Surveillance
Self-Defense

Juventude LGBT

  • Juventude LGBT

    Dicas e ferramentas para ajudá-lo a acessar os recursos LGBT com mais segurança, navegar nas redes sociais e evitar bisbilhoteiros

    Se você precisa de apoio adequado e acesso aos recursos LGBT, este guia ensina como explorar de maneira segura esses recursos on-line para ajudar a evitar uma exposição acidental com seus colegas, familiares ou anunciantes on-line como resultado de rastreamento on-line ou bisbilhoteiros.

  • Escolhendo suas ferramentas

    Com tantas empresas e sites oferecendo ferramentas com o objetivo de auxiliar as pessoas a melhorarem sua segurança digital, como escolher as ferramentas certas para você?

    Não temos uma lista perfeita de ferramentas que possam defendê-lo (embora você possa conhecer algumas opções bastante utilizadas em nosso Guia de Ferramentas). Entretanto, se você tiver uma boa idéia de que coisas está tentando proteger bem como de quem você está tentando proteger estas coisas, este guia poderá ajudá-lo a escolher as ferramentas apropriadas baseando-se em algumas premissas básicas.

    Lembre-se, a segurança não é definida pelas ferramentas que você utiliza ou os softwares dos quais faz download. Ela começa com a sua compreensão a respeito das ameaças individuais que você sofre e de como você pode se defender destas ameaças. Leia nosso guia Avaliando Seus Riscos para maiores informações.

    A segurança é um processo, não uma compra

    Antes de trocar o software que você utiliza ou comprar novas ferramentas, a primeira coisa a recordar é que nenhuma ferramenta lhe proporcionará proteção absoluta de vigilância em todas as circunstâncias. A utilização de software de criptografia geralmente torna mais difícil que outros leiam suas comunicações ou vasculhem os arquivos em seu computador. Mas os que ataques a sua segurança digital sempre procurarão o elemento mais fraco de suas práticas de segurança. Quando utilizar uma nova ferramenta de segurança, você deve pensar em como a sua utilização pode afetar outras maneiras que alguém poderia atingi-lo. Por exemplo, se você decidir utilizar um programa de mensagens de texto seguro para falar com um contato porque sabe que o seu telefone pode estar comprometido, talvez o simples fato de estar utilizando esse programa, dê a um oponente um indício de que você está falando informações confidenciais?

    Em segundo lugar, lembre-se de seu modelo de ameaça. Você não precisa comprar algum sistema de telefonia criptografado caro, que se diz ser “à prova da NSA”, se a sua maior ameaça é a vigilância física de um investigador particular sem nenhum acesso às ferramentas de vigilância na Internet. Alternativamente, se você está enfrentando um governo que condena regularmente dissidentes porque eles utilizam ferramentas de criptografia, pode fazer sentido usar truques mais simples, como um conjunto de códigos pré-arranjados, em vez do risco de deixar evidências que você utiliza software de criptografia em seu laptop.

    Tendo tudo isso em conta, eis aqui algumas perguntas que você pode fazer sobre uma ferramenta antes de fazer download, comprá-la ou utilizá-la.

    O quão transparente é?

    Apesar da segurança digital parecer ser principalmente sobre manter segredos, há uma forte crença entre os pesquisadores de segurança que a abertura e a transparência levam a ferramentas mais seguras.

    Grande parte do software utilizado e recomendado pela comunidade de segurança digital é livre e de código aberto, o que significa dizer que o código que define a forma como ele funciona é disponível publicamente para outros examinarem, modificarem e compartilharem. Por serem transparentes quanto à sua funcionalidade, os criadores destas ferramentas convidam outras pessoas a procurar falhas de segurança e ajudar a melhorar o programa.

    O software aberto oferece a oportunidade de uma segurança melhor, mas não a garante. A vantagem do código aberto depende em parte de uma comunidade de tecnólogos que efetivamente verificam o código, que para pequenos projetos (e mesmo para os complexos, populares) pode ser difícil de alcançar. Quando você estiver utilizando uma ferramenta, veja se seu código fonte está disponível e se tem uma auditoria de segurança independente para confirmar a qualidade da sua segurança. Pelo menos, o software e o hardware devem ter uma explicação técnica detalhada de como funcionam para que outros especialistas possam inspecioná-los.

    Quão claro são os seus criadores em relação à suas vantagens e desvantagens?

    Nenhum software ou hardware é plenamente seguro. Os criadores e vendedores que são honestos sobre as limitações dos seus produtos lhe darão uma ideia muito mais sólida se seu aplicativo é adequado para você.

    Não acredite em declarações genéricas que dizem que o código é de "nível militar" ou "à prova da NSA"; estes nada significam e advertem claramente que os criadores estão superestimando ou indispostos a considerar possíveis falhas em seus produtos.

    Em virtude dos invasores estarem sempre tentando descobrir novas maneiras de quebrar a segurança das ferramentas, o software e o hardware precisam ser atualizados com frequência para corrigir novas vulnerabilidades. Se os criadores de uma ferramenta não estão dispostos a fazê-lo, seja pelo receio da má publicidade, ou por não terem elaborado a infraestrutura para corrigir problemas, pode ser um problema sério.

    Não se pode prever o futuro, mas um bom indicador de como os fabricantes de ferramentas se comportarão no futuro é o seu histórico de atividades. Se o website da ferramenta relaciona os problemas anteriores e links para as atualizações regulares e informações, especificamente há quanto tempo o software recebeu a última atualização - você pode confiar que eles continuarão a prestar este serviço no futuro.

    O que acontece se os criadores se veem comprometidos?

    Quando os fabricantes de ferramentas de segurança criam software e hardware, eles (assim como você) devem ter um claro modelo de ameaça. Os melhores criadores descreverão explicitamente em sua documentação de quais tipos de invasores eles podem protegê-lo.

    Mas existe um invasor que muitos fabricantes não querem pensar: se eles mesmos se veem comprometidos ou decidem atacar seus próprios usuários. Por exemplo, um tribunal ou governo obriga uma empresa a ceder os dados pessoais ou criar uma “porta dos fundos” que removerá todas as proteções que sua ferramenta oferece. Você pode querer considerar a(s) jurisdição(ções) base(s) dos criadores. Se a sua ameaça provém do governo do Irã, por exemplo, uma empresa com sede nos Estados Unidos poderá se contrapor às ordens judiciais iranianas, mesmo que ela deva cumprir as ordens dos EUA.

    Mesmo que um criador seja capaz de resistir à pressão governamental, um intruso pode tentar obter o mesmo resultado invadindo os próprios sistemas dos fabricantes de ferramentas para atacar os seus clientes.

    As ferramentas mais resistentes são aquelas que consideram isso como um possível ataque, e são projetadas para se defender contra isso. Procure inscrições que assegurem que um criador não pode acessar dados confidenciais, em lugar de promessas que o mesmo não o fará. Procure instituições com fama de lutar contra as ordens judiciais para proteger os dados pessoais.

    Ela foi removida ou criticada na Internet?

    Empresas vendendo produtos e entusiastas anunciando seu software mais recente podem ser enganados, tentar enganar, ou mesmo mentir descaradamente. Um produto que originalmente era seguro pode apresentar falhas terríveis no futuro. Certifique-se de ficar bem informado e ler sempre as últimas notícias sobre as ferramentas que você utiliza.

    É bastante trabalhoso para uma só pessoa se manter informado a respeito das últimas notícias sobre uma ferramenta. Se você tem conhecidos que utilizam um determinado produto ou serviço, trabalhe em conjunto com eles para se manter informado.

    Qual telefone eu devo comprar? Qual computador?

    Algumas das questões mais frequentes recebidas pelos instrutores de segurança são "Devo comprar um Android ou um iPhone?” ou “Devo utilizar um PC ou um Mac?” ou “Qual sistema operacional devo utilizar?” Não há respostas simples para essas questões. A segurança relativa do software e dos dispositivos está constantemente mudando à medida que novas falhas são descobertas e bugs antigos são corrigidos. As empresas podem competir entre si para lhe oferecer uma melhor segurança, ou todas elas podem estar sob pressão de governos para enfraquecer essa segurança.

