Manifesto OpSec: Fortaleza Digital

Nota do autor

• Após três ataques que abalaram minha segurança digital, criei este Manifesto OpSec: Fortaleza Digital. Em 2009, um ransomware destruiu 4TB de dados criptografados, ensinando-me o valor de backups. Em 2017, um hacker tomou controle remoto do meu PC, expondo falhas críticas. Em 2025, minhas contas do Instagram, Netflix e Spotify foram invadidas, com senhas alteradas. Essas lições, forjadas na paranoia, inspiraram este guia: um protocolo de sobrevivência com ferramentas de elite, criptografia robusta e mentalidade de confiança zero. Este é o seu escudo contra os perigos do mundo digital de hoje. Fortify now!

1. Descarte Seguro de Mídias

Missão: Neutralizar vetores de comprometimento.

Protocolo:

• Descarte todas as mídias digitais, exceto backups criptografados.
• HDs: desmonte ou trituração física.
• SSDs NVMe: sobrescrição com nvme-cli (ex.: nvme sanitize).
• Backups: criptografados (AES-256), armazenados em pendrive dedicado.
• Descarte anônimo: evitar lixeiras públicas, usar pontos de reciclagem distantes.
• Log: registrar datas/métodos em papel, guardado em gaveta trancada.

2. Arsenal de Hardware

Aquisição:

• 2 SSDs NVMe (ex.: WD Black SN770):
  • SSD1: Sistema Online (Windows 11 Home).
  • SSD2: Sistema Offline (Tails + exFAT).
• Pendrive acessório (ex.: SanDisk Ultra, 16GB) para transferências.
• Pendrive multiboot (ex.: SanDisk Extreme Pro, 32GB) com Ventoy.

Integridade:

• Comprar de varejistas confiáveis, verificar embalagem.
• Atualizar firmware via ferramentas do fabricante.
• Etiquetar dispositivos: “Online”, “Offline”, “Ventoy”.

3. Sistema Online: Windows 11 Home Blindado

Missão: Sistema seguro para uso diário (casa, escritório, jogos).

Hardening:

• Desativar NetBIOS, SMBv1, RDP, UPnP, Telemetria (script PowerShell: Sophos Hardening Kit).
• Firewall: bloquear entrada, permitir apenas conexões explícitas.
• AppLocker: restringir executáveis não autorizados.
• UAC: nível máximo.
• Atualizações: instalação manual após revisão.

Ferramentas:

• Veracrypt: volumes ocultos, desmontagem após 5min.
• VirtualBox: VMs isoladas (sem clipboard, rede restrita) para navegação de risco ou jogos.
• Navegador: TOR (preferencial) e Firefox com uBlock Origin, HTTPS Everywhere, ClearURLs. Cache/cookies limpos ao fechar.
• DNS: NextDNS para bloqueio de domínios maliciosos.
• VPN: Mullvad, configurada no roteador (OpenWrt, VLANs).

Práticas:

• Usuário padrão para uso diário.
• Jogos em VM ou conta separada com privilégios limitados.

4. Sistema Offline: Tails + exFAT

Missão: Operações sensíveis com anonimato total.

Setup:

• SSD2:
  • Partição 1: Tails (persistência criptografada, ISO verificado via GPG).
  • Partição 2: exFAT (cross-platform, somente leitura no sistema online).
• Tails:
  • Inicialização offline para operações sem rede.
  • Tor com pontes em redes monitoradas.
  • Ferramentas: Proton Pass, Veracrypt.
• Hardware:
  • SSD online desconectado durante uso offline.
  • Computador dedicado (opcional, se viável).

5. Criptografia: Veracrypt

Volume Seguro:

• Local: Partição exFAT do SSD offline.
• Tipo: Volume oculto, cross-platform.
• Algoritmo: AES(Twofish), senha de 40 caracteres (Proton Pass), PIM [1000 ~ 10000].
• Keyfile: Pendrive acessório.

Práticas:

• Backup do cabeçalho em pendrive separado.
• Teste de restauração trimestral.
• Senha exclusiva no Proton Pass.

6. Gerenciamento de Senhas: Proton Pass

Setup:

• Conta criada via Tails/Tor, sem dados pessoais.
• Senha mestra: 20+ caracteres, única.
• 2FA: TOTP via Proton Pass.

Uso:

• Acesso exclusivo via Tor Browser no Tails.
• Senhas aleatórias (20+ caracteres) para todos os serviços.
• Backup do cofre: exportado, criptografado, em dois pendrives.

7. Troca de Senhas e 2FA

Checklist:

• Bancos, e-mails (Google, Microsoft), redes sociais (Instagram, Facebook), streamings (Netflix, Spotify), PayPal, Amazon.
• Senhas: 20+ caracteres, Proton Pass.
• 2FA: TOTP via Proton Pass (evitar SMS).

Protocolo:

• Troca via Tails/Tor.
• Respostas de segurança aleatórias (Proton Pass).
• Rotação anual de senhas.
• Monitoramento: Have I Been Pwned, alertas de login.

