Por Paulo Pagliusi
Como aprimorar a segurança e privacidade na Internet?
Hoje em dia, todos nós sabemos que a vigilância é onipresente. As revelações de Snowden desvendaram o grande alcance dos Five Eyes (“Cinco Olhos”), a aliança de agências de inteligência formada pelo Tratado de Segurança entre Reino Unido e EUA que inclui NSA, GCHQ, entre outras. Saiba os 10 Passos para aprimorar a sua Segurança e Privacidade na Internet
Mas os recentes vazamentos da empresa italiana de segurança Hacking Team expuseram um lado ainda mais sombrio dessa vigilância. A empresa foi colocada na lista de “inimigos da Internet” pela organização “Repórteres Sem Fronteiras”, e os dados vazados confirmam o quão relevante é sua inclusão nessa lista:
Hacking Team: “O Sistema de Controle Remoto ‘DaVinci’ da empresa Hacking Team é capaz, segundo a própria companhia, de quebrar sistemas de criptografia permitindo o monitoramento — por parte de agências de inteligência e forças policiais — de arquivos, e-mails (mesmo que criptografados com PGP), Skype e outros serviços de comunicação que usam Voz sobre IP ou chat. Ele permite identificar a localização do alvo, bem como pessoas que fazem parte de seus círculos de relacionamento. Também permite ativar remotamente câmeras e microfones de computadores em qualquer lugar do mundo. A empresa ainda alega que seu software é capaz de monitorar centenas de milhares de computadores simultaneamente em todo o país” (Meet the Corporate Enemies of the Internet for 2013)
Depois de examinar os arquivos contidos no vazamento e de ter escrito sobre o envolvimento de outros países da Europa com a citada companhia (Irlanda, Reino Unido e França, Suíça, Luxemburgo e Alemanha e Chipre), decidimos reavaliar os mecanismos de segurança para o usuário final e ver o que pode ser feito para deixá-los mais fortes.
Encontramos algumas fontes muito boas e decidimos compartilhá-las com vocês aqui, para vocês poderem acessá-las a partir de um único lugar. Os guias “Surveillance Self-Defense”, da Electronic Frontier Foundation, são um excelente começo.
1 — Desabilite o Flash
Desabilite o Flash. Agora. Não iremos listar todas as muitas razões porque você tem que fazer isso, mas aqui vão listadas algumas: 1, 2, 3, 4.
A Mozilla se livrou dele recentemente, e de uma vez por todas.
E saiba que o Chefe de Segurança do Facebook está pedindo seu fim (vide vídeo disponível em http://thenextweb.com/facebook/2015/07/13/flash-aah-aah-its-not-the-savior-of-any-of-us/):
Veja como desabilitar o Flash em seu navegador:
Chrome: Digite o endereço chrome://plugins na barra de endereço. Desça até Adobe Flash Player. Clique em Desabilitar.
Safari: Vá para Safari > Preferências. Clique em “Segurança”. Clique em “Ajustes dos Sites”. Clique em “Adobe Flash Player”. Vá até o menu dropdown do item “Quando estiver visitando outros websites” e selecione “bloquear
Firefox: Clique “menu do hambúrguer”, no lado superior direito do browser. Clique em “Complementos”. Na coluna da esquerda, clique em “Plugins”. Vá ao menu dropdown próximo a “Shockwave Flash” e selecione “Nunca Ativar”
Internet Explorer: Clique no ícone da engrenagem no lado superior direito do browser. Clique em “Opções da Internet”. Clique em “Programas. Clique em “Gerenciar Complementos”. Clique em “Shockwave Flash Object” e em seguida clique em “Desabilitar”, no canto inferior direito da janela.
2 — Troque e revise suas senhas
O especialista do Intercept, Micah Lee, escreveu alguns guias excelentes sobre o assunto. Abaixo você encontra um ótimo artigo sobre como se certificar de que sua senha é realmente segura:
3 — Criptografe seu laptop
O especialista em pauta também escreveu um ótimo artigo sobre este assunto. A única sugestão nossa é que, ao invés de utilizar o programa de criptografia TrueCrypt sugerido por ele – já descontinuado -, use o VeraCrypt, seu sucessor:
4— Crie uma VPN
Nós criamos uma VPN usando AWS (nuvem da Amazon), depois de ler esse excelente artigo.
Vantagens de ter um servidor VPN:
É simples: mesmo quem não é especialista em tecnologia consegue seguir esse guia tranquilamente.
Rápido: Você só precisa de 10 minutos pra criar um servidor VPN
Privado: O servidor VPN é dedicado apenas ao seu uso.
Seguro: Criptografado e protegido por senha. E nada fica registrado.
Funciona sob demanda: Você pode iniciar e parar o servidor quando quiser.
