Apesar de fazermos nosso melhor para oferecer boas ferramentas para proteger sua privacidade enquanto estiver usando um computador, não há uma solução perfeita para um problema tão complexo. Entender os limites desta ferramenta é um passo crucial para decidir se o Tails é a ferramenta correta para você e para ajudar você a fazer um bom uso dela.

Os nós de saída do Tor podem observar suas comunicações

O Tor trata de esconder sua localização, não de criptografar sua comunicação.

Ao invés de tomar uma rota direta da origem ao destino, comunicações usando a rede Tor escolhem caminhos aleatórios através de diversos relays (repetidoras) que apagam as suas pegadas. Assim, nenhum observador em qualquer ponto único pode dizer de onde os dados vieram e para onde eles estão indo.

O último relay desse circuito, chamado de nó de saída, é aquele que estabelece a conexão com o servidor de destino. Como o Tor não criptografa o tráfego entre um nó de saída e o servidor de destino (e nem poderia por questões de projeto), qualquer nó de saída está numa posição na qual pode capturar qualquer tráfego passando por ele. Veja a página de FAQ do Tor: nós de saída podem bisbilhotar comunicações?.

Por exemplo, em 2007 um pesquisador de segurança interceptou milhares de mensagens de e-mail enviadas por embaixadas estrangeiras e grupos de direitos humanos ao redor do mundo através da espionagem das conexões que saíam de um nó de saída que ele estava rodando. Leia Wired: Rogue Nodes Turn Tor Anonymizer Into Eavesdropper's Paradise (english).

Para se proteger desses ataques você deve usar criptografia ponto-a-ponto.

Tails includes many tools to help you using strong encryption while browsing, sending email or chatting, as presented on our about page.

O uso do Tails expõe o fato de que você está usando Tor (e provavelmente o Tails também)

Your Internet Service Provider (ISP) or your local network administrator can see that you're connecting to a Tor relay, and not a normal web server for example. Using Tor bridges in certain conditions can help you hide the fact that you are using Tor.

The destination server that you are contacting through Tor can know whether your communication comes out from a Tor exit node by consulting the publicly available list of exit nodes that might contact it. For example using the Tor Bulk Exit List tool of the Tor Project.

Assim, usar o Tails não faz com que você aparente ser um usuário/a de internet aleatório. O anonimato provido pelo Tor e pelo Tails funciona ao tentar fazer com que todos os seus usuários/as pareçam ser o mesmo, de modo que não seja possível identificar quem é quem dentre eles.

See also Can I hide the fact that I am using Tails?

Ataques man-in-the-middle (homem-do-meio)

Um ataque man-in-the-middle (homem-no-meio / MitM) é uma forma de bisbilhotagem ativa na qual um atacante faz conexões independententes com as vítimas e repete mensagens entre elas, fazendo que elas acreditem que estão falando diretamente uma com a outra através de uma conexão privada, quando na verdade toda a conversação está sendo controlada pelo atacante.

Enquanto o Tor está em uso, ataques man-in-the-middle ainda podem ocorrer entre o nó de saída e o servidor de destino. O nó de saída propriamente dito também pode atuar como um homem-no-meio. Para um exemplo desse tipo de ataque, veja MW-Blog: TOR exit-node doing MITM attacks (em inglês).

Mais uma vez, para proteger você mesmo/a desse tipo de ataque você deve utilizar segurança ponto-a-ponto e enquanto o fizer deve tomar cuidados especiais para verificar a autenticidade do servidor.

Usualmente, isso é feito automaticamente através de certificados SSL verificados pelo navegador usando um conjunto de autoridades certificadoras). Se você obtiver uma mensagem de aviso de segurança como por exemplo a que pode ser vista abaixo, você pode estar sendo vítima de um ataque de homem-no-meio e não deve ignorá-la, exceto se você possuir uma forma alternativa e confiável de verificar a impressão digital do certificado com as pessoas que rodam o serviço.

Mas acima disto ainda está o fato de que o modelo de confiança baseado em autoridades certificadoras é suscetível a vários métodos de comprometimento.

Por exemplo, em 15 de Março de 2011, a Comodo, uma das maiores companhias de certificados SSL, relatou que uma conta de usuário numa autoridade certificadora afiliada foi comprometida. Esta conta foi então usada para criar uma nova conta de usuário que emitiu nove requisições de certificados para sete domínios: mail.google.com, login.live.com, www.google.com, login.yahoo.com (três certificados), login.skype.com, addons.mozilla.org e global trustee. Veja Comodo: The Recent RA Compromise (em inglês).

Ainda em 2011 a DigiNotar, uma companhia holandesa de certificação SSL, emitiu incorretamente certificados para terceiros maliciosos. Mais tarde, foi trazido à luz que aparentemente ela foi comprometida meses antes, talvez mesmo em Maio de 2009 senão antes. Certificados canalhas foram emitidos para domínios como google.com, mozilla.org, torproject.org, login.yahoo.com e muitos outros. Veja The Tor Project: The DigiNotar Debacle, and what you should do about it (em inglês).

Isso ainda deixa aberta a possibilidade de um ataque man-in-the-middle mesmo quando seu navegador está confiando numa conexão HTTPS

Por outro lado, por prover anonimato, o Tor torna mais difícil a realização de ataques man-in-the-middle direcionados a uma pessoa específica, mesmo com a benção de um certificado SSL canalha. Mas, por outro lado, o Tor faz com que seja mais fácil para pessoas e organizações rodarem nós de saída para realizarem tentativas de MiTM em larga escala, ou ataques direcionados a um servidor específico, especialmente contra aqueles usuários/as que estiverem usando o Tor.

Citado de Wikipedia: Man-in-the-middle attack, Wikipedia: Comodo Group#Iran SSL certificate controversy e Tor Project: Detecting Certificate Authority compromises and web browser collusion (em inglês).

Ataques de confirmação de tráfego

O projeto do Tor não tenta proteger contra um atacante que pode ver ou medir tanto o tráfego entrando na rede do Tor quanto também o tráfego saindo dessa rede. Isso ocorre porque se você pode ver ambos os fluxos, uma estatística simples permite que você decida se eles se equivalem.

Esse também pode ser o caso se o seu provedor de internet (ou o administrador/a da rede local) e o provedor de acesso do servidor de destino (ou o administrador/a do servidor de destino propriamente dito) cooperarem para te atacar.

Tor tenta proteger contra análise de tráfego, na qual um atacante tenta descobrir quem deve investigar, mas o Tor não pode protegê-lo/a contra confirmação de tráfego (também conhecida como correlação ponto-a-ponto), na qual um atacante tenta confirmar uma hipótese monitorando certos pontos de uma rede e depois fazendo as contas.

Citado de Tor Project: "One cell is enough to break Tor's anonymity" (em inglês).

Tails não criptografa seus documentos por padrão

Os documentos que você pode salvar em dispositivos de armazenamento não serão criptografados por padrão. Apesar disso, o Tails fornece a você ferramentas como o GnuPG para criptografar seus documentos e LUKS para criptografar seus dispositivos de armazenamento. É muito provável que os arquivos que você crie deixem rastros indicando que foram criados usando o Tails.

Se você precisar acessar os discos rígidos locais do computador que você estiver usando, saiba que então você pode estar deixando neles um rastro das suas atividades.

Tails não limpa os metadados dos seus documentos para você e não criptografa o Assunto: e outros cabeçalhos das suas mensagens de email criptografadas

Vários formatos de arquivo armazenam dados ou metadados dentro dos arquivos. Processadores de texto ou arquivos PDF podem armazenar o nome do autor/a, a data e hora de criação do arquivo e às vezes até partes da história de edição do arquivo. Esses dados ocultos dependem do formato de arquivo e do software usado. Por favor, note também que o campo Assunto: assim como o resto das linhas de cabeçalho das suas mensagens de email criptografadas usando OpenPGP não são criptografadas. Isso não é um bug do Tails ou do protocolo OpenPGP: é uma retrocompatibilidade com o protocolo SMTP original. Infelizmente ainda não existe padrão RFC para criptografia do campo Assunto.

Formatos de arquivo de imagem, como o TIFF ou JPEG, provavelmente ganham o prêmio nessa categoria. Tais arquivos, criados por câmeras digitais ou telefones móveis, contém um formato de metadados chamado de EXIF que pode incluir a data, hora e talvez até as coordenadas GPS da figura, a marca e número de série do dispositivo que a tirou assim como uma miniatura da imagem original. Programas de processamento de imagem tendem a manter esses dados intactos. A internet é cheia de imagens cortadas ou embaçadas nas quais a miniatura EXIF ainda contém a imagem original.

Tails doesn't clear the metadata of your files for you. Yet. Still it's in Tails' design goal to help you do that. For example, Tails already comes with the Metadata anonymisation toolkit.

Tor não te protege de um adversário global

Um adversário global e passivo seria uma pessoa ou entidade capaz de monitorar ao mesmo tempo o tráfego entre todos os computadores de uma rede. Ao estudar, por exemplo, o padrão de tempo e volume de dados de diferentes comunicações na rede, seria estatisticamente possível identificar circuitos do Tor e então relacionar usuários do Tor a servidores de destino.

É parte da escolha inicial do Tor não lidar com essa ameaça para permitir a criação de um serviço de comunicação de baixa latência utilizável para navegação na web, bate-papo via Internet e conexões SSH.

Para mais informações para especialistas, veja Tor Project: The Second-Generation Onion Router, parte 3, Design goals and assumptions (em inglês).

Tails não separa magicamente suas diferentes identidades

Usualmente não é recomendável usar a mesma sessão do Tails para realizar duas tarefas ou aproximar duas identidades contextuais que você realmente deseja manter separadas uma da outra, como por exemplo esconder sua localização para checar seu email e publicar um documento anonimamente.

Primeiro, porque o Tor tende a reutilizar os mesmos circuitos, por exemplo em uma mesma sessão de navegação. Uma vez que o nó de saída de um circuito conhece tanto o servidor de destino (e possivelmente o conteúdo da comunicação caso não esteja criptografada) e o endereço do relay anterior do qual ele recebeu a comunicação, fica mais fácil correlacionar as várias requisições de navegação como parte do mesmo circuito e possivelmente feitas pelo mesmo usuário/a. Se você está enfrentando um adversário/a global como descrito acima, ele também pode estar em posição de realizar esta correlação.

Em segundo lugar, no caso de uma brecha de segurança ou de um mal uso do Tails ou de uma das suas aplicações, informações sobre sua sessão podem vazar. Isso pode revelar que a mesma pessoa está por trás de várias ações feitas durante uma mesma sessão.

A solução para ambas as ameaças é desligar e reiniciar o Tails toda vez que você for usar uma nova identidade, se você realmente quiser isolá-las melhor.

O botão de "Nova Identidade" do Vidalia força o Tor a utilizar novos circuitos mas apenas para novas conexões: conexões existentes podem ainda continuar abertas. Ainda, independentemente dos circuitos do Tor, outros tipos de informação podem revelar suas atividades passadas, por exemplo os cookies armazenados no seu navegador. Assim essa funcionalidade do Vidalia não é uma solução para realmente separar identidades contextuais. Ao invés disso, desligue e reinicie o Tails.

Tails não transforma suas senhas fracas em fortes

Tor permite que você seja anônimo online; Tails permite que você não deixe rastros no computador que você estiver usando. Mas, mais uma vez, nenhum deles é um encantamento mágico para obter segurança computacional.

Se você usa senhas fracas, elas podem ser descobertas por ataques de força bruta com ou sem o Tails da mesma forma. Para saber se suas senhas são fracas e aprender boas práticas de criação de senhas melhores, você pode ler Wikipedia: Weak Passwords (em inglês).

Tails é um trabalho em progresso

Tails, assim como todo software nele incluso, está em desenvolvimento contínuo e pode conter erros de programação e brechas de segurança. Fique atento/a ao desenvolvimento do Tails. Não confie no Tails para um anonimato forte.