Seguran\xE7a e privacidade

Revisar - Este tutorial est\xE1 incompleto

Quando uma pessoa toma contato pela primeira vez com meios de comunica\xE7\xE3o como a internet ou telefones celulares, h\xE1 um per\xEDodo de aprendizagem e "aclimata\xE7\xE3o", onde a exist\xEAncia de salas de bate-papo, da web, do email e dos programas de compartilhamento s\xE3o descobertos e come\xE7am a ser usados.

Infelizmente, durante esse processo pouca aten\xE7\xE3o \xE9 dada para a seguran\xE7a e a privacidade da usu\xE1ria ou do usu\xE1rio, que passa a se dar conta da quest\xE3o apenas quando ambas foram violadas.

Este texto versa sobre o b\xE1sico da seguran\xE7a e privacidade em meios digitais. Ele procura, mais do que detalhar tecnicamente cada sistema de comunica\xE7\xE3o, sugerir uma pol\xEDtica pessoal de rela\xE7\xE3o com cada um desses sistemas, que tamb\xE9m pode ser adotada por grupos de pessoas trabalhando num mesmo projeto que tenha necessidade de seguran\xE7a e privacidade.

Lembre-se tamb\xE9m que a vida de uma pessoa paran\xF3ica oscila entre a seguran\xE7a e a praticidade. Em geral, quanto mais complicado o procedimento adotado para aumentar a seguran\xE7a de uma pessoa, menos pr\xE1tico ele ser\xE1. Por isso, antes de viver sua vida, procure estabelecer uma pol\xEDtica pessoal levando em conta qual n\xEDvel de privacidade voc\xEA quer nas suas informa\xE7\xF5es e a partir disso construa seu esquema de seguran\xE7a informacional.

\xCDndice

Introdu\xE7\xE3o

A seguran\xE7a e a privacidade em meios digitais dependem de tr\xEAs aspetos:

• Protocolo do sistema utilizado
• Implementa\xE7\xE3o do protocolo
• Usu\xE1rios(as)

Falhas na seguran\xE7a, implicando na abertura do sistema a terceiros, pode ocorrer em qualquer um destes tr\xEAs pontos. Neste texto explicaremos quais protocolos s\xE3o essencialmente vulner\xE1veis, quais implementa\xE7\xF5es dos protocolos acarretam em maiores vulnerabilidades e quais medidas o usu\xE1rio deve tomar para n\xE3o provocar a abertura n\xE3o-intencional do sistema.

Calma! N\xE3o \xE9 t\xE3o complicado assim! Vamos l\xE1!

Senhas

O primeiro ponto que comentaremos est\xE1 no n\xEDvel do usu\xE1rio, que \xE9 a escolha, uso e administra\xE7\xE3o de suas pr\xF3prias senhas.

O conceito de senha n\xE3o foi criado para ser simples e f\xE1cil de lembrar. Muito pelo contr\xE1rio, a senha \xE9 um peda\xE7o de informa\xE7\xE3o que s\xF3 deve ser de conhecimento de seu detentor(a). Exatamente por ter essa associa\xE7\xE3o com o seu propriet\xE1rio \xE9 que a senha n\xE3o deve ter nenhuma rela\xE7\xE3o com o mesmo.

Em outras palavras, sua senha n\xE3o deve remeter a nada que tenha rela\xE7\xE3o com voc\xEA. N\xE3o deve ser o nome de algo que voc\xEA conhece ou uma mistura de n\xFAmeros que fazem sentido pra voc\xEA. Voc\xEA deve ser capaz de memorizar sua senha. Se \xE9 t\xE3o simples decorar n\xFAmeros de telefone, RG, seguro social e CPF, por que lembrar de uma senha seria t\xE3o dif\xEDcil?

Crit\xE9rios para escolha de senhas

Teoricamente, uma boa senha deve ser o mais aleat\xF3ria poss\xEDvel. Mas isso pode fazer com que voc\xEA n\xE3o se lembre dela e acabe por anot\xE1-la num papel que pode cair em m\xE3os erradas. A seguir daremos dicas para que voc\xEA consiga criar uma boa senha mas que ao mesmo tempo seja us\xE1vel. Estas s\xE3o apenas sugest\xF5es: voc\xEA deve descobrir os m\xE9todos de cria\xE7\xE3o de senhas que funcionam melhor para voc\xEA.

