Navegação anônima na web

Parte ou a integralidade do conteúdo desta página resulta da tradução de uma página originalmente presente numa Wikipédia noutra língua. A tradução foi realizada originalmente a partir da versão https://en.m.wikipedia.org/w/index.php?title=Anonymous_web_browsing&oldid=1025878944. A página correspondente pode ser conferida aqui.
Data da tradução: 29 de maio de 2021. As fontes foram verificadas.

Navegação anônima na web refere-se à utilização da world wide web de modo que informações de identificação pessoal de um usuário sejam ocultadas dos sites visitados.^[1]

A atual prática recomendada para navegação anônima é o navegador Tor.

A ligação entre a impressão digital do navegador e a identidade da vida real[editar | editar código-fonte]

Quando um usuário abre uma página web, seu endereço IP e a impressão digital do navegador tornam-se visíveis para o servidor da página web de destino.^[2]

O endereço IP do usuário pode ser exclusivo para o assinante, mas em muitos casos, devido ao esgotamento dos endereços IPv4, o usuário está atrás de um NAT de grau de operadora (CGN), também conhecido como NAT em larga escala (LSN), o que significa que vários usuários compartilham o mesmo endereço IP público. Independentemente do caso, o endereço IP pode ser rastreado pelo ISP até o assinante individual, mesmo retrospectivamente.

A impressão digital do navegador consiste em várias informações, incluindo, mas não se limitando à: agente de usuário, cookies de rastreamento, lista de extensões de navegador instaladas, sites visitados anteriormente, fontes instaladas e informações de hardware (como o sistema operacional, tamanho da tela, orientação da tela, benchmarks de desempenho de hardware, IDs de hardware e dados da bateria). Além disso, a '"Canvas fingerprinting'" pode ser usada para determinar informações sobre o driver gráfico e GPU instalados.

As sessões durante as quais o usuário está logado em algum site podem ser vinculadas de forma trivial pelo servidor. Os padrões de ações dessas sessões podem ser registrados pelo servidor para criar uma impressão digital comportamental que pode identificar o mesmo usuário, mesmo em várias contas de usuário.

Uma vez que os dados acumulados podem identificar, exclusivamente, um usuário nas sessões de navegação, se em qualquer ponto o usuário fornecer informações de identificação pessoal (por exemplo, se ele entrar no site com uma conta registrada em seu nome real ou se fornecer informações de cartão de crédito ao site), sua identidade real pode ser associada à impressão digital. Isso também pode acontecer, por exemplo, se o usuário for doxed: O link revelado entre a identidade da vida real do usuário e o pseudônimo pode, então, ser vinculado aos dados associados ao pseudônimo previamente vinculado, impressão digital do navegador e ações anteriores realizadas sob o pseudônimo.

Alcançando o anonimato[editar | editar código-fonte]

A navegação anônima na web requer a desconexão do endereço IP do usuário e da impressão digital do navegador de sua identidade na vida real.

Escondendo o endereço IP[editar | editar código-fonte]

O endereço IP do usuário pode ser oculto usando um ou mais servidores proxies. Um proxy'" oculta o endereço IP de origem do servidor ao qual o usuário tenta se conectar e apenas o endereço IP do servidor proxy fica visível para o servidor.^[3]^[4] Todos os serviços de proxy são úteis quando o usuário deseja visitar um site que pode estar bloqueado em um determinado país, escritório ou escola, mas a maioria dos serviços de proxy não torna, suficientemente, o usuário anônimo.^[5]

Os serviços de proxy web e VPNs são proxies de salto único, o que significa que há um computador de terceiros entre o usuário e o servidor de destino. O Tor, por outro lado, usa três nós Tor aleatórios (significando três saltos) entre o usuário e o servidor de destino.

Riscos relacionados à proxies[editar | editar código-fonte]

Os serviços de proxy de salto único são centralizados e, portanto, suscetíveis à intimações e NSLs emitidas por autoridades.

Muitos provedores de VPN mantêm arquivos de log indefinidamente^[6] e muitos provedores de VPN mentem sobre não manter registros.^[7]

O serviço web proxy ou uma vpn raramente é suficiente sozinho(a) e tais ferramentas não devem ser consideradas para anonimato (especialmente se o usuário for um dissidente, denunciante, ativista, jornalista ou pertencer à uma minoria oprimida.