8. Antivírus: Escudo Multicamadas

Arsenal:

• Windows Defender: Proteção em tempo real, varreduras diárias.
• Bitdefender Free: Defesa contra ameaças avançadas.
• Malwarebytes: Remoção de adware/spyware, varreduras semanais.
• Emsisoft Anti-Malware: Varreduras sob demanda, foco em ransomware.
• ESET e Kaspersky: Varredura sob demanda, foco em rootkit
• CCleaner: Limpeza de temporários e rastros.

Práticas:

• Varreduras cruzadas para evitar falsos negativos.
• Atualizações automáticas.
• Isolamento: VMs para arquivos suspeitos.

Bitdefender é leve e letal; Emsisoft é um sniper contra ransomware; Malwarebytes e CCleaner são essenciais para higiene digital.

9. Backup de Chaves

Itens:

• Veracrypt: Cabeçalho (pendrive).
• Proton Pass: Cofre exportado (criptografado, dois pendrives).
• Google/Microsoft: Códigos de recuperação (papel, gaveta trancada).
• Firefox: Senhas exportadas via Proton Pass.
• Carteiras Digitais: Seed phrases (papel, dois locais).

Práticas:

• Verificar integridade (SHA256) dos backups.
• Armazenar em gaveta trancada + casa de familiar confiável.
• Teste de restauração semestral.

10. Pendrive Multiboot: Ventoy

Setup:

• Pendrive (32GB+, SanDisk Extreme Pro) com Ventoy (exFAT, UEFI/BIOS).
• ISOs:
  • Gandalf’s WinPE: Reparos em Windows.
  • Hiren’s BootCD: Recuperação e limpeza.
  • AntiX: Linux leve para operações externas.
  • Kali Linux: Auditorias de segurança (modo live).

Práticas:

• Verificar ISOs (SHA256).
• Atualizar Ventoy trimestralmente.
• Testar boot em hardware alternativo.

Ventoy é o canivete suíço do multiboot, simples e indestrutível.

11. Backups e Restauração

Sistema Online:

• Ferramenta: Macrium Reflect Free & FreeFileSync.
• Estratégia: Backups incrementais diários, criptografados, em pendrive.
• Frequência: Diário (incremental), semanal (completo).

Sistema Offline:

• Cópias de volumes Veracrypt em dois pendrives.
• Teste mensal.

Macrium Reflect é leve e confiável; BalenaEtcher grava ISOs com precisão de laser.

12. Segurança Física

Armazenamento:

• SSD offline e pendrives em gaveta com cadeado.
• Documentação em papel (gaveta + casa de familiar).

Rede:

• Roteador com OpenWrt, VLANs.
• Desativar Wi-Fi quando offline.

Proteção:

• Bloqueio de portas USB não utilizadas.
• Senha de BIOS/UEFI.
• UPS para quedas de energia.

13. Monitoramento e Auditoria

Ferramentas:

• Graylog: Logs do sistema online.
• OSQuery: Monitoramento em tempo real.
• Chkrootkit: Integridade no Tails.

Práticas:

• Auditoria mensal (Proton, Veracrypt, VPN).
• Simulação de comprometimento (ex.: phishing, perda de senha).
• Monitoramento de contas via Have I Been Pwned.

14. Treinamento OpSec

Cronograma:

• Trimestral: Praticar loop Tails, Windows, Ventoy.
• Mensal: Exercícios de phishing (ex.: identificar e-mails falsos).
• Anual: Revisar manifesto.

Práticas:

• Mentalidade de confiança zero.
• Documentar procedimentos em papel.
• Simular cenários de falha (ex.: pendrive corrompido).

15. Ferramentas de Elite

Ferramentas:

• Criptografia: Veracrypt & Proton Pass.
• Antivírus: Bitdefender Free, Malwarebytes, Emsisoft, CCleaner, Windows Defender, ESET & Kaspersky.
• Backup: FreeFileSync, Macrium Reflect & BalenaEtcher.
• Multiboot: Ventoy (Gandalf, Hiren’s, AntiX & Kali).
• Rede: Mullvad, NextDNS & OpenWrt.
• Anonimato: Tails & Tor Browser.

16. Glossário

Decodificando o Jargão: Termos técnicos e ferramentas do manifesto explicados para fortalecer sua defesa digital.

2FA (Autenticação de Dois Fatores)

Camada extra de segurança que exige dois métodos de verificação (ex.: senha + código TOTP) para acessar contas.

AES-256

Criptografia de nível militar, praticamente inquebrável, usada para proteger dados sensíveis (ex.: em backups ou VeraCrypt).

AppLocker

Ferramenta do Windows para restringir quais programas podem ser executados, bloqueando malware ou software não autorizado.

BIOS/UEFI

Firmware que inicializa o hardware do computador. Proteger com senha evita alterações não autorizadas.

Chkrootkit

Ferramenta para verificar a presença de rootkits (malware que esconde atividades maliciosas) em sistemas Linux como Tails.

exFAT

Sistema de arquivos compatível com múltiplas plataformas (Windows, Linux, macOS), usado para partições de dados no manifesto.

