Apesar de fazermos nosso melhor para oferecer boas ferramentas para proteger sua privacidade ao usar um computador, não há uma solução mágica ou perfeita para um problema tão complexo. Entender bem os limites destas ferramentas é um passo crucial para que você possa, primeiro, decidir se o Tails é a ferramenta correta para você e, segundo, fazer um bom uso dele.

Tails não te protege de hardware comprometido

Se o computador tiver sido comprometido por alguém que tenha tido acesso físico a ele e que tenha instalado alguma peça não-confiável de hardware (como um keylogger), talvez nesse caso não seja seguro utilizar Tails.

A segurança do Tails pode estar comprometida se ele tiver sido instalado ou plugado em sistemas não confiáveis

Ao inicializar seu computador no Tails, não há como ele ser comprometido por um vírus que já esteja no seu sistema operacional usual, porém:

  • Tails deve ser instalado a partir de um sistema confiável. Caso contrário, ele pode ser corrompido durante a instalação.

  • Conectar sua memória USB com Tails em um sistema operacional comprometido pode corromper sua instalação do Tails e destruir a proteção que o Tails oferece. Use sua memória USB com Tails somente para inicializar o Tails e nada mais.

Veja o FAQ correspondente.

Tails não te protege contra ataques de BIOS ou firmware

Também é impossível para o Tails te proteger de ataques realizados através da BIOS ou de outro firmware embutido no computador. Esses programas não são gerenciados ou fornecidos diretamente pelo sistema operacional e nenhum sistema operacional pode te proteger desse tipo de ataque.

Veja, por exemplo, esse ataque à BIOS feito por LegbaCore (em inglês).

Os nós de saída do Tor podem espionar as comunicações

O Tor trata de esconder sua localização, não de criptografar sua comunicação.

Em vez de tomar uma rota direta da origem ao destino, as comunicações usando a rede Tor trilham caminhos aleatórios através de diversos relays (repetidores) que apagam os seus rastros. Assim, nenhum observador em nenhum ponto específico da rede pode dizer de onde os dados vieram ou para onde eles estão indo.

Uma conexão Tor geralmente passa através de 3 relays, sendo o último aquele que estabelece a conexão com o destino final

O último relay desse circuito, chamado de nó de saída, é aquele que estabelece a conexão com o servidor de destino. Como o Tor não criptografa o tráfego entre um nó de saída e o servidor de destino (e nem poderia por questões de projeto), qualquer nó de saída está numa posição na qual pode capturar qualquer tráfego passando por ele. Veja a página de FAQ do Tor: nós de saída podem bisbilhotar comunicações?.

Por exemplo, em 2007 um pesquisador de segurança interceptou milhares de mensagens de e-mail enviadas por embaixadas estrangeiras e grupos de direitos humanos ao redor do mundo através da espionagem das conexões que saíam de um nó de saída que ele estava rodando. Leia Wired: Rogue Nodes Turn Tor Anonymizer Into Eavesdropper's Paradise (em inglês).

Para se proteger desses ataques você deve usar criptografia ponto-a-ponto.

Tails inclui muitas ferramentas para ajudar você a utilizar criptografia forte enquanto você navega, envia email ou conversa, conforme apresentado na nossa página sobre o Tails.

O simples uso do Tails já expõe para a rede o fato de que você está usando Tor e, provavelmente, Tails

Seu provedor de acesso à Internet e/ou as pessoas que administram sua rede local podem ver que você está conectando a um relay Tor, e não a um servidor web normal, por exemplo. Usar pontes Tor (bridges) em certas condições pode te ajudar a ocultar o fato de que você está usando Tor.

O servidor de destino ao qual você está conectando através do Tor pode saber se a sua comunicação vem de um nó de saída do Tor consultando a lista de nós de saída que está disponível publicamente. Isto pode ser feito, por exemplo, usando a ferramenta Tor Bulk Exit List do projeto Tor.

Assim, usar o Tails não faz com que você aparente ser um usuário/a de internet aleatório. O anonimato provido pelo Tor e pelo Tails funciona ao tentar fazer com que todos os seus usuários/as pareçam ser o mesmo, de modo que não seja possível identificar quem é quem dentre eles.

Veja também É possível ocultar o fato de que estou usando Tails?

Ataques man-in-the-middle (homem-do-meio)

Um ataque man-in-the-middle (homem-no-meio / MitM) é uma forma de bisbilhotagem ativa na qual um atacante faz conexões independententes com as vítimas e troca mensagens entre elas, fazendo que elas acreditem que estão falando diretamente uma com a outra através de uma conexão privada, quando na verdade toda a conversação está sendo controlada pelo atacante.