    No entanto, parte destes conselhos genéricos é quase sempre verdadeira. Quando você comprar um dispositivo ou um sistema operacional, mantenha-o sempre em dia com as atualizações de software/firmware mais recentes. Atualizações muitas vezes corrigem, em softwares antigos, problemas de segurança que poderiam ser explorados por ataques. Observe que alguns telefones celulares antigos e alguns sistemas operacionais poderão não ser mais suportados, inclusive para atualizações de segurança. Em particular, a Microsoft já deixou claro que os Windows Vista, XP e anteriores não receberão mais correções nem mesmo para problemas graves de segurança. Isso significa que, se você utiliza uma destas versões, não pode esperar que estejam seguros contra ataques. O mesmo vale para versões do OS X anteriores ao 10.11 ou El Capitan.

    Agora que você já levou em consideração as ameaças que enfrenta e que sabe o que deve buscar em uma ferramenta de segurança digital, você poderá escolher de forma mais confiante as ferramentas mais adequadas à sua situação pessoal.

    Produtos mencionados neste guia

    Procuramos garantir que o software e o hardware que mencionamos neste guia atendem aos critérios que relacionamos abaixo: temos feito um esforço de boa fé para listar apenas produtos que têm uma base sólida, com base no que atualmente sabemos sobre segurança digital, que são geralmente transparentes sobre o seu funcionamento (e suas falhas), que têm defesas contra a possibilidade de que os próprios criadores se veem comprometidos, e que atualmente são mantidos com uma grande base de usuários e tecnicamente bem informados. Acreditamos que eles tenham, no momento da escrita, a atenção de uma grande audiência que os está examinando em busca de falhas, e levantaria rapidamente quaisquer preocupações para o público. Entenda que não temos os recursos para examinar ou dar garantias independentes sobre a sua segurança, que não estamos endossando esses produtos e não podemos garantir sua total segurança.

    Last reviewed: 
    2018-05-08
  • Protegendo-se nas redes sociais

    As redes sociais são alguns dos sites e ferramentas mais populares na internet. O Facebook, Google+ e o Twitter têm, cada um, centenas de milhões de usuários.

    As redes sociais são criadas normalmente com a ideia de compartilhar postagens, fotos e informações pessoais. No entanto, elas também tornaram-se fóruns de organização e discussão, muitos dos quais baseiam-se na privacidade e no uso de pseudônimos. Assim, é importante considerar as seguintes questões ao utilizá-las: Como posso manter-me protegido ao interagir nesses sites? E quanto a minha privacidade básica? E quanto a minha identidade? E quanto aos meus contatos e associações? Quais informações e de quem eu quero mantê-las privadas?

    Dependendo de suas circunstâncias, pode ser necessário proteger-se contra o próprio site de mídia social, contra outros usuários do site ou de ambos.

    Aqui estão algumas dicas para tê-las em mente quando estiver configurando sua conta:

    Registrando-se em uma rede social

    • Você quer utilizar o seu nome verdadeiro? Alguns sites de redes sociais têm as chamadas ""políticas de nome verdadeiro"", mas que se tornaram mais flexíveis com o tempo. Se não quiser utilizar o seu nome verdadeiro ao se inscrever em um site de rede social, não o faça.

    • Ao se registrar, não forneça mais informações que o necessário. Caso esteja preocupado em ocultar a sua identidade, utilize um endereço de e-mail à parte. Saiba que o seu endereço de IP pode ficar registrado quando fizer a inscrição.

    • Escolha uma senha forte e, se possível, ative a autenticação de dois fatores.

    • Cuidado com perguntas cujas respostas de recuperação de senha podem ser extraídas pelos seus dados na rede social. Por exemplo: “Qual é a cidade onde nasceu?” ou “Qual é o nome do seu animal de estimação?” Você deve escolher uma resposta falsa à pergunta de recuperação de senha. Uma boa maneira de lembrar as respostas às perguntas de recuperação de senhas, se escolheu utilizar uma resposta falsa para aumentar a segurança, é anotar as suas respostas escolhidas em um cofre de senhas

    Verificar a política de privacidade da rede social

    Lembre-se de que as informações armazenadas por terceiros estão sujeitas às próprias políticas e podem ser utilizadas para fins comerciais ou compartilhadas com outras empresas como, por exemplo, as de marketing. Sabemos que ler políticas de privacidade é uma tarefa que beira o impossível, mas seria bom dar uma lida nas seções sobre como os seus dados serão utilizados, quando serão compartilhados com terceiros e como o serviço cumpre com as solicitações de aplicação da legislação.

    Os sites de redes sociais, geralmente de empresas com fins lucrativos, muitas vezes coletam informações confidenciais, além das que você informou explicitamente, como qual é a sua localização, quais são os seus interesses e com quais propagandas você interage, quais outros sites que visitou (por exemplo, por meio dos botões "Gostei"). Pode ser útil bloquear os cookies de terceiros e utilizar as extensões de bloqueio de rastreamento do navegador para assegurar-se de que as informações não estão sendo passivamente transmitidas a terceiros.

    Alguns sites de redes sociais, como o Facebook e o Twitter, têm relações comerciais com corretores de dados (do inglês data brokers) para direcionar os anúncios de forma mais eficaz. A EFF dispõe de guias que orientam como evitar estes sistemas de rastreamento:

    Alterando suas configurações de privacidade

    Especificamente, como alterar as configurações padrão. Você quer, por exemplo, compartilhar suas postagens com o público ou apenas com um determinado grupo de pessoas? Elas devem conseguir encontrá-lo utilizando o seu endereço de e-mail ou seu número de telefone? Você quer compartilhar a sua localização automaticamente?

    Lembre-se de que as configurações de privacidade estão sujeitas às alterações. Algumas vezes, elas ficam mais rígidas e granulares, algumas outras não. Assegure-se de estar atento a essas mudanças para ver se alguma informação que já foi privada será compartilhada ou se quaisquer configurações adicionais possibilitará que tenha mais controle sobre a sua privacidade.

    Seu gráfico social

    Lembre-se de que você não é a única pessoa que pode fornecer dados potencialmente confidenciais sobre si mesmo. Seus amigos podem marcá-lo em fotos, relatar sua localização e tornar públicas as conexões deles com você das mais diversas maneiras. Você pode ter a opção de desmarcar-se destes lugares, mas a privacidade não se aplica de modo retroativo. Você talvez queira falar com seus amigos sobre algo que fez e não se sinta confortável em compartilhar isso publicamente.

    Last reviewed: 
    2015-08-03
  • Avaliando Seus Riscos

    Tentar proteger todos os seus dados de todas as pessoas e todo o tempo é impraticável e extremamente cansativo. Mas não se preocupe! Segurança é um processo, e através de planejamento cuidadoso você pode avaliar o que é o ideal para você. Segurança não se trata das ferramentas que você utiliza ou dos programas que baixa, ela começa com a compreensão de quais são as ameaças específicas que você enfrenta e como você pode combatê-las.

    Em segurança da informação, uma ameaça é um evento potencial que pode tornar menos efetivos os esforços que você faz para defender seus dados. Você pode combater as ameaças que enfrenta ao entender que coisas precisa proteger, bem como de quem precisa protegê-las. Este processo é chamado de modelagem de ameaças.

    Este guia o ensinará como modelar ameaças, ou como avaliar os riscos aos quais suas informações digitais estão expostos e determinar quais as melhores soluções para você.

    Como é o processo de modelagem de ameaças? Vamos dizer que você deseja manter sua casa e seus bens seguros... Aqui estão algumas perguntas que você pode querer se fazer:

    O que eu tenho dentro da minha casa merece ser protegido?

    • Ativos podem incluir jóias, eletrônicos, documentos financeiros, passaportes ou fotos.

    De quem eu quero proteger estes ativos?

    • Adversários podem incluir: ladrões, colegas de quarto e visitas.

    O quão provável é que eu precise proteger estes ativos?

    • Minha vizinhança tem um histórico de roubos? O quão confiável são meus colegas de quarto/visitas? Quais são os recursos de meus adversários? Que riscos eu devo considerar?

    O quão graves serão as consequências caso eu falhe?

    • Eu tenho alguma coisa na minha casa que eu não tenha como repor? Eu tenho tempo ou dinheiro para repor ativos? Eu tenho um seguro que cubra ativos roubados da minha casa?

    Até onde eu estou disposto a ir para me prevenir destas consequências?

    • Eu estou disposto a comprar um cofre para documentos importantes? Eu tenho recursos para comprar uma fechadura de alta qualidade? Tenho tempo para alugar um cofre no meu banco e manter meus objetos de valor neste cofre?

