Compilação de ferramentas para proteção contra espionagem online.
Junte-se à resistência!
Precisa de ajuda?
Para fazer uma pergunta, use o formulário para criar um novo tíquete de ajuda. Mas antes, por favor, pesquise e leia a documentação online disponível no site.
Aplicativo de mensagens seguro e com mensagens temporárias
Usar Signal com mensagens temporárias
Signal é um aplicativo para trocar mensagens de texto, áudio, vídeo e arquivos que utiliza criptografia ponta a ponta e que também faz chamadas de modo mais seguro. Disponível para Android, iOS e desktop, com o Signal fica muito mais difícil interceptarem as suas conversas, uma vez que todas as suas comunicações são criptografadas por padrão e automaticamente.
Além disso, o Signal tem uma função para que as mensagens desapareçam dos aparelhos após um tempo estipulado, tanto para quem envia como para quem recebe a mensagem. Signal é software livre, desenvolvido pela Open Whisper Systems, uma organização sem fins lucrativos. É recomendado por especialistas da área de segurança da informação, ativistas e jornalistas investigativos, dentre eles Edward Snowden, Laura Poitras, Bruce Schneier e Matt Green.
Mas saiba que você ainda vai precisar de um número de celular para usar ele, e que este serviço depende de um servidor central e que ele não criptografa todo o conteúdo armazenado no seu telefone. Por isso veja abaixo do que o Signal nos protege ou não nos protege.
Do que o Signal nos protege
Interceptação de mensagens de texto, arquivos, vídeo e áudio.
Escuta telefônica clássica, se você usar o Signal para fazer chamadas de voz e vídeo.
Não revela o seu endereço IP para os seus contatos.
Não coleta metadados das nossas conversas.
Do que o Signal (e outros aplicativos de mensagem como WhatsApp e Telegram) não nos protege:
Software espião instalado no telefone ou no computador bisbilhotando o que você faz.
Localização física do telefone celular: por conta de sua arquitetura da rede de telefonia, é possível determinar a sua localização geográfica a partir de qual antena o seu telefone está conectado. O Signal e outros aplicativos de mensageria não protegem nessa camada.
Os dados armazenados no seu telefone. Se o Signal estiver configurado com senha, ele protegerá as mensagens armazenadas que forem recebidas via Signal, mas não os demais conteúdos existentes em seu celular.
Desktop: Você também pode utilizar o Signal em seu Desktop Windows, Mac ou Linux,
após ter instalado em um celular e sincronizado.
Mensagens Temporárias
Antes de começar qualquer conversa, é aconselhável programar as mensagens para que sejam apagadas automaticamente dos aparelhos envolvidos. Isso evita que uma conversa seja inteiramente lida por terceiros caso seu telefone seja perdido enquanto estiver desbloqueado.
Para isso, faça o seguinte: na tela de cada conversa (individual ou em grupo), vá para as Opções do aplicativo e em seguida Mensagens temporárias. Sugerimos 1 semana como padrão.
As mensagens temporárias servem para minimizar seu histórico de conversa. É sempre possível registrar uma mensagem tirando fotos da tela ou usando uma câmera. Se você não confia na pessoa para a qual está mandando uma mensagem, mensagens temporárias não serão eficazes.
É uma boa prática definir um limite de histórico das conversas e ainda manualmente apagar o histórico do grupo.
Verificação de Contatos
Você pode verificar a autenticidade de cada conversa – isto é, checar se você está falando com quem realmente pensa que está – escaneando uma imagem do código de conversa do celular da outra pessoa (QR code de cada conversa). Você deve fazer isso pessoalmente. No Signal, o código de segurança é por conversa.
Como verificar:
Selecione o contato
Vá na seção de privacidade
Veja e confirme o número de seguranca escaneando a mesma tela no celular da outra pessoa
A pessoa escaneia o seu, e depois você escaneia o dela e marca como “número verificado”. Posteriormente caso você perceba que o número seu e dela mudou, você pode desconfiar de alguém tentando se passar por ela, por exemplo, alguém que tenha clonado a linha de telefone e registrado o Signal num outro aparelho. Mas, atenção, o código de segurança também vai mudar se a pessoa reinstalar o Signal ou trocar de aparelho de telefone.