Firewall

Barreira de rede que bloqueia conexões não autorizadas, essencial para proteger o sistema online.

GPG (GNU Privacy Guard)

Ferramenta de criptografia para verificar a autenticidade de arquivos (ex.: ISOs do Tails) usando assinaturas digitais.

Graylog

Plataforma de gerenciamento de logs para monitorar atividades no sistema online, detectando anomalias.

Hardening

Processo de reforçar a segurança de um sistema, desativando recursos desnecessários e aplicando configurações seguras.

Have I Been Pwned

Serviço que verifica se suas contas foram comprometidas em vazamentos de dados, útil para monitoramento.

ISO

Imagem de disco usada para instalar sistemas operacionais ou ferramentas (ex.: Tails, Kali Linux).

Keyfile

Arquivo usado junto com uma senha para desbloquear volumes criptografados (ex.: em VeraCrypt), aumentando a segurança.

NetBIOS/SMBv1

Protocolos de rede antigos e vulneráveis, desativados no Windows para evitar ataques.

NVMe

Tipo de SSD rápido, usado no manifesto. Requer sobrescrição segura (ex.: nvme sanitize) para descarte.

OpenWrt

Firmware de código aberto para roteadores, permitindo configurações avançadas como VLANs para maior segurança de rede.

OSQuery

Ferramenta de monitoramento em tempo real que coleta dados do sistema para auditorias de segurança.

PIM

Parâmetro em VeraCrypt que aumenta a complexidade da descriptografia, tornando ataques mais difíceis.

RDP (Remote Desktop Protocol)

Protocolo de acesso remoto do Windows, desativado no manifesto para evitar invasões.

Rootkit

Tipo de malware que se esconde profundamente no sistema, detectado por ferramentas como ESET ou Kaspersky.

SHA256

Algoritmo de hash usado para verificar a integridade de arquivos (ex.: ISOs ou backups), garantindo que não foram alterados.

Tails

Sistema operacional Linux focado em anonimato, rodando via USB ou SSD, que usa Tor por padrão.

Tor

Rede de anonimato que mascara sua localização e identidade, usada no manifesto para acessos sensíveis.

TOTP (Time-based One-Time Password)

Código temporário gerado por aplicativos (ex.: Proton Pass) para autenticação 2FA, mais seguro que SMS.

UAC (User Account Control)

Recurso do Windows que exige permissão para ações administrativas, configurado no nível máximo para segurança.

UPnP (Universal Plug and Play)

Protocolo de rede que facilita conexões automáticas, desativado no manifesto por ser vulnerável.

VLAN

Rede virtual separada dentro de um roteador (ex.: com OpenWrt), usada para isolar dispositivos e tráfego.

VM (Virtual Machine)

Sistema isolado dentro de outro (ex.: via VirtualBox), usado para testar arquivos ou rodar jogos sem riscos.

VPN (Virtual Private Network)

Rede privada que criptografa e mascara seu tráfego online, usada no manifesto com Mullvad.

Links

Recursos Oficiais: Acesse os sites oficiais dos programas e ferramentas mencionados para downloads seguros e documentação.

• VeraCrypt - Criptografia de disco de código aberto.
• Proton Pass - Gerenciador de senhas seguro.
• Bitdefender Free - Antivírus leve e eficaz.
• Malwarebytes - Proteção contra adware e spyware.
• Emsisoft Anti-Malware - Defesa contra ransomware.
• CCleaner - Limpeza de arquivos temporários.
• Windows Defender - Proteção nativa do Windows.
• ESET - Antivírus leve para varreduras sob demanda.
• Kaspersky - Proteção contra rootkits.
• FreeFileSync - Sincronização e backup de arquivos.
• Macrium Reflect Free - Backup de sistema confiável.
• BalenaEtcher - Gravação de ISOs em mídia.
• Ventoy - Solução de multiboot.
• Mullvad - VPN focada em privacidade.
• NextDNS - DNS seguro e personalizável.
• OpenWrt - Firmware para roteadores.
• Tails - Sistema operacional para anonimato.
• Tor Browser - Navegação anônima.
• VirtualBox - Virtualização para sistemas isolados.
• Firefox - Navegador personalizável.
• uBlock Origin - Bloqueador de anúncios.
• HTTPS Everywhere - Força conexões seguras.
• ClearURLs - Remove rastreadores de URLs.
• Graylog - Gerenciamento de logs.
• OSQuery - Monitoramento em tempo real.
• Chkrootkit - Verificação de integridade.
• Have I Been Pwned - Monitoramento de vazamentos.
• AntiX - Linux leve para operações externas.
• Kali Linux - Distribuição para auditorias de segurança.

Conclusão

Esta fortaleza digital é sua linha de defesa contra o caos cibernético. Implemente com rigor, pratique com disciplina e atualize com paranoia. No ciberespaço, você é o guardião do seu perímetro. Lock it down, man!