4-5

Index
3 // Introdução
4-5 // Passwords
6 // Profilácticos (anti-vírus e firewalls)
7-8 // Bons Hábitos
9-11 // Limpar Pegadas (Históricos, Cookies, Publicidade)
12-14 // Testas de Ferro (Proxies, VPNs, P2P)
15-17 // Comunicações (Email, Chat)
18 // Telecomunicações
19 // Encriptação de Dados
20 // Deitar Fora o Lixo
21 // Conclusão
01 // Introdução
Às ordens do infalível e omnisciente Ministro da Verdade, eu,
, sub-secretário
de Estado dos Murmúrios, Rumores e Zunzuns Que Circulam Por Aí, fui instruído para colocar à
disposição de todos os cidadãos leais este guia de defesa informática. É o dever de todos
protegerem-se de influências externas nefastas.
Os inimigos da Verdade não dormem. Mantenham a vigilância, cidadãos!
Nota: Apenas cidadãos certificados no uso de computadores e língua inglesa devem aplicar este
guia. Todos os outros irão meter o pé na boca.
Começaremos pelas questões mais básicas das básicas como passwords, bons hábitos e
progrediremos até outras mais avançadas como proxies e encriptação (para os sabichões, eu sei,
não é encriptação, é cifras – quem corrigir o sub-secretário leva 10 anos nas minas de volfrâmio).
02 // Passwords
Comecemos pelas bases: as passwords (palavras-passe) que usamos nos computadores e
Internet. Primeiro que tudo, que tipo de password devemos escolher? Tendo em conta tudo o que
arriscamos ao descobrirem a nossa password se, por exemplo, entrarem na nossa conta de email
ou do banco online, não vale a pena ter algum cuidado?
Certamente que vale, cidadãos!
Portanto parem de escolher passwords simplórias como “password1”. Eu sei que se acham
muito espertos “nunca ninguém se vai lembrar duma password chamada password, ainda por
cima com o número 1 no fim!” mas são cidadãos desses que fazem as delícias de crackers (o
pessoal cujo passatempo é entrar onde não devia) preguiçosos. Com base em listas de passwords
roubadas, aqui estão as mais populares de 2011:
1.
password
2.
123456
3.
12345678
4.
qwerty
5.
abc123
Que original. Gosto que a diferença entre a 2ª e a 3ª sejam dois números extra. “Uau, se for até
ao 8 ninguém vai descobrir!” Mas enfim, o que faz uma boa password?
– Nada de palavras comuns isoladas como “amor” ou “fruta”. Este tipo de passwords pode
ser facilmente descoberta através daquilo a que se chama um ataque de dicionário e pelo uso de
tabelas estatísticas que percorrem todas as palavras e passwords comuns até conseguirem
adivinhar a correcta.
– Nada de factos fáceis de adivinhar sobre a vossa vida como o nome dum filho seguido do
ano de nascimento.
– Já agora, sabem como alguns sites têm perguntas de segurança para o caso de nos
esquecermos da password? Na minha opinião estas são tão perigosas como passwords estúpidas.
Porquê? Porque se a pergunta de segurança for “Qual é o nome do meu cão?” ou “Qual o meu
Ministro favorito?” e responderem à pergunta sem rodeios, acabaram de facilitar a vida a quem
está a tentar entrar. Imaginem que é um “amigo” ou familiar próximo. Será que ele não consegue
descobrir a resposta facilmente? É simplesmente melhor encher a resposta com lixo indecifrável
ou então responder algo que não têm nada a ver com a pergunta.
– O que faz então uma boa password? Não pode ser muito curta. De facto, quanto mais
comprida, melhor. Significa que um computador a tentar quebrá-la pelo uso da força bruta vai ter
de experimentar milhões de novas combinações por cada novo carácter. Mas ao mesmo tempo,
tem de ser fácil de lembrar. Hmmmm, complicado! O truque está em pensar em algo que é
absurdo para um computador mas que respeita a forma humana de pensar. Por exemplo:
oministeriotemsemprerazaoemtodasascoisas101
Pegámos na frase “O Ministério Tem Sempre Razão Em Todas As Coisas” e depois, pelo sim pelo
não, um número no final (101 pode ser alusivo a, por exemplo, uma certa sala para onde são
enviados aqueles que discordam do Ministério – um número fácil de lembrar). Agora temos uma
frase comprida, fácil de lembrar (embora não seja má ideia repeti-la na cabeça ou escrevê-la no
papel umas quantas vezes até memorizar) mas absurda e com 44 caracteres. Para conseguir
quebrar tal password pela força bruta seria preciso uma capacidade enorme de processamento e
mesmo assim levaria décadas.
– O ideal é ter sempre PELO MENOS duas passwords. Uma para todos os serviços de lixo em
que só precisamos de fazer uma conta para despachar. Outra para as coisas importantes como
email e banco online com que temos de ter cuidado.
– Não se esqueçam de ter também uma password de acesso ao sistema operativo, seja ele
qual for. Sistemas sem password são mais fáceis de quebrar. No Windows podem aceder às opções
de password através de:
Painel de Controlo > Contas de Utilizador > Mudar palavra-passe
Nos outros sistemas operativos não sei como é, mas deve ser algo parecido (o Ministro só usa
Windows, para poder jogar Dungeon Keeper). Perguntem ao Google, ele sabe quase tanto como o
Ministério.
– Essencial também, meter sempre passwords nos modems e routers wireless (sem fios). O
protocolo para o fazer muda conforme o modelo e é melhor consultar os manuais ou informação
online sobre como o fazer. As ligações sem fios que não estão protegidas por uma password sólida
podem ser acedidas por qualquer um e ser usadas para monitorizar as actividades dos outros
utilizadores.
