Even though we do our best to offer you good tools to protect your privacy while using a computer, there is no magic or perfect solution to such a complex problem. Understanding well the limits of such tools is a crucial step to, first, decide whether Tails is the right tool for you, and second, make a good use of it.

Tails does not protect against compromised hardware

If the computer has been compromised by someone having physical access to it and who installed untrusted pieces of hardware (like a keylogger), then it might be unsafe to use Tails.

Tails can be compromised if installed or plugged in untrusted systems

When starting your computer on Tails, it cannot be compromised by a virus in your usual operating system, but:

  • Tails should be installed from a trusted system. Otherwise it might be corrupted during installation.

  • Plugging your Tails USB stick in a compromised operating system might corrupt your Tails installation, and destroy the protection that Tails provides. Only use your Tails USB stick to start Tails.

See the corresponding FAQ.

Tails does not protect against BIOS or firmware attacks

It is also impossible for Tails to protect against attacks made through the BIOS or other firmware embedded in the computer. These are not managed or provided by the operating system directly, and no operating system can protect against such attacks.

See for example, this attack on BIOS by LegbaCore.

Os nós de saída do Tor podem observar suas comunicações

O Tor trata de esconder sua localização, não de criptografar sua comunicação.

Ao invés de tomar uma rota direta da origem ao destino, as comunicações usando a rede Tor trilham caminhos aleatórios através de diversos relays (repetidoras) que apagam as suas pegadas. Assim, nenhum observador em nenhum ponto pode dizer de onde os dados vieram ou para onde eles estão indo.

Uma conexão Tor geralmente passa através de 3 relays, sendo o último aquele que estabelece a conexão com o destino final

O último relay desse circuito, chamado de nó de saída, é aquele que estabelece a conexão com o servidor de destino. Como o Tor não criptografa o tráfego entre um nó de saída e o servidor de destino (e nem poderia por questões de projeto), qualquer nó de saída está numa posição na qual pode capturar qualquer tráfego passando por ele. Veja a página de FAQ do Tor: nós de saída podem bisbilhotar comunicações?.

Por exemplo, em 2007 um pesquisador de segurança interceptou milhares de mensagens de e-mail enviadas por embaixadas estrangeiras e grupos de direitos humanos ao redor do mundo através da espionagem das conexões que saíam de um nó de saída que ele estava rodando. Leia Wired: Rogue Nodes Turn Tor Anonymizer Into Eavesdropper's Paradise (english).

Para se proteger desses ataques você deve usar criptografia ponto-a-ponto.

Tails inclui muitas ferramentas para ajudar você a utilizar criptografia forte enquanto você navega, envia email ou conversa, conforme apresentado na nossa página sobre o Tails.

O uso do Tails expõe o fato de que você está usando Tor (e provavelmente o Tails também)

Seu provedor de serviços de Internet ou seu administrador de rede local podem ver que você está conectando a um relay Tor, e não a um servidor web normal, por exemplo. Usar Tor bridges em certas condições pode ajudar você a esconder o fato de que você está usando Tor.

The destination server that you are contacting through Tor can know whether your communication comes from a Tor exit node by consulting the publicly available list of exit nodes that might contact it. For example using the Tor Bulk Exit List tool from the Tor Project.

Assim, usar o Tails não faz com que você aparente ser um usuário/a de internet aleatório. O anonimato provido pelo Tor e pelo Tails funciona ao tentar fazer com que todos os seus usuários/as pareçam ser o mesmo, de modo que não seja possível identificar quem é quem dentre eles.

Veja também É possível ocultar o fato de que estou usando Tails?

Ataques man-in-the-middle (homem-do-meio)

Um ataque man-in-the-middle (homem-no-meio / MitM) é uma forma de bisbilhotagem ativa na qual um atacante faz conexões independententes com as vítimas e troca mensagens entre elas, fazendo que elas acreditem que estão falando diretamente uma com a outra através de uma conexão privada, quando na verdade toda a conversação está sendo controlada pelo atacante.

Ilustração de um ataque man-in-the-middle

Enquanto o Tor está em uso, ataques man-in-the-middle ainda podem ocorrer entre o nó de saída e o servidor de destino. O nó de saída propriamente dito também pode atuar como um homem-no-meio. Para um exemplo desse tipo de ataque, veja MW-Blog: TOR exit-node doing MITM attacks (em inglês).

Mais uma vez, para se proteger desse tipo de ataque você deve utilizar segurança ponto-a-ponto e enquanto o fizer deve tomar cuidados especiais para verificar a autenticidade do servidor.

Usually, this is automatically done throught SSL certificates checked by your browser against a given set of recognized certificate authorities). If you get a security exception message such as this one you might be the victim of a man-in-the-middle attack and should not bypass the warning unless you have another trusted way of checking the certificate's fingerprint with the people running the service.

Esta conexão não é confiável

But on top of that the certificate authorities model of trust on the Internet is susceptible to various methods of compromise.

For example, on March 15, 2011, Comodo, one of the major SSL certificates authorities, reported that a user account with an affiliate registration authority had been compromised. It was then used to create a new user account that issued nine certificate signing requests for seven domains: mail.google.com, login.live.com, www.google.com, login.yahoo.com (three certificates), login.skype.com, addons.mozilla.org, and global trustee. See Comodo: The Recent RA Compromise.

Later in 2011, DigiNotar, a Dutch SSL certificate company, incorrectly issued certificates to a malicious party or parties. Later on, it came to light that they were apparently compromised months before, perhaps as far back as May of 2009, or even earlier. Rogue certificates were issued for domains such as google.com, mozilla.org, torproject.org, login.yahoo.com and many more. See The Tor Project: The DigiNotar Debacle, and what you should do about it.

Isso ainda deixa aberta a possibilidade de um ataque man-in-the-middle mesmo quando seu navegador está confiando numa conexão HTTPS

Por um lado, por prover anonimato, o Tor torna mais difícil a realização de ataques man-in-the-middle direcionados a uma pessoa específica, mesmo com a benção de um certificado SSL canalha. Mas, por outro lado, o Tor faz com que seja mais fácil para pessoas e organizações rodarem nós de saída para realizarem tentativas de MiTM em larga escala, ou ataques direcionados a um servidor específico, especialmente contra aqueles usuários/as que estiverem usando o Tor.

Citado de Wikipédia: Ataque man-in-the-middle, Wikipedia: Comodo Group#Certificate hacking e Tor Project: Detecting Certificate Authority compromises and web browser collusion (em inglês).

Ataques de confirmação de tráfego

O projeto do Tor não tenta proteger contra um atacante que pode ver ou medir tanto o tráfego entrando na rede do Tor quanto também o tráfego saindo dessa rede. Isso ocorre porque se você pode ver ambos os fluxos, uma estatística simples permite que você decida se eles se equivalem.

Esse também pode ser o caso se o seu provedor de internet (ou o administrador/a da rede local) e o provedor de acesso do servidor de destino (ou o administrador/a do servidor de destino propriamente dito) cooperarem para te atacar.

Tor tries to protect against traffic analysis, where an attacker tries to learn whom to investigate, but Tor can't protect against traffic confirmation (also known as end-to-end correlation), where an attacker tries to confirm a hypothesis by monitoring the right locations in the network and then doing the math.

Citado de Tor Project: "One cell is enough to break Tor's anonymity" (em inglês).

Tails não criptografa seus documentos por padrão

The documents that you might save on storage devices will not be encrypted by default, except in the encrypted persistent volume. But Tails provides you with tools to encrypt your documents, such as GnuPG, or encrypt your storage devices, such as LUKS.

It is also likely that the files you may create will contain evidence that they were created using Tails.

Se você precisar acessar os discos rígidos locais do computador que você estiver usando, saiba que então você pode estar deixando neles um rastro das suas atividades.

Tails não limpa os metadados dos seus documentos para você e não criptografa o Assunto: e outros cabeçalhos das suas mensagens de email criptografadas

Numerous files formats store hidden data or metadata inside of the files. Word processing or PDF files could store the name of the author, the date and time of creation of the file, and sometimes even parts of the editing history of the file, depending on the file format and the software used.

Please note also, that the Subject: as well as the rest of the header lines of your OpenPGP encrypted email messages are not encrypted. This is not a bug of Tails or the OpenPGP protocol; it's due to backwards compatibility with the original SMTP protocol. Unfortunately no RFC standard exists yet for Subject: line encryption.

Image file formats, like TIFF of JPEG, probably take the prize for most hidden data. These files, created by digital cameras or mobile phones, contain a metadata format called EXIF which can include the date, time and sometimes the GPS coordinates when the picture was taken, the brand and serial number of the device which took it, as well as a thumbnail of the original image. Image processing software tends to keep this metadata intact. The internet is full of cropped or blurred images in which the included EXIF thumbnail still shows the original picture.

O Tails não limpa os metadados do seus arquivos para você. Por enquanto. Mesmo assim, é um dos objetivos de projeto do Tails te ajudar com isto. Por exemplo, o Tails já vem com um kit de anonimização de metadados.

Tor não te protege de um adversário global

A global passive adversary would be a person or an entity able to monitor at the same time the traffic between all the computers in a network. By studying, for example, the timing and volume patterns of the different communications across the network, it would be statistically possible to identify Tor circuits and thus match Tor users and destination servers.

É parte da escolha inicial do Tor não lidar com essa ameaça para permitir a criação de um serviço de comunicação de baixa latência utilizável para navegação na web, bate-papo via Internet e conexões SSH.

For more expert information see the Tor design paper, "Tor Project: The Second-Generation Onion Router", specifically, "Part 3. Design goals and assumptions."

Tails não separa magicamente suas diferentes identidades contextuais

It is usually not advisable to use the same Tails session to perform two tasks or endorse two contextual identities that you really want to keep separate from one another. For example hiding your location to check your email and anonymously publishing a document.

First, because Tor tends to reuse the same circuits, for example, within the same browsing session. Since the exit node of a circuit knows both the destination server (and possibly the content of the communication if it's not encrypted) and the address of the previous relay it received the communication from, it makes it easier to correlate several browsing requests as part of a same circuit and possibly made by the same user. If you are facing a global adversary as described above, it might then also be in a position to do this correlation.

Second, in case of a security hole or an error in using Tails or one of its applications, information about your session could be leaked. That could reveal that the same person was behind the various actions made during the session.

A solução para ambas as ameaças é desligar e reiniciar o Tails toda vez que você for usar uma nova identidade, se você realmente quiser isolá-las melhor.

As explained in our documentation about Tor Browser, its New identity feature is not a perfect solution to separate different contextual identities. And, as explained in the FAQ, Tails does not provide a global New Identity feature. Shutdown and restart Tails instead.

Tails não transforma suas senhas fracas em fortes

Tor allows you to be anonymous online; Tails allows you to leave no trace on the computer you're using. But again, neither or both are magic spells for computer security.

Se você usa senhas fracas, elas podem ser descobertas por ataques de força bruta com ou sem o Tails da mesma forma. Para saber se suas senhas são fracas e aprender boas práticas de criação de senhas melhores, você pode ler Wikipedia: Weak Passwords (em inglês).

Tails é um trabalho em progresso

Tails, as well as all the software it includes, are continuously being developed and may contain programming errors or security holes.