• Voc\xEA pode criar senhas pronunci\xE1veis utilizando palavras que n\xE3o estejam no dicion\xE1rio, preferivelmente uma palavra que voc\xEA mesmo inventou: como por exemplo sambanhangava;
• Em seguida, voc\xEA pode trocar as vogais e as consoantes dessa palavra por outros s\xEDmbolos sambaganhava pode se tornar ent\xE3o s4m34nh4ng4\/a, que \xE9 uma \xF3tima senha (n\xE3o agora que todo mundo j\xE1 a conhece :P)!
• Misture letras mai\xFAsculas e min\xFAsculas: s4m34nh4ng4\/a por se tornar s4m34Nh4nG4\/a!

Outras dicas importantes s\xE3o:

• Misture sempre letras, n\xFAmeros e s\xEDmbolos, se poss\xEDvel
• Tamanho: quanto maior sua senha, melhor, mas tome cuidado para n\xE3o esquec\xEA-la!

E se voc\xEA tem dificuldade de tirar letras, n\xFAmeros e palavras imagin\xE1rias da cabe\xE7a? Ah, \xE9 muito simples! Busque p\xE1ginas \xE0 esmo de diferentes livros e pegue um s\xEDmbolo por p\xE1gina.

Validade das senhas

Al\xE9m do cuidado na cria\xE7\xE3o da senha, \xE9 importante tamb\xE9m definir sua \xE1rea de validade. Se voc\xEA quer realmente seguran\xE7a, n\xE3o use a senha para todos os seus acessos. Se algu\xE9m descobrir a senha de um dos seus emails, \xE9 bem prov\xE1vel que v\xE1 tentar us\xE1-la em outros locais onde voc\xEA tem conta.

Se for muito dif\xEDcil ter um monte de senhas diferentes e complicadas para diferentes locais, deixe suas senhas mais complicadas para os acessos mais sens\xEDveis - quando voc\xEA estar\xE1 lidando com as informa\xE7\xF5es mais importantes - e senhas simples para coisas de menor import\xE2ncia.

Digitando senhas

O momento da digita\xE7\xE3o de uma senha \xE9 especialmente vulner\xE1vel j\xE1 que \xE9 a hora em que ela passa da sua cabe\xE7a para o computador, passando por um meio intermedi\xE1rio onde ela possivelmente possa "vazar". Alguns cuidados ajudam:

• Apenas digite sua senha quando o computador estiver esperando por ela; pode acontecer de voc\xEA digitar seu usu\xE1rio e logo de cara come\xE7ar a entrar com a senha mesmo antes do computador pedi-la. Nesse meio tempo, pode acontecer da senha aparecer na tela, principalmente em computadores mais lentos.

• Experimente digitar qualquer coisa no lugar da senha para ver como o computador se comporta; existem ocasi\xF5es em que o computador preenche cada caractere digitado com um asterisco (*), outras a senha pode at\xE9 aparecer normalmente (!); depois de se certificar de que est\xE1 tudo bem com o pedido de senha, apague tudo o que voc\xEA digitou anteriormente e entre com sua senha correta.

• Verifique se as teclas Num Lock e Caps Lock do teclado est\xE3o ligadas, desligando-as caso desejado.

Limite da confiabilidade de senhas

Por mais que uma senha seja longa e dif\xEDcil, sempre \xE9 poss\xEDvel que algu\xE9m a descubra por tentativa e erro. Mas se voc\xEA tomar os cuidados da se\xE7\xE3o anterior, vai demorar muito tempo at\xE9 que algu\xE9m consiga quebr\xE1-la.

