Playlist
  • Juventude LGBT

    Dicas e ferramentas para ajudá-lo a acessar os recursos LGBT com mais segurança, navegar nas redes sociais e evitar bisbilhoteiros

    Se você precisa de apoio adequado e acesso aos recursos LGBT, este guia ensina como explorar de maneira segura esses recursos on-line para ajudar a evitar uma exposição acidental com seus colegas, familiares ou anunciantes on-line como resultado de rastreamento on-line ou bisbilhoteiros.

  • Escolhendo suas ferramentas

    Todas as ferramentas digitais, sejam elas de hardware ou de software, devem ser seguras. Ou seja, elas devem protegê-lo de vigilância, e evitar que o seu dispositivo seja controlado por terceiros. Lamentavelmente, atualmente esse não é o caso. Para muitas atividades digitais, você pode terminar necessitando de programas dedicados ou equipamentos destinados a prover funções de segurança específicas. Os exemplos que utilizamos neste guia incluem um software que lhe permite criptografar suas mensagens ou arquivos, como o PGP.

    Como escolher o mais adequado para você, dado o grande número de empresas e websites que oferecem programas ou hardware de segurança?

    A segurança é um processo, não uma compra Anchor link

    Antes de trocar o software que você utiliza ou comprar novas ferramentas, a primeira coisa a recordar é que nenhuma ferramenta lhe proporcionará proteção absoluta de vigilância em todas as circunstâncias. A utilização de software de criptografia geralmente torna mais difícil que outros leiam suas comunicações ou vasculhem os arquivos em seu computador. Mas os que ataques a sua segurança digital sempre procurarão o elemento mais fraco de suas práticas de segurança. Quando utilizar uma nova ferramenta de segurança, você deve pensar em como a sua utilização pode afetar outras maneiras que alguém poderia atingi-lo. Por exemplo, se você decidir utilizar um programa de mensagens de texto seguro para falar com um contato porque sabe que o seu telefone pode estar comprometido, talvez o simples fato de estar utilizando esse programa, dê a um oponente um indício de que você está falando informações confidenciais?

    Em segundo lugar, lembre-se de seu modelo de ameaça. Você não precisa comprar algum sistema de telefonia criptografado caro, que se diz ser “à prova da NSA”, se a sua maior ameaça é a vigilância física de um investigador particular sem nenhum acesso às ferramentas de vigilância na Internet. Alternativamente, se você está enfrentando um governo que condena regularmente dissidentes porque eles utilizam ferramentas de criptografia, pode fazer sentido usar truques mais simples, como um conjunto de códigos pré-arranjados, em vez do risco de deixar evidências que você utiliza software de criptografia em seu laptop.

    Tendo tudo isso em conta, eis aqui algumas perguntas que você pode fazer sobre uma ferramenta antes de fazer download, comprá-la ou utilizá-la.

    O quão transparente é? Anchor link

    Apesar da segurança digital parecer ser principalmente sobre manter segredos, há uma forte crença entre os pesquisadores de segurança que a abertura e a transparência levam a ferramentas mais seguras.

    Grande parte do software utilizado e recomendado pela comunidade de segurança digital é livre e de código aberto, o que significa dizer que o código que define a forma como ele funciona é disponível publicamente para outros examinarem, modificarem e compartilharem. Por serem transparentes quanto à sua funcionalidade, os criadores destas ferramentas convidam outras pessoas a procurar falhas de segurança e ajudar a melhorar o programa.

    O software aberto oferece a oportunidade de uma segurança melhor, mas não a garante. A vantagem do código aberto depende em parte de uma comunidade de tecnólogos que efetivamente verificam o código, que para pequenos projetos (e mesmo para os complexos, populares) pode ser difícil de alcançar. Quando você estiver utilizando uma ferramenta, veja se seu código fonte está disponível e se tem uma auditoria de segurança independente para confirmar a qualidade da sua segurança. Pelo menos, o software e o hardware devem ter uma explicação técnica detalhada de como funcionam para que outros especialistas possam inspecioná-los.

    Quão claro são os seus criadores em relação à suas vantagens e desvantagens? Anchor link

    Nenhum software ou hardware é plenamente seguro. Os criadores e vendedores que são honestos sobre as limitações dos seus produtos lhe darão uma ideia muito mais sólida se seu aplicativo é adequado para você.

    Não acredite em declarações genéricas que dizem que o código é de "nível militar" ou "à prova da NSA"; estes nada significam e advertem claramente que os criadores estão superestimando ou indispostos a considerar possíveis falhas em seus produtos.

    Em virtude dos invasores estarem sempre tentando descobrir novas maneiras de quebrar a segurança das ferramentas, o software e o hardware precisam ser atualizados com frequência para corrigir novas vulnerabilidades. Se os criadores de uma ferramenta não estão dispostos a fazê-lo, seja pelo receio da má publicidade, ou por não terem elaborado a infraestrutura para corrigir problemas, pode ser um problema sério.

    Não se pode prever o futuro, mas um bom indicador de como os fabricantes de ferramentas se comportarão no futuro é o seu histórico de atividades. Se o website da ferramenta relaciona os problemas anteriores e links para as atualizações regulares e informações, especificamente há quanto tempo o software recebeu a última atualização - você pode confiar que eles continuarão a prestar este serviço no futuro.

    O que acontece se os criadores se veem comprometidos? Anchor link

    Quando os fabricantes de ferramentas de segurança criam software e hardware, eles (assim como você) devem ter um claro modelo de ameaça. Os melhores criadores descreverão explicitamente em sua documentação de quais tipos de invasores eles podem protegê-lo.

    Mas existe um invasor que muitos fabricantes não querem pensar: se eles mesmos se veem comprometidos ou decidem atacar seus próprios usuários. Por exemplo, um tribunal ou governo obriga uma empresa a ceder os dados pessoais ou criar uma “porta dos fundos” que removerá todas as proteções que sua ferramenta oferece. Você pode querer considerar a(s) jurisdição(ções) base(s) dos criadores. Se a sua ameaça provém do governo do Irã, por exemplo, uma empresa com sede nos Estados Unidos poderá se contrapor às ordens judiciais iranianas, mesmo que ela deva cumprir as ordens dos EUA.

    Mesmo que um criador seja capaz de resistir à pressão governamental, um intruso pode tentar obter o mesmo resultado invadindo os próprios sistemas dos fabricantes de ferramentas para atacar os seus clientes.

    As ferramentas mais resistentes são aquelas que consideram isso como um possível ataque, e são projetadas para se defender contra isso. Procure inscrições que assegurem que um criador não pode acessar dados confidenciais, em lugar de promessas que o mesmo não o fará. Procure instituições com fama de lutar contra as ordens judiciais para proteger os dados pessoais.

    Verifique a existência de registros e críticas on-line Anchor link

    É claro que empresas vendendo produtos e entusiastas anunciando seu mais recente software podem estar enganados, induzir a erro, ou até mesmo mentir propositalmente. Um produto que foi originalmente seguro pode se revelar no futuro como tendo terríveis falhas de segurança. Assegure-se de estar bem informado das últimas notícias sobre as ferramentas que utiliza.

    Você conhece outras pessoas que utilizam a mesma ferramenta? Anchor link

    Manter-se a par das últimas notícias sobre uma ferramenta é um trabalho enorme para uma só pessoa. Se você tem colegas que utilizam um determinado produto ou serviço, trabalhe com eles para ficar informado do que está acontecendo.

    Produtos mencionados neste guia Anchor link

    Procuramos garantir que o software e o hardware que mencionamos neste guia atendem aos critérios que relacionamos abaixo: temos feito um esforço de boa fé para listar apenas produtos que têm uma base sólida, com base no que atualmente sabemos sobre segurança digital, que são geralmente transparentes sobre o seu funcionamento (e suas falhas), que têm defesas contra a possibilidade de que os próprios criadores se veem comprometidos, e que atualmente são mantidos com uma grande base de usuários e tecnicamente bem informados. Acreditamos que eles tenham, no momento da escrita, a atenção de uma grande audiência que os está examinando em busca de falhas, e levantaria rapidamente quaisquer preocupações para o público. Entenda que não temos os recursos para examinar ou dar garantias independentes sobre a sua segurança, que não estamos endossando esses produtos e não podemos garantir sua total segurança.

