quinta-feira, 29 de janeiro de 2015

E ai pessoal!

Fiquei sabendo recentemente de um projeto da Electronic Frontier Foundation (espero que você saiba o que é a EFF...) chamado Surveillance Self-Defense. O projeto basicamente visa ensinar e concientizar as pessoas sobre a espionagem e segurança de suas informações de uma forma geral.

Como achei muito interessante e quero colaborar passando o projeto adiante vou traduzir algumas partes que julgo interessante e postarei aqui, ja que a maioria dos leitores do blog não segue meu conselho e vão estudar inglês. :)

Se você se garante, sinta-se a vontade de ir lá e ler por conta própria. O link está ali em cima...

Pra você que optou por esperar a tradução vamos lá! Vou começar pelo primeiro assunto, a introdução a modelagem de ameaças.



Não há uma solução única para se manter seguro online. Segurança digital não é sobre quais as ferramentas que você usa; ao contrário, trata-se de compreender as ameaças que enfrentam e como você pode combater essas ameaças. Para se tornar mais seguro, você deve determinar o que você precisa proteger, e de quem você precisa protegê-lo. As ameaças podem mudar dependendo de onde você está localizado, o que você está fazendo, e com quem você está trabalhando. Portanto, a fim de determinar quais as soluções que vai ser melhor para você, você deve realizar uma avaliação das ameaças.

Ao realizar uma avaliação, existem cinco questões principais que você deve se perguntar:

  1. O que você quer proteger?
  2. De quem você quer proteger?
  3. Qual a probabilidade de que você vai precisar para protegê-la?
  4. Quão ruim são as consequências se você falhar?
  5. Quanta dificuldade que você está disposto a percorrer, a fim de tentar evitar esses?
Quando falamos sobre a primeira pergunta, que muitas vezes referem-se a bens, ou as coisas que você está tentando proteger. Um recurso é algo que você valoriza e quer proteger. Quando estamos falando de segurança digital, os ativos são geralmente informações. Por exemplo, seus e-mails, listas de contatos, mensagens instantâneas, e os arquivos são todos os ativos. Os dispositivos também são ativos.

Faça uma lista dos dados que você mantém, onde ele é mantido, quem tem acesso a ele, e que impede os outros de acessá-lo.

A fim de responder à segunda questão, "De quem você quer proteger," é importante compreender quem poderia querer você ou sua informação, ou quem é o seu adversário. Um adversário é qualquer pessoa ou entidade que representa uma ameaça contra um ou vários ativos. São exemplos de potenciais adversários o seu chefe, o seu governo, ou um hacker em uma rede pública.

Faça uma lista de quem pode querer se apoderar de seus dados ou de comunicações. Ele pode ser um indivíduo, uma agência governamental, ou uma corporação.

A ameaça é algo de ruim que pode acontecer a um ativo. Há inúmeras maneiras que um adversário pode ameaçar seus dados. Por exemplo, um adversário pode ler suas comunicações privadas à medida que passam através da rede, ou eles podem apagar ou corromper seus dados. Um adversário também pode desativar o seu acesso aos seus próprios dados.

Os motivos dos adversários são muito diferentes, como fazem seus ataques. Um governo que tenta evitar a disseminação de um vídeo mostrando a violência policial pode se contentar em simplesmente excluir ou reduzir a disponibilidade do vídeo, enquanto um adversário político pode desejar ter acesso ao conteúdo secreto e publicá-lo sem você saber.

Anote o que o seu adversário pode querer fazer com seus dados privados.

A capacidade de o atacante também é uma coisa importante para se pensar. Por exemplo, o seu fornecedor de telefone celular tem acesso a todos os seus registros de telefone e, portanto, tem a capacidade de usar esses dados contra você. Um hacker em uma rede Wi-Fi aberta pode acessar suas comunicações não criptografadas. Seu governo pode ter capacidades mais fortes.

A última coisa a considerar é de risco. O risco é a probabilidade de que uma ameaça específica contra um determinado ativo venha a ocorrer, e caminha lado a lado com a capacidade. Enquanto o seu provedor de telefonia móvel tem capacidade para acessar todos os seus dados, o risco deles postando seus dados pessoais on-line para prejudicar a sua reputação é baixo.

É importante distinguir entre as ameaças e riscos. Enquanto a ameaça é uma coisa ruim que pode acontecer, o risco é a probabilidade de que a ameaça ocorrerá. Por exemplo, não é uma ameaça que seu prédio poderia entrar em colapso, mas o risco de isso acontecer é muito maior em San Francisco (onde terremotos são comuns) do que em Estocolmo (onde eles não são).

Uma análise de risco é tanto um processo pessoal e subjetivo; nem todos têm as mesmas prioridades ou visões ameaças da mesma forma. Muitas pessoas acham que certas ameaças inaceitáveis não importa o que o risco, porque a simples presença da ameaça a qualquer risco não vale a pena o custo. Em outros casos, as pessoas desprezam riscos elevados, porque eles não consideram a ameaça como um problema.

Em um contexto militar, por exemplo, pode ser preferível para um ativo a ser destruída do que para que ela caia em mãos inimigas. Por outro lado, em muitos contextos civis, é mais importante para um ativo, como serviço de e-mail para estar disponível de confidencial.

Agora, vamos praticar este modelo

Por exemplo, se você quer manter sua casa e seus bens seguros, aqui estão algumas questões que você deve se perguntar:

  • Deveria trancar minha porta?
  • Que tipo de fechadura ou fechaduras eu deveria investir?
  • Precisaria de um sistema de segurança mais avançado?
  • Quais são os ativos neste cenário?
    • A privacidade da minha casa
    • Os objetos dentro da minha casa
  • Qual é a ameaça?
    • Alguém poderia entrar
  • Qual é o risco real de alguém quebrando em? É provável?
Depois de ter perguntado a si mesmo estas perguntas, você está em uma posição para avaliar que medidas tomar. Se as suas posses são valiosas, mas o risco de um roubo é baixo, então você provavelmente não vai querer investir muito dinheiro em uma fechadura. Por outro lado, se o risco é alto, você vai querer obter as melhores fechaduras e cadeados no mercado, e talvez até mesmo adicionar um sistema de segurança.

0 comentários:

Postar um comentário

Subscribe to RSS Feed Follow me on Twitter!