\xC9 poss\xEDvel ainda que voc\xEA passe por interrogat\xF3rios ou at\xE9 mesmo por torturas. Nesse caso, depender\xE1 apenas do seu est\xF4mago se voc\xEA fornecer\xE1 ou n\xE3o a senha para o torturador. O importante, nessa discuss\xE3o, \xE9 voc\xEA ter em mente que senhas nem sempre implicam na a inviolabilidade das suas informa\xE7\xF5es e que voc\xEA deve ter consci\xEAncia do que pode acontecer caso seus dados sejam obtidos por terceiros. Torturas e interrogat\xF3rios s\xE3o casos extremos, por\xE9m pode acontecer de terceiros descobrirem sua senha por outros meios, tanto pela tentativa e erro quanto por falhas de protocolo ou falhas de implementa\xE7\xE3o.

Identidade

Al\xE9m da sua senha, a quest\xE3o da identidade tamb\xE9m \xE9 importante. N\xE3o \xE9 necess\xE1rio usar sempre seu nome real. Muito pelo contr\xE1rio, \xE9 muito interessante adotar um ou mais pseud\xF4nimos, como o fez Fernando Pessoa, que inclusive reservou um estilo liter\xE1rio por heter\xF4nimo.

Voc\xEA n\xE3o precisa ser como Pessoa e criar muitos nomes e personalidades diferentes: o simples fato de voc\xEA n\xE3o usar seu nome ou seu nome completo j\xE1 \xE9 grande progresso.

Email

Agora que voc\xEA j\xE1 sabe como ter uma boa pol\xEDtica de senhas e preserva\xE7\xE3o da sua identidade, falaremos sobre v\xE1rios protocolos de comunica\xE7\xE3o, a come\xE7ar pelo correio eletr\xF4nico, que atualmente \xE9 uma das ferramentas de comunica\xE7\xE3o mais utilizadas em inform\xE1tica.

O email \xE9 um sistema de comunica\xE7\xE3o muito popular que remonta \xE0s primeiras redes computacionais. Quando o sistema de email foi criado, n\xE3o existia SPAM, v\xEDrus de email ou pessoas querendo interceptar suas mensagens. Por isso, os protocolos de comunica\xE7\xE3o de email n\xE3o foram preparados para esses tipos de ataques. Em outras palavras, a inseguran\xE7a do sistema de email j\xE1 conhece pela arquitetura do pr\xF3prio protocolo.

A falha do protocolo de email j\xE1 come\xE7a com a problem\xE1tica da privacidade, que \xE9 descrita nesta se\xE7\xE3o do Manual de Criptografia.

Al\xE9m desse problema de terceiros poderem ler suas mensagens, o correio eletr\xF4nico ainda \xE9 uma porta para o recebimento de v\xEDrus. Para evitar esse tipo de inconveniente, use programas de email e um sistema operacional que sejam o mais imune poss\xEDvel.

Outro problema do sistema de email \xE9 a possibilidade de, apenas observando uma mensagem, descobrir por onde ela foi enviada. Isso n\xE3o \xE9 exatamente uma vulnerabilidade, novamente \xE9 uma quest\xE3o de design do sistema de email, onde as mensagens s\xE3o etiquetadas por cada servidor por onde ela passou. Assim, se voc\xEA receber um email de uma pessoa, em geral voc\xEA pode olhar os cabe\xE7alhos da mensagem e descobrir qual servidor a pessoa usou para enviar a mensagem! Essa informa\xE7\xE3o \xE9 o chute inicial para que voc\xEA descubra qual \xE9 o provedor que a pessoa usa e dependendo de quem voc\xEA for \xE9 at\xE9 poss\xEDvel descobrir de que local f\xEDsico o email foi enviado.

Qual a solu\xE7\xE3o para esses problemas com email?

• Use sempre conex\xE3o segura
• Verifique se o seu servi\xE7o de email oferece conex\xE3o segura e tem uma boa pol\xEDtica de privacidade
• Evite ler emails de computadores p\xFAblicos
• Use um sistema operacional seguro e um programa para ler emails que tamb\xE9m seja seguro, caso contr\xE1rio n\xE3o abra anexos que contenham c\xF3digos que possam ser executados pelo seu sistema
• Se voc\xEA acessa seu email via web, n\xE3o esque\xE7a de se desconectar dele ap\xF3s o uso

Listas de discuss\xE3o

Participar de listas de discuss\xE3o tamb\xE9m requer medidas b\xE1sicas de seguran\xE7a:

• Sempre que voc\xEA entrar numa lista de discuss\xE3o, verifique se os arquivos da lista s\xE3o fechados. Voc\xEA encontra aqui uma explica\xE7\xE3o sobre o que s\xE3o listas abertas e fechadas.

