Baixe o app para aproveitar ainda mais
Prévia do material em texto
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Segurança e Privacidade Nível 1 Versão 14.26 Todos queremos privacidade em nossas vidas reais e “virtuais”. Mesmo porque a bem da verdade, a nossa vida “virtual” faz parte de nossa vida real. Documentos trafegados pela internet, mensagens e outros arquivos e informações, podem ser tão comprometedores quanto um papel escrito sobre uma mesa. Este tutorial traz algumas soluções simples e fáceis para você praticar o uso da internet com mais segurança e privacidade. É claro que existem soluções muito mais completas e severas, dependendo do grau de risco que o usuário corre, e nível de segurança e privacidade exigidos. A princípio, não se imagina uma completa solução de segurança e privacidade usando Windows ou Mac OS. Existem muitas distribuições GNU/Linux que rodam a partir de pendrive, e aí sim começamos a estar num “mundo perfeito”, entretanto, como mudanças de hábitos são difíceis e devem ser feitas em degraus, aqui apresento um conjunto pequeno de mudanças que dão ao usuário, mesmo que usando Windows, um certo nível de privacidade e segurança, já podendo ser considerado como de altíssimo nível para a grande maioria dos usuários comuns. Por isso o qualificamos como nível 1. Outros manuais de diferentes níveis logo estarão disponíveis. Atendendo a algumas críticas construtivas, vamos incluir aqui o texto padrão encontrado em todos os documentos que versam sobre o assunto: “Deixamos claro que não existe solução perfeita. Ninguém pode garantir que usando estas práticas mencionadas aqui o usuário esteja livre de ser violado em algum direito básico de privacidade, seja por qualquer meio ou ferramenta utilizada para isso.” Muitos têm criado seus e-mails no Mail2tor, seguindo os passos aqui e comunicado conosco fazendo comentários e críticas. A Equipe Privacidade Brasil é grata aos que estão se manifestando a respeito. Revisão nº 91 em 23/06/14 14:54 Pag 1 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Sumário 1 Por que softwares públicos?............................................................................................................3 2 Que soluções temos aqui?................................................................................................................4 3 The Onion Router – TOR................................................................................................................5 3.1 Instalação do TOR.....................................................................................................................5 3.2 Usando o TOR Bundle...............................................................................................................7 3.3 Acessando a Deep Web..............................................................................................................8 3.3.1 Temos uma Wiki e fórum em bom português:...................................................................9 3.4 Detalhes sobre a Deep Web.......................................................................................................9 4 Serviços de e-mail.........................................................................................................................10 4.1 Criando uma conta de e-mail de segurança.............................................................................10 4.2 Acessando sua conta de segurança...........................................................................................12 4.3 Enviando e-mail.......................................................................................................................14 4.4 Mudando a senha.....................................................................................................................15 4.5 Use com segurança..................................................................................................................16 5 Usando celulares............................................................................................................................17 5.1 TOR no celular.........................................................................................................................17 5.1.1 Rodando o OrBOT...........................................................................................................19 5.1.2 Instalando aplicativos de fora do Google Play.................................................................19 5.2 OrWEB....................................................................................................................................20 5.3 Acessando Mail2Tor pelo celular.............................................................................................20 5.4 Barcode Reader........................................................................................................................21 5.5 ChatSecure...............................................................................................................................21 5.5.1 Reiniciando aplicativo......................................................................................................25 6 Armazenamento seguro de dados..................................................................................................26 6.1 TrueCrypt foi fechado pelo governo americano......................................................................26 6.2 Instalando o TrueCrypt............................................................................................................27 6.3 Abrindo volumes TrueCrypt....................................................................................................30 6.4 Dicas com o TrueCrypt............................................................................................................31 6.5 Danos durante o uso.................................................................................................................31 6.6 Falhas de segurança do Windows............................................................................................32 6.6.1 Abra os arquivos dentro do volume montado..................................................................32 6.6.2 Utilize o LibreOffice........................................................................................................32 7 Detalhes e teorias de segurança.....................................................................................................33 7.1 Browser TOR Firefox..............................................................................................................33 7.2 E-mail.......................................................................................................................................33 7.3 O quanto é confiável um sistema de criptografia?...................................................................34 7.3.1 O que são BackDoors e Fraquezas propositais................................................................36 7.4 O Bit Coin................................................................................................................................36 8 Autores, distribuição e controle deste documento.........................................................................38 Revisão nº 91 em 23/06/14 14:54 Pag 2 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 1 Por que softwares públicos? • Software proprietários estão sujeitos à influências. Qualquer empresa de software pode, a qualquer momento, ter interferências ilícitas, não observadas pelas pessoas em geral, os usuários. Ou mesmo lícitas como ordens judiciais ou influências governamentais, fiscalizatórias e de censura. Os softwares públicos não têm a figura do DONO do software, nem gerência a quem possa se persuadir para incluir back-doors, sistemasde monitoramento ou vigilância; • Softwares proprietários são monitorados, em geral, fazem com que o tráfego de seus dados passem por concentradores controlados pela empresa que os criou. Ao contrário, softwares públicos, em geral fornecem soluções de comunicações, mas não obrigam a se conectar a servidores específicos; • Softwares públicos são verificados e escrutinados pela comunidade diariamente. Nada pode ter sido colocado nele sem que seja visto e aprovado por um conjunto de pessoas envolvidas no projeto. Pessoas que, no caso desses