Artigos Tecnologia

Parte 1 | Como permanecer e navegar de forma seguro na Internet

Nesse momento, observar que as pessoas agora estão mais preocupadas com a privacidade online do que nunca, não é uma observação nova. O que é fascinante, porém, é que o interesse pela segurança digital pessoal permaneceu alto desde que o problema explodiu cerca de sete anos atrás. Em outras palavras, em vez de sofrer um pico de curta duração, a conscientização da privacidade digital foi sustentada.

Isso é especialmente encorajador para mim, pois adquiri minha formação em tecnologia precisamente pelo desejo de garantir minha própria autonomia digital.

Sei tão bem quanto qualquer um que nem sempre é claro para onde recorrer para melhorar a segurança digital. Controlar o assunto pode parecer como tentar pular em um trem em movimento. Para estender a metáfora, este artigo pode lhe dar um começo em execução. Minha esperança é que, a partir da perspectiva de alguém que, há pouco tempo, provavelmente soubesse menos do que você agora, você desenvolva uma base suficiente para seguir em frente por conta própria.

Colagem do modelo de ameaças

Então por onde você começa? Simplesmente consigo mesmo. Todo o objetivo da segurança é proteger o que é valioso, e o que é valioso é diferente para todos. Conseqüentemente, a segurança é possível somente após você determinar o objeto de valor. Somente então você poderá avaliar até onde ir para salvaguardá-lo.

Antes de pensar nos meios, você deve selecionar o fim. No caso de segurança digital, você precisa descobrir o que está tentando proteger. Isso pode ser tão simples quanto certos arquivos em seus dispositivos ou o conteúdo de suas comunicações com os associados.

Poderia ser mais abstrato. Por exemplo, como consequência do seu comportamento, certos detalhes pessoais sobre você – embora não contidos em arquivos como tais – podem ser inferidos e capturados automaticamente como fluxos de dados semelhantes a arquivos, chamados “metadados”.

No contexto da segurança digital, tudo assume essencialmente a forma de informação, portanto, você precisa pensar muito sobre as informações que está protegendo e todas as formas que elas podem assumir ou como elas podem ser acessadas. Isso pode ser uma tarefa bastante inicial, mas fica mais fácil com a prática.

A definição das informações que você deseja proteger fornece o primeiro componente que compreende o que é chamado de “modelo de ameaça” – basicamente sua visão estratégica de alto nível de como manter suas informações seguras. No contexto do seu modelo de ameaça, suas informações avaliadas passam pelo nome mais sucinto de “ativo”.

Depois de definir seu ativo, é hora de identificar seu “adversário”, que é o nome glorificado para as entidades que desejam obter seu ativo. Isso exerce uma forte influência sobre a aparência final do seu modelo de ameaça – sua estratégia para manter seu ativo parecerá muito diferente dependendo se seu adversário é seu vizinho intrometido ou um governo hostil.

Ao contemplar seu adversário, é fundamental enumerar ameaças realistas. Pode parecer contra-intuitivo, mas, como você verá no final desta cartilha, na verdade não ajuda a superestimar seu inimigo.

A palavra “adversário” pode evocar um inimigo diabólico, mas esse não precisa ser o caso. Embora você não deva inflar seu antagonista, também não deve ignorá-lo. Embora seja muito fácil destacar um adversário como um coletivo de hackers criminosos (se esse é realmente o seu) por sua intenção explícita, seu adversário pode ser um serviço que você usa de bom grado, mas não confia totalmente. O ponto é que você precisa catalogar todos os jogadores que desejam seu ativo, independentemente do motivo.

Com esses dois pilares, é hora de terminar o tripé: contabilizando seus ativos e adversário, você precisa dimensionar os meios que o adversário tem à sua disposição e, mais importante, os meios que você tem e os comprimentos que deseja seguir para proteger seu ativo. Essas duas últimas coisas nem sempre são as mesmas – daí a distinção.

Felizmente, há uma abundância de ferramentas disponíveis para manter seu ativo seguro, se você souber usá-lo. Melhor ainda, os mais eficazes são gratuitos. O limite real na prática é o da autodisciplina. Lembre-se de que uma poderosa salvaguarda é inútil sem a determinação de utilizá-la de forma consistente, sem ceder.

Categorizar e priorizar

Eu gosto de pensar nos adversários como ocupando uma das três categorias:

  • Os adversários da categoria 1 são entidades envolvidas no que é popularmente chamado de “capitalismo de vigilância”, mas tecnicamente referido como “mineração de dados”. Operando predominantemente no setor privado, os atores da categoria 1 são aqueles que coletam passivamente informações suas como consequência do uso de seus serviços. No entanto, nos últimos anos, aprendemos que as empresas ultrapassam esse pacto implícito de coletar dados sobre indivíduos, mesmo quando esses indivíduos não fazem negócios explícitos com eles . Geralmente, esses adversários não buscam seus dados diretamente. Em vez de vir até você, eles esperam que você vá até eles. Portanto, eles podem ser frustrados por escolhas de consumidor mais espertas.
  • Os adversários da categoria 2 são aqueles que empregam técnicas principalmente ofensivas para executar ataques direcionados e não direcionados (ou seja, indiscriminados) aos usuários. Essa categoria inclui um espectro diversificado de atacantes, de chapéus pretos solitários a empresas criminosas sofisticadas. O que todos eles têm em comum é que seus métodos são invasivos, violam ativamente as defesas e definitivamente não são sancionados legalmente.
  • A categoria 3 abrange os adversários mais formidáveis ​​- inimigos que podem alavancar os recursos do estado. De fato, os atores desta categoria são os únicos que se qualificam para o termo de consenso em segurança da informação “ameaças persistentes avançadas” ou APTs. Como os oponentes da categoria 2, eles conduzem operações ofensivas invasivas, mas o fazem com os recursos financeiros de uma facção política ou governo por trás deles e, em muitos casos, a imunidade legal de uma delas também.