Deve-se observar que o Tor é vulnerável à ataques de correlação ponta a ponta, que funcionam independentemente do número de nós. No entanto, o fato de o Tor não ser perfeito não significa que não seja mais seguro do que todas as suas alternativas. Por exemplo, os documentos secretos da NSA publicados desde 2013 revelaram que a comunidade de inteligência FVEY considera o Tor "o rei do anonimato de alta segurança e baixa latência" e, acrescenta, que "não há candidatos ao trono esperando".^[8]

Independentemente do comprimento da cadeia de proxies, o último nó que estabelece a conexão com o servidor de destino (ou seja, o proxy web, o provedor de serviços VPN ou o nó de saída do Tor) pode espionar sessões não-criptografadas. A única proteção verificável contra isso é garantir que o navegador use criptografia TLS e isso pode ser verificado na barra de endereços do navegador (se houver um ícone de cadeado e o URL começar com https, a conexão é criptografada).

Limitações para servidores proxy[editar | editar código-fonte]

Os servidores proxy introduzem algumas limitações. Principalmente, quanto mais nós entre o usuário e o servidor de destino, mais latência existe. Isso pode ter um impacto significativo nos sistemas de baixa latência, como chamadas VoIP e video chamadas. Às vezes, a largura de banda disponível também é limitada devido à carga atual experimentada pelo servidor proxy ou devido aos limites de largura de banda definidos. Alguns serviços de proxy filtram dados sinalizados como inadequados ou suspeitos, o que pode fazer com que alguns elementos de uma página web não sejam carregados.

Ocultando a impressão digital do navegador[editar | editar código-fonte]

A eliminação da impressão digital de navegação exige que o usuário não forneça dados pessoais em nenhum momento, exclua dados de rastreamento nas sessões e use contas de usuário descartáveis que são registradas e usadas exclusivamente por meio da rede de anonimato.

O usuário também precisa reduzir o tamanho da impressão digital, por exemplo, desativar recursos do navegador que vazam dados de identificação (como add-ons de navegador como os plugins máquina virtual Java, Adobe flash player e JavaScript) com, por exemplo, o plugin NoScript. As configurações de privacidade do navegador devem ser definidas para excluir todos os dados entre as sessões e bloquear cookies de rastreamento e outros elementos de rastreamento web. Um método alternativo é falsificar valores aleatórios para os campos de dados que constituem a impressão digital do navegador para cada sessão. O problema das impressões digitais aleatórias é que o tamanho da impressão digital também é revelador: por exemplo, se apenas um usuário fornecer a quantidade baixa, mas exata de 3,123123 bits de dados de identificação, o servidor terá alguma confiança de que é o mesmo usuário, mesmo se o conteúdo da impressão digital for randomizado para cada sessão.

Assim, um método de anonimato muito mais eficaz é misturar-se com a multidão, com sistemas de anonimato pré-configurados, como o navegador Tor^[9] por exemplo (que se verificou ser muito eficaz)^[10], e onde milhões de usuários compartilham uma impressão digital um pouco maior (mas ainda aleatória) do mesmo tamanho (~10,79 bits).

A abordagem "mesclando-se" ao anonimato da internet também explica por que é uma má ideia ajustar as configurações de privacidade do navegador (a seção about:config, por exemplo). Fazer isso, provavelmente, resultará em um navegador Tor exclusivo que anula o anonimato que o usuário deseja. O controle de segurança ajustável do navegador Tor tem três configurações, o que significa que a base de usuários opera entre três níveis de segurança. Isso também significa três tamanhos de impressão digital, mas os "buckets" ainda são grandes o suficiente para fornecer anonimato.

