Tópicos

Como estar seguro na Internet

Navegação com segurança

Última atualização: julho de 2022

Usar HTTPS

O passo mais importante para limitar a capacidade de um adversário de vigiar sua organização online é minimizar a quantidade de informações disponíveis sobre você e a atividade de seus colegas na Internet. Sempre verifique se você está se conectando a sites com segurança: certifique-se de que o URL (local) comece com “https” e mostre um pequeno ícone de cadeado na barra de endereços do seu navegador.

Quando você navega na Internet sem criptografia, as informações que você digita em um site (como senhas, números de conta ou mensagens) e os detalhes do site e das páginas que você está visitando são expostos. Isso significa que (1) quaisquer hackers em sua rede, (2) seu administrador de rede, (3) seu ISP e qualquer entidade com quem eles possam compartilhar dados (como autoridades governamentais), (4) o ISP do site que você está visitando e qualquer entidade com a qual eles possam compartilhar dados e, claro, (5) o site que você está visitando têm acesso a muitas informações potencialmente confidenciais.

Vamos dar um exemplo do mundo real de como é a navegação sem criptografia:

Diagram of browsing without encryption using only http
Adaptado de Como funciona a Internet do Projeto Totem (CC–BY–NC–SA)

Ao navegar sem criptografia, todos os seus dados ficam expostos. Como mostrado acima, um adversário pode ver onde você está, que você está acessando o news.com, olhando especificamente para a página de protestos em seu país e ver sua senha que você compartilha para fazer login no próprio site. Essas informações em mãos erradas não apenas expõem sua conta, mas também dão a possíveis adversários uma boa ideia do que você pode estar fazendo ou pensando.

O uso de HTTPS (“s” significa seguro) indica que a criptografia está em vigor. Isso oferece muito mais proteção. Vamos dar uma olhada em como é navegar com HTTPS (também conhecido como criptografia):

Diagram of browsing with encryption in transit using https
Adaptado de Como funciona a Internet do Projeto Totem (CC–BY–NC–SA)

Com o HTTPS em vigor, um adversário em potencial não pode mais ver sua senha ou outras informações confidenciais que você possa compartilhar com um site. No entanto, eles ainda podem ver quais domínios (por exemplo, news.com) você está visitando. E enquanto o HTTPS também criptografa informações sobre as páginas individuais de um site (por exemplo, website.com/protests) que você visita, adversários sofisticados ainda podem ver essas informações inspecionando seu tráfego na Internet. Com o HTTPS em vigor, um adversário pode saber que você está acessando news.com, mas não poderá ver sua senha e será mais difícil (mas não impossível) para ele ver que você está procurando informações sobre protestos (para usar este exemplo). Essa é uma diferença importante. Sempre verifique se o HTTPS está em vigor antes de navegar por um site ou inserir informações confidenciais. Você também pode usar a extensão de navegador HTTPS Everywhere para garantir que está usando HTTPS o tempo todo ou, se usar o Firefox, ative o modo somente HTTPS no navegador.

Se você receber um aviso do seu navegador de que um site pode ser inseguro, não o ignore. Algo está errado. Pode ser benigno – como o site tem um certificado de segurança expirado – ou o site pode ser falsificado ou falsificado maliciosamente. De qualquer forma, é importante prestar atenção ao aviso e não prosseguir para o site.

Usar DNS criptografado

Se você quiser tornar mais difícil (mas não impossível) para um ISP saber os detalhes dos sites que você visita, você pode usar o DNS criptografado. 

Se você está se perguntando, DNS e a sigla em inglês que significa Sistema de Nomes de Domínio. É essencialmente a lista telefônica da Internet, traduzindo nomes de domínio amigáveis ​​para humanos (como ndi.org) para endereços de protocolo de Internet (IP) amigáveis ​​para a web. Isso permite que as pessoas usem navegadores de Internet para pesquisar e carregar recursos da Internet e visitar sites com facilidade. Por padrão, porém, o DNS não é criptografado.