Importante:
A verificação de contato não nos protege da possibilidade de alguém pegar o celular da outra pessoa e se passar por ela. A verificação é uma checagem de aparelho, não de quem está operando no momento.
Senha de travamento
Com o Signal ainda é possível configurar uma senha mestre que criptografa as suas mensagens armazenadas no celular e também serve para trancar o aplicativo durante a operação normal do telefone. Assim, caso seu telefone seja extraviado enquanto o Signal estiver trancado, suas mensagens estarão protegidas contra acesso indevido por alguém que o encontrar. O mesmo vale se o seu telefone estiver desligado no momento da perda.
Bloqueio de registro com código PIN
Além da senha de acesso ao Signal, você pode e deve configurar um código PIN.
O código PIN serve para garantir o vínculo de sua instalação de Signal com o seu número de celular. Caso alguém venha a clonar seu número e instale Signal para roubar as suas conversas, este código será exigido para a configuração do Signal mas como a pessoa que clonou não possui seu código, ela não será capaz de se passar por você.
Este código será exigido de tempos em tempos pelo Signal para confirmar a autenticidade de sua instalação.
Para configurar o código PIN você deve ir em Configurações -> Privacidade -> PIN de Desbloqueio de Cadastro e mudar a chave para habilitar a opção.
Você deverá digitar uma senha numérica com 8 caracteres. Caso tenha dificuldade em memorizar senhas, escreva ela em um papel e fique com ele até decorar, habilitando a opção após isso.
Leia mais sobre o Bloqueio de Registro (em inglês).
Teclado mais privativo
Muitos teclados de telefone estão configurados para “corrigir” enquanto você digita. Mas essas sugestões de digitação muitas vezes envolvem a consulta de algum serviço externo ao seu telefone que envia o que você está digitando. Assim, todo o teclado de telefone opera como se fosse um agente duplo – ajudando, mas ao mesmo tempo fornecendo sua digitação para terceiros –, sendo uma grande brecha de privacidade.
No caso de telefones Android, é aconselhável baixar um teclado que não seja ligado ao Google e usá-lo como teclado padrão. Como boas opções temos o “Anysoftkeyboard”, o “Hacker’s keyboard” ou o “Simple Keyboard”.
Desta forma, a entrada (“input”, dados que você insere no smartphone via teclado) não serão captados pelo Google ou outras instituições mineradoras de dados, nem ficarão guardados em algum lugar obscuro do seu sistema.
No Android é possível habilitar o teclado privativo do Signal. E se você utilizar Signal desktop, o teclado não será um problema.
Diferenças entre WhatsApp e Signal
Há alguns anos o WhatsApp fez um acordo com a Open Whisper System para implementar a sua tecnologia de mensagens criptografadas de ponta a ponta.
Hoje em dia o protocolo Signal foi implementado como padrão no whatsapp. Em princípio, isso significaria que as mensagens enviadas pelo WhatsApp não podem ser lidas caso alguém intercepte a mensagem no caminho. Nem mesmo os donos do WhatsApp (Facebook) teriam acesso às chaves de uso para poder decifrar a criptografia e ler a mensagem.
Em tese. De fato não temos como inspecionar o código do WhatsApp para determinar se é isso mesmo que acontece, já que o WhatsApp não disponibiliza o seu código fonte e mesmo com engenharia reserva há limites.
Além disso, ainda existem diferenças entre o Signal e o WhatsApp que tornam o Signal mais seguro. Aqui explicamos estas diferenças.
O WhatsApp guarda metadados das mensagens: dia e hora das mensagens, o
número dos telefones envolvidos na troca de mensagem, etc. Então, embora o
WhatsApp não possa ver o conteúdo das mensagens, ele pode ver quem está
mandando mensagem para quem e quando e entregar para terceiros.
O plano de negócios do WhatsApp inclui a venda de propagandas
direcionadas baseadas nas informações do Facebook e a sua localização.
Se você permitir acesso à sua lista de contatos, o WhatsApp utiliza essa
informação para sugerir amigos em outros produtos da corporação Facebook e,
ainda, pode fornecer caso haja uma ordem judicial para isso.