    Qual telefone eu devo comprar? Qual computador? Anchor link

    Algumas das questões mais frequentes recebidas pelos instrutores de segurança são "Devo comprar um Android ou um iPhone?” ou “Devo utilizar um PC ou um Mac?” ou “Qual sistema operacional devo utilizar?” Não há respostas simples para essas questões. A segurança relativa do software e dos dispositivos está constantemente mudando à medida que novas falhas são descobertas e bugs antigos são corrigidos. As empresas podem competir entre si para lhe oferecer uma melhor segurança, ou todas elas podem estar sob pressão de governos para enfraquecer essa segurança.

    No entanto, algumas recomendações gerais são quase sempre verdadeiras. Quando comprar um dispositivo ou um sistema operacional, mantenha-os em dia com as atualizações de softwares. As atualizações quase sempre corrigirão problemas de segurança em códigos antigos que os ataques podem explorar. Os telefones e os sistemas operacionais mais antigos não têm mais suporte, mesmo para as atualizações de segurança. Particularmente, a Microsoft deixou claro que o Windows XP e as versões anteriores do Windows não receberão correções, até mesmo para os graves problemas de segurança. Se você utiliza o XP, não pode esperar que ele esteja seguro de invasores (o mesmo se aplica para o OS X antes de 10.7.5 ou o “Lion”).

    Last reviewed: 
    2015-07-28
    A versão em Inglês pode estar mais atualizada.
  • Protegendo-se nas redes sociais

    As redes sociais são alguns dos sites e ferramentas mais populares na internet. O Facebook, Google+ e o Twitter têm, cada um, centenas de milhões de usuários.

    As redes sociais são criadas normalmente com a ideia de compartilhar postagens, fotos e informações pessoais. No entanto, elas também tornaram-se fóruns de organização e discussão, muitos dos quais baseiam-se na privacidade e no uso de pseudônimos. Assim, é importante considerar as seguintes questões ao utilizá-las: Como posso manter-me protegido ao interagir nesses sites? E quanto a minha privacidade básica? E quanto a minha identidade? E quanto aos meus contatos e associações? Quais informações e de quem eu quero mantê-las privadas?

    Dependendo de suas circunstâncias, pode ser necessário proteger-se contra o próprio site de mídia social, contra outros usuários do site ou de ambos.

    Aqui estão algumas dicas para tê-las em mente quando estiver configurando sua conta:

    Registrando-se em uma rede social Anchor link

    • Você quer utilizar o seu nome verdadeiro? Alguns sites de redes sociais têm as chamadas ""políticas de nome verdadeiro"", mas que se tornaram mais flexíveis com o tempo. Se não quiser utilizar o seu nome verdadeiro ao se inscrever em um site de rede social, não o faça.

    • Ao se registrar, não forneça mais informações que o necessário. Caso esteja preocupado em ocultar a sua identidade, utilize um endereço de e-mail à parte. Saiba que o seu endereço de IP pode ficar registrado quando fizer a inscrição.

    • Escolha uma senha forte e, se possível, ative a autenticação de dois fatores.

    • Cuidado com perguntas cujas respostas de recuperação de senha podem ser extraídas pelos seus dados na rede social. Por exemplo: “Qual é a cidade onde nasceu?” ou “Qual é o nome do seu animal de estimação?” Você deve escolher uma resposta falsa à pergunta de recuperação de senha. Uma boa maneira de lembrar as respostas às perguntas de recuperação de senhas, se escolheu utilizar uma resposta falsa para aumentar a segurança, é anotar as suas respostas escolhidas em um cofre de senhas

    Verificar a política de privacidade da rede social Anchor link

    Lembre-se de que as informações armazenadas por terceiros estão sujeitas às próprias políticas e podem ser utilizadas para fins comerciais ou compartilhadas com outras empresas como, por exemplo, as de marketing. Sabemos que ler políticas de privacidade é uma tarefa que beira o impossível, mas seria bom dar uma lida nas seções sobre como os seus dados serão utilizados, quando serão compartilhados com terceiros e como o serviço cumpre com as solicitações de aplicação da legislação.

    Os sites de redes sociais, geralmente de empresas com fins lucrativos, muitas vezes coletam informações confidenciais, além das que você informou explicitamente, como qual é a sua localização, quais são os seus interesses e com quais propagandas você interage, quais outros sites que visitou (por exemplo, por meio dos botões "Gostei"). Pode ser útil bloquear os cookies de terceiros e utilizar as extensões de bloqueio de rastreamento do navegador para assegurar-se de que as informações não estão sendo passivamente transmitidas a terceiros.

    Alguns sites de redes sociais, como o Facebook e o Twitter, têm relações comerciais com corretores de dados (do inglês data brokers) para direcionar os anúncios de forma mais eficaz. A EFF dispõe de guias que orientam como evitar estes sistemas de rastreamento:

    Alterando suas configurações de privacidade Anchor link

    Especificamente, como alterar as configurações padrão. Você quer, por exemplo, compartilhar suas postagens com o público ou apenas com um determinado grupo de pessoas? Elas devem conseguir encontrá-lo utilizando o seu endereço de e-mail ou seu número de telefone? Você quer compartilhar a sua localização automaticamente?

    Lembre-se de que as configurações de privacidade estão sujeitas às alterações. Algumas vezes, elas ficam mais rígidas e granulares, algumas outras não. Assegure-se de estar atento a essas mudanças para ver se alguma informação que já foi privada será compartilhada ou se quaisquer configurações adicionais possibilitará que tenha mais controle sobre a sua privacidade.

    Seu gráfico social Anchor link

    Lembre-se de que você não é a única pessoa que pode fornecer dados potencialmente confidenciais sobre si mesmo. Seus amigos podem marcá-lo em fotos, relatar sua localização e tornar públicas as conexões deles com você das mais diversas maneiras. Você pode ter a opção de desmarcar-se destes lugares, mas a privacidade não se aplica de modo retroativo. Você talvez queira falar com seus amigos sobre algo que fez e não se sinta confortável em compartilhar isso publicamente.

    Last reviewed: 
    2015-08-03
    A versão em Inglês pode estar mais atualizada.
  • Uma introdução à modelagem de ameaças

    Não há uma maneira única para manter-se seguro on-line. A segurança digital não está nas ferramentas que você utiliza, mas na compreensão das ameaças que enfrenta e como pode combate-las. Para estar mais seguro, você deve determinar o que é preciso proteger, e de quem. As ameaças podem mudar dependendo de onde você está, do que está fazendo, e com quem está trabalhando. Portanto, para determinar quais serão as melhores soluções, você deve realizar uma avaliação de modelagem de ameaças.

    Ao realizar uma avaliação, há cinco questões principais que você deve se perguntar: Anchor link

    1. O que você quer proteger?
    2. De quem você quer protegê-los?
    3. Quão provável é que você precise protegê-lo?
    4. Quão ruins serão as consequências caso você falhe?
    5. Quanto esforço você está disposto a fazer para preveni-las?

      Quando falamos sobre a primeira questão, normalmente nos referimos aos bens, ou às coisas que você está tentando proteger. Os bens são as coisas de valor que você quer proteger. Quando estamos falando sobre segurança digital, normalmente os bens em questão são as informações. Por exemplo, seus e-mails, lista de contatos, mensagens instantâneas e arquivos, são todos bens. Os seus equipamentos também são bens.

      Anote uma lista de dados que você mantém, onde são mantidos, quem tem acesso a eles, e o que impede os outros de acessá-los.

      Para responder a segunda questão, “De quem você quer protegê-los”, é importante compreender quem poderia querer atacar você ou sua informação, ou quem é seu oponente. Um oponente é qualquer pessoa ou entidade que apresenta uma ameaça contra seus bens. Exemplos de potenciais oponentes são seu chefe, seu governo ou um hacker em uma rede pública.

      Faça uma lista de quem poderia querer obter seus dados ou comunicações. Pode ser um indivíduo, uma agência governamental ou uma corporação.