– Para aumentar o nível de segurança quando usam passwords online, considerem o
programa Keyscrambler. Está disponível numa versão gratuita que encripta as letras que
escrevemos no Firefox (mais sobre o Firefox lá para a frente) de forma a disfarçar o que foi escrito
e assim oferecer “lixo” a programas maliciosos que gravam os botões em que se carregou (por
exemplo, para tentar descobrir passwords de acesso). A versão paga protege o sistema de forma
muito mais completa.
03 // Profilácticos
Agora que temos uma password toda janota, qual é o passo seguinte? O passo seguinte é
acrescentar uma camada mais profissional de protecção contra pestes comuns como vírus e
aprendizes de hacker à procura de sistemas fáceis de atacar. Mas isso tudo não custa dinheiro?
Não! Até o cidadão mais paupérrimo pode ter uma boa protecção. Há muitas empresas de
segurança que oferecem versões gratuitas dos seus programas. Estas costumam ser soluções
incompletas, ou seja, são só anti-vírus ou só firewall (muro de fogo), mas o truque está em
descobrir um par de programas que cobrem, separadamente, os dois problemas. Mas primeiro
uma breve explicação:
– Anti-vírus são programas que, obviamente, protegem contra vírus (programas destrutivos
que se auto-copiam para outros computadores), cavalos de tróia (programas que abrem buracos
nas defesas do computador) e todo o tipo de bicharada do género. Estes programas estão sempre
a verificar os ficheiros no computador e descarregados da Internet à procura de indesejáveis. É boa
ideia meter o anti-vírus a fazer uma pesquisa profunda semanalmente, ou pelos menos
mensalmente (desobediência em fazê-lo são dois anos nas minas de volfrâmio).
– Firewalls protegem o computador de intrusões indesejadas. A tendência natural dos
computadores e da Internet é para a abertura e partilha. É só pela natureza humana de querer
meter o bedelho onde não se é chamado que isto se torna perigoso. As firewalls asseguram-se que
não há portas abertas desnecessariamente e recusam ligações suspeitas. No entanto, podem pecar
por serem demasiado protectoras e bloquearem serviços legítimos. Se há algum serviço que
misteriosamente deixa de funcionar como o acesso ao banco online ou um programa que usa a
Internet, não é má ideia experimentar desligar a firewall e tentar de novo. Para dar a volta ao
problema podem ser criadas excepções para deixar passar as comunicações de alguns programas
(e o inverso é verdade, podem ser usadas para bloquear o acesso à Internet de programas
suspeitos). No entanto, se acharem que tudo isto é demasiada areia para vossa carroça, as últimas
versões do Windows (como o Vista e 7) já vêm com uma firewall de sistema por defeito que
poderá bastar para os utilizadores menos exigentes.
Agora, qual programa escolher? Primeiro que tudo, só se deve usar UM anti-vírus e UMA
firewall. Como estes são programas paranóicos, mais do que um de cada e vão começar a arranjar
problemas uns com os outros e com o sistema. O anti-vírus recomendado pelo Ministro é o Avira,
mas há outros como o Avast! e AVG. Em alguns casos particulares, o computador poderá estar
infectado por malware (software malicioso) particularmente resistente e o anti-vírus não consegue
identificá-lo correctamente ou removê-lo. Nesses casos, não será má ideia experimentar o
Malwarebytes. A versão gratuita permite fazer buscas e remover pestes, tarefa na qual costuma
ser extremamente eficiente.
Quanto à firewall, recomenda-se a Comodo, mas outra escolha possível é a ZoneAlarm. No que
toca às firewalls, elas precisam de algum tempo para “aprender” o que são os tráfegos e
programas autorizados, pelo que vão andar sempre a perguntar “Este programa pode correr?”,
“Este programa pode aceder à Internet?” mas depois de serem autorizados de forma permanente,
a firewall não volta a chatear. Tudo isto protege totalmente de ataques online? Não. Um bom
hacker, determinado a entrar num sistema, vai conseguir fazê-lo mais cedo ou mais tarde. Existe
sempre uma brecha na muralha para o bom conhecedor. Mas isso não quer dizer que sejamos
laxistas na nossa vigilância, cidadãos (laxismo dá 1 ano nas minas de volfrâmio)!
04 // Bons hábitos
Apesar da sofisticação das protecções, o maior risco de segurança continua a ser a estupidez
humana. É praticamente uma constante do Universo, cientificamente provada. Funcionários
governamentais que se esquecem de pens com os dados de milhares de utilizadores da Segurança
Social (10 anos nas minas de volfrâmio), administradores de empresas de segurança cuja password
é “temp123”, secretárias de bancos que dão a password do sistema pelo telefone... há um pouco
de tudo.
Portanto...
…
Não sejam estúpidos.
Mantenham sempre em dia o sistema operativo, o anti-vírus e a firewall com os últimos
updates (modificações e remendos que os programas descarregam da net para estarem a par das
últimas ameaças e corrigir problemas de funcionamento). E quem diz esses, diz todos os outros
programas. São vários aqueles que se tornaram populares o suficiente e possuem uma
componente online, como o Office da Microsoft e a linha de programas da Adobe, para serem
usados como via de ataque em vez da rota mais tradicional de atacar o sistema operativo em si ou
o programa de navegação na Internet.
Para além desses cuidados de rotina, se algo vos parece má ideia, provavelmente é. Nunca
dêem a vossa password a ninguém. Não espalhem emails sobre super-vírus e crianças
desaparecidas sem antes confirmarem as informações. Nunca respondam a emails a pedir os
vossos dados ou passwords a dizer que são da Microsoft ou da Google ou o raio que o parta.
Mantenham a vigilância, cidadãos! Acham que se a empresa que vos oferece o serviço de email
precisasse da vossa password vos tinha de PEDIR?! Os servidores são DELES! Se quisessem mudar a
vossa password e mostrar os vossos emails às ex-namoradas na lista de contactos, podiam fazê-lo
com um clique do teclado.
