Escolar Documentos
Profissional Documentos
Cultura Documentos
Nov/2013 Esta uma postagem pblica. Esse zine uma publicao Anti-Copyright. Divulgue, copie e transforme vontade.
que a criptografia. Em poucas palavras: essa uma arte milenar que se trata de tornar ilegvel um contedo para quem no tiver a senha correta. H duas maneiras de criptografar seus dados: 1. Criptografia total do disco. Sem a senha ningum ter acesso ao HD do computador. Todos os arquivos estaro automaticamente seguros e mesmo que o HD seja removido no ser possvel l-los. - Como fazer? Isso depende de qual sistema operacional (Linux, Windows, MAC) voc usa. No caso do Linux, vrias distribuies (Debian, Ubuntu, Red Hat) j tm essa opo na instalao do sistema. Recomendamos que voc faa uma cpia dos seus arquivos e reinstale seguindo as informaes dadas na instalao para criptografar. Se voc usa Windows ou Mac recomendamos o uso do programa Truecrypt. H vrios tutoriais na internet para utilizar essa ferramenta, infelizmente a maioria est em ingls, mas uma busca com cuidado ser o suficiente para entender o programa. 2. Criptografia de arquivos, pastas e diretrios Ao invs de proteger todo o computador, voc pode proteger as partes mais sensveis. Com esse mtodo voc cria um lugar onde tudo o que for colocado l ser criptografado. - Como fazer? Novamente recomendamos o Truecrypt.
Sobre senhas:
No adianta muita coisa criptografar seus dados e colocar como senha 123456. Uma senha forte importante para garantir sua segurana e anonimato no s na criptografia, mas tambm nas suas comunicaes. Aqui vo algumas dicas do pessoal do Riseup de como criar senhas fortes: 1. No use a mesma senha para tudo. Voc pode usar a mesma para o que no for muito importante, ou seja, o que no envolve privacidade ou questes financeiras. Para coisas muito importantes sempre importante ter senhas nicas. 2. No use senhas que sejam somente palavras existentes (no importa a lngua). Uma das principais maneiras que as senhas so quebradas utilizando programas de computador que tentam todas as palavras que existem no dicionrio. No vai ser sempre uma pessoa que vai tentar adivinhar suas senhas, mas sim computadores programados para tentar qualquer palavra (e combinao delas). 3. Nunca use o seu login como senha. 4. Pense numa frase ou numa msica que voc gosta que contenha nmeros, como por exemplo: Meu Filho Nasceu No Dia 12 De Janeiro De 94. Agora pegue as primeiras letras das palavras da frase e os nmeros: MFNND12DJD94. 5.Mude suas senhas de tempos em tempos.
1. E-mails Os e-mails corporativos (Gmail, Hotmail) so particularmente inseguros. Essas empresas coletam constantemente dados sobre as nossas movimentaes e no veem nenhum problema em entreg-los para as autoridades governamentais. A primeira coisa a se fazer procurar servidores de e-mails seguros. Muitas so as opes, mas a mais conhecida o Riseup. Essa rede de ativistas mantm um servidor seguro que coleta o mnimo de informaes possveis sobre voc. Uma boa ideia ter mais de uma conta de acordo com o objetivo, mas no podemos exagerar porque maldade sobrecarregar os servidores seguros. Se voc quer uma conta para se registrar em algum lugar uma tima opo so os e-mails temporrios que so deletados depois de um tempo: GuerrillaMail. A migrao para servidores seguros j ajuda em muito se algum quiser invadir a sua caixa de e-mails, mas no resolve o problema da interceptao do e-mail quando voc mandar ou receber um. Um e-mail pode ser interceptado no caminho e lido, portanto se a informao for muito sensvel preciso tomar cuidados a mais. Uma boa soluo ter uma conta coletiva com os que tm que ter acesso informao e ao invs de enviar o e-mail, gravar sempre nos rascunhos. Cada umas das pessoas ter a senha e poder ler e gravar o