      Uma ameaça é algo ruim que pode ocorrer a um bem. Existem inúmeras maneiras de um oponente ameaçar os seus dados. Por exemplo, um oponente pode ler suas comunicações privadas e divulgá-las através da rede ou excluir ou corromper seus dados. Um oponente pode também desativar o seu acesso a seus próprios dados.

      As motivações dos oponentes podem variar consideravelmente, assim como seus ataques. Ao tentar impedir a divulgação de um vídeo que mostra a violência policial, um governo pode simplesmente se contentar em excluir ou restringir a disponibilidade desse vídeo, enquanto um adversário político pode desejar obter acesso ao conteúdo secreto e publicá-lo sem o seu conhecimento.

      Anote o que o seu oponente pode querer fazer com seus dados privados.

      É importante também considerar a capacidade do seu invasor. Por exemplo, o provedor do seu telefone móvel tem acesso a todos os registros do seu telefone e portanto tem a capacidade de utilizar estes dados contra você. Em uma rede Wi-Fi aberta, um hacker pode acessar suas comunicações não criptografadas. Seu governo pode ter capacidades bem maiores.

      Uma última coisa a considerar é o risco. O risco é a probabilidade de que ocorra uma determinada ameaça contra certo bem, e parelha com a capacidade. À medida que o provedor do seu telefone móvel tem a capacidade de acessar todos os seus dados, o risco deles divulgarem seus dados privados on-line para prejudicar a sua reputação é baixo.

      É importante diferenciar as ameaças dos riscos. Enquanto que a ameaça é algo ruim que pode ocorrer, o risco é a probabilidade que ocorra a ameaça. Por exemplo, existe a ameaça de que seu prédio possa ruir, mas o risco disso ocorrer é muito maior em São Francisco (onde os terremotos são comuns) do que em Estocolmo (onde eles não são).

      Fazer uma análise de risco é um processo tanto pessoal quanto subjetivo; nem todos têm as mesmas prioridades ou enxergam as ameaças da mesma maneira. Muitas pessoas acham certas ameaças inaceitáveis independente do seu risco porque a mera presença da ameaça a qualquer probabilidade não vale o custo. Em outros casos, as pessoas relegam os altos riscos porque eles não enxergam a ameaça como um problema.

      Em um contexto militar, por exemplo, pode ser preferível que um bem seja destruído a deixá-lo cair nas mãos do inimigo. Em muitos contextos civis, contrariamente, é mais importante que os bens, como o serviço de e-mail fique disponível em vez de ser confidencial.

      Agora, vamos praticar a modelagem de ameaça Anchor link

      Se você quer manter a sua casa e os seus bens seguros, aqui estão algumas questões para se perguntar:

      • Eu devo trancar a minha porta?
      • Qual tipo de fechadura ou fechaduras eu devo investir?
      • Eu preciso ter um sistema de segurança mais avançado?
      • Quais são os bens neste cenário?
        • A privacidade da minha casa
        • Os itens dentro da minha casa
      • Qual é a ameaça?
        • Alguém poderia arrombar.
      • Qual é o risco atual de alguém arrombar? Isso é provável?

      Depois de se fazer essas perguntas, você estará em posição para avaliar que medidas tomar. Se seus bens são valiosos, mas o risco de arrombamento é baixo, então, você provavelmente não irá querer investir muito dinheiro em uma fechadura. Por outro lado, se o risco é alto, você irá querer ter as melhores fechaduras do mercado, e talvez até mesmo adicionar um sistema de segurança.

      Last reviewed: 
      2015-01-12
      This page was translated from English. The English version may be more up-to-date.
    1. Comunicando-se com outros

      As redes de telecomunicação e a internet tornaram a comunicação entre as pessoas mais fácil do que nunca, mas também permitiram que a vigilância se tornasse mais predominante do que jamais se viu na história da humanidade. Cada telefonema, mensagem de texto, e-mail, mensagem instantânea, ligação de voz sobre IP (VoIP), vídeo chat e mensagem de redes sociais podem ser vulneráveis a intrusos, caso não se tome medidas adicionais para proteger sua privacidade.



      Na maioria das vezes, a maneira mais segura de se comunicar com outras pessoas é pessoalmente, sem a presença de computadores ou telefones. Uma vez que isso nem sempre é possível, o melhor a ser feito é utilizar a criptografia ponto a ponto, caso precise proteger o conteúdo de suas comunicações quando se comunicar por meio de uma rede.

      Como funciona a criptografia ponto a ponto? Anchor link

      Quando duas pessoas querem se comunicar de modo seguro (por exemplo, a Akiko e o Boris), elas precisam gerar individualmente chaves de criptografia. Antes da Akiko enviar uma mensagem para o Boris, ela criptografa a chave dele para que somente o Boris possa decifrá-la. Então ela envia a mensagem já criptografada pela internet. Se alguém estiver espionando a Akiko e o Boris, mesmo que tenha acesso ao serviço que ela está utilizando para enviar essa mensagem (como a sua conta de e-mail), esta pessoa apenas verá os dados criptografados, mas não conseguirá ler a mensagem. Quando o Boris recebê-la, deve utilizar sua chave para descriptografá-la, tornando-a legível.



      A criptografia ponto a ponto requer algum sacrifício, mas é a única maneira dos usuários verificarem a segurança das suas comunicações, sem ter de confiar na plataforma que estão utilizando. Alguns serviços, como o Skype, afirmam que oferecem a criptografia ponto a ponto, mas, ao que parece, não a fazem. Para que a criptografia ponto a ponto seja segura, os usuários devem verificar se a chave que está criptografando as mensagens pertence à pessoa que eles acreditam que a criaram. Se o software de comunicação não tem essa capacidade integrada, então qualquer mensagem criptografada poderia, por exemplo, ser interceptada pelo próprio provedor de serviços, caso algum governo o obrigue a isso.

      Você pode ler o informativo Encryption Works (Funcionamento da Criptografia), da Freedom of the Press Foundation (Fundação para a Liberdade de Imprensa), para obter instruções detalhadas sobre como utilizar a criptografia ponto a ponto para proteger suas mensagens instantâneas e e-mails. Confira também os seguintes módulos da SSD:

      Chamadas de voz Anchor link

      Quando você faz uma ligação por telefone fixo ou celular, sua chamada não é criptografada ponto a ponto. Se estiver utilizando um aparelho móvel, a ligação pode ser (tenuemente) criptografada entre o seu celular e as torres de telefonia. No entanto, como sua conversa viaja pela rede de transmissão, ela é vulnerável à interceptação pela sua companhia telefônica e extensivamente por todos os governos ou organizações que têm poder sobre a sua empresa de telefonia. A maneira mais fácil de garantir que você tenha a criptografia ponto a ponto nas conversas de voz é utilizar o VoIP.

      Cuidado! A maioria dos provedores de VoIP, como o Skype e o Google Hangouts, oferecem criptografia em trânsito, de modo que os espiões não podem ouvi-las, porém seus próprios provedores ainda têm potencial de escutá-las. Isso pode ou não ser um problema, dependendo do seu modelo de ameaça.

      Dentre alguns serviços que oferecem a criptografia ponto a ponto nas chamadas por VoIP, incluem-se:

      Para ter conversas de VoIP criptografadas ponto a ponto, ambos devem utilizar o mesmo software (ou compatível).

      Mensagens de texto Anchor link

      As mensagens de texto padrões (SMS) não dispõem de criptografia ponto a ponto. Se você quer enviar mensagens criptografadas pelo seu telefone, considere utilizar um software de mensagens instantâneas criptografadas em vez de mensagens de texto SMS.

      Alguns serviços de mensagens instantâneas criptografadas ponto a ponto utilizam seu próprio protocolo. Então, por exemplo, os usuários do Signal, no Android e no iOS, podem conversar de modo seguro com outras pessoas que utilizam esses programas. O ChatSecure é um aplicativo móvel que criptografa conversas com o OTR em qualquer rede que usa o XMPP, significando que você pode escolher dentre os serviços, independentes de mensagens instantâneas.