Para usar o DNS criptografado e adicionar um pouco de proteção ao seu tráfego de Internet ao mesmo tempo, uma opção fácil é baixar e ativar o aplicativo 1.1.1.1 da Cloudflare em seu computador e dispositivo móvel. Outras opções de DNS criptografado, incluindo o 8.8.8.8 do Google, estão disponíveis, mas exigem mais etapas técnicas para serem configuradas. Se você usa o navegador Firefox, o DNS criptografado agora está ativado por padrão. Os usuários dos navegadores Chrome ou Edge podem ativar o DNS criptografado por meio das configurações avançadas de segurança do navegador, ativando “usar DNS seguro” e selecionando “Com: Cloudflare (1.1.1.1)” ou o provedor de sua escolha.

O 1.1.1.1 da Cloudflare com WARP criptografa seu DNS e criptografa seus dados de navegação, com um serviço semelhante a uma VPN tradicional. Embora o WARP não proteja totalmente sua localização de todos os sites que você visita, é um recurso fácil de usar que pode ajudar a equipe da sua organização a aproveitar o DNS criptografado e a proteção adicional do seu ISP em situações em que uma VPN completa não é funcional ou necessária dado o contexto da ameaça. No 1.1.1.1 com configurações avançadas de DNS WARP, a equipe também pode ativar o 1.1.1.1 para Famílias para fornecer proteção adicional contra malware ao acessar a Internet.

O HTTPS é essencial e o DNS criptografado fornece alguma proteção extra contra espionagem e bloqueio de sites, mas se sua organização estiver preocupada com a vigilância altamente direcionada em relação às suas atividades online e enfrentar censura online sofisticada (como sites e aplicativos bloqueados), convém usar uma rede privada virtual (VPN) confiável.

O que é uma VPN?

Uma VPN é essencialmente um túnel que protege contra a vigilância e o bloqueio de seu tráfego de Internet por hackers em sua rede, seu administrador de rede, seu ISP e qualquer pessoa com quem eles possam compartilhar dados. Ainda é essencial usar HTTPS e garantir que você confie na VPN que sua organização usa. Veja um exemplo de navegação com uma VPN:

mapping photo
Adaptado de Como funciona a Internet do Projeto Totem (CC–BY–NC–SA)

Para descrever VPNs com mais detalhes, esta seção faz referência ao Guia de autodefesa contra vigilância da EFF:

As VPNs tradicionais são projetadas para disfarçar seu endereço de IP de rede real e criar um túnel criptografado para o tráfego da Internet entre seu computador (ou telefone ou qualquer dispositivo “inteligente” em rede) e o servidor da VPN. Como o tráfego no túnel é criptografado e enviado para sua VPN, é muito mais difícil para terceiros, como ISPs ou hackers em Wi-Fi público, monitorar, modificar ou bloquear seu tráfego. Depois de passar pelo túnel de você para a VPN, seu tráfego deixa a VPN para seu destino final, mascarando seu endereço de IP original. Isso ajuda a disfarçar sua localização física para qualquer pessoa que veja o tráfego depois que ele sair da VPN. Isso oferece mais privacidade e segurança, mas usar uma VPN não o torna completamente anônimo online: seu tráfego ainda é visível para o operador da VPN. Seu ISP também saberá que você está usando uma VPN, o que pode aumentar seu perfil de risco.

Isso significa que escolher um provedor de VPN confiável é essencial. Em alguns lugares como o Irã, governos hostis criaram suas próprias VPNs para rastrear o que os cidadãos estão fazendo. Para encontrar a VPN certa para sua organização e sua equipe, você pode avaliar as VPNs com base em seu modelo de negócios e reputação, quais dados eles coletam ou não e, claro, a segurança da própria ferramenta.

Por que você não deve usar apenas uma VPN gratuita? A resposta curta é que a maioria das VPNs gratuitas, incluindo aquelas que vêm pré-instaladas em alguns smartphones, vêm com um grande problema. Como todas as companhias e provedores de serviços, as VPNs precisam se sustentar de alguma forma. Se a VPN não vende seu serviço, como ela mantém seus negócios à tona? Solicita doações? Cobra por serviços premium? É apoiada por organizações de caridade ou financiadores? Infelizmente, muitas VPNs gratuitas ganham dinheiro coletando e vendendo seus dados.

