esta altura, pode verificar a autenticidade da pessoa com quem você está conversando, para garantir que a chave de encriptação do seu contato não foi comprometida ou substituída pela chave de outra pessoa quando seu aplicativo foi instalado (este processo é chamado de verificação de chaves). A verificação de chaves é um processo que ocorre quando você está reunido presencialmente com a pessoa com quem você quer conversar.

    Primeiro, abra a tela a partir do qual você troca mensagens com seu contato, tal como descrito anteriormente acima. A partir desta tela, clique no nome do contato, que estará no topo.

    Na tela seguinte, clique em “Show Safety Number” [“Mostrar número de segurança”].

    Você será levado agora a uma tela com um QR code e um “número de segurança”. Este código será único para cada contato seu. Peça para seu contato navegar até a tela correspondente, em que ele troca mensagens com você, para que ele também tenha um QR code na tela de seu celular.

    De volta ao seu dispositivo, clique no QR code para escanear. A esta altura, o Signal poderá pedir permissão para acessar sua câmera. Clique em “OK”.

    Agora você poderá utilizar a câmera para ler o QR code que é mostrado na tela do seu contato. Alinhe a sua câmera com o QR code:

    Se tudo correr bem, sua câmara reconhecerá o QR code e mostrará uma mensagem dizendo “Safety Number Matches!” [“O número de segurança corresponde!”], tal como mostrado nesta imagem:

    Isto indica que você verificou o número de telefone de seu contato de maneira bem-sucedida. Clique agora em “Mark as Verified” ["Marcar como Verificado"] para que o app registre. Se, ao invés disto, a tela mostrar a seguinte mensagem, algo deu errado:

    Você pode evitar conversar sobre assuntos delicados  até que você tenha consiga verificado presencialmente a autenticidade o seu contato.

    Nota para usuários avançados: A tela que mostra seu QR code também tem um ícone no canto superior direito para compartilhar seu número de segurança. A verificação presencial é o melhor método, mas você poderá já ter verificado seu contato através de outro aplicativo seguro. Caso já tenha verificado a autenticidade do seu contato de alguma outra forma, você poderá se valer da confiança já estabelecida para verificar os números no Signal sem ter que se encontrar presencialmente com seu contato. Nesse caso, poderá compartilhar  seu número de segurança com outro aplicativo clicando  no ícone “share” [“compartilhar”] e enviar seu código de segurança a seu contato.

    Mensagens que Desaparecem

    Uma das funcionalidades do Signal chama-se “mensagens que desaparecem”. Ela garante que as mensagens serão removidas do seu dispositivo e do dispositivo do seu contato após terem sido lidas, por período de tempo definido pelo usuário.

    Você não tem controle sobre as ações da pessoa com quem você está conversando – ela pode estar arquivando as mensagens ou tirando screenshots das conversas mesmo que você tenha ativado a funcionalidade “mensagens que desaparecem”.

    Para ativar a funcionalidade de "mensagens que desaparecem"  numa conversa, abra a tela onde troca mensagens com o contato. A partir desta tela, clique no nome do contato no topo da tela e em seguida no slider ao lado de “Disappearing Messages” [“Mensagens que desaparecem”].

    Aparecerá um novo slider que permite escolher o tempo para que as mensagens desapareçam.

    Após selecionar esta opção, clique no ícone “<” no canto superior esquerdo da tela. Agora você deverá ver nas mensagens a informação de que a funcionalidade “mensagens que desaparecem” está ativada.

    Agora você pode enviar mensagens com a garantia de que serão removidas após o tempo definido.

    Última revisão: 
    09-05-2018
Next:
JavaScript license information