Parem de instalar coisas que não sabem bem o que são. Se instalam, leiam as instruções ou
procurem referências para saber o que estão a fazer. Muitas vezes são acrescentados programas
intrusivos à instalação e quem carrega “Seguinte” para despachar sem sequer ler o texto da
instalação, enche o computador de lixo. É então que chamam o sobrinho “que percebe de
computadores” para vos vir arranjar a máquina, depois de a terem enchido de pázadas de trampa
à procura de poker e pornografia. Sabem o quanto esse vosso sobrinho vos odeia? Talvez ele tenha
crescido para se tornar sub-secretário de Estado do Minisério da Verdade... Tenham cuidado.
Em paralelo a isso, sejam paranóicos com os vossos dados. Existe um ditado na Internet: “What
is seen cannot be unseen” – “O que se vê não se pode desver”. Da mesma forma, o que é
partilhado na net muito provavelmente vai lá flutuar para sempre, mesmo coisas que apagaram e
pensam que desapareceram. Existem sites que arquivam informação passivamente e todo o tipo
de motores de busca que guardam sabe-se lá o quê. Para não falar daquelas fotos vossas, bêbados
na discoteca a beijar a ex que tinha bigode, fotos essas ainda a encher o disco rígido de alguém
que guardou as provas duma conta há muito apagada de hi5 ou myspace.
E que pensam que é, por exemplo, o Facebook? Alguma espécie de cafézinho onde se conversa
e mostra fotos das férias? Não sejam parvos. O Facebook é uma máquina gigante de espiar a vida
dos cidadãos ao serviço dos inimigos da Verdade. Onde é que o Zuckerberg faz dinheiro? Os
anúncios por si sós não pagam as contas e o Facebook não vende produtos. O que ele vende são
OS UTILIZADORES. As vossas informações pessoais, páginas que visitam e gostam, localização, tipo
de posts que fazem, escolas e empregos que frequentam e por aí fora. Tudo directo para empresas
de marketing e governos, para estes melhor saberem como vos vender lixo e manipular as vossas
opiniões políticas (ser-se manipulado politicamente dá direito a 5 anos nas minas de volfrâmio).
Já estão a surgir serviços, como o Diaspora Project (compatível com Facebook, se estão com
medo de perder os contactos), criados por comunidades open-source, que procuram oferecer as
vantagens das redes sociais sem a perda de privacidade associada.
Não digo que não usem serviços como o Facebook. Têm o seu potencial. Mas saibam o que são
e que não são vossos amigos. Partilhem o mínimo de informação pessoal possível, tenham cuidado
com quem adicionam e aquilo que mostram aos outros. Quando estes serviços insistem que
partilhem isto e aquilo para os puder usar... MINTAM. Se são um homem de 60 anos da Moita,
digam que são uma rapariga de 13 anos do Tajiquistão. A vossa privacidade é propriedade
exclusiva do Ministério!
E saibam que apesar de tudo isto, não há garantia de nunca descobrirem quem vocês são e o
que fazem. Na Internet, não é importante apenas a informação EXPLÍCITA. Ou seja, não basta que
vocês não digam quem e donde são, o vosso sexo, idade, gostos, etc. Através do uso de algoritmos
matemáticos, estatística e probabilidade, é possível extrapolar com bastantes certezas todos estes
dados através das vossas informações IMPLÍCITAS. Para dar um exemplo simples, pode-se
descobrir com facilidade a vossa idade, sexo, localização, preferências políticas, etc. através dos
dados daqueles que vos adicionaram no Facebook – mesmo que vocês não os tenham revelado
directamente, revelaram-nos por associação. “Diz-me com quem andas...”
Já se estão a sentir paranóicos, cidadãos?
05 // Limpar pegadas
Como sub-secretário de Estado dos Murmúrios, Rumores e Zunzuns Que Circulam Por Aí, é uma
das minhas muitas tarefas certificar-me que ninguém descobre a apreciação do nosso querido
Ministro por
e
.
Irritantemente, a nossa vida online deixa rastos que ninguém pediu, em nome da conveniência.
Não é tão conveniente que os browsers se lembrem de todas as páginas que visitamos, que
arquivem as nossas passwords, emails e hábitos de navegação?
Podem parecer questões inocentes, que apenas suscitam um encolher de ombros, mas debaixo
da desculpa de facilitar a vida ao utilizador, escondem-se ferramentas que podem ter propósitos
mais suspeitos. Para já, vejamos o mais simples: dizer ao browser para parar de gravar os sites que
visitamos. Para propósitos deste guia vou assumir o uso do Firefox. Porquê o Firefox? Para além de
ser um bom browser, a maior força do Firefox é a sua adaptabilidade, que será importante mais à
frente. Entretanto, indo à secção de:
Ferramentas > Opções > Privacidade
Descobrimos as opções que precisamos. Para já podemos dizer que não queremos que os sites
nos rastreiem (o que não quer dizer que eles cumpram o pedido). Depois, no historial de
navegação, escolher a opção que elimina a gravação de historial (e já agora aproveitar e carregar
no link de texto que limpa o historial guardado até agora). Mais em baixo podemos ver também
opções da barra de endereço. Aqui podemos escolher a opção que faz com que ela pare de dar
sugestões de sites já visitados ou que estão entre os endereços guardados.
No mesmo menu, em Segurança, também podemos escolher se o Firefox se lembra ou não das
passwords para os sites. Nunca se deve ligar esta opção se não estivermos absolutamente seguros
da nossa privacidade de acesso ao computador que estamos a usar. É uma ideia terrível tê-la ligada
num computador de acesso público ou partilhado entre várias pessoas.
Mas só isto não é garantia. Conforme as pessoas vão defendendo melhor a sua privacidade,
mais sofisticadas se vão tornando as ferramentas de monitorização. Por exemplo, os sites usam
cookies (pequenas listas de informação que ficam armazenadas no computador) para guardarem
as preferências dos utilizadores – não apenas nas coisas óbvias como guardar o nome de acesso
para que este surja automaticamente quando voltamos à página – mas em coisas mais subtis como
controlar o tipo de conteúdos que consumimos online para decidir o melhor anúncio para nos
espetar à frente. Ou simplesmente para cuscar.
