Roadmap de Segurança

[Disruptivas]

Quero compartilhar um ''roadmap'' de elementos que acredito que seja importante se observar, não necessariamente como um usuário cripto, mas como um ''hard user de internet'' de forma geral. Gostaria de receber feedbacks e sugestões objetivas sobre os pontos (se possível, sem muita divagação)

1.Senha: uso de BONS gerenciadores de senha para criação de senhas aleatórias e uso de senha-mestre passphrase com pelo menos 15 caracteres (?)
2. 2FA: usar 2FA físico ou 2FA via Authy. Não recomendado 2FA via SMS devido ao SIM-Swap
3. Segmentação de emails e wallets: ter e-mails/wallets específicas pra ''coisas especificas''
4. Uso de um Antivírus
5. Uso de VPN
6. Sistemas de Backup e redundâncias pro gerenciador de senha/arquivos importantes
7. Reduzir o número de aplicativos e extensões usadas para o mínimo possível
8. Ter sistemas operacionais diferentes pra diferentes usos
9. Usar protetor de webcam/celular (?)
10. Pegar o habito de verificar o PGP dos downloads
11. Criar partições falsas no pc/celular pra casos de roubos/sequestro com drives criptografados (VeraCrypt)
12. ATENTAR-SE aos dados que disponibilizamos o tempo todo
13. Evitar dispositivos eletrônicos quando possível: por exemplo, optar por relogios não-digitais etc

É a lista que cheguei até agora. Acham que falta algo importante?

Adicionado pelas sugestões:

BACKUP: manter backup em locais geográficos diferentes

SISTEMAS OPERACIONAIS: opção de usar sistemas live (no pen-drive), sistemas virtuais como o docker ou virtual box (sempre criptografar tudo, por exemplo, a pasta de containers do docker pode ser criptografada

CARTEIRA FÍSICA COM PROTEÇÃO RFID (física, daquelas onde trazemos os nossos cartões de multibanco/crédito e notas fiat)

SEGMENTAÇÃO DE e-mail: SimpleLogin/gera um endereço para cada login que você utiliza

REDUZIR O NÚMERO DE APLICATIVOS E EXTENSÕES: uso do userscripts (via Tampermonkey) para substituir extensões simples. Tenho controle sob o código e não fico a mercê de updates silenciosos.

BLOQUEIO PIN do chip e modificar para um número pessoal e ativar o bloqueio

[1714605255]

1714605255

[1714605255]

1714605255

[1714605255]

1714605255

[1714605255]

1714605255

[1714605255]

1714605255

[1714605255]

1714605255

[criptoevangelista]

Boa lista, eu vou aderir a outra coisa, um notebook específico somente para mexer com criptomoedas, desvincular isso do computador que uso no dia a dia ... deixar este notebook, comprado zero km obviamente, exclusivamente para movimentação de moedas e nada mais. sequer acessar sites ou qualquer outra coisa.

Isso da pra aderir não somente com criptos ou com um notebook em si, mas deixar um celular ou pc velhinho q não usa mais, apenas para movimentações  financeiras ou de backup de contas, tipo deixar logar a conta mestra somente neste dispositivo... Deixar inclusive com um clone do HD usado nele guardado de backup 

[velhoti]

É uma boa lista.

Eu só acrescentaria nos ítens "6. Sistemas de Backup e redundâncias pro gerenciador de senha/arquivos importantes" e "8. Ter sistemas operacionais diferentes pra diferentes usos" a criptografia, os backups precisam ser criptografados e redundantes, além disso pode ser importante manter backup em locais geográficos diferentes, se por exemplo uma residência pega fogo, ainda tem outra cópia distante.

Em relação aos sistemas operacionais, pode-se usar sistemas live (no pen-drive), sistemas virtuais como o docker ou virtual box, mas é bom criptografar tudo, por exemplo, a pasta de containers do docker pode ser criptografada.

[sabotag3x]

SIM-Swap

Sempre vejo ataques de SIM-swap fazendo estragos grandes, mas pouco se fala sobre isso.

Qual a recomendação? ter vários números?