      Mensagens instantâneas Anchor link

      O Off-the-Record (OTR) (Fora da Banda) é um protocolo de criptografia ponto a ponto para mensagens de texto em tempo real, o qual pode ser utilizado no topo de uma série de serviços.

      Dentre algumas ferramentas que incorporam o OTR nas mensagens instantâneas, incluem-se:

      Email Anchor link

      A maioria dos provedores de e-mail proporciona uma maneira de você acessá-los utilizando um navegador da Web, como o Firefox ou o Chrome. A maioria desses provedores suporta o protocolo HTTPS ou a criptografia de camada de transporte (do inglês transport-layer encryption). Você pode verificar se o seu provedor de e-mail suporta o protocolo HTTPS, acessando o seu webmail e conferindo se a URL no topo do seu navegador começa com as letras HTTPS em vez de HTTP (por exemplo: https://mail.google.com).

      Caso o seu provedor de e-mail suporte o HTTPS, mas não o faz por padrão, tente substituir o HTTP pelo HTTPS na URL e atualizar a página. Caso queira ter a certeza de sempre estar utilizando o protocolo HTTPS nos sites onde estiver disponível, faça o download do complemento do navegador HTTPS Everywhere, no Firefox ou no Chrome.

      Dentre alguns provedores de webmail que utilizam o protocolo HTTPS por padrão, incluem-se:

      • Gmail
      • Riseup
      • Yahoo

      Alguns provedores de webmail dão a opção de escolher utilizar o HTTPS por padrão, selecionando-o em suas configurações. O serviço mais popular, que ainda faz isso, é o Hotmail.



      O que faz a criptografia de camada de transporte (do inglês transport-layer encryption) e por que você precisa dela? O HTTPS, também referido como SSL ou TLS, criptografa suas comunicações de modo que elas não possam ser lidas por outras pessoas na sua rede. Isso pode incluir as que estão utilizando a mesma rede Wi-Fi em um aeroporto ou em uma cafeteria, no seu escritório ou na escola, os administradores de seu ISP, hackers maliciosos, agentes da lei ou do governo. As comunicações enviadas pelo seu navegador da Web, incluindo as páginas que você visita e o conteúdo de seus e-mails, postagens e mensagens, utilizando o protocolo HTTP em vez do HTTPS são de pouca importância para um oponente interceptá-las e lê-las.

      O HTTPS é o nível mais básico de criptografia para sua navegação na Web e é recomendado a todos. Ele é tão básico quanto colocar o cinto de segurança ao dirigir.



      Mas há algumas coisas que o HTTPS não faz. Quando você envia um e-mail utilizando o HTTPS, o seu provedor de e-mail ainda recebe uma cópia não criptografada da sua comunicação. Os governos e os agentes de aplicação da lei podem obter um mandato para acessar esses dados. Nos Estados Unidos, a maioria dos provedores de e-mail têm uma política que informa quando essas empresas receberem uma solicitação do governo, para que cedam os dados do usuário, desde que estejam legalmente autorizados a fazê-lo. Essas políticas, porém, são estritamente voluntárias e, em muitos casos, os provedores estão legalmente impedidos de informar essas solicitações de dados aos seus usuários. Alguns provedores de e-mail, como o Google, Yahoo e Microsoft, publicam relatórios de transparência, detalhando o número de solicitações que recebem do governo sobre os dados dos usuários, quais países fazem esses pedidos e quantas vezes a empresa cedeu essas informações.



      Se o seu modelo de ameaça inclui um governo ou agentes de aplicação da lei, ou se você tem alguma outra razão para assegurar que seu provedor de e-mail não possa ceder o conteúdo de suas comunicações por e-mail a um terceiro, considere utilizar a criptografia ponto a ponto nas suas comunicações por e-mail.

      A PGP (do inglês Pretty Good Privacy, que significa uma Privacidade Muito Boa) é um padrão para a criptografia ponto a ponto do seu e-mail. Utilizada corretamente, ela oferece proteções muito fortes às suas comunicações. Para instruções detalhadas de como instalar e utilizar a criptografia PGP para o seu e-mail, consulte os guias de:

      O que a criptografia ponto a ponto não faz? Anchor link

      A criptografia ponto a ponto protege apenas o conteúdo das suas comunicações e não o fato da comunicação em si. Ela não protege os seus metadados - que é todo o restante, incluindo a linha de assunto do seu e-mail ou com quem e quando você está se comunicando.



      Os metadados podem fornecer informações extremamente reveladoras sobre você, mesmo quando o conteúdo de sua comunicação permanece secreto.



      Os metadados das suas chamadas telefônicas podem fornecer algumas informações muito íntimas e confidenciais. Por exemplo:

      • Eles sabem que você ligou para um serviço de sexo por telefone às 2h24 e falou durante 18 minutos. Eles só não sabem o foi dito por você.
      • Eles sabem que você telefonou da Ponte Golden Gate para o número de atendimento à prevenção de suicídio, mas o tema da chamada permanece em segredo.
      • Eles sabem que você falou com um serviço de testes de HIV, em seguida falou com o seu médico e depois, na mesma hora, falou com a sua seguradora de saúde; porém, eles não sabem o que foi conversado.
      • Eles sabem que você recebeu uma chamada do escritório local da NRA (em inglês National Rifle Association, que é a Associação Nacional de Rifles) enquanto estava tendo uma campanha contra a legislação de armas e, a seguir, ligou imediatamente para os seus senadores e representantes do Congresso, mas o conteúdo dessas chamadas continua sendo protegido contra a intromissão do governo.
      • Eles sabem que você telefonou para um ginecologista, falou durante meia hora e mais tarde, naquele mesmo dia, ligou para o escritório local da ONG de planejamento familiar Planned Parenthood, mas ninguém sabe sobre o que você conversou.

      Se você estiver ligando de um telefone celular, as informações da sua localização são metadados. Em 2009, o político Malte Spitz, do Partido Verde, processou a Deutsche Telekom para forçá-los a entregar seis meses de dados do telefone de Spitz, os quais ele disponibilizou para um jornal alemão. A visualização resultante mostrou um histórico detalhado dos movimentos dele.

      Proteger seus metadados requer que utilize outras ferramentas, como o Tor, ao mesmo tempo que usa a criptografia ponto a ponto.



      Para se ter um exemplo de como o Tor e o HTTPS trabalham em conjunto para proteger o conteúdo de suas comunicações e de seus metadados de uma variedade de potenciais invasores, leia esta explicação.

      Last reviewed: 
      2017-01-12
      A versão em Inglês pode estar mais atualizada.
    2. Criando senhas fortes

      As pessoas reutilizam com frequência um pequeno número de senhas em muitas contas diferentes, sites e serviços, pois é difícil lembrar muitas senhas diferentes. Hoje em dia, é constantemente requerido aos usuários que ingressem com novas senhas, e muitas pessoas acabam reutilizando as mesmas senhas, dezenas ou mesmo centenas de vezes.

      Reutilizar senhas é uma prática excepcionalmente ruim, porque se um invasor se apodera de uma senha, ele muitas vezes tentará utilizar essa mesma senha em diversas outras contas que pertençam à mesma pessoa. Se essa pessoa tiver a mesma senha reutilizada muitas vezes, o invasor poderá acessar diversas contas. Isso significa que uma determinada senha pode ser tão segura quanto o serviço menos seguro, onde ela foi utilizada.

      Evitar a reutilização de senhas é uma precaução de segurança valiosa, mas você não conseguirá lembrar todas as suas senhas se cada uma for distinta. Felizmente, existem ferramentas de software para ajudar nisso - um gerenciador de senhas (também chamado de cofre de senhas) é um aplicativo que ajuda a armazenar uma grande quantidade de senhas com segurança. Isto torna mais prático evitar utilizar a mesma senha em vários contextos. O gerenciador de senhas protege todas as suas senhas com uma única senha mestre (ou, o que é ideal, uma frase-chave - veja a seguir), de modo que você tem que lembrar de uma só coisa. As pessoas que utilizam um gerenciador de senhas na verdade nem sabem as senhas para as suas diferentes contas; o gerenciador de senhas pode lidar com todo o processo de criar e lembrar lhes as senhas.