Enquanto o Tor está em uso, ataques man-in-the-middle ainda podem ocorrer entre o nó de saída e o servidor de destino. O nó de saída propriamente dito também pode atuar como um homem-no-meio. Para um exemplo desse tipo de ataque, veja MW-Blog: TOR exit-node doing MITM attacks (em inglês).

Mais uma vez, para se proteger desse tipo de ataque você deve utilizar criptografia ponto-a-ponto, tomando cuidados especiais para verificar a autenticidade do servidor.

Geralmente, isso é feito de forma automática através de certificados SSL verificados pelo navegador usando um conjunto de autoridades certificadoras). Se você obtiver uma mensagem de aviso de segurança como a que pode ser vista abaixo, você pode estar sendo vítima de um ataque de homem-no-meio (man-in-the-middle) e não deve ignorá-la, a não ser que você tenha uma forma alternativa e confiável de verificar a impressão digital do certificado com as pessoas que mantém o serviço.

Esta conexão não é confiável

Mas, apesar disso, o modelo de confiança da Internet baseado em autoridades certificadoras está suscetível a várias formas de comprometimento.

Por exemplo, em 15 de Março de 2011, a Comodo, uma das maiores companhias de certificados SSL, relatou que uma conta de usuário numa autoridade certificadora afiliada foi comprometida. Esta conta foi então usada para criar uma nova conta de usuário que emitiu nove requisições de certificados para sete domínios: mail.google.com, login.live.com, www.google.com, login.yahoo.com (três certificados), login.skype.com, addons.mozilla.org e global trustee. Veja Comodo: The Recent RA Compromise (em inglês).

Ainda em 2011 a DigiNotar, uma companhia holandesa de certificação SSL, emitiu incorretamente certificados para terceiros maliciosos. Mais tarde, foi trazido à tona que aparentemente ela foi comprometida meses antes, talvez em Maio de 2009 ou mesmo antes. Certificados forjados foram emitidos para domínios como google.com, mozilla.org, torproject.org, login.yahoo.com e muitos outros. Veja The Tor Project: The DigiNotar Debacle, and what you should do about it (em inglês).

Isso ainda deixa aberta a possibilidade de um ataque man-in-the-middle mesmo quando seu navegador está confiando numa conexão HTTPS

Por um lado, por prover anonimato, o Tor torna mais difícil a realização de ataques man-in-the-middle direcionados a uma pessoa específica, mesmo com a benção de um certificado SSL canalha. Mas, por outro lado, o Tor faz com que seja mais fácil para pessoas e organizações rodarem nós de saída para realizarem tentativas de MiTM em larga escala, ou ataques direcionados a um servidor específico, especialmente contra aqueles usuários/as que estiverem usando o Tor.

Citado de Wikipédia: Ataque man-in-the-middle, Wikipedia: Comodo Group#Certificate hacking e Tor Project: Detecting Certificate Authority compromises and web browser collusion (em inglês).

Ataques de confirmação de tráfego

O projeto do Tor não tenta proteger contra um atacante que pode ver ou medir tanto o tráfego entrando na rede do Tor quanto também o tráfego saindo dessa rede. Isso ocorre porque se você pode ver ambos os fluxos, uma estatística simples permite que você decida se eles se equivalem.

Esse também pode ser o caso se o seu provedor de internet (ou o administrador/a da rede local) e o provedor de acesso do servidor de destino (ou o administrador/a do servidor de destino propriamente dito) cooperarem para te atacar.

Tor tenta proteger contra análise de tráfego, na qual um atacante tenta descobrir quem deve investigar, mas o Tor não pode te proteger contra confirmação de tráfego (também conhecida como correlação ponto-a-ponto), na qual um atacante tenta confirmar uma hipótese monitorando certos pontos de uma rede e depois fazendo as contas.

Citado de Tor Project: "One cell is enough to break Tor's anonymity" (em inglês).

Tails não criptografa seus documentos por padrão

Os documentos que você pode salvar em dispositivos de armazenamento não serão criptografados por padrão, a não ser que você use o volume persistente criptografado. No entanto, Tails fornece a você ferramentas para criptografar seus documentos, como GnuPG, e para criptografar seus dispositivos de armazenamento, como LUKS.

Também é provável que os arquivos que você venha a criar contenham evidências de que foram criados utilizando Tails.

Se você precisar acessar os discos rígidos locais do computador que estiver usando, saiba que então você pode acabar deixando neles um rastro das suas atividades com Tails.