[Paredao]

Sempre vejo ataques de SIM-swap fazendo estragos grandes, mas pouco se fala sobre isso.

Qual a recomendação? ter vários números?

Separar um número SIM para coisas importantes e outro para coisas mais simples que não esteja vinculado com nada importante. E mesmo assim,  não ficar dando o número do seu SIM para tudo quanto for lugar. Principalmente para desconhecidos e sites de namoro. Hahaha

[darkv0rt3x]

Só me lembro de mais uma coisa que eu próprio uso, mais por paranóia que por necessidade, já que onde vivo, não acredito que aconteça, mas nunca se sabe.
Uma carteira (física, sim daquelas onde trazemos os nossos cartões de multibanco/crédito e notas fiat) com protecção RFID. Se procurarem pelo youtube, vão encontrar certamente alguns manfios com uns terminais de pagamentos por multibanco a aproximarem-se de pessoas e colocam o terminal perto do bolso de trás das calças dos incautos (caso tragam carteira no bolso de trás) e fazem pagamentos sem o incauto notar nada!

E já não é nada novo. Este vídeo já tem 6 anos no youtube:
https://www.youtube.com/watch?v=PmoE1mDz_cM

RFID:
https://en.wikipedia.org/wiki/Radio-frequency_identification

[criptoevangelista]

Só me lembro de mais uma coisa que eu próprio uso, mais por paranóia que por necessidade, já que onde vivo, não acredito que aconteça, mas nunca se sabe.
Uma carteira (física, sim daquelas onde trazemos os nossos cartoés de multibanco/crédito e notas fiat) com protecção RFID. Se procurarem pelo youtube, vão encontrar certamente alguns manfios com uns terminais de pagamentos por multibanco a aproximarem-se de pessoas e aproximam o terminal do bolso de trás das calças dos incautos (casam tragam carteira no bolso de trás) e fazem pagamentos sem o incauto notar nada!

E já não é nada novo. Este vídeo já tem 6 anos no youtube:
https://www.youtube.com/watch?v=PmoE1mDz_cM

RFID:
https://en.wikipedia.org/wiki/Radio-frequency_identification

isso acontece muito em baladas e em lugares com muita aglomeração de pessoas, já ouvi histórias de pessoas que carregam consigo essas mini máquinas de cartão e ficando cobrando baixas quantias em dinheiro das pessoas via aproximação.

[darkv0rt3x]

Só me lembro de mais uma coisa que eu próprio uso, mais por paranóia que por necessidade, já que onde vivo, não acredito que aconteça, mas nunca se sabe.
Uma carteira (física, sim daquelas onde trazemos os nossos cartoés de multibanco/crédito e notas fiat) com protecção RFID. Se procurarem pelo youtube, vão encontrar certamente alguns manfios com uns terminais de pagamentos por multibanco a aproximarem-se de pessoas e aproximam o terminal do bolso de trás das calças dos incautos (casam tragam carteira no bolso de trás) e fazem pagamentos sem o incauto notar nada!

E já não é nada novo. Este vídeo já tem 6 anos no youtube:
https://www.youtube.com/watch?v=PmoE1mDz_cM

RFID:
https://en.wikipedia.org/wiki/Radio-frequency_identification

isso acontece muito em baladas e em lugares com muita aglomeração de pessoas, já ouvi histórias de pessoas que carregam consigo essas mini máquinas de cartão e ficando cobrando baixas quantias em dinheiro das pessoas via aproximação.

Exacto, e por isso eu, aqui há talvez uns 3 anos atrás comprei uma carteira com protecção contra esses dispositivos. Protege os cartões de serem lidos com esses dispositivos. São um pouco caras as carteiras mas se realmente cumprirem com a sua função, acho que valem a pena o preço que se paga.