Global: Existe pelo menos um servidor VPN em 9 regiões do mundo (incluindo EUA, Japão e Cingapura).
Suporte a Dispositivos: o servidor VPN aceita PPTP e L2TP com IPsec, o que significa que você pode acessar o servidor VPN com seus dispositivos Android, iPhone, iPad, PC, Mac, e a maioria dos roteadores (para acessar Apple TV e Chromecast, por exemplo).
Open Source: o código é aberto, e você pode contribuir para esse projeto.
*Grátis: usuários novos do Amazon AWS têm um ano de serviço de graça.
5 — Use o TOR
O que é Tor?
Tor é um serviço gerido por voluntários que oferece tanto privacidade quanto anonimato online através do mascaramento da sua identidade e do local de onde você está conectando. O serviço também protege você da própria rede Tor.
Para pessoas que precisam ocasionalmente de anonimato e privacidade na rede, o Browser Tor oferece uma maneira rápida de usar a Rede Tor. O pacote Tor Browser Bundle é a forma mais fácil de usar a Rede Tor, combinando o browser, o software Tor e outros softwares úteis que lhe darão uma forma mais segura de acessar a web (Fonte: EFF). Mais detalhes sobre o Tor, vide nosso artigo sobre a Internet Profunda
6 — Criptografe seus emails usando PGP
Utilizar o PGP é uma forma de impedir que seus e-mails sejam lidos por qualquer pessoa que não seja o destinatário da mensagem. Pode lhe proteger contra empresas, governos ou criminosos usando sua conexão à Internet e, de certa forma, impedir que seu e-mail seja lido caso o computador em que ele está armazenado seja roubado. De fato, o ideal é utilizar a versão Gnu PG.
Para usar PGP para trocar e-mails seguros, você tem que reunir três programas: Gpg4win (GNU Privacy Guard para Windows, conhecido como GnuPG), Mozilla Thunderbird e Enigmail. GnuPG é o programa que realmente cifra e decifra o conteúdo de seus e-mails, Mozilla Thunderbird é um cliente de e-mail que lhe permite ler e escrever e-mails sem o uso de um navegador, e Enigmail é um add-on para o Mozilla Thunderbird que combina tudo junto.
7— Use OTR Messaging
O OTR (Off-the-record, na sigla em inglês) é um protocolo que permite ter conversas confidenciais nos sistemas de mensagens que você já usa. Não deve ser confundido com o “Off the record” do Google, que simplesmente desabilita a gravação de conversas, mas não criptografanem verifica essas conversas.
O OTR usa criptografia ponto a ponto. Isso significa que você pode usá-lo combinado a serviços como o Google Hangouts ou o Facebook sem que essas companhias tenham acesso a essas conversas nem ao conteúdo compartilhado nelas (Fonte: EFF).
8 — Utilize aplicativos de mensagens que usam criptografia
Este outro guia de Micah Lee também traz informações valiosas sobre como proteger mensagens trocadas no seu celular.
YOU SHOULD REALLY CONSIDER INSTALLING SIGNAL, AN ENCRYPTED MESSAGING APP FOR IPHONE
9 — Blinde seu hardware
Se você usa um notebook, é importante que você trave o firmware dele. Se o seu aparelho for roubado ou perdido, ele pode ser iniciado por meio de um HD externo ou um pendrive, e seus dados podem então ser acessados.
Aprenda como travar o firmware no Mac OS X e no Windows
10 — Utilize Anti Malwares e Limpadores
O software Malwarebytes Anti-Malware (em versão gratuita e Premium) pode lhe ajudar a remover adwares e malwares presentes no seu computador, incluindo novas ameaças que os antivírus não conseguem detectar.
O software limpador CCleaner é um utilitário pequeno, eficaz para computadores que executam o Microsoft Windows, que limpa o “lixo” que se acumula ao longo do tempo: arquivos temporários, atalhos quebrados e outros problemas.
Além disto, o CCleaner pode ajudar a proteger a sua privacidade. Ele limpa seu histórico de navegação e arquivos temporários de Internet, permitindo que você se torne um usuário mais confiável e menos suscetível ao roubo de identidade.
Sobre Paulo PagliusiSobre Paulo Pagliusi
· Diretor de Cyber Risk Services na Deloitte;
· Ph.D. in Information Security – University of London;
· Mestre em Ciência da Computação pela UNICAMP;
· Pós-Graduado em Análises de Sistemas, pela PUC – RJ;
· Vice-Presidente da ISACA (Information Systems Audit and Control Association) Rio de Janeiro;
· Vice-Presidente da CSABR (Cloud Security Alliance Brasil);
· Colunista CryptoID.
Leia outros artigos do colunista Paulo Pagliusi aqui!