Contate-me para feedback ou perguntas! Eu respondo todo mundo.

Guia ninja para a Internet

- Introdução -
- Sistemas Operacionais -
- Navegadores -
- Extensões de Navegadores -
- Ferramentas de Busca -
- Provedores de E-mail -
- Redes Virtuais Privadas -
- A rede Tor -
- Mensageiros Instantâneos -
- Armazenamento em Nuvem -
- Upload / compartilhamento de textos -
- Upload / compartilhamento de imagens -
- Upload / compartilhamento de vídeos -
- Tradução -
- Outros serviços relevantes -
- Hospedagem de Sites -
- A surface está condenada! -
- OPSEC -

Introdução

Provavelmente existem centenas de guias de privacidade na Internet por aí, e a maioria é terrível. Eles recomendam navegadores de empresas maléficas como o Mozilla Firefox; provedores de E-mail que coletam MUITO dos seus dados, como Mailfence ou Runbox; extensões inúteis ou maliciosas, como Privacy Badger ou NoScript; programas de comunicação que pedem seu número de telefone, como Signal ou Telegram; VPNs (Virtual Private Networks - Redes Virtuais Privadas) suspeitas, como Proton; se preocupam muito com onde um serviço está hospedado, em vez de se preocupar com suas políticas ou funcionalidades; caem em propagandas enganosas; têm recomendações "patrocinadas"; ignoram ótimos provedores, e falham em mencionar coisas essenciais que você DEVERIA fazer. Meu objetivo aqui é criar um guia completo que esperançosamente não sofrerá de nenhum desses problemas. E a melhor coisa é: você pode fazer tudo de graça! Por que um guia Ninja? Bem, eles se escondem nas sombras (arquivo). E isso parece legal pra caralho, não?

Sistemas Operacionais

Não há como evitar falar deles, uma vez que todos os seus programas rodam em cima de um em primeiro lugar. Obviamente, não use Windows - ele te espiona em quase tudo que você faz (arquivo) e tem atualizações automáticas que não podem ser desabilitadas na edição Home. Aparentemente, algumas novas atualizações têm permitido desabilitar um pouco mais da espionagem, mas isso ainda não salva esse sistema. Mesmo que você desabilite toda a Telemetria, Windows continua mandando 11 requisições não solicitadas por minuto (arquivo). Claro que Linux tem seus próprios problemas também - Ubuntu teve problemas com spyware (arquivo) no passado, e systemd é basicamente uma tentativa de tomar o controle (arquivo) do Linux por grandes corporações. A melhor coisa a se fazer aqui é usar uma distribuição Linux sem systemd, como a Salix.

Navegadores

Resumidamente, a maioria dos navegadores não ligam pra sua privacidade ou são até mesmo maliciosos; muitos desses que não sofrem com problemas de usabilidade, como não suporte à extensões* [**Nota do tradutor: não ficou muito claro o que ele quis dizer aqui]. Ungoogled-Chromium ou IceCat não enviam requisições não solicitadas e suportam extensões. No entanto, eles são dependentes das gigantes maléficas Google e Mozilla, respectivamente, então eu sugiro usar o não-spyware e fortalecido com extensões* [**Ele usa o termo "addon-hardened", que não tem tradução real] Pale Moon - que é independente dessas. Para mais informações, leia esse artigo.

Extensões de Navegadores

A extensão mais importante que oferece quase controle total do seu navegador é a uMatrix. Decentraleyes é outra extensão essencial que funciona em segundo plano, prevenindo conexões a Redes de Distribuição de Conteúdo* [**Content Delivery Networks] (que podem te rastrear por toda a Internet, por estarem presentes em muitos sites). WebRTC Control é essencial pra navegadores baseados no Chrome pra não vazar seu IP real atráves de VPNs / Tor. Mais informações aqui.

A maioria das ferramentas chamadas "privadas" dependem da Google, Bing ou Yahoo para exibir os seus resultados, e já podem ser consideradas comprometidas por padrão. O pior é que muitas delas estão fazendo seu próprio rastreamento ou têm outras falhas. As únicas que têm seus próprios índices são a Mojeek e a Wiby - mas ambas têm resultados fraquíssimos. Se você não se importa em confiar nos violadores - uma boa instância da SearX é sua melhor aposta. Mais informações aqui.

