Surveillance
Self-Defense

Defensor dos direitos humanos?

  • Defensor dos direitos humanos?

    Conselhos para organizações que precisam se proteger da escuta do governo

    Caso atue em uma organização cujo trabalho possa ser monitorado por governos, localmente ou em viagem, você precisa pensar em blindar as suas comunicações. Aqui está um guia básico para pensar no planejamento de sua autoproteção em relação à vigilância institucional.

  • Avaliando Seus Riscos

    Tentar proteger todos os seus dados de todas as pessoas e todo o tempo é impraticável e extremamente cansativo. Mas não se preocupe! Segurança é um processo, e através de planejamento cuidadoso você pode avaliar o que é o ideal para você. Segurança não se trata das ferramentas que você utiliza ou dos programas que baixa, ela começa com a compreensão de quais são as ameaças específicas que você enfrenta e como você pode combatê-las.

    Em segurança da informação, uma ameaça é um evento potencial que pode tornar menos efetivos os esforços que você faz para defender seus dados. Você pode combater as ameaças que enfrenta ao entender que coisas precisa proteger, bem como de quem precisa protegê-las. Este processo é chamado de modelagem de ameaças.

    Este guia o ensinará como modelar ameaças, ou como avaliar os riscos aos quais suas informações digitais estão expostos e determinar quais as melhores soluções para você.

    Como é o processo de modelagem de ameaças? Vamos dizer que você deseja manter sua casa e seus bens seguros... Aqui estão algumas perguntas que você pode querer se fazer:

    O que eu tenho dentro da minha casa merece ser protegido?

    • Ativos podem incluir jóias, eletrônicos, documentos financeiros, passaportes ou fotos.

    De quem eu quero proteger estes ativos?

    • Adversários podem incluir: ladrões, colegas de quarto e visitas.

    O quão provável é que eu precise proteger estes ativos?

    • Minha vizinhança tem um histórico de roubos? O quão confiável são meus colegas de quarto/visitas? Quais são os recursos de meus adversários? Que riscos eu devo considerar?

    O quão graves serão as consequências caso eu falhe?

    • Eu tenho alguma coisa na minha casa que eu não tenha como repor? Eu tenho tempo ou dinheiro para repor ativos? Eu tenho um seguro que cubra ativos roubados da minha casa?

    Até onde eu estou disposto a ir para me prevenir destas consequências?

    • Eu estou disposto a comprar um cofre para documentos importantes? Eu tenho recursos para comprar uma fechadura de alta qualidade? Tenho tempo para alugar um cofre no meu banco e manter meus objetos de valor neste cofre?

    Uma vez que você tenha se feito estas perguntas, você estará em condições de avaliar que medidas deve tomar. Se suas posses são valiosas mas o risco de um roubo à sua casa é baixo, então talvez você decida não investir muito dinheiro em uma fechadura. Por outro lado, se o risco for alto você desejará comprar a melhor fechadura do mercado e ainda instalar um sistema de segurança.

    Construir um modelo de ameaça o ajudará a entender as ameaças específicas que você corre e a avaliar seus ativos, seus adversários e os recursos que estes adversários possuem, bem como a probabilidade de que tais riscos se tornem realidade.

    O que é modelagem de ameaças e por onde eu começo?

    A modelagem de ameaças o ajuda a identificar ameaças às coisas que você dá valor e determinar de quem precisa protegê-las. Quando estiver construindo um modelo de ameaça, responda a estas cinco perguntas:

    1. Que coisas eu quero proteger?
    2. De quem eu quero protegê-las?
    3. O quão graves serão as consequências caso eu falhe?
    4. O quão provável é que eu precise protegê-las?
    5. Até onde eu estou disposto a ir para tentar evitar potenciais consequências?

    Vamos avaliar uma a uma estas perguntas.

    Que coisas eu quero proteger?

    Um “ativo” é algo ao qual você dá valor e que deseja proteger. No contexto de segurança digital, um ativo é normalmente algum tipo de informação. Por exemplo: seus e-mails, lista de contatos, mensagens instantâneas e arquivos são todos possíveis ativos. Seus dispositivos também podem ser ativos.

    Faça uma lista de seus ativos: dados que você mantém, onde eles são mantidos, quem tem acesso a eles, e o que impede que outros os acessem.

    De quem eu quero protegê-las?

    Para responder a esta pergunta, é importante identificar quem pode ter você ou suas informações como alvo. Uma pessoa ou entidade que represente uma ameaça aos seus ativos é um “adversário”. Exemplos de potenciais adversários são seu chefe, seu ex-cônjuge ou ex-namorado(a), seu concorrente, seu governo, ou um hacker numa rede pública.

    Faça uma lista de seus adversários, ou daqueles que possam ter interesse em ter acesso aos seus dados. Sua lista pode incluir pessoas, agências governamentais ou empresas.