O problema é que os cookies estão a tornar-se cada vez mais complexos. Inclusive já existe uma
classe daquilo a que se chama super-cookies, que não só são mais intrusivos como são mais
difíceis de apagar. Uma vez que os cookies ainda não são considerados primos dos vírus (embora
se pareçam cada vez mais com eles), há outras formas de nos defendermos. Afinal de contas, não
queremos que sabe-se lá quem ande a monitorizar o que vemos online (excepto se for o Ministério
da Verdade, que só quer o vosso bem).
É aqui que entra em jogo a flexibilidade do Firefox. Este browser aceita módulos, chamados
Add-ons, feitos por entusiastas que decidiram contribuir funcionalidades para o programa. O
Chrome da Google também aceita, mas é uma escolha mais suspeita porque é bastante invasivo da
privacidade dos utilizadores, sendo mais uma ferramenta de recolha de dados da Google que outra
coisa qualquer. Se ainda estão na Idade da Pedra e a usar o Internet Explorer, está na hora de
mudar.
Entretanto, podemos seguir para a página de Add-ons do Firefox e dar uma olhadela pela
oferta. Há de tudo um pouco, mas a seguinte lista apresenta as minhas recomendações
relacionadas com segurança, dividas entre as essenciais e aquelas para utilizadores mais
avançados. É agora que os conhecimentos de Inglês vão começar a render, porque eu não vou
explicar como usar e instalar cada um dos Add-ons individualmente. Usem a vossa iniciativa,
cidadãos (usar a vossa iniciativa sem autorização prévia: 4 anos nas minas de volfrâmio)!
Essenciais:
Adblockplus – Bloqueador de anúncios. Acaba com pop-ups, flashs, cenas a piscar e todo o tipo de
lixo online. Mais para conveniência do que puramente por segurança, embora tendo em conta o
quão intrusivos os anúncios online se estão a tornar, não é de desprezar a contribuição para a
segurança. Recomendo que o desliguem para sites de que gostam e que dependem do dinheiro
dos anúncios para operar (é possível ligá-lo ou desligá-lo para sites individuais).
Ghostery – Controla e bloqueia formas mais subtis de monitorização para lá dos cookies, como por
exemplo tentáculos do Facebook em sites com integração (mais sobre isto no add-on NoScript).
HTTPS-Everywhere – Este Add-on força o uso do protocolo HTTPS em todos os sites que já o
suportam. O HTTPS é uma nova versão do protocolo HTTP que é normalmente usado como base
das comunicações das páginas (está sempre ali no início dos sites http://www.google.com). O que
este HTTPS faz é encriptar as comunicações entre o vosso computador e o site que estão a visitar
de forma a que os intermediários não as possam ler.
Para os mais paranóicos:
BetterPrivacy – Apaga os chamados Super-cookies que usam o Flash (a linguagem de programação
e módulo da empresa Adobe de que sites como o Youtube dependem para funcionar) para criar
monitorização mais intrusiva e difícil de apagar.
BlockSite – Faz o que o nome diz, bloqueia websites. Pode dar jeito para algum site irritante que
está sempre a abrir-se sozinho quando, por exemplo, fazemos um update.
Cookie Monster – Add-on para bloquear cookies, mais personalizável que a maioria das outras
ofertas.
NoScript – O NoScript é interessante para entender como a net está hoje interligada. Quando
visitam um site, estão apenas a visitar esse site? Também acontece, mas é cada vez mais raro. A
verdade é que quando visitam um site, estão a visitar esse site e os tentáculos de mais uma dúzia
doutros sites. É assim por três motivos: um site tem outros serviços integrados (exemplos mais
explícitos são botões de Like do Facebook ou vídeos do Youtube), têm acordos com empresas de
marketing e publicidade e são recompensados por deixá-las monitorizar os utilizadores ou porque
o Google e outros motores de busca andam a espreitar o conteúdo para o indexar.
O uso do NoScript é moroso ao início – é preciso ir dizendo manualmente que scripts (espécie
de pedaços de código automatizados que os sites usam para fazer tudo funcionar) se quer ligados
ou não. Se forem ao Youtube e não permitirem que ele use scripts, tudo o que seja código mais
complexo não vai funcionar, o que significa que não há vídeos para ninguém, por exemplo. Se
visitarem um site com mesmo MUITOS tentáculos, pode tornar-se difícil perceber sequer quais é
que são os essenciais e quais são de empresas de monitorização. No entanto, se aprenderem a
usar esta ferramenta, torna-se uma das mais fortes formas de protecção porque só deixa passar o
necessário e nada mais.
Spamavert – Add-on ligado a um site que gera emails temporários, para quando é preciso
despachar uma porcaria qualquer que pede email mas não queremos estar a dar o nosso email
principal.
Com este conjunto de Add-ons torna-se muito mais difícil às empresas de marketing,
publicidade e sabe-se lá mais quem andarem a seguir-vos o rastro online. Lembrem-se, cidadãos:
só o Ministério da Verdade tem direito a saber as vossas perversões mais secretas!
06 // Testas de Ferro
Ok, agora sabemos como apagar os rastos no nosso lado. Mas e se quisermos ser invisíveis do
lado de lá? Se quisermos que algum alcoviteiro (atenção: funcionários do Ministério da Verdade
não incluídos nesta classificação) não possa seguir os nosso movimentos? Como fazer?
Hoje em dia há duas grandes preocupações: primeiro, daqueles que desejam expor informações
que comprometem autoridades poderosas e não querem que as suas identidades sejam
descobertas. Segundo, ultrapassar bloqueios regionais que se começaram a popularizar de alguns
anos para cá e que impedem o acesso a determinados conteúdos para quem está no país x ou y. E
terceiro, de quem é membro de redes p2p (peer to peer, entre pares) e deseja manter longe a
máfia do copyright (direitos de autor).