que quiser nos rascunhos, evitando que o e-mail seja enviado e fique exposto. Outra boa soluo a criptografia. - Como criptografar seus e-mails? Para fazer isso pode ser utilizada a criptografia PGP. Nela cada pessoa tem uma senha pblica e outra privada. A pblica deve ser dada para todos aqueles que iro mandar e-mails para voc e a privada deve ser guardada de uma forma segura. Nunca d sua chave privada para ningum! Quando algum for lhe mandar um email, a pessoa dever criptografar com a sua senha pblica e somente voc (com a senha privada) poder descriptografar. Voc dever saber as chaves pblicas daqueles com quem voc troca e-mails. A maneira mais fcil de usar criptografia nos e-mails utilizando um gerenciador de e-mails como o Thunderbird. Ele pode ser instalado em qualquer sistema operacional, mas alguma distribuies Linux j vm com tudo necessrio para a criptografia. Alm desse programa necessrio que seja instalado um complemento ao programa que o Enigmail. Por fim necessrio o download do software que far o trabalho principal: GNU Privacy Guard. Existem tutoriais na internet que explicam esse processo passo-a-passo para cada sistema operacional (se voc l em ingls recomendamos The CryptoParty Handbook). Depois de fazer a instalao voc poder gerar as chaves dentro do Thunderbird. Depois voc ter que importar as chaves pblicas dos destinatrios que voc ir receber e poder sempre escolher se quer criptografar seus e-mails. 2. Comunicao instantnea Quando trocamos ideia em chats e por videoconferncia tambm estamos sendo monitorados. Existem alternativas desenvolvidas com software livre. Recomendamos o Pidgin-OTR. Alm de instalar os programas, voc deve ter certeza que est usando os complementos necessrios para a criptografia. 3. Redes sociais Definitivamente as redes sociais no so locais seguros. Mas no adianta ficar repetindo isso porque quase todo mundo sente que sem o Facebook no h internet e para alguns no h nem vida. Portanto tenha sempre em mente que tudo o que voc fizer nessas redes ser registrado e ser usado contra voc quando for
conveniente para os de cima. Estratgias de camuflagem so pouco eficientes nesses ambientes e alm disso voc estar fornecendo no s contedo, mas toda a sua rede de articulao para que o controle saiba com quem voc anda. Caso voc queira usar redes sociais para se organizar recomendamos que voc migre para redes sociais livres como a We.Riseup e a Saravea. Elas fornecem um bom instrumental para organizar tarefas, relatorias e discusses em grupo. Se quiser fazer amigos, recomendamos que saia de casa e v dar uma caminhada na rua. 4. Publicaes/limpando metadados Metadados so dados pessoais seus que so colocados em todos os arquivos que voc cria e que podem ser usados para identificar, por exemplo, quem escreveu um texto ou tirou uma foto. Alguns programas podem ser usados para limpar esses dados antes de post-los na internet. Dentre eles recomendamos: o ExifTool e o Metadata Anonymisation Toolkit. Aps a instalao basta abrir os arquivos nos programas e apagar os dados.
oficial: torproject.org. Essa a maneira mais segura de voc navegar na internet e funciona atravs de uma rede de IPs na qual voc entra e redirecionado at conseguir utilizar a internet com um outro IP. Uma boa ideia utilizar o navegador desenvolvido pelo projeto o Tor Browser Bundle. VPN O VPN outra forma de camuflar. Quando voc acessa o VPN, voc entra em um servidor que possui um endereo de IP que ser o que aparecer nos sites. Essa forma um pouco menos segura que o Tor, mas mais fcil de usar. Recomendamos que voc no use um VPN de empresa, mas que use o do Riseup que uma rede que se importa muito com sua segurana. Para instalar e entender como funciona voc pode entrar no site: help.riseup.net/pt/pt-vpn.