      Por exemplo, o KeePassX é um cofre de senhas gratuito e de código aberto, que você pode manter na sua área de trabalho. É importante observar que se estiver utilizando o KeePassX, ele não salva automaticamente as alterações e acréscimos. Isso significa que se ele falhar depois que você adicionou algumas senhas, você pode perdê-las para sempre. Você pode alterar isso nas configurações.

      Utilizar um gerenciador de senhas também o auxilia a escolher senhas fortes que são difíceis de serem descobertas por um invasor. Isso é importante também; pois constantemente os usuários de computador, escolhem senhas simples e curtas, que um invasor pode facilmente descobrir, como por exemplo "senha1", "12345", uma data de nascimento, ou de um amigo, do cônjuge, ou o nome do animal de estimação. Um gerenciador de senhas pode ajudá-lo a criar e utilizar uma senha aleatória sem padrões ou estrutura - que não possa ser descoberta. Um gerenciador de senhas pode, por exemplo, escolher senhas como "vAeJZ!Q3p$Kdkz/CRHzj0v7,” que é improvável que um ser humano possa se lembrar, ou mesmo adivinhar. Não se preocupe, pois o gerenciador de senhas pode lembrar isso para você!

      Sincronização de senhas através de múltiplos dispositivos Anchor link

      Você pode utilizar suas senhas em mais de um dispositivo, como no seu computador e no seu smartphone. Muitos gerenciadores de senha têm incorporado um recurso de sincronização de senhas. Quando sincronizar seu arquivo de senhas, este será atualizado em todos os seus dispositivos, de modo que se você adicionou uma nova conta no seu computador, ainda poderá acessá-la pelo seu telefone. Outros gerenciadores de senha oferecerão armazenar suas senhas "na nuvem", ou seja, eles armazenarão as suas senhas criptografadas em um servidor remoto, e quando você precisar delas em um laptop ou em um dispositivo móvel, eles irão recuperá-las e descriptografá-las para você automaticamente. Gerenciadores de senha que utilizam seus próprios servidores para armazenar ou ajudar a sincronizar as senhas são mais convenientes, mas, em contrapartida, eles são um pouco mais vulneráveis a ataques. Se você guarda suas senhas apenas no computador, alguém que possa tomar o controle do seu computador pode ser capaz de obtê-las. Se você as mantém na nuvem, o seu invasor pode ir buscá-las também. Normalmente, essa não é uma questão com que você precise se preocupar, a não ser que o invasor tenha poderes legais sobre a empresa do gerenciador de senhas ou seja conhecido por atacar empresas ou o tráfego da internet. Se você utiliza um serviço na nuvem, a empresa do gerenciador de senhas também pode saber quais serviços você utiliza, quando e onde.

      Escolhendo senhas seguras Anchor link

      Existem algumas senhas que precisam ser memorizadas e que particularmente precisam ser fortes: aquelas que bloqueiam definitivamente seus dados com criptografia. Isso inclui, no mínimo as senhas para os seus dispositivos, a criptografia do tipo criptografia de disco completo, e a senha mestre para o seu gerenciador de senhas.

      Atualmente, os computadores são suficientemente rápidos para adivinhar em pouquíssimo tempo senhas mais curtas que dez ou mais caracteres. Isso significa que senhas curtas de quaisquer tipos, mesmo as totalmente aleatórias como nQ\m=8*x ou !s7e&nUY ou gaG5^bG, não são fortes o suficiente para utilização com a criptografia atual.

      Há muitas maneiras de criar uma senha forte e fácil de memorizar; o método mais simples e infalível é o "Diceware" de Arnold Reinhold.

      O método de Reinhold envolve dados físicos que rolam para escolher aleatoriamente várias palavras de uma lista de palavras; em conjunto, estas palavras formarão a sua frase-chave. Recomendamos utilizar no mínimo seis palavras para a criptografia de disco (e para o cofre de senhas).

      Tente fazer uma senha utilizando o método do “Diceware” de Reinhold.

      Quando você utiliza um gerenciador de senhas, a segurança de suas senhas e da sua senha mestre é tão forte quanto a segurança do computador onde o gerenciador de senhas está instalado e sendo utilizado. Se o seu computador ou dispositivo está comprometido e tem instalado um spyware, este pode visualizar você digitar sua senha mestre e talvez roubar o conteúdo do cofre de senhas. Por isso, ainda é muito importante manter seu computador e demais dispositivos limpos de softwares maliciosos ao utilizar um gerenciador de senhas.

      Uma palavra sobre as “Perguntas de Segurança” Anchor link

      Tenha consciência das "perguntas de segurança" (como "Qual é o nome de solteira de sua mãe?" ou "Qual era o nome do seu primeiro animal de estimação?"), que os sites utilizam para confirmar a sua identidade caso você esqueça qual é a sua senha. As respostas fiéis para muitas das questões de segurança podem ser encontradas com uma simples busca na rede e um determinado oponente pode facilmente descobrir e, assim, contornar a sua senha completamente. Foi dessa maneira, por exemplo, que a candidata à vice-presidência dos Estados Unidos, Sarah Palin, teve a sua conta do Yahoo! hackeada. Em vez disso, dê respostas fictícias para a sua senha que ninguém, exceto você, saiba. Por exemplo, se a pergunta da senha pede o nome de seu animal de estimação, você pode ter postado fotos para sites de compartilhamento de fotos com legendas do tipo "Essa é a foto do Spot, o meu lindo gato!" Ao invés de utilizar “Spot” como resposta para recuperar sua senha, você pode escolher “Rumplestiltskin.” Não utilize as mesmas senhas ou respostas a perguntas de segurança para várias contas em distintos websites ou serviços. Você deve armazenar as suas respostas fictícias também no seu cofre de senhas.

      Pense em sites onde você tem utilizado perguntas de segurança. Considere verificar suas configurações e alterar as suas respostas.

      Lembre-se de manter um backup do seu cofre de senhas! Se você perder o seu cofre de senhas em um acidente (ou se não tiver acesso aos seus dispositivos), pode ser difícil recuperar as suas senhas. Os programas de cofres de senhas normalmente permitem fazer um backup separado, ou você pode utilizar o seu programa usual de backup.

      Normalmente, você pode redefinir suas senhas pedindo que lhe enviem um e-mail de recuperação de senha para o seu endereço de e-mail registrado. Por esta razão, você deve querer memorizar a frase-chave para esta conta de e-mail também. Se fizer isso, você terá como redefinir as senhas independente do seu cofre de senhas.

      Autenticação de dois fatores e senha única Anchor link

      Muitos serviços e ferramentas de software permitem que você utilize a autenticação de dois fatores, também chamada de autenticação em duas etapas ou fazer login em duas etapas. Aqui, a ideia é que para fazer login você precisa estar de posse de certo objeto físico: normalmente um telefone móvel, mas em algumas versões, um dispositivo especial chamado de token de segurança. Utilizar a autenticação de dois fatores garante que, mesmo que sua senha para o serviço seja hackeada ou roubada, o ladrão não será capaz de fazer login, a menos que ele possua ou tenha o controle de um segundo dispositivo e os códigos especiais que apenas este pode gerar.

      Normalmente, isso significa que um ladrão ou hacker teria que controlar tanto o seu laptop quanto o seu telefone antes que tenham pleno acesso às suas contas.

      Não há como fazer isso por conta própria se estiver utilizando um serviço que não tenha sido oferecido, pois isso só pode ser configurado com a cooperação do operador do serviço.

      A autenticação de dois fatores que utiliza um telefone móvel pode ser feita de duas maneiras: o serviço pode enviar um uma mensagem de texto SMS para o seu telefone sempre que você tentar fazer login (fornecendo um código de segurança extra que você precisa digitar), ou o telefone pode executar um aplicativo autenticador que gera internamente códigos de segurança no próprio telefone. Isso ajudará a proteger sua conta em situações onde um invasor sabe a sua senha, mas não tem acesso físico ao seu telefone móvel.