• A lista de discuss\xE3o, apesar de ter arquivos fechados, pode ser p\xFAblica, ou seja, qualquer pessoa pode se inscrever e a partir disso ter acesso aos arquivos.

• N\xE3o divulgue dados pessoais seus ou de terceiros em listas de discuss\xE3o. Quando necess\xE1rio, apenas fa\xE7a isso em mensagens privadas.

Navegando na internet

Navegar na internet pode parecer algo inofensivo, s\xF3 que muitas vulnerabilidades em navegadores est\xE3o sendo exploradas para in\xFAmeros fins, dentre eles a obten\xE7\xE3o de dados do usu\xE1rio dispon\xEDveis pelo navegador. Fora isso, s\xEDtios maliciosos podem levar o internauta a revelar voluntariamente seus dados. Contra essas e outras vulnerabilidades, tome as seguintes provid\xEAncias:

• Limpe sempre seu hist\xF3rico de navega\xE7\xE3o, os arquivos tempor\xE1rios (cache) e os cookies
• N\xE3o salve no navegador suas senhas de formul\xE1rios
• Saiba suspeitar quando um s\xEDtio \xE9 falso, ou seja, quando ele aparenta ser o s\xEDtio de uma empresa ou organiza\xE7\xE3o (em geral bancos) mas na verdade \xE9 apenas pretende obter suas senhas ou dados pessoais
• Use, sempre que dispon\xEDvel, conex\xE3o segura (https ao inv\xE9s de http)
• Utilize alguma ferramenta de navega\xE7\xE3o an\xF4nima, como o Tor

Bate-papo

Procure utilizar um bate-papo seguro, que criptografe suas mensagens e mantenha seu computador an\xF4nimo. Se voc\xEA quer um messenger (programa de mensagens instant\xE2neas com lista de contatos), experimente os seguintes:

• Jabber: protocolo livre de mensagens instant\xE2neas com suporte parcial a criptografia.
• Silc: protocolo de confer\xEAncia segura, onde todas as mensagens s\xE3o criptografados (n\xE3o \xE9 poss\xEDvel enviar mensagens n\xE3o-criptografadas numa sess\xE3o de Silc).

Os seguintes programas servem como messengers ou clientes de bate-papo:

• Gaim: suporta rede Silc, IRC via SSL e Jabber criptografado.
• Gajim: suporta Jabber criptografado.

Se voc\xEA estiver usando Jabber ou IRC, certifique-se que sua conex\xE3o est\xE1 criptografada para n\xE3o ficar com uma falsa id\xE9ia de seguran\xE7a.

Entre Jabber criptografado, Silc ou IRC via SSL, prefira Silc ou IRC via SSL, mas saiba que:

• O Silc n\xE3o esconde a origem da sua conex\xE3o
• No IRC \xE9 poss\xEDvel que nem todos os/as usu\xE1rios estejam usando conex\xE3o segura

Na d\xFAvida, use o IRC via SSL e converse apenas com que tamb\xE9m est\xE1 usando IRC com conex\xE3o segura.

Programas de compartilhamento

N\xE3o compartilhe todas as pastas do seu computador em programas como KaZaa, Gnutella e SoulSeek. Se assim voc\xEA o fizer, muitas pastas contento informa\xE7\xF5es pessoais ou trabalhos que voc\xEA n\xE3o gostaria que se tornassem p\xFAblicos estar\xE3o dispon\xEDveis para qualquer pessoa baixar.

Nesses programas de compartilhamento, escolha sempre uma pasta de download (arquivos baixados) diferente da pasta de upload (arquivos enviados) e em nenhuma das duas (incluindo suas subpastas) armazene conte\xFAdo que voc\xEA n\xE3o queira compartilhar.