    Uma vez que você tenha se feito estas perguntas, você estará em condições de avaliar que medidas deve tomar. Se suas posses são valiosas mas o risco de um roubo à sua casa é baixo, então talvez você decida não investir muito dinheiro em uma fechadura. Por outro lado, se o risco for alto você desejará comprar a melhor fechadura do mercado e ainda instalar um sistema de segurança.

    Construir um modelo de ameaça o ajudará a entender as ameaças específicas que você corre e a avaliar seus ativos, seus adversários e os recursos que estes adversários possuem, bem como a probabilidade de que tais riscos se tornem realidade.

    O que é modelagem de ameaças e por onde eu começo?

    A modelagem de ameaças o ajuda a identificar ameaças às coisas que você dá valor e determinar de quem precisa protegê-las. Quando estiver construindo um modelo de ameaça, responda a estas cinco perguntas:

    1. Que coisas eu quero proteger?
    2. De quem eu quero protegê-las?
    3. O quão graves serão as consequências caso eu falhe?
    4. O quão provável é que eu precise protegê-las?
    5. Até onde eu estou disposto a ir para tentar evitar potenciais consequências?

    Vamos avaliar uma a uma estas perguntas.

    Que coisas eu quero proteger?

    Um “ativo” é algo ao qual você dá valor e que deseja proteger. No contexto de segurança digital, um ativo é normalmente algum tipo de informação. Por exemplo: seus e-mails, lista de contatos, mensagens instantâneas e arquivos são todos possíveis ativos. Seus dispositivos também podem ser ativos.

    Faça uma lista de seus ativos: dados que você mantém, onde eles são mantidos, quem tem acesso a eles, e o que impede que outros os acessem.

    De quem eu quero protegê-las?

    Para responder a esta pergunta, é importante identificar quem pode ter você ou suas informações como alvo. Uma pessoa ou entidade que represente uma ameaça aos seus ativos é um “adversário”. Exemplos de potenciais adversários são seu chefe, seu ex-cônjuge ou ex-namorado(a), seu concorrente, seu governo, ou um hacker numa rede pública.

    Faça uma lista de seus adversários, ou daqueles que possam ter interesse em ter acesso aos seus dados. Sua lista pode incluir pessoas, agências governamentais ou empresas.

    Dependendo de quem sejam seus adversários, em alguns casos esta lista pode se tornar algo que você queira destruir após terminar sua modelagem de ameaça.

    O quão graves serão as consequências caso eu falhe?

    Existem diversas formas pelas quais um adversário pode ameaçar seus dados. Por exemplo, um adversário pode ler suas comunicações pessoais enquanto tem acesso à rede, ou pode apagar ou corromper seus dados.

    Os objetivos dos adversários diferem enormemente, assim como seus ataques. Um governo tentando evitar a disseminação de um vídeo que mostra violência policial pode se satisfazer simplesmente apagando ou reduzindo a disponibilidade deste vídeo. Por outro lado, um adversário político pode querer ter acesso a conteúdos secretos e publicar este conteúdo sem que você saiba.

    A modelagem de ameaças envolve compreender o quão graves as consequências podem ser caso um adversário ataque com sucesso um de seus ativos. Para chegar a esta conclusão, você deve levar em conta os recursos dos quais seu adversário dispõe. Por exemplo, sua operadora de telefonia móvel tem acesso a todas as suas ligações e, consequentemente, a capacidade de usar estes dados contra você; um hacker numa rede Wi-Fi aberta pode acessar suas comunicações não criptografadas; já seu governo pode ter recursos ainda mais abrangentes.

    Coloque num papel o que o seu adversário pode querer fazer com seus dados privados.

    O quão provável é que eu precise protegê-las?

    Risco é a probabilidade de que uma ameaça específica contra um ativo específico efetivamente venha a se concretizar. Ele é sempre proporcional à capacidade. Apesar de sua operadora de telefonia celular ter a capacidade de acessar todos os seus dados, o risco de que ela poste seus dados online para prejudicar sua reputação é baixo.

    É importante distinguir entre ameaças e riscos. Enquanto uma ameaça é algo ruim que pode ocorrer, risco é a probabilidade de que esta ameaça seja levada a termo. Por exemplo, sempre há a ameaça de que seu prédio possa desmoronar, mas o risco de isso acontecer é bem maior em São Francisco (onde terremotos são comuns) do que em Estocolmo (onde eles não são).

    Efetuar uma análise de risco é ao mesmo tempo um processo pessoal e subjetivo: nem todas as pessoas têm as mesmas prioridades ou enxergam ameaças da mesma forma. Muitas pessoas acham certas ameaças inaceitáveis, independente do risco delas ocorrerem, porque a mera presença da ameaça, por menor que seja o risco, não compensa. Em outros casos, pessoas desprezam riscos altos porque não veem a ameaça como um problema.

    Coloque num papel quais ameaças você deseja levar a sério, e quais são tão raras ou tão sem consequências (ou difíceis de combater) que não vale à pena se preocupar.

    Até onde eu estou disposto a ir para tentar evitar potenciais consequências?

    Responder a esta pergunta requer a condução da análise de riscos. Nem todas as pessoas têm as mesmas prioridades ou enxergar as ameaças da mesma maneira.

    Por exemplo, um advogado que representa um cliente em um caso de segurança nacional estará provavelmente disposto a utilizar mais recursos para proteger as comunicações sobre o caso, como por exemplo utilizar e-mails criptografados, do que uma mãe que regularmente envia à sua filha e-mails com vídeos engraçados de gatos.

    Coloque num papel as opções disponíveis para ajudá-lo a atenuar as ameaças que você enfrenta pessoalmente. Leve em conta suas restrições de orçamento, técnicas, ou sociais.

    Modelagem de ameaças como uma prática regular

    Tenha em mente que seu modelo de ameaça pode mudar de acordo com a mudança da sua situação pessoal. Desta maneira, conduzir modelagens de ameaça frequentes é uma boa prática.

    Crie seu próprio modelo de ameaça baseado em sua situação única. Feito isso, marque em sua agenda uma data no futuro para rever este modelo de ameaça e verificar se ele ainda se enquadra na sua situação.

    Last reviewed: 
    2017-09-07
  • Comunicando-se com outros

    As redes de telecomunicação e a internet tornaram a comunicação entre as pessoas mais fácil do que nunca, mas também permitiram que a vigilância se tornasse mais predominante do que jamais se viu na história da humanidade. Cada telefonema, mensagem de texto, e-mail, mensagem instantânea, ligação de voz sobre IP (VoIP), vídeo chat e mensagem de redes sociais podem ser vulneráveis a intrusos, caso não se tome medidas adicionais para proteger sua privacidade.



    Na maioria das vezes, a maneira mais segura de se comunicar com outras pessoas é pessoalmente, sem a presença de computadores ou telefones. Uma vez que isso nem sempre é possível, o melhor a ser feito é utilizar a criptografia ponto a ponto, caso precise proteger o conteúdo de suas comunicações quando se comunicar por meio de uma rede.

    Como funciona a criptografia ponto a ponto?

    Quando duas pessoas querem se comunicar de modo seguro (por exemplo, a Akiko e o Boris), elas precisam gerar individualmente chaves de criptografia. Antes da Akiko enviar uma mensagem para o Boris, ela criptografa a chave dele para que somente o Boris possa decifrá-la. Então ela envia a mensagem já criptografada pela internet. Se alguém estiver espionando a Akiko e o Boris, mesmo que tenha acesso ao serviço que ela está utilizando para enviar essa mensagem (como a sua conta de e-mail), esta pessoa apenas verá os dados criptografados, mas não conseguirá ler a mensagem. Quando o Boris recebê-la, deve utilizar sua chave para descriptografá-la, tornando-a legível.



    A criptografia ponto a ponto requer algum sacrifício, mas é a única maneira dos usuários verificarem a segurança das suas comunicações, sem ter de confiar na plataforma que estão utilizando. Alguns serviços, como o Skype, afirmam que oferecem a criptografia ponto a ponto, mas, ao que parece, não a fazem. Para que a criptografia ponto a ponto seja segura, os usuários devem verificar se a chave que está criptografando as mensagens pertence à pessoa que eles acreditam que a criaram. Se o software de comunicação não tem essa capacidade integrada, então qualquer mensagem criptografada poderia, por exemplo, ser interceptada pelo próprio provedor de serviços, caso algum governo o obrigue a isso.

