Guia Simples de Segurança Online

Compreendendo a Internet

Cenário

Uma ótima introdução da EFF .

É importante entender que existem vários softwares fáceis e prontamente disponíveis que permitem a interceptação de seus dados. Por exemplo: Wireshark, Kismet, Firesheep, Etheral, Caim & Abel, etc …

Por esse motivo, é importante sempre usar SSL (por exemplo, aceite apenas HTTPS em vez de HTTP).

Outro cuidado importante com a segurança é ter uma VPN definida. Confira este guia .

Proteção contra vazamento de DNS

Mesmo com uma VPN, você ainda pode vazar informações por meio de seu DNS (consulte https://www.dnsleaktest.com ).

  • Se você usa o Firefox, configure em about: config :
network.proxy.socks_remote_dns: True 
browser
.safebrowsing.enabled: False
browser
.safebrowsing.malware.enabled: False
  • Não dependa do seu ISP para pesquisa de DNS. Em vez disso, edite seu para adicionar o servidor de nomes de sua VPN. Por exemplo, se você estiver usando PIA:/etc/resolv.conf
nameserver 209.222.18.222
nameserver
209.222.18.218
  • Eu também recomendo OpenDNS .

  • Se você for um usuário Linux, pode usar tcpdump para ver o tráfego DNS em tempo real.

Protegendo seu navegador

Para mecanismos de pesquisa que preservam a privacidade, altere seus padrões para Faroo, YaCy ou DuckDuckGo.

Para se proteger de algumas ameaças, use os seguintes complementos para Firefox e Chrome:

  • Adblock Plus : oferece alguns em seu menu suspenso e você pode querer aprender sobre os pontos fortes de cada um. Um bom filtro para começar a proteger sua privacidade é o EasyList.

Um guia sobre como criar seus próprios filtros Adblock Plus pode ser encontrado em http://adblockplus.org/en/filters .

Biscoitos

Cada vez que você carrega uma página da web, o software do servidor no site gera um registro da página visualizada em um arquivo de log. Isso nem sempre é ruim. Quando você faz login em um site, é necessário encontrar uma maneira de estabelecer sua identidade e rastrear quem você é, a fim de salvar suas preferências ou apresentar-lhe informações personalizadas. Ele faz isso passando um pequeno arquivo para o seu navegador e armazenando uma referência correspondente no servidor da web.

Tenha o hábito de limpar cookies em seu navegador. Por causa dos cookies, é importante desenvolver o hábito de pensar antes de clicar em links para sites enquanto estiver conectado às suas contas. Uma técnica é usar outro navegador que não esteja conectado às suas contas como uma ferramenta para testar a segurança de um link.

Uma opção mais conveniente, compatível com os navegadores atuais, é a navegação privada ou o modo de navegação anônima. Isso abre uma janela temporária do navegador que não salva o histórico de páginas visualizadas, senhas, arquivos baixados ou cookies. Ao fechar a janela de navegação privada, todas essas informações são excluídas.

Anonimizando a navegação

Seu ISP sabe tudo o que você pesquisa e faz. Para atividades de privacidade, a melhor opção é navegar com Tor ou I2P . No entanto, nenhuma solução é 100% segura!

Tor

Pacote Tor, navegação (quase anônima) funciona muito bem para navegação simples na web.

No entanto, se você deseja operar o serviço oculto, você precisa baixar e instalar o cliente Tor real:

$ apt-get install tor
$ service tor start

$ proxychains iceweasel

Isso é proxy para iceweasel. A porta padrão é 9050.

Você também pode configurar um servidor web na rede do Tor. A melhor opção é ThttpD (em vez de servidores convencionais, como Apache).

I2P

O I2P pode ser baixado em https://geti2p.net/en/download . Para instalar:

$ java -jar i2pinstall_0.9.13.jar 

Para iniciar:

$ cd ~/i2p/
$
./ip2router start

ou

$ ./runplain.sh 

O I2P funciona em redes sob firewall, mas pode funcionar melhor se você adicionar regras à porta 20000:

$ sudo iptables -I INPUT 1 -i wlan0 -p tcp --tcp-flags SYN,RST,ACK SYN --dport 20000 -m conntrack --ctstate NEW -j ACCEPT
$ sudo iptables
-I INPUT 1 -i wlan0 -p udp --dport 20000 -m conntrack --ctstate NEW -j ACCEPT

O comando anterior abre a página http://127.0.0.1:7657/configadvanced .
Aguarde a conexão e você estará pronto para navegar anonimamente.

A última coisa necessária é configurar um proxy para I2P por sua configuração de rede ou por meio de seu navegador .

Se desejar, você também pode configurar manualmente outros túneis em http://127.0.0.1:7657/i2ptunnel/list
.

Mensagens

As plataformas de mensagens comuns estão abertas ao mundo. Para se proteger, você deve criptografar suas mensagens. Algumas soluções são:

Ao usar IRC ou USENET, é importante configurar um túnel SSL (stunnel, por exemplo).