Provedores de E-mail

RiseUp é o melhor, e é gratuito - mas você precisa de um convite. Não requer informações pessoais para cadastrar-se, tem domínios na rede onion, suporta clientes de email e tem aliases infinitos (permitindo cadastrar-se em muito lugares com diferentes identidades), além de ter uma ótima política de privacidade. Disroot não precisa de um convite, mas não tem domínio na rede onion e tem um filtro terrível de spam que bloqueia provedores legítimos; seu recurso de alias é pago também. Dos comerciais, Posteo é sua melhor aposta. Clique aqui para um artigo que analisa os principais provedores a fundo.

Redes Virtuais Privadas

Não se aventure por ai sem isso! Mas tenha certeza de usar uma confiável. O único provedor gratuito confiável é o RiseUp. Claro, você pode sempre pagar por um bom provedor, como Mullvad - que vai te prover mais servidores ao longo do mundo, permitindo burlar bloqueios e banimentos. A indústria de VPN* (**Virtual Private Network) é suja pra caralho - então tome cuidado ao escolher uma. Evite "apps" customizados que te roubam o controle - mude para WireGuard ou OpenVPN. Veja como configurar o último:

  1. Primeiro de tudo, pegue um arquivo de configuração do protocolo OpenVPN do seu provedor e coloque-o em /etc/openvpn
  2. Agora nós vamos precisar definir algumas regras de firewall que irão prevenir vazamento do nosso endereço IP real. Instale o pacote ufw se você ainda não tiver.
  3. No arquivo de configuração, ache uma linha que começa com "remote". Anote o IP e a porta. Agora digite isso no terminal: sudo ufw allow out to [IP] port [PORTA]. Claro, substitua IP e PORTA com os valores anotados. Isso vai permitir o sistema conectar à VPN através do firewall.
  4. Agora ache a linha que começa com dev tun. Mude o tun pra algo reconhecível, como tun_myvpn.
  5. Digite essas duas regras no terminal: sudo ufw allow in on tun_myvpn e sudo ufw allow out on tun_myvpn. Isso vai permitir conexões de entrada e saída através da VPN.
  6. Agora digite sudo ifconfig. Observe se o IP aparece após inet. Esse é o seu IP local (roteador).
  7. Permita-o através do firewall assim: sudo ufw allow out to [IP_LOCAL] . Isso permitirá estabelecer a conexão com a VPN.
  8. Pra configurar o sistema pra usar o DNS da VPN e não o do seu provedor, digite sudo resolvconf -l. Agora copie os nameservers e coloque-os no arquivo /etc/resolv.conf (nameserver 172.27.0.1 pra RiseUp, por exemplo). Sem esse passo, seu provedor vai continuar sabendo cada site que você visita.
  9. Agora torne o arquivo /etc/resolv.conf imodificável, seja usando chattr +i ou colocando nohook resolv.conf wpa_supplicant no /etc/dhcpcd.conf (minha opção preferida). Isso vai prevenir o sistema de sobrescrever os servidores DNS da sua VPN com os do seu provedor.
  10. Finalmente, libere os servidores DNS da VPN através do firewall; assim como antes - sudo ufw allow out to [DNS_IP] (você digitou os endereços no resolv.conf, então permita todos). Sem esse passo, você não será capaz de conectar a nenhum domínio, a menos que você saiba o IP deles (já que bloqueamos o resolvedor do provedor).
  11. Tudo que resta é bloquear tudo, exceto o que especificamos. sudo ufw default deny incoming e sudo ufw default deny outgoing. Essa é a parte que que realmente mantém suas coisas seguras.
  12. Pra habilitar o firewall pra inicializar junto com seu sistema, adicione esse código ao arquivo /etc/rc.d/rc.local:

    if [ -x /lib/ufw/ufw-init ]; then
    /lib/ufw/ufw-init start
    fi

    Isso é pra sistemas baseados no Slackware e pode não ser necessário em outros. Pesquise por ai por equivalentes.

É isso para OpenVPN! De qualquer forma, navegadores podem vazar seu IP real através de WebRTC, então você vai ter que desabilitar isso também. Firefox usa a entrada media.peerconnection.enabled no about:config, enquanto navegadores baseados no Chrome precisam de uma extensão, como a WebRTC Control (usuários do Pale Moon não precisam fazer nada). Uma versão anterior desse artigo sugeria desabilitar o IPV6 no sistema, mas isso não parece ser necessário se você fizer tudo corretamente. De qualquer maneira, aparentemente algumas VPNs vazam seu IP se você não fizer, então se a sua é uma dessas, faça todos os passos para ficar seguro (versão anterior tinha apenas o passo 1, mas parece não ser sempre eficiente):

net.ipv6.conf.wlan0.disable_ipv6 = 1
se net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

Agora rode a VPN com um comando como cd /etc/openvpn; sudo openvpn [arquivo_config_vpn.conf]. Então acesse o https://ipleak.net pra checar vazamentos. Um resultado sem vazamentos da VPN da RiseUp, por exemplo, se pareceria com isso.

Mantenha em mente que você continua confiando em qualquer VPN que você use - teoricamente, eles poderiam te espionar se quisessem - mas, eventualmente, essa informação vazaria (e já aconteceu com algumas VPNs). De qualquer forma, elas são muito superiores à confiar no seu provedor - que tem seu nome real e endereço, guarda todos os seus logs, e vai certamente trabalhar com a polícia. No caso de você pensar que VPNs não são o suficiente - existem maneiras de aumentar sua privacidade ainda mais:

A rede Tor

Uma rede que permite (relativamente) navegação anônima - leia a primeira seção do meu artigo se você quiser saber mais (mas não fique desencorajado - ainda continua útil). Primeiro, ache o pacote Tor no Gslapt e instale-o. A configuração padrão requer um usuário separado para rodá-lo - então vamos criar. Se estiver usando o Salix XFCE, clique no botão do Salix no canto inferior esquerdo e vá até Sistema > Usuários e Grupos (outras distros devem ter ferramentas similares). Clique no botão Gerenciar Grupos, então Adicionar, e digite tor em nome do Grupo. Agora que você adicionou o grupo tor - está na hora de criar o usuário tor e adicioná-lo à esse grupo. Feche o menu de Grupos e clique em Adicionar. Digite tor no campo de Usuário e qualquer coisa que você quiser no campo Nome Real. Agora mude para a aba de Grupos e escolha tor como seu grupo principal. Clique em OK e você acabou aqui. Agora digite esses comandos no terminal: sudo chown -R tor /var/log/tor, então sudo chown tor /var/lib/tor. Isso fará com que o usuário recentemente criado tenha acesso a diretórios necessários pelo Tor, então ele terá as permissões para usá-los.

Agora a parte divertida - configurando seu navegador para usar o Tor. No Pale Moon, vá até Ferramentas -> Preferências -> Avançado -> Rede -> Configurações. Escolha configuração de Proxy manual e - no campo SOCKS Host - digite 127.0.0.1 como servidor, e 9050 para a porta. Não tem necessidade de usar a opção Usar proxy para realizar consultas DNS, já que iremos configurar o TorDNS no sistema de qualquer forma; mas marque SOCKS5 invés de 4. Agora você irá visitar toda a surface através da rede Tor. Você também pode adicionar a extensão Proxy Privacy Ruler no topo dessa configuração, então o Tor será habilitado apenas para Abas Anônimas ou certos domínios. De qualquer forma - já que o Tor resolve domínios onion através do seu próprio DNS - você precisa habilitar essa funcionalidade para se conectar a eles. Primeiro, adicione essas duas linhas no fim do seu arquivo /etc/tor/torrc:

DNSport 53
AutomapHostsOnResolve 1

Então, adicione essa linha: nameserver 127.0.0.1 no seu arquivo /etc/resolv.conf, pra usar o Tor como resolvedor DNS. Sem isso, domínios .onion falharão em ser resolvidos, já que um servidor padrão de DNS não os "entende". Agora, a rede Tor não está limitada a navegação web - qualquer programa que tenha configuração de proxy (por exemplo, mensageiros instantâneos, ou leitores RSS) podem ser configurados para usá-la. Mesmo que eles não tenham, uma ferramenta chamada proxychains-ng pode lidar com isso. Apenas instale-a a partir do seu repositório (maioria das distros devem tê-la) e rode-a no terminal assim: proxychains4 filezilla (substitua filezilla pelo programa que você quer rodar). Para proteção extra, emparelhe sua rede Tor com a VPN que você configurou antes. Comparado ao Tor sozinho, essa configuração tem a vantagem de manter seu IP real escondido em caso de um vazamento do Tor ou apenas uma aplicação que não suporta (qualquer coisa que use UDP). Também, leia meu artigo Evitando "A Botnet" - impossível? antes de se tornar confiante demais em VPNs ou Tor (na verdade, qualquer coisa que você faz eletronicamente ou até na vida real).

Mensageiros Instantâneos

XMPP + criptografia OMEMO é a melhor configuração. Coisas novas lixosas continuam aparecendo, mas essa ainda continua a melhor. PSI, Dino, Pidgin (implementação fraca), Gajim e Conversations são alguns dos clientes que suportam. Não use Signal ou Telegram (apesar de pretenderem privacidade*) [**Ele usa o termo "sustained shilling" que, aparentemente, não tem tradução literal] - eles pedem pelo seu maldito número de telefone! Discord é ainda pior. WhatsApp é do Facebook - já disse o suficiente. Skype trabalha diretamente com o programa Prism, e costumava redirecionar pessoas chinesas para uma versão modificada, que permitia o governo chinês a implementar censura e vigilância. XMPP é descentralizado - qualquer um pode rodar um servidor, então você deve escolher algum com uma boa privacidade, como o da RiseUp (informações privilegiadas - eles parecem estar querendo descontinuá-lo), Snopyta ou Autistici (que você consegue ao criar uma conta de E-mail). Não pule a criptografia, mesmo que você esteja usando um programa e um servidor seguro! Essa é a principal lição aqui.

Armazenamento em Nuvem

Adquira o hábito de salvar tudo localmente! E faça a porra dos backups, puta merda - não seja o palhaço que perde tudo por conta de um malware, falha de hardware, roubo, ou qualquer outra coisa. Tudo que você precisa é de um simples pendrive USB ou um cartão SD. De qualquer forma, eu pesquisei a maioria dos provedores gratuitos de armazenamento em nuvem e eles pedem seus dados pessoais, como nome ou número de telefone, não suportam a língua Inglesa, parecem ser gratuitos mas são pagos, ou têm outros problemas. Disroot é o único com uma nota aceitável - mas a Nextcloud é poluída* [**bloatware] e eles vão deletar sua conta se você 'uploadar' algo contra os Termos de Serviço deles (a menos que você remova o arquivo ofensivo em 24 horas). Se você decidir usar esses serviços de qualquer forma, lembre-se que você pode proteger seus arquivos com senha (por exemplo, com o comando gpg -c manual_terrorismo.pdf) dos administradores ou outros bisbilhoteiros, e pode continuar compartilhando-os com as pessoas que você quiser.

Upload / compartilhamento de textos

Também conhecido como o famoso pastebin. Deep Paste (apenas onion) é o melhor - simples, não requer JS; suporta públicas, privadas e auto-destrutivas pastes - e não deleta nada. O serviço do Snopyta (onion), ou outro PrivateBin, é outra opção, mas requer JS (apesar de que você obtém mais funcionalidades, incluindo proteção por senha e criptografia - mas qualquer um que saiba o link pode descriptografar). Não use Ghostbin (usa cloudflare, sem política de privacidade), 0bin (admitiram que não se importam com a privacidade dos seus uploads), ou pastebin (o pior - guarda seu IP e outros dados, não é criptografado, admitiu censurar [arquivo], usa Google Analytics, e tem propagandas direcionadas).

Upload / compartilhamento de imagens

Coinsh (onion) é o único bom - Nenhum dado será mantido seja lá quem inseriu qual moeda-- tudo que eu vou pegar é um registro de data/hora. Não requer JavaScript, e também é integrado com IPFS (isso significa que a imagem nunca vai cair contanto que pessoas suficientes estejam vendo-a - similar com o que a Freenet faz). ATUALIZAÇÃO: se foi por muito tempo, agora está de volta, mas não permite uploads. Use lainsafe até alguém criar outra instância coinsh.

Upload / compartilhamento de vídeos

Infelizmente, nada se compara ao Youtube em termos de quantidade de usuários e conteúdo. Independentemente da sua integração com o Google, política de privacidade absolutamente terrível, UI bagunçada, "funcionalidades" merdas como autoplay / auto-carregamento do próximo vídeo, assim como propagandas e massivos problemas de censura (arquivo) - nós temos que lidar com isso se queremos os vídeos. Há duas boas maneiras de fazer isso - uma é o Invidious, que remove o bloatware da UI e agora não requer conexões com a Google pra assistir os vídeos (se você escolher a qualidade dash como preferida nas configurações). A outra é o youtube-dl, que, ao baixar o vídeo em vez de usar o servidor de alguém, evita completamente problemas como limitação etc. O vídeo é agora apenas um arquivo no seu dispositivo - você faz o que você quiser com ele. Claro, se você quiser as "funcionalidades" como comentários, você tem que sucumbir à botnet e logar com sua conta da Google (que eu não recomendo, claro). E sobre as chamadas alternativas ao youtube? Resumidamente - são todas um lixo. Vimeo e Dailymotion têm muito menos conteúdo e suas políticas de privacidade não são boas de qualquer forma. Bitchute requer uma checagem da cloudflare no navegador antes que você possa acessá-lo. Brighteon é anti-censura mas requer um convite (realmente gosto do conteúdo de lá). Você pode tentar usar algumas instâncias do peertube, mas elas podem morrer a qualquer hora (claro, já que não são patrocinadas por uma corporação grande) e existem tantas que você pode esquecer sobre ganhar popularidade como um criador de conteúdo (já que não tem uma base de dados grande e centralizada para as pessoas acharem seus vídeos - um problema comum nos serviços descentralizados). Infelizmente, não prevejo isso sendo resolvido até que a Google foda tanto com os criadores de conteúdo que todos decidam fazer as malas, sair e criar sua própria alternativa do YouTube - o que eles não farão, desde que ganhem o dinheiro dos anúncios - então o capitalismo tem que morrer primeiro.

Tradução

O tradutor Swisscows costumava ser recomendado aqui, mas morreu. Existem algumas maneiras de traduzir localmente, embora eu não saiba nada sobre elas. ATUALIZAÇÃO: um dos nossos membros do chat conseguiu instalar o Apertium e disse que funcionou okay. ATUALIZAÇÃO 2: um proxy decente para o Tradutor da Botnet agora existe.

Outros serviços relevantes

Cockfile te permite hospedar um arquivo por 24 horas e alega não manter logs. O limite de tamanho é 5GB e tem algumas restrições de formatos de arquivos. Lufi do Disroot é um serviço similar com um período de 60 dias e limite de 1GB. Ele também criptografa seus arquivos, então até mesmo os administradores não podem ver o conteúdo. Snopyta, em adição ao que eu mencionei antes, provê vários outros serviços, como um Git, uma instância do YaCy (resultados de pesquisa fracos, mas completamente descentralizado), um servidor do Mumble (chat de voz), edição colaborativa e outros - muitos desses têm serviços ocultos.

Hospedagem de Sites

Neocities continua cabeça e ombros acima de outros serviços da surface - tem 1GB de armazenamento, integração IPFS, doação bitcoin embutida, assim como algumas funcionalidades quase-redes sociais que permitem você encontrar outros sites interessantes, postar comentários, etc. Contudo, em termos de privacidade ou censura, é uma caixa preta (embora eu não tenha ouvido falar de nenhum caso real). Todo o resto sofre de algumas falhas, como pedir dados pessoais, velocidade lenta, tempos de inatividade forçados ou anúncios (especialmente se for gratuito), e o mais importante - políticas merdas de censura (arquivo). Sua melhor aposta é hospedar o seu site na Freenet ou encontrar um provedor na rede Tor. E com isso, nós vamos para a seção mais importante...

A surface está condenada!

No fim, sempre que usamos um serviço da surface, nós estamos confiando em algum servidor controlado por um estranho ou uma grande corporação que pode implementar quaisquer políticas que quiser e alterá-las a qualquer momento. Também podem morrer, claro, e levar seus dados (grandes corporações são resistentes a isso, mas, mesmo assim...). A Internet tem sido consolidada nas mãos de alguns jogadores como Cloudflare, Amazon, Google, Twitter e Facebook. Você sabia que, por exemplo, mesmo que o site que você estiver conectando não tenha elementos de nenhum desses, ele ainda pode passar pelos seus datacenters (você pode confirmar isso através de um monitoramento de rede)? Sem mencionar o fato de que todas as conexões passam por alguns provedores, que podem não apenas instalar suas próprias políticas, mas também estão sujeitos à crescente repressão dos governos à liberdade de expressão (ou até leitura gratuita) e privacidade. Pra burlar isso, precisamos confiar em soluções descentralizadas que são mais difíceis de censurar ou bloquear. Algumas delas são a ZeroNet, RetroShare, Tor e IPFS (todas essas têm sérios problemas), e a Freenet, que é, na minha opinião, a única decente entre essas (mesmo que não seja tão boa). A descentralização tem muitas falhas em geral (algumas eu abordei na seção de Vídeos) - de qualquer forma, se a surface se tornar inutilizável, nós vamos ter que, sem escolha, nos mudarmos dela, e esperar por sua melhoria inevitável (ou ajudar isso a acontecer se você puder!). Freenet é a mais antiga e é a única que permite hospedar um site sem estar online 24 horas por dia. Não pode ser censurada e pode ser tornada altamente anônima com as configurações de segurança certas (você escolhe o nível de compromisso que irá assumir). Eu recomendo se mudar pra ela agora mesmo já que eu não dou mais muito tempo pra surface. Mas também leia Evitando "A Botnet" - impossível? pra alguns esclarecimentos sobre descentralização e a internet no geral (pequeno resumo: nós vamos precisar da estrutura física eventualmente). Mas, por agora, a Freenet é nossa esperança!

OPSEC

Segurança / privacidade não é apenas sobre os programas e serviços, mas o seu comportamento também. Tente não colocar seus dados pessoais na internet - como nome ou número de celular - bem como, preferencialmente, quaisquer detalhes da vida real que possam conectar sua atividade na Internet à sua personalidade real (pessoas tiveram suas vidas arruínadas por não seguir esse conselho). A menos que esses detalhes sejam coisas que você quer que sejam reveladas - mas então, faça isso com uma nova conta numa plataforma que não os usará contra você. Por exemplo, se você tiver uma conta do Reddit com milhares de postagens, você pode não querer anexar isso a um evento em que já esteve na vida real, como um protesto ou algo assim. É uma boa ideia ter várias identidades na internet, dessa forma, uma conta com a qual você se importa não é "manchada" por algo estúpido que você disse em um fórum de videogame ou qualquer outra coisa.

Obviamente, faça backups regularmente dos seus dados, então malwares, uma invasão ou falha de disco não irão te prejudicar. Tenha várias camadas de segurança - use o Tor para qualquer programa que suporte-o, junto com uma VPN e provedores confiáveis. Criptografe sua comunicação, assim como seus dados no disco. Para as coisas realmente sensíveis, você pode até querer usar outra instalação ou um computador totalmente novo com uma rede WiFi pública longe de sua casa, (o SO Heads é frequentemente usado para esses fins). Use senhas diferentes para todas as contas que você se preocupa. Exclua todo o registro de E-mail, para que, no caso de ser hackeado, o invasor não possa simplesmente usar a função "lembrar a senha" de todas as suas contas. Obviamente, não baixe programas não confiáveis, como um script de imageboards suspeitos (lol), a menos que você possa ler e entender o código (ainda assim, já ocorreu malware até nos repositórios oficiais do Linux (arquivo)). Se você for hardcore, você também pode usar o Firejail para colocar algumas aplicações em uma sandbox, ou até usar alguma distribuição focada em segurança, como Qubes ou Whonix (mesmo que, por padrão, as aplicações no Linux tenham todas as permissões do usuário que as rodou). Tem muito mais para cobrir aqui - existem livros inteiros sobre OPSEC - mas isso já é um bom começo. Contudo, se você estiver tentando fazer algo que poderia realmente te causar problemas - vá para a darknet, encontre pessoas com experiência, faça perguntas. Não confie nesse guia totalmente não profissional.

Traduzido por kaifeng e Andras

Voltar à página inicial