Apesar de fazermos nosso melhor para oferecer boas ferramentas para proteger sua privacidade ao usar um computador, não há uma solução mágica ou perfeita para um problema tão complexo. Entender bem os limites destas ferramentas é um passo crucial para que você possa, primeiro, decidir se o Tails é a ferramenta correta para você e, segundo, fazer um bom uso dele.

Tails does not protect against compromised hardware

Se o computador tiver sido comprometido por alguém que tenha tido acesso físico a ele e que tenha instalado alguma peça não-confiável de hardware (como um keylogger), talvez nesse caso não seja seguro utilizar Tails.

Tails can be compromised if installed or plugged in untrusted systems

Ao inicializar seu computador no Tails, não há como ele ser comprometido por um vírus que já esteja no seu sistema operacional usual, porém:

  • Tails deve ser instalado a partir de um sistema confiável. Caso contrário, ele pode ser corrompido durante a instalação.

  • Conectar sua memória USB com Tails em um sistema operacional comprometido pode corromper sua instalação do Tails e destruir a proteção que o Tails oferece. Use sua memória USB com Tails somente para inicializar o Tails e nada mais.

Veja o FAQ correspondente.

Tails does not protect against BIOS or firmware attacks

Também é impossível para o Tails te proteger de ataques realizados através da BIOS ou de outro firmware embutido no computador. Esses programas não são gerenciados ou fornecidos diretamente pelo sistema operacional e nenhum sistema operacional pode te proteger desse tipo de ataque.

Veja, por exemplo, esse ataque à BIOS feito por LegbaCore (em inglês).

Tor exit nodes can eavesdrop on communications

O Tor trata de esconder sua localização, não de criptografar sua comunicação.

Em vez de tomar uma rota direta da origem ao destino, as comunicações usando a rede Tor trilham caminhos aleatórios através de diversos relays (repetidores) que apagam os seus rastros. Assim, nenhum observador em nenhum ponto específico da rede pode dizer de onde os dados vieram ou para onde eles estão indo.

Uma conexão Tor geralmente passa através de 3 relays, sendo o último aquele que estabelece a conexão com o destino final

The last relay on this circuit, called the exit node, is the one that establishes the actual connection to the destination server. As Tor does not, and by design cannot, encrypt the traffic between an exit node and the destination server, any exit node is in a position to capture any traffic passing through it. See Tor FAQ: Can exit nodes eavesdrop on communications?.

Por exemplo, em 2007 um pesquisador de segurança interceptou milhares de mensagens de e-mail enviadas por embaixadas estrangeiras e grupos de direitos humanos ao redor do mundo através da espionagem das conexões que saíam de um nó de saída que ele estava rodando. Leia Wired: Rogue Nodes Turn Tor Anonymizer Into Eavesdropper's Paradise (em inglês).

Para se proteger desses ataques você deve usar criptografia ponto-a-ponto.

Tails inclui muitas ferramentas para ajudar você a utilizar criptografia forte enquanto você navega, envia email ou conversa, conforme apresentado na nossa página sobre o Tails.

Tails makes it clear that you are using Tor and probably Tails

Seu provedor de acesso à Internet e/ou as pessoas que administram sua rede local podem ver que você está conectando a um relay Tor, e não a um servidor web normal, por exemplo. Usar pontes Tor (bridges) em certas condições pode te ajudar a ocultar o fato de que você está usando Tor.

The destination server that you are contacting through Tor can know whether your communication comes from a Tor exit node by consulting the publicly available list of exit nodes that might contact it. For example using the Tor Bulk Exit List tool from the Tor Project.

Assim, usar o Tails não faz com que você aparente ser um usuário/a de internet aleatório. O anonimato provido pelo Tor e pelo Tails funciona ao tentar fazer com que todos os seus usuários/as pareçam ser o mesmo, de modo que não seja possível identificar quem é quem dentre eles.

Veja também É possível ocultar o fato de que estou usando Tails?

Man-in-the-middle attacks

Um ataque man-in-the-middle (homem-no-meio / MitM) é uma forma de bisbilhotagem ativa na qual um atacante faz conexões independententes com as vítimas e troca mensagens entre elas, fazendo que elas acreditem que estão falando diretamente uma com a outra através de uma conexão privada, quando na verdade toda a conversação está sendo controlada pelo atacante.

Enquanto o Tor está em uso, ataques man-in-the-middle ainda podem ocorrer entre o nó de saída e o servidor de destino. O nó de saída propriamente dito também pode atuar como um homem-no-meio. Para um exemplo desse tipo de ataque, veja MW-Blog: TOR exit-node doing MITM attacks (em inglês).

Mais uma vez, para se proteger desse tipo de ataque você deve utilizar criptografia ponto-a-ponto, tomando cuidados especiais para verificar a autenticidade do servidor.

Geralmente, isso é feito de forma automática através de certificados SSL verificados pelo navegador usando um conjunto de autoridades certificadoras). Se você obtiver uma mensagem de aviso de segurança como a que pode ser vista abaixo, você pode estar sendo vítima de um ataque de homem-no-meio (man-in-the-middle) e não deve ignorá-la, a não ser que você tenha uma forma alternativa e confiável de verificar a impressão digital do certificado com as pessoas que mantém o serviço.

Esta conexão não é confiável

Mas, apesar disso, o modelo de confiança da Internet baseado em autoridades certificadoras está suscetível a várias formas de comprometimento.

Por exemplo, em 15 de Março de 2011, a Comodo, uma das maiores companhias de certificados SSL, relatou que uma conta de usuário numa autoridade certificadora afiliada foi comprometida. Esta conta foi então usada para criar uma nova conta de usuário que emitiu nove requisições de certificados para sete domínios: mail.google.com, login.live.com, www.google.com, login.yahoo.com (três certificados), login.skype.com, addons.mozilla.org e global trustee. Veja Comodo: The Recent RA Compromise (em inglês).

Ainda em 2011 a DigiNotar, uma companhia holandesa de certificação SSL, emitiu incorretamente certificados para terceiros maliciosos. Mais tarde, foi trazido à tona que aparentemente ela foi comprometida meses antes, talvez em Maio de 2009 ou mesmo antes. Certificados forjados foram emitidos para domínios como google.com, mozilla.org, torproject.org, login.yahoo.com e muitos outros. Veja The Tor Project: The DigiNotar Debacle, and what you should do about it (em inglês).

Isso ainda deixa aberta a possibilidade de um ataque man-in-the-middle mesmo quando seu navegador está confiando numa conexão HTTPS

Por um lado, por prover anonimato, o Tor torna mais difícil a realização de ataques man-in-the-middle direcionados a uma pessoa específica, mesmo com a benção de um certificado SSL canalha. Mas, por outro lado, o Tor faz com que seja mais fácil para pessoas e organizações rodarem nós de saída para realizarem tentativas de MiTM em larga escala, ou ataques direcionados a um servidor específico, especialmente contra aqueles usuários/as que estiverem usando o Tor.

Citado de Wikipédia: Ataque man-in-the-middle, Wikipedia: Comodo Group#Certificate hacking e Tor Project: Detecting Certificate Authority compromises and web browser collusion (em inglês).

End-to-end correlation attacks

Tor is designed for low-latency communications: the time for a request to go from your computer to the destination server and back is generally less than 1 second. Such a low latency makes it possible to use Tor for web browsing and instant messaging.

As a consequence of Tor being designed for low-latency communications, an attacker could in theory correlate the timing and shape of the traffic entering and exiting the Tor network to deanonymize Tor users. Such attacks are called end-to-end correlation attacks, because they require observing both ends of a Tor circuit at the same time.

For example, an ISP and a website could potentially collaborate to deanonymize a Tor user by observing that the same particular network traffic pattern enters the Tor network at the ISP and then reaches the website shortly afterward.

End-to-end correlation attacks have been studied in many research papers but we are not aware of any actual use to deanonymize Tor users. In the past, law enforcement agencies preferred exploiting vulnerabilities in Tor Browser and Tails to deanonymize users instead of performing end-to-end correlation attacks.

Tails protects better than Tor Browser from such software vulnerabilities but does not protect better from end-to-end correlation attacks.

See also:

Tails doesn't encrypt your documents by default

The documents that you might save on storage devices are not encrypted by default, except in the Persistent Storage, which is entirely encrypted. But Tails provides you with tools to encrypt your documents, such as GnuPG, or encrypt your storage devices, such as LUKS.

It is also likely that the files you might create will contain evidence that they were created using Tails.

If you need to access the local hard-disks of the computer you are using, be conscious that you might then leave traces of your activities with Tails on it.

Tails doesn't clear the metadata of your documents for you and doesn't encrypt the Subject: and other headers of your encrypted email messages

Vários formatos de arquivo armazenam metadados ou dados ocultos dentro de si. Arquivos PDF ou gerados por processadores de texto podem armazenar o nome do autor, a data e hora de criação do arquivo e, às vezes, até parte do histórico de edição, dependendo do formato de arquivo e do programa utilizado.

Por favor, note também que o campo Assunto: assim como o resto das linhas de cabeçalho das suas mensagens de email criptografadas usando OpenPGP não são criptografadas. Isso não é um bug do Tails ou do protocolo OpenPGP; é, na verdade, devido a uma retrocompatibilidade com o protocolo SMTP original. Infelizmente ainda não existe padrão RFC para criptografia do campo Assunto.

Formatos de arquivo de imagem, como o TIFF ou JPEG, provavelmente ganham o prêmio na categoria maior quantidade de dados escondidos. Tais arquivos, criados por câmeras digitais ou telefones móveis, contém um formato de metadados chamado de EXIF que pode incluir a data, hora e talvez até as coordenadas GPS de quando a foto foi tirada, a marca e número de série do dispositivo que a tirou, assim como uma miniatura da imagem original. Programas de processamento de imagem tendem a manter esses dados intactos. A internet é cheia de imagens cortadas ou embaçadas nas quais a miniatura EXIF incluída ainda mostra a imagem original.

O Tails não limpa os metadados do seus arquivos para você. Por enquanto. Mesmo assim, é um dos objetivos de projeto do Tails te ajudar com isto. Por exemplo, o Tails já vem com um kit de anonimização de metadados.

Use Tails sessions for one purpose at a time

For example, don't use the same Tails session to both check your work email and anonymously publish a document. That is, unless you're OK with an adversary being able to correlate those tasks.

Adversaries could relate different tasks done in a Tails session by:

  • Analyzing your Tor circuits

    Tails and the Tor Browser naturally connect to different websites via different circuits in the Tor network. But if you connect to the same website several times in one session, like logging into two accounts on the same social media website, Tails and the Tor Browser use the same circuit. This website could then link those activities by noting that they come from the same Tor circuit.

    To ensure you use new Tor circuits for Internet traffic:

    • If you only use the Tor Browser to connect to the Internet, you can click its New Identity button to create a new circuit.
    • If you use multiple applications, you can restart Tails.

    For more about how Tor does or does not preserve anonymity, see the Tor Project's support pages.

  • Gaining access to your Persistent Storage

    You can prevent the information in your Persistent Storage from being linked to other activities by switching between several USB sticks that run Tails. That way the Persistent Storage of, say, your activist email in Thunderbird can be kept separate from your use of Tails for work.

    We also recommend this step if you worry about someone gaining physical access to your computer or USB sticks. This is particularly a concern if you have to use Tails on an insecure or public computer, because Tails can't protect against compromised hardware.

Tails doesn't make your crappy passwords stronger

Tor permite que você seja anônimo online; Tails permite que você não deixe rastros no computador que você estiver usando. Mas vale repetir: nenhum deles é um passe de mágica para obter segurança computacional.

Se você usa senhas fracas, elas podem ser descobertas por ataques de força bruta com ou sem o Tails da mesma forma. Para saber se suas senhas são fracas e aprender boas práticas de criação de senhas melhores, você pode ler Wikipedia: Weak Passwords (em inglês).

Tails is a work in progress

Tails e todos os programas inclusos nele estão em desenvolvimento contínuo e podem conter erros de programação e brechas de segurança.