Segurança é uma questão complexa. Muitas das vezes quem está buscando segurança tem que abrir mão de pelo menos um pouco de comodidade para ter progresso nessa busca, logo é um equilíbrio delicado pois se a comodidade for muito afetada você vai acabar chutando o balde e priorizando mais a comodidade mas se a segurança não for levada em consideração a chance de um incidente desastroso ocorrer pode aumentar dramaticamente.
Segurança pode ser aplicada a diversas frentes como:
Questão de segurança residencial a fim de reduzir a chance de um arrombamento enquanto você sai.
Questão de segurança de dados a fim de evitar que alguém que não deveria ter acesso tenha e que você tenha alguma forma de recuperar esses dados se algo der errado (backup).
Questão de segurança de dispositivos, que mesmo as vezes sendo apenas danos materiais já dá um estrago no bolso.
Questão de segurança pessoal, ai entra conceitos como o EDC (Everyday Carry) e técnicas de defesa pessoal.
Nesse post vou focar mais em segurança de computadores para usuarios finais.
DISCLAIMER: eu não sou nenhum especialista em segurança mas também não sou só um usuário comum.
Navegação na internet
Houve um tempo em que existiam diversos antivirus que tinham na versão paga alguma coisa de Internet Security, o que é uma forma bem superfaturada de bloquear propaganda, tracker e colocar um icone verdinho em sites que ele julga confiáveis mas nada impede de ter uma grana envolvida em certificações. Pode resolver pra bastante gente? Sim. Mas cada vez mais antivirus é um negócio que tá caindo em desuso.
O melhor antivirus é o usuário mas é bem difícil fazer esse trabalho quando tem várias distrações e um Adblock bom ajuda a eliminar a principal fonte de problemas de segurança em sites: propagandas.
Propagandas são fornecidas por networks, como a Google Adsense, que são adicionadas pelo dono do site e na hora um script contata a network e puxa a propaganda do momento. Existem sites com diversos exemplos de propagandas e networks, e que também servem como uma forma de testar o adblock mas um problema gravíssimo de algumas networks é aceitar propagandas com HTML arbitrário.
A Google Adsense para comprar uma propaganda aceita somente imagens, seja animadas ou não, o que é tranquilo se não levar em consideração os rastreadores que ajudam a descobrir qual o perfil do usuário e fornecer propagandas mais relevantes, porém existem networks que aceitam HTML arbitrário, o que permite que alguém possa lançar uma campanha que carrega um script que tenta trocar o DNS do seu roteador permitindo que alguém saiba todos os sites que você está acessando, assim como de todos os que estão usando o roteador de onde você está.
Basicamente, um bom adblock resolve tipo 90% dos potenciais problemas de segurança que você possa ter com sites, e eu recomendo o uBlock Origin. E para sites que você confia e quer apoiar considere doar para o site e desativar o adblock para esses sites.
Backup
Eu sou meio suspeito pra falar de backup porque o jeito que eu gero dados vai ser um tanto diferente de como uma pessoa normal gera dados.
Os dados que eu “gero” são basicamente de dois tipos:
Dados textuais versionáveis
Dados imutáveis de longo prazo
Eu sou bem adepto de ferramentas declarativas, entre elas incluem:
LaTeX
Markdown
Nix
Scripts no geral
PlantUML
Outras pessoas usam formatos menos versionáveis como:
Word
PowerPoint
Excel
PSD
E eu não uso nada disso, se eu preciso de alguma aplicação mais pique escritório eu uso ou LaTeX (Texlive ou overleaf) ou Google Docs, e Google Docs faz backup por consequência. Minha máquina pode dar pau no meio de uma edição de documento que eu perco no máximo um minuto de serviço se eu estiver com internet. Edição de imagens eu geralmente uso o Gimp e uso bem pouco pra fazer umas montagens, pra algo mais artístico como logos eu geralmente uso o Canva que também não precisa fazer backup na mão.
Como eu uso NixOS hoje em dia minha configuração é definida em Nix e fica em um repositório no GitHub então eu também acabo tendo backup por consequência.
Coisas que ocupam espaço significativo mas que eu consigo baixar de novo eu posso só baixar de novo se perder, mas se é algo difícil de encontrar eu geralmente deixo em um canal fechado do Telegram usando links pra fazer um sistema de menu para navegar entre as seções. Funciona super bem.