A minha é de uma marca Holandesa. Fica aqui o site, para os curiosos!
https://bellroy.com/products/category/rfid-protected-wallets

[alegotardo]

Quero compartilhar um ''roadmap'' de elementos que acredito que seja importante se observar, não necessariamente como um usuário cripto, mas como um ''hard user de internet'' de forma geral. Gostaria de receber feedbacks e sugestões objetivas sobre os pontos (se possível, sem muita divagação)

~snip~

Três pequenas observações sobre os pontos que você citou:

Questão do gerenciador de senha, TOP, mas é preciso ir além das config default.... eu uso Bitwarden e li uma vez por aqui que por padrão ele usa um sistema "fraco" por default... desculpe mas to pensando para encontrar o tópico onde alguém falou algo a respeito, mas foi aqui nessa aba achei, aqui. Qual gerenciador de senha você usa?

2FA em pendrive, como um token é o mais TOP para uso em sistemas bancários ou wallets que o suportem, mas fora isso até o Google Authenticator é muito bom desde é claro que você desabilite a sincronização em nuvem

Quanto a antivirus... no celular é perda de tempo, não aconselho... no computador estou à mais de 1 ano sem ter nada instalado. Se você não fica plugando pendrive a todo e qualquer momento, não acessa sites suspeitos e nem baixa pirataria, então não precisa de um.

[TryNinja]

Detalhando alguns pontos que já sigo:

1.Senha: uso de BONS gerenciadores de senha para criação de senhas aleatórias e uso de senha-mestre passphrase com pelo menos 15 caracteres (?)

Aqui uso o Bitwarden. Gosto muito e recomendo.

3. Segmentação de emails e wallets: ter e-mails/wallets específicas pra ''coisas especificas''

Algo como o SimpleLogin, sempre quis assinar mas nunca fiz.

Ele gera um endereço para cada login que você utiliza. Assim você tem o bitcointalkninja513@simplelogin.io (podendo usar até dominios customizados) que manda tudo pro seu email principal e pode ser excluido quando quiser. Foram comprados pelo ProtonMail e são suportados também direto no Bitwarden via API.

4. Uso de um Antivírus

Hoje em dia não sei se recomendaria. O Windows Defender já faz 99%.

5. Uso de VPN

Gosto do ProtonVPN, mas tem o Nord famosinho que todos conhecemos (com 100-120% de cashback).

6. Sistemas de Backup e redundâncias pro gerenciador de senha/arquivos importantes

7. Reduzir o número de aplicativos e extensões usadas para o mínimo possível

Aqui eu uso userscripts (via Tampermonkey) para substituir extensões simples. Tenho controle sob o código e não fico a mercê de updates silenciosos.

Questão do gerenciador de senha, TOP, mas é preciso ir além das config default.... eu uso Bitwarden e li uma vez por aqui que por padrão ele usa um sistema "fraco" por default... desculpe mas to pensando para encontrar o tópico onde alguém falou algo a respeito, mas foi aqui nessa aba achei, aqui. Qual gerenciador de senha você usa?

Acho que já corrigiram isso para novos usuários.

SIM-Swap

Sempre vejo ataques de SIM-swap fazendo estragos grandes, mas pouco se fala sobre isso.

Qual a recomendação? ter vários números?

O mais importante é NÃO permitir o seu uso como 2FA. SMS é muito inseguro.

[Disruptivas]

SIM-Swap

Sempre vejo ataques de SIM-swap fazendo estragos grandes, mas pouco se fala sobre isso.

Qual a recomendação? ter vários números?

Procurei bastante sobre! E até descobri coisas que não sabia sobre o ''PIN e PUK'' do celular. Mas foi só decepção. Primeiro porque são código ''iguais''. É um código que é igual pra todo mundo praticamente, então não serve pra muita coisa infelizmente. Acho que é um dos maiores problemas. Considerando que os atendentes das lojas no geral não são muito bem pagos. Qualquer ''propostinha'' coloca qualquer pessoa em risco. Não sei se tem muito o que fazer além de realmente ter dois telefones.

Exacto, e por isso eu, aqui há talvez uns 3 anos atrás comprei uma carteira com protecção contra esses dispositivos. Protege os cartões de serem lidos com esses dispositivos. São um pouco caras as carteiras mas se realmente cumprirem com a sua função, acho que valem a pena o preço que se paga.