A solução para ambas são as chamadas proxies (algo como testa de ferro em português) mas
não são todas iguais para todos os casos. Mas primeiro, o que é uma proxie? Para perceber temos
de compreender a estrutura da Internet. Não é por acidente que lhe chamam a rede. Quando
ligam o vosso computador à Internet, não estão a comunicar directamente com o computador,
site, etc. do outro lado. Primeiro, o vosso computador envia um pedido à companhia que vos
providencia o serviço de Internet (ISP – Internet Service Provider) – tudo o que fazem na Internet
passa pelo ISP – é este que vai buscar a informação que desejam e vos liga a outros computadores.
Computador → ISP → Net
O que acontece é que todos recebemos algo chamado um IP address (Endereço de Protocolo de
Internet) do nosso ISP. Funciona como uma espécie de matrícula da nossa ligação e, sabendo o IP,
é possível descobrir, por exemplo, quem é o nosso ISP e a nossa localização aproximada. Acham
que é por acidente que o Google e o Facebook aparecem logo em Português? Não bastando isso, é
possível analisar tráfego online para perceber de onde e para onde está a ser dirigido. Imaginemos
que queremos expor informações comprometedoras de alguma entidade desonesta mas tememos
pela nossa privacidade. Não podemos expor desta forma quem somos, onde estamos e com quem
estamos a comunicar. É aqui que entram as proxies. O que estas fazem é colocar-se entre o ISP e o
computador a que estamos a aceder. Desta forma o IP e informações de tráfego que são registados
não são os nossos mas os da proxie.
Computador → ISP → Proxie → Net
Então onde estão essas proxies? Como as usar? Existem listas de proxies públicas mas essas não
são particularmente fiáveis ou estáveis. A melhor solução a emergir recentemente é um software
open-source chamado Tor. A rede Tor não é de forma alguma completamente segura. Sabe-se que
as agências de espionagem andam sempre à procura de formas de se meterem à escuta e tem sido
um jogo de gato e rato constante. No entanto, desde que não estejam a pensar usá-lo para
contrabandear bombas nucleares para o Médio Oriente, é mais que adequado.
ATENÇÃO: Para o Tor funcionar correctamente é essencial seguir bem as instruções. Usá-lo sem
seguir o protocolo indicado é o mesmo que não o usar de todo. O Tor vem com um browser já préconfigurado para bloquear todos os scripts (não se deve, por exemplo, usar qualquer tipo de
aplicação Flash com o Tor porque estas são executadas localmente. Podem recolher informações
sobre o nosso computador e ligação quando correm para depois as comunicar ao computador a
que estamos a aceder – é como apagar o remetente numa carta mas depois escrever a nossa
morada no interior). É de esperar uma funcionalidade reduzida com o Tor, que no entanto continua
a ser perfeitamente capaz de partilhar mensagens, documentos e visitar sites sem muitas
mariquices.
O que o Tor faz é ligar-vos a uma rede montada por colaboradores do projecto. A vossa
comunicação viaja entre vários computadores dessa rede de forma encriptada para que quando
saia do outro lado seja anónima. No percurso de volta vai por um outro caminho para não se saber
para onde regressa.
Isto também tem vantagens no domínio de ultrapassar bloqueios regionais. Imaginemos que,
como já acontece em alguns países, algum governo nervoso começa a bloquear sites com a
conversa de estarem a proteger os direitos de autor ou a defender as criancinhas da pornografia.
Ambas são desculpas comuns para censurar a Internet mas, mais cedo ou mais tarde, uma vez que
as ferramentas de censura já estão implementadas, começam a ser usadas para fins mais políticos.
Tal aconteceu, por exemplo, na Austrália, onde a lista de sites censurados veio a público e nela
estavam endereços que nada tinham a ver com direitos de autor ou pornografia – estavam lá por
motivos de pura conveniência política. Como o Tor nos liga a computadores que estão fora do
controlo de governos locais, é possível ultrapassar este tipo de censuras.
Portanto, para pequenas comunicações e partilhas temos o Tor. Mas, e para questões de
downloads e p2p? O Tor não está preparado (as suas velocidades são muito baixas) nem deve ser
usado para tais aplicações (lembrem-se que é uma rede de voluntários e uma ferramenta
verdadeiramente essencial para activistas que não deve ser sobrecarregada por pessoas a sacar a
versão completa e em alta definição dos filmes do Harry Potter).
O que acontece cada vez mais é que os lobbies do copyright, usando o argumento de estarem a
proteger os artistas (que na realidade vêem um retorno muito pequeno do seu trabalho depois das
distribuidoras e produtoras sugarem a sua parte) recusam determinadamente adaptar-se ao século
XXI e à era dos computadores e Internet, tratando os consumidores à partida como criminosos. Ao
fazê-lo cavam a sua própria sepultura, mas não sem antes tentarem arrastar todos os outros lá
para dentro. Uma vez que não estão dispostos a enfrentar o mudar dos tempos, vão a correr para
junto dos amigos políticos, a chorar que os malvados piratas lhes roubaram os lucros. Em retorno,
os políticos estão a criar sistemas de controlo e censura que monitorizam activamente os
movimentos online dos cidadãos para se certificarem que não estão a roubar o último álbum do
Justin Bieber (e que têm o bónus extra de servir para espiar as pessoas).
Para se proteger os lucros dumas quantas múmias do século XIX, está-se a esmagar o direito à
cultura das populações e a transformar tudo aquilo que ouvimos, vemos e lemos em propriedade
privada com direitos de exploração exclusiva de décadas (de momento leva 75 anos até uma obra
passar a ser de domínio público).