projetos que são grandes, nem se conhecem pessoalmente, e que na maioria das vezes se fiscalizam quanto a seus atos e colaborações aos projetos; • Software públicos não correm o risco de serem retirados do ar repentinamente e sem aviso. Uma vez que o código fonte é publicado, como tudo que cai na rede, nunca mais alguém conseguiria retirar todas as cópias do ar, a nenhum custo. Pelo contrário, quando um software cessa seu desenvolvimento pelo desmantelamento da equipe ou por qualquer outro motivo, sempre haverão repositórios que guardarão históricos de tudo que ocorreu quando o projeto era vivo. Sempre haverá como baixar e instalar todas as versões dele. E muitas vezes, bons projetos acabam sendo readotados por novas equipes ou incluídos como parte de outros projetos; • São gratuitos. Não são necessários pagamentos de licenças ou taxas de uso. Não que o custo em si represente problema. Mas o simples fato de você pagar por uma cópia de software proprietário, que em geral possui número de série e registro, é um sério problema de privacidade. Uma vez que pacotes de dados podem estar de alguma forma marcados, ou associados a contas e logins em servidores, e estes, pela forma de pagamento, podem ser associados à pessoa do usuário. Ou seja, pagou... identificou-se. Se você gosta de softwares públicos e tem o interesse de ajudar, existem canais de doações, na grande maioria de forma anônima mas com certeza nunca ligando um nome de usuário ao uso efetivo do software. • Os métodos de encriptação são puros. Houveram casos conhecidos de softwares privados que foram obrigados a acrescentar vícios ou fraquezas em seus algorítimos de criptografia, a bem de facilitar o monitoramento por entidades governamentais. Tal risco não ocorre em softwares públicos, ao menos não nos mais conhecidos e utilizados como os citados aqui. Pelo simples motivo de que as pessoas envolvidas não aceitam estas práticas e justamente estão nestes projetos para garantir as melhores formas de segurança de dados. Além destas principais existem muitas. Mas para o atual documento, estas bastam. Revisão nº 91 em 23/06/14 14:54 Pag 3 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 2 Que soluções temos aqui? A princípio tentou-se atender às necessidades básicas de um usuário comum: • Conectar-se à internet, para acessar sites e servidores de serviços sem revelar o IP; • Trocar e-mails, de forma privada, enviando sem revelar ao destinatário a origem IP ou identidade pessoal, bem como receber de qualquer origem sem revelar o IP de quem recebeu os seus dados pessoais; • Mensagens e trocas de arquivos e voz, nas mesmas formas do Whatsapp e outros softwares corriqueiramente usados, entretanto, sem revelar identidade, IP, e com a segurança de que o conteúdo em criptografado de uma ponta até outra. • Armazenamento de dados na máquina de forma segura. • Bons hábitos, ter ferramentas mas não usá-las direito, condena todo um trabalho. Este documento será editado mais vezes para adicionar novos recursos de segurança. Mas além das soluções efetivas, contamos aqui com textos que apresentam dicas e boas práticas para garantir sua privacidade e segurança de dados e comunicações. Revisão nº 91 em 23/06/14 14:54 Pag 4 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 3 The Onion Router – TOR O conceito completo é explicado mais adiante, nos capítulos de teoria. Mas o que importa saber aqui é: para que usar TOR? O TOR é um programa roteador, que isola o usuário do resto do mundo no que diz respeito a sua privacidade. De uma forma simples, podemos dizer que você pode acessar qualquer site, sem que este site tenha como saber qual o seu IP verdadeiro na internet, portanto sem te identificar. Assim como navegador browser, outros programas podem usar o roteamento TOR, e desta forma o TOR pode ser usado para isolar outros tipos de serviços. O princípio básico de funcionamento é que seu pacotes de dados, tanto indo quanto voltando vão “pipocar” pela internet, entre muitos usuários exatamente iguais a você, além de servidores mais parrudos, desde você até o site que está visitando, e por todo o caminho de volta, utilizando-se sempre de complexo sistema de criptografia, que serve não só para proteger os dados na ida e na volta, tornando-os ilegíveis aos outros, como também serve para “achar o caminho”, do usuário ao servidor, e depois retornando. 3.1 Instalação do TOR Você pode utilizar qualquer navegador que já esteja em seu micro, como o Explorer, Firefox ou Chrome, para entrar no site do projeto TOR, baixar e instalar. O site é o link: http://www.torproject.com A seguir clique no botão Download Tor, na cor violeta. Logo após, escolha a língua Portuguesa na caixa de diálogo, e o botão Download novamente. Este pacote instala duas coisas ao mesmo tempo: ROTEADOR TOR, que faz efetivamente o trabalho de conexão segura; e NAVEGADOR WEB Firefox, derivado do projeto Mozila Firefox, mas modificado para não passar dados de sua máquina aos sites, bem como limitado quanto a Javascript e Plugins, por segurança. Revisão nº 91 em 23/06/14 14:54 Pag 5 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Uma vez baixado o programa de instalação, você deve executá-lo, e o windows deve perguntar se você tem certeza que confia no programa. Clique em “Run”, ou “Executar” conforme o windows estiver em português ou inglês, para proceder a instalação. Em seguida escolha Portuguesa Brasileiro, e clique OK. O instalador deve questionar o local onde será instalado. Note que o TOR não se instala no sistema na área de “Arquivo de programas” como geralmente os software o fazem, e sim ele sugere uma simples pasta no seu próprio Desktop (Área de Trabalho). Clique em Instalar. Isto facilita muita coisa. Não há registros permanentes, tudo estará nesta pasta, apagando a pasta nada ficará de resquício no sistema. Aguarde a Instalação. Clique em Terminar. Revisão nº 91 em 23/06/14 14:54 Pag 6 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Ele oferece uma possibilidade de “Configurar” para quem está atrás de firewalls que limitem o acesso, ou tenham dificuldades por políticas de controle de rede. Mas na grande massa dos casos, basta clicar em “Ligar”. Após isso o TOR começará a encontrar os circuitos de conexão na internet. Ou seja, vai começar a descobrir por onde poderá “pipocar” os pacotes para você visitar sites anonimamente. 3.2 Usando o TOR Bundle Por fim, você terá o Firefox aberto. Agora poderá navegar com mais tranquilidade. Como dito acima. Este Firefox é modificado, por default não tem o Javascript ativado, nem qualquer plugin com o Flash, Acrobat Reader, entre outros. Pois todos estes representam falha de segurança. No capítulo Detalhes e teorias de segurança, na página 33, detalhamos os motivos para essas limitações. Você pode começar a navegar colocando os endereços WEB na barra de endereços, ou fazendo pesquisas, na caixinha à direita, que trás resultados pelo site de pesquisas DuckDuckGo. Revisão nº 91 em 23/06/14 14:54 Pag 7 de 38 Manual de Segurança e PrivacidadeDigital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil O Google pode ser usado, mas não tem resultados de sites ocultos, e possui uma política própria que restringe muito os resultados. Mesmo que esteja na “Internet de superfície”. O DuckDuckGo não pesquisa em sites na rede .onion Após utilizar o browser, basta fechá-lo normalmente. Este Browser (Firefox) não deixa dados armazenados em áreas coletivas e espalhadas pelo seu HD, como os demais. O pouco que deixa fica apenas dentro daquela pasta no Desktop. E mesmo assim, logins, senhas e históricos não permanecem. Você deverá se acostumar a lembrar de cabeça seus dados de acesso, o que convenhamos, é a única forma segura. Pode utilizar-se dos marcadores, mas não recomendamos. Tenha um e-mail em servidor seguro, na forma de rascunho, como se fosse preparar para mandar a alguém, e faça ali uma anotação de seus endereços preferidos. Para voltar a usar o TOR e Firefox seguro, procure na sua Área de Trabalho (Desktop) pela pasta onde foi instalado. Constantemente o próprio Firefox avisa sobre novas versões disponíveis, através de um ícone, uma pequena cebolinha verde à esquerda da barra de endereços. Bastará baixar a nova versão e fazer todo o processo novamente. Se preferir, antes disso, apague ou simplesmente renomeie a pasta Tor Browser, fazendo assim uma instalação limpa. 