    Dependendo de quem sejam seus adversários, em alguns casos esta lista pode se tornar algo que você queira destruir após terminar sua modelagem de ameaça.

    O quão graves serão as consequências caso eu falhe?

    Existem diversas formas pelas quais um adversário pode ameaçar seus dados. Por exemplo, um adversário pode ler suas comunicações pessoais enquanto tem acesso à rede, ou pode apagar ou corromper seus dados.

    Os objetivos dos adversários diferem enormemente, assim como seus ataques. Um governo tentando evitar a disseminação de um vídeo que mostra violência policial pode se satisfazer simplesmente apagando ou reduzindo a disponibilidade deste vídeo. Por outro lado, um adversário político pode querer ter acesso a conteúdos secretos e publicar este conteúdo sem que você saiba.

    A modelagem de ameaças envolve compreender o quão graves as consequências podem ser caso um adversário ataque com sucesso um de seus ativos. Para chegar a esta conclusão, você deve levar em conta os recursos dos quais seu adversário dispõe. Por exemplo, sua operadora de telefonia móvel tem acesso a todas as suas ligações e, consequentemente, a capacidade de usar estes dados contra você; um hacker numa rede Wi-Fi aberta pode acessar suas comunicações não criptografadas; já seu governo pode ter recursos ainda mais abrangentes.

    Coloque num papel o que o seu adversário pode querer fazer com seus dados privados.

    O quão provável é que eu precise protegê-las?

    Risco é a probabilidade de que uma ameaça específica contra um ativo específico efetivamente venha a se concretizar. Ele é sempre proporcional à capacidade. Apesar de sua operadora de telefonia celular ter a capacidade de acessar todos os seus dados, o risco de que ela poste seus dados online para prejudicar sua reputação é baixo.

    É importante distinguir entre ameaças e riscos. Enquanto uma ameaça é algo ruim que pode ocorrer, risco é a probabilidade de que esta ameaça seja levada a termo. Por exemplo, sempre há a ameaça de que seu prédio possa desmoronar, mas o risco de isso acontecer é bem maior em São Francisco (onde terremotos são comuns) do que em Estocolmo (onde eles não são).

    Efetuar uma análise de risco é ao mesmo tempo um processo pessoal e subjetivo: nem todas as pessoas têm as mesmas prioridades ou enxergam ameaças da mesma forma. Muitas pessoas acham certas ameaças inaceitáveis, independente do risco delas ocorrerem, porque a mera presença da ameaça, por menor que seja o risco, não compensa. Em outros casos, pessoas desprezam riscos altos porque não veem a ameaça como um problema.

    Coloque num papel quais ameaças você deseja levar a sério, e quais são tão raras ou tão sem consequências (ou difíceis de combater) que não vale à pena se preocupar.

    Até onde eu estou disposto a ir para tentar evitar potenciais consequências?

    Responder a esta pergunta requer a condução da análise de riscos. Nem todas as pessoas têm as mesmas prioridades ou enxergar as ameaças da mesma maneira.

    Por exemplo, um advogado que representa um cliente em um caso de segurança nacional estará provavelmente disposto a utilizar mais recursos para proteger as comunicações sobre o caso, como por exemplo utilizar e-mails criptografados, do que uma mãe que regularmente envia à sua filha e-mails com vídeos engraçados de gatos.

    Coloque num papel as opções disponíveis para ajudá-lo a atenuar as ameaças que você enfrenta pessoalmente. Leve em conta suas restrições de orçamento, técnicas, ou sociais.

    Modelagem de ameaças como uma prática regular

    Tenha em mente que seu modelo de ameaça pode mudar de acordo com a mudança da sua situação pessoal. Desta maneira, conduzir modelagens de ameaça frequentes é uma boa prática.

    Crie seu próprio modelo de ameaça baseado em sua situação única. Feito isso, marque em sua agenda uma data no futuro para rever este modelo de ameaça e verificar se ele ainda se enquadra na sua situação.

    Última revisão: 
    10-01-2019
  • Conversando com outras pessoas

    As redes de telecomunicação e a internet fizeram com que a comunicação com outras pessoas tenha se tornado cada vez mais fácil, mas também tornaram a vigilância mais predominante. Sem tomar cuidados adicionais para proteger sua privacidade, qualquer ligação telefônica, mensagem de texto, e-mail, mensagem instantânea, chats por meio de vídeo ou áudio ou mensagem enviada pelas redes sociais pode estar vulnerável a bisbilhoteiros.

    O meio mais seguro para conversar com outras pessoas e proteger sua privacidade costuma ser ao vivo, frente a frente, sem qualquer envolvimento de computadores ou telefones. Como isto nem sempre é possível, a segunda melhor maneira é utilizar a criptografia ponta-a-ponta.