Essa é minha própria taxonomia, e não os termos aceitos do setor, mas minha esperança é que ela ilustre os tipos de adversários que você pode enfrentar com vivacidade suficiente para ajudar na modelagem de ameaças.

Você terá que julgar por si mesmo qual dessas categorias descreve melhor seus adversários, mas existem alguns diagnósticos rápidos que podem ser executados para caracterizar o que você precisa observar, com base em seus ativos e nos próprios adversários.

Se você não considera seu trabalho particularmente sensível e apenas deseja atenuar o fator assustador dos detalhes pessoais íntimos, armazenados e analisados ​​constantemente e sem piedade, você está enfrentando um cenário de categoria 1. A maioria de vocês provavelmente se encontrará neste barco, especialmente se você confiar em algum grau em redes sociais ou serviços de comunicação operados por empresas de tecnologia voltadas para a receita publicitária.

Para aqueles que possuem informações altamente valiosas, como dados financeiros com mais de seis dígitos, há uma boa chance de você precisar se armar contra invasores da categoria 2. A natureza lucrativa das informações que você manipula significa que você provavelmente atrairá atores que trabalharão específica e ativamente para violar suas defesas e roubá-las de você.

Lidar com dados verdadeiramente confidenciais, do tipo que pode significar vida ou morte para certas pessoas, expõe você a adversários da categoria 3. Se você é o tipo de pessoa que corre o risco de ser atacada por um ator estadual, como um jornalista de segurança nacional ou um profissional do setor de defesa, você já sabe disso. Se afastar os invasores da categoria 3 é a sua realidade, você precisa de muito mais segurança operacional do que eu poderia fornecer. Meu tratamento com os atores da categoria 3 será mais para mostrar uma imagem completa para os leitores em geral e para transmitir uma sensação de escala de possíveis contramedidas.

Próximos passos

Até agora, você deve ter uma noção do que é seu ativo e qual adversário ele atrai. Isso está alinhado com o meu roteiro para esta série de quatro partes. As parcelas subsequentes se concentrarão na determinação de quais ferramentas e práticas seus ativos e adversários precisam.

Os próximos três artigos desta série fornecerão algumas ferramentas para combater cada uma das categorias adversárias. Na próxima parte, que delineia ameaças da categoria 1, você aprenderá a higiene digital que é benéfica para todos e suficiente para a maioria, mas inadequada para aqueles que enfrentam inimigos nas categorias 2 e 3.

O artigo a seguir, além de educar as ameaças antecipadas da categoria 2, pode atrair aqueles que querem se antecipar ao grupo que se afasta da categoria 1. Ele também criará uma ponte para aqueles que estão no caminho difícil de resistir aos ataques da categoria 3 , mas não será suficiente por si só.

Em vez de focar nas ferramentas de software, a última parte se esforçará para delinear os padrões de pensamento necessários para combater os adversários mais assustadores que se pode enfrentar na segurança da informação. Considerando a capacidade inerentemente vasta das ameaças da categoria 3, o objetivo é descrever a mentalidade avaliativa daqueles que precisam se defender.

Você não pode ter tudo – mas você deve tentar ter algum

Vou deixar você com um pensamento de despedida para definir o tom para esta série: não importa como o modelo de ameaça se forma, você enfrentará uma troca entre segurança e conveniência. Você nunca terá os dois, e o relacionamento inverso deles significa que um aumento em um diminui o outro. Um modelo de ameaça viável é aquele que encontra o equilíbrio entre os dois nos quais você pode se manter, mas que ainda trata da ameaça em questão. A única maneira de manter esse equilíbrio é através da disciplina.

É exatamente por isso que os planos que exageram no seu adversário não funcionam. Tudo o que eles fazem é trocar mais comodidade do que você pode tolerar pela segurança que você não precisa, o que leva ao abandono do modelo de ameaça com mais frequência do que a uma revisão dele. Em vez disso, se você encontrar seu equilíbrio e tiver vontade de mantê-lo, estará no caminho do sucesso.

Esse caminho, como você verá, é desafiador e longo – possivelmente sem fim -, mas há uma recompensa puramente em percorrê-lo. A única coisa mais gratificante do que partir no caminho sinuoso é trazer uma nova empresa. Então, vejo você na próxima vez, quando pegarmos a trilha.



Não deixe de acompanhar todas as notícias diárias sobre  tecnologia, filmes, séries e games do SENASNERDAproveite também para curtir a nossa página no facebook, além de nos seguir no twitter e instagram.

Domingos Massissa

Estudante de Engª Informática, editor do portal amante do mundo NERD, onde engloba cinema tecnologia e Gamers.

Artigos Relacionados

Deixe uma resposta

O seu endereço de email não será publicado.

Botão Voltar ao Topo