Apesar de fazermos nosso melhor para oferecer boas ferramentas para proteger sua privacidade ao usar um computador, não há uma solução mágica ou perfeita para um problema tão complexo. Entender bem os limites destas ferramentas é um passo crucial para que você possa, primeiro, decidir se o Tails é a ferramenta correta para você e, segundo, fazer um bom uso dele.

Tails does not protect against compromised hardware

Se o computador tiver sido comprometido por alguém que tenha tido acesso físico a ele e que tenha instalado alguma peça não-confiável de hardware (como um keylogger), talvez nesse caso não seja seguro utilizar Tails.

Tails can be compromised if installed or plugged in untrusted systems

Ao inicializar seu computador no Tails, não há como ele ser comprometido por um vírus que já esteja no seu sistema operacional usual, porém:

  • Tails deve ser instalado a partir de um sistema confiável. Caso contrário, ele pode ser corrompido durante a instalação.

  • Conectar sua memória USB com Tails em um sistema operacional comprometido pode corromper sua instalação do Tails e destruir a proteção que o Tails oferece. Use sua memória USB com Tails somente para inicializar o Tails e nada mais.

Veja o FAQ correspondente.

Tails does not protect against BIOS or firmware attacks

Também é impossível para o Tails te proteger de ataques realizados através da BIOS ou de outro firmware embutido no computador. Esses programas não são gerenciados ou fornecidos diretamente pelo sistema operacional e nenhum sistema operacional pode te proteger desse tipo de ataque.

Veja, por exemplo, esse ataque à BIOS feito por LegbaCore (em inglês).

Tor exit nodes can eavesdrop on communications

O Tor trata de esconder sua localização, não de criptografar sua comunicação.

Em vez de tomar uma rota direta da origem ao destino, as comunicações usando a rede Tor trilham caminhos aleatórios através de diversos relays (repetidores) que apagam os seus rastros. Assim, nenhum observador em nenhum ponto específico da rede pode dizer de onde os dados vieram ou para onde eles estão indo.

Uma conexão Tor geralmente passa através de 3 relays, sendo o último aquele que estabelece a conexão com o destino final

The last relay on this circuit, called the exit node, is the one that establishes the actual connection to the destination server. As Tor does not, and by design cannot, encrypt the traffic between an exit node and the destination server, any exit node is in a position to capture any traffic passing through it. See Tor FAQ: Can exit nodes eavesdrop on communications?.

Por exemplo, em 2007 um pesquisador de segurança interceptou milhares de mensagens de e-mail enviadas por embaixadas estrangeiras e grupos de direitos humanos ao redor do mundo através da espionagem das conexões que saíam de um nó de saída que ele estava rodando. Leia Wired: Rogue Nodes Turn Tor Anonymizer Into Eavesdropper's Paradise (em inglês).

Para se proteger desses ataques você deve usar criptografia ponto-a-ponto.

Tails inclui muitas ferramentas para ajudar você a utilizar criptografia forte enquanto você navega, envia email ou conversa, conforme apresentado na nossa página sobre o Tails.

Tails makes it clear that you are using Tor and probably Tails

Seu provedor de acesso à Internet e/ou as pessoas que administram sua rede local podem ver que você está conectando a um relay Tor, e não a um servidor web normal, por exemplo. Usar pontes Tor (bridges) em certas condições pode te ajudar a ocultar o fato de que você está usando Tor.

The destination server that you are contacting through Tor can know whether your communication comes from a Tor exit node by consulting the publicly available list of exit nodes that might contact it. For example using the Tor Bulk Exit List tool from the Tor Project.

Assim, usar o Tails não faz com que você aparente ser um usuário/a de internet aleatório. O anonimato provido pelo Tor e pelo Tails funciona ao tentar fazer com que todos os seus usuários/as pareçam ser o mesmo, de modo que não seja possível identificar quem é quem dentre eles.

Veja também É possível ocultar o fato de que estou usando Tails?

Man-in-the-middle attacks

Um ataque man-in-the-middle (homem-no-meio / MitM) é uma forma de bisbilhotagem ativa na qual um atacante faz conexões independententes com as vítimas e troca mensagens entre elas, fazendo que elas acreditem que estão falando diretamente uma com a outra através de uma conexão privada, quando na verdade toda a conversação está sendo controlada pelo atacante.