Em Portugal ainda não existem, mas na França por exemplo já há as chamadas legislações de
three strikes (três faltas) em que à primeira se recebe um aviso, à segunda a Internet é
desacelerada e à terceira é suspensa. Isto quando não são as próprias editoras a meter o nariz nas
transferências da população para as poderem processar directamente (o que já agora, é ilegal).
Para reconquistar o anonimato contra estes abusos não é possível usar proxies públicas. São
demasiados lentas para serem úteis em downloads. O que é necessário é uma VPN (Virtual Private
Network – Rede Privada Virtual). Estas são pagas (variam entre 5 a 15 euros mensais) mas são
capazes de lidar com quantidades de tráfego muito maior e possuem medidas extra para proteger
a identidade dos utilizadores. De resto funcionam de forma semelhante a uma proxie normal,
metendo-se no caminho entre o ISP e os conteúdos a que estamos a aceder de forma a não nos
expor directamente.
Como nos restantes casos, convêm ler bem as instruções de uso para ter a certeza que estão
bem montadas. Sendo um serviço mais completo e rápido, possuem capacidade de mascarar todo
o nosso tráfego e não apenas pequenas pesquisas ou trocas de emails (embora nesse papel
específico, o Tor continue a ser superior).
No entanto, há que ter uma preocupação crucial com o serviço que escolhemos usar. Não
podem manter logs (registos) de tráfego. Existirem logs é a mesma coisa que nada porque se a
empresa for obrigada por um tribunal a revelar informações dos clientes, os logs vão dizer quem
acedeu ou sacou o que. Para saber quais os serviços mais fiáveis, recomendo este artigo de 2011
do site Torrent Freak onde fizeram um inquérito a quais VPNs mantinham logs. Claro que isto é
apenas a palavra destas empresas – vale o que vale.
Uma outra ajuda para aqueles dedicados ao p2p é um programa chamado PeerBlock. Possuí
uma lista de entidades que espiam utilizadores de serviços de partilha e impede-os de aceder ao
nosso computador (e vice-versa). Poderá bloquear alguns programas da mesma forma que a
firewall, mas é raro. Se acontecer, é fácil desligá-lo e depois voltar a ligar.
Como em tudo o resto, nada disto é garantia absoluta de que ninguém vos identifica como a
origem ou receptor de determinadas comunicações. É possível, se já houver suspeita de quem está
a comunicar com quem, comparar o momento de emissão e recepção de dados para ter uma
certeza bastante sólida de que determinado computador é o culpado.
Mais uma vez, nada disto desculpa o laxismo. Sempre vigilantes, cidadãos!
07 // Comunicações
Agora temos uma ideia de como proteger as nossas linhas de comunicação, mas não as
comunicações em si. O que quero dizer com isto? É que embora uma mensagem ou ficheiro possa
ter a sua origem disfarçada por uma proxie, se a comunicação em si não estiver de algum modo
protegida, ao ser interceptada será legível por qualquer um.
No entanto, não é preciso ter um para ter o outro. Por exemplo, uma empresa que está
preocupada com a segurança das suas comunicações (as notícias tornam bem claro que há
serviços secretos a suplementar os salários com um bocado de espionagem industrial) podem
encriptá-las para as tornar ilegíveis a quem não possuir as chaves certas.
Mas primeiro, o que é encriptação no sentido actual? Na sua essência é algo como os antigos
códigos secretos com os quais se codificavam mensagens importantes, mas elevado ao nível de
complexidade permitido pelos computadores actuais e usando sofisticadas fórmulas matemáticas.
Uma encriptação feita com os meios actuais, em que a chave criptográfica e/ou passwords estão
seguras, é teoricamente inquebrável (motivo pelo qual muitos governos gostariam de ver este tipo
de tecnologia longe as mãos da população, embora isso seja como fechar a Caixa de Pandora).
Ok, então vamos lá por partes. Email:
No que toca ao email, o mais comum é as pessoas usarem algo como o Gmail (ou Hotmail,
Yahoo, etc.). Este tipo de serviços são web based (com sede online, ou seja, correm no browser e
os dados não estão no vosso computador), o que significa que todas as informações de contacto,
emails e anexos estão no servidor da empresa dona do serviço. Nada bom. Um possível infiltrador,
se conseguir a vossa password, imediatamente fica com acesso a todos os vossos dados e emails.
A alternativa é usar um programa de email que sirva de repositório mais permanente à vossa
lista de contactos e que recolha os emails da conta para o vosso computador. Depois destes
estarem no disco, podem apagar os conteúdos na conta online (obviamente que se depois os
apagarem do disco, ficam apagados permanentemente). A desvantagem óbvia é que esses
conteúdos deixam de estar disponíveis em qualquer lado do mundo com acesso à Internet: apenas
no vosso computador. Há que pesar os prós e contras.
Mas atenção, apagar os emails da conta online não significa que desapareceram dos servidores
da Google ou da Microsoft. A Google, por exemplo, “mina” activamente as palavras que usamos
nos nossos emails à procura das nossas preferências (para melhor nos espetar um anúncio à
frente). Não só isso, mas é sabido que governos um pouco por todo o mundo adoram “minar”
esses dados da mesma forma, habitualmente com a desculpa de andarem à procura de terroristas,
mas está a tornar-se cada vez mais claro que a verdadeira preocupação é meter o bedelho na vida
dos cidadãos para reprimir activismo e insatisfação com o estado de coisas em que estamos. O
mais provável, quando apagamos emails da conta, é que os serviços guardem cópias longe do
alcance dos utilizadores, onde poderão ser minados para toda a eternidade. O ideal é encriptar
tudo e encriptar sempre.
Seja como for, o meu gestor de email favorito é o Thunderbird. Sendo um produto da mesma
equipa que o Firefox, possuí capacidades semelhantes de integração com Add-ons. Para encriptar
mensagens vamos precisar de um deles chamado Enigmail. Este é capaz de ser o software de
instalação mais difícil neste guia, mas a página-mãe oferece um bom guia. A pessoa que vai
receber o vosso mail encriptado precisa da mesma combinação de Thunderbid com Enigmail.