Criptografe seus dados

Se você quiser usar um serviço da web e ter certeza de que seu provedor não pode ler suas mensagens, você precisará usar algo como GPG, com o qual você pode criptografar o e-mail.

O cabeçalho do e-mail, entretanto, ainda conterá o IP (endereço de Internet) de onde o e-mail foi enviado junto com outros detalhes comprometedores.

Aprenda sobre o PGP. Aqui está meu guia .

Criptografe seu e-mail

Você pode usar um plugin como MailEnvelope ou configurar o Thunderbird com OpenPGP, desabilitando a opção de manter a mensagem no servidor.

Criptografe seu diretório pessoal

Em distribuições Linux, você pode criptografar o diretório inicial e a unidade inteira durante a instalação.

Nota: A criptografia não o protege se e quando sua máquina já estiver comprometida e seus pressionamentos de tecla e / ou atividade estiverem sendo registrados.

Todos os sistemas operacionais (Linux, windows, mac) suportam memória virtual . Você pode criptografar o arquivo de paginação ou espaço de troca para evitar que pessoas não autorizadas leiam sua memória virtual:

Criptografe seu hardware

TrueCrypt foi descontinuado em 2014. Você ainda pode encontrar seu código-fonte em TCNext, no entanto, este código não está sendo mantido.

Móvel

Dispositivos móveis não são seguros por definição. Primeiro, você deve fazer o root. Em segundo lugar, recomendo configurar uma VPN, usar o Tor e criptografar tudo.

Os desenvolvedores Android não devem * ativar a depuração USB em seu telefone por padrão. Isso permite que um invasor usando o shell adb do Android em um computador acesse o disco rígido do seu telefone sem desbloquear o telefone.

Apps para segurança

Protegendo sua conexão sem fio

Encontre seu roteador

Isso é feito localizando o endereço do seu gateway padrão. Digitar o seguinte no terminal fornecerá uma lista onde o gateway é o endereço que queremos, você pode abri-lo em seu navegador:

$ route -n

Se o gateway não funcionar para você, os outros três IPs de roteador mais comuns são 192.168.1.1, 192.168.0.1 e 192.168.100.1.

Use criptografia:

  • WEP (Wired Equivalent Protection) 64 bits e 128 bits: WEP é um padrão de criptografia sem fio antigo e desatualizado. Nunca use criptografia WEP, que pode ser hackeada em segundos. Jamais. Na verdade, você deve tirar sarro de seus amigos que o fazem.

  • WPA (Wi-Fi Protected Access): WPA também é conhecido como WPA-Personal. Esta é uma nova versão do padrão de criptografia sem fio e mais segura do que WEP.

  • WPA2: Este é o padrão de criptografia sem fio mais recente que fornece a melhor criptografia. Sempre use WPA2, se o roteador sem fio e o adaptador sem fio do laptop suportarem.

Altere o nome do seu SSID

Use filtros de endereço MAC

O endereçamento MAC é uma função da camada dois (datalink). Encontre o HWaddr digitando:

$ ifconfig

Para cada dispositivo que você deseja poder acessar seu wi-fi. Esta é apenas uma camada de segurança porque você pode alterar um endereço MAC no Linux simplesmente digitando:

$ ifconfig eth0 down
$ ifconfig eth0 hw ether
[new MAC address]
$ ifconfig eth0 up

Use o firewall do roteador

Outro bom recurso a ser procurado aqui são os logs do firewall, e você deve criar o hábito de verificá-los com frequência.

Desative o acesso de administrador remoto.

Altere a senha de administrador padrão.

Verifique as vulnerabilidades UdP:

Em https://www.grc.com/x/ne.dll?rh1dkyd2 .

Outras

Pare de usar senha de baixa qualidade

Se você usar senhas fracas, elas podem ser adivinhadas por ataques de força bruta.

Use um titular de senha, por exemplo Keepass .

Verifique se o seu e-mail está comprometido em https://shouldichangemypassword.com .

Sempre verificar os documentos que você baixa

$ sha1sum file
$ md5sum file

Metadados

Documentos (por exemplo, fotos) podem conter informações sobre sua localização, equipamento e muito mais. Antes de postar online, sempre remova os metadados dos documentos.

Nunca poste fotos diretamente de seu telefone. Remova os metadados antes de postar fotos online.

Cuidado com PDFs!

Tenha cuidado ao abrir arquivos PDF usando o Adobe Reader ou outros leitores de PDF proprietários.
Leitores de PDF de código fechado são conhecidos por serem usados ​​para executar códigos malignos embutidos no corpo do PDF.

Não execute código via JavaScript.

Você pode usar leitores de PDF que foram testados para vulnerabilidades conhecidas:

  • Linux: Evince, Sumatra PDF
  • OS X: visualização
  • Windows: Evince