    Como funciona a criptografia ponta-a-ponta?

    A criptografia ponta-a-ponta garante que a informação seja transformada em uma mensagem secreta por seu emissor original (a primeira “ponta”) e que seja decodificada apenas por seu destinatário final (a segunda “ponta”). Isto significa que ninguém consegue interceptar e bisbilhotar o que você anda fazendo – e isto inclui bisbilhoteiros de Wi-Fi de cafés, seu provedor de internet ou mesmo o próprio site ou aplicativo que você está utilizando. De maneira um tanto contraintuitiva, não é só porque você acessa mensagens em um aplicativo no seu celular ou acessa informações em um site no seu computador, que a empresa que desenvolveu o próprio aplicativo ou a plataforma do site consegue vê-las. Esta é uma característica central da boa criptografia: mesmo as pessoas que a projetam e implantam não são capazes de quebrá-la.

    Todas as ferramentas que nós ensinamos a utilizar nos guias que estão publicados no site do SSD usam criptografia ponta-a-ponta. Você pode utilizar criptografia ponta-a-ponta para qualquer tipo de comunicação, o que inclui chamadas de voz e de vídeo, troca de mensagens, chat e mensagens de e-mail.

    (A encriptação transport-layer não deve ser confundida com a encriptação ponta-a-ponta. Enquanto a criptografia ponta-a-ponta protege as mensagens ao longo de todo o caminho que elas percorrem até chegar ao destinatário, a criptografia transport-layer protege-as apenas enquanto elas navegam do seu dispositivo até os servidores do aplicativo e dos servidores do aplicativo para o dispositivo do destinatário. No meio deste caminho, o provedor do serviço de troca de mensagens – ou o site em que você está navegando ou o aplicativo que você está usando – pode ter acesso a versões não criptografadas das suas mensagens.)

    Por debaixo dos panos, a criptografia ponta-a-ponta funciona assim: quando duas pessoas querem se comunicar por meio de criptografia ponta-a-ponta (por exemplo, Akiko e Boris), cada um deles precisa gerar um tipo específico de dado chamado “chave”. Essas chaves podem ser utilizadas para transformar dados que qualquer pessoa consegue ler em dados que só podem ser lidos por alguém que tenha uma chave correspondente. Antes de Akiko enviar uma mensagem para Boris, ela criptografa o texto de acordo com a chave de Boris, de tal maneira que apenas ele conseguirá desencriptar. Em seguida, ela envia a mensagem pela internet. Se alguém estiver bisbilhotando na conversa de Akiko e Boris – mesmo que esta pessoa tenha acesso ao servidor que Akiko está utilizando para enviar esta mensagem (como a conta de e-mail dela, por exemplo) – verá apenas dados criptografados e não conseguirá ler a mensagem. Quando Boris recebê-la, ele precisará usar sua chave para transformá-la numa mensagem legível.

    Alguns serviços, tal como o Google Hangouts, divulgam que utilizam “criptografia”, mas usam chaves que são criadas e controladas pelo Google – e não pelo emissor e pelo destinatário final da mensagem. Isto não é criptografia ponta-a-ponta. Para ser verdadeiramente segura, apenas as “pontas” da conversa devem ter as chaves que permitem encriptar e desencriptar. Se o serviço que você utiliza controla as chaves, isto significa que se trata de criptografia transport-layer.

    Usar a criptografia ponta-a-ponta significa que os usuários precisam manter suas chaves em segredo. Também pode significar trabalhar para garantir que as chaves utilizadas para encriptar e desencriptar pertencem às pessoas certas. Usar a criptografia ponta-a-ponta pode envolver algum esforço – desde simplesmente escolher baixar um aplicativo que oferece este tipo de encriptação até proativamente verificar chaves –, mas é a melhor maneira de os usuários verificarem a segurança de suas conversas sem precisarem confiar na plataforma que ambos estão utilizando.

    Aprenda mais sobre criptografia em O que eu deveria saber sobre criptografia?, Conceitos-chave na criptografia e Diferentes tipos de criptografia. Nós também explicamos um tipo específico de criptografia ponta-a-ponta – chamada de “criptografia de chave pública” – em mais detalhes no guia Um mergulho profundo na criptografia ponta-a-ponta.

    Ligações telefônicas e mensagens de texto versus mensagens criptografadas enviadas pela internet

    Quando você faz uma ligação de um telefone fixo ou de um celular, a chamada não é criptografada de ponta-a-ponta. Quando você envia uma mensagem de texto (também conhecida como SMS) em um celular, não há nada de criptografia no texto. Ambos os meios permitem que governos ou qualquer outra pessoa com poder sobre a companhia telefônica possa ler suas mensagens ou gravar suas conversas. Se a sua avaliação de risco inclui interceptações feitas por governos, é preferível que você use meios alternativos criptografados que operam por meio da internet. Como bônus, várias destas alternativas criptografadas também oferecem comunicação por vídeo.