    Você pode ler o informativo Encryption Works (Funcionamento da Criptografia), da Freedom of the Press Foundation (Fundação para a Liberdade de Imprensa), para obter instruções detalhadas sobre como utilizar a criptografia ponto a ponto para proteger suas mensagens instantâneas e e-mails. Confira também os seguintes módulos da SSD:

    Chamadas de voz

    Quando você faz uma ligação por telefone fixo ou celular, sua chamada não é criptografada ponto a ponto. Se estiver utilizando um aparelho móvel, a ligação pode ser (tenuemente) criptografada entre o seu celular e as torres de telefonia. No entanto, como sua conversa viaja pela rede de transmissão, ela é vulnerável à interceptação pela sua companhia telefônica e extensivamente por todos os governos ou organizações que têm poder sobre a sua empresa de telefonia. A maneira mais fácil de garantir que você tenha a criptografia ponto a ponto nas conversas de voz é utilizar o VoIP.

    Cuidado! A maioria dos provedores de VoIP, como o Skype e o Google Hangouts, oferecem criptografia em trânsito, de modo que os espiões não podem ouvi-las, porém seus próprios provedores ainda têm potencial de escutá-las. Isso pode ou não ser um problema, dependendo do seu modelo de ameaça.

    Dentre alguns serviços que oferecem a criptografia ponto a ponto nas chamadas por VoIP, incluem-se:

    Para ter conversas de VoIP criptografadas ponto a ponto, ambos devem utilizar o mesmo software (ou compatível).

    Mensagens de texto

    As mensagens de texto padrões (SMS) não dispõem de criptografia ponto a ponto. Se você quer enviar mensagens criptografadas pelo seu telefone, considere utilizar um software de mensagens instantâneas criptografadas em vez de mensagens de texto SMS.

    Alguns serviços de mensagens instantâneas criptografadas ponto a ponto utilizam seu próprio protocolo. Então, por exemplo, os usuários do Signal, no Android e no iOS, podem conversar de modo seguro com outras pessoas que utilizam esses programas. O ChatSecure é um aplicativo móvel que criptografa conversas com o OTR em qualquer rede que usa o XMPP, significando que você pode escolher dentre os serviços, independentes de mensagens instantâneas.

    Mensagens instantâneas

    O Off-the-Record (OTR) (Fora da Banda) é um protocolo de criptografia ponto a ponto para mensagens de texto em tempo real, o qual pode ser utilizado no topo de uma série de serviços.

    Dentre algumas ferramentas que incorporam o OTR nas mensagens instantâneas, incluem-se:

    Email

    A maioria dos provedores de e-mail proporciona uma maneira de você acessá-los utilizando um navegador da Web, como o Firefox ou o Chrome. A maioria desses provedores suporta o protocolo HTTPS ou a criptografia de camada de transporte (do inglês transport-layer encryption). Você pode verificar se o seu provedor de e-mail suporta o protocolo HTTPS, acessando o seu webmail e conferindo se a URL no topo do seu navegador começa com as letras HTTPS em vez de HTTP (por exemplo: https://mail.google.com).

    Caso o seu provedor de e-mail suporte o HTTPS, mas não o faz por padrão, tente substituir o HTTP pelo HTTPS na URL e atualizar a página. Caso queira ter a certeza de sempre estar utilizando o protocolo HTTPS nos sites onde estiver disponível, faça o download do complemento do navegador HTTPS Everywhere, no Firefox ou no Chrome.

    Dentre alguns provedores de webmail que utilizam o protocolo HTTPS por padrão, incluem-se:

    • Gmail
    • Riseup
    • Yahoo

    Alguns provedores de webmail dão a opção de escolher utilizar o HTTPS por padrão, selecionando-o em suas configurações. O serviço mais popular, que ainda faz isso, é o Hotmail.



    O que faz a criptografia de camada de transporte (do inglês transport-layer encryption) e por que você precisa dela? O HTTPS, também referido como SSL ou TLS, criptografa suas comunicações de modo que elas não possam ser lidas por outras pessoas na sua rede. Isso pode incluir as que estão utilizando a mesma rede Wi-Fi em um aeroporto ou em uma cafeteria, no seu escritório ou na escola, os administradores de seu ISP, hackers maliciosos, agentes da lei ou do governo. As comunicações enviadas pelo seu navegador da Web, incluindo as páginas que você visita e o conteúdo de seus e-mails, postagens e mensagens, utilizando o protocolo HTTP em vez do HTTPS são de pouca importância para um oponente interceptá-las e lê-las.

    O HTTPS é o nível mais básico de criptografia para sua navegação na Web e é recomendado a todos. Ele é tão básico quanto colocar o cinto de segurança ao dirigir.



    Mas há algumas coisas que o HTTPS não faz. Quando você envia um e-mail utilizando o HTTPS, o seu provedor de e-mail ainda recebe uma cópia não criptografada da sua comunicação. Os governos e os agentes de aplicação da lei podem obter um mandato para acessar esses dados. Nos Estados Unidos, a maioria dos provedores de e-mail têm uma política que informa quando essas empresas receberem uma solicitação do governo, para que cedam os dados do usuário, desde que estejam legalmente autorizados a fazê-lo. Essas políticas, porém, são estritamente voluntárias e, em muitos casos, os provedores estão legalmente impedidos de informar essas solicitações de dados aos seus usuários. Alguns provedores de e-mail, como o Google, Yahoo e Microsoft, publicam relatórios de transparência, detalhando o número de solicitações que recebem do governo sobre os dados dos usuários, quais países fazem esses pedidos e quantas vezes a empresa cedeu essas informações.



    Se o seu modelo de ameaça inclui um governo ou agentes de aplicação da lei, ou se você tem alguma outra razão para assegurar que seu provedor de e-mail não possa ceder o conteúdo de suas comunicações por e-mail a um terceiro, considere utilizar a criptografia ponto a ponto nas suas comunicações por e-mail.

    A PGP (do inglês Pretty Good Privacy, que significa uma Privacidade Muito Boa) é um padrão para a criptografia ponto a ponto do seu e-mail. Utilizada corretamente, ela oferece proteções muito fortes às suas comunicações. Para instruções detalhadas de como instalar e utilizar a criptografia PGP para o seu e-mail, consulte os guias de:

    O que a criptografia ponto a ponto não faz?

    A criptografia ponto a ponto protege apenas o conteúdo das suas comunicações e não o fato da comunicação em si. Ela não protege os seus metadados - que é todo o restante, incluindo a linha de assunto do seu e-mail ou com quem e quando você está se comunicando.



    Os metadados podem fornecer informações extremamente reveladoras sobre você, mesmo quando o conteúdo de sua comunicação permanece secreto.



    Os metadados das suas chamadas telefônicas podem fornecer algumas informações muito íntimas e confidenciais. Por exemplo:

    • Eles sabem que você ligou para um serviço de sexo por telefone às 2h24 e falou durante 18 minutos. Eles só não sabem o foi dito por você.
    • Eles sabem que você telefonou da Ponte Golden Gate para o número de atendimento à prevenção de suicídio, mas o tema da chamada permanece em segredo.
    • Eles sabem que você falou com um serviço de testes de HIV, em seguida falou com o seu médico e depois, na mesma hora, falou com a sua seguradora de saúde; porém, eles não sabem o que foi conversado.
    • Eles sabem que você recebeu uma chamada do escritório local da NRA (em inglês National Rifle Association, que é a Associação Nacional de Rifles) enquanto estava tendo uma campanha contra a legislação de armas e, a seguir, ligou imediatamente para os seus senadores e representantes do Congresso, mas o conteúdo dessas chamadas continua sendo protegido contra a intromissão do governo.
    • Eles sabem que você telefonou para um ginecologista, falou durante meia hora e mais tarde, naquele mesmo dia, ligou para o escritório local da ONG de planejamento familiar Planned Parenthood, mas ninguém sabe sobre o que você conversou.

    Se você estiver ligando de um telefone celular, as informações da sua localização são metadados. Em 2009, o político Malte Spitz, do Partido Verde, processou a Deutsche Telekom para forçá-los a entregar seis meses de dados do telefone de Spitz, os quais ele disponibilizou para um jornal alemão. A visualização resultante mostrou um histórico detalhado dos movimentos dele.