Se você permitir o backup das suas mensagens para o iCloud ou Google, elas
ficam em texto plano (sem criptografia) dentro desses serviços. Ou seja, não adianta o
WhatsApp criptografar a sua conversa de ponta a ponta, se você manda suas
conversas decifradas para essas empresas. A opção de backup vem
ligada por padrão no WhatsApp e é você que precisa desativar explicitamente.
Os maiores gargalos de segurança muitas vezes têm menos a ver com os aplicativos e mais a ver com os nossos hábitos. Além de desativar o backup, uma prática de segurança interessante para usuários/as de WhatsApp seria periodicamente apagar as conversas pessoais e de grupos. A boa e velha prática de segurança operacional.
Resumindo, as principais vantagens do Signal são:
Código aberto (auditável): na prática, isso quer dizer que especialistas em
segurança digital do mundo inteiro podem tanto contribuir, como avaliar esse
código para descobrir eventuais falhas de segurança. O Signal é software livre, o
WhatsApp não.
Modelo de negócios: é mantido por uma fundação, sem propagandas
e deliberadamente e propositalmente guarda o mínimo de informação possível.
Política de privacidade direta ao ponto. O metadado guardado por eles é
somente a data de registro e o último acesso ao servidor. E mesmo assim só guardam o dia, e não a
hora e a sua localização.
A sua lista de contatos é enviada para o servidor deles de forma criptografada e não é compartilhada.
Não faz backup no Google ou no iCloud.
Perfil público: você pode escolher quais contatos terão acesso ao seu perfil (foto e nome).
Oculta quem se comunica com quem: por design, nem mesmo o Signal sabe quem está conversando com quem. Leia sobre
Sealed sender (em inglês).
Diferenças entre Telegram e Signal
Sendo publicizado como um mensageiro ‘rápido, bonito e seguro’, o Telegram ganhou popularidade no Brasil e no mundo.
Entretanto, do ponto de vista da segurança digital, não é bem assim.
A equipe do Telegram pode ter acesso a todas suas conversas privadas e em grupos. Isso significa que, mesmo que não queiram, podem ter acesso a todas suas mensagens. Já no Signal apenas você e as pessoas com quem conversa podem ter acesso a essas informações.
Além disso, o Telegram criou seu próprio protocolo de criptografia, uma prática fortemente desencorajada na comunidade de segurança.
Outros problemas são a quantidade de dados que se consegue obter nele, como quando cada contato fica online ou offline (que permite ter uma ideia de quem conversa com quem) e informações detalhadas sobre pessoas que administram grupos públicos. Do lado do servidor do Telegram, o seu IP e outras informações são retidas.
Em tempos de vigilância e cerceamento de direitos fundamentais, é necessário ocultar os dados e metadados da sua comunicação: os sites que você acessa, com quem você fala e onde você realmente está. O Navegador Tor é um programa feito para você navegar anonimamente e também evadir qualquer tentativa de censura na Internet como, por exemplo, o bloqueio ao acesso de determinados sites.
Seu funcionamento é baseado no roteamento em camadas do tráfego de dados que sai do computador: tudo o que você acessar passará por pelo menos três nós, de forma aleatória, da rede de servidores Tor espalhados pelo mundo todo. A sua localização verdadeira é ocultada e parecerá que você está se conectando a partir de outro país.
O Tor é software livre, desenvolvido há mais de 13 anos e auditado por uma comunidade ativa. Embora exista versão para dispositivos móveis, a sua versão desktop é mais estável.
Todo o tráfego dentro da rede Tor é criptografado, por isso o Tor protege a sua localização.
O Tor oculta a sua identidade digital dos sites que você visita.
Também torna oculto aos provedores de serviço de internet e programas de vigilância os sites que você esta visitando.
Censura na internet e suas restrições de filtros.
Impede o cross-tracking, isto é, um site não sabe quais outros sites você está visitando.
Bloqueia a impressão digital do seu computador: tamanho da tela,
complementos instalados, o idioma que você fala, todos esses dados são substituídos
por uma informação genérica sobre o seu dispositivo.