      Alguns serviços, como o Google, também permitem que você gere uma lista de senhas únicas, também chamadas de senhas de uso único. Elas são feitas para serem impressas ou escritas no papel e levadas com você (embora em alguns casos seja possível memorizar um pequeno número delas). Cada uma destas senhas funciona apenas uma vez, por isso, se uma for roubada por um spyware quando você a digita, o ladrão não poderá utilizá-la no futuro.

      Se você ou sua organização tem sua própria infraestrutura de comunicações, tais como seus próprios servidores de e-mail, existem softwares gratuitos disponíveis, que podem ser utilizados para habilitar a autenticação de dois fatores para acesso a seus sistemas. Peça para seus administradores de sistemas procurarem softwares que ofereçam implementações de padrão aberto "Time-Based One-Time Passwords" ou RFC 6238.

      Ameaças de dano físico ou detenção Anchor link

      Por último, entendemos que sempre há uma maneira de os invasores obterem sua senha: Eles podem ameaçá-lo diretamente com danos físicos ou através de detenção. Se você teme esta possibilidade, considere maneiras de ocultar a existência de dados ou dispositivos que você está protegendo, em vez de acreditar que nunca fornecerá a senha de proteção. Uma possibilidade é manter pelo menos uma conta que contenha informações de pouca importância, cuja senha possa ser divulgada rapidamente.

      Se você tem boas razões para acreditar que alguém pode ameaçá-lo para obter as suas senhas, é bom certificar-se de que seus dispositivos estejam configurados de modo a não ser óbvio que a conta que você está revelando não é a “verdadeira”. A conta mostrada na tela de login do seu computador, ou a que é automaticamente exibida quando você abre um navegador é a sua conta verdadeira? Se assim for, você precisa reconfigurar algumas coisas para tornar sua conta menos óbvia.

      Em algumas jurisdições, como nos Estados Unidos ou na Bélgica, você pode impugnar juridicamente uma exigência pela sua senha. Em outras jurisdições, como no Reino Unido ou na Índia, a legislação local permite que o governo exija a divulgação. A EFF dispõe de informações detalhadas para qualquer um que viaje através das fronteiras dos Estados Unidos e deseje proteger seus dados nos seus dispositivos digitais em nosso guia Defesa de Privacidade nas Fronteiras dos Estados Unidos.

      Tenha em conta que a destruição intencional de evidências ou a obstrução de qualquer investigação pode ser considerada como um crime independente, muitas vezes com consequências muito mais graves. Em alguns casos, pode ser mais fácil para o governo provar isso e aplicar punições mais severas que ao suposto crime que originalmente está sendo investigado.

      Last reviewed: 
      2016-01-13
      A versão em Inglês pode estar mais atualizada.
    3. Como contornar a censura on-line

      Esta é uma visão geral sucinta para contornar a censura on-line, mas não se trata de um documento abrangente.

      Muitos governos, empresas, escolas e pontos de acesso públicos utilizam softwares para evitar que os usuários da internet acessem determinados websites e serviços da web. Isso é chamado de filtragem ou bloqueio da internet e é uma forma de censura. A filtragem do conteúdo vem de diferentes formas. Algumas vezes o website inteiro está bloqueado; outras vezes, apenas páginas avulsas da Web; e em outras o conteúdo é bloqueado baseado em palavras que ele contém.

      Há diferentes maneiras de derrotar a censura na Internet. Algumas protegem você contra a vigilância, mas muitas não. Quando alguém que controla sua conexão à rede filtra ou bloqueia um site, você pode quase sempre utilizar uma ferramenta de evasão para chegar à informação que deseja. Note: Ferramentas de evasão que prometem privacidade ou segurança nem sempre são privadas ou seguras, e ferramentas que utilizam termos como “anonimizador” nem sempre mantêm sua identidade completamente secreta.

      A melhor ferramenta de evasão para você depende do seu modelo de ameaça. Se você não estiver seguro(a) sobre qual é o seu modelo de ameaça, comece aqui.

      Neste artigo, apresentaremos quatro maneiras de driblar a vigilância:

      • Visitando um web proxy para acessar um site bloqueado.
      • Visitando um web proxy criptografado para acessar um site bloqueado.
      • Utilizando uma Rede Privada Virtual (VPN) para acessar um site ou serviço bloqueado.
      • Utilizando o Tor Browser para acessar um site bloqueado ou proteger a sua identidade.

      Técnicas básicas Anchor link

      Ferramentas de evasão normalmente funcionam desviando seu tráfego de rede para outro computador, de forma a contornar as máquinas que realizam a censura. O serviço intermediário através do qual você canaliza sua comunicação neste processo é chamado de proxy.

      O protocolo HTTPS é uma versão segura do HTTP, utilizado para acessar websites. Algumas vezes o censor bloqueará apenas a versão não segura de um site, permitindo que você o acesse pela versão do domínio que se inicia com HTTPS.

      Isso é particularmente útil se a filtragem a que você está sujeito baseia-se em palavras ou só bloqueia páginas avulsas da Web. O HTTPS impede que os censores leiam seu tráfego na Web; portanto eles não podem dizer quais palavras-chave estão sendo enviadas ou qual página da web você está visitando.

      Censores ainda podem ver o nome de domínio de todos os sites que você visita. Então, por exemplo, se você visitar “eff.org/https-everywhere”, censores podem ver que você está na “eff.org” mas não conseguem ver que você está na página do “https-everywhere”.

      Se suspeita deste tipo de bloqueio simples, tente acessar por meio do https:// antes do domínio, em vez de http://.

      Tente o plug-in HTTPS Everywhere da EFF para ligar o HTTPS automaticamente para aqueles sites que o suportam.

      Outra maneira de conseguir contornar as técnicas básicas de censura é tentar um nome de domínio ou uma URL alternativa. Em vez de visitar http://twitter.com, você pode, por exemplo, visitar http://m.twitter.com, que é a versão móvel do site. Censores que bloqueiam os sites ou páginas da web costumam fazê-lo a partir de uma lista negra de websites proibidos, então qualquer coisa que não esteja na lista negra fica acessível. Eles podem não saber de todas as variações de um determinado nome de domínio de um website, ainda mais se o proprietário do site souber que está bloqueado e registrar mais de um nome.

      Os Proxies baseados na Web Anchor link

      Um proxy baseado na Web (como o http://proxy.org/) é uma boa maneira de contornar a censura. Tudo que precisa fazer para utilizar um proxy baseado na Web é digitar o endereço filtrado que você quer utilizar e o proxy exibirá, então, o conteúdo solicitado.

      Os proxies baseados na Web são uma boa maneira de acessar rapidamente os websites bloqueados, mas muitas vezes não proporcionam qualquer segurança, e será uma escolha ruim se seu modelo de ameaças inclui alguém vigiando sua conexão com a internet. Além disso, eles não lhe ajudarão a utilizar outros serviços bloqueados, tais como o seu programa de mensagens instantâneas. Finalmente, dependendo do modelo de ameaça, os proxies baseados na Web constituem um risco de privacidade para muitos usuários, pois o proxy terá um registro completo de tudo que você faz on-line.

      Proxies criptografados Anchor link

      Diversas ferramentas de proxy utilizam criptografia para fornecer uma camada adicional de segurança acima da habilidade de contornar os filtros. A comexão é encriptada para que outros não vejam o que você está visitando. Enquanto proxies criptografados geralmente são mais seguros do que outros proxies baseados na web, o fornecedor da ferramenta pode ter informações sobre você. Ele pode ter seu nome e endereço de email em seus registros, por exemplo. Isso significa que essas ferramentas não fornecem anonimato total.

      A forma mais simples de um proxy da Web criptografado é aquele que começa com "https", pois utilizará a criptografia normalmente fornecida por sites seguros. Ironicamente, no processo, os proprietários desses proxies começarão a ver os dados que você envia e recebe de outros sites seguros, portanto seja cauteloso. O Ultrasurf e o Psiphon são exemplos destas ferramentas.