    Proteger seus metadados requer que utilize outras ferramentas, como o Tor, ao mesmo tempo que usa a criptografia ponto a ponto.



    Para se ter um exemplo de como o Tor e o HTTPS trabalham em conjunto para proteger o conteúdo de suas comunicações e de seus metadados de uma variedade de potenciais invasores, leia esta explicação.

    Last reviewed: 
    2017-01-12
  • Criando senhas fortes

    As pessoas reutilizam com frequência um pequeno número de senhas em muitas contas diferentes, sites e serviços, pois é difícil lembrar muitas senhas diferentes. Hoje em dia, é constantemente requerido aos usuários que ingressem com novas senhas, e muitas pessoas acabam reutilizando as mesmas senhas, dezenas ou mesmo centenas de vezes.

    Reutilizar senhas é uma prática excepcionalmente ruim, porque se um invasor se apodera de uma senha, ele muitas vezes tentará utilizar essa mesma senha em diversas outras contas que pertençam à mesma pessoa. Se essa pessoa tiver a mesma senha reutilizada muitas vezes, o invasor poderá acessar diversas contas. Isso significa que uma determinada senha pode ser tão segura quanto o serviço menos seguro, onde ela foi utilizada.

    Evitar a reutilização de senhas é uma precaução de segurança valiosa, mas você não conseguirá lembrar todas as suas senhas se cada uma for distinta. Felizmente, existem ferramentas de software para ajudar nisso - um gerenciador de senhas (também chamado de cofre de senhas) é um aplicativo que ajuda a armazenar uma grande quantidade de senhas com segurança. Isto torna mais prático evitar utilizar a mesma senha em vários contextos. O gerenciador de senhas protege todas as suas senhas com uma única senha mestre (ou, o que é ideal, uma frase-chave - veja a seguir), de modo que você tem que lembrar de uma só coisa. As pessoas que utilizam um gerenciador de senhas na verdade nem sabem as senhas para as suas diferentes contas; o gerenciador de senhas pode lidar com todo o processo de criar e lembrar lhes as senhas.

    Por exemplo, o KeePassX é um cofre de senhas gratuito e de código aberto, que você pode manter na sua área de trabalho. É importante observar que se estiver utilizando o KeePassX, ele não salva automaticamente as alterações e acréscimos. Isso significa que se ele falhar depois que você adicionou algumas senhas, você pode perdê-las para sempre. Você pode alterar isso nas configurações.

    Utilizar um gerenciador de senhas também o auxilia a escolher senhas fortes que são difíceis de serem descobertas por um invasor. Isso é importante também; pois constantemente os usuários de computador, escolhem senhas simples e curtas, que um invasor pode facilmente descobrir, como por exemplo "senha1", "12345", uma data de nascimento, ou de um amigo, do cônjuge, ou o nome do animal de estimação. Um gerenciador de senhas pode ajudá-lo a criar e utilizar uma senha aleatória sem padrões ou estrutura - que não possa ser descoberta. Um gerenciador de senhas pode, por exemplo, escolher senhas como "vAeJZ!Q3p$Kdkz/CRHzj0v7,” que é improvável que um ser humano possa se lembrar, ou mesmo adivinhar. Não se preocupe, pois o gerenciador de senhas pode lembrar isso para você!

    Sincronização de senhas através de múltiplos dispositivos

    Você pode utilizar suas senhas em mais de um dispositivo, como no seu computador e no seu smartphone. Muitos gerenciadores de senha têm incorporado um recurso de sincronização de senhas. Quando sincronizar seu arquivo de senhas, este será atualizado em todos os seus dispositivos, de modo que se você adicionou uma nova conta no seu computador, ainda poderá acessá-la pelo seu telefone. Outros gerenciadores de senha oferecerão armazenar suas senhas "na nuvem", ou seja, eles armazenarão as suas senhas criptografadas em um servidor remoto, e quando você precisar delas em um laptop ou em um dispositivo móvel, eles irão recuperá-las e descriptografá-las para você automaticamente. Gerenciadores de senha que utilizam seus próprios servidores para armazenar ou ajudar a sincronizar as senhas são mais convenientes, mas, em contrapartida, eles são um pouco mais vulneráveis a ataques. Se você guarda suas senhas apenas no computador, alguém que possa tomar o controle do seu computador pode ser capaz de obtê-las. Se você as mantém na nuvem, o seu invasor pode ir buscá-las também. Normalmente, essa não é uma questão com que você precise se preocupar, a não ser que o invasor tenha poderes legais sobre a empresa do gerenciador de senhas ou seja conhecido por atacar empresas ou o tráfego da internet. Se você utiliza um serviço na nuvem, a empresa do gerenciador de senhas também pode saber quais serviços você utiliza, quando e onde.

    Escolhendo senhas seguras

    Existem algumas senhas que precisam ser memorizadas e que particularmente precisam ser fortes: aquelas que bloqueiam definitivamente seus dados com criptografia. Isso inclui, no mínimo as senhas para os seus dispositivos, a criptografia do tipo criptografia de disco completo, e a senha mestre para o seu gerenciador de senhas.

    Atualmente, os computadores são suficientemente rápidos para adivinhar em pouquíssimo tempo senhas mais curtas que dez ou mais caracteres. Isso significa que senhas curtas de quaisquer tipos, mesmo as totalmente aleatórias como nQ\m=8*x ou !s7e&nUY ou gaG5^bG, não são fortes o suficiente para utilização com a criptografia atual.

    Há muitas maneiras de criar uma senha forte e fácil de memorizar; o método mais simples e infalível é o "Diceware" de Arnold Reinhold.

    O método de Reinhold envolve dados físicos que rolam para escolher aleatoriamente várias palavras de uma lista de palavras; em conjunto, estas palavras formarão a sua frase-chave. Recomendamos utilizar no mínimo seis palavras para a criptografia de disco (e para o cofre de senhas).

    Tente fazer uma senha utilizando o método do “Diceware” de Reinhold.

    Quando você utiliza um gerenciador de senhas, a segurança de suas senhas e da sua senha mestre é tão forte quanto a segurança do computador onde o gerenciador de senhas está instalado e sendo utilizado. Se o seu computador ou dispositivo está comprometido e tem instalado um spyware, este pode visualizar você digitar sua senha mestre e talvez roubar o conteúdo do cofre de senhas. Por isso, ainda é muito importante manter seu computador e demais dispositivos limpos de softwares maliciosos ao utilizar um gerenciador de senhas.

    Uma palavra sobre as “Perguntas de Segurança”

    Tenha consciência das "perguntas de segurança" (como "Qual é o nome de solteira de sua mãe?" ou "Qual era o nome do seu primeiro animal de estimação?"), que os sites utilizam para confirmar a sua identidade caso você esqueça qual é a sua senha. As respostas fiéis para muitas das questões de segurança podem ser encontradas com uma simples busca na rede e um determinado oponente pode facilmente descobrir e, assim, contornar a sua senha completamente. Foi dessa maneira, por exemplo, que a candidata à vice-presidência dos Estados Unidos, Sarah Palin, teve a sua conta do Yahoo! hackeada. Em vez disso, dê respostas fictícias para a sua senha que ninguém, exceto você, saiba. Por exemplo, se a pergunta da senha pede o nome de seu animal de estimação, você pode ter postado fotos para sites de compartilhamento de fotos com legendas do tipo "Essa é a foto do Spot, o meu lindo gato!" Ao invés de utilizar “Spot” como resposta para recuperar sua senha, você pode escolher “Rumplestiltskin.” Não utilize as mesmas senhas ou respostas a perguntas de segurança para várias contas em distintos websites ou serviços. Você deve armazenar as suas respostas fictícias também no seu cofre de senhas.

    Pense em sites onde você tem utilizado perguntas de segurança. Considere verificar suas configurações e alterar as suas respostas.

    Lembre-se de manter um backup do seu cofre de senhas! Se você perder o seu cofre de senhas em um acidente (ou se não tiver acesso aos seus dispositivos), pode ser difícil recuperar as suas senhas. Os programas de cofres de senhas normalmente permitem fazer um backup separado, ou você pode utilizar o seu programa usual de backup.

    Normalmente, você pode redefinir suas senhas pedindo que lhe enviem um e-mail de recuperação de senha para o seu endereço de e-mail registrado. Por esta razão, você deve querer memorizar a frase-chave para esta conta de e-mail também. Se fizer isso, você terá como redefinir as senhas independente do seu cofre de senhas.