Fotos e vídeos eu uso o Google Fotos, e como não tiro fotos e vídeos no computador o aplicativo do Google Fotos já resolve. To pensando em buscar alternativa para o Google Fotos mas por enquanto tá servindo bem.
WhatsApp não tem nem o que falar. Independentemente do método que tu usa alguma coisa tu vai perder, seja figurinha, mídia, conversa, o backup do WhatsApp é o mais degenerado de todos, enquanto isso o Telegram pode servir de backup.
Projetos pessoais eu versiono pelo Git, as vezes começando no projeto de playground. Eu tenho o playground público e um privado, o privado geralmente eu deixo só pra não perder mas não tem nada muito demais lá, é tipo aquelas pocs que nunca veem a luz do dia mas que o eu do futuro provavelmente vai dar um jeito e talvez sentir nostalgia pelo que o eu do passado fez.
Usar antivirus ou não?
Pra ser honesto, eu não uso antivirus por opção em nada desde o começo de 2017.
O Windows 10 vem com o Defender que eu deixo habilitado, porém se a máquina é com HD mecânico eu desativo a proteção em tempo real pelo gpedit.msc para a máquina ficar usável. É incrível o tanto que essa feature come IO e CPU, uma das causas mais zoadas de HD100 no Windows 10, mas para ser sincero, não é dificil forçar um HD de 5400RPM de notebook, aquilo trava até pra travar.
Linux usado por mim nunca viu antivirus e enquanto eu não for inevitavelmente obrigado a usar eu nunca vou usar.
Faça sua escolha e analize suas opções, eu não uso mas você que sabe.
Técnicos como o Azarado recomendam o uso de programas tipo o Deep Freeze que resetam o sistema quando reinicia, só dá problema quando o cara tem que passar o esquema pro usuário desativar o programinha.
Como funcionam as fontes?
Até chegar no YouTube e blogs o conteúdo já passou por diversas mãos. O repost do repost do repost do repost então o jeito mais seguro de conseguir qualquer coisa na internet é ir direto ao site oficial.
O Baixaki, por exemplo, foi um site muito zoado já por causa daquela parceria com o Baidu (instalado com sucesso) e cia LTDA. As pessoas ao invés de ir no site oficial do programa iam e baixavam por lá, ai de repente eles adicionaram o instalador deles. Eu não culpo as pessoas por isso, eu já fui essa pessoa.
A mesma lógica funciona em basicamente qualquer coisa, inclusive pra coisas piratas. Se você procurar baixar direto com quem fornece, a chance de vir batizado é bem menor, ou até mesmo nula. Muito cracker tá nessa pela emoção, se conseguir fazer um troco, melhor ainda. O problema geralmente é quando o site deles caem e depois é uma complicação pra saber qual o domínio certo depois e isso dá margem para alguns scammers repostarem o conteúdo para faturarem com anúncios, como já acontece com o ThePirateBay, FitGirl e o SciHub.
No YouTube, por exemplo, quem posta esse tipo de coisa posta com encurtador pra ganhar dinheiro com as propagandas e dificultar a vida de sistemas que tentam enumerar esses links diretos. Todos os sites de torrent que não enganam já tem o link magnet do torrent no HTML estático, o lixo vem quando carrega o site no navegador, logo é possível fazer um programa que faz uma pesquisa em algum site de busca, baixa os sites e procura por links magnet, inclusive usando emacs.
Baixar filmes por torrent tem menos risco de ter o cartão clonado do que assinar um serviço de streaming.
Questão de lock-in
Um problema muito recorrente em serviços baseados em núvem hoje em dia, e até os que não se baseiam, é o lock-in.
Alguns desses serviços tem planos gratuitos para estudantes, por exemplo, ou a um preço bem camarada, mas isso é isca, mesmo que o serviço seja realmente bom.
A pergunta a se pensar é e se esse serviço anunciar que vai fechar as portas, ou aumentar o preço de forma abusiva, você teria outra alternativa para migrar? Ou melhor, seria possível migrar sem perder dados?
As vezes não tem a melhor opção, mas sim a menos pior, e a menos pior ainda pode ser ruim.
Uma estratégia comum é juntar vários serviços numa mesma assinatura para te manter no mesmo ecossistema, como acontece geralmente com operadoras de telefone.