Apesar de fazermos nosso melhor para oferecer boas ferramentas para proteger sua privacidade enquanto estiver usando um computador, no h uma soluo perfeita para um problema to complexo. Entender os limites desta ferramenta um passo crucial para decidir se o Tails a ferramenta correta para voc e para ajudar voc a fazer um bom uso dela. 1. Os ns de sada do Tor podem observar suas comunicaes 2. O uso do Tails expe o fato de que voc est usando Tor (e provavelmente o Tails tambm) 3. Ataques man-in-the-middle (homem-do-meio) 4. Ataques de confirmao de trfego 5. Tails no criptografa seus documentos por padro 6. Tails no limpa os metadados dos seus documentos para voc e no criptografa o Assunto: e outros cabealhos das suas mensagens de email criptografadas 7. Tor no te protege de um adversrio global 8. Tails no separa magicamente suas diferentes identidades 9. Tails no transforma suas senhas fracas em fortes 10. Tails um trabalho em progresso
qualquer ponto nico pode dizer de onde os dados vieram e para onde eles esto indo.
O ltimo relay desse circuito, chamado de n de sada, aquele que estabelece a conexo com o servidor de destino. Como o Tor no criptografa o trfego entre um n de sada e o servidor de destino (e nem poderia por questes de projeto), qualquer n de sada est numa posio na qual pode capturar qualquer trfego passando por ele. Veja a pgina de FAQ do Tor: ns de sada podem bisbilhotar comunicaes?. Por exemplo, em 2007 um pesquisador de segurana interceptou milhares de mensagens de e-mail enviadas por embaixadas estrangeiras e grupos de direitos humanos ao redor do mundo atravs da espionagem das conexes que saam de um n de sada que ele estava rodando. Leia Wired: Rogue Nodes Turn Tor Anonymizer Into Eavesdropper's Paradise (english). Para se proteger desses ataques voc deve usar criptografia ponto-aponto. Tails includes many tools to help you using strong encryption while browsing, sending email or chatting, as presented on our about page.
O uso do Tails expe o fato de que voc est usando Tor (e provavelmente o Tails tambm)
Your Internet Service Provider (ISP) or your local network administrator can see that you're connecting to a Tor relay, and not a normal web server for example. UsingTor bridges in certain conditions can help you hide the fact that you are using Tor. The destination server that you are contacting through Tor can know whether your communication comes out from a Tor exit node by consulting the publicly available list of exit nodes that might contact it. For example using the Tor Bulk Exit List tool of the Tor Project. Assim, usar o Tails no faz com que voc aparente ser um usurio/a de internet aleatrio. O anonimato provido pelo Tor e pelo Tails funciona ao tentar fazer com que todos os seus usurios/as paream ser o mesmo, de modo que no seja possvel identificar quem quem dentre eles. See also Can I hide the fact that I am using Tails?
Enquanto o Tor est em uso, ataques man-in-the-middle ainda podem ocorrer entre o n de sada e o servidor de destino. O n de sada propriamente dito tambm pode atuar como um homem-no-meio. Para um exemplo desse tipo de ataque, veja MW-Blog: TOR exit-node doing MITM attacks (em ingls). Mais uma vez, para proteger voc mesmo/a desse tipo de ataque voc deve utilizar segurana ponto-a-ponto e enquanto o fizer deve tomar cuidados especiais para verificar a autenticidade do servidor. Usualmente, isso feito automaticamente atravs de certificados SSL verificados pelo navegador usando um conjunto de autoridades certificadoras). Se voc obtiver uma mensagem de aviso de segurana como por exemplo a que pode ser vista abaixo, voc pode estar sendo vtima de um ataque de homem-no-meio e no deve ignor-la, exceto se voc possuir uma forma alternativa e confivel de verificar a impresso digital do certificado com as pessoas que rodam o servio.