A minha é de uma marca Holandesa. Fica aqui o site, para os curiosos!
https://bellroy.com/products/category/rfid-protected-wallets

Bem interessante isso!
Fiquei pensando, com celulares que estão habitando o pagamento por NFC, se aproximarem alguma maquininha, a transação também seria feita, igual dos celulares?
Será que existem capinhas com esse tipo de proteção também? 

Já viram o anime cyberpunk 2077? Eles ''roubam chips de cerebro'' no metro. Acho que os roubos de aproximação é o primeiro step pra esse futuro doido que mostra no anime.

[sabotag3x]

Só me lembro de mais uma coisa que eu próprio uso, mais por paranóia que por necessidade, já que onde vivo, não acredito que aconteça, mas nunca se sabe.
Uma carteira (física, sim daquelas onde trazemos os nossos cartoés de multibanco/crédito e notas fiat) com protecção RFID. Se procurarem pelo youtube, vão encontrar certamente alguns manfios com uns terminais de pagamentos por multibanco a aproximarem-se de pessoas e aproximam o terminal do bolso de trás das calças dos incautos (casam tragam carteira no bolso de trás) e fazem pagamentos sem o incauto notar nada!

E já não é nada novo. Este vídeo já tem 6 anos no youtube:
https://www.youtube.com/watch?v=PmoE1mDz_cM

RFID:
https://en.wikipedia.org/wiki/Radio-frequency_identification

isso acontece muito em baladas e em lugares com muita aglomeração de pessoas, já ouvi histórias de pessoas que carregam consigo essas mini máquinas de cartão e ficando cobrando baixas quantias em dinheiro das pessoas via aproximação.

Primeira coisa que faço quando pego um cartão novo é desabilitar essa opção de pagamento por aproximação.. não custa nada passar ele

[velhoti]

Procurei bastante sobre! E até descobri coisas que não sabia sobre o ''PIN e PUK'' do celular. Mas foi só decepção. Primeiro porque são código ''iguais''. É um código que é igual pra todo mundo praticamente, então não serve pra muita coisa infelizmente. Acho que é um dos maiores problemas. Considerando que os atendentes das lojas no geral não são muito bem pagos. Qualquer ''propostinha'' coloca qualquer pessoa em risco. Não sei se tem muito o que fazer além de realmente ter dois telefones.

Isso me fez lembrar de mais um item que eu acrescentaria à lista: o bloqueio do PIN do chip (https://www.tudocelular.com/seguranca/noticias/n144795/ensina-como-ativar-bloqueio-chip-sim-celular.html). Em geral os chips vêm com um PIN padrão da operadora, e é possível modificar para um número pessoal e ativar o bloqueio, fazendo com que seja necessário desbloquear o aparalho com o PIN toda vez que é reiniciado ou ligado.

Isso é importante pois, falo por experiência de pessoas próximas, pelo menos algumas vezes o modus operandi dos laddrões de celular é roubar e desligar o aparelho para evitar rastreios, e depois inserir o chip em um aparelho todo desbloqueado e com os aplicativos já instalados, onde eles tentam roubar seus dados de redes pessoais e contas bancárias. Ao bloquear o PIN, o ladrão não conseguiria ligar novamente o aparelho pois o chip fica bloqueado, exigindo o PIN para ser acessado.

ATENÇÃO: Isso não previne ataque de clonagem de SIM.
ATENÇÃO: Se errar acho que 3 vezes, o chip bloqueia pra sempre, é necessário ir na operaora e pedir um novo chip.

[darkv0rt3x]

Bem interessante isso!
Fiquei pensando, com celulares que estão habitando o pagamento por NFC, se aproximarem alguma maquininha, a transação também seria feita, igual dos celulares?
Será que existem capinhas com esse tipo de proteção também? 

Já viram o anime cyberpunk 2077? Eles ''roubam chips de cerebro'' no metro. Acho que os roubos de aproximação é o primeiro step pra esse futuro doido que mostra no anime.