Quando estiverem montados, o que estes fazem é encriptar um email no vosso computador e
enviá-lo para o computador do destinatário, onde será desencriptado. Qualquer pessoa que
intercepte os dados só vai conseguir um bloco de texto cheio de números e letras
incompreensíveis. A mesma coisa para o servidor da conta de email, ISP, etc.. Apenas terão acesso
à mesma confusão encriptada. Só depois de estar no vosso computador é que o email é tornado
legível pelo Thunderbird e Enigmail.
No entanto, não se esqueçam que este método não esconde a origem dos dados. Para esconder
a origem dum email, há que seguir as instruções do capítulo anterior. Se quiserem esconder e
também encriptar, podem usar o Enigmail para encriptar e depois copiar o resultado para uma
conta de email que tenha sido acedida através do Tor e enviar a partir dessa ou tentar configurar o
Thunderbird para enviar através de proxies.
E é isso quanto ao email. Agora vamos ao chat (conversação):
As preferências para salas de chat têm variado com o tempo. Primeiro houve o IRC, depois
ficaram populares serviços como o Messenger da Microsoft e agora toda a gente usa o chat do
Facebook. Nenhum destes é uma boa solução para alguém preocupado com a sua privacidade.
Todos estes serviços possuem um intermediário que fica na posse do que dizemos e que
transmitem dados sem encriptação.
Não serve!
Recomendo duas soluções. Uma delas aproveita bases de contactos que já possam ter
estabelecidas em redes como o MSN Messenger. Se usam Windows ou Linux, o que fazem é pegar
neste programa chamado Pidgin, montá-lo para usar as redes da vossa escolha (aceita outras para
além da MSN, como a AIM e ICQ) e depois instalar um add-on chamado OTR. Se tiverem um Mac,
precisam do Adium (é parecido com o Pidgin, mas para OSX) que já vêm com o OTR. A pessoa com
quem estão a falar terá de fazer o mesmo. Agora, quando estiverem a conversar, basta ligar a
“conversação privada” e o add-on vai encriptar todas as vossas mensagens da mesma forma que o
Enigmail. Quem as interceptar ou armazenar só vai possuir texto sem sentido.
Se também se preocuparem com a violabilidade do vosso próprio computador, não será má
ideia ir às opções do Pidgin e Adium (ou doutros programas deste tipo) e dizer-lhes para não
guardarem logs das conversas e apagar os que já possam existir.
No entanto, se a pessoa com quem querem falar não é muito dada a tecnologias, poderão
considerar uma outra solução mais rápida (mas muito menos segura), o Cryptocat. Este chat corre
no browser à semelhança do chat do Facebook, mas encripta as mensagens antes de as transmitir
(pelo que o servidor do Cryptocat não recebe dados desencriptados). As sessões são temporárias e
todas as informações apagadas ao fim de uma hora de inactividade. Como é web based, funciona
em qualquer sistema operativo. Se puderem, não se esqueçam de apoiar os criadores do serviço
pelo seu trabalho.
Agora, aquela parte desagradável... Isto torna-vos 100% seguros? Não. Não existe tal coisa no
que toca a computadores e Internet. Se, por exemplo, o vosso computador estiver comprometido
com um keylogger (um programa que regista as teclas em que se carrega e envia esses dados para
uma terceira entidade), este vai invalidar todo o uso de encriptação porque detecta o que é escrito
antes de chegar a ser encriptado.
Outro problema potencial é a exploração de falhas de segurança nos browsers, o que poderia
ser usado de forma semelhante a um keylogger para detectar as informações que partilhamos
numa página como o Cryptocat antes destas serem sequer encriptadas.
No entanto, as probabilidades deste tipo de falha serem exploradas é reduzida
substancialmente se seguirem os bons hábitos de segurança descritos anteriormente, tais como
possuir um anti-vírus e firewall e manter o sistema operativo, browsers e programas de segurança
sempre actualizados. Senão, minas de volfrâmio.
08 // Telecomunicações
Este será um capítulo curto.
As comunicações por telefone e telemóvel NUNCA são seguras.
NEVER!
Fim.
Bom, ok, só umas notas sobre o assunto. Uma vez que toda a infraestrutura que suporta as
telecomunicações é opaca, não há forma de garantir que as empresas que providenciam esses
serviços fazem um bom trabalho em garantir a privacidade dos utilizadores. Não bastando isso,
colaboram activamente (ou certamente que não se opõem) a que forças de segurança sem
escrúpulos espiem os seus utilizadores de forma ilegítima, como temos visto acontecer
ultimamente em vários casos mediáticos.
As chamadas online são igualmente pouco seguras, embora alguns projectos comecem a dar
frutos, como o Zfone. Sem este tipo de acrescentos, não há nenhum programa de voz online que
seja seguro, inclusive o Skype (que supostamente possuí encriptação para as chamadas, mas cuja
implementação e permeabilidade deixam muito a desejar). Embora existam algumas soluções de
encriptação para smartphones, os dispositivos em si são perigosos de muitas outras formas e
constituem um “faroeste” em termos das aplicações que correm. Já se deram vários casos de
companhias que, por nenhum motivo inteligente, estavam a registar as mensagens, localização ou
utilização dos aparelhos por parte dos utilizadores.
Em conclusão, o Ministério incentiva a escrita. Mas não via smartphone.
09 // Encriptação de dados
Para aqueles que viajam com portáteis e discos externos, precisam de enviar ficheiros online de
forma segura ou simplesmente querem saber que quando estão longe do computador de casa ou
trabalho os vossos dados estão trancados a sete chaves, há que considerar a encriptação do disco
(ou partes dele).