    Alguns exemplos de serviços ou softwares que oferecem criptografia ponta-a-ponta para mensagens de texto, mensagens de voz e chamadas de vídeo são:

    Alguns exemplos de serviços que não oferecem criptografia ponta-a-ponta como configuração padrão são:

    • Google Hangouts
    • Kakao Talk
    • Line
    • Snapchat
    • WeChat
    • QQ
    • Yahoo Messenger

    E alguns serviços, como o Facebook Messenger e o Telegram, apenas oferecem criptografia de ponta-a-ponta se você a ativar intencionalmente. Outros, como o iMessage, só fornecem criptografia ponta-a-ponta quando ambos os usuários estiverem utilizando um dispositivo específico (no caso do iMessage, ambos os usuários precisam estar usando um iPhone).

    Quanto você pode confiar no seu serviço de envio de mensagens?

    A criptografia ponta-a-ponta pode te proteger da vigilância feita por governos, hackers e pelo próprio serviço de envio de mensagens. Mas todos estes grupos podem fazer alterações secretas no software que você usa, de tal maneira que, mesmo que o serviço reivindique usar criptografia ponta-a-ponta, ele está, na verdade, enviando seus dados sem encriptação ou com uma criptografia fraca.

    Muitos grupos, incluindo a EFF, gastam seu tempo observando servidores conhecidos (como o Whatsapp, de propriedade do Facebook, ou o Signal) para assegurar que eles estão de fato fornecendo a criptografia ponta-a-ponta que prometem. Mas se você está preocupado com estes riscos, você pode utilizar ferramentas que usam técnicas de criptografia conhecidas e revisadas publicamente e que são projetadas para ser independentes dos sistemas de transporte que utilizam. OTR e PGP são dois exemplos. Estes sistemas dependem de alguma expertise do usuário para operar, são menos user friendly e são protocolos mais antigos que não utilizam todas as melhores técnicas modernas de criptografia.

    Off-the-Record (OTR) é um protocolo de criptografia ponta-a-ponta para conversas por mensagens de texto em tempo real, que pode ser utilizado por uma variedade de serviços de envio instantâneo de mensagens. Algumas ferramentas que incorporam o OTR são:

    PGP (ou Pretty Good Privacy) é o padrão para criptografia ponta-a-ponta de e-mail. Para instruções detalhadas sobre como instalar e usar a encriptação PGP no seu e-mail, veja:

    O uso do PGP para e-mail é mais adequado para usuários com experiência técnica que queiram se comunicar com outros usuários com experiência técnica, que saibam muito bem das complexidades e limitações do PGP.

    O que a criptografia ponta-a-ponta não faz

    A criptografia ponta-a-ponta protege o conteúdo das suas comunicações, mas não te protege de que outras pessoas saibam que você está se comunicando. Ela não protege seus metadados, o que inclui, por exemplo, a linha de título de uma mensagem de e-mail, de saber quem é a outra pessoa com quem você está se comunicando e quando vocês estão se comunicando. Se você estiver fazendo uma ligação de um telefone celular, a informação sobre a sua localização também é um metadado.

    Os metadados podem fornecer informações extremamente reveladoras sobre você mesmo quando o conteúdo das suas comunicações permanecer sigiloso.

    Os metadados sobre suas ligações telefônicas podem revelar algumas informações muito íntimas e sensíveis. Por exemplo:

    • Eles sabem que você ligou para um serviço de sexo por telefone às 2h24 da manhã e conversou por 18 minutos, mas eles não sabem sobre o que você falou.
    • Eles sabem que você ligou para o disque-prevenção ao suicídio, falando da ponte Golden Gate, mas o assunto da sua ligação permanece sigiloso.
    • Eles sabem que você falou com um serviço de teste de HIV, em seguida, com seu médico, e depois com o seu plano de saúde, tudo dentro do período de uma hora, mas eles não sabem o que foi conversado.
    • Eles sabem que você recebeu um telefonema do escritório local da NRA (Associação Nacional de Rifles), na época em que ela estava promovendo uma campanha contra a regulação do porte de armas, e que você ligou para seus senadores e representantes no Congresso imediatamente depois, mas o conteúdo destas ligações está protegido da intrusão por parte do governo.
    • Eles sabem que você ligou para um ginecologista, conversou por meia hora e depois ligou para o número do grupo local de planejamento familiar (planned parenthood) mais tarde naquele dia, mas ninguém sabe sobre o que você falou.

    Outras características importantes

    A criptografia ponta-a-ponta é apenas uma das muitas características que podem ser importantes para você em comunicações seguras. Como foi descrito acima, a criptografia ponta-a-ponta é ótima para impedir que empresas e governos acessem suas mensagens. Mas, para muitas pessoas, empresas e governos podem não ser as maiores ameaças e, assim, a criptografia ponta-a-ponta pode não ser sua principal prioridade.