Enquanto o Tor está em uso, ataques man-in-the-middle ainda podem ocorrer entre o nó de saída e o servidor de destino. O nó de saída propriamente dito também pode atuar como um homem-no-meio. Para um exemplo desse tipo de ataque, veja MW-Blog: TOR exit-node doing MITM attacks (em inglês).

Mais uma vez, para se proteger desse tipo de ataque você deve utilizar criptografia ponto-a-ponto, tomando cuidados especiais para verificar a autenticidade do servidor.

Geralmente, isso é feito de forma automática através de certificados SSL verificados pelo navegador usando um conjunto de autoridades certificadoras). Se você obtiver uma mensagem de aviso de segurança como a que pode ser vista abaixo, você pode estar sendo vítima de um ataque de homem-no-meio (man-in-the-middle) e não deve ignorá-la, a não ser que você tenha uma forma alternativa e confiável de verificar a impressão digital do certificado com as pessoas que mantém o serviço.

Esta conexão não é confiável

Mas, apesar disso, o modelo de confiança da Internet baseado em autoridades certificadoras está suscetível a várias formas de comprometimento.

Por exemplo, em 15 de Março de 2011, a Comodo, uma das maiores companhias de certificados SSL, relatou que uma conta de usuário numa autoridade certificadora afiliada foi comprometida. Esta conta foi então usada para criar uma nova conta de usuário que emitiu nove requisições de certificados para sete domínios: mail.google.com, login.live.com, www.google.com, login.yahoo.com (três certificados), login.skype.com, addons.mozilla.org e global trustee. Veja Comodo: The Recent RA Compromise (em inglês).

Ainda em 2011 a DigiNotar, uma companhia holandesa de certificação SSL, emitiu incorretamente certificados para terceiros maliciosos. Mais tarde, foi trazido à tona que aparentemente ela foi comprometida meses antes, talvez em Maio de 2009 ou mesmo antes. Certificados forjados foram emitidos para domínios como google.com, mozilla.org, torproject.org, login.yahoo.com e muitos outros. Veja The Tor Project: The DigiNotar Debacle, and what you should do about it (em inglês).

Isso ainda deixa aberta a possibilidade de um ataque man-in-the-middle mesmo quando seu navegador está confiando numa conexão HTTPS

Por um lado, por prover anonimato, o Tor torna mais difícil a realização de ataques man-in-the-middle direcionados a uma pessoa específica, mesmo com a benção de um certificado SSL canalha. Mas, por outro lado, o Tor faz com que seja mais fácil para pessoas e organizações rodarem nós de saída para realizarem tentativas de MiTM em larga escala, ou ataques direcionados a um servidor específico, especialmente contra aqueles usuários/as que estiverem usando o Tor.

Citado de Wikipédia: Ataque man-in-the-middle, Wikipedia: Comodo Group#Certificate hacking e Tor Project: Detecting Certificate Authority compromises and web browser collusion (em inglês).

Confirmation attacks

O projeto do Tor não tenta proteger contra um atacante que pode ver ou medir tanto o tráfego entrando na rede do Tor quanto também o tráfego saindo dessa rede. Isso ocorre porque se você pode ver ambos os fluxos, uma estatística simples permite que você decida se eles se equivalem.

Esse também pode ser o caso se o seu provedor de internet (ou o administrador/a da rede local) e o provedor de acesso do servidor de destino (ou o administrador/a do servidor de destino propriamente dito) cooperarem para te atacar.

Tor tenta proteger contra análise de tráfego, na qual um atacante tenta descobrir quem deve investigar, mas o Tor não pode te proteger contra confirmação de tráfego (também conhecida como correlação ponto-a-ponto), na qual um atacante tenta confirmar uma hipótese monitorando certos pontos de uma rede e depois fazendo as contas.

Citado de Tor Project: "One cell is enough to break Tor's anonymity" (em inglês).

Tails doesn't encrypt your documents by default

The documents that you might save on storage devices are not encrypted by default, except in the Persistent Storage, which is entirely encrypted. But Tails provides you with tools to encrypt your documents, such as GnuPG, or encrypt your storage devices, such as LUKS.

It is also likely that the files you might create will contain evidence that they were created using Tails.

If you need to access the local hard-disks of the computer you are using, be conscious that you might then leave traces of your activities with Tails on it.