Funcionando de forma semelhante à encriptação descrita anteriormente, a encriptação de
dados faz uma sopa de letras dos conteúdos dos discos rígidos de forma a que só quem possua a
password correcta possa desbloquear as informações. Podem escolher encriptar discos inteiros (a
opção mais segura, por exemplo, para um portátil), os quais só decriptam pelo uso duma password
que precede até o iniciar do sistema operativo. Mas calma lá, o sistema operativo não tem já
password para bloquear o acesso a utilizadores não autorizados? (Pergunta retórica – questionar o
Ministério a sério dá 7 anos nas minas de volfrâmio). Sim, mas para além desse tipo de
impedimento não ser muito resistente, tudo o que faz é negar o uso do sistema operativo em si. Se
alguém pegar no disco rígido e o ligar a um outro computador, tem acesso a todos os dados lá
dentro. Se alguém ligar um disco rígido encriptado, não terá acesso a nada.
Também podem escolher criar volumes encriptados. Estes são uma espécie de caixa de
tamanho pré-determinado (podem escolher quão grandes ou pequenos precisam de ser) onde
colocam ficheiros que desejam manter seguros dentro dum disco ou que querem copiar para outro
lado, online ou não. Só quem tiver a password (e o programa que encripta e decripta, obviamente)
é que tem acesso aos dados no interior.
Muitas outras coisas são possíveis, mas é melhor ler o manual para aprender mais. Agora, que
programa escolher? A recomendação normal é o Truecrypt. Parece ser bastante fiável,
competente, fácil de usar e suporta os três principais sistemas operativos. No entanto, existem
algumas dúvidas sobre a legitimidade dos criadores deste programa... Embora não hajam provas
concretas, os verdadeiramente paranóicos podem procurar uma alternativa mais aberta ao
escrutínio como o DiskCryptor (infelizmente só para Windows).
Tomem nota que a encriptação de dados não protege o computador ou os ficheiros quando
estão a ser usados. A partir do momento em que colocam a password, os dados são decriptados e
as regras normais aplicam-se. Já agora, por falar em passwords, não é má ideia manter uma
password dedicada só para a encriptação. Nunca usem a mesma password em tarefas de
encriptação que usam para serviços online.
10 // Deitar fora o lixo
Também é boa ideia correr ocasionalmente um programa de manutenção do sistema operativo
como o Glary Utilities e o CCleaner. São ambos para Windows e desconheço que alternativas
existam para outros sistemas operativos. Je suis désolé mas têm de procurar no Google ou usar um
site como o alternativeTo para encontrar programas semelhantes para a vossa plataforma.
Embora sejam extremamente úteis para eliminar o lixo de sistema que o computador gera
automaticamente durante o seu funcionamento (sim, já sei, o Linux não gera lixo!) e que, com o
tempo, pode começar a prejudicar a performance ou a criar falhas de segurança, não é esse o
principal motivo porque chamo a atenção para estes programas.
Ambos possuem funcionalidades para apagar de forma permanente ficheiros no computador.
Quando apagam um ficheiro da reciclagem, isto não significa que ele foi destruído. O que o
computador fez foi dizer “este bocado do disco já não está a ser usado, pode-se escrever por
cima”. Com o tempo, outros dados serão escritos por cima da zona liberta pelo “apagar” do
ficheiro e aí, sim, ele terá desaparecido realmente. Doutro modo, continua lá – apenas escondido.
Estas ferramentas permitem acelerar esse processo para que possam estar descansados de que
quando um ficheiro é apagado, fica apagado e não pode ser recuperado. Prefiro o Glary Utilities
para este propósito, uma vez que permite apagar ficheiros individuais (embora também possam
fazer o mesmo de forma mais abrangente).
Outro aspecto útil destas ferramentas é poderem verificar que programas estão a ser
executados (muitas vezes de forma escondida) ao iniciar o sistema operativo. Depois de verificar
estas listas, é possível desligar ou apagar os comandos que os executam. A preocupação é que,
muitas vezes, as empresas instalam software de segunda que se liga à Internet para, por exemplo,
ir buscar updates. Mas como a prioridade não é a segurança dos utilizadores mas poupar uns
cobres, estes costumam estar mal programados e cheios de vulnerabilidades. Verifiquem sempre
que programas correm de forma automática e desliguem o auto-iniciar dos desnecessários. Se eles
não oferecem essa opção, podem-no fazer através do Glary Utilities e do CCleaner.
No entanto, pesquisem sempre bem o que é que estão a modificar. Podem desligar um
programa legítimo por acidente (como o anti-vírus).
Conclusão
Um computador obedece. Dizemos-lhe que execute um programa e ele não saberá distinguir o
bom do mau. Executar o Windows ou executar um vírus é a mesma coisa. A sua obediência é, ao
mesmo tempo, a sua força e a sua fraqueza.
Da mesma forma, a grande vantagem da Internet – a sua abertura – é também o seu calcanhar
de Aquiles. Tal como podemos encontrar vastas quantidades de informação, podem ser recolhidas
vastas quantidades de informação sobre nós.
Quem as recolhe? Quem as usa? É legítimo que o nosso email possa ser monitorizado por
empresas e agências de espionagem? Veríamos da mesma maneira a violação sistemática do
correio tradicional? É legítimo que o acto de partilhar música seja visto como um crime digno de
anos de prisão?
Estas e outras perguntas precisam duma resposta de todos nós enquanto sociedade. Se forem
deixadas nas mãos de políticos que (na melhor das hipóteses) não sabem o que estão a fazer e de
cartéis de copyright com tiques ditatoriais cujo único interesse é estrangular a inovação e
preservar monopólios, então já sabemos o que daí vai resultar – o esmagar do pensamento e da
cultura livre, com a desculpa de nos estarem a defender do bicho-papão do terrorista, do pirata, do
pornógrafo. Um dia acordaremos e descobrimos que sacrificámos a nossa liberdade e a nossa
privacidade em troco de coisa nenhuma.
Mas até que o dia dessa discussão chegue, o Ministério da Verdade continuará vigilante...
...porque eles...
...eles andem aí.