    Por exemplo, se alguém está preocupado que seu esposo ou sua esposa, pai ou mãe ou empregador ou empregadora tenha acesso físico a seu dispositivo, então a possibilidade de enviar mensagens efêmeras, que desaparecem logo em seguida do envio, pode ser um fator decisivo na escolha de um aplicativo de envio de mensagens. Outra pessoa pode estar preocupada em divulgar seu número de telefone, então a possibilidade de usar um número não-telefônico como “alias” pode ser importante.

    De maneira geral, configurações de segurança e privacidade não são as únicas variáveis que importam quando você for escolher um meio seguro de comunicação. Um aplicativo com ótimas características de segurança não vale nada se nenhum de seus amigos e contatos o usam e os aplicativos mais populares e amplamente utilizados podem variar de maneira significativa de país para país e de comunidade para comunidade. Baixa qualidade do serviço ou ter que pagar por um aplicativo também podem tornar um app inadequado para algumas pessoas.

    Quanto mais claramente você entender o que você quer e precisa que um método de comunicação ofereça, mais fácil será navegar pelo enorme mar disponível de informações extensas, conflitantes e, por vezes, desatualizadas.

    Última revisão: 
    07-12-2018
  • Mantendo seus dados seguros

    Se você tem um smartphone, laptop ou tablet, você carrega com você uma enorme quantidade de dados o tempo todo. Seus contatos pessoais, suas comunicações privadas, documentos e fotos pessoais (muitos dos quais podem conter informações confidenciais de dúzias ou mesmo de milhares de pessoas) são apenas alguns dos exemplos de coisas que você pode armazenar nos seus dispositivos digitais. Como armazenamos e carregamos conosco tantos dados, pode ser difícil mantê-los seguros – especialmente porque eles podem ser retirados de você com relativa facilidade.

    Seus dados podem ser confiscados na fronteira, tomados de você na rua ou roubados da sua casa e copiados em segundos. Infelizmente, proteger seu dispositivo com senhas, PINs ou gestos pode não proteger seus dados caso o dispositivo em si seja levado por outra pessoa. É relativamente simples contornar este tipo de proteção porque seus dados estão armazenados de forma relativamente simples de ser lida dentro do dispositivo. Um adversário precisar apenas ter acesso direto ao armazenamento do dispositivo para conseguir copiar ou inspecionar seus dados sem ter sua senha.

    Isto posto, você pode tornar o acesso aos seus segredos mais difícil para quem eventualmente venha a roubar fisicamente seus dados. Listaremos aqui algumas maneiras por meio das quais você pode ajudar a manter seus dados seguros.

    Criptografe seus dados

    Se você utilizar criptografia, seu adversário precisará tanto do seu dispositivo quanto da sua senha para decodificar os dados criptografados. Portanto, é mais fácil e seguro criptografar todos os seus dados e não apenas algumas pastas. A maioria dos computadores e smartphones oferecem a criptografia de disco completo como uma opção.

    Para smartphones e tablets:

    • Em dispositivos mais recentes, o Android oferece a opção de criptografia de disco inteiro no momento em que você configura seu dispositivo pela primeira vez. Em dispositivos mais antigos, este recurso pode ser ativado a qualquer momento nas configurações de “segurança”.
    • Dispositivos Apple como iPhone e iPad chamam o recurso de “Proteção de Dados” e o ativam se você configurar uma senha.

    Para computadores:

    • A Apple oferece um recurso embutido de criptografia no macOS, cujo nome é FileVault.
    • Distribuições do Linux geralmente oferecem criptografia de disco inteiro quando você configura seu sistema pela primeira vez.
    • O Windows Vista ou sistemas posteriores oferecem uma ferramenta de criptografia de disco inteiro chamada BitLocker.

    O código do BitLocker é fechado e proprietário, o que significa que é difícil para analistas externos avaliarem exatamente o quão seguro ele é. Usar o BitLocker requer que você confie que a Microsoft fornece um sistema de armazenamento seguro e sem vulnerabilidades ocultas. Por outro lado, se você já estiver usando o Windows, você já está confiando na Microsoft na mesma medida. Se você está preocupado com a vigilância feito por adversários que podem saber ou se beneficiar de um backdoor no Windows ou no BitLocker, avalie começar a utilizar um sistema operacional alternativo de fonte aberta, como o GNU/Linux ou BSD, especialmente uma versão que tenha sido criada para ser mais resistente contra ataques, tal como o Tails ou o Qubes OS. Como alternativa, considere instalar um programa de criptografia de disco alternativo, como o  Veracrypt, para criptografar seu disco rígido.