Tails não limpa os metadados dos seus documentos para você e não criptografa o Assunto: e outros cabeçalhos das suas mensagens de email criptografadas

Vários formatos de arquivo armazenam metadados ou dados ocultos dentro de si. Arquivos PDF ou gerados por processadores de texto podem armazenar o nome do autor, a data e hora de criação do arquivo e, às vezes, até parte do histórico de edição, dependendo do formato de arquivo e do programa utilizado.

Por favor, note também que o campo Assunto: assim como o resto das linhas de cabeçalho das suas mensagens de email criptografadas usando OpenPGP não são criptografadas. Isso não é um bug do Tails ou do protocolo OpenPGP; é, na verdade, devido a uma retrocompatibilidade com o protocolo SMTP original. Infelizmente ainda não existe padrão RFC para criptografia do campo Assunto.

Formatos de arquivo de imagem, como o TIFF ou JPEG, provavelmente ganham o prêmio na categoria maior quantidade de dados escondidos. Tais arquivos, criados por câmeras digitais ou telefones móveis, contém um formato de metadados chamado de EXIF que pode incluir a data, hora e talvez até as coordenadas GPS de quando a foto foi tirada, a marca e número de série do dispositivo que a tirou, assim como uma miniatura da imagem original. Programas de processamento de imagem tendem a manter esses dados intactos. A internet é cheia de imagens cortadas ou embaçadas nas quais a miniatura EXIF incluída ainda mostra a imagem original.

O Tails não limpa os metadados do seus arquivos para você. Por enquanto. Mesmo assim, é um dos objetivos de projeto do Tails te ajudar com isto. Por exemplo, o Tails já vem com um kit de anonimização de metadados.

Tor doesn't protect you from a global adversary

Um adversário passivo global seria uma pessoa ou entidade capaz de monitorar ao mesmo tempo o tráfego entre todos os computadores de uma rede. Ao estudar, por exemplo, o padrão de tempo e volume de dados de diferentes comunicações na rede, seria estatisticamente possível identificar circuitos do Tor e então relacionar usuários do Tor a servidores de destino.

É parte da escolha inicial do Tor não lidar com essa ameaça para permitir a criação de um serviço de comunicação de baixa latência utilizável para navegação na web, bate-papo via Internet e conexões SSH.

Para mais informações técnicas, veja "Tor Project: The Second-Generation Onion Router", especificamente a parte 3, "Design goals and assumptions" (em inglês).

Tails doesn't magically separate your different contextual identities

Em geral não é recomendável usar a mesma sessão do Tails para realizar duas tarefas ou proteger duas identidades contextuais que você realmente deseja manter separadas uma da outra. Por exemplo, para esconder sua localização ao checar seu email e para publicar um documento anonimamente.

Primeiramente, porque o Tor tende a reutilizar os mesmos circuitos, por exemplo em uma mesma sessão de navegação. Uma vez que o nó de saída de um circuito conhece tanto o servidor de destino (e possivelmente o conteúdo da comunicação caso não esteja criptografada) e o endereço do relay anterior do qual ele recebeu a comunicação, fica mais fácil correlacionar várias requisições de navegação como sendo parte do mesmo circuito e possivelmente feitas pelo mesmo usuário/a. Se você estiver enfrentando um adversário/a global como descrito acima, ele também pode estar em posição de realizar esta correlação.

Em segundo lugar, no caso de uma brecha de segurança ou de um mau uso do Tails ou de uma das suas aplicações, informações sobre sua sessão podem vazar. Isso pode revelar que a mesma pessoa está por trás de várias ações feitas durante uma mesma sessão.

A solução para ambas as ameaças é desligar e reiniciar o Tails toda vez que você for usar uma nova identidade, se você realmente quiser isolá-las melhor.

A funcionalidade de Nova Identidade do Navegador Tor

Não há um botão de Nova Identidade para o Tails como um todo.

Tails doesn't make your crappy passwords stronger

Tor permite que você seja anônimo online; Tails permite que você não deixe rastros no computador que você estiver usando. Mas vale repetir: nenhum deles é um passe de mágica para obter segurança computacional.

Se você usa senhas fracas, elas podem ser descobertas por ataques de força bruta com ou sem o Tails da mesma forma. Para saber se suas senhas são fracas e aprender boas práticas de criação de senhas melhores, você pode ler Wikipedia: Weak Passwords (em inglês).

Tails is a work in progress

Tails e todos os programas inclusos nele estão em desenvolvimento contínuo e podem conter erros de programação e brechas de segurança.