    Autenticação de dois fatores e senha única

    Muitos serviços e ferramentas de software permitem que você utilize a autenticação de dois fatores, também chamada de autenticação em duas etapas ou fazer login em duas etapas. Aqui, a ideia é que para fazer login você precisa estar de posse de certo objeto físico: normalmente um telefone móvel, mas em algumas versões, um dispositivo especial chamado de token de segurança. Utilizar a autenticação de dois fatores garante que, mesmo que sua senha para o serviço seja hackeada ou roubada, o ladrão não será capaz de fazer login, a menos que ele possua ou tenha o controle de um segundo dispositivo e os códigos especiais que apenas este pode gerar.

    Normalmente, isso significa que um ladrão ou hacker teria que controlar tanto o seu laptop quanto o seu telefone antes que tenham pleno acesso às suas contas.

    Não há como fazer isso por conta própria se estiver utilizando um serviço que não tenha sido oferecido, pois isso só pode ser configurado com a cooperação do operador do serviço.

    A autenticação de dois fatores que utiliza um telefone móvel pode ser feita de duas maneiras: o serviço pode enviar um uma mensagem de texto SMS para o seu telefone sempre que você tentar fazer login (fornecendo um código de segurança extra que você precisa digitar), ou o telefone pode executar um aplicativo autenticador que gera internamente códigos de segurança no próprio telefone. Isso ajudará a proteger sua conta em situações onde um invasor sabe a sua senha, mas não tem acesso físico ao seu telefone móvel.

    Alguns serviços, como o Google, também permitem que você gere uma lista de senhas únicas, também chamadas de senhas de uso único. Elas são feitas para serem impressas ou escritas no papel e levadas com você (embora em alguns casos seja possível memorizar um pequeno número delas). Cada uma destas senhas funciona apenas uma vez, por isso, se uma for roubada por um spyware quando você a digita, o ladrão não poderá utilizá-la no futuro.

    Se você ou sua organização tem sua própria infraestrutura de comunicações, tais como seus próprios servidores de e-mail, existem softwares gratuitos disponíveis, que podem ser utilizados para habilitar a autenticação de dois fatores para acesso a seus sistemas. Peça para seus administradores de sistemas procurarem softwares que ofereçam implementações de padrão aberto "Time-Based One-Time Passwords" ou RFC 6238.

    Ameaças de dano físico ou detenção

    Por último, entendemos que sempre há uma maneira de os invasores obterem sua senha: Eles podem ameaçá-lo diretamente com danos físicos ou através de detenção. Se você teme esta possibilidade, considere maneiras de ocultar a existência de dados ou dispositivos que você está protegendo, em vez de acreditar que nunca fornecerá a senha de proteção. Uma possibilidade é manter pelo menos uma conta que contenha informações de pouca importância, cuja senha possa ser divulgada rapidamente.

    Se você tem boas razões para acreditar que alguém pode ameaçá-lo para obter as suas senhas, é bom certificar-se de que seus dispositivos estejam configurados de modo a não ser óbvio que a conta que você está revelando não é a “verdadeira”. A conta mostrada na tela de login do seu computador, ou a que é automaticamente exibida quando você abre um navegador é a sua conta verdadeira? Se assim for, você precisa reconfigurar algumas coisas para tornar sua conta menos óbvia.

    Em algumas jurisdições, como nos Estados Unidos ou na Bélgica, você pode impugnar juridicamente uma exigência pela sua senha. Em outras jurisdições, como no Reino Unido ou na Índia, a legislação local permite que o governo exija a divulgação. A EFF dispõe de informações detalhadas para qualquer um que viaje através das fronteiras dos Estados Unidos e deseje proteger seus dados nos seus dispositivos digitais em nosso guia Defesa de Privacidade nas Fronteiras dos Estados Unidos.

    Tenha em conta que a destruição intencional de evidências ou a obstrução de qualquer investigação pode ser considerada como um crime independente, muitas vezes com consequências muito mais graves. Em alguns casos, pode ser mais fácil para o governo provar isso e aplicar punições mais severas que ao suposto crime que originalmente está sendo investigado.

    Last reviewed: 
    2016-01-13
  • Como contornar a censura on-line

    Esta é uma visão geral sucinta para contornar a censura on-line, mas não se trata de um documento abrangente.

    Muitos governos, empresas, escolas e pontos de acesso públicos utilizam softwares para evitar que os usuários da internet acessem determinados websites e serviços da web. Isso é chamado de filtragem ou bloqueio da internet e é uma forma de censura. A filtragem do conteúdo vem de diferentes formas. Algumas vezes o website inteiro está bloqueado; outras vezes, apenas páginas avulsas da Web; e em outras o conteúdo é bloqueado baseado em palavras que ele contém.

    Há diferentes maneiras de derrotar a censura na Internet. Algumas protegem você contra a vigilância, mas muitas não. Quando alguém que controla sua conexão à rede filtra ou bloqueia um site, você pode quase sempre utilizar uma ferramenta de evasão para chegar à informação que deseja. Note: Ferramentas de evasão que prometem privacidade ou segurança nem sempre são privadas ou seguras, e ferramentas que utilizam termos como “anonimizador” nem sempre mantêm sua identidade completamente secreta.

    A melhor ferramenta de evasão para você depende do seu modelo de ameaça. Se você não estiver seguro(a) sobre qual é o seu modelo de ameaça, comece aqui.

    Neste artigo, apresentaremos quatro maneiras de driblar a vigilância:

    • Visitando um web proxy para acessar um site bloqueado.
    • Visitando um web proxy criptografado para acessar um site bloqueado.
    • Utilizando uma Rede Privada Virtual (VPN) para acessar um site ou serviço bloqueado.
    • Utilizando o Tor Browser para acessar um site bloqueado ou proteger a sua identidade.

    Técnicas básicas

    Ferramentas de evasão normalmente funcionam desviando seu tráfego de rede para outro computador, de forma a contornar as máquinas que realizam a censura. O serviço intermediário através do qual você canaliza sua comunicação neste processo é chamado de proxy.

    O protocolo HTTPS é uma versão segura do HTTP, utilizado para acessar websites. Algumas vezes o censor bloqueará apenas a versão não segura de um site, permitindo que você o acesse pela versão do domínio que se inicia com HTTPS.

    Isso é particularmente útil se a filtragem a que você está sujeito baseia-se em palavras ou só bloqueia páginas avulsas da Web. O HTTPS impede que os censores leiam seu tráfego na Web; portanto eles não podem dizer quais palavras-chave estão sendo enviadas ou qual página da web você está visitando.

    Censores ainda podem ver o nome de domínio de todos os sites que você visita. Então, por exemplo, se você visitar “eff.org/https-everywhere”, censores podem ver que você está na “eff.org” mas não conseguem ver que você está na página do “https-everywhere”.

    Se suspeita deste tipo de bloqueio simples, tente acessar por meio do https:// antes do domínio, em vez de http://.

    Tente o plug-in HTTPS Everywhere da EFF para ligar o HTTPS automaticamente para aqueles sites que o suportam.

    Outra maneira de conseguir contornar as técnicas básicas de censura é tentar um nome de domínio ou uma URL alternativa. Em vez de visitar http://twitter.com, você pode, por exemplo, visitar http://m.twitter.com, que é a versão móvel do site. Censores que bloqueiam os sites ou páginas da web costumam fazê-lo a partir de uma lista negra de websites proibidos, então qualquer coisa que não esteja na lista negra fica acessível. Eles podem não saber de todas as variações de um determinado nome de domínio de um website, ainda mais se o proprietário do site souber que está bloqueado e registrar mais de um nome.

    Os Proxies baseados na Web

    Um proxy baseado na Web (como o http://proxy.org/) é uma boa maneira de contornar a censura. Tudo que precisa fazer para utilizar um proxy baseado na Web é digitar o endereço filtrado que você quer utilizar e o proxy exibirá, então, o conteúdo solicitado.

    Os proxies baseados na Web são uma boa maneira de acessar rapidamente os websites bloqueados, mas muitas vezes não proporcionam qualquer segurança, e será uma escolha ruim se seu modelo de ameaças inclui alguém vigiando sua conexão com a internet. Além disso, eles não lhe ajudarão a utilizar outros serviços bloqueados, tais como o seu programa de mensagens instantâneas. Finalmente, dependendo do modelo de ameaça, os proxies baseados na Web constituem um risco de privacidade para muitos usuários, pois o proxy terá um registro completo de tudo que você faz on-line.