      Redes privadas virtuais Anchor link

      Uma Rede Privada Virtual (Virtual Private Network ou VPN) criptografa e envia todos os dados da internet de seu computador para outro computador. Esse equipamento pode pertencer a um serviço VPN comercial ou entidade sem fins lucrativos, sua empresa ou um contato confiável. Uma vez que um serviço VPN esteja corretamente configurado, você pode utilizá-lo para acessar páginas da Web, e-mail, mensagens instantâneas, VoIP e qualquer outro serviço de internet. Uma VPN protege seu tráfego de ser interceptado localmente, porém seu provedor VPN pode manter registros do seu tráfego (websites que você conecta e quando os acessa) ou até mesmo proporcionar a um terceiro a possibilidade de sondar diretamente sua navegação na Web. Dependendo do seu modelo de ameaça, a possibilidade de um governo ouvir sua conexão VPN ou obter os registros pode ser um risco significativo e, para alguns usuários, poderia superar os benefícios de curto prazo da utilização de uma VPN.

      Clique aqui para obter as informações sobre serviços específicos de VPN.

      Nós da EFF não podemos confirmar essa pontuação dos VPNs. Algumas VPNs com políticas de privacidade exemplares poderiam perfeitamenteser mantidas por pessoas desonestas. Não utilize uma VPN na qual você não confie.

      Tor Anchor link

      Tor é um software gratuito, livre e de código aberto desenhado para  fornecer a você o anonimato na rede. O Tor Browser é um navegador da web construído sobre a rede de anonimato do Tor. Por conta da forma como o Tor roteia seu tráfego de navegação na Web, ele também possibilita que você contorne a censura (Veja nosso guia “Como usar o Tor para Linux, macOS e Windows").

      Quando você inicia o Tor Browser, você pode escolher uma opção especificando que você está em uma rede que é censurada:

      O Tor não só contornará praticamente toda censura nacional, mas, se propriamente configurado, pode também proteger a sua identidade de um adversário monitorando as redes do seu país. Ele pode, no entanto, ser lento e difícil de usar.

      Para aprender a usar o Tor em um desktop, clique aqui (Linux), aqui (macOS), ou aqui (Windows), mas por favor certifique-se de clicar em “Configurar” em vez de “Conectar” na janela exibida acima.

      Last reviewed: 
      2017-08-10
      A versão em Inglês pode estar mais atualizada.
    4. Como encriptar seu iPhone

      Se você possui um iPhone 3GS ou mais recente, um iPod touch de 3ª geração ou mais recente ou qualquer iPad, você pode proteger o conteúdo do seu dispositivo utilizando a criptografia. Isso significa que se alguém conseguir acessar fisicamente o seu dispositivo, precisará também da sua senha para descriptografar o que está armazenado nele, incluindo os contatos, mensagens instantâneas ou de texto, registros de ligações ou de e-mails.

      Na realidade, a maioria dos dispositivos da Apple encripta seus conteúdos como padrão, com vários níveis de proteção. Porém, para proteger-se de alguém que tente obter seus dados pelo furto físico do seu dispositivo, você necessita ligar a encriptação a uma passphrase ou código que somente você saiba.

      Em dispositivos rodando iOS 4-iOS 7, você pode fazer isso acessando General Settings, e selecionando Passcode (ou iTouch & Passcode). Para o iOS 8-9, o Passcode (ou “TouchID & Passcode”) tem sua própria seção no aplicativo Configurações. Siga os passos para criar um passcode. Você deve configurar a opção “Require passcode” para “Imediatamente”, para que seu dispositivo não seja desbloqueado quando você não o estiver utilizando. Bloqueie o “Simple Passcode” para poder utilizar um código com mais de 4 dígitos.

      Se você escolhe uma senha totalmente numérica, você ainda terá um teclado numérico na tela quando tentar desbloquear seu telefone, o que pode ser mais fácil do que digitar um conjunto de letras e símbolos em um estreito teclado virtual. Ainda assim você deve manter sua senha longa, mesmo que o hardware da Apple seja projetado para desacelerar ferramentas de quebra de senha. Tente criar uma senha com mais de 6 dígitos.

      Uma vez configurada a senha, role a tela para o rodapé da página Passcode settings. Você verá uma mensagem que diz “Data protection enabled”. Isto significa que a encriptação do dispositivo está vinculada à sua senha, e que a maioria dos dados do seu telefone precisará daquele código para desbloqueio.

      How to Encrypt Your iPhone 1

      Abaixo seguem outras funções do iOS que você pode pensar em utilizar caso lide com dados privados: Anchor link

      • iTunes possui a opção de backup do seu dispositivo ao seu computador. Caso escolha a opção “Encriptar backup” na aba “Summary” do seu dispositivo em iTunes, o iTunes fará o backup de mais informações confidenciais (como senha de Wifi e e-mail), porém encriptará tudo antes de salvar no seu computador. Esteja certo de manter a senha que utiliza aqui segura: restaurar do backup é um evento raro, porém excepcionalmente doloroso se você não lembra a senha para desbloquear o backup em uma emergência.
      • Se você faz o backup do Apple iCloud, deve utilizar uma passphrase longa para proteger os dados, e manter a passphrase salva. Enquanto a Apple encripta a maioria dos dados em seus backups, pode ser possível à companhia obter acesso a fins policiais uma vez que a Apple também controla as chaves utilizadas para a encriptação do iCloud.
      • Se você ativa a proteção de dados descrita acima, você também poderá deletar os dados no seu dispositivo de forma rápida e segura. Nas configurações de senha, você pode configurar seu dispositivo para limpar todos os dados após dez tentativas fracassadas de advinhar a senha.
      • De acordo com o “Apple’s old Law Enforcement Guide”, “a Apple pode extrair certas categorias de dados ativos de dispositivos iOS bloqueados com senha. Especificamente, os arquivos ativos gerados pelo usuário contidos nos apps nativos da Appe e para os quais os dados não são encriptados utilizando senha (“user generated active files”), podem ser extraídos e fornecidos às autoridades legais em mídia externa. A Apple pode realizar este processo de extração de dados em dispositivos iOS rodando iOS 4 ou versões mais recentes de iOS. Por favor note que as únicas categorias de arquivos gerados por usuário que podem ser entregues às autoridades legais, mediante mandado de busca válido, são: SMS, fotos, vídeos, contatos, gravação de áudio e histórico de ligações. Apple não pode fornecer: e-mail, entradas de calendário, nem dados de aplicativos terceiros”.

      As informações acima aplicam-se apenas aos dispositivos iOS que estão executando versões do iOS anteriores à 8.0.

      • Hoje, a Apple estabelece que “Em dispositivos rodando iOS 8 e versões superiores, seus dados pessoais são armazenados sob a proteção da sua senha. Para todos os dispositivos rodando iOS 8 e versões mais atuais, a Apple não fará extração de dados iOS em resposta a mandados de busca do governo porque os arquivos extraíveis são protegidos por uma chave de encriptação vinculada à senha do usuário, a qual a Apple não possui."

      LEMBRE-SE: Enquanto a Apple será incapaz de extrair dados diretamente do seu telefone, caso o dispositivo esteja configurado para sincronizar com o iCloud ou fazer backup com um computador, muitos desses mesmos dados serão acessíveis às autoridades legais. Sob a maioria das circunstâncias, a encriptação iOS somente será efetiva quando um dispositivo for totalmente desligado (ou recém-reinicializado, sem estar desbloqueado). Alguns agressores podem ser capazes de extrair dados valiosos da memória do seu dispositivo quando estiver ligado. (Eles podem ainda ser capazes de extrair os dados quando tiver acabado de ser desligado). Tenha isso em mente e, se possível, esteja certo de que seu dispositivo está desligado (ou reiniciado e não desbloqueado) caso acredite que possui probabilidade de ser apreendido ou furtado.