Um provedor de VPN que não coleta dados em primeiro lugar é a melhor escolha. Se os dados não forem coletados, não poderão ser vendidos ou entregues a um governo, se solicitado. Ao analisar a política de privacidade de um provedor de VPN, veja se a VPN realmente coleta dados do usuário. Se não declarar explicitamente que os dados de conexão do usuário não estão sendo registrados, é provável que estejam. Mesmo que uma companhia afirme não registrar dados de conexão, isso nem sempre é garantia de bom comportamento.

Vale a pena fazer uma pesquisa sobre a companhia por trás da VPN. É endossada por profissionais de segurança independentes? A VPN tem artigos de notícias escritos sobre ela? Já foi pega enganando ou mentindo para seus clientes? Se a VPN foi estabelecida por pessoas conhecidas na comunidade de segurança da informação, é mais provável que seja confiável. Desconfie de uma VPN que oferece um serviço no qual ninguém quer apostar sua reputação ou que é administrado por uma companhia que ninguém conhece.

VPNs falsas no mundo real

Image showing a fake VPN

No final de 2017, após uma onda de protestos no país, os iranianos começaram a descobrir uma versão “gratuita” (mas falsa) de uma VPN popular que era compartilhada por meio de mensagens de texto. A VPN gratuita, que na verdade não funcionava, prometia conceder acesso ao Telegram, que na época estava bloqueado localmente. Infelizmente, o aplicativo falso nada mais era do que um malware que permitia às autoridades rastrear o movimento e monitorar as comunicações de quem o baixou.

Então, qual VPN devemos usar?

Se usar uma VPN faz sentido para sua organização, algumas opções confiáveis ​​incluem TunnelBear e ProtonVPN. Outra opção é configurar seu próprio servidor usando o Outline do Jigsaw, onde não há uma companhia gerenciando sua conta, mas em troca você precisa configurar seu próprio servidor. Se sua organização for um pouco maior, você pode considerar uma VPN empresarial que forneça recursos de gerenciamento de contas, como o plano de times do TunnelBear. Para certas organizações qualificadas na sociedade civil e no espaço de direitos humanos, o TunnelBear fornece créditos para uso gratuito de sua VPN (que geralmente custa cerca de US$ 3 por mês). Se você acredita que sua organização se qualifica e estiver interessada, entre em contato com [email protected] para obter mais informações.

Embora a maioria das VPNs modernas tenha melhorado em termos de desempenho e velocidade, vale a pena ter em mente que usar uma VPN pode diminuir a velocidade de navegação se você estiver em uma rede de largura de banda muito baixa, sofrer de alta latência ou atrasos de rede, ou sofrer interrupções intermitentes na Internet. Se você estiver em uma rede mais rápida, deve usar uma VPN por padrão o tempo todo.

Se você recomendar que a equipe use uma VPN, também é importante garantir que as pessoas mantenham a VPN ligada. Pode parecer óbvio, mas uma VPN instalada, mas não em execução, não oferece nenhuma proteção.

Anonimato através do Tor

Além das VPNs, você já deve ter ouvido falar do Tor como outra ferramenta para usar a Internet com mais segurança. É importante entender o que são ambos, por que você pode usar um ou outro e como ambos podem afetar sua organização.

Tor é um protocolo para transmitir dados anonimamente pela Internet, encaminhando mensagens ou dados através de uma rede descentralizada. Você pode aprender mais sobre como o Tor funciona aqui, mas resumindo, ele encaminha seu tráfego por vários pontos ao longo do caminho até o destino, de modo que nenhum ponto tenha informações suficientes para expor quem você é e o que você está fazendo online de uma só vez.

O Tor é diferente de uma VPN em alguns aspectos. Mais fundamentalmente, difere porque não depende da confiança de nenhum ponto específico (como um provedor de VPN). 

Este gráfico, desenvolvido pela EFF, mostra a diferença entre uma VPN tradicional e o Tor.

Communication methods photo

Communication methods photo

A maneira mais fácil de usar o Tor é através do navegador de Internet Tor. Ele funciona como qualquer navegador normal, exceto que encaminha seu tráfego pela rede Tor. Você pode baixar o navegador Tor em dispositivos Windows, Mac, Linux ou Android. Tenha em mente que ao usar o navegador Tor, você está apenas protegendo as informações que você acessa enquanto está no navegador. Ele não oferece proteção a outros aplicativos ou arquivos baixados que você pode abrir separadamente no seu dispositivo.  Lembre-se também de que o Tor não criptografa seu tráfego, portanto – assim como ao usar uma VPN – ainda é essencial usar práticas recomendadas como HTTPS ao navegar.