    Mas lembre-se: independente do nome dado pelo seu dispositivo ao recurso de criptografia, ele será sempre tão eficiente quanto a senha que você utilizar. Se um adversário estiver de posse de seu dispositivo, ele terá todo o tempo do mundo para descobrir suas senhas. Uma forma efetiva de criar e armazenar senhas fortes e simples de lembrar é utilizar um dado de números e uma lista de palavras para escolher palavras aleatoriamente. Juntas, estas palavras formarão sua “frase-chave”. Uma “frase-chave” é um tipo de senha mais comprida, com o objetivo de ser mais segura. Para criptografia de disco inteiro, nós recomendamos utilizar, no mínimo, seis palavras. Para mais informações, leia nosso guia Criando senhas fortes.

    Mas, sendo realista, a maioria de nós não irá memorizar e digitar frases-chaves longas nos nossos smartphones ou dispositivos móveis. Desse modo, enquanto a criptografia pode ser útil para evitar o acesso eventual, você deve preservar os dados que são realmente confidenciais, mantendo-os protegidos do acesso físico de aversários ou isolados à distância em um dispositivo muito mais seguro.

    Crie um dispositivo seguro

    Pode ser difícil manter um ambiente seguro. No melhor dos casos, você tem que mudar senhas, hábitos e talvez até mesmo o software que você usa em seu computador ou dispositivo principal. No pior dos casos, você tem que pensar constantemente se está deixando vazar informações confidenciais ou utilizando práticas inseguras. Mesmo quando você conhece os problemas, você pode não conseguir solucioná-los porque às vezes as pessoas como quem você precisa se comunicar fazem uso de práticas de segurança digitais inseguras. Por exemplo, seus colegas de trabalho podem querer que você continue a abrir anexos de e-mail enviados por eles, mesmo que você saiba que seus adversários poderiam fingir ser um deles para enviar malwares.

    Então qual é a solução? Sugerimos que você separe seus dados e comunicações valiosos em um dispositivo mais seguro. Você pode utilizar este dispositivo para manter uma cópia principal de seus dados confidenciais. Utilize este dispositivo apenas ocasionalmente e, quando o fizer, conscientemente tome muito mais cuidado com suas ações. Se você precisar abrir um anexo ou utilizar software inseguro, faça isto em outra máquina.

    Um computador seguro extra pode não ser uma opção tão cara quanto você imagina. Um computador que raramente é utilizado e que apenas executa alguns programas não precisa ser particularmente rápido ou novo. Você pode comprar um netbook antigo por um preço bem inferior ao preço de um laptop de um telefone modernos. Máquinas mais antigas têm também a vantagem de que softwares seguros, como o Tails, terão maior probabilidade de rodar neles do que em modelos mais recentes. Parte destes conselhos genéricos é quase sempre verdadeira. Quando você comprar um dispositivo ou um sistema operacional, mantenha-o sempre em dia com as atualizações de software/firmware mais recentes. Atualizações muitas vezes corrigem, em softwares antigos, problemas de segurança que poderiam ser explorados por ataques. Observe que alguns sistemas operacionais poderão não ser mais suportados, inclusive para atualizações de segurança.

    Quando for configurar um computador seguro, que passos devo seguir para torná-lo mais seguro?

    1. Mantenha seu dispositivo bem escondido e não fale abertamente sobre sua localização – deixe-o em algum lugar onde você poderá saber caso alguém tenha mexido nele, como, por exemplo, em um armário trancado.
    2. Criptografe o disco rígido de seu computador com uma frase-chave forte, de maneira que, caso seja roubado, os dados continuarão a ser ilegíveis sem sua senha.
    3. Instale um sistema operacional focado em privacidade e segurança, como o Tails. Você pode não conseguir (ou querer) utilizar um sistema operacional de fonte aberta no trabalho do seu dia-a-dia, mas se você precisa apenas armazenar, editar, e escrever e-mails ou mensagens instantâneas a partir deste dispositivo seguro, o Tails funcionará bem e tem as configurações de segurança mais rígidas como padrão de instalação.
    4. Mantenha seu dispositivo offline. Não é nenhuma surpresa que a melhor maneira de se proteger de ataques vindos da internet ou de vigilância online é nunca se conectar à internet. Você pode se certificar de que seu dispositivo seguro jamais se conecte a uma rede local ou a uma rede sem fio e apenas copiar arquivos para ele ou dele utilizando mídias físicas, como por exemplo DVDs ou dispositivos USB. Em segurança de redes, isso é conhecido como um “air gap” entre o computador e o resto do mundo. Apesar de extrema, esta pode ser uma opção caso você deseje proteger dados que raramente acessa, mas que não quer perder (como, por exemplo, uma chave de criptografia, uma lista de senhas ou uma cópia de segurança dos dados pessoais de alguém que foi confiada a você). Na maior parte desses casos, você pode querer considerar ter apenas um dispositivo de armazenamento escondido em vez de um computador completo. Um pen drive USB criptografado e escondido em local seguro, por exemplo, é, provavelmente, tão útil (ou tão inútil) quanto um computador completo desconectado da internet.
    5. Não se conecte às suas contas habituais. Se você utiliza seu dispositivo seguro para se conectar à internet, crie contas separadas de e-mail ou para a web para se comunicar a partir deste dispositivo, e use o Tor (veja guias para Linux, macOS e Windows) para manter seu endereço IP oculto destes serviços. Se alguém escolher especificamente você como alvo para envio de malware ou se estiver simplesmente interceptando suas comunicações, contas separadas e o uso do Tor podem ajudar a quebrar a ligação entre sua identidade e esta máquina específica.

