tutorial de privacidade nivel1 14.26

Prévia do material em texto

Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Segurança e Privacidade Nível 1
Versão 14.26
Todos queremos privacidade em nossas vidas reais e “virtuais”. Mesmo porque a bem 
da verdade, a nossa vida “virtual” faz parte de nossa vida real.
Documentos trafegados pela internet, mensagens e outros arquivos e informações, 
podem ser tão comprometedores quanto um papel escrito sobre uma mesa.
Este tutorial traz algumas soluções simples e fáceis para você praticar o uso da internet 
com mais segurança e privacidade.
É claro que existem soluções muito mais completas e severas, dependendo do grau de 
risco que o usuário corre, e nível de segurança e privacidade exigidos. A princípio, não se imagina 
uma completa solução de segurança e privacidade usando Windows ou Mac OS. Existem muitas 
distribuições GNU/Linux que rodam a partir de pendrive, e aí sim começamos a estar num “mundo 
perfeito”, entretanto, como mudanças de hábitos são difíceis e devem ser feitas em degraus, aqui 
apresento um conjunto pequeno de mudanças que dão ao usuário, mesmo que usando Windows, um
certo nível de privacidade e segurança, já podendo ser considerado como de altíssimo nível para a 
grande maioria dos usuários comuns. Por isso o qualificamos como nível 1. Outros manuais de 
diferentes níveis logo estarão disponíveis.
Atendendo a algumas críticas construtivas, vamos incluir aqui o texto padrão 
encontrado em todos os documentos que versam sobre o assunto:
“Deixamos claro que não existe solução perfeita. Ninguém pode garantir que usando 
estas práticas mencionadas aqui o usuário esteja livre de ser violado em algum direito básico de 
privacidade, seja por qualquer meio ou ferramenta utilizada para isso.”
Muitos têm criado seus e-mails no Mail2tor, seguindo os passos aqui e comunicado 
conosco fazendo comentários e críticas.
A Equipe Privacidade Brasil é grata aos que estão se manifestando a respeito.
Revisão nº 91 em 23/06/14 14:54 Pag 1 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Sumário
1 Por que softwares públicos?............................................................................................................3
2 Que soluções temos aqui?................................................................................................................4
3 The Onion Router – TOR................................................................................................................5
3.1 Instalação do TOR.....................................................................................................................5
3.2 Usando o TOR Bundle...............................................................................................................7
3.3 Acessando a Deep Web..............................................................................................................8
3.3.1 Temos uma Wiki e fórum em bom português:...................................................................9
3.4 Detalhes sobre a Deep Web.......................................................................................................9
4 Serviços de e-mail.........................................................................................................................10
4.1 Criando uma conta de e-mail de segurança.............................................................................10
4.2 Acessando sua conta de segurança...........................................................................................12
4.3 Enviando e-mail.......................................................................................................................14
4.4 Mudando a senha.....................................................................................................................15
4.5 Use com segurança..................................................................................................................16
5 Usando celulares............................................................................................................................17
5.1 TOR no celular.........................................................................................................................17
5.1.1 Rodando o OrBOT...........................................................................................................19
5.1.2 Instalando aplicativos de fora do Google Play.................................................................19
5.2 OrWEB....................................................................................................................................20
5.3 Acessando Mail2Tor pelo celular.............................................................................................20
5.4 Barcode Reader........................................................................................................................21
5.5 ChatSecure...............................................................................................................................21
5.5.1 Reiniciando aplicativo......................................................................................................25
6 Armazenamento seguro de dados..................................................................................................26
6.1 TrueCrypt foi fechado pelo governo americano......................................................................26
6.2 Instalando o TrueCrypt............................................................................................................27
6.3 Abrindo volumes TrueCrypt....................................................................................................30
6.4 Dicas com o TrueCrypt............................................................................................................31
6.5 Danos durante o uso.................................................................................................................31
6.6 Falhas de segurança do Windows............................................................................................32
6.6.1 Abra os arquivos dentro do volume montado..................................................................32
6.6.2 Utilize o LibreOffice........................................................................................................32
7 Detalhes e teorias de segurança.....................................................................................................33
7.1 Browser TOR Firefox..............................................................................................................33
7.2 E-mail.......................................................................................................................................33
7.3 O quanto é confiável um sistema de criptografia?...................................................................34
7.3.1 O que são BackDoors e Fraquezas propositais................................................................36
7.4 O Bit Coin................................................................................................................................36
8 Autores, distribuição e controle deste documento.........................................................................38
Revisão nº 91 em 23/06/14 14:54 Pag 2 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
1 Por que softwares públicos?
• Software proprietários estão sujeitos à influências. Qualquer empresa de software pode, a
qualquer momento, ter interferências ilícitas, não observadas pelas pessoas em geral, os 
usuários. Ou mesmo lícitas como ordens judiciais ou influências governamentais, 
fiscalizatórias e de censura. Os softwares públicos não têm a figura do DONO do software, 
nem gerência a quem possa se persuadir para incluir back-doors, sistemasde monitoramento
ou vigilância;
• Softwares proprietários são monitorados, em geral, fazem com que o tráfego de seus 
dados passem por concentradores controlados pela empresa que os criou. Ao contrário, 
softwares públicos, em geral fornecem soluções de comunicações, mas não obrigam a se 
conectar a servidores específicos;
• Softwares públicos são verificados e escrutinados pela comunidade diariamente. Nada 
pode ter sido colocado nele sem que seja visto e aprovado por um conjunto de pessoas 
envolvidas no projeto. Pessoas que, no caso desses projetos que são grandes, nem se 
conhecem pessoalmente, e que na maioria das vezes se fiscalizam quanto a seus atos e 
colaborações aos projetos;
• Software públicos não correm o risco de serem retirados do ar repentinamente e sem 
aviso. Uma vez que o código fonte é publicado, como tudo que cai na rede, nunca mais 
alguém conseguiria retirar todas as cópias do ar, a nenhum custo. Pelo contrário, quando um 
software cessa seu desenvolvimento pelo desmantelamento da equipe ou por qualquer outro 
motivo, sempre haverão repositórios que guardarão históricos de tudo que ocorreu quando o 
projeto era vivo. Sempre haverá como baixar e instalar todas as versões dele. E muitas 
vezes, bons projetos acabam sendo readotados por novas equipes ou incluídos como parte de
outros projetos;
• São gratuitos. Não são necessários pagamentos de licenças ou taxas de uso. Não que o 
custo em si represente problema. Mas o simples fato de você pagar por uma cópia de 
software proprietário, que em geral possui número de série e registro, é um sério problema 
de privacidade. Uma vez que pacotes de dados podem estar de alguma forma marcados, ou 
associados a contas e logins em servidores, e estes, pela forma de pagamento, podem ser 
associados à pessoa do usuário. Ou seja, pagou... identificou-se. Se você gosta de softwares 
públicos e tem o interesse de ajudar, existem canais de doações, na grande maioria de forma 
anônima mas com certeza nunca ligando um nome de usuário ao uso efetivo do software.
• Os métodos de encriptação são puros. Houveram casos conhecidos de softwares privados 
que foram obrigados a acrescentar vícios ou fraquezas em seus algorítimos de criptografia, a
bem de facilitar o monitoramento por entidades governamentais. Tal risco não ocorre em 
softwares públicos, ao menos não nos mais conhecidos e utilizados como os citados aqui. 
Pelo simples motivo de que as pessoas envolvidas não aceitam estas práticas e justamente 
estão nestes projetos para garantir as melhores formas de segurança de dados.
Além destas principais existem muitas. Mas para o atual documento, estas bastam.
Revisão nº 91 em 23/06/14 14:54 Pag 3 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
2 Que soluções temos aqui?
A princípio tentou-se atender às necessidades básicas de um usuário comum:
• Conectar-se à internet, para acessar sites e servidores de serviços sem revelar o IP;
• Trocar e-mails, de forma privada, enviando sem revelar ao destinatário a origem IP ou 
identidade pessoal, bem como receber de qualquer origem sem revelar o IP de quem recebeu
os seus dados pessoais;
• Mensagens e trocas de arquivos e voz, nas mesmas formas do Whatsapp e outros 
softwares corriqueiramente usados, entretanto, sem revelar identidade, IP, e com a segurança
de que o conteúdo em criptografado de uma ponta até outra.
• Armazenamento de dados na máquina de forma segura.
• Bons hábitos, ter ferramentas mas não usá-las direito, condena todo um trabalho.
Este documento será editado mais vezes para adicionar novos recursos de segurança.
Mas além das soluções efetivas, contamos aqui com textos que apresentam dicas e boas 
práticas para garantir sua privacidade e segurança de dados e comunicações.
Revisão nº 91 em 23/06/14 14:54 Pag 4 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
3 The Onion Router – TOR
O conceito completo é explicado mais adiante, nos capítulos de teoria. Mas o que 
importa saber aqui é: para que usar TOR?
O TOR é um programa roteador, que isola o usuário do resto do mundo no que diz 
respeito a sua privacidade. De uma forma simples, podemos dizer que você pode acessar qualquer 
site, sem que este site tenha como saber qual o seu IP verdadeiro na internet, portanto sem te 
identificar. Assim como navegador browser, outros programas podem usar o roteamento TOR, e 
desta forma o TOR pode ser usado para isolar outros tipos de serviços.
O princípio básico de funcionamento é que seu pacotes de dados, tanto indo quanto 
voltando vão “pipocar” pela internet, entre muitos usuários exatamente iguais a você, além de 
servidores mais parrudos, desde você até o site que está visitando, e por todo o caminho de volta, 
utilizando-se sempre de complexo sistema de criptografia, que serve não só para proteger os dados 
na ida e na volta, tornando-os ilegíveis aos outros, como também serve para “achar o caminho”, do 
usuário ao servidor, e depois retornando.
3.1 Instalação do TOR
Você pode utilizar qualquer navegador 
que já esteja em seu micro, como o Explorer, 
Firefox ou Chrome, para entrar no site do projeto 
TOR, baixar e instalar.
O site é o link:
http://www.torproject.com
A seguir clique no botão Download 
Tor, na cor violeta.
Logo após, escolha a língua
Portuguesa na caixa de diálogo, e o botão
Download novamente.
Este pacote instala duas coisas ao
mesmo tempo:
ROTEADOR TOR, que faz
efetivamente o trabalho de conexão segura; e
NAVEGADOR WEB Firefox,
derivado do projeto Mozila Firefox, mas
modificado para não passar dados de sua
máquina aos sites, bem como limitado
quanto a Javascript e Plugins, por segurança.
Revisão nº 91 em 23/06/14 14:54 Pag 5 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Uma vez baixado o programa de instalação,
você deve executá-lo, e o windows deve perguntar se
você tem certeza que confia no programa. Clique em
“Run”, ou “Executar” conforme o windows estiver em
português ou inglês, para proceder a instalação.
Em seguida escolha Portuguesa Brasileiro, e
clique OK.
O instalador deve questionar o local
onde será instalado.
Note que o TOR não se instala no
sistema na área de “Arquivo de programas”
como geralmente os software o fazem, e sim ele
sugere uma simples pasta no seu próprio
Desktop (Área de Trabalho). Clique em Instalar.
Isto facilita muita coisa. Não há
registros permanentes, tudo estará nesta pasta,
apagando a pasta nada ficará de resquício no
sistema.
Aguarde a Instalação. Clique em Terminar.
Revisão nº 91 em 23/06/14 14:54 Pag 6 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Ele oferece uma possibilidade de
“Configurar” para quem está atrás de
firewalls que limitem o acesso, ou tenham
dificuldades por políticas de controle de rede.
Mas na grande massa dos casos,
basta clicar em “Ligar”.
Após isso o TOR começará a encontrar os
circuitos de conexão na internet. Ou seja, vai começar a
descobrir por onde poderá “pipocar” os pacotes para você
visitar sites anonimamente.
3.2 Usando o TOR Bundle
Por fim,
você terá o Firefox
aberto.
Agora
poderá navegar com
mais tranquilidade.
Como dito
acima. Este Firefox é
modificado, por default
não tem o Javascript
ativado, nem qualquer
plugin com o Flash, Acrobat Reader, entre outros. Pois todos estes representam falha de segurança.
No capítulo Detalhes e teorias de segurança, na página 33, detalhamos os motivos para 
essas limitações.
Você pode começar a navegar colocando os endereços WEB na barra de endereços, ou 
fazendo pesquisas, na caixinha à direita, que trás resultados pelo site de pesquisas DuckDuckGo.
Revisão nº 91 em 23/06/14 14:54 Pag 7 de 38
Manual de Segurança e PrivacidadeDigital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
O Google pode ser usado, mas não tem resultados de sites ocultos, e possui uma política
própria que restringe muito os resultados. Mesmo que esteja na “Internet de superfície”.
O DuckDuckGo não pesquisa em sites na rede .onion
Após utilizar o browser, basta fechá-lo normalmente.
Este Browser (Firefox) não deixa dados armazenados em áreas coletivas e espalhadas 
pelo seu HD, como os demais. O pouco que deixa fica apenas dentro daquela pasta no Desktop. E 
mesmo assim, logins, senhas e históricos não permanecem. Você deverá se acostumar a lembrar de 
cabeça seus dados de acesso, o que convenhamos, é a única forma segura.
Pode utilizar-se dos marcadores, mas não recomendamos. Tenha um e-mail em servidor 
seguro, na forma de rascunho, como se fosse preparar para mandar a alguém, e faça ali uma 
anotação de seus endereços preferidos.
Para voltar a usar o TOR e Firefox seguro, procure na sua Área de 
Trabalho (Desktop) pela pasta onde foi instalado.
Constantemente o próprio Firefox avisa sobre novas versões 
disponíveis, através de um ícone, uma pequena cebolinha verde à esquerda da 
barra de endereços. Bastará baixar a nova versão e fazer todo o processo 
novamente. Se preferir, antes disso, apague ou simplesmente renomeie a pasta Tor Browser, fazendo
assim uma instalação limpa.
3.3 Acessando a Deep Web
A famigerada e famosa Deep Web, nada mais é do que o conjunto de servidores sujos 
endereços não são terminados em .com ou .com.br ou .co.jp ou qualquer coisa assim, dependendo 
do país. Ao contrário, são todos terminados em .onion, justamente porque nem mesmo é possível 
saber onde se encontram.
A rede Onion, de uma lado protege você, escondendo seu IP verdadeiro como usuário a 
acessar sites e outros tipos de servidores. Mas também é usada para proteger servidores, que 
poderiam ser vítimas de buscas, monitoramentos e fiscalização. Utilizando-se de softwares que 
foram desenvolvidos juntamento ao TOR, é possível colocar no ar um site, e propagar a sua 
existência através de um intrincado sistema de criptografia, para que qualquer um, usando TOR 
possa encontrar este site, trocar dados com ele. Um sem saber onde o outro está. Justo por este 
esquema de criptografia, os endereços .onion tem sempre uma salada de letras, pois ela é a 
fingerprint de encriptação usada para encontrar o site nas “pipocadas” pela internet.
Abaixo alguns sites interessantes a serem acessados:
http://zqktlwi4fecvo6ri.onion/wiki/ - The Hidden Wiki, uma wikipedia dedicada a falar 
da rede Onion, DeepNet e outros assunto. Neste site você encontra muitos links para outros sites, 
desde páginas de assuntos políticos e jornalísticos até sites que descaradamente vendem coisas 
ilegais, como drogas, material de pedofilia, sistemas de fraudes de cartões bancários, assuntos 
Hacker em geral. Pois justo o anonimato da rede acaba permitindo a existência disso tudo sem um 
grande medo por parte dos participantes. Então a única parte “diabólica” tão falada da Deep Web é 
tão somente essa, o conteúdo que você pode vir a encontrar. A gente só vê o que procura. Não 
Revisão nº 91 em 23/06/14 14:54 Pag 8 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
procure o que você não quer ver... ou vai acabar encontrando filmagens de assassinatos, mutilações, 
e outras coisas terríveis. Alguns dizem perder o sono tranquilo por dias depois de assistir a cenas 
assim.
Nesta mesma Wiki, você encontra links sites de buscas para encontrar outros sites na 
DeepWeb. Tais como:
http://ahmia.fi/ Site de pesquisa. Este site pode inclusive ser visitado através da Web 
comum, usando navegador comum. Mas os links que ela repassa são da Deep Web, ou como pode 
chamar, Hidden Services. Por isso você pesquisaria mas não abriria sem um TOR Bundle.
http://kbhpodhnfxl3clb4.onion/ Tor Search – Outro site de pesquisa, mas este já somente
é acessível pela Deep Web mesmo.
http://xmh57jrzrnw6insl.onion/ Torch, Site de pesquisa.
http://ndj6p3asftxboa7j.onion/ TOR Find . Site de pesquisa.
http://zbnnr7qzaxlk5tms.onion/ Wiki Leaks – o famoso site que deixa a Casa Branca de 
cabelo em pé vazando informações secretas de inteligência e ações ocultas do governo americano.
http://am4wuhz3zifexz5u.onion/ TOR Library, uma biblioteca de livros e documentos 
que em geral podem ser cópias ilegais, ou proibidos em alguns países. A exemplo, tem uma seção 
de, como escrito no site: “Livros banidos de escolas americanas – Sim, em 2014 o regime fascista 
americano ainda bane livros de suas escolas”. O incrível é que alguns livros banidos aí são 
simplesmente poesia!
3.3.1 Temos uma Wiki e fórum em bom português:
http://4jyormxjygqe4ybt.onion/ - KOX Wiki - Porém para começar a ler é necessário 
fazer cadastro. Portanto recomendo que antes de tudo crie seu e-mail em algum serviço de e-mail 
TOR, como o mail2tor.com e depois faça seu cadastro aqui para começar a brincar.
http://4jyormxjygqe4ybt.onion/ - Fórum Cosa Nostra – muito organizado e mantido 
com respeito entre os usuários. O moderador sempre se faz presente e já é uma referência na 
Brazuka na Deep. Recomendo.
3.4 Detalhes sobre a Deep Web
Não se decepcione, a quantidade de links que simplesmente não abrem é gigante. 
Afinal, é uma briga de gato e rato. Sites entrando e saindo do ar o tempo todo. O próprio Hidden 
Wiki já publica em seu início mais outros endereços de reserva caso o principal deva ser 
temporariamente removido, por segurança ou “força maior”.
Não se decepcione, a participação de brasileiros parece pequena com poucos fóruns 
brasileiros. Ocorre que, na verdade, todas as pessoas, de qualquer país, acabam por usar o idioma 
Inglês para usar e se comunicar na Deep Web, não é que toda a massa da Deep Web seja americana, 
é que você tende a ver informações, sites e documentos em Inglês, não importando de que país 
sejam seus criadores. Se você pensar, isso garante até mais segurança a eles. Ora venha, se você 
coloca um site no ar no bom Português, com gírias e vícios de linguagens comuns do Rio, comecei 
a reduzir meu spot de pesquisa sobre quem é você a um pequeno território do Estado RJ!
Revisão nº 91 em 23/06/14 14:54 Pag 9 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
4 Serviços de e-mail
4.1 Criando uma conta de e-mail de segurança
Não adianta querer usar a internet ocultando seu IP, mas utilizando provedores de e-
mails que não possibilitam o anonimato total. Abaixo um exemplo de um site muito utilizado pelo 
mundo anônimo da internet. Existem muitos outros, citados nos wikis.
Inicialmente você entre num site que está na internet superficial (.com). Este site é 
apenas uma página de informações to Mail2TOR. Não é nele que está o servidor (ou servidores) 
que envolvem efetivamente o serviço.
Após isso você vai encontrar o link para o servidor que realmente dá acesso ao webmail.
É um link para a rede .onion, portanto deepweb.
Revisão nº 91 em 23/06/14 14:54 Pag 10 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Somente aí você realmente acessou o servidor com o webmail. Utilize o botão 
[Register] para abrir uma nova conta.
Então tente criar
um login que ainda não
exista. Digite a senha e
confirme.
Digite as letras
segurança Captcha.
E clique em
submeter pedido, em alguns
casos aparece [Submit]
Após isso, virá uma mensagem dizendo que sei e-mail foi criado com sucesso, ou que o 
login digitado já existe, neste caso deverá fazer novamente tentando outro login.
Note, não pedem identificações ou e-mails secundários, nem n de telefone.⁰
Revisão nº 91 em 23/06/14 14:54 Pag 11 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
4.2 Acessando suaconta de segurança
Volte então à tela anterior
Utilize agora o botão [Login]
para logar com sua nova conta.
Agora você poderá digitar seu login e senha para acessar sua conta anônima. Não 
precisa colocar o @mail2tor.com , apenas o seu login mesmo, conforme digitou ao criar.
Abaixo a tela que você deve ver de seu WebMail.
Revisão nº 91 em 23/06/14 14:54 Pag 12 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
O software de servidor de webmail utilizado por eles é o SquirrelMail. Trata-se de uma 
consagrada interface utilizada há anos por toda a comunidade. Ela se caracteriza por ser 
extremamente leve, simples de usar e sem requerer recursos especiais do navegador, como Plugins 
ou mesmo JavaScript. Lembre-se estes recursos são restringidos no Firefox para TOR. Basicamente,
apenas HTML.
À esquerda, na barra azul, temos o horário da última atualização desta página. E para 
você atualizar, ao invés de utilizar o batão atualizar do navegador, utilize o link [Check mail].
Em seguida, ainda na barra azul temos as suas pastas, clicando nelas a janela principal 
vai alternar o conteúdo, mostrando o que possuem:
• INBOX, a caixa de entrada, onde ficam os e-mails recebidos;
• Drafts, os rascunhos de e-mails ainda não enviados, mas já iniciados. Isto é muito usado 
como área de guarda de informação. Você inicia e-mails, que não serão enviados para 
ninguém, apenas para guardar textos, logins e senhas etc. Ou arquivos anexos encriptados. 
Fazendo do e-mail uma espécie de Drive Virtual;
• Sent, os e-mails já enviados; e
• Trash, a lixeira. Que geralmente ninguém deixa com conteúdo. Sempre apaga por segurança.
Na janela principal temos um cabeçalho que não alterna com as pastas. É onde temos 
algumas ferramentas:
• Compose, para compor um novo e-mail;
• Addresses, onde você pode fazer uma agenda de endereços de amigos;
• Folders, onde você pode editar suas pastas, criando novas, apagando etc.;
• Options, onde acessa algumas configurações do ser serviço de e-mail, tais como visual da 
tela, assinatura padrão, entre outros serviços;
• Search, para pesquisar nos seus e-mails; e
• Help, uma ajuda para o uso.
Na área do conteúdo da pasta você pode abrir e-mails clicando sobre seus assuntos, em 
azul.
Pode selecionar mensagens e fazer algumas atuações com elas, como mover entre 
pastas, apagar, marcar como lidas ou não-lidas entre outras ações padrão que sempre temos por aí, 
em outros serviços.
Como podemos ver. É um serviço bem completo.
Também é acessível via SMTP (para envio) e IMAP (para verificar) mas somente 
softwares com a capacidade de conecta vir TOR, usando SOCKET4a e SOCKET5 poderiam fazê-
lo, pois os endereços de SMTO e IMAP estão no domínio .onion também... é claro!
Revisão nº 91 em 23/06/14 14:54 Pag 13 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
4.3 Enviando e-mail
Clique em Compose, preencha com o endereço ou endereços do(s) destinatário(s), o 
assunto, escreva seu texto.
Para anexar arquivos, clique em [Procurar...], a janela padrão de explorador de seu HD 
deve abrir, selecione um arquivo. E em seguida, não esqueça de clicar em [Add], pois somente 
assim o arquivo irá para o servidor. Isto pode demorar um pouco.
Então você poderá observar o nome do arquivo na lista abaixo. Confira seu tamanho, 
para saber que ele subiu corretamente.
Para apagar arquivos da lista, depois de ter subido, basta marcar o quadradinho e clicar 
em [Delete selected attachments].
Para, enfim, enviar o e-mail, clique em [Send].
Sua mensagem chegará ao destinatário com o endereço:
seu_login@mail2tor.com , onde seu_login será o login utilizado.
Qualquer e-mail enviado a este endereço será recebido aqui.
Revisão nº 91 em 23/06/14 14:54 Pag 14 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
4.4 Mudando a senha
Fora do seu e-mail (deslogado), encontre o link “Change you password”.
Você então obterá a tela para mudar a senha
Preencha o formulário:
• Seu login (não precisa colocar o @mail2tor.com);
• Sua senha atual;
• Sua nova senha;
• Confirme a senha para evitar erros de digitação;
• As letras de segurança Captcha;
• E clique em [Submeter pedido]
Verifique a imagem abaixa para melhor entendimento.
Revisão nº 91 em 23/06/14 14:54 Pag 15 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
4.5 Use com segurança
Não esqueça que o anonimato de sua conta é garantido pelo conteúdo de suas 
mensagens. Se você envia e-mails para pessoas, e nestas mensagens você explicita a sua 
identificação pessoal, caso alguém tenha acesso a estas mensagens, facilmente vai ligar você a esta 
conta, e a todas as mensagens recebidas e enviadas a este endereço de e-mail.
Alguns recomendam o uso de nick-name (apelidos), para que somente quem 
pessoalmente te conheça possa saber de quem se trata. Mas isso é uma segurança fraca. Quem tem 
maior entendimento usa assinatura eletrônica baseadas em chaves públicas em servidores públicos 
de chaves.
Talvez essa não seja sua preocupação, o anonimato, mas ao menos o seu IP verdadeiro e
os locais físicos de onde você utilizou este serviço de e-mail estão resguardado pelo uso do TOR.
Ao baixar arquivos, principalmente PDF, HTML, e arquivos de Office, ou seja, 
praticamente tudo! Não abra com conexão internet ativa. Esta é uma recomendação da equipe que 
faz o TOR Bundle para qualquer arquivo baixado da internet. Pois eventualmente arquivos como 
estes podem enviar pacotes de dados para a internet, diretamente, sem passar pelo roteador TOR, 
revelando o seu IP verdadeiro.
Mais boas práticas de segurança podem ser vistas no capítulo Detalhes e teorias de 
segurança, na página 33.
Revisão nº 91 em 23/06/14 14:54 Pag 16 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
5 Usando celulares
Muita coisa pode ser feita mesmo usando celulares. Melhor se você puder Rootar seu 
celular ou instalar alguma Mod da comunidade como a CyanogemMod ou coisa assim.
Mas... este tutorial aqui é para um público mais leigo e simples. Portanto não vamos 
contar com tudo isso.
5.1 TOR no celular
Vamos focar no Android,
porque francamente, se você queria ter
privacidade não usaria um iPhone :D
Brincadeiras a parte,
mesmo o Android tendo alguns
problemas quanto à privacidade, o
primeiro passo é usar Android, e
depois passar a usar uma Mod segura
feita comunidade.
O Roteador para Onion
para Android é o OrBOT. Encontre-o
no Play Store.
Então você terá o Tor
Bundle instalado em seu celular, pode
encontrá-lo nos aplicativos, de uma forma muito comum, uma cebolinha verde. E o navegador será, 
após instalado, um planeta com halo verde.
Após isso, escolha a língua,
Portugês Brasileiro, e comece a
configruar.
Revisão nº 91 em 23/06/14 14:54 Pag 17 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Ele avisa que o simples uso do
OrBOT não deixa anônimo todo o tráfego
de seu celular. É necessário que os
aplicativos utilizem o roteador TOR para
conectar-se à internet. Toque em
[Seguinte]
Agora ele pode acesso a Super
Usuário, o Root, digamos que você não
seja este tipo de pessoa que rooteou seu
aparelho, preencha a caixinha de “I
understand and would like continue …”
Significa que você entende e
vai continuar sem ser super usuário.
Na prática, se você tivesse
acesso root de seu celular, ele poderia
fazer com que TODO O TRÁFEGO fosse
roteado pela rede onion. E com requintes
de crueldade, você poderia escolher que
aplicativos passam ou não pelo TOR.
Bem, esquecendo disso, preenchendo a
caixinha e aparecerá um aviso, explicando
justo isso. E que Aplicativos específicospodem fazer uso do OrBOT, usando
portas HTTP e SOCKS.
Depois dará sugestões de
downloads de alguns aplicativos.
Note que neste caso não serão baixados pelo Play, e sim
diretamente de sites acreditados pelo OrBOT. O que é mais seguro.
Recomendamos que beixe os 2 primeiros, para começar.
O OrWEB é um navegador simples, mas que navega pela
DeepWeb.
O segundo é o nosso grande foco. Trata-se do ChatSecure, um
aplicativo para mensagens instantâneas.
Toque em ambos para iniciar o Download. Ficará baixando na
barra de notificações.
Clique em terminar.
Revisão nº 91 em 23/06/14 14:54 Pag 18 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
5.1.1 Rodando o OrBOT
Após a configuração, e toda vez que você iniciar o OrBOT, caso ele não conecte 
sozinho, é necessário tocar e segurar por um tempo o grande botão de ON-OFF no meio da tela.
Após isso o Robozinho vai começar a levantar os braços.
Haverá um tempo até ele estabelecer os circuitos e por fim estará conectado.
Costuma funcionar muito bem até mesmo em 2G.
5.1.2 Instalando aplicativos de fora do Google Play
Por definição o Android só instala aplicativos baixados
pelo Google Play. Ocorre que para nossa segurança é preferível
instalar os aplicativos diretamente dos sites dos desenvolvedores,
dados pelo link do OrBOT. Nos botões lá durante sua configuração.
Ao tocar nos downloads assim que estiverem terminados,
ele vai avisar justo isso. E em muitos casos já levar para a tela de
configuração do Android para permitir instalações de outras fontes.
Revisão nº 91 em 23/06/14 14:54 Pag 19 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
5.2 OrWEB
O nosso navegador web pela rede Onion é simples, mas faz
o necessário para você não se expor tentando usar WEB.
Ao abrir, ele deve apresentar uma tela como essa. Ou
trocando para Português do Brasil e tocando em [Go] deva apresentar.
Essa tela não é a toa, assim como a tela principal do TOR
Bundle, no micro diz ao abrir, essa tela confirma que você está
circulando por uma rede TOR.
5.3 Acessando Mail2Tor pelo celular
Da mesma forma que no
micro, entra-se no site comum:
http://mail2tor.com
E clica-se no link para o site da
deep web.
Depois teremos o botão de
login. Talvez seja necessário arrastar a tela
para os lados pois o site fica grande. Mas o
botão vai estar lá.
E então entrar com o login e
senha. Da mesma forma.
Com certeza senhas complexas
vão ser chatas de digitar no teclado da tela
do aparelho.
E voilà... Temos o mesmo site aqui.
Mantenha os mesmos cuidados com
arquivos baixados. Geralmente são armazenados
no /sdcard0/Downloads do aparelho.
Revisão nº 91 em 23/06/14 14:54 Pag 20 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
5.4 Barcode Reader
Parece estranho, mas o ChatSecure, para facilitar o uso,
utiliza-se de um gerador/leitor de códigos de barras... na verdade, de
QR-code.
Ocorre que ele vai usar para mostrar e ler as chaves públicas
entre aparelhos próximos para confirmar legitimidade de encriptação,
isso será explicado mais adiante.
Procure pelo Barcode zxing. E instale o aplicativo.
5.5 ChatSecure
O ChatSecure é um Instant
Messenger. Não é como o nojento MSN-
Skype, ou FaceBook Messenger. Pois ele
o faz de forma criptografada PONTA-A-
PONTA, ou seja, criptografa deste o seu
celular até o celular do destinatário. Nem
os servidores do meio do caminho
conseguem desvendar o conteúdo.
Ao abrir pela primeira vez,
deve pedir uma senha. Ela não é para
nenhum servidor, é para encriptar as
configurações do aplicativo em si. Você
tem a opção de não usar senha, tocando
em “I'm Lazy...” mas com senha,
garante-se que se seu aparelho for parar
em mãos erradas, não terão os dados de acesso às suas contas. Em, seguida ele deve aparecer assim,
em branco ou com um texto dizendo que não tem contas cadastradas ainda.
Toque no meio da tela, ou no + acima, e escolha Creating Account, para criar uma nova 
conta. Caso já não tenha uma sua.
Então tente criar um usuário que ainda não exista. Ele já sugere o servidor dukgo.com, o
que também concordamos em ser um bom servidor.
Digite uma senha, confirme a senha, ticke a caixinha Connect via Tor, assim, até mesmo
a criação desta conta será feita sem revelar seu IP.
Revisão nº 91 em 23/06/14 14:54 Pag 21 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Toque nas engrenagens
para rever os dados da conta. E
novamente ative a conexão via Tor.
Não será necessário fazer isso
novamente, agora esta opção ficará
armazenada.
Não use o botão verde..
não sei porque, as vezes parece que
não conecta direito. Apenas use seu
botão VOLTAR do seu aparelho e
retorna à tela anterior.
Em seguida use o botão de
liga-desliga ao lado da engrenagem
E então no nome da conta
para ver a sua lista de amigos, que deve estar vazia, é claro.
Toque no cadeado bem no canto esquerdo, para
abrir um menu. E neste use a opção Adicionar contato, para
procurar um novo contato e solicitar que adicione.
Do outro lado deverá aparecer uma janela
avisando do pedido de adicionar, responder OK, e um terá ao
outro em suas listas, como qualquer messenger.
Revisão nº 91 em 23/06/14 14:54 Pag 22 de 38
1
234
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Inicialmente virá
um cadeado aberto e uma borda
de aviso vermelha, e todas as
suas mensagens marcadas com
tarja vermelha ao lado.
Significa que,
apesar de você estar acessando
os dados via TOR, o que
garante privacidade do IP e
dados até o servidor e voltando,
as mensagens em si estão
abertas.
Toque no cadeado
aberto e use a opção Star
Encription para solicitar
encriptação. A janela tomara
um tarja amarela.
A partir deste momentos os
aparelhos vão trocar entre si as suas
chaves públicas e com elas vão passar a
criptografar tudo de ponta-a-ponta.
Isso significa que o
aplicativo ACREDITA que está existindo
uma encriptação de ponta-a-ponta, mas
ainda não tem certeza.
Isto porque podemos estar
sofrendo uma influência chamada Men-
In-The-Middle, em que algum
dispositivo no meio do caminho poderia
estar trocando as chaves por chaves
próprias e fazer uma ponte entre eles. E
este dispositivo estaria vendo abertas todas as suas mensagens.
Até aqui, para mim, estaria suficiente, mas como esse programa é coisa de paranoia, 
rara garantir que isto não está ocorrendo, é possível garantir que cada aparelho tem realmente a 
chave pública do outro, e ninguém se meteu no meio e colocou outras.
Para isso toque no cadeado, abra o menu novamente, e peça para mostrar o FingerPrint, 
ou seja, um resumo de sua chave pública.
E aqui entrou o BarCode Reader, gerando uma imagem da sua chave para ser lida pelo 
amigo.
Revisão nº 91 em 23/06/14 14:54 Pag 23 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Do outro lado o seu amigo
deve tocar no cadeado (amarelo) e
solicitar a opção Verify Key.
Então aparecerá a chave
que tem e algumas opções de verificar
a chave. Uma manualmente, outra por
leitor de barras, outra por pergunta e
resposta. Esta última pode ser usada
quando existe uma pergunta e uma
resposta previamente combinada entre
amigos.
Na opção manual, basta
voc^e dar uma verifica no número
apresentado no aparelho do amigo, e ver
se confere com a chave aqui. E clicar
em OK.
Na opção Scan QR, vai abrir
o leitor de código de barras e ao fazer a
leitura, dará o mesmo resultado.
Apresentando em seguida a tela verde, o
cadeado verde, e todas as mensagens
dali em diante com a tarja verde.
Aí o programa paranoico
finalmente está tranquilo que não tem
como ninguém “ouvir” no meio do
caminho.No clips, você conta com opções de envio de arquivos em geral, de imagens, tirar fotos, 
ou enviar trilha de som. E TUDO será enviado encriptado de ponta-a-ponta, e ainda dentro das 
encriptações do TOR, com IP ocultos e tudo mais... Pouquinho né? Eeheh
Mas... o de sempre. Tome cuidado com o que recebe, vai ficar no aparelho. Caso 
represente risco, você criptografar os arquivos, mover para local seguro ou apenas apagar.
Revisão nº 91 em 23/06/14 14:54 Pag 24 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
5.5.1 Reiniciando aplicativo
Caso alguma vez corrompa o arquivo de configuração do
ChaSecure e ele não aceite mais sua senha ou não consiga abrir suas contas,
apague os dados do aplicativo, não é necessário desinstalar, apenas vá no
meno do seu aparelho, em:
Configurar>Aplicativos>ChatSecure>Limpar dados
Isto pode variar um pouco de um aparelho para outro. E volte a
configurar suas contas.
Revisão nº 91 em 23/06/14 14:54 Pag 25 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
6 Armazenamento seguro de dados
Muito bem. Você navega com segurança na rede. Tem sua identidade preservada, 
conversa com amigos de forma segura, troca mensagens e e-mails, troca arquivos em geral, tudo 
com muita segurança e privacidade.
- Mas aí eu pergunto: e se seu micro cair em mãos erradas? E aquele seu pendrive que 
você nem lembra onde pode ter deixado, com quem está? Tantas outras situações, digamos, ruins.
6.1 TrueCrypt foi fechado pelo governo americano
Recomendamos o software TrueCrypt
Com ele você pode criptografar partições inteiras, fazer muita coisa. Usando bibliotecas 
públicas, sem segredos para a comunidade.
No site oficial, diz que desde o mês de Maio de 2014 o projeto acabou. Não ligue para 
os avisos. Leia no capítulo O quanto é confiável um sistema de criptografia?, na página 34 para para
entender o que está acontecendo de verdade.
Fato é que como nem NSA nem FBI quebram essa coisa, eles persuadiram os 
desenvolvedores a encerrar o projeto. Mas como o software é público, muita gente tem o código 
fonte, estamos esperando o negócio se rearranjar. Até lá utilize a última versão sem restrições, 
a 7.1a, que por sinal, está um pouco difícil de achar. 
Mas estamos encontrando nos links abaixo:
http://filehippo.com/download_truecrypt/tech/11601/ 
http://www.filehorse.com/download-truecrypt/ 
http://www.heise.de/download/truecrypt.html 
http://www.updatestar.com/directdownload/truecrypt/2077200 
entre outros locais. E ainda existem sites ensinando a compilar o código fonte, ou seja. 
A NSA somente dificultou um pouco. Para isso temos tutoriais como este aqui :)
Nota desde a versão 14.24: Conforme previsto, o pessoal iria se organizar para 
continuar o projeto. Estão hospedando um novo site na Suíça, fora da jurisdição e dos efeitos da 
NSA. E com isso estão começando de onde estava parado. Com novo pessoal e todos públicos.
https://truecrypt.ch/
Downloads aqui, mas ainda a versão 7.1a mesmo:
https://truecrypt.ch/downloads/ 
Revisão nº 91 em 23/06/14 14:54 Pag 26 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
6.2 Instalando o TrueCrypt
Uma vez encontrado o bendito instalador,
guarde bem e aproveite para passar para os amigos!
Eheheh
Execute o instalador da forma de sempre,
clicando em Next, next next, até ter a janela de
instalação terminada.
Depois eles pedem uma doação, eu até
iria insistir para todos ajudarem, mas como não
existem mais... vai ficar sem nossos centavinhos.
Por fim sugerem a leitura de um tutorial 
de uso. É claro que recomendo.
Mas se quiser deixar para depois clique
em No
E então clique em Create Volume, para
criar um arquivo de volume virtual.
Revisão nº 91 em 23/06/14 14:54 Pag 27 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Então teremos a página para escolher
o que ser feito.
Por hora vamos ensinar o básico,
criar um volume virtual simples. 
Neste caso será criado um arquivo, e
este arquivo, quando usado pelo programa será
como um pendrive conectado à máquina,
gerando uma letra de drive a mais no seu
computador, como F: ou G:
Existe a possibilidade de criar com
duas senhas, onde a primeira abre um pedaço com
coisas que você coloca pra abelhudos verem, e a
segunda realmente abre o que quer ocultar.
Isto propicia uma segurança extra
para casos de coação. Mas por hora, usamos a
simples mesmo. Deixe a primeira opção
selecionada e clique em Next>
Então clique em Select File... e vai ter
a janela padrão do Windows para navegar entre os
arquivos e dar um nome a um arquivo NOVO.
NÃO É PARA ESCOLHER O QUE
VOCÊ DESEJA CRIPTOGRAFAR. E sim é o
nome de arquivo que será criado, o que
chamamos de arquivo imagem, ou volume. Ou
seja, um arquivo que não existe. Sugerimos que
coloque um nome com o final .avi, mais adiante é
explicado o motivo.
Você só vai mexer com seus arquivos
para criptografá-los DEPOIS de volume montado,
na página 30.
A seguir clique em Next >
Esta página é bem técnica, é sobre os
tipos de criptografia, tamanho de chave etc...
Basta clicar em Next >
Revisão nº 91 em 23/06/14 14:54 Pag 28 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
A seguir o tamanho deste arquivo.
Costumo usar arquivos continentes de vários
tamanhos.
Desde muito pequenos, na ordem de
300kbytes, suficientes para colocar-se arquivos
de documentos e transitar pela internet como
anexos de e-mails sem problema. Arquivos
grandes dão problemas demais.
E chego a usar arquivos na ordem de
2 ou 4 GBytes para aí sim guardar pastas inteiras de coisas importantes. E mesmo assim são bem 
portáveis em pendrives e repositórios nas nuvens.
Depois escolha uma senha. Procure
fazer grande (20 caracteres ou mais) e usar letras
maiúsculas, minúsculas, números e até símbolos
com @#$%& são aceitáveis.
Se você escolher uma senha curta e
muito simples, ele te alertará, mas se quiser
insistir haverá a opção de ignorar aviso.
Clique em Next >
A seguir ele vai tentar
gerar uma chave. Movimentando o
Mouse você vai ajudar a criar uma
chave mais aleatória, quando mais
randômica a chave, mais segurança.
Clique em Format, e
acompanhe a criação do volume.
Claro de o tempo depende do
tamanho do volume. Pois ele vai
encher de dados aleatórios para assegurar que quem veja o arquivo sem abrir não tenha ideia de 
onde começam os dados gravados e onde tem-se apenas “sujeira” no volume.
Volume criado, ele pergunta se quer 
fazer um próximo volume (Next >) ou chega de 
fazer volumes e volta à tela principal.
Revisão nº 91 em 23/06/14 14:54 Pag 29 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
6.3 Abrindo volumes TrueCrypt
Clicando em Select File encontre o
arquivo que você deseja abrir.
Em seguida escolha uma letra de drive,
tipo G: H: F: qualquer uma delas para “espetar” o
seu pendrive virtual.
Sim, agora você entendeu que pode abrir
muitos volumes ao mesmo tempo! Isso é ótimo para
transitar arquivos de uns aos outros sem usar locais
temporários diretamente no HD.
Clique duas vezes na letra desejada ou
clique no botão Mount.
Digite a senha. E em seguida retornará à
tela principal, apresentando as informações do
volume montado.
Voilà, é como se tivesse espetado um 
pendrive no micro. Porém para remover, aquela 
função do Windows não serve. É necessário usar o 
botão Dismount, ou Dismount All para desmontar 
tudo que estiver no momento de uma só vez. Não esqueça de fechar editores e programas que 
estejam usando os arquivos aí dentro antes de desmontar.
Uma vez montado, é
como um pendrive. Você pode
navegar normalmente, criarpastas,
arquivos etc. Abrir com os programas
normais com Word Excel etc.
Arrastar arquivos e pastas
para fora e para dentro, enfim, como
faria com um pendrive.
Revisão nº 91 em 23/06/14 14:54 Pag 30 de 38
2
1
3
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
6.4 Dicas com o TrueCrypt
O TrueCrypt não possui
extensão própria para seus arquivos,
então não adianta clicar sobre eles que
o TrueCrypt não vai abrir e pedir a
senha. Isto até é mais uma segurança.
No exemplo, como
coloquei a extensão .avi, ao clicar
sobre o arquivo de volume criado, o
windows tentou ler usando o Media
Player que, é claro, acusou erro.
Bom usar .avi porque o Media Player não corrompeu meu arquivo. Já vi casos que a 
pessoa colocou .doc e alguém acabou abrindo com o Word ou Wordpad e estes acabaram por 
corromper o arquivo, danificando-o definitivamente.
O legal é que você pode manter cópias de segurança muito facilmente! Basta copiar o 
arquivo volume, dar Control-C Control-V , arrastar para pendrive, subir para sites de drive virtual, 
enfim, como qualquer arquivo. Por isso gosto de criar volumes pequenos.
MAS ATENÇÃO, faça estes tipos de ações com o arquivo DESMONTADO, fora de uso.
Outra dica boa é: se você quer, por exemplo, vários arquivos volume de 1 MB, não 
precisa fazer aquele processo de criação um por vez. Basta fazer um e copiar e colar várias e várias 
vezes! O Windows mesmo vai dando nomes sequenciais para as cópias. Em míseros segundos você 
por ter dezenas de arquivos de volumes para usar. Depois só ir renomeando para você se organizar.
6.5 Danos durante o uso
Não sei quanto aos outros. Mas eu uso há anos e já aconteceu de tudo um pouco. Acabar
bateria de note, desligar micro da tomada, travar sistema completo enfim. Muita coisa.
Não sei se é porque uso Linux com sistemas de arquivos mais eficientes que o NTFS ou
FAT32, mas absolutamente NUNCA tive um problema de um volume não abrir mais. Sempre estava
lá.
De qualquer forma, recomendo uma política de backup com uma disciplina muito 
rígida. Arquivos podem se danificar no próprio HD em si, ou pendrive usado, para conter o volume,
e o TrueCrypt não faz milagres. Fora outras intervenções externas possíveis. Alguém pode 
simplesmente “esbarrar” e apagar um arquivo volume teu não entendendo porque o maldito video 
não funcionava! Sem saber de que se tratava o arquivo. Ou tentar abrir com um aplicativo tipo 
Word, o lazarento, quando abre um arquivo já o modifica de cara.
Enfim, seja prudente. Apenas a disciplina garante segurança.
Revisão nº 91 em 23/06/14 14:54 Pag 31 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
6.6 Falhas de segurança do Windows
Sendo muito paranoico, quando você usa arquivos no Windows, seja num pendrive 
comum ou num volume montado, ao abrir num editor, ele pode deixar resquícios do arquivo em 
área de memória virtual e espaços temporários.
Coisa que é fato vencido no Linux, onde até a partição Swap (memória virtual) pode ser
criptografada. Além dos /homes dos usuários, onde possam existir os arquivos temporários criados 
pelos programas, também podem ser criptografados.
Bem, no Windows, nada disso é assim, e se você usar as soluções de criptografias da 
própria Microsoft, ninguém vai te afirmar sobre a credibilidade da criptografia.
Mas acredito que isso não seja preocupação para a grande massa dos usuários. Usar 
essas práticas aqui já aumenta em muitíssimo a segurança comparando com os usuários que 
costuma-se ter por aí.
A seguir alguns conselhos simples:
6.6.1 Abra os arquivos dentro do volume montado
Não fique trazendo para fora, para editar e depois voltar para dentro do volume. Mesmo 
quando apaga-se um arquivo, até os iniciantes já sabem, podem ser facilmente “desapagados”. 
Então se você tem um arquivo .doc ou .txt ou qualquer coisa assim, abra-o e edite dentro do volume
criptografado mesmo. Salve e fim.
6.6.2 Utilize o LibreOffice
Largue mão de usar o MS Office. O Libre Office é gratuito, você pode instalar em 
quantas máquinas quiser, sem custos e sem incorrer em ilegalidade. Pessoalmente todos a quem 
mostrei o Libre Office, depois de um tempo o encaram como mais fácil de usar que os da Microsoft.
Inclusive a suite é mais completa, tendo Editor de texto, Planilha de cálculo, Apresentador, Base de 
dados e até um editor tipo Draw, que o MS-Office não tem. Exporta PDFs sem plugins e segue as 
normas internacionais mais rigidamente. Pode exportar PDF híbrido, em que o próprio PDF contém
o arquivo original (PDF+ODF), assim o PDF é editável tal qual um .docx ou .odt.
Segue exigências que nem o MS-Office segue. Inclusive, trabalhos acadêmicos, se 
seguir à risca as normas, não poderiam ser editados por MS-Office, apenas LibreOffice e outros de 
código aberto, pelos formatos de arquivos não seguidos propositalmente pela empresa de Redmond.
O Libre Office é um software público e sabemos que não contém meios de espionagem.
Revisão nº 91 em 23/06/14 14:54 Pag 32 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
7 Detalhes e teorias de segurança
Aqui temos um pouco do blábláblá teórico sobre segurança de dados. Daqui pra frente 
leia por diversão e para um melhor entendimento sobre o mundo que você está querendo entrar.
Esta seção ainda está meio pequena. Pretendemos ampliá-la muito. Pois de nada servem
as ferramentas se não são usadas corretamente.
7.1 Browser TOR Firefox
Conforme comentado no capítulo Usando o TOR Bundle, na página 7, p recurso de 
JavaScript não vem habilitado, e não existem plugins comumente usados instalados.
O Javascript pode ser habilitado nas preferências, e os plugins podem ser instalados. 
Mas esteja ciente que plugins como o Flash podem acessar DIRETAMENTE dados na internet, bem
como enviar pacotes de dados. O acesso por si já seria suficiente para denunciar o seu IP a um 
servidor. Este método foi utilizado para conseguir encontrar e prender Eric Eoin Marques, na 
Irlanda. Ele cometeu uma falha de segurança como essa. Mas vale ressaltar que era uma busca 
implacável, que há anos a Interpol fazia a este criminoso facilitador da pedofilia. Lembramos que 
Eric não tinha ligações com o desenvolvimento do TOR e suas soluções, muito menos os ideais que 
cercam o projeto TOR.
7.2 E-mail
Tenha muito cuidado. Não é porque você agora é um “Hacker do Car@#$% !” e tem 
uma incrível conta de e-mail na famosa e temida DeepWeb que você está “à prova de balas”.
Não adianta querer usar a internet ocultando seu IP, mas utilizando provedores de e-
mails que não possibilitam o anonimato total.
Caso você entre no gMail via TOR, ele somente possibilitará o uso depois de uma 
confirmação por telefone ou SMS, ou outro meio que indubitavelmente incorra num rastreio da 
conta versus uma pessoa física conhecida um Social Insurance ou um CPF (no caso do Brasil).
Alguns utilizam telefones cadastrados com CPF alheio para isso, mas além de ser uma 
prática ilegal, ela é ineficiente. Todo telefone, por mais simples que seja é georeferenciado hoje em 
dia. Ou seja, não adianta usar um aparelho tipo Intelbras simplezinho ou Nokia velho. 
Absolutamente TODOS ELES possibilitam a verificação da sua localização com poucos cliques. 
Existem até mesmo serviços e aplicativos na Google Play e Apple Store que vendem este recurso 
para pessoas comuns! Imagine se você teme por perseguição política ou governamental.
Por isso utilizamos serviços de e-mail que não pedem absolutamente nenhum dado 
pessoal. Mais que isso, são utilizáveis por TOR.
Como prover este serviço para todos nós também, assim de forma anônima, está em 
desacordo com a grande maioria das leis dos países, incluindo o nosso maravilhoso Marco Civil da 
Internet, o próprio site também é oculto pela rede TOR, sendo então encontrado apenasnum 
endereço .onion.
Revisão nº 91 em 23/06/14 14:54 Pag 33 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Por outro lado, não temos como saber quem são os reais proprietários e mantenedores 
destes serviços. Tanto podem ser pessoas boas, com interesses de simplesmente prover liberdade de 
expressão, como sempre pregam em seus textos, como podem ser operados por pessoas mal 
intencionadas, que podem fazer uso das informações ali postadas, como até pode ser o próprio 
governo de algum país. Ou seja... usar sim, mas não entregue suas pérolas.
Enfim, o que o TOR e os e-mails da Deep web podem garantir é a ocultação do seu IP 
quando os utiliza. Só isso. Se você entregar dicas de quem é você, bastou para perder o anonimato.
Se você quer segurança total para os dados que trafega, criptografe-os. Pois você não 
sabe quem é o mantenedor do site de e-mail, e o que ele pode fazer com tudo que as pessoas 
colocam lá.
E não use as porcarias de ZIP com senha ou coisa parecido. Qualquer adolescente com 
programinhas chulos encontrados na ClearWeb consegue descobrir as senhas destas coisas bobas. 
Use GnuPG, TrueCrypt (que é apenas uma interface gráfica para algorítimos clássicos), e tantos 
outros softwares decentes por aí. Mas use coisa boa, software público e confiável. Qualquer 
software privado, feito por uma empresa, poderá e CERTAMENTE terá meios de destrancar teus 
dados de outras formas, até porque isso ocorre por FORÇA DE LEI em muitos países, começando 
pelos EUA, e incluindo o Brasil.
Se você abre um provedor de serviço QUALQUER, com web, e-mails etc. ou empresa 
de telecomunicações aqui mesmo no Brasil, para poder conseguir tuas licenças de operações, desde 
ANATEL até quaisquer outras, uma das primeiras coisas que você deve apresentar é a forma de 
BackDoor e possibilidade de abertura pelos institutos governamentais, inclusa a Justiça e Poder 
Executivo. E durma com esse barulho... não é segredo para ninguém. É regulamentação. Está 
explícita publicamente nos sites dos Ministérios diversos.
Então... esse pessoal que se acha inencontrável por WhatsApp da vida. Saiba que 
WhatsApp pertence à FaceBook, que tem escritório na R. Leopoldo Couto de Magalhães, 700, 5° 
andar. É só mandar um oficial de justiça lá que ele retorna com um DVD ou pen drive, com todas as
suas mensagens, INCLUÍNDO as que você apagou, de onde foram geradas, quais IPs, e com isso, 
quais celulares, e mesmo que não fossem em seu CPF, é possível saber onde estava em cada 
momento, por triangulação das torres, com erros de poucos metros, e se você estava usando o Wifi 
da sua casa... parabéns para você. Temos Você :P
7.3 O quanto é confiável um sistema de criptografia?
Estamos recomendando o TrueCrypt por ser um programa que, apesar de ser de uma 
empresa que ganha dinheiro de algumas formas com ele, trata-se de uma software de código aberto.
Na verdade esta situação é muito comum no mundo de softwares livres. Empresas 
trabalham e desenvolvem ou colaboram com o código de softwares mesmo estando eles com o 
código fonte aberto. Ocorre que ganham dinheiro atendendo a empresas e dando suporte e cursos a 
respeito, e isso é muito coisa em termos de negócio hoje em dia.
O TrueCrypt utiliza códigos classicamente usados pela comunidade e por terem licença 
GPL eles não podem fechar o código do próprio programa. E por isso não podem ocultar 
BackDoors ou fraquezas propositais sem que todo mundo acabe vendo.
Revisão nº 91 em 23/06/14 14:54 Pag 34 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Ele já demonstrou casos verdadeiros em que protegeu dados de pessoas, em que 
governos e justiças locais solicitaram aos mantenedores do TrueCryp uma forma de abrir os dados 
de alguém. E a resposta foi (numa tradução livre): “O nosso software tem código aberto e não temos
a menor possibilidade de implantar backdoors ou fraquezas propositais. Não podemos atendê-los, 
pois quem o utilizar realmente terá uma segurança afirmada pelas melhores técnicas de criptografia 
possíveis no mundo do software livre, e nada podemos fazer para mudar este conceito.”
Veja aqui um caso Brazuka do uso deste tipo de recurso:
http://g1.globo.com/politica/noticia/2010/06/nem-fbi-consegue-decifrar-arquivos-de-
daniel-dantas-diz-jornal.html
“Segundo reportagem publicada nesta sexta-feira (25) pelo jornal "Folha de S.Paulo", 
após um ano de tentativas frustradas, em abril a polícia federal norte-americana (FBI) devolveu os 
equipamentos ao Brasil.”
Fato é que NENHUM sistema de criptografia é 100% seguro. Mas como você pode ver 
acima, existem os excelentes. Melhor que isso, só pegando o seu micro e tacando fogo mesmo!
O detalhe é que justo por ser assim ele parece ter sofrido uma pressão e recentemente o 
site traz uma série de mensagens no mínimo estranhas. Eles recomendam substituir o TrueCrypt 
pelo Drive Virtual do Windows chamado BitLocker, o mesmo no Mac OSX, ou seja, vê-se 
claramente que estão sofrendo influências externas. 
O pretexto apresentado é que o projeto existia porque o Windows XP não tinha isso 
nativamente. E agora que o XP terminou o suporte, ele é considerado tecnicamente obsoleto e morto
pela própria Microsoft, não haveria razões para manter o projeto. A atual versão do software apenas 
descriptografa, e não cria mais volumes. Apenas para você ler atuais volumes e transportar a outros.
Removeram todas as versões anteriores e código fonte do site oficial no sourceforge. 
Um verdadeiro absurdo somente feito sob a mira de armas.
Um site mostra o quanto a comunidade se arrepiou com a atitude da NSA:
http://r000t.com/what-happened-to-truecrypt/
Ou seja, BALELA, está claro que sofreram pressões para saírem de cena. Entretanto, 
como o código é público, não deixará de existir, ao menos a atual versão, para instalar.
De qualquer forma, por mais que estejam dizendo que o software está lá apenas para 
você usar temporariamente para “converter” para os sistemas proprietários, acreditamos que seja 
balela e enfim, ainda está lá... vamos usar, ainda damos como sendo a melhor opção, pela sua 
facilidade. E tudo que aconteceu a ele prova exatamente sua eficiência!
Existem outros que acabariam sendo mais difíceis de adotar como habituais na vida da 
maioria dos usuários simples.
A Equipe Privacidade Brasil está agora verificando um substituto à altura para o 
TrueCrypt. As características analisadas são, obviamente segurança de dados, mas também precisa 
ser tão simples como ele é para ser usado. Numa primeira rodada de pesquisas, foi possível 
encontrar algumas opções já disponíveis, questão de tempo para escolher uma entre elas.
Revisão nº 91 em 23/06/14 14:54 Pag 35 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
Por hora, esqueça os avisos e continue a usar o TrueCrypt, e não caia na armadilha 
criada alí para passar a utilizar as ferramentas nativas do Windows, afinal, quem pode auditar o 
código e dizer sobre BackDoors e fraquezas propositais? Certamente elas existem meus queridos, 
não sejamos inocentes.
“Mas se eu não cometo crime algum, por que deveria temer fraquezas e backdoors que 
só seriam usadas por governos e pela justiça?”
Simples, isso se chama segurança pela obscuridade, ou seja, a segurança é garantida 
pelo fato de a fraqueza ou BackDoor existente serem um segredo guardado à sete chaves. Hmmm, 
sei, alguém conhece segredo que nunca é revelado? Nós não. Basta visitar o site Wiki Leaks. ;)
Basta um dia vazar o segredo, ou um acadêmico nerd descobrir e usar como tese de 
mestrado, e pronto, todos os inocentes usuários estarão à mercê de terem suas pseudo-seguranças 
quebradas. Isso aconteceu com os atuais cartões bancários, ninguém ainda sabe como resolver o 
problema.
É mais ou menos como guardar a chave da sua empresaembaixo do capacho da porta de
entrada, ou na floreira :/ não te parece um ato ridículo? Mas tem gente que acha que funciona.
7.3.1 O que são BackDoors e Fraquezas propositais
BacksDoors são métodos de “entrada pela porta dos fundos” que podem ser usados 
para pular etapas de segurança, como o uso da senha, por exemplo. Geralmente são acessos através 
de portas IP diferentes, ou chamadas de funções, ou outros recursos que permitiriam a usuários 
conhecedores da backdoor, e possíveis senhas para uso delas, poder eliminar completamente um 
sistema de segurança qualquer.
Fraquezas propositais são mais difíceis de entender, entra-se na seara da matemática, 
mas podemos dizer que, uma modificação no método de criptografia, ou simplesmente na geração 
da chave, possa tornar mais fácil um processo de quebra da chave.
7.4 O Bit Coin
A moeda mais falada no Mundo Deep é o BitCoin. 
Uma moeda maluca, que “fisicamente” trata-se de um bloco de
dados criptografados que se arrasta pelo internet.
Você pode comprar e vender bitcoins no Brasil, 
mais detalhes em:
https://www.mercadobitcoin.com.br/ 
É usada por que não tem rastreabilidade e não está 
sujeita a regulagens governamentais.
É difícil começar a entender seu funcionamento. 
Pra começar, nem sabe-se quem a criou, um matemático maluco, com um apelido Japonês, mas que 
pressupõe-se que nem japonês ele seja. E que depois de que a colocou para funcionar, desapareceu, 
sem deixar pistas.
Revisão nº 91 em 23/06/14 14:54 Pag 36 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
É baseada nas mesmas regras comuns de mercado financeiro global. Cunhagem, 
demanda e livre mercado.
O grande lance é como transitar a moeda! Através da assinatura eletrônica que deve ser 
feita por softwares específicos. E com isso, usando o bloco criptografado que é “a moeda” em si, 
uma chave privada sua, e uma chave pública de quem vai receber o valor, a transação passa por um 
intrincado sistema de validação global por servidores diversos, e o valor deixou de ser teu e passou 
a ser de outro. Sem que uma pessoa saiba quem é a outra, nem onde estão.
Tudo isso feito por softwares públicos com algorítimos públicos e conhecidos, e 
monitorado pelos próprios usuários. Enfim... coisa de louco. Mas interessa que funciona.
Você vai no site do mercado BitCoin, adquire BitCoins, e quando quiser passar a 
alguém é só usar um software ou o próprio site do mercadobicoin.com.br como “carteira”, passar a 
chave pública do sujeito (uma enorme salada de letras), dizer o quanto quer transferir a ele... e 
pronto! Foi! Pra onde? Sabe Deus!
O valor atual do BitCoin é cerca de R$
1500,00 e subindo. Lembro que quando comecei a
acompanhar valia cerca de R$ 300,00. Por ser uma
valor alto por unidade de BitCoin, as transferências
podem ser feitas, não limitadas a centavos, e sim
com várias casas depois da vírgula, ou seja, um
valor ínfimo pode ser transferido.
A empresa mercadobitcoin.com.br, com
outras existentes, são bolsas de compra e venda.
Elas por si não compram ou vendem a moeda, apenas 
possibilitam a transação entre Reais e BitCoins. E então cobra taxas a 
cada compra e venda, ou seja, no câmbio com o Real.
A coisa ficou tão séria que já existe uma cunhagem da moeda 
física e máquinas para compra de moedas de bitcoin.
A legislação que regula essas operações é a mesma dos 
créditos do FaceBook, ou da moeda do Xbox.
Mas entenda. Grandes transações em Reais para Bit Coins e 
vice-versa estão sujeitas às mesmas regras e fiscalizações de quaisquer 
transações financeiras impostas pelo Banco Central. Por isso muita gente 
transita tudo fora mesmo. Sem “internar” o valor no Brasil.
Este é um assunto de muita polêmica e não é o foco deste 
documento.
Especula-se que nos próximos meses vá sofrer alguma baixa, porque o FBI pretende 
vender todo bitcoin apreendido com Eric Eoin Marques.
Revisão nº 91 em 23/06/14 14:54 Pag 37 de 38
Manual de Segurança e Privacidade Digital Nível 1 V 14.26– EPB – Equipe Privacidade Brasil
8 Autores, distribuição e controle deste documento
Não importa quem foram os autores e contribuidores para este documento, tampouco 
como ele possa vir a ser distribuído pela comunidade. Isto por si faz parte da segurança dos que o 
fizeram, para que ninguém os julgue ou os cobre pelos resultados da aplicação destas práticas.
Trata-se de uma compilação de boas práticas de segurança desenvolvidas por pessoas ao
redor do mundo.
Fica apenas o pedido para que as pessoas propaguem o máximo possível este 
documento, pois nunca sabemos a quem podemos ajudar, das formas mais indiretas imagináveis.
Para um controle, este documento possui um número de versão, assim os usuários 
poderão saber se estão recebendo alguma cópia mais recente ou antiga dele.
A versão é montada pela data:
ANO.SEMANAdoANO a exemplo 13.35 → 35a semana do ano 2013.
Os usuários que quiserem atualizações, tiverem sugestões, críticas ou adições a este 
documento, pode entrar em contato pelo e-mail:
privacidade@mail2tor.com
Convidamos a quem à comunidade a participar e nos ajudar.
Estamos estudando um local para hospedar materiais na Deep.
Nosso foco é a livre expressão, livre imprensa e um mundo sem censuras políticas.
Obrigado a todos os leitores e usuários, e aguardamos seus comentários.
Equipe Privacidade Brasil
Revisão nº 91 em 23/06/14 14:54 Pag 38 de 38
	1 Por que softwares públicos?
	2 Que soluções temos aqui?
	3 The Onion Router – TOR
	3.1 Instalação do TOR
	3.2 Usando o TOR Bundle
	3.3 Acessando a Deep Web
	3.3.1 Temos uma Wiki e fórum em bom português:
	3.4 Detalhes sobre a Deep Web
	4 Serviços de e-mail
	4.1 Criando uma conta de e-mail de segurança
	4.2 Acessando sua conta de segurança
	4.3 Enviando e-mail
	4.4 Mudando a senha
	4.5 Use com segurança
	5 Usando celulares
	5.1 TOR no celular
	5.1.1 Rodando o OrBOT
	5.1.2 Instalando aplicativos de fora do Google Play
	5.2 OrWEB
	5.3 Acessando Mail2Tor pelo celular
	5.4 Barcode Reader
	5.5 ChatSecure
	5.5.1 Reiniciando aplicativo
	6 Armazenamento seguro de dados
	6.1 TrueCrypt foi fechado pelo governo americano
	6.2 Instalando o TrueCrypt
	6.3 Abrindo volumes TrueCrypt
	6.4 Dicas com o TrueCrypt
	6.5 Danos durante o uso
	6.6 Falhas de segurança do Windows
	6.6.1 Abra os arquivos dentro do volume montado
	6.6.2 Utilize o LibreOffice
	7 Detalhes e teorias de segurança
	7.1 Browser TOR Firefox
	7.2 E-mail
	7.3 O quanto é confiável um sistema de criptografia?
	7.3.1 O que são BackDoors e Fraquezas propositais
	7.4 O Bit Coin
	8 Autores, distribuição e controle deste documento