    Proxies criptografados

    Diversas ferramentas de proxy utilizam criptografia para fornecer uma camada adicional de segurança acima da habilidade de contornar os filtros. A comexão é encriptada para que outros não vejam o que você está visitando. Enquanto proxies criptografados geralmente são mais seguros do que outros proxies baseados na web, o fornecedor da ferramenta pode ter informações sobre você. Ele pode ter seu nome e endereço de email em seus registros, por exemplo. Isso significa que essas ferramentas não fornecem anonimato total.

    A forma mais simples de um proxy da Web criptografado é aquele que começa com "https", pois utilizará a criptografia normalmente fornecida por sites seguros. Ironicamente, no processo, os proprietários desses proxies começarão a ver os dados que você envia e recebe de outros sites seguros, portanto seja cauteloso. O Ultrasurf e o Psiphon são exemplos destas ferramentas.

    Redes privadas virtuais

    Uma Rede Privada Virtual (Virtual Private Network ou VPN) criptografa e envia todos os dados da internet de seu computador para outro computador. Esse equipamento pode pertencer a um serviço VPN comercial ou entidade sem fins lucrativos, sua empresa ou um contato confiável. Uma vez que um serviço VPN esteja corretamente configurado, você pode utilizá-lo para acessar páginas da Web, e-mail, mensagens instantâneas, VoIP e qualquer outro serviço de internet. Uma VPN protege seu tráfego de ser interceptado localmente, porém seu provedor VPN pode manter registros do seu tráfego (websites que você conecta e quando os acessa) ou até mesmo proporcionar a um terceiro a possibilidade de sondar diretamente sua navegação na Web. Dependendo do seu modelo de ameaça, a possibilidade de um governo ouvir sua conexão VPN ou obter os registros pode ser um risco significativo e, para alguns usuários, poderia superar os benefícios de curto prazo da utilização de uma VPN.

    Clique aqui para obter as informações sobre serviços específicos de VPN.

    Nós da EFF não podemos confirmar essa pontuação dos VPNs. Algumas VPNs com políticas de privacidade exemplares poderiam perfeitamenteser mantidas por pessoas desonestas. Não utilize uma VPN na qual você não confie.

    Tor

    Tor é um software gratuito, livre e de código aberto desenhado para  fornecer a você o anonimato na rede. O Tor Browser é um navegador da web construído sobre a rede de anonimato do Tor. Por conta da forma como o Tor roteia seu tráfego de navegação na Web, ele também possibilita que você contorne a censura (Veja nosso guia “Como usar o Tor para Linux, macOS e Windows").

    Quando você inicia o Tor Browser, você pode escolher uma opção especificando que você está em uma rede que é censurada:

    O Tor não só contornará praticamente toda censura nacional, mas, se propriamente configurado, pode também proteger a sua identidade de um adversário monitorando as redes do seu país. Ele pode, no entanto, ser lento e difícil de usar.

    Para aprender a usar o Tor em um desktop, clique aqui (Linux), aqui (macOS), ou aqui (Windows), mas por favor certifique-se de clicar em “Configurar” em vez de “Conectar” na janela exibida acima.

    Last reviewed: 
    2017-08-10
  • Como encriptar seu iPhone

    Se você possui um iPhone 3GS ou mais recente, um iPod touch de 3ª geração ou mais recente ou qualquer iPad, você pode proteger o conteúdo do seu dispositivo utilizando a criptografia. Isso significa que se alguém conseguir acessar fisicamente o seu dispositivo, precisará também da sua senha para descriptografar o que está armazenado nele, incluindo os contatos, mensagens instantâneas ou de texto, registros de ligações ou de e-mails.

    Na realidade, a maioria dos dispositivos da Apple encripta seus conteúdos como padrão, com vários níveis de proteção. Porém, para proteger-se de alguém que tente obter seus dados pelo furto físico do seu dispositivo, você necessita ligar a encriptação a uma passphrase ou código que somente você saiba.

    Em dispositivos rodando iOS 4-iOS 7, você pode fazer isso acessando General Settings, e selecionando Passcode (ou iTouch & Passcode). Para o iOS 8-9, o Passcode (ou “TouchID & Passcode”) tem sua própria seção no aplicativo Configurações. Siga os passos para criar um passcode. Você deve configurar a opção “Require passcode” para “Imediatamente”, para que seu dispositivo não seja desbloqueado quando você não o estiver utilizando. Bloqueie o “Simple Passcode” para poder utilizar um código com mais de 4 dígitos.

    Se você escolhe uma senha totalmente numérica, você ainda terá um teclado numérico na tela quando tentar desbloquear seu telefone, o que pode ser mais fácil do que digitar um conjunto de letras e símbolos em um estreito teclado virtual. Ainda assim você deve manter sua senha longa, mesmo que o hardware da Apple seja projetado para desacelerar ferramentas de quebra de senha. Tente criar uma senha com mais de 6 dígitos.

    Uma vez configurada a senha, role a tela para o rodapé da página Passcode settings. Você verá uma mensagem que diz “Data protection enabled”. Isto significa que a encriptação do dispositivo está vinculada à sua senha, e que a maioria dos dados do seu telefone precisará daquele código para desbloqueio.

    How to Encrypt Your iPhone 1

    Abaixo seguem outras funções do iOS que você pode pensar em utilizar caso lide com dados privados:

    • iTunes possui a opção de backup do seu dispositivo ao seu computador. Caso escolha a opção “Encriptar backup” na aba “Summary” do seu dispositivo em iTunes, o iTunes fará o backup de mais informações confidenciais (como senha de Wifi e e-mail), porém encriptará tudo antes de salvar no seu computador. Esteja certo de manter a senha que utiliza aqui segura: restaurar do backup é um evento raro, porém excepcionalmente doloroso se você não lembra a senha para desbloquear o backup em uma emergência.
    • Se você faz o backup do Apple iCloud, deve utilizar uma passphrase longa para proteger os dados, e manter a passphrase salva. Enquanto a Apple encripta a maioria dos dados em seus backups, pode ser possível à companhia obter acesso a fins policiais uma vez que a Apple também controla as chaves utilizadas para a encriptação do iCloud.
    • Se você ativa a proteção de dados descrita acima, você também poderá deletar os dados no seu dispositivo de forma rápida e segura. Nas configurações de senha, você pode configurar seu dispositivo para limpar todos os dados após dez tentativas fracassadas de advinhar a senha.
    • De acordo com o “Apple’s old Law Enforcement Guide”, “a Apple pode extrair certas categorias de dados ativos de dispositivos iOS bloqueados com senha. Especificamente, os arquivos ativos gerados pelo usuário contidos nos apps nativos da Appe e para os quais os dados não são encriptados utilizando senha (“user generated active files”), podem ser extraídos e fornecidos às autoridades legais em mídia externa. A Apple pode realizar este processo de extração de dados em dispositivos iOS rodando iOS 4 ou versões mais recentes de iOS. Por favor note que as únicas categorias de arquivos gerados por usuário que podem ser entregues às autoridades legais, mediante mandado de busca válido, são: SMS, fotos, vídeos, contatos, gravação de áudio e histórico de ligações. Apple não pode fornecer: e-mail, entradas de calendário, nem dados de aplicativos terceiros”.

    As informações acima aplicam-se apenas aos dispositivos iOS que estão executando versões do iOS anteriores à 8.0.

    • Hoje, a Apple estabelece que “Em dispositivos rodando iOS 8 e versões superiores, seus dados pessoais são armazenados sob a proteção da sua senha. Para todos os dispositivos rodando iOS 8 e versões mais atuais, a Apple não fará extração de dados iOS em resposta a mandados de busca do governo porque os arquivos extraíveis são protegidos por uma chave de encriptação vinculada à senha do usuário, a qual a Apple não possui."