    Ao mesmo tempo em que ter um dispositivo seguro que contenha informações importantes e confidenciais pode ajudá-lo a se proteger de adversários, ele também se torna um alvo óbvio. Há ainda o risco de perder a única cópia de seus dados caso a máquina venha a ser destruída. Se seu adversário pode se beneficiar caso você perca todos os seus dados, não os mantenha em apenas um lugar, independentemente de quão seguro seja este local. Criptografe uma cópia e o mantenha em um local separado.

    Uma alternativa a ter uma máquina extra segura é ter uma máquina insegura: um dispositivo que você só utiliza quando estiver indo para lugares perigosos ou quando está tentando fazer uma operação arriscada. Muitos jornalistas e ativistas, por exemplo, levam consigo um netbook básico quando viajam. Este computador não contém nenhum de seus documentos, nem informações de contatos habituais ou de e-mails e, por isso, haverá perda mínima caso ele seja confiscado ou tenha seus dados copiados. Você pode aplicar a mesma estratégia com telefones móveis. Se você costuma utilizar um smartphone, considere comprar um telefone descartável barato e levá-lo quando for viajar ou quando for fazer comunicações específicas.

    Última revisão: 
    02-11-2018
  • Coisas para levar em consideração quando cruzar a fronteira para os Estados Unidos

    Você está planejando cruzar a fronteira para os Estados Unidos em breve? Você sabia que o governo tem o direito de, sem a necessidade de um mandado judicial, revistar os viajantes que estão na fronteira – inclusive quando eles aterrissam em aeroportos internacionais – como parte de seu poder tradicional de controlar o fluxo de objetos que entra no país? (Veja que, ainda que existam algumas das mesmas justificativas jurídicas para realizar buscas naqueles que estão deixando os Estados Unidos e ainda que seja possível que estas buscas aconteçam, não é uma rotina que os viajantes sejam revistados ao sair do país.)

    Para um tratamento mais aprofundado deste tema, veja o guia da EFF Privacidade digital na fronteira dos Estados Unidos: como proteger os dados nos seus dispositivos.

    Aqui estão algumas recomendações para você ter em mente quando cruzar a fronteira dos Estados Unidos:

    Os agentes da fronteira podem exigir seus dados digitais. Leve em conta seus fatores individuais de avaliação de risco: seu status de imigração, seu histórico de viagem, o quão sensíveis são seus dados e outros fatores que podem influenciar suas escolhas.

    Fique atento: precauções pouco usuais podem fazer com que os agentes da fronteira fiquem desconfiados.

    • Faça uma cópia de segurança [back-up] dos seus dispositivos. Isto pode ajudar caso um – ou mais de um – de seus dispositivos seja apreendido. Você pode usar um serviço de back-up online ou um disco rígido externo. Nós não recomendamos que você leve seu laptop e seu HD externo de back-up junto com você ao mesmo tempo.
    • Reduza a quantidade de dados que você leva com você ao cruzar a fronteira. Considere viajar com um laptop “limpo”. Mas perceba que simplesmente arrastar arquivos para o lixo não os deleta completamente. Verifique que você deletou seus arquivos de maneira segura. Também considere deixar seu celular habitual em casa, compre um telefone temporário e transfira seu chip ou então obtenha um novo número quando você chegar no seu destino.
    • Criptografe seus dispositivos. Nós recomendamos usar a criptografia de disco completo nos seus dispositivos (laptops, telefones celulares etc.) e escolher frases-chave seguras.
    • Se um agente da fronteira pedir sua frase-chave, você não é obrigado a obedecer. Apenas um juiz pode te obrigar a revelar informações como essa. No entanto, a recusa em cooperar com as autoridades pode trazer consequências: para os não-cidadãos norte-americanos, sua entrada no país pode ser negada; para os cidadãos americanos, seu dispositivo pode ser apreendido ou você pode ser detido por várias horas.
    • Desligue seus dispositivos antes de chegar na fronteira para bloquear ataques de alta tecnologia.
    • Não conte com cadeados baseados nas impressões digitais ou em outro tipo de biometria; eles são mais fracos do que senhas convencionais.
    • Os agentes podem ter acesso ao conteúdo da sua nuvem – armazenado ou em cache – por meio dos aplicativos e navegadores que você tiver no seu dispositivo. Procure deslogar de aplicativos e navegadores, remover suas credenciais de login salvas ou desinstalar aplicativos sensíveis.
    • Se tiver que lidar com agentes da fronteira, lembre-se destas três coisas: seja gentil, não minta e não interfira fisicamente para bloquear ou atrapalhar a revista feita pelo agente. Agentes de fronteira tem o direito de olhar os aspectos físicos dos seus dispositivos (para verificar se drogas não estão armazenadas no compartimento da bateria de um laptop, por exemplo).

