Tails – Volume persistente encriptado

Introdução

Meu interesse pelo Tails, começou ao ler o livro do Edward Snowden lançado em Portugal com o título “Vigilância Massiva, Registo Permanente”, onde, no capítulo 22, “O Quarto Estado”, ele escreve: “Levei um portátil barato, que corria o Tails, que é um sistema operativo «amnésico» baseado no Linux. «Amnésico» significa que esquece tudo quando o desligamos e recomeça a partir do zero quando voltamos a ligá-lo, sem registos ou vestígios de memória do que fizemos antes. O Tails permitia-me «disfarçar» o MAC do computador: sempre que se ligava a uma rede deixava o registo de outra máquina qualquer, de modo nenhum associável à minha.

Enquanto o Snowden trabalhava para a NSA, contratado pela Dell, na ilha de Oahu no Havaí, ele utilizou este laptop com o Tails instalado para percorrer a ilha em busca de redes de Wi-Fi. Com o auxílio de um sensor GPS, marcou a posição destas redes, criando, assim, um mapa de redes sem fio, muitas das quais sem qualquer segurança, ou com uma segurança fraca, facilmente contornável. Foi através destas redes que contactou e trocou e-mails com os jornalistas que trabalharam com ele na denúncia da vigilância massiva feita pela NSA.

Tails – The Amnesic Incognito Live System

O Tails é um sistema operacional baseado no Debian, que tem como objetivo preservar a privacidade e anonimato do usuário. O Tails 4.0, lançado em 22/10/2019, é baseado no Debian 10 (Buster).

Tails é um acrônimo para sistema vivo anônimo amnésico em inglês, onde: sistema vivo diz respeito a capacidade de ser carregado a partir de uma mídia removível, como DVD ou USB Pen Drive, sem necessidade de ser instalado no computador; amnésico diz respeito a não guardar informações, esquecer tudo o que se passou durante a sessão ativa ao ser desligado; anônimo (incógnito) diz respeito a utilizar a rede Tor para navegar pela Internet.

O fato do sistema ser amnésico tem uma contrapartida: é necessário configurá-lo toda vez que é carregado. Na janela Tails Greeter, exibida ao iniciar, a configuração padrão é baseada em um utilizador de língua inglesa, para os demais utilizadores é necessário configurar o idioma e o teclado. Ao configurar o idioma o teclado e o formato da data são alterados junto, mas podem ser trocados para outras opções.

Por segurança o usuário administrador do Tails, que se chama amnesia, não tem sua senha habilitada, para evitar ataques externos, mas se for necessário executar qualquer tarefa administrativa, como montar um disco do computador ou instalar uma aplicação, ou desejar que o protetor de tela peça senha para desbloquear, a senha do administrador deverá ser definida na janela Tails Greeter.

Por padrão o MAC Address Spoofing, onde o MAC (media access control / controle de acesso à mídia) é fingido, ou seja, o MAC informado não corresponde ao número de série real da interface de rede, está habilitado, mas pode ser desabilitado se assim for necessário.

Volume Persistente

Apesar da característica mais marcante do Tails seja não deixar rastros, é possível configurar um volume persistente. Para isso devemos ir ao menu Aplicações, Ferramentas do Sistema, Configurar volume persistente e informar uma senha para o volume persistente. Para um USB Pen Drive de 8GB o tamanho do volume persistente é de 3.5GB, para um de 32 GB é de 21GB, e para um de 64GB é de 50GB.

Com o volume persistente definido, podemos configurar o que será armazenado nele: dados pessoais; favoritos do Tor; ligações de rede; software adicional; impressoras; e-mail Thunderbird; GnuPG; carteira de Bitcoin; Pidgin; cliente SSH; ficheiros Dot.

Com os dados pessoais armazenados no volume persistente é possível criar e modificar arquivos, ou copiar arquivos do disco rígido do computador para o volume persistente, sem que se perca estes dados quando o computador é desligado.

Com as ligações de rede armazenadas no volume persistente não é mais necessário fornecer a senha de rede toda vez que o Tails é carregado, a conexão é estabelecida automaticamente.

Quando se coloca o pen drive do Tails na porta USB de um computador, rodando o Linux Mint, por exemplo, é solicitada a senha do volume persistente. Após informada a senha, todo o conteúdo do volume persistente fica acessível ao usuário do Linux Mint. Porém, se o computador estiver rodando o Windows, ao se colocar o pen drive será exibida a mensagem: “Formate o disco na unidade X: para poder usá-lo”.

Aplicações

O Tails vem com diversas aplicações pré instaladas, como o Tor Browser, Thunderbird, Audacity, GIMP, Inkscape, LibreOffice, Electrum Bitcoin Wallet, Brasero, entre outros, e pode ser usado o Gestor de Pacotes Synaptic para instalar mais aplicações.

O Mozilla Thunderbird é um cliente de email, de código aberto, que possibilita concentrar vários endereços de email em um único lugar, dando suporte, também, a bate-papo, newsgroups, RSS e Movemail. As mensagens instantâneas e bate-papo podem usar o IRC, XMPP, Twitter e Google Talk. O catálogo de endereços permite importar tanto arquivos de texto (LDIF, .tab, .csv e .txt), quanto vCard (.vcf). Podem ser trocados emails criptografados, definindo-se chaves públicas e privadas entre os participantes.