Tails não limpa os metadados dos seus documentos para você e não criptografa o Assunto: e outros cabeçalhos das suas mensagens de email criptografadas

Vários formatos de arquivo armazenam metadados ou dados ocultos dentro de si. Arquivos PDF ou gerados por processadores de texto podem armazenar o nome do autor, a data e hora de criação do arquivo e, às vezes, até parte do histórico de edição, dependendo do formato de arquivo e do programa utilizado.

Por favor, note também que o campo Assunto: assim como o resto das linhas de cabeçalho das suas mensagens de email criptografadas usando OpenPGP não são criptografadas. Isso não é um bug do Tails ou do protocolo OpenPGP; é, na verdade, devido a uma retrocompatibilidade com o protocolo SMTP original. Infelizmente ainda não existe padrão RFC para criptografia do campo Assunto.

Formatos de arquivo de imagem, como o TIFF ou JPEG, provavelmente ganham o prêmio na categoria maior quantidade de dados escondidos. Tais arquivos, criados por câmeras digitais ou telefones móveis, contém um formato de metadados chamado de EXIF que pode incluir a data, hora e talvez até as coordenadas GPS de quando a foto foi tirada, a marca e número de série do dispositivo que a tirou, assim como uma miniatura da imagem original. Programas de processamento de imagem tendem a manter esses dados intactos. A internet é cheia de imagens cortadas ou embaçadas nas quais a miniatura EXIF incluída ainda mostra a imagem original.

O Tails não limpa os metadados do seus arquivos para você. Por enquanto. Mesmo assim, é um dos objetivos de projeto do Tails te ajudar com isto. Por exemplo, o Tails já vem com um kit de anonimização de metadados.

Tor não te protege de um adversário global

Um adversário passivo global seria uma pessoa ou entidade capaz de monitorar ao mesmo tempo o tráfego entre todos os computadores de uma rede. Ao estudar, por exemplo, o padrão de tempo e volume de dados de diferentes comunicações na rede, seria estatisticamente possível identificar circuitos do Tor e então relacionar usuários do Tor a servidores de destino.

É parte da escolha inicial do Tor não lidar com essa ameaça para permitir a criação de um serviço de comunicação de baixa latência utilizável para navegação na web, bate-papo via Internet e conexões SSH.

Para mais informações mais técnicas, veja Tor Project: The Second-Generation Onion Router, parte 3, Design goals and assumptions (em inglês).

Tails não separa magicamente suas diferentes identidades contextuais

Em geral não é recomendável usar a mesma sessão do Tails para realizar duas tarefas ou proteger duas identidades contextuais que você realmente deseja manter separadas uma da outra. Por exemplo, para esconder sua localização ao checar seu email e para publicar um documento anonimamente.

Primeiramente, porque o Tor tende a reutilizar os mesmos circuitos, por exemplo em uma mesma sessão de navegação. Uma vez que o nó de saída de um circuito conhece tanto o servidor de destino (e possivelmente o conteúdo da comunicação caso não esteja criptografada) e o endereço do relay anterior do qual ele recebeu a comunicação, fica mais fácil correlacionar várias requisições de navegação como sendo parte do mesmo circuito e possivelmente feitas pelo mesmo usuário/a. Se você estiver enfrentando um adversário/a global como descrito acima, ele também pode estar em posição de realizar esta correlação.

Em segundo lugar, no caso de uma brecha de segurança ou de um mau uso do Tails ou de uma das suas aplicações, informações sobre sua sessão podem vazar. Isso pode revelar que a mesma pessoa está por trás de várias ações feitas durante uma mesma sessão.

A solução para ambas as ameaças é desligar e reiniciar o Tails toda vez que você for usar uma nova identidade, se você realmente quiser isolá-las melhor.

Como explicado na nossa documentação sobre o Tor Browser, sua ferramenta de Nova identidade não é uma solução perfeita para separar diferentes identidades contextuais. E, conforme explicado no FAQs, Tails não oferece uma funcionalidade de Nova Identidade global. Desligue e reinicie o Tails em vez disso.

Tails não transforma suas senhas fracas em fortes

Tor permite que você seja anônimo online; Tails permite que você não deixe rastros no computador que você estiver usando. Mas vale repetir: nenhum deles é um passe de mágica para obter segurança computacional.

Se você usa senhas fracas, elas podem ser descobertas por ataques de força bruta com ou sem o Tails da mesma forma. Para saber se suas senhas são fracas e aprender boas práticas de criação de senhas melhores, você pode ler Wikipedia: Weak Passwords (em inglês).

Tails é um trabalho em progresso

Tails e todos os programas inclusos nele estão em desenvolvimento contínuo e podem conter erros de programação e brechas de segurança.