Apagamento de arquivos

Especial aten\xE7\xE3o tamb\xE9m deve ser tomada na hora de apagar arquivos do seu computador. Se os arquivos contiverem informa\xE7\xF5es que voc\xEA n\xE3o quer que de modo algum caiam nas m\xE3os de terceiros, n\xE3o adianta simplesmente ap\xE1ga-los da forma tradicional (usando os programas normalmente utilizados pelo seu sistema operacional). Isso porque:

• Em geral, quando voc\xEA solicita a um programa para apagar um arquivo, ele apenas remove a refer\xEAncia do mesmo no "\xEDndice" do sistema de arquivos, mas os dados podem ou n\xE3o continuarem dentro do disco r\xEDgido (veja por exemplo o truque do serrote do xmux.
• Mesmo que voc\xEA tenha certeza que seu programa n\xE3o s\xF3 removeu a refer\xEAncia ao arquivo no \xEDndice do sistema de arquivos mas tamb\xE9m sobrescreveu todos as informa\xE7\xF5es do arquivo, ainda \xE9 poss\xEDvel recuperar os dados atrav\xE9s de uma an\xE1lise magn\xE9tica do disco.

Uma ferramenta do GNU/Linux que tenta evitar ambos os problemas \xE9 o wipe.

Criptografia

N\xE3o esque\xE7a de ler o Manual de Criptografia para criptografar sua comunica\xE7\xE3o e eventualmente os dados do seu computador.

Bancos de dados de redes sociais

Redes sociais, como o famigerado Orc\xFAte ou as tradicionais correntes de emails s\xE3o uma forma recente de se monitorar a associa\xE7\xE3o entre pessoas. Pariticipar de uma rede social cuja infra-estrutura n\xE3o tenha comprometimento com a preserva\xE7\xE3o da privacidade dos usu\xE1rios e usu\xE1rias \xE9 colaborar para a minera\xE7\xE3o de dados n\xE3o-solicitada. Cuidado!

Tempestade eletromagn\xE9tica

A chamada "tempestade eletromagn\xE9tica" se refere \xE0 radia\xE7\xE3o emitida pelos equipamentos eletromagn\xE9ticos em funcionamento. N\xE3o \xE9 exclusividade de um transmissor emitir ondas eletromagn\xE9ticas moduladas: seu computador (principalmente seu monitor) faz isso o tempo todo.

Com aparelhos apropriados e a uma curta dist\xE2ncia, \xE9 poss\xEDvel reconstruir a imagem que algu\xE9m est\xE1 observando num monitor sem estar olhando diretamente para ele.

Este t\xF3pico est\xE1 aqui de modo apenas ilustrativo, j\xE1 que as t\xE9cnicas utilizadas atualmente s\xE3o dignas de filmes de espionagem e os equipamentos ainda s\xE3o caros.

Como demostra\xE7\xE3o, foi desenvolvido o software de GNU/Linux Tempest for Eliza, que permite qualquer pessoa transmitir uma mp3 em AM utilizando um monitor ligado num computador.

As contras medidas para esse tipo de ataque s\xE3o:

• Compre um computador blindado (muito caro)
• Evite utilizar computadores em locais p\xFAblicos se voc\xEA est\xE1 realmente desconfiado que existe algu\xE9m interessado em suas informa\xE7\xF5es

Seguran\xE7a e privacidade para projetos

Quando a seguran\xE7a n\xE3o de uma pessoa, mas de um grupo, \xE9 que est\xE1 em jogo, as coisas ficam mais complicadas. N\xE3o adianta alguns seguirem uma pol\xEDtica de seguran\xE7a se a informa\xE7\xE3o pode vazar facilmente atrav\xE9s de outros. \xC9 importante que haja uma conven\xE7\xE3o e que ela seja adotada.

Refer\xEAncias

Refer\xEAncia b\xE1sica:

• https://www.indymedia.org.uk/en/static/security.html
• http://www.cert.br/docs/cartilha/
• http://security.resist.ca/
• http://www.gmail-is-too-creepy.com/, http://www.scroogle.org/
• http://www.eff.org, http://tor.eff.org

Para os mais paran\xF3icos/as:

• Remote physical device fingerprinting

-- SilvioRhatto - 03 Aug 2005
-- AlineF - 21 May 2006
-- SilvioRhatto - 29 Sep 2006