Do que o Navegador Tor não protege:
O Tor não protege o conteúdo acessado por você, por isso se baixar arquivos eles poderão
ser visualizados normalmente por outros aplicativos e pessoas que acessam o mesmo sistema que você estiver.
Se o seu sistema operacional estiver infectado por um malware, o Tor pouco poderá ajudar.
O Navegador Tor é um aplicativo para navegar na Internet. Assim como seu outro navegador de Internet, como Firefox, Chrome, Safari, ele permite acessar sites e serviços online. O grande diferencial do Navegador Tor é que ele é de fato anônimo. Diferente da aba anônima ou privada do seu navegador, a qual só oculta o seu histório de navegação no computador, o Navegador Tor criptografa a sua conexão com três servidores da rede Tor para manter o anonimato enquanto você navega. Ao conectar na rede Tor, ele não permite que sites coletem informações suas e impede que vigilantes saibam quais sites você está acessando.
Exemplo:
Suponha que você queira acessar o site de Maria. Ao usar o seu Navegador inseguro, Maria saberá o seu endereço de IP, a sua localização (cidade, bairro e às vezes até a rua), o sistema operacional que você usa, entre outras coisas. O seu provedor de internet e até uma outra pessoa usando o mesmo wifi saberá esses mesmos dados.
O que o Tor faz é criar uma proteção para isso. Ele coloca uma rede com três computadores entre você e o site que você quer acessar. Todo o seu tráfego passa a ser enviado de forma criptografada por três camadas. Devido a essa arquitetura, mesmo a rede Tor não sabe quem é a pessoa que está acessando um determinado site. Cada servidor da rede Tor só tem acesso a um pedaço da informação que vai sendo descascada como se fosse uma cebola, daí o nome “roteamento cebola”.
Quando devo usar o Tor? Quando não funciona?
O ideal é navegar na internet sempre usando Tor. Além de criar uma cultura de segurança, pois toda sua navegação na internet estará anônima e segura, ao ampliar o número de usuários/as da rede Tor fica mais difícil traçar o perfil de quem utiliza o Tor. Ao utilizar Tor você impede que governos vigilantes saibam o que as pessoas estão fazendo na internet e também empresas do capitalismo de dados como o Facebook e o Google coletem informações sobre você. Até mesmo o seu colega de trabalho ou de faculdade não saberá quais sites você acessou.
Além disso, isso atrapalha a formação de grandes bancos de dados por estas corporações que utilizarão essas informações para publicidade online.
No entanto, às vezes é necessário colocar um certo esforço para utilizar o Tor para acessar as principais redes sociais. Eles detectam acessos às suas contas vindo de diversos lugares diferentes e acabam bloqueando o acesso, que pode ser recuperado confirmando um número de telefone ou checando fotos de seus contatos nesta rede social. Tenha isso em mente ao utilizar o Navegador Tor com o seu alter-ego.
Gerencie senhas longas e complexas de forma segura
Gerenciador de senha
É muito comum que os diferentes serviços oferecidos na internet peçam para você fazer um cadastro ou perfil. O que muita gente faz é usar uma senha igual para tudo, fazer pequenas alterações nesta senha ou até mesmo utilizar automaticamente o perfil da rede social para acessar outros sites. Isso é uma péssima prática. É entregar de bandeja o acesso a suas contas para quem quiser xeretar o conteúdo ou causar algum tipo de dano.
Como hoje existem muitas técnicas e programas capazes de advinharem o seu padrão de criação de senhas, o ideal é ter diferentes senhas para cada serviço e aplicativo. Mas como é muito difícil lembrar de todas as senhas, especialmente para aqueles serviços que você não usa todo o dia, existem os gerenciadores de senha.
Com um gerenciador de senhas você pode armazenar suas senhas e não precisa decorá-las, dessa maneira você pode usar senhas longas e exclusivas para cada perfil.
A maioria dos gerenciadores de senhas também permitem gerar senhas aleatórias. Na hora de escolher um gerenciador de senhas, busque uma opção que armazene o banco de dados de senhas com criptografia. Evite gerenciadores na nuvem, pois são suscetíveis a ataques e vazamento de dados.