E por ai também entra o conceito de walled garden, ou jardim murado, como é com redes sociais que para consumir conteúdo você tem que ter uma conta.
Questão de golpe
Esse é o mais simples, mas mais difícil ao mesmo tempo.
A maior falha de segurança de qualquer sistema é sempre as pessoas. As pessoas gostam de se sentir úteis e tem toda uma área sobre como explorar essa capacidade. Um autor bem conhecido nesse âmbito é o Kevin Mitnick e eu recomendo a leitura do livro A Arte de Enganar para ter uma noção de como é isso na vida real.
Nunca passe nenhum código que vem por e-mail ou SMS.
Golpistas de WhatsApp nunca mandam áudio, então o jeito de lidar com golpista pedindo dinheiro se passando por alguém é simplesmente pedir para que ele peça em um áudio. E ele não vai, vai deixar quieto muito provavelmente e tentar pegar outro trouxa.
Eles conseguem clonar o número dos outros com infiltrados nas empresas de telefonia. Os infiltrados que são contratados de forma legítima são pagos para fazer essa maracutaia de dar acesso ao número de outras pessoas. E esse é um dos motivos que autenticação de duas etapas usando SMS não presta.
Golpista não chega despreparado e o Brasil costuma ser um desserviço com a confidencialidade de dados pessoais e isso é muito bem explorado para golpes.
Sobre ofertas, entenda o mecanismo. Não existe almoço gratis, algum motivo eles tem para oferecer coisas para as pessoas, mesmo que seja algo para longo prazo. Como você acha que o Facebook/Meta paga as contas? E como uma empresa de banco pode pagar juros acima da média para quem tem dinheiro guardado com eles? Pode ter certeza que eles tão ganhando significativamente mais com juros de cartão de crédito de inadimplentes.
E sobre criptomoedas, já ouviu falar de esquema de ponzi? De tirar de Pedro para pagar Paulo, e sumir logo antes do esquema desabar. Então, não existe margens mágicas de lucro, alguém vai perder, e se tu entrar muito provavelmente esse alguém vai ser você então aprenda de forma aprofundada sobre o criptoativo que você quer investir, ninguém vai pegar na tua mão e mostrar o caminho das pedras para ficar rico na boa intenção.
Questão de marketing
No mundo de hoje marketing é um negócio necessário mas o jeito que é levado por algumas empresas acaba fazendo ser tão importante quanto ter um bom produto, e esse é o mal dessa era: O marketing hoje é basicamente uma forma de enviesar uma decisão muitas das vezes ignorando questões éticas.
Vivemos na economia da atenção, as redes sociais que você usa todos os dias ganham dinheiro vendendo a sua atenção e o seu tempo. Elas não vão lançar features que te permitam ficar pouco tempo e fazer só o necessário. Esse é o tipo de funcionalidade que você só vai encontrar em clientes alternativos e não oficiais e esses clientes não oficiais ficam quebrando cada pouco por algum motivo hehehe.
É bem fácil convencer alguém que algo é bom quando já existe uma rede de pessoas dizendo que algo é bom, muito conteúdo patrocinado falando que é bom, propagandas chatas pra caramba, ou até muito engraçadas, falando que é bom e quando você vai escolher você as vezes nem conhece as alternativas e fica naquela inércia de que “vou usar esse produto aqui que esse eu conheço”. Muitas pessoas nem chegam nessa parte e só consomem, não refletem sobre a própria existência e é esse o tipo de pessoa que serve de brecha para esse modelo de negócio prosperar.
Sites de notícia de procedência duvidosa existem porque existe um incentivo implícito para eles existirem: treta dá muito mais audiência que coisa séria mas algo assim precisaria de um post a parte.
Por isso, não confia em marketeiro, por mais gente fina que ele seja. É tipo namorada de sugar daddy: só se importa com você enquanto você tem algo a oferecer.
Conclusão
Segurança é um equilíbrio complexo
Não existe almoço grátis
Não existe giveaway sem segundas intenções
Antivirus já foi algo necessário, hoje nem é tanto
Busque informação e conteúdo direto da fonte
Faça backup
Use Adblock
Evite marketeiros
E é isso ai meus bacanos, feliz 2022 :D