3.3 Acessando a Deep Web A famigerada e famosa Deep Web, nada mais é do que o conjunto de servidores sujos endereços não são terminados em .com ou .com.br ou .co.jp ou qualquer coisa assim, dependendo do país. Ao contrário, são todos terminados em .onion, justamente porque nem mesmo é possível saber onde se encontram. A rede Onion, de uma lado protege você, escondendo seu IP verdadeiro como usuário a acessar sites e outros tipos de servidores. Mas também é usada para proteger servidores, que poderiam ser vítimas de buscas, monitoramentos e fiscalização. Utilizando-se de softwares que foram desenvolvidos juntamento ao TOR, é possível colocar no ar um site, e propagar a sua existência através de um intrincado sistema de criptografia, para que qualquer um, usando TOR possa encontrar este site, trocar dados com ele. Um sem saber onde o outro está. Justo por este esquema de criptografia, os endereços .onion tem sempre uma salada de letras, pois ela é a fingerprint de encriptação usada para encontrar o site nas “pipocadas” pela internet. Abaixo alguns sites interessantes a serem acessados: http://zqktlwi4fecvo6ri.onion/wiki/ - The Hidden Wiki, uma wikipedia dedicada a falar da rede Onion, DeepNet e outros assunto. Neste site você encontra muitos links para outros sites, desde páginas de assuntos políticos e jornalísticos até sites que descaradamente vendem coisas ilegais, como drogas, material de pedofilia, sistemas de fraudes de cartões bancários, assuntos Hacker em geral. Pois justo o anonimato da rede acaba permitindo a existência disso tudo sem um grande medo por parte dos participantes. Então a única parte “diabólica” tão falada da Deep Web é tão somente essa, o conteúdo que você pode vir a encontrar. A gente só vê o que procura. Não Revisão nº 91 em 23/06/14 14:54 Pag 8 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil procure o que você não quer ver... ou vai acabar encontrando filmagens de assassinatos, mutilações, e outras coisas terríveis. Alguns dizem perder o sono tranquilo por dias depois de assistir a cenas assim. Nesta mesma Wiki, você encontra links sites de buscas para encontrar outros sites na DeepWeb. Tais como: http://ahmia.fi/ Site de pesquisa. Este site pode inclusive ser visitado através da Web comum, usando navegador comum. Mas os links que ela repassa são da Deep Web, ou como pode chamar, Hidden Services. Por isso você pesquisaria mas não abriria sem um TOR Bundle. http://kbhpodhnfxl3clb4.onion/ Tor Search – Outro site de pesquisa, mas este já somente é acessível pela Deep Web mesmo. http://xmh57jrzrnw6insl.onion/ Torch, Site de pesquisa. http://ndj6p3asftxboa7j.onion/ TOR Find . Site de pesquisa. http://zbnnr7qzaxlk5tms.onion/ Wiki Leaks – o famoso site que deixa a Casa Branca de cabelo em pé vazando informações secretas de inteligência e ações ocultas do governo americano. http://am4wuhz3zifexz5u.onion/ TOR Library, uma biblioteca de livros e documentos que em geral podem ser cópias ilegais, ou proibidos em alguns países. A exemplo, tem uma seção de, como escrito no site: “Livros banidos de escolas americanas – Sim, em 2014 o regime fascista americano ainda bane livros de suas escolas”. O incrível é que alguns livros banidos aí são simplesmente poesia! 3.3.1 Temos uma Wiki e fórum em bom português: http://4jyormxjygqe4ybt.onion/ - KOX Wiki - Porém para começar a ler é necessário fazer cadastro. Portanto recomendo que antes de tudo crie seu e-mail em algum serviço de e-mail TOR, como o mail2tor.com e depois faça seu cadastro aqui para começar a brincar. http://4jyormxjygqe4ybt.onion/ - Fórum Cosa Nostra – muito organizado e mantido com respeito entre os usuários. O moderador sempre se faz presente e já é uma referência na Brazuka na Deep. Recomendo. 3.4 Detalhes sobre a Deep Web Não se decepcione, a quantidade de links que simplesmente não abrem é gigante. Afinal, é uma briga de gato e rato. Sites entrando e saindo do ar o tempo todo. O próprio Hidden Wiki já publica em seu início mais outros endereços de reserva caso o principal deva ser temporariamente removido, por segurança ou “força maior”. Não se decepcione, a participação de brasileiros parece pequena com poucos fóruns brasileiros. Ocorre que, na verdade, todas as pessoas, de qualquer país, acabam por usar o idioma Inglês para usar e se comunicar na Deep Web, não é que toda a massa da Deep Web seja americana, é que você tende a ver informações, sites e documentos em Inglês, não importando de que país sejam seus criadores. Se você pensar, isso garante até mais segurança a eles. Ora venha, se você coloca um site no ar no bom Português, com gírias e vícios de linguagens comuns do Rio, comecei a reduzir meu spot de pesquisa sobre quem é você a um pequeno território do Estado RJ! Revisão nº 91 em 23/06/14 14:54 Pag 9 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 4 Serviços de e-mail 4.1 Criando uma conta de e-mail de segurança Não adianta querer usar a internet ocultando seu IP, mas utilizando provedores de e- mails que não possibilitam o anonimato total. Abaixo um exemplo de um site muito utilizado pelo mundo anônimo da internet. Existem muitos outros, citados nos wikis. Inicialmente você entre num site que está na internet superficial (.com). Este site é apenas uma página de informações to Mail2TOR. Não é nele que está o servidor (ou servidores) que envolvem efetivamente o serviço. Após isso você vai encontrar o link para o servidor que realmente dá acesso ao webmail. É um link para a rede .onion, portanto deepweb. Revisão nº 91 em 23/06/14 14:54 Pag 10 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Somente aí você realmente acessou o servidor com o webmail. Utilize o botão [Register] para abrir uma nova conta. Então tente criar um login que ainda não exista. Digite a senha e confirme. Digite as letras segurança Captcha. E clique em submeter pedido, em alguns casos aparece [Submit] Após isso, virá uma mensagem dizendo que sei e-mail foi criado com sucesso, ou que o login digitado já existe, neste caso deverá fazer novamente tentando outro login. Note, não pedem identificações ou e-mails secundários, nem n de telefone.⁰ Revisão nº 91 em 23/06/14 14:54 Pag 11 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 4.2 Acessando suaconta de segurança Volte então à tela anterior Utilize agora o botão [Login] para logar com sua nova conta. Agora você poderá digitar seu login e senha para acessar sua conta anônima. Não precisa colocar o @mail2tor.com , apenas o seu login mesmo, conforme digitou ao criar. Abaixo a tela que você deve ver de seu WebMail. Revisão nº 91 em 23/06/14 14:54 Pag 12 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil O software de servidor de webmail utilizado por eles é o SquirrelMail. Trata-se de uma consagrada interface utilizada há anos por toda a comunidade. Ela se caracteriza por ser extremamente leve, simples de usar e sem requerer recursos especiais do navegador, como Plugins ou mesmo JavaScript. Lembre-se estes recursos são restringidos no Firefox para TOR. Basicamente, apenas HTML. À esquerda, na barra azul, temos o horário da última atualização desta página. E para você atualizar, ao invés de utilizar o batão atualizar do navegador, utilize o link [Check mail]. Em seguida, ainda na barra azul temos as suas pastas, clicando nelas a janela principal vai alternar o conteúdo, mostrando o que possuem: • INBOX, a caixa de entrada, onde ficam os e-mails recebidos; • Drafts, os rascunhos de e-mails ainda não enviados, mas já iniciados. Isto é muito usado como área de guarda de informação. Você inicia e-mails, que não serão enviados para ninguém, apenas para guardar textos, logins e senhas etc. Ou arquivos anexos encriptados. Fazendo do e-mail uma espécie de Drive Virtual; • Sent, os e-mails já enviados; e • Trash, a lixeira. Que geralmente ninguém deixa com conteúdo. Sempre apaga por segurança. Na janela principal temos um cabeçalho que não alterna com as pastas. É onde temos algumas ferramentas: • Compose, para compor um novo e-mail; • Addresses, onde você pode fazer uma agenda de endereços de amigos; • Folders, onde você pode editar suas pastas, criando novas, apagando etc.; • Options, onde acessa algumas configurações do ser serviço de e-mail, tais como visual da tela, assinatura padrão, entre outros serviços; • Search, para pesquisar nos seus e-mails; e • Help, uma ajuda para o uso. Na área do conteúdo da pasta você pode abrir e-mails clicando sobre seus assuntos, em azul. Pode selecionar mensagens e fazer algumas atuações com elas, como mover entre pastas, apagar, marcar como lidas ou não-lidas entre outras ações padrão que sempre temos por aí, em outros serviços. Como podemos ver. É um serviço bem completo. Também é acessível via SMTP (para envio) e IMAP (para verificar) mas somente softwares com a capacidade de conecta vir TOR, usando SOCKET4a e SOCKET5 poderiam fazê- lo, pois os endereços de SMTO e IMAP estão no domínio .onion também... é claro! Revisão nº 91 em 23/06/14 14:54 Pag 13 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 4.3 Enviando e-mail Clique em Compose, preencha com o endereço ou endereços do(s) destinatário(s), o assunto, escreva seu texto. Para anexar arquivos, clique em [Procurar...], a janela padrão de explorador de seu HD deve abrir, selecione um arquivo. E em seguida, não esqueça de clicar em [Add], pois somente assim o arquivo irá para o servidor. Isto pode demorar um pouco. Então você poderá observar o nome do arquivo na lista abaixo. Confira seu tamanho, para saber que ele subiu corretamente. Para apagar arquivos da lista, depois de ter subido, basta marcar o quadradinho e clicar em [Delete selected attachments]. Para, enfim, enviar o e-mail, clique em [Send]. Sua mensagem chegará ao destinatário com o endereço: seu_login@mail2tor.com , onde seu_login será o login utilizado. Qualquer e-mail enviado a este endereço será recebido aqui. Revisão nº 91 em 23/06/14 14:54 Pag 14 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 4.4 Mudando a senha Fora do seu e-mail (deslogado), encontre o link “Change you password”. Você então obterá a tela para mudar a senha Preencha o formulário: • Seu login (não precisa colocar o @mail2tor.com); • Sua senha atual; • Sua nova senha; • Confirme a senha para evitar erros de digitação; • As letras de segurança Captcha; • E clique em [Submeter pedido] Verifique a imagem abaixa para melhor entendimento. Revisão nº 91 em 23/06/14 14:54 Pag 15 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 4.5 Use com segurança Não esqueça que o anonimato de sua conta é garantido pelo conteúdo de suas mensagens. Se você envia e-mails para pessoas, e nestas mensagens você explicita a sua identificação pessoal, caso alguém tenha acesso a estas mensagens, facilmente vai ligar você a esta conta, e a todas as mensagens recebidas e enviadas a este endereço de e-mail. Alguns recomendam o uso de nick-name (apelidos), para que somente quem pessoalmente te conheça possa saber de quem se trata. Mas isso é uma segurança fraca. Quem tem maior entendimento usa assinatura eletrônica baseadas em chaves públicas em servidores públicos de chaves. Talvez essa não seja sua preocupação, o anonimato, mas ao menos o seu IP verdadeiro e os locais físicos de onde você utilizou este serviço de e-mail estão resguardado pelo uso do TOR. Ao baixar arquivos, principalmente PDF, HTML, e arquivos de Office, ou seja, praticamente tudo! Não abra com conexão internet ativa. Esta é uma recomendação da equipe que faz o TOR Bundle para qualquer arquivo baixado da internet. Pois eventualmente arquivos como estes podem enviar pacotes de dados para a internet, diretamente, sem passar pelo roteador TOR, revelando o seu IP verdadeiro. Mais boas práticas de segurança podem ser vistas no capítulo Detalhes e teorias de segurança, na página 33. Revisão nº 91 em 23/06/14 14:54 Pag 16 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 5 Usando celulares Muita coisa pode ser feita mesmo usando celulares. Melhor se você puder Rootar seu celular ou instalar alguma Mod da comunidade como a CyanogemMod ou coisa assim. Mas... este tutorial aqui é para um público mais leigo e simples. Portanto não vamos contar com tudo isso. 5.1 TOR no celular Vamos focar no Android, porque francamente, se você queria ter privacidade não usaria um iPhone :D Brincadeiras a parte, mesmo o Android tendo alguns problemas quanto à privacidade, o primeiro passo é usar Android, e depois passar a usar uma Mod segura feita comunidade. O Roteador para Onion para Android é o OrBOT. Encontre-o no Play Store. Então você terá o Tor Bundle instalado em seu celular, pode encontrá-lo nos aplicativos, de uma forma muito comum, uma cebolinha verde. E o navegador será, após instalado, um planeta com halo verde. Após isso, escolha a língua, Portugês Brasileiro, e comece a configruar. Revisão nº 91 em 23/06/14 14:54 Pag 17 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Ele avisa que o simples uso do OrBOT não deixa anônimo todo o tráfego de seu celular. É necessário que os aplicativos utilizem o roteador TOR para conectar-se à internet. Toque em [Seguinte] Agora ele pode acesso a Super Usuário, o Root, digamos que você não seja este tipo de pessoa que rooteou seu aparelho, preencha a caixinha de “I understand and would like continue …” Significa que você entende e vai continuar sem ser super usuário. Na prática, se você tivesse acesso root de seu celular, ele poderia fazer com que TODO O TRÁFEGO fosse roteado pela rede onion. E com requintes de crueldade, você poderia escolher que aplicativos passam ou não pelo TOR. Bem, esquecendo disso, preenchendo a caixinha e aparecerá um aviso, explicando justo isso. E que Aplicativos específicospodem fazer uso do OrBOT, usando portas HTTP e SOCKS. Depois dará sugestões de downloads de alguns aplicativos. Note que neste caso não serão baixados pelo Play, e sim diretamente de sites acreditados pelo OrBOT. O que é mais seguro. Recomendamos que beixe os 2 primeiros, para começar. O OrWEB é um navegador simples, mas que navega pela DeepWeb. O segundo é o nosso grande foco. Trata-se do ChatSecure, um aplicativo para mensagens instantâneas. Toque em ambos para iniciar o Download. Ficará baixando na barra de notificações. Clique em terminar. Revisão nº 91 em 23/06/14 14:54 Pag 18 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 5.1.1 Rodando o OrBOT Após a configuração, e toda vez que você iniciar o OrBOT, caso ele não conecte sozinho, é necessário tocar e segurar por um tempo o grande botão de ON-OFF no meio da tela. Após isso o Robozinho vai começar a levantar os braços. Haverá um tempo até ele estabelecer os circuitos e por fim estará conectado. Costuma funcionar muito bem até mesmo em 2G. 5.1.2 Instalando aplicativos de fora do Google Play Por definição o Android só instala aplicativos baixados pelo Google Play. Ocorre que para nossa segurança é preferível instalar os aplicativos diretamente dos sites dos desenvolvedores, dados pelo link do OrBOT. Nos botões lá durante sua configuração. Ao tocar nos downloads assim que estiverem terminados, ele vai avisar justo isso. E em muitos casos já levar para a tela de configuração do Android para permitir instalações de outras fontes. Revisão nº 91 em 23/06/14 14:54 Pag 19 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 5.2 OrWEB O nosso navegador web pela rede Onion é simples, mas faz o necessário para você não se expor tentando usar WEB. Ao abrir, ele deve apresentar uma tela como essa. Ou trocando para Português do Brasil e tocando em [Go] deva apresentar. Essa tela não é a toa, assim como a tela principal do TOR Bundle, no micro diz ao abrir, essa tela confirma que você está circulando por uma rede TOR. 5.3 Acessando Mail2Tor pelo celular Da mesma forma que no micro, entra-se no site comum: http://mail2tor.com E clica-se no link para o site da deep web. Depois teremos o botão de login. Talvez seja necessário arrastar a tela para os lados pois o site fica grande. Mas o botão vai estar lá. E então entrar com o login e senha. Da mesma forma. Com certeza senhas complexas vão ser chatas de digitar no teclado da tela do aparelho. E voilà... Temos o mesmo site aqui. Mantenha os mesmos cuidados com arquivos baixados. Geralmente são armazenados no /sdcard0/Downloads do aparelho. Revisão nº 91 em 23/06/14 14:54 Pag 20 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 5.4 Barcode Reader Parece estranho, mas o ChatSecure, para facilitar o uso, utiliza-se de um gerador/leitor de códigos de barras... na verdade, de QR-code. Ocorre que ele vai usar para mostrar e ler as chaves públicas entre aparelhos próximos para confirmar legitimidade de encriptação, isso será explicado mais adiante. Procure pelo Barcode zxing. E instale o aplicativo. 5.5 ChatSecure O ChatSecure é um Instant Messenger. Não é como o nojento MSN- Skype, ou FaceBook Messenger. Pois ele o faz de forma criptografada PONTA-A- PONTA, ou seja, criptografa deste o seu celular até o celular do destinatário. Nem os servidores do meio do caminho conseguem desvendar o conteúdo. Ao abrir pela primeira vez, deve pedir uma senha. Ela não é para nenhum servidor, é para encriptar as configurações do aplicativo em si. Você tem a opção de não usar senha, tocando em “I'm Lazy...” mas com senha, garante-se que se seu aparelho for parar em mãos erradas, não terão os dados de acesso às suas contas. Em, seguida ele deve aparecer assim, em branco ou com um texto dizendo que não tem contas cadastradas ainda. Toque no meio da tela, ou no + acima, e escolha Creating Account, para criar uma nova conta. Caso já não tenha uma sua. Então tente criar um usuário que ainda não exista. Ele já sugere o servidor dukgo.com, o que também concordamos em ser um bom servidor. Digite uma senha, confirme a senha, ticke a caixinha Connect via Tor, assim, até mesmo a criação desta conta será feita sem revelar seu IP. Revisão nº 91 em 23/06/14 14:54 Pag 21 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Toque nas engrenagens para rever os dados da conta. E novamente ative a conexão via Tor. Não será necessário fazer isso novamente, agora esta opção ficará armazenada. Não use o botão verde.. não sei porque, as vezes parece que não conecta direito. Apenas use seu botão VOLTAR do seu aparelho e retorna à tela anterior. Em seguida use o botão de liga-desliga ao lado da engrenagem E então no nome da conta para ver a sua lista de amigos, que deve estar vazia, é claro. Toque no cadeado bem no canto esquerdo, para abrir um menu. E neste use a opção Adicionar contato, para procurar um novo contato e solicitar que adicione. Do outro lado deverá aparecer uma janela avisando do pedido de adicionar, responder OK, e um terá ao outro em suas listas, como qualquer messenger. Revisão nº 91 em 23/06/14 14:54 Pag 22 de 38 1 234 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Inicialmente virá um cadeado aberto e uma borda de aviso vermelha, e todas as suas mensagens marcadas com tarja vermelha ao lado. Significa que, apesar de você estar acessando os dados via TOR, o que garante privacidade do IP e dados até o servidor e voltando, as mensagens em si estão abertas. Toque no cadeado aberto e use a opção Star Encription para solicitar encriptação. A janela tomara um tarja amarela. A partir deste momentos os aparelhos vão trocar entre si as suas chaves públicas e com elas vão passar a criptografar tudo de ponta-a-ponta. Isso significa que o aplicativo ACREDITA que está existindo uma encriptação de ponta-a-ponta, mas ainda não tem certeza. Isto porque podemos estar sofrendo uma influência chamada Men- In-The-Middle, em que algum dispositivo no meio do caminho poderia estar trocando as chaves por chaves próprias e fazer uma ponte entre eles. E este dispositivo estaria vendo abertas todas as suas mensagens. Até aqui, para mim, estaria suficiente, mas como esse programa é coisa de paranoia, rara garantir que isto não está ocorrendo, é possível garantir que cada aparelho tem realmente a chave pública do outro, e ninguém se meteu no meio e colocou outras. Para isso toque no cadeado, abra o menu novamente, e peça para mostrar o FingerPrint, ou seja, um resumo de sua chave pública. E aqui entrou o BarCode Reader, gerando uma imagem da sua chave para ser lida pelo amigo. Revisão nº 91 em 23/06/14 14:54 Pag 23 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Do outro lado o seu amigo deve tocar no cadeado (amarelo) e solicitar a opção Verify Key. Então aparecerá a chave que tem e algumas opções de verificar a chave. Uma manualmente, outra por leitor de barras, outra por pergunta e resposta. Esta última pode ser usada quando existe uma pergunta e uma resposta previamente combinada entre amigos. Na opção manual, basta voc^e dar uma verifica no número apresentado no aparelho do amigo, e ver se confere com a chave aqui. E clicar em OK. Na opção Scan QR, vai abrir o leitor de código de barras e ao fazer a leitura, dará o mesmo resultado. Apresentando em seguida a tela verde, o cadeado verde, e todas as mensagens dali em diante com a tarja verde. Aí o programa paranoico finalmente está tranquilo que não tem como ninguém “ouvir” no meio do caminho.No clips, você conta com opções de envio de arquivos em geral, de imagens, tirar fotos, ou enviar trilha de som. E TUDO será enviado encriptado de ponta-a-ponta, e ainda dentro das encriptações do TOR, com IP ocultos e tudo mais... Pouquinho né? Eeheh Mas... o de sempre. Tome cuidado com o que recebe, vai ficar no aparelho. Caso represente risco, você criptografar os arquivos, mover para local seguro ou apenas apagar. Revisão nº 91 em 23/06/14 14:54 Pag 24 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 5.5.1 Reiniciando aplicativo Caso alguma vez corrompa o arquivo de configuração do ChaSecure e ele não aceite mais sua senha ou não consiga abrir suas contas, apague os dados do aplicativo, não é necessário desinstalar, apenas vá no meno do seu aparelho, em: Configurar>Aplicativos>ChatSecure>Limpar dados Isto pode variar um pouco de um aparelho para outro. E volte a configurar suas contas. Revisão nº 91 em 23/06/14 14:54 Pag 25 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 6 Armazenamento seguro de dados Muito bem. Você navega com segurança na rede. Tem sua identidade preservada, conversa com amigos de forma segura, troca mensagens e e-mails, troca arquivos em geral, tudo com muita segurança e privacidade. - Mas aí eu pergunto: e se seu micro cair em mãos erradas? E aquele seu pendrive que você nem lembra onde pode ter deixado, com quem está? Tantas outras situações, digamos, ruins. 6.1 TrueCrypt foi fechado pelo governo americano Recomendamos o software TrueCrypt Com ele você pode criptografar partições inteiras, fazer muita coisa. Usando bibliotecas públicas, sem segredos para a comunidade. No site oficial, diz que desde o mês de Maio de 2014 o projeto acabou. Não ligue para os avisos. Leia no capítulo O quanto é confiável um sistema de criptografia?, na página 34 para para entender o que está acontecendo de verdade. Fato é que como nem NSA nem FBI quebram essa coisa, eles persuadiram os desenvolvedores a encerrar o projeto. Mas como o software é público, muita gente tem o código fonte, estamos esperando o negócio se rearranjar. Até lá utilize a última versão sem restrições, a 7.1a, que por sinal, está um pouco difícil de achar. Mas estamos encontrando nos links abaixo: http://filehippo.com/download_truecrypt/tech/11601/ http://www.filehorse.com/download-truecrypt/ http://www.heise.de/download/truecrypt.html http://www.updatestar.com/directdownload/truecrypt/2077200 entre outros locais. E ainda existem sites ensinando a compilar o código fonte, ou seja. A NSA somente dificultou um pouco. Para isso temos tutoriais como este aqui :) Nota desde a versão 14.24: Conforme previsto, o pessoal iria se organizar para continuar o projeto. Estão hospedando um novo site na Suíça, fora da jurisdição e dos efeitos da NSA. E com isso estão começando de onde estava parado. Com novo pessoal e todos públicos. https://truecrypt.ch/ Downloads aqui, mas ainda a versão 7.1a mesmo: https://truecrypt.ch/downloads/ Revisão nº 91 em 23/06/14 14:54 Pag 26 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 6.2 Instalando o TrueCrypt Uma vez encontrado o bendito instalador, guarde bem e aproveite para passar para os amigos! Eheheh Execute o instalador da forma de sempre, clicando em Next, next next, até ter a janela de instalação terminada. Depois eles pedem uma doação, eu até iria insistir para todos ajudarem, mas como não existem mais... vai ficar sem nossos centavinhos. Por fim sugerem a leitura de um tutorial de uso. É claro que recomendo. Mas se quiser deixar para depois clique em No E então clique em Create Volume, para criar um arquivo de volume virtual. Revisão nº 91 em 23/06/14 14:54 Pag 27 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Então teremos a página para escolher o que ser feito. Por hora vamos ensinar o básico, criar um volume virtual simples. Neste caso será criado um arquivo, e este arquivo, quando usado pelo programa será como um pendrive conectado à máquina, gerando uma letra de drive a mais no seu computador, como F: ou G: Existe a possibilidade de criar com duas senhas, onde a primeira abre um pedaço com coisas que você coloca pra abelhudos verem, e a segunda realmente abre o que quer ocultar. Isto propicia uma segurança extra para casos de coação. Mas por hora, usamos a simples mesmo. Deixe a primeira opção selecionada e clique em Next> Então clique em Select File... e vai ter a janela padrão do Windows para navegar entre os arquivos e dar um nome a um arquivo NOVO. NÃO É PARA ESCOLHER O QUE VOCÊ DESEJA CRIPTOGRAFAR. E sim é o nome de arquivo que será criado, o que chamamos de arquivo imagem, ou volume. Ou seja, um arquivo que não existe. Sugerimos que coloque um nome com o final .avi, mais adiante é explicado o motivo. Você só vai mexer com seus arquivos para criptografá-los DEPOIS de volume montado, na página 30. A seguir clique em Next > Esta página é bem técnica, é sobre os tipos de criptografia, tamanho de chave etc... Basta clicar em Next > Revisão nº 91 em 23/06/14 14:54 Pag 28 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil A seguir o tamanho deste arquivo. Costumo usar arquivos continentes de vários tamanhos. Desde muito pequenos, na ordem de 300kbytes, suficientes para colocar-se arquivos de documentos e transitar pela internet como anexos de e-mails sem problema. Arquivos grandes dão problemas demais. E chego a usar arquivos na ordem de 2 ou 4 GBytes para aí sim guardar pastas inteiras de coisas importantes. E mesmo assim são bem portáveis em pendrives e repositórios nas nuvens. Depois escolha uma senha. Procure fazer grande (20 caracteres ou mais) e usar letras maiúsculas, minúsculas, números e até símbolos com @#$%& são aceitáveis. Se você escolher uma senha curta e muito simples, ele te alertará, mas se quiser insistir haverá a opção de ignorar aviso. Clique em Next > A seguir ele vai tentar gerar uma chave. Movimentando o Mouse você vai ajudar a criar uma chave mais aleatória, quando mais randômica a chave, mais segurança. Clique em Format, e acompanhe a criação do volume. Claro de o tempo depende do tamanho do volume. Pois ele vai encher de dados aleatórios para assegurar que quem veja o arquivo sem abrir não tenha ideia de onde começam os dados gravados e onde tem-se apenas “sujeira” no volume. Volume criado, ele pergunta se quer fazer um próximo volume (Next >) ou chega de fazer volumes e volta à tela principal. Revisão nº 91 em 23/06/14 14:54 Pag 29 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 6.3 Abrindo volumes TrueCrypt Clicando em Select File encontre o arquivo que você deseja abrir. Em seguida escolha uma letra de drive, tipo G: H: F: qualquer uma delas para “espetar” o seu pendrive virtual. Sim, agora você entendeu que pode abrir muitos volumes ao mesmo tempo! Isso é ótimo para transitar arquivos de uns aos outros sem usar locais temporários diretamente no HD. Clique duas vezes na letra desejada ou clique no botão Mount. Digite a senha. E em seguida retornará à tela principal, apresentando as informações do volume montado. Voilà, é como se tivesse espetado um pendrive no micro. Porém para remover, aquela função do Windows não serve. É necessário usar o botão Dismount, ou Dismount All para desmontar tudo que estiver no momento de uma só vez. Não esqueça de fechar editores e programas que estejam usando os arquivos aí dentro antes de desmontar. Uma vez montado, é como um pendrive. Você pode navegar normalmente, criarpastas, arquivos etc. Abrir com os programas normais com Word Excel etc. Arrastar arquivos e pastas para fora e para dentro, enfim, como faria com um pendrive. Revisão nº 91 em 23/06/14 14:54 Pag 30 de 38 2 1 3 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 6.4 Dicas com o TrueCrypt O TrueCrypt não possui extensão própria para seus arquivos, então não adianta clicar sobre eles que o TrueCrypt não vai abrir e pedir a senha. Isto até é mais uma segurança. No exemplo, como coloquei a extensão .avi, ao clicar sobre o arquivo de volume criado, o windows tentou ler usando o Media Player que, é claro, acusou erro. Bom usar .avi porque o Media Player não corrompeu meu arquivo. Já vi casos que a pessoa colocou .doc e alguém acabou abrindo com o Word ou Wordpad e estes acabaram por corromper o arquivo, danificando-o definitivamente. O legal é que você pode manter cópias de segurança muito facilmente! Basta copiar o arquivo volume, dar Control-C Control-V , arrastar para pendrive, subir para sites de drive virtual, enfim, como qualquer arquivo. Por isso gosto de criar volumes pequenos. MAS ATENÇÃO, faça estes tipos de ações com o arquivo DESMONTADO, fora de uso. Outra dica boa é: se você quer, por exemplo, vários arquivos volume de 1 MB, não precisa fazer aquele processo de criação um por vez. Basta fazer um e copiar e colar várias e várias vezes! O Windows mesmo vai dando nomes sequenciais para as cópias. Em míseros segundos você por ter dezenas de arquivos de volumes para usar. Depois só ir renomeando para você se organizar. 6.5 Danos durante o uso Não sei quanto aos outros. Mas eu uso há anos e já aconteceu de tudo um pouco. Acabar bateria de note, desligar micro da tomada, travar sistema completo enfim. Muita coisa. Não sei se é porque uso Linux com sistemas de arquivos mais eficientes que o NTFS ou FAT32, mas absolutamente NUNCA tive um problema de um volume não abrir mais. Sempre estava lá. De qualquer forma, recomendo uma política de backup com uma disciplina muito rígida. Arquivos podem se danificar no próprio HD em si, ou pendrive usado, para conter o volume, e o TrueCrypt não faz milagres. Fora outras intervenções externas possíveis. Alguém pode simplesmente “esbarrar” e apagar um arquivo volume teu não entendendo porque o maldito video não funcionava! Sem saber de que se tratava o arquivo. Ou tentar abrir com um aplicativo tipo Word, o lazarento, quando abre um arquivo já o modifica de cara. Enfim, seja prudente. Apenas a disciplina garante segurança. Revisão nº 91 em 23/06/14 14:54 Pag 31 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 6.6 Falhas de segurança do Windows Sendo muito paranoico, quando você usa arquivos no Windows, seja num pendrive comum ou num volume montado, ao abrir num editor, ele pode deixar resquícios do arquivo em área de memória virtual e espaços temporários. Coisa que é fato vencido no Linux, onde até a partição Swap (memória virtual) pode ser criptografada. Além dos /homes dos usuários, onde possam existir os arquivos temporários criados pelos programas, também podem ser criptografados. Bem, no Windows, nada disso é assim, e se você usar as soluções de criptografias da própria Microsoft, ninguém vai te afirmar sobre a credibilidade da criptografia. Mas acredito que isso não seja preocupação para a grande massa dos usuários. Usar essas práticas aqui já aumenta em muitíssimo a segurança comparando com os usuários que costuma-se ter por aí. A seguir alguns conselhos simples: 6.6.1 Abra os arquivos dentro do volume montado Não fique trazendo para fora, para editar e depois voltar para dentro do volume. Mesmo quando apaga-se um arquivo, até os iniciantes já sabem, podem ser facilmente “desapagados”. Então se você tem um arquivo .doc ou .txt ou qualquer coisa assim, abra-o e edite dentro do volume criptografado mesmo. Salve e fim. 6.6.2 Utilize o LibreOffice Largue mão de usar o MS Office. O Libre Office é gratuito, você pode instalar em quantas máquinas quiser, sem custos e sem incorrer em ilegalidade. Pessoalmente todos a quem mostrei o Libre Office, depois de um tempo o encaram como mais fácil de usar que os da Microsoft. Inclusive a suite é mais completa, tendo Editor de texto, Planilha de cálculo, Apresentador, Base de dados e até um editor tipo Draw, que o MS-Office não tem. Exporta PDFs sem plugins e segue as normas internacionais mais rigidamente. Pode exportar PDF híbrido, em que o próprio PDF contém o arquivo original (PDF+ODF), assim o PDF é editável tal qual um .docx ou .odt. Segue exigências que nem o MS-Office segue. Inclusive, trabalhos acadêmicos, se seguir à risca as normas, não poderiam ser editados por MS-Office, apenas LibreOffice e outros de código aberto, pelos formatos de arquivos não seguidos propositalmente pela empresa de Redmond. O Libre Office é um software público e sabemos que não contém meios de espionagem. Revisão nº 91 em 23/06/14 14:54 Pag 32 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 7 Detalhes e teorias de segurança Aqui temos um pouco do blábláblá teórico sobre segurança de dados. Daqui pra frente leia por diversão e para um melhor entendimento sobre o mundo que você está querendo entrar. Esta seção ainda está meio pequena. Pretendemos ampliá-la muito. Pois de nada servem as ferramentas se não são usadas corretamente. 