Mesmo usando um gerenciador, você ainda precisará lembrar de algumas senhas: a senha da criptografia do seu dispositivo, a senha de login do seu computador e a própria senha do gerenciador, por exemplo.
Para essas senhas recomendamos utilizar métodos como o Dadoware, que permite criar senhas fortes e fáceis de memorizar. Saiba mais sobre o método e como utilizá-lo:
Lembre-se de utilizar Autenticação de 2 Fatores no serviços que possui cadastro. Caso não saiba se o serviço disponibiliza este tipo de autenticação, você pode consultar atravês deste site: Two factor auth ou acessar as configurações de Segurança e Privacidade do serviço.
Nossos computadores e celulares armazenam uma grande quantidade de informações sobre nossas vidas e de nossos amigos. Cada dia mais gigabytes de fotos, músicas, vídeos, textos, livros e uma infinidade de dados. Mesmo que aparentemente inofensivos, esses dados nas mãos de terceiros permitem saber os nossos passos, ver com quem conversamos e o que fizemos. Sem criptografia de disco, se perdemos ou roubam nosso celular ou notebook é muito fácil ter acesso à todas essas informações.
Com a criptografia de disco, enquanto o seu dispositivo está desligado, seus dados estarão cifrados de forma que ninguém que não tenha a senha conseguirá lê-los. Hoje em dia tanto dispositivos Android quanto iOS já vem com a criptografia de disco habilitada, porém é necessário criar um código de desbloqueio. Para versões mais antigas, será necessário habilitar manualmente.
Para desktop existem opções de criptografia de disco para todos os sistemas operacionais. No MacOS recomendamos a utilização do Filevault 2. No Linux recomendamos utilizar o LUKS. Em ambos esse procedimento é conhecido como criptografia completa de disco (Full Disk Encryption).
Um programa multiplataforma que recomendamos se chama VeraCrypt, com versões para Linux, MacOS X e Windows. É importante lembrar que a qualidade da criptografia depende de quão forte é sua senha e também que os dados somente estão protegidos quando o dispositivo está desligado.
Tails - O Sistema Operacional Incógnito e Amnésico
Tails é um sistema operacional completo designado para garantir o seu anonimato e a sua segurança. Diferente de outros sistemas, o Tails não grava nenhuma informação no disco rígido do seu computador e toda a conexão com a internet passará pela rede Tor, o que significa que você estará usando a internet de forma anônima e sem censura, automaticamente.
Para utilizar o Tails é necessário apenas um pendrive de 8 Gigabytes (no mínimo) e saber como iniciar o computador pelo pendrive. Tails possui uma suíte completa de aplicativos: editor de texto, de planilhas, leitor de email, entre outros, o que torna o seu uso muito conveniente. É utilizado por jornalistas investigativos e ativistas no mundo todo sendo uma ótima alternativa para quem não pode migrar o sistema operacional principal do computador ou ainda quer experimentar .
Por ser instalado num pendrive, você pode carregá-lo no seu bolso e utilizar em diferentes computadores.
INSTALAÇÃO
É possível instalar o Tails a partir de qualquer sistema operacional, pois ele será instalado e executado pelo pendrive:
Enviar emails sem criptografia é como mandar uma carta aberta, um cartão postal ou escrever e repassar um bilhete sem dobrar o papel. Qualquer pessoa ou sistema poderá ler o que está escrito no seu email.
Enquanto a utilização da criptografia ponta a ponta para email ainda não está disseminada, algumas medidas básicas de segurança como a criação de uma conta de email em um provedor amigo da privacidade fazem uma grande diferença. Há grupos e coletivos que se preocupam com a segurança e possuem as seguintes medidas:
Política de privacidade sem retenção de dados (sem registro de IP e outros dados).
Criptografia de disco nos servidores, isto é, se tentarem.
Armazenamento criptografado de cada conta de email.
Não solicitam dados privados para criar uma conta, por exemplo, identidade e telefone.
Não mineram os dados dos emails para oferecerem propaganda.
Certificado de conexão segura (SSL/TLS).
Acesso anônimo e seguro via Serviços cebolas (.onion).
Por isso, recomendamos a criação de uma ou mais contas de email em um dos provedores abaixo: