3 dicas para aumentar o seu nível de privacidade na web

Há um conjunto de medidas que, se tomadas juntas, podem melhorar significativamente o seu nível de privacidade ao usar a rede.
A privacidade pode garantir a liberdade — de expressão, de manifestação, de pensamento etc.
Mas a liberdade sempre vem com uma preço anexado: no mínimo, você vai ter que abrir mão de alguns comportamentos convenientes, mas danosos (contra você mesmo).
Neste post, eu trago 3 dicas (poderia ser muito mais) para elevar a segurança no uso da web.

Usar VPNs

Adotar esta medida, depois de configurada, não é inconveniente.
O que as pessoas não gostam é que as VPNs decentes são pagas.
Sigla de Virtual Private Network (Rede Privada Virtual), uma VPN depende de servidores caros, através dos quais, você irá acessar a Internet.
Com este recurso, os sites acessados não irão saber qual o seu endereço IP e fica mais difícil rastrear o seu uso da Internet.
O servidor da rede privada virtual vai esconder o seu endereço (entre outras informações que podem te identificar online) e fornecer as dele.

O uso de uma VPN pode trazer outras vantagens, que nada têm a ver com privacidade.
Acessar sites, como o YouTube e o Netflix (entre outros) — via VPN — permite acessar conteúdo que não se encontra disponível no seu país de origem, por exemplo.

Os preços dos planos dos provedores de VPN começam em aproximadamente 2 dólares/mês.
Sabendo que você pode contratar um plano e apenas configurar o roteador da sua casa — para todo mundo usar — talvez não seja tão caro, não é?
O site https://www.vpnranks.com/ tem um ranking de provedores (acompanhado de preços) que vale a pena consultar.
Se quiser saber como configurar o seu smartphone Android para acessar uma rede privada virtual, leia este artigo.

Prefira navegar em sites HTTPS

O ‘S’ ao final deste ‘https’, quer dizer secure (seguro).
Um site https oferece criptografia entre você e ele.
Embora seja possível um bisbilhoteiro saber aonde você está navegando, fica muito difícil saber o conteúdo que você está acessando.
Portanto, sites de mensagens instantâneas, email e com conteúdo adulto, têm que ser https.
telegram https web


Leia mais sobre como acessar sites de conteúdo adulto, com segurança.

Use o navegador Tor

O Tor é um navegador (como o Firefox e o Chrome), de código aberto e livre, projetado inicialmente para pessoas que desejam acessar conteúdo ilícito (não necessariamente imoral ou antiético). Para ser ilícito, basta ser proibido pela lei, ok?

Conteúdo ilícito pode ser determinado “tipo de pornografia”. Mas também pode ser a sua música e filme preferidos, protegidos por direitos autorais.

O trabalho do navegador Tor é conduzir suas atividades por diferentes “túneis” ou canais encriptados, mantendo a sua navegação protegida dos olhos do governo e de grandes corporações — bem como do seu vizinho.
Enquanto alguns sites conseguem furar o bloqueio https dos navegadores comuns, o Tor garante um nível superior de anonimidade ao usuário.

Conclusão

Leve a sério a sua privacidade e a sua segurança.

“Não estou fazendo nada ilegal ou errado” não é desculpa suficiente para seguir despreocupado com os ataques à nossa privacidade.
É desculpa apenas para deixar de fazer o que tem que ser feito.

Acessar sites de conteúdo adulto, não é ilegal — mas você não gostaria, tenho certeza, de ver o seu histórico de acesso a algum destes sites sendo exposto para seus amigos, família, colegas de trabalho etc.
Ouvir suas músicas favoritas, não é errado — mas você provavelmente não pagou por todas elas e, mesmo assim, não merece ser importunado pelas autoridades ou gravadoras só por causa disso.
Adotar qualquer uma destas medidas já será suficiente para elevar significativamente o seu nível de segurança e privacidade online.
Quantas destas medidas você consegue adotar, ainda hoje?

Referências

Leia mais, clicando na tag privacidade ou use o motor de busca do site.
Se você é profissional da área, leia também o artigo Criptografia para jornalistas.

Use o apg para gerar senhas seguras para você

Se precisa gerar senhas seguras (realmente seguras) e que não sejam tão difíceis de lembrar, pode usar o utilitário apg, presente na maioria das distribuições GNU/Linux.
O apg gera senhas aleatórias, pronunciáveis (em inglês) e mostra uma string contendo palavras baseadas em cada senha sugerida — que pode ajudar a memorizar a sequência.
Você pode rodar o aplicativo diversas vezes, até encontrar a password que seja do seu agrado.
Neste texto, vou mostrar algumas dicas e exemplos de como rodar o apg, para ajudar você a ter uma ou mais senhas seguras.
apg password generator

Como o apg funciona

O aplicativo cria várias senhas aleatórias, através de 2 algoritmos e um gerador de números aleatórios embutido.
O algoritmo padrão é um gerador de senhas pronunciáveis, projetado por Morrie Gasser.
O outro algoritmo é um gerador aleatório de caracteres, que utiliza quatro conjuntos de símbolos para ajudar a confeccionar a palavra chave.
O resultado é uma combinação do uso destes algoritmos e os parâmetros fornecidos pelo usuário, na linha de comando.

Exemplos de uso do apg password generator

O padrão do apg é exibir 6 senhas, de até 11 caracteres, seguidas da pronúncia “silábica” (em inglês) de cada parte da senha.

apg
GaBlav7jed: (Ga-Blav-SEVEN-jed-COLON)
vib>Bach0 (vib-GREATER_THAN-Bach-ZERO)
EnBoapwur:ov8 (En-Boap-wur-COLON-ov-EIGHT)
JacEn-kuevcam7 (Jac-En-HYPHEN-kuev-cam-SEVEN)
yeolpUc2oj- (ye-olp-Uc-TWO-oj-HYPHEN)
ujyax1KoskOwb! (uj-yax-ONE-Kosk-Owb-EXCLAMATION_POINT)

Para tornar a memorização mais fácil, você tenta se lembrar da pronúncia, disposta na segunda coluna.
Também é possível especificar um outro número de senhas geradas, com a opção ‘-n’. A opção ‘-l’ serve para mostrar a pronúncia da letra, de acordo com o alfabeto fonético da OTAN, na coluna à direita:

apg -n 3 -l
Mabhaur0 Mike-alfa-bravo-hotel-alfa-uniform-romeo-ZERO
Vutudlav Victor-uniform-tango-uniform-delta-lima-alfa-victor
friWroac foxtrot-romeo-india-Whiskey-romeo-oscar-alfa-charlie

Para criar uma senha de acordo com o artigo Use a regra 8 por 4 pra criar uma senha segura, use o seguinte comando:

apg -a 0 -M sNcl -n 6 -x 8 -l
hyiFlib2 hotel-yankee-india-Foxtrot-lima-india-bravo-TWO
jeljyid5 juliett-echo-lima-juliett-yankee-india-delta-FIVE
gholmIc3 golf-hotel-oscar-lima-mike-India-charlie-THREE
chitOst8 charlie-hotel-india-tango-Oscar-sierra-tango-EIGHT
ashAbIg9 alfa-sierra-hotel-Alfa-bravo-India-golf-NINE
UgIsJin3 Uniform-golf-India-sierra-Juliett-india-november-THREE

Veja o que foi feito acima:

  • -a 0 — escolhe o algoritmo de geração de palavras-chave pronunciáveis. Como este é o comportamento padrão do aplicativo, esta opção é desnecessária.
  • -M sNcl — escolhe o modo de criação ‘sNcl’ — ou seja, a senha deve combinar símbolos/numerais, letras maiúsculas e minúsculas.
  • -n 6 — o comando deve exibir 6 resultados.
  • -x 8 — gera senhas com até 8 caracteres (este é também o tamanho mínimo padrão).
  • -l — exibe o texto de pronunciação ao lado.

Uma outra forma de obter senhas pronunciáveis e com a exibição da pronúncia, é com a opção ‘-t’:

apg -a 0 -M n -n 6 -m 11  -E 97 -t
wehydimpid3 (we-hyd-imp-id-THREE)
perchophtyo (perch-opht-yo)
niojkeajeph (ni-oj-keaj-eph)
ebjudfifkie (eb-jud-fif-kie)
necaishgofi (nec-aish-gof-i)
yonawthukki (yon-awth-uk-ki)

Você pode combinar as opções ‘-t’ e ‘-l’:

apg -a 0 -M n -n 6 -m 11  -E 97 -tl
taxikuthcib (tax-ik-uth-cib) tango-alfa-x_ray-india-kilo-uniform-tango-hotel-charlie-india-bravo
gadjerorub5 (gad-jer-or-ub-FIVE) golf-alfa-delta-juliett-echo-romeo-oscar-romeo-uniform-bravo-FIVE
lefkugjasja (lef-kug-jas-ja) lima-echo-foxtrot-kilo-uniform-golf-juliett-alfa-sierra-juliett-alfa
goumnawmej5 (goum-nawm-ej-FIVE) golf-oscar-uniform-mike-november-alfa-whiskey-mike-echo-juliett-FIVE
wedvabeitmy (wed-vab-eit-my) whiskey-echo-delta-victor-alfa-bravo-echo-india-tango-mike-yankee
skyraygimim (sky-rayg-im-im) sierra-kilo-yankee-romeo-alfa-yankee-golf-india-mike-india-mike

Como sempre, é possível obter ajuda do comando com a opção ‘–help’.
Espero que este tutorial te ajude a obter senhas mais seguras.

Como instalar o navegador Tor no Ubuntu e Debian

Além de um navegador especial, o Tor é uma rede composta por servidores operados por voluntários, que permite às pessoas melhorar suas condições de privacidade e segurança enquanto estiverem conectadas e navegando na Internet.
Ao usar o navegador Tor, os usuários empregam a rede que os conecta através de uma série de túneis virtuais e anônimos.
Ao evitar a conexão direta, permitem que indivíduos e organizações compartilhem e busquem informações sobre as redes públicas, sem comprometer sua privacidade.
Screenshot from 2016-04-27 17-47-20
Na mesma linha, a ferramenta permite contornar agentes de censura, que impedem seus usuários de obter e difundir conteúdo na Internet.

Quem usa o Tor

As pessoas usam o Tor para impedir que websites — bem intencionados ou não — as rastreiem. Pode ser usado para usar serviços de chat, de mensagens instantâneas, videoconferência etc. que porventura estejam bloqueados.
Embora esteja envolto em uma aura de mecanismo concebido para “proteger cibercriminosos” e foras-da-lei, o Tor vai muito além deste preconceito alimentado por gente desinformada.
O Tor ajuda pessoas que precisam ter acesso a redes sociais para trocar informações sensíveis — como fóruns e salas de chat para vítimas de abusos sexuais ou pessoas que tenham doenças estigmatizadas e que desejam se proteger, justamente, do preconceito.
Jornalistas usam o Tor para se comunicar com mais segurança com delatores, denunciantes e dissidentes políticos ou corporativos. Além das atividades normais que envolvem proteger suas fontes.
É possível imaginar inúmeras situações legítimas em que as pessoas possam querer se defender de governantes e companhias poderosas, que espionam e retaliam sem qualquer escrúpulo.


Leia mais sobre privacidade para jornalistas neste artigo.
tor logo
Parte da marinha dos EUA usa o código fonte do Tor em projetos de inteligência e algumas ramificações militares o usam em campanhas externas ao território nacional, para proteger a transmissão de informações.
A polícia e agências de segurança nacional fazem uso do instrumento para visitar sites suspeitos, sem deixar rastros de IPs governamentais nos web logs, durante as operações.
É justamente a variedade de pessoas que fazem uso da ferramenta que a torna mais segura.
O Tor esconde o fluxo de informações de cada usuário atrás de cada outro usuário na rede — portanto, quanto mais pessoas usam e quanto maior a diversidade de usuários, mais anonimidade é fornecida às informações.

Como instalar o Tor

Este texto irá abordar a instalação do Tor no Debian, no Ubuntu e nas outras distros derivadas deles.
Outras distribuições Linux, provavelmente tem o Tor nos seus repositórios oficiais — e, portanto, você pode instalá-lo como qualquer outro software.
Para instalar a versão estável (stable), use o apt:

sudo apt update
sudo apt install tor torbrowser-launcher

A seguir, rode um dos aplicativos recém instalado:

torbrowser-launcher 
Tor Browser Launcher
By Micah Lee, licensed under MIT
version 0.2.4
https://github.com/micahflee/torbrowser-launcher
Creating GnuPG homedir /home/justincase/.local/share/torbrowser/gnupg_homedir
Downloading and installing Tor Browser for the first time.
Downloading https://dist.torproject.org/torbrowser/update_2/release/Linux_x86_64-gcc3/x/en-US
Latest version: 5.5.5
Downloading https://dist.torproject.org/torbrowser/5.5.5/tor-browser-linux64-5.5.5_en-US.tar.xz.asc
Downloading https://dist.torproject.org/torbrowser/5.5.5/tor-browser-linux64-5.5.5_en-US.tar.xz
Verifying signature
Extracting tor-browser-linux64-5.5.5_en-US.tar.xz
Running /home/justincase/.local/share/torbrowser/tbb/x86_64/tor-browser_en-US/start-tor-browser.desktop
Launching './Browser/start-tor-browser --detach'...

Screenshot from 2016-04-27 16-34-53
Após algum tempo, uma tela do navegador irá abrir, pedindo informações para estabelecer uma conexão.
Para a maioria das casos, basta clicar no botão Conect, para obter acesso à rede Tor.
Screenshot from 2016-04-27 16-36-12
Se você estiver dentro de uma rede, com conexão à Internet sabidamente censurada ou proxeada, será necessário clicar no segundo botão Configure, para fazer alguns ajustes.
Screenshot from 2016-04-27 16-42-03
Depois desta parte, o Tor deverá iniciar com uma interface semelhante à do Firefox padrão. Veja a imagem:
Screenshot from 2016-04-27 16-52-40
Nas próximas vezes, você pode executar o Tor, pelo Dash (Ubuntu ou GNOME).
Basta procurar pelo nome do aplicativo “Tor Browser”.
Screenshot from 2016-04-27 18-44-41

Referências:

https://www.torproject.org/about/overview.html.en.

Como controlar as permissões dos apps no Android

Aplicativos são instalados no seu dispositivo com diversas permissões.
É possível que o usuário as considere excessivas, para determinados aplicativos — e, em alguns casos, elas realmente são.
O Android 6.0 Marshmallow ou Android M introduziu a possibilidade de controlar o que novos aplicativos podem ou não fazer no seu dispositivo — o que permite reduzir significativamente a “permissividade” no comportamento dos apps instalados no seu aparelho.
A lista de permissões dos aplicativos projetados pro sistema operacional Android 6.0 ou superior terão que passar pelo seu crivo, já no processo de instalação.
Se você quiser rever esta relação, a qualquer momento, pode acessá-la através do menu de configurações e mudar a história toda.

Como configurar as permissões dos aplicativos instalados no meu aparelho Android

Abra o menu de Configurações e role até a seção Dispositivo.
Toque no item Aplicativos.
Android 6.0 Marshmallow aplicativos
Durante a instalação, os aplicativos irão pedir permissões para fazer uso de determinados recursos — ainda que você não saiba, naquele momento, se são necessários ou não.
Aqui, vou mostrar como revogar ou conceder permissões específicas para os aplicativos instalados no seu sistema.
Android relação de aplicativos
Na relação de aplicativos (veja imagem acima), é possível selecionar o app específico para configurar.
Esta é a chance de rever todas as permissões do app do Facebook, por exemplo.
No meu exemplo, selecionei o app do Google Plus.
Screenshot_20160108-084910
Selecione a opção Permissões, para seguir em frente.
Note que, no meu exemplo, nenhuma foi concedida — e não há qualquer problema nesta abordagem, uma vez que, no decorrer do uso, o aplicativo irá pedir as permissões de que necessita e vai te oferecer a oportunidade de torná-las permanentes ou não.
Android 6.0 Marshmallow permissões específicas de aplicativos

Como tirar dúvidas sobre uma permissão específica

Se você estiver em dúvidas sobre se deve conceder ou revogar uma determinada permissão ao seu aplicativo, toque no botão de menu, no canto superior direito da tela e selecione a opção Permissões.
Agora, basta escolher o item sobre o qual você deseja maiores esclarecimentos — o Android abre um pop up explicativo.
No exemplo abaixo, o Android explica o que o app poderá fazer se lhe for concedida a permissão de uso do Microfone.
Android 6.0 Marshmallow - permissão de uso do microfone
Se você se preocupa com sua privacidade e segurança, não faz mal “fechar a torneira completamente”, ou seja, desabilitar todas as permissões, sobre as quais paire alguma dúvida, de qualquer app — de um modo geral.
Em seguida, você as pode habilitar individualmente, durante o uso.
Claro que (bom senso sempre!) o aplicativo de câmera não teria funcionalidade alguma sem o acesso ao dispositivo.
Mas pode fazer sentido querer que o Facebook, o Telegram ou o seu navegador perguntem antes de usar a câmera ou o microfone.

Criptografia para jornalistas

À medida em que forças policiais (governamentais) ganham mais poderes de invasão, no mundo todo, profissionais que lidam com informações sensíveis precisam proteger a si mesmos, suas fontes e, obviamente, a própria informação.
A criptografia, se bem aplicada, é uma ferramenta poderosa e eficiente para evitar vazamento de seus dados mais preciosos.
Sua eficiência, é preciso que se diga, precisa estar aliada a outras medidas (que não serão abordadas neste texto).
Neste post, iremos abordar algumas ferramentas e técnicas que qualquer jornalista pode usar para proteger a si e suas fontes da vigilância governamental — especialmente se estiverem trabalhando em projetos investigativos e conversando com denunciantes (whistle-blowers).

Criptografia em dispositivos móveis

Um dispositivo móvel, como um smartphone, é algo extremamente fácil de roubar.
Embora eu espere que você não carregue uma grande quantidade de documentos extensos dentro dele, é de se imaginar que ele possa conter outro tipo de informações sensíveis — fotos, contatos, históricos chats etc.
Usar um dispositivo criptografado é muito fácil e não traz impacto significativo na performance de aparelhos atuais — que usam processadores de 64 bits e com vários núcleos.

Mesmo um smartphone de entrada (popular), como o Motorola Moto E 2015, já conta com um processador 64 bit de quatro núcleos — o que satisfaz os requisitos fundamentais para usar criptografia.

Chamo a atenção para o fato de que a criptografia básica, se resume aos arquivos do aparelho (na memória interna e no cartão). Ela pode impedir o acesso aos seus arquivos, caso o aparelho seja roubado — mas não protege arquivos em trânsito ou a comunicação por voz.
O uso de aplicativos, como o Telegram, pode oferecer mais eficiência na comunicação que se deseja criptografada.

Ferramentas de criptografia de arquivos

Dotados de processadores mais robustos que os smartphones, não há desculpa para não manter seus arquivos sempre protegidos, no laptop ou PC — onde se dispõe de mais recursos do que nos dispositivos móveis.
Se o seu laptop é mais antigo e você teme impactar sua produtividade com a criptografia (que pode torná-lo mais lento), uma das opções é criptografar apenas os arquivos chave — como os seus documentos de trabalho, tais como artigos em progresso ou documentos confidenciais que você esteja transmitindo/recebendo.
Neste caso, destacam-se as ferramentas de compressão, com suporte ao padrão AES-256 de encriptação.

A segurança proporcionada pela criptografia será comprometida se você usar senhas triviais e fracas.
Leia 10 dicas para criar senhas à prova de hackers para conhecer algumas dicas dos especialistas em segurança.

Ao escolher a ferramenta de criptografia, você não pode ignorar as inúmeras tentativas da NSA, entre outras agências governamentais ou corporações, para embutir backdoors em softwares de várias empresas.
Este tipo de tentativa só pode ter sucesso em softwares de código proprietário e/ou fechado.
Ou seja, você pode estar achando que está seguro e, provavelmente, estará com seu computador escancarado ao inimigo que você deseja evitar.
Software proprietário, em termos de segurança, pode ser uma grande cilada.
Use apenas (ou o máximo possível) softwares de código aberto e livre — por que eles podem ser auditados por qualquer pessoa ou empresa (inclusive por você).
O Gnupg é um exemplo de software livre de criptografia.
É importante ter em mente que criptografar arquivos, quando se tem uma máquina conectada à Internet é muito pouco (ou nada), se você não cuidar da segurança da sua conexão.

Qualquer máquina conectada à Internet está potencialmente sob risco de ser espionada. Neste caso, quaisquer dados sensíveis pode ser acessados, antes mesmo de serem criptografados.