Este texto foi escrito utilizando a linguagem de marcação Markdown, através do programa ReText (Simple text editor for Markdown and reStructuredText) instalado através do Synaptic. Depois o texto foi convertido para HTML, aberto no Tor, copiado e colado aqui.

Também foi instalado o GNU Aspell para fazer a correção ortográfica do texto.

Os pacotes instalados usando o Synaptic ficam armazenados no volume persistente, quando este é definido, e são reinstalados automaticamente toda vez que o sistema é carregado, o que toma algum tempo.

Dentre os softwares pré-instalados no Tails está o KeePassXC, usado para armazenar senhas. Com os dados pessoais armazenados no volume persistente é possível armazenar o banco de dados de senhas (arquivo .kdbx) neste volume. O KeePassXC é importante, uma vez que o navegador Tor não armazena senhas.

Rede Tor

A rede Tor conduz o tráfego dos dados pela Internet através de mais de oito mil servidores voluntários, distribuídos pelo mundo, chamados de relays, escondendo a localização do utilizador e suas consultas de qualquer pessoa realizando vigilância de rede ou análise de tráfego.

Navegador Tor

O Navegador Tor evita que alguém que esteja monitorando a sua conexão descubra quais são os sites que você visita. Tudo que alguém que esteja monitorando a sua conexão pode ver é que você está utilizando o Tor, e não os seus hábitos de navegação, por isso é recusado por alguns sites de mídia, como o do Estadão, porém é aceito por muitos outros sites, como o G1, a Folha de São Paulo, e The Wall Street Journal.

A BBC criou, inclusive, um acesso ao BBC News exclusivo para o navegador Tor (https://www.bbcnewsv2vjtpsuy.onion/), para uso em países onde o seu conteúdo é bloqueado pelo governo. Este endereço da BBC não pode ser usado em outros navegadores. Veja BBC News launches ‘dark web’ Tor mirror.

O site de e-mails criptografados ProtonMail permite o acesso aos e-mails pelo Tor, assim como o português SAPO Mail, o GMail (após confirmar pelo celular) e o Vivaldi.

No LinkedIn, após fornecer o usuário e a senha, é enviado um e-mail contendo um código de verificação para acessar a conta, uma vez que o acesso está sendo feito a partir de um local desconhecido. Conforme seja o país pelo qual esteja se conectando ao LinkedIn o menu de publicação poderá estar presente ou não.

No WhatsApp o código QR não aparece na tela, ou aparece e desaparece rapidamente, não permitindo que seja validado pelo aplicativo no celular. A configuração para contornar este problema deixa o Tor vulnerável, por isso é desaconselhada.

O Telegram Web funciona perfeitamente. Após fornecer o número do telefone é enviado um código de login para o aplicativo Telegram no celular. Depois que este código é introduzido no Telegram Web, é pedida a senha do usuário. Finalmente é enviada uma mensagem, apenas para o aplicativo do Telegram do celular, informando que foi feito um login na conta contendo a hora, país e IP do login.

O Twitter também funciona perfeitamente no navegador Tor. Ao conectar, além de informar o usuário e a senha, também foi pedido o número do telefone registrado no Twitter.

É possível publicar em sites do WordPress como esse, ou em sites do WordPress hospedados no DreamHost, como o Reficio, usando o navegador Tor no Tails. Porém, como o Tor não tem acesso ao volume persistente do Tails, os documentos e imagens a serem carregados no site devem ser copiados para as pastas transitórias pertinentes antes de serem enviados.

O navegador Tor vem com a extensão para bloqueio de conteúdo de propósito geral uBlock Origin (you-block) instalada, que além de bloquear anúncios, bloqueia também rastreadores e sites de malware, usando uma lista própria de sites e listas produzidas por terceiros.

Máquina Virtual

É possível executar o Tails em uma máquina virtual sob o VirtualBox instalada nos sistemas operacionais hospedeiros Windows, Linux ou macOS, mas isso tem graves implicações de segurança, uma vez que tanto o software de virtualização quanto o sistema operacional hospedeiro podem monitorar o que está sendo feito no Tails. No caso de haver um malware instalado no sistema operacional hospedeiro, este poderá quebrar as funcionalidades de segurança do Tails.

Boot

A maior dificuldade encontrada para usar o Tails foi o fato de não poder ser carregado usando a UEFI, precisa ser carregado no modo legado (BIOS), com o Compatibility Support Mode (CSM), como o Windows 7, Vista, XP e MS-DOS. No caso da máquina que estou usando para carregar o Tails é preciso desabilitar a UEFI e habilitar para carregar o Linux Mint, um procedimento desagradável.

Conclusão

O Tails, junto com o Tor, fornece uma forma segura de navegar pela Internet anonimamente. Com volume persistente definido, permite transportar arquivos em viagens protegidos por criptografia, sem a necessidade de encriptar os arquivos, uma vez que o todo volume é encriptado. As desvantagens são a falta de boot pela UEFI, que ainda não foi implementado, e os sites que não permitem o acesso pelo navegador Tor.

Notas:

  1. Este texto foi inteiramente escrito e disponibilizado no WordPress usando o Tails, Tor e ReText.
  2. A máquina virtual foi instalada sob o Linux Mint.
Publicações Próprias ↑