Se você quiser estender as proteções de anonimato do Tor para todo o seu computador, usuários mais experientes em tecnologia podem instalar o Tor como uma conexão de Internet em todo o sistema ou considerar o uso do sistema operacional Tails, que encaminha todo o tráfego através do Tor por padrão. Os usuários do Android também podem usar o aplicativo Orbot para executar o Tor para todo o tráfego da Internet e aplicativos em seus dispositivos. Independentemente de como você usar o Tor, é importante saber que, ao usá-lo, seu provedor de serviços de Internet não pode ver quais sites você está visitando, mas eles *podem* ver que você está usando o próprio Tor. Assim como ao usar uma VPN, isso pode aumentar consideravelmente o perfil de risco de sua organização, porque o Tor não é uma ferramenta muito comum e, portanto, se destaca para adversários que podem estar monitorando seu tráfego de Internet.

Então, sua organização deve usar o Tor? A resposta é: depende. Para a maioria das organizações em risco, uma VPN confiável que seja usada adequadamente por todos os funcionários em todos os momentos é mais fácil, mais conveniente e, na era de maior uso de VPN globalmente, é menos provável que levante bandeiras vermelhas. No entanto, se você não puder pagar uma VPN confiável ou operar em um ambiente onde as VPNs são rotineiramente bloqueadas, o Tor pode ser uma boa opção, se legal, para limitar o impacto da vigilância e evitar a censura online.

Há algum motivo para não usarmos uma VPN ou Tor?

Além das preocupações com serviços de VPN não confiáveis, a maior coisa a considerar é se o uso de uma VPN ou Tor pode atrair atenção indesejada ou, em algumas jurisdições, ser contra a lei. Embora seu ISP não saiba quais sites você está visitando enquanto usa esses serviços, consegue identificar que você está conectado ao Tor ou a uma VPN. Se isso for ilegal onde sua organização opera ou pode causar mais atenção ou risco do que simplesmente navegar na web com HTTPS padrão e DNS criptografado, talvez uma VPN ou especialmente o Tor (que é muito menos usado e, portanto, uma “bandeira vermelha” maior) não seja a escolha certa para sua organização. No entanto, à medida que o uso de VPN se torna mais comum, esse é um fator menos distintivo. O padrão de ter uma VPN o tempo todo é a melhor escolha, se legal e possível.

Qual navegador devemos usar?

Use um navegador respeitável, como Chrome, Firefox, Brave, Safari, Edge ou Tor. Tanto o Chrome quanto o Firefox são muito usados ​​e fazem um ótimo trabalho com segurança. Algumas pessoas preferem o Firefox devido ao seu foco na privacidade. De qualquer forma, é importante reiniciá-los e reiniciar seu computador com relativa frequência para manter seu navegador atualizado. Se você estiver interessado em comparar os recursos do navegador, confira este recurso da Freedom of the Press Foundation.

Independentemente do navegador, também é uma boa ideia usar uma extensão ou complemento como Privacy Badger, uBlock Origin ou Privacy Essentials da DuckDuckGo que interrompa os anunciantes e outros rastreadores de terceiros ao rastrearem onde você vai e quais sites você visita. E ao navegar na Internet, considere mudar suas pesquisas padrão do Google para DuckDuckGo, Startpage ou outro mecanismo de pesquisa que proteja a privacidade. Essa mudança também ajudará a limitar anunciantes e rastreadores de terceiros.

A segurança do navegador no mundo real

Adobe Browser

Ativistas da sociedade civil tibetana foram alvo no início de 2021 de uma extensão maliciosa de navegador projetada de forma inteligente para roubar seus e-mails e dados de navegação. A extensão intitulada “Componentes de atualização do Flash” foi apresentada aos usuários que visitaram sites vinculados a e-mails de phishing. Extensões de navegadores ou ataques complementares podem ser tão prejudiciais quanto o malware compartilhado diretamente por meio de downloads de phishing ou outro software.