7.1 Browser TOR Firefox Conforme comentado no capítulo Usando o TOR Bundle, na página 7, p recurso de JavaScript não vem habilitado, e não existem plugins comumente usados instalados. O Javascript pode ser habilitado nas preferências, e os plugins podem ser instalados. Mas esteja ciente que plugins como o Flash podem acessar DIRETAMENTE dados na internet, bem como enviar pacotes de dados. O acesso por si já seria suficiente para denunciar o seu IP a um servidor. Este método foi utilizado para conseguir encontrar e prender Eric Eoin Marques, na Irlanda. Ele cometeu uma falha de segurança como essa. Mas vale ressaltar que era uma busca implacável, que há anos a Interpol fazia a este criminoso facilitador da pedofilia. Lembramos que Eric não tinha ligações com o desenvolvimento do TOR e suas soluções, muito menos os ideais que cercam o projeto TOR. 7.2 E-mail Tenha muito cuidado. Não é porque você agora é um “Hacker do Car@#$% !” e tem uma incrível conta de e-mail na famosa e temida DeepWeb que você está “à prova de balas”. Não adianta querer usar a internet ocultando seu IP, mas utilizando provedores de e- mails que não possibilitam o anonimato total. Caso você entre no gMail via TOR, ele somente possibilitará o uso depois de uma confirmação por telefone ou SMS, ou outro meio que indubitavelmente incorra num rastreio da conta versus uma pessoa física conhecida um Social Insurance ou um CPF (no caso do Brasil). Alguns utilizam telefones cadastrados com CPF alheio para isso, mas além de ser uma prática ilegal, ela é ineficiente. Todo telefone, por mais simples que seja é georeferenciado hoje em dia. Ou seja, não adianta usar um aparelho tipo Intelbras simplezinho ou Nokia velho. Absolutamente TODOS ELES possibilitam a verificação da sua localização com poucos cliques. Existem até mesmo serviços e aplicativos na Google Play e Apple Store que vendem este recurso para pessoas comuns! Imagine se você teme por perseguição política ou governamental. Por isso utilizamos serviços de e-mail que não pedem absolutamente nenhum dado pessoal. Mais que isso, são utilizáveis por TOR. Como prover este serviço para todos nós também, assim de forma anônima, está em desacordo com a grande maioria das leis dos países, incluindo o nosso maravilhoso Marco Civil da Internet, o próprio site também é oculto pela rede TOR, sendo então encontrado apenasnum endereço .onion. Revisão nº 91 em 23/06/14 14:54 Pag 33 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Por outro lado, não temos como saber quem são os reais proprietários e mantenedores destes serviços. Tanto podem ser pessoas boas, com interesses de simplesmente prover liberdade de expressão, como sempre pregam em seus textos, como podem ser operados por pessoas mal intencionadas, que podem fazer uso das informações ali postadas, como até pode ser o próprio governo de algum país. Ou seja... usar sim, mas não entregue suas pérolas. Enfim, o que o TOR e os e-mails da Deep web podem garantir é a ocultação do seu IP quando os utiliza. Só isso. Se você entregar dicas de quem é você, bastou para perder o anonimato. Se você quer segurança total para os dados que trafega, criptografe-os. Pois você não sabe quem é o mantenedor do site de e-mail, e o que ele pode fazer com tudo que as pessoas colocam lá. E não use as porcarias de ZIP com senha ou coisa parecido. Qualquer adolescente com programinhas chulos encontrados na ClearWeb consegue descobrir as senhas destas coisas bobas. Use GnuPG, TrueCrypt (que é apenas uma interface gráfica para algorítimos clássicos), e tantos outros softwares decentes por aí. Mas use coisa boa, software público e confiável. Qualquer software privado, feito por uma empresa, poderá e CERTAMENTE terá meios de destrancar teus dados de outras formas, até porque isso ocorre por FORÇA DE LEI em muitos países, começando pelos EUA, e incluindo o Brasil. Se você abre um provedor de serviço QUALQUER, com web, e-mails etc. ou empresa de telecomunicações aqui mesmo no Brasil, para poder conseguir tuas licenças de operações, desde ANATEL até quaisquer outras, uma das primeiras coisas que você deve apresentar é a forma de BackDoor e possibilidade de abertura pelos institutos governamentais, inclusa a Justiça e Poder Executivo. E durma com esse barulho... não é segredo para ninguém. É regulamentação. Está explícita publicamente nos sites dos Ministérios diversos. Então... esse pessoal que se acha inencontrável por WhatsApp da vida. Saiba que WhatsApp pertence à FaceBook, que tem escritório na R. Leopoldo Couto de Magalhães, 700, 5° andar. É só mandar um oficial de justiça lá que ele retorna com um DVD ou pen drive, com todas as suas mensagens, INCLUÍNDO as que você apagou, de onde foram geradas, quais IPs, e com isso, quais celulares, e mesmo que não fossem em seu CPF, é possível saber onde estava em cada momento, por triangulação das torres, com erros de poucos metros, e se você estava usando o Wifi da sua casa... parabéns para você. Temos Você :P 7.3 O quanto é confiável um sistema de criptografia? Estamos recomendando o TrueCrypt por ser um programa que, apesar de ser de uma empresa que ganha dinheiro de algumas formas com ele, trata-se de uma software de código aberto. Na verdade esta situação é muito comum no mundo de softwares livres. Empresas trabalham e desenvolvem ou colaboram com o código de softwares mesmo estando eles com o código fonte aberto. Ocorre que ganham dinheiro atendendo a empresas e dando suporte e cursos a respeito, e isso é muito coisa em termos de negócio hoje em dia. O TrueCrypt utiliza códigos classicamente usados pela comunidade e por terem licença GPL eles não podem fechar o código do próprio programa. E por isso não podem ocultar BackDoors ou fraquezas propositais sem que todo mundo acabe vendo. Revisão nº 91 em 23/06/14 14:54 Pag 34 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Ele já demonstrou casos verdadeiros em que protegeu dados de pessoas, em que governos e justiças locais solicitaram aos mantenedores do TrueCryp uma forma de abrir os dados de alguém. E a resposta foi (numa tradução livre): “O nosso software tem código aberto e não temos a menor possibilidade de implantar backdoors ou fraquezas propositais. Não podemos atendê-los, pois quem o utilizar realmente terá uma segurança afirmada pelas melhores técnicas de criptografia possíveis no mundo do software livre, e nada podemos fazer para mudar este conceito.” Veja aqui um caso Brazuka do uso deste tipo de recurso: http://g1.globo.com/politica/noticia/2010/06/nem-fbi-consegue-decifrar-arquivos-de- daniel-dantas-diz-jornal.html “Segundo reportagem publicada nesta sexta-feira (25) pelo jornal "Folha de S.Paulo", após um ano de tentativas frustradas, em abril a polícia federal norte-americana (FBI) devolveu os equipamentos ao Brasil.” Fato é que NENHUM sistema de criptografia é 100% seguro. Mas como você pode ver acima, existem os excelentes. Melhor que isso, só pegando o seu micro e tacando fogo mesmo! O detalhe é que justo por ser assim ele parece ter sofrido uma pressão e recentemente o site traz uma série de mensagens no mínimo estranhas. Eles recomendam substituir o TrueCrypt pelo Drive Virtual do Windows chamado BitLocker, o mesmo no Mac OSX, ou seja, vê-se claramente que estão sofrendo influências externas. O pretexto apresentado é que o projeto existia porque o Windows XP não tinha isso nativamente. E agora que o XP terminou o suporte, ele é considerado tecnicamente obsoleto e morto pela própria Microsoft, não haveria razões para manter o projeto. A atual versão do software apenas descriptografa, e não cria mais volumes. Apenas para você ler atuais volumes e transportar a outros. Removeram todas as versões anteriores e código fonte do site oficial no sourceforge. Um verdadeiro absurdo somente feito sob a mira de armas. Um site mostra o quanto a comunidade se arrepiou com a atitude da NSA: http://r000t.com/what-happened-to-truecrypt/ Ou seja, BALELA, está claro que sofreram pressões para saírem de cena. Entretanto, como o código é público, não deixará de existir, ao menos a atual