Mas acima disto ainda est o fato de que o modelo de confiana baseado em autoridades certificadoras suscetvel a vrios mtodos de comprometimento. Por exemplo, em 15 de Maro de 2011, a Comodo, uma das maiores companhias de certificados SSL, relatou que uma conta de usurio numa autoridade certificadora afiliada foi comprometida. Esta conta foi ento usada para criar uma nova conta de usurio que emitiu nove requisies de certificados para sete domnios: mail.google.com, login.live.com, www.google.com, login.yahoo.com (trs certificados), login.skype.com, addons.mozilla.org e global trustee. Veja Comodo: The Recent RA Compromise (em ingls). Ainda em 2011 a DigiNotar, uma companhia holandesa de certificao SSL, emitiu incorretamente certificados para terceiros maliciosos. Mais tarde, foi trazido luz que aparentemente ela foi comprometida meses antes, talvez mesmo em Maio de 2009 seno antes. Certificados canalhas foram emitidos para domnios como google.com, mozilla.org, torproject.org, login.yahoo.com e muitos outros. Veja The Tor Project: The DigiNotar Debacle, and what you should do about it (em ingls). Isso ainda deixa aberta a possibilidade de um ataque man-in-themiddle mesmo quando seu navegador est confiando numa conexo HTTPS Por outro lado, por prover anonimato, o Tor torna mais difcil a realizao de ataques man-in-the-middle direcionados a uma pessoa especfica, mesmo com a beno de um certificado SSL canalha. Mas, por outro lado, o Tor faz
com que seja mais fcil para pessoas e organizaes rodarem ns de sada para realizarem tentativas de MiTM em larga escala, ou ataques direcionados a um servidor especfico, especialmente contra aqueles usurios/as que estiverem usando o Tor. Citado de Wikipedia: Man-in-the-middle attack, Wikipedia: Comodo Group#Iran SSL certificate controversy e Tor Project: Detecting Certificate Authority compromises and web browser collusion (em ingls).
Se voc precisar acessar os discos rgidos locais do computador que voc estiver usando, saiba que ento voc pode estar deixando neles um rastro das suas atividades.
Tails no limpa os metadados dos seus documentos para voc e no criptografa o Assunto: e outros cabealhos das suas mensagens de email criptografadas
Vrios formatos de arquivo armazenam dados ou metadados dentro dos arquivos. Processadores de texto ou arquivos PDF podem armazenar o nome do autor/a, a data e hora de criao do arquivo e s vezes at partes da histria de edio do arquivo. Esses dados ocultos dependem do formato de arquivo e do software usado. Por favor, note tambm que o campo Assunto: assim como o resto das linhas de cabealho das suas mensagens de email criptografadas usando OpenPGP no so criptografadas. Isso no um bug do Tails ou do protocolo OpenPGP: uma retrocompatibilidade com o protocolo SMTP original. Infelizmente ainda no existe padro RFC para criptografia do campo Assunto. Formatos de arquivo de imagem, como o TIFF ou JPEG, provavelmente ganham o prmio nessa categoria. Tais arquivos, criados por cmeras digitais ou telefones mveis, contm um formato de metadados chamado de EXIF que pode incluir a data, hora e talvez at as coordenadas GPS da figura, a marca e nmero de srie do dispositivo que a tirou assim como uma miniatura da imagem original. Programas de processamento de imagem tendem a manter esses dados intactos. A internet cheia de imagens cortadas ou embaadas nas quais a miniatura EXIF ainda contm a imagem original. Tails doesn't clear the metadata of your files for you. Yet. Still it's in Tails' design goal to help you do that. For example, Tails already comes with the Metadata anonymisation toolkit.
diferentes comunicaes na rede, seria estatisticamente possvel identificar circuitos do Tor e ento relacionar usurios do Tor a servidores de destino. parte da escolha inicial do Tor no lidar com essa ameaa para permitir a criao de um servio de comunicao de baixa latncia utilizvel para navegao na web, bate-papo via Internet e conexes SSH. Para mais informaes para especialistas, veja Tor Project: The SecondGeneration Onion Router, parte 3, Design goals and assumptions (em ingls).
uma soluo para realmente separar identidades contextuais. Ao invs disso, desligue e reinicie o Tails.