Por acaso não sei. Nunca me interessei muito pela tecnologia NFCs, mas é bem provável que seja possível. Nunca usei NFC.
Quanto ao anime cyberpunk 2077, não, nunca vi! É coisa que não tenho muito tempo para ver é files, séries, etc, infelizmente!

[joker_josue]

Bem interessante isso!
Fiquei pensando, com celulares que estão habitando o pagamento por NFC, se aproximarem alguma maquininha, a transação também seria feita, igual dos celulares?
Será que existem capinhas com esse tipo de proteção também? 

Já viram o anime cyberpunk 2077? Eles ''roubam chips de cerebro'' no metro. Acho que os roubos de aproximação é o primeiro step pra esse futuro doido que mostra no anime.

Por acaso não sei. Nunca me interessei muito pela tecnologia NFCs, mas é bem provável que seja possível. Nunca usei NFC.
Quanto ao anime cyberpunk 2077, não, nunca vi! É coisa que não tenho muito tempo para ver é files, séries, etc, infelizmente!

Não, no smartphone é sempre preciso haver uma interação humana. Ter a app aberta, ou clicar em algum botão, ou pelo menos colocar pin/digital.

Também existem cartões proteção RFID mais baratos que as carteiras, e regra geral funciona muito bem.
Por exemplo tenho um, que até interfere com a chave mãos livres do carro. Se tiver a carteira a frente da chave, o carro não abre/fecha automaticamente tão rápido.
Gerível.


Eu na lista, colocava logo em primeiro lugar:
Não clique em qualquer link que recebe no e-mail, ou abra qualquer ficheiro que receba.
Juntava a isso: Evitar software pirata, e evitar abrir pens de desconhecidos ou que tiveram ligados em PCs pouco viáveis.

Ah... e não pense que essas coisas serem de amigos e familiares, é mais seguro...

[Paredao]

Eu na lista, colocava logo em primeiro lugar:
Não clique em qualquer link que recebe no e-mail, ou abra qualquer ficheiro que receba.
Juntava a isso: Evitar software pirata, e evitar abrir pens de desconhecidos ou que tiveram ligados em PCs pouco viáveis.

Ah... e não pense que essas coisas serem de amigos e familiares, é mais seguro...

Eu nem abro mais email. Só recebo bobagens e propostas sem pé nem cabeça. E quando abro, nunca clico em links com extensões executáveis. Aí que mora o perigo. Além de não ficar preenchendo sites falsos de bancos e instituições financeiras. Banco já te trata mal pra caramba, imagina se iriam te mandar email para te puxar o saco e renovar cadastro. Isso nunca fariam.

[joker_josue]

Eu nem abro mais email. Só recebo bobagens e propostas sem pé nem cabeça. E quando abro, nunca clico em links com extensões executáveis. Aí que mora o perigo. Além de não ficar preenchendo sites falsos de bancos e instituições financeiras. Banco já te trata mal pra caramba, imagina se iriam te mandar email para te puxar o saco e renovar cadastro. Isso nunca fariam.

Atenção aos PDFs, alguns são bem "malandros".
Não me lembrei de escrever essa: não entrar em qualquer site, só porque aparece nas pesquisas do Google, e muito menos preencher dados sensíveis num site que nunca "ouviu" falar na vida.

[Disruptivas]

Isso é importante pois, falo por experiência de pessoas próximas, pelo menos algumas vezes o modus operandi dos laddrões de celular é roubar e desligar o aparelho para evitar rastreios, e depois inserir o chip em um aparelho todo desbloqueado e com os aplicativos já instalados, onde eles tentam roubar seus dados de redes pessoais e contas bancárias. Ao bloquear o PIN, o ladrão não conseguiria ligar novamente o aparelho pois o chip fica bloqueado, exigindo o PIN para ser acessado.

ATENÇÃO: Isso não previne ataque de clonagem de SIM.
ATENÇÃO: Se errar acho que 3 vezes, o chip bloqueia pra sempre, é necessário ir na operaora e pedir um novo chip.

Opa, obrigada pela dica! Essa isso que eu queria pra esse post.
Eu havia ficado indignada com a questão do PIN ser ''padrao'', bom saber que tem como mudar isso! E talvez essa tecnica de usar o chip da pessoa em outro celular desbloqueado ou até usar o PIN padrão seja uma das formas mais comuns.