    LEMBRE-SE: Enquanto a Apple será incapaz de extrair dados diretamente do seu telefone, caso o dispositivo esteja configurado para sincronizar com o iCloud ou fazer backup com um computador, muitos desses mesmos dados serão acessíveis às autoridades legais. Sob a maioria das circunstâncias, a encriptação iOS somente será efetiva quando um dispositivo for totalmente desligado (ou recém-reinicializado, sem estar desbloqueado). Alguns agressores podem ser capazes de extrair dados valiosos da memória do seu dispositivo quando estiver ligado. (Eles podem ainda ser capazes de extrair os dados quando tiver acabado de ser desligado). Tenha isso em mente e, se possível, esteja certo de que seu dispositivo está desligado (ou reiniciado e não desbloqueado) caso acredite que possui probabilidade de ser apreendido ou furtado.

    • Caso você esteja preocupado com a perda ou roubo do seu dispositivo, você pode ainda configurar seu dispositivo Apple para ser formatado remotamente, utilizando a função “Find My iPhone”. Note que isso permitirá à Apple localizar remotamente o seu dispositivo a qualquer momento. Você deve mensurar os benefícios de deletar dados caso perca o controle do seu dispositivo, sob o risco de revelar sua posição. (Telefones celulares transmitem essa informação a companhias telefônicas por rotina; dispositivos WiFi como iPads e o iPod Touch não o fazem).
    Last reviewed: 
    2016-04-28
  • Como utilizar Signal - aplicativo de mensagem privada

    Instalando o Signal – Private Messenger (aplicativo de mensagem privada) no seu iPhone

    Etapa 1: Faça download e instale o Signal – Private Messenger

    Acesse a AppStore no seu dispositivo iOS, e pesquise por « Signal ». Selecione o aplicativo « Signal – Private Messenger », da Open Whisper Systems.

    Pressione « OBTER » para baixar a aplicação, e então « INSTALAR ». Você poderá ser solicitado a digitar suas credenciais Apple ID. Uma vez que a aplicação tenha sido instalada, clique « ABRIR » para iniciá-la.

    Etapa 2: registrar e verificar o seu número de telefone

    Digite seu número de celular e pressione « VERIFICAR ESTE DISPOSITIVO »

    Para que seja possível confirmar seu número de telefone, você receberá uma mensagem SMS com um código de seis dígitos. Você será solicitado a digitar este código, e então clicar em « ENVIAR CÓDIGO DE VERIFICAÇÃO »

    Uma vez que este processo esteja completo, o Signal solicitará acesso aos seus contatos. Pressione  « CONTINUAR ».

    O Signal solicitará então permissão para lhe enviar notificações.

    Utilizando o Signal

    Para utilizar o Signal, a pessoa que você está chamando precisa ter instalado o Signal. Se você tentar chamar ou enviar uma mensagem a alguém utilizando o aplicativo Signal e esta pessoa não tiver instalado um dos aplicativos mencionados, o aplicativo perguntará se gostaria de convidá-lo via SMS, mas não permitirá que complete a sua chamada ou que envie uma mensagem a ela pelo aplicativo.

    O Signal fornece a você uma lista de outros usuários de Signal que estejam em seus contatos. Para que isso seja possível, os dados contendo os números de telefone da sua lista de contatos são enviados para os servidores do Signal, muito embora estes dados sejam deletados quase que imediatamente depois.

    Como Enviar uma Mensagem Criptografada

    Observe que a Open Whisper Systems, criadora do Signal, utiliza a infraestrutura de outras empresas para enviar alertas aos usuários quando estes recebem uma nova mensagem. Ela utiliza o Google no Android e a Apple no iPhone. Isso significa que informações sobre quem está recebendo as mensagens e quando elas são recebidas podem vazar para estas empresas.

    Para começar, clique no ícone de lápis na porção direita inferior da tela.

     

     

     

    Você verá uma lista dos seus contatos que já têm instalado o Signal.

    Quando você clica em um contato, você será levado à tela de envio de mensagens de texto para este contato. Desta tela, você pode enviar mensagens com criptografia de ponta-a-ponta, imagens, ou mensagens de vídeo.

    Como fazer uma chamada encriptada

    Para iniciar uma chamada encriptada, escolha um contato e clique no ícone do telefone. Você saberá que o contato aceita chamadas do Signal se houver um pequeno cadeado próximo ao ícone de telefone.

    Neste momento, o Signal poderá pedir sua permissão para acessar seu microfone. Pressione « OK ».

    Uma vez estabelecida a chamada, sua chamada está criptografada

    Como Iniciar uma Ligação de Vídeo Criptografada

    Para realizar uma ligação de vídeo criptografada, basta ligar para alguém conforme descrito acima.

    E clique no ícone da câmera de vídeo. Você precisará permitir ao Signal o acesso ao vídeo da sua câmera. Isso compartilhará seu vídeo com seu(sua) amigo(a) (que precisará fazer a mesma coisa).

    Como Iniciar um Chat em Grupo Criptografado

    Você pode enviar uma mensagem criptografada para um grupo clicando no ícone de « redigir » no canto esquerdo superior da tela (o quadrado com um lápis apontando para o centro), e então clicando no ícone com três bonecos, no mesmo local.

    Na próxima tela, você poderá dar um nome para o grupo e adicionar participantes. Após adicionar os participantes, você pode clicar no sinal de mais « + » no canto direito superior da tela.

    Isso iniciará o chat em grupo.

    Se você desejar alterar o ícone do grupo ou adicionar / remover participantes, isso pode ser feito da tela de chat do grupo. Clique no ícone com três pontos no canto direito superior da tela e selecione « Editar Grupo ».

    Como Verificar Seus Contatos

    Você pode agora verificar a autenticidade das pessoas com as quais você está se comunicando, de forma a garantir que suas chaves de criptografia não foram alteradas ou substituída pela chave de outra pessoa quando sua aplicação as baixou (processo chamado de verificação de chave). O processo de verificação só pode ocorrer quando você está fisicamente na presença da pessoa com quem você está falando.

    Primeiro, abra a tela da qual você pode enviar mensagens ao seu contato, conforme descrito acima. Nesta tela, pressione o nome do seu contato no alto da tela.

    Na tela seguinte, pressione « Verificar os Números de Segurança ».

    Você será levado a uma tela que mostrará um código QR e uma lista de « números de segurança ». Estes números são únicos para cada contato com o qual você estiver conversando. Peça ao seu contato que navegue até a tela correspondente à conversa dele com você, de forma que eles também tenham um código QR na tela deles.

    De volta ao seu dispositivo, pressione « Ler Código ». Neste momento, o Signal poderá pedir permissão para acessar sua câmera. Clique « OK ».

    Você poderá agora utilizar a câmera para escanear o código QR mostrado na tela do seu contato. Alinhe sua câmera com o código QR :

    Se tudo estiver correto, sua câmera lerá o código de barras e mostrará a mensagem « Números de Segurança Verificados! », como abaixo :

    Isso indica que você teve sucesso ao verificar seu contato. Se, ao invés disso, a tela que aparecer for como a abaixo, é porque algo deu errado :

    Você pode preferir evitar conversar sobre questões sensíveis até que você tenha verificado suas chaves com seu contato.

    Nota para usuários experientes: a tela que mostra seu código QR tem também um ícone para compartilhar seus números de segurança, que fica em seu canto direito superior. A verificação presencial é o método preferido, mas se você já autenticou seu contato utilizando outra forma segura como, por exemplo, PGP, você pode utilizar a confiança estabelecida nesta outra aplicação para verificar os números de segurança dentro do Signai sem ter que estar fisicamente na presença de seu contato. Neste caso você pode compartilhar seus números de segurança através daquela aplicação clicando no ícone « compartilhar » e enviar seus números de segurança para o seu contato.

    Mensagens que desaparecem

    O Signal possui um recurso chamado « mensagens que desaparecem » que garante que as mensagens serão removidas de seu dispositivo e do dispositivo do seu contato um tempo determinado após terem sido lidas. Para habilitar a opção de « Mensagens que Desaparecem » para uma determinada conversa, abra a tela de onde você pode enviar mensagens para o seu contato e, nela, pressione o ícone com três pontos do canto direito superior da tela, e ligue a opção « Mensagens que Desaparecem ».

    Uma barra aparecerá permitindo que você selecione após quanto tempo as mensagens desaparecerão :

    Após selecionar uma das opções, você pode pressionar o ícone « < » no canto esquerdo superior da tela. Você deve então ver informações sobre a conversa indicando que as «Mensagens que Desaparecem » foram ativadas.

    Você pode agora enviar mensagens com a garantia de que elas serão removidas após o tempo selecionado.

    Last reviewed: 
    2017-03-17
Next:
JavaScript license information