      • Caso você esteja preocupado com a perda ou roubo do seu dispositivo, você pode ainda configurar seu dispositivo Apple para ser formatado remotamente, utilizando a função “Find My iPhone”. Note que isso permitirá à Apple localizar remotamente o seu dispositivo a qualquer momento. Você deve mensurar os benefícios de deletar dados caso perca o controle do seu dispositivo, sob o risco de revelar sua posição. (Telefones celulares transmitem essa informação a companhias telefônicas por rotina; dispositivos WiFi como iPads e o iPod Touch não o fazem).
      Last reviewed: 
      2016-04-28
      A versão em Inglês pode estar mais atualizada.
    5. Como utilizar Signal - aplicativo de mensagem privada

      Signal é uma aplicação de software gratuita e aberta que emprega criptografia ponto-a-ponto, o que permite os usuários enviar mensagens de grupo, textos, imagens e mensagens de vídeo com criptografia ponto-a-ponto, e criptografa conversas telefônicas para iPhone e Android. Embora usuários de Signal utilizem números de telefone como contatos, chamadas e mensagens em realidade utilizam sua conexão de dados; por conseguinte ambas as partes da conversação devem ter acesso a Internet em seus dispositivos móveis. Graças a isso, usuários de Signal não incorrem em tarifas de SMS e MMS.

      Instalando o Signal – Private Messenger (aplicativo de mensagem privada) no seu iPhone Anchor link

      Etapa 1: Faça download e instale o Signal – Private Messenger

      Acesse a AppStore no seu dispositivo iOS, e pesquise por « Signal ». Selecione o aplicativo « Signal – Private Messenger », da Open Whisper Systems.

      Pressione « OBTER » para baixar a aplicação, e então « INSTALAR ». Você poderá ser solicitado a digitar suas credenciais Apple ID. Uma vez que a aplicação tenha sido instalada, clique « ABRIR » para iniciá-la.

      Etapa 2: registrar e verificar o seu número de telefone

      Digite seu número de celular e pressione « VERIFICAR ESTE DISPOSITIVO »

      Para que seja possível confirmar seu número de telefone, você receberá uma mensagem SMS com um código de seis dígitos. Você será solicitado a digitar este código, e então clicar em « ENVIAR CÓDIGO DE VERIFICAÇÃO »

      Uma vez que este processo esteja completo, o Signal solicitará acesso aos seus contatos. Pressione  « CONTINUAR ».

      O Signal solicitará então permissão para lhe enviar notificações.

      Utilizando o Signal Anchor link

      Para utilizar o Signal, a pessoa que você está chamando precisa ter instalado o Signal. Se você tentar chamar ou enviar uma mensagem a alguém utilizando o aplicativo Signal e esta pessoa não tiver instalado um dos aplicativos mencionados, o aplicativo perguntará se gostaria de convidá-lo via SMS, mas não permitirá que complete a sua chamada ou que envie uma mensagem a ela pelo aplicativo.

      O Signal fornece a você uma lista de outros usuários de Signal que estejam em seus contatos. Para que isso seja possível, os dados contendo os números de telefone da sua lista de contatos são enviados para os servidores do Signal, muito embora estes dados sejam deletados quase que imediatamente depois.

      Como Enviar uma Mensagem Criptografada

      Observe que a Open Whisper Systems, criadora do Signal, utiliza a infraestrutura de outras empresas para enviar alertas aos usuários quando estes recebem uma nova mensagem. Ela utiliza o Google no Android e a Apple no iPhone. Isso significa que informações sobre quem está recebendo as mensagens e quando elas são recebidas podem vazar para estas empresas.

      Para começar, clique no ícone de lápis na porção direita inferior da tela.

       

       

       

      Você verá uma lista dos seus contatos que já têm instalado o Signal.

      Quando você clica em um contato, você será levado à tela de envio de mensagens de texto para este contato. Desta tela, você pode enviar mensagens com criptografia de ponta-a-ponta, imagens, ou mensagens de vídeo.

      Como fazer uma chamada encriptada

      Para iniciar uma chamada encriptada, escolha um contato e clique no ícone do telefone. Você saberá que o contato aceita chamadas do Signal se houver um pequeno cadeado próximo ao ícone de telefone.

      Neste momento, o Signal poderá pedir sua permissão para acessar seu microfone. Pressione « OK ».

      Uma vez estabelecida a chamada, sua chamada está criptografada

      Como Iniciar uma Ligação de Vídeo Criptografada

      Para realizar uma ligação de vídeo criptografada, basta ligar para alguém conforme descrito acima.

      E clique no ícone da câmera de vídeo. Você precisará permitir ao Signal o acesso ao vídeo da sua câmera. Isso compartilhará seu vídeo com seu(sua) amigo(a) (que precisará fazer a mesma coisa).

      Como Iniciar um Chat em Grupo Criptografado

      Você pode enviar uma mensagem criptografada para um grupo clicando no ícone de « redigir » no canto esquerdo superior da tela (o quadrado com um lápis apontando para o centro), e então clicando no ícone com três bonecos, no mesmo local.

      Na próxima tela, você poderá dar um nome para o grupo e adicionar participantes. Após adicionar os participantes, você pode clicar no sinal de mais « + » no canto direito superior da tela.

      Isso iniciará o chat em grupo.

      Se você desejar alterar o ícone do grupo ou adicionar / remover participantes, isso pode ser feito da tela de chat do grupo. Clique no ícone com três pontos no canto direito superior da tela e selecione « Editar Grupo ».

      Como Verificar Seus Contatos

      Você pode agora verificar a autenticidade das pessoas com as quais você está se comunicando, de forma a garantir que suas chaves de criptografia não foram alteradas ou substituída pela chave de outra pessoa quando sua aplicação as baixou (processo chamado de verificação de chave). O processo de verificação só pode ocorrer quando você está fisicamente na presença da pessoa com quem você está falando.

      Primeiro, abra a tela da qual você pode enviar mensagens ao seu contato, conforme descrito acima. Nesta tela, pressione o nome do seu contato no alto da tela.

      Na tela seguinte, pressione « Verificar os Números de Segurança ».

      Você será levado a uma tela que mostrará um código QR e uma lista de « números de segurança ». Estes números são únicos para cada contato com o qual você estiver conversando. Peça ao seu contato que navegue até a tela correspondente à conversa dele com você, de forma que eles também tenham um código QR na tela deles.

      De volta ao seu dispositivo, pressione « Ler Código ». Neste momento, o Signal poderá pedir permissão para acessar sua câmera. Clique « OK ».

      Você poderá agora utilizar a câmera para escanear o código QR mostrado na tela do seu contato. Alinhe sua câmera com o código QR :

      Se tudo estiver correto, sua câmera lerá o código de barras e mostrará a mensagem « Números de Segurança Verificados! », como abaixo :

      Isso indica que você teve sucesso ao verificar seu contato. Se, ao invés disso, a tela que aparecer for como a abaixo, é porque algo deu errado :

      Você pode preferir evitar conversar sobre questões sensíveis até que você tenha verificado suas chaves com seu contato.

      Nota para usuários experientes: a tela que mostra seu código QR tem também um ícone para compartilhar seus números de segurança, que fica em seu canto direito superior. A verificação presencial é o método preferido, mas se você já autenticou seu contato utilizando outra forma segura como, por exemplo, PGP, você pode utilizar a confiança estabelecida nesta outra aplicação para verificar os números de segurança dentro do Signai sem ter que estar fisicamente na presença de seu contato. Neste caso você pode compartilhar seus números de segurança através daquela aplicação clicando no ícone « compartilhar » e enviar seus números de segurança para o seu contato.

      Mensagens que desaparecem

      O Signal possui um recurso chamado « mensagens que desaparecem » que garante que as mensagens serão removidas de seu dispositivo e do dispositivo do seu contato um tempo determinado após terem sido lidas. Para habilitar a opção de « Mensagens que Desaparecem » para uma determinada conversa, abra a tela de onde você pode enviar mensagens para o seu contato e, nela, pressione o ícone com três pontos do canto direito superior da tela, e ligue a opção « Mensagens que Desaparecem ».

      Uma barra aparecerá permitindo que você selecione após quanto tempo as mensagens desaparecerão :

      Após selecionar uma das opções, você pode pressionar o ícone « < » no canto esquerdo superior da tela. Você deve então ver informações sobre a conversa indicando que as «Mensagens que Desaparecem » foram ativadas.

      Você pode agora enviar mensagens com a garantia de que elas serão removidas após o tempo selecionado.

      Last reviewed: 
      2017-03-17
      A versão em Inglês pode estar mais atualizada.
    JavaScript license information