Pergunta pra ti, se eu tenho uma senha (numerica ou padrao) e uso o chip em outro celular desbloqueado, só vai pedir o PIN ne? Não vai requerer a senha individual do user?

Isso de bloquear é importante demais. De 3-5, se nao já é bobagem.

Por acaso não sei. Nunca me interessei muito pela tecnologia NFCs, mas é bem provável que seja possível. Nunca usei NFC.
Quanto ao anime cyberpunk 2077, não, nunca vi! É coisa que não tenho muito tempo para ver é files, séries, etc, infelizmente!

Cara, é um anime super curto! Assisti inteiro em uma tarde. É incrivel!

Eu na lista, colocava logo em primeiro lugar:
Não clique em qualquer link que recebe no e-mail, ou abra qualquer ficheiro que receba.
Juntava a isso: Evitar software pirata, e evitar abrir pens de desconhecidos ou que tiveram ligados em PCs pouco viáveis.

Ah... e não pense que essas coisas serem de amigos e familiares, é mais seguro...

Sim, tem o tópico ''mindset'' que diz respeito a nao clicar em cada.
Recentemente eu aluguei um arbnb e me enviaram msg fora do app - e era um lugar bem bem bom pro preço- ai eu tive CERTEZA que era um golpe. PIREI, nao respondi no whats, pesquisei o numero de celular da mulher, o CNPJ... tudo

Bem pela cultura paranoica kkkk

no final n era golpe, o lugar era lindo e realmente valia mt a pena... mas é o preco da paranoia digital

[velhoti]

Pergunta pra ti, se eu tenho uma senha (numerica ou padrao) e uso o chip em outro celular desbloqueado, só vai pedir o PIN ne? Não vai requerer a senha individual do user?

Que bom que eu ajudei!

Sim, só vai pedir o PIN em um aparelho sem senha do usuário. O bloqueio do PIN é apenas no chip, vai bloquear em qualquer aparelho que coloque toda vez que ligar/reiniciar. Independente da senha do usuário que está no aparelho e pode ser qualquer uma, vai pedir também se houver.

Me lembro da vez que eu bloqueei meu PIN, tava com medo de dar algo errado então fui até uma operadora e fiz o procedimento em frente à loja, se desse problemas entraria e compraria um novo chip. Felizmente deu tudo certo.

[darkv0rt3x]

Juntava a isso: Evitar software pirata, e evitar abrir pens de desconhecidos ou que tiveram ligados em PCs pouco viáveis.

Essa paarte é sempre um pouco mais complicada para quem usa Windows! Eu por exemplo em Linux, é muito raro precisar de software pirata. Com uma excepção. Como alternativa ao AutoCAD, eu ocasionalmente uso o BricsCAD e naturalmente que não vou pagar uma licença para usar o software ocasionalmente! De vez em quando lá tem que ser o pirata!

Eu nem abro mais email. Só recebo bobagens e propostas sem pé nem cabeça. E quando abro, nunca clico em links com extensões executáveis. Aí que mora o perigo. Além de não ficar preenchendo sites falsos de bancos e instituições financeiras. Banco já te trata mal pra caramba, imagina se iriam te mandar email para te puxar o saco e renovar cadastro. Isso nunca fariam.

Não abrir mais o email também não digo, até porque uso muito em questões de trabalho, mas sim, hoje em dia o email é mais um caixote de lixo electrónico que outra coisa! Eu tenho andado sempre a fazer unsubscribe de inúmeros sites onde me inscrevi no passado e que acavam sempre a mandar pub e porcaria! Mas nunca acaba!


Outra coisa impressionante é no Telegram. Não digo diariamente, mas volta que não volta lá tenho alguém no meu PV a apresentar-se e a perguntar onde vivo e o que faço. Já nem respondo. É bloquear e reportar! No início ainda dava conversa e depois tentava convencer a pessoa a desistir desses scams, mas naturalmente que era tempo perdido!