Uma solução para isto é ter um segundo notebook que nunca é conectado à Internet — adotada por experts renomados em segurança.
Este tipo de solução é conhecida como air-gapping.
Use o seu equipamento air-gaped para trabalhar com seus arquivos mais sensíveis, encriptando e decriptando-os em um ambiente mais seguro — evitando que massas de texto puro jamais sejam carregadas para a memória e submetidas a espionagem digital.

Acesse a internet anonimamente

Quando estamos conectados à Internet, nossa identidade pode ser revelada a partir do nosso endereço IP (Internet Protocol) único.
Cada conexão que fazemos na Internet pode ser rastreada, até chegar à nossa residência — ou qualquer outro lugar, de onde estamos nos conectando.
O significado disto é que, mesmo sendo prudente, usando encriptação, a identidade de denunciantes e daqueles com quem trabalham pode ser descoberta — ainda que não se possa ver exatamente o teor do que estão dizendo.
Diante disto, o anonimato é desejável ao navegar.
Uma das ferramentas mais simples para surfar a Internet anonimamente é o pacote de softwares Tor, que esconde sua identidade (ou seu endereço) enviando suas consultas através de nós de rede intermediários, até chegar ao destino final — e vice-versa.
Estes nós são formados por vários outros computadores, também rodando o Tor (em modo relay).

O que incomoda no Tor é o fato de um de seus principais financiadores ser o governo dos EUA e da Suécia.
Ser premiado pela Free Software Foundation (FSF) (2010), na minha opinião, contudo, depõe a favor da seriedade do projeto.

Saiba como instalar o Tor, no Ubuntu e no Debian.


Um ponto importante a ser enfatizado no uso do Tor é que, embora o tráfego de dados ocorra sob criptografia, ao sair pela “outra ponta”, ele retorna ao seu estado original — ou seja, você precisa criptografar seus dados, antes de os enviar pelo Tor.
Adquirir uma conta em um serviço de rede virtual privada ou Virtual Private Network (VPN) é uma forma de navegar na Internet anonimante.
Com o uso de uma VPN, é possível acessar sites na Internet, com um endereço IP diferente do seu computador.

Os dados são encriptados entre o seu computador e os servidores VPN. Você deve levar em conta, contudo, que este é um tipo de criptografia que a NSA mais tem trabalhado para comprometer.

Há uma gama de serviços de VPN disponíveis, com níveis diferentes de segurança.
Você precisa ter em mente, antes de jogar “todas as suas fichas” em um serviços destes é que o histórico mostra que a maioria deles entrega as informações sobre seus usuários, com qualquer pressão do governo ou das forças policiais.
Portanto, nunca use um provedor de VPN como sua única ferramenta de privacidade ou segurança.

Solução completa: TAILS

Tails GNU/Linux logo
O TAILS é um sistema operacional completo, baseado na distribuição GNU/Linux Debian.
Customizado pelo ponto de vista da segurança e da privacidade, contém as ferramentas de que falamos até agora e outras tantas.

Uma das formas mais práticas de usar o sistema operacional TAILS é dentro de um pendrive, o que te permite levá-lo aonde você for.
Quando terminar de realizar suas atividades mais sensíveis, basta remover o dispositivo e voltar a usar o seu computador normalmente.
A sua sessão com o TAILS, não deixa rastros.

Segundo alguns documentos de Snowden, a NSA tem reclamado do TAILS (por dificultar o seu trabalho).
Quando usado adequadamente, o TAILS pode ser muito eficiente na proteção dos seus dados e da sua anonimidade.
Especialistas de segurança insistem que, em um mundo ideal, todos usem criptografia. Na realidade, esta prática se encontra além das capacidades técnicas e da paciência da maioria das pessoas.
Um dos grandes desafios da gestão de segurança é equilibrar o uso dos recursos mais avançados com a praticidade de seu uso — se for muito complicado, o fato é que a maioria das pessoas vai acabar não usando.
Jornalistas preocupados com a sua segurança e a do seu trabalho devem contatar grupos ou empresas locais, que saibam trabalhar com a instalação e configuração do Linux, para obter consultoria sobre como exercer suas funções com mais segurança.

Referência

https://www.journalism.co.uk/news/encryption-for-the-working-journalist-accessing-the-internet-anonymously/s2/a580938/