    Não está seguro de que irá se lembrar de todas estas dicas? Veja o Guia de Bolso para Revistas na Fronteira, desenvolvido pela EFF, que foi pensado para ser impresso, dobrado e levado com você enquanto você viaja.

     

    Última revisão: 
    29-10-2018
  • Escolhendo a VPN (rede virtual privada) mais adequada para você

    O que é uma VPN? A VPN é o acrônimo de “Virtual Private Network”, em inglês, que em português significa “rede virtual privada”. Ela permite que os computadores enviem e recebam dados por meio das redes públicas ou compartilhadas, como se estivesse conectada a uma rede privada - beneficiando-se das funcionalidades, da segurança e das políticas administrativas dela.

    Para o que é bom uma VPN?

    Você pode utilizar uma VPN para se conectar à intranet corporativa no seu escritório enquanto estiver em viagem externa, em sua casa ou em qualquer outro horário que esteja fora do seu local de trabalho.



    Você também pode utilizar uma VPN comercial para criptografar seus dados enquanto eles se deslocam por uma rede pública, como o Wi-Fi em um cibercafé ou em um hotel.



    Você pode utilizar uma VPN comercial para driblar a censura na Internet, em uma rede que bloqueia determinados sites ou serviços. Por exemplo, alguns usuários chineses utilizam VPNs comerciais para acessar sites bloqueados pelo sistema de controle chinês, chamado de a “Grande Muralha de Fogo da China"" (do inglês “Great Firewall of China”).

    Você pode se conectar também à sua rede doméstica, executando seu próprio serviço de VPN, utilizando um software de código aberto, como o OpenVPN.

    O que não faz uma VPN?

    Uma VPN protege o seu tráfego de Internet da vigilância nas redes públicas, mas não protege seus dados das pessoas na rede privada, a qual você está utilizando. Caso esteja usando uma VPN corporativa, então quem quer que esteja ocupando a rede corporativa verá o seu tráfego. Se estiver utilizando uma VPN comercial, quem quer que esteja usando o serviço poderá ver o seu tráfego.

    Um serviço de VPN de má reputação pode fazer isso deliberadamente, para recolher informações pessoais ou outros dados valiosos.



    O administrador da rede VPN corporativa ou comercial pode estar sujeito também às pressões de governos ou aos agentes de aplicação da lei para fornecer informações sobre os dados que você enviou por meio da rede. Você deve rever as políticas de privacidade do seu provedor de VPN sobre as circunstâncias que ele pode fornecer seus dados aos governos ou agentes de aplicação da lei.



    Você deve tomar nota também dos países que o seu provedor de VPN faz negócios. Ele estará sujeito às leis dessas nações, as quais podem incluir tanto as solicitações do governo às suas informações como as de outros países com os quais esse provedor mantém um tratado de assistência jurídica. Em alguns casos, as leis permitirão solicitações, sem avisá-lo ou dar oportunidade para que conteste tal pedido.



    A maioria das VPNs requer que você pague utilizando um cartão de crédito, o qual contém informações sobre sua pessoa, as quais talvez não queira divulgar para o seu provedor da VPN. Se quiser manter registrado o número do seu cartão de crédito no seu provedor de VPN comercial, utilize um provedor que aceite Bitcoins ou use números de cartões de crédito provisórios ou descartáveis. Também observe que quando utiliza o serviço do provedor de VPN, ele ainda pode coletar o seu endereço de IP, o qual pode ser utilizado para identificá-lo, mesmo se você usar um método de pagamento alternativo. Caso queira manter seu endereço IP oculto de seu provedor de VPN, utilize o Tor ao conectar-se à sua VPN.

    Clique aqui para obter as informações sobre serviços específicos de VPN.

    Nós da EFF não podemos confirmar essa pontuação dos VPNs. Algumas VPNs com políticas de privacidade exemplares poderiam perfeitamenteser mantidas por pessoas desonestas. Não utilize uma VPN na qual você não confie.

    Última revisão: 
    17-10-2014
Next:
JavaScript license information