Ver também[editar | editar código-fonte]

Referências

↑ «What is anonymous browsing?» [O que é navegação anônima?]. Avast (em inglês). Consultado em 3 de abril de 2021
↑ «What is fingerprinting? What does it mean if my browser is unique?» [O que é impressão digital? O que significa se meu navegador for único?]. Cover your tracks (em inglês). Consultado em 3 de abril de 2021
↑ Confident Ltd. "Anonymous surfing, AnonIC.org, 2004
↑ «Surf anonymously» [Surfar anonimamente] (em inglês). Consultado em 15 de setembro de 2018
↑ Ling, Zhen; Luo, Junzhou; Wu, Kui; Fu, Xinwen (abril de 2013). «Protocol-level hidden server discovery» [Descoberta de servidor oculto em nível de protocolo]. Turin, Itália: IEEE. Processos IEEE INFOCOM 2013 (em inglês): 1043 à 1051. ISBN 978-1-4673-5946-7. doi:10.1109/INFCOM.2013.6566894. Consultado em 3 de abril de 2021
↑ «Does your VPN keep logs? 140 VPN logging policies revealed» [A sua VPN mantém registros? 140 políticas de registro VPN reveladas]. Comparitech (em inglês). 10 de março de 2021. Consultado em 3 de abril de 2021
↑ Hodge, Rae (31 de julho de 2020). «Why you should be skeptical about a VPN's no-logs claims» [Por que você deve ser cético sobre as alegações de VPN sem registros]. CNET. CNET. Consultado em 3 de abril de 2021
↑ «Tor: the king of high-secure, low-latency anonymity» [Tor: o rei do anonimato de alta segurança e baixa latência]. The Guardian (em inglês). The Guardian. 4 de outubro de 2013. Consultado em 3 de abril de 2021. Cópia arquivada em 7 de outubro de 2013
↑ «Anonymous Web Surfing – How to browse web anonymously & safely?» [Navegação anônima na web - Como navegar na web de forma anônima e segura?] (em inglês). Them Review. Consultado em 3 de abril de 2021
↑ Eckersley, Peter. «How unique is your web browser?» [Quão único é o seu navegador web?] (PDF). Electronics Frontier Foundation (em inglês). Springer. Consultado em 3 de abril de 2021. Cópia arquivada (PDF) em 15 de outubro de 2014

Fontes[editar | editar código-fonte]

How to foil search engine snoops, Wired magazine (em inglês) (2006)

[1] «What is anonymous browsing?» [O que é navegação anônima?]. Avast (em inglês). Consultado em 3 de abril de 2021

[2] «What is fingerprinting? What does it mean if my browser is unique?» [O que é impressão digital? O que significa se meu navegador for único?]. Cover your tracks (em inglês). Consultado em 3 de abril de 2021

[3] Confident Ltd. "Anonymous surfing, AnonIC.org, 2004

[4] «Surf anonymously» [Surfar anonimamente] (em inglês). Consultado em 15 de setembro de 2018

[5] Ling, Zhen; Luo, Junzhou; Wu, Kui; Fu, Xinwen (abril de 2013). «Protocol-level hidden server discovery» [Descoberta de servidor oculto em nível de protocolo]. Turin, Itália: IEEE. Processos IEEE INFOCOM 2013 (em inglês): 1043 à 1051. ISBN 978-1-4673-5946-7. doi:10.1109/INFCOM.2013.6566894. Consultado em 3 de abril de 2021

[6] «Does your VPN keep logs? 140 VPN logging policies revealed» [A sua VPN mantém registros? 140 políticas de registro VPN reveladas]. Comparitech (em inglês). 10 de março de 2021. Consultado em 3 de abril de 2021

[7] Hodge, Rae (31 de julho de 2020). «Why you should be skeptical about a VPN's no-logs claims» [Por que você deve ser cético sobre as alegações de VPN sem registros]. CNET. CNET. Consultado em 3 de abril de 2021

[8] «Tor: the king of high-secure, low-latency anonymity» [Tor: o rei do anonimato de alta segurança e baixa latência]. The Guardian (em inglês). The Guardian. 4 de outubro de 2013. Consultado em 3 de abril de 2021. Cópia arquivada em 7 de outubro de 2013

[9] «Anonymous Web Surfing – How to browse web anonymously & safely?» [Navegação anônima na web - Como navegar na web de forma anônima e segura?] (em inglês). Them Review. Consultado em 3 de abril de 2021

[browser-fingerprint-10] Eckersley, Peter. «How unique is your web browser?» [Quão único é o seu navegador web?] (PDF). Electronics Frontier Foundation (em inglês). Springer. Consultado em 3 de abril de 2021. Cópia arquivada (PDF) em 15 de outubro de 2014

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]