versão, para instalar. De qualquer forma, por mais que estejam dizendo que o software está lá apenas para você usar temporariamente para “converter” para os sistemas proprietários, acreditamos que seja balela e enfim, ainda está lá... vamos usar, ainda damos como sendo a melhor opção, pela sua facilidade. E tudo que aconteceu a ele prova exatamente sua eficiência! Existem outros que acabariam sendo mais difíceis de adotar como habituais na vida da maioria dos usuários simples. A Equipe Privacidade Brasil está agora verificando um substituto à altura para o TrueCrypt. As características analisadas são, obviamente segurança de dados, mas também precisa ser tão simples como ele é para ser usado. Numa primeira rodada de pesquisas, foi possível encontrar algumas opções já disponíveis, questão de tempo para escolher uma entre elas. Revisão nº 91 em 23/06/14 14:54 Pag 35 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil Por hora, esqueça os avisos e continue a usar o TrueCrypt, e não caia na armadilha criada alí para passar a utilizar as ferramentas nativas do Windows, afinal, quem pode auditar o código e dizer sobre BackDoors e fraquezas propositais? Certamente elas existem meus queridos, não sejamos inocentes. “Mas se eu não cometo crime algum, por que deveria temer fraquezas e backdoors que só seriam usadas por governos e pela justiça?” Simples, isso se chama segurança pela obscuridade, ou seja, a segurança é garantida pelo fato de a fraqueza ou BackDoor existente serem um segredo guardado à sete chaves. Hmmm, sei, alguém conhece segredo que nunca é revelado? Nós não. Basta visitar o site Wiki Leaks. ;) Basta um dia vazar o segredo, ou um acadêmico nerd descobrir e usar como tese de mestrado, e pronto, todos os inocentes usuários estarão à mercê de terem suas pseudo-seguranças quebradas. Isso aconteceu com os atuais cartões bancários, ninguém ainda sabe como resolver o problema. É mais ou menos como guardar a chave da sua empresaembaixo do capacho da porta de entrada, ou na floreira :/ não te parece um ato ridículo? Mas tem gente que acha que funciona. 7.3.1 O que são BackDoors e Fraquezas propositais BacksDoors são métodos de “entrada pela porta dos fundos” que podem ser usados para pular etapas de segurança, como o uso da senha, por exemplo. Geralmente são acessos através de portas IP diferentes, ou chamadas de funções, ou outros recursos que permitiriam a usuários conhecedores da backdoor, e possíveis senhas para uso delas, poder eliminar completamente um sistema de segurança qualquer. Fraquezas propositais são mais difíceis de entender, entra-se na seara da matemática, mas podemos dizer que, uma modificação no método de criptografia, ou simplesmente na geração da chave, possa tornar mais fácil um processo de quebra da chave. 7.4 O Bit Coin A moeda mais falada no Mundo Deep é o BitCoin. Uma moeda maluca, que “fisicamente” trata-se de um bloco de dados criptografados que se arrasta pelo internet. Você pode comprar e vender bitcoins no Brasil, mais detalhes em: https://www.mercadobitcoin.com.br/ É usada por que não tem rastreabilidade e não está sujeita a regulagens governamentais. É difícil começar a entender seu funcionamento. Pra começar, nem sabe-se quem a criou, um matemático maluco, com um apelido Japonês, mas que pressupõe-se que nem japonês ele seja. E que depois de que a colocou para funcionar, desapareceu, sem deixar pistas. Revisão nº 91 em 23/06/14 14:54 Pag 36 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil É baseada nas mesmas regras comuns de mercado financeiro global. Cunhagem, demanda e livre mercado. O grande lance é como transitar a moeda! Através da assinatura eletrônica que deve ser feita por softwares específicos. E com isso, usando o bloco criptografado que é “a moeda” em si, uma chave privada sua, e uma chave pública de quem vai receber o valor, a transação passa por um intrincado sistema de validação global por servidores diversos, e o valor deixou de ser teu e passou a ser de outro. Sem que uma pessoa saiba quem é a outra, nem onde estão. Tudo isso feito por softwares públicos com algorítimos públicos e conhecidos, e monitorado pelos próprios usuários. Enfim... coisa de louco. Mas interessa que funciona. Você vai no site do mercado BitCoin, adquire BitCoins, e quando quiser passar a alguém é só usar um software ou o próprio site do mercadobicoin.com.br como “carteira”, passar a chave pública do sujeito (uma enorme salada de letras), dizer o quanto quer transferir a ele... e pronto! Foi! Pra onde? Sabe Deus! O valor atual do BitCoin é cerca de R$ 1500,00 e subindo. Lembro que quando comecei a acompanhar valia cerca de R$ 300,00. Por ser uma valor alto por unidade de BitCoin, as transferências podem ser feitas, não limitadas a centavos, e sim com várias casas depois da vírgula, ou seja, um valor ínfimo pode ser transferido. A empresa mercadobitcoin.com.br, com outras existentes, são bolsas de compra e venda. Elas por si não compram ou vendem a moeda, apenas possibilitam a transação entre Reais e BitCoins. E então cobra taxas a cada compra e venda, ou seja, no câmbio com o Real. A coisa ficou tão séria que já existe uma cunhagem da moeda física e máquinas para compra de moedas de bitcoin. A legislação que regula essas operações é a mesma dos créditos do FaceBook, ou da moeda do Xbox. Mas entenda. Grandes transações em Reais para Bit Coins e vice-versa estão sujeitas às mesmas regras e fiscalizações de quaisquer transações financeiras impostas pelo Banco Central. Por isso muita gente transita tudo fora mesmo. Sem “internar” o valor no Brasil. Este é um assunto de muita polêmica e não é o foco deste documento. Especula-se que nos próximos meses vá sofrer alguma baixa, porque o FBI pretende vender todo bitcoin apreendido com Eric Eoin Marques. Revisão nº 91 em 23/06/14 14:54 Pag 37 de 38 Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil 8 Autores, distribuição e controle deste documento Não importa quem foram os autores e contribuidores para este documento, tampouco como ele possa vir a ser distribuído pela comunidade. Isto por si faz parte da segurança dos que o fizeram, para que ninguém os julgue ou os cobre pelos resultados da aplicação destas práticas. Trata-se de uma compilação de boas práticas de segurança desenvolvidas por pessoas ao redor do mundo. Fica apenas o pedido para que as pessoas propaguem o máximo possível este documento, pois nunca sabemos a quem podemos ajudar, das formas mais indiretas imagináveis. Para um controle, este documento possui um número de versão, assim os usuários poderão saber se estão recebendo alguma cópia mais recente ou antiga dele. A versão é montada pela data: ANO.SEMANAdoANO a exemplo 13.35 → 35a semana do ano 2013. Os usuários que quiserem atualizações, tiverem sugestões, críticas ou adições a este documento, pode entrar em contato pelo e-mail: privacidade@mail2tor.com Convidamos a quem à comunidade a participar e nos ajudar. Estamos estudando um local para hospedar materiais na Deep. Nosso foco é a livre expressão, livre imprensa e um mundo sem censuras políticas. Obrigado a todos os leitores e usuários, e aguardamos seus comentários. Equipe Privacidade Brasil Revisão nº 91 em 23/06/14 14:54 Pag 38 de 38 1 Por que softwares públicos? 2 Que soluções temos aqui? 3 The Onion Router – TOR 3.1 Instalação do TOR 3.2 Usando o TOR Bundle 3.3 Acessando a Deep Web 3.3.1 Temos uma Wiki e fórum em bom português: 3.4 Detalhes sobre a Deep Web 4 Serviços de e-mail 4.1 Criando uma conta de e-mail de segurança 4.2 Acessando sua conta de segurança 4.3 Enviando e-mail 4.4 Mudando a senha 4.5 Use com segurança 5 Usando celulares 5.1 TOR no celular 5.1.1 Rodando o OrBOT 5.1.2 Instalando aplicativos de fora do Google Play 5.2 OrWEB 5.3 Acessando Mail2Tor pelo celular 5.4 Barcode Reader 5.5 ChatSecure 5.5.1 Reiniciando aplicativo 6 Armazenamento seguro de dados 6.1 TrueCrypt foi fechado pelo governo americano 6.2 Instalando o TrueCrypt 6.3 Abrindo volumes TrueCrypt 6.4 Dicas com o TrueCrypt 6.5 Danos durante o uso 6.6 Falhas de segurança do Windows 6.6.1 Abra os arquivos dentro do volume montado 6.6.2 Utilize o LibreOffice 7 Detalhes e teorias de segurança 7.1 Browser TOR Firefox 7.2 E-mail 7.3 O quanto é confiável um sistema de criptografia? 7.3.1 O que são BackDoors e Fraquezas propositais 7.4 O Bit Coin 8 Autores, distribuição e controle deste documento
Compartilhar