Cuidados ao entregar arquivos com OnionShare
OnionShare é uma ferramenta para compartilhar e transferir arquivos usando .
Ela é usada em algumas situações em que o anonimato é necessário. Por exemplo, para entregar materiais de reportagem, receber materiais de denúncias de irregularidades internas ou compartilhar arquivos diretamente com outra pessoa.
No site oficial do OnionShare, é possível verificar como obter o aplicativo, suas funções, como usá-lo e os ambientes compatíveis.
URL : https://onionshare.org/
O motivo para apresentar o OnionShare é que ele é uma ferramenta de código aberto realmente usada no contexto de comunicação anônima e compartilhamento de arquivos mais seguro.
No entanto, usar OnionShare não faz com que o anonimato fique resolvido.
Se o conteúdo do arquivo, os metadados, o dispositivo da outra pessoa, o tratamento da URL de compartilhamento, o local de uso ou as ações antes e depois da comunicação não forem bem controlados, a correlação pode ocorrer a partir daí.
O que muda com OnionShare
OnionShare se conecta à outra pessoa usando a rede Tor.
Diferentemente do compartilhamento comum em nuvem, não é um método em que você carrega arquivos em uma grande nuvem e envia um link. Você inicia o compartilhamento a partir do seu próprio dispositivo, e a outra pessoa acessa via Tor.
| Item | O que muda com OnionShare |
|---|---|
| Caminho de compartilhamento | A conexão passa a usar Tor |
| Provedor de nuvem | Permite compartilhar sem usar armazenamento comum em nuvem |
| Como o destino aparece | A outra pessoa se conecta ao endereço onion do OnionShare |
| Método de entrega | Há usos como envio de arquivos, recebimento e compartilhamento web |
Isso é útil, mas não se deve superestimar o que ele consegue proteger.
OnionShare não é uma ferramenta que anonimiza automaticamente o conteúdo dos arquivos.
O modelo de confiança do OnionShare
Com OnionShare, você pode compartilhar sem colocar os arquivos em um provedor comum de nuvem.
Essa é uma vantagem importante. Em alguns casos, permite evitar exibição do proprietário na nuvem, histórico de compartilhamento, logs de visualização e informações de conta.
Por outro lado, os pontos de confiança não desaparecem completamente. Ainda é preciso confiar no seu próprio dispositivo, no dispositivo da outra pessoa, na forma de usar Tor, no caminho de transmissão da URL de compartilhamento e no conteúdo do arquivo.
| Pessoa ou lugar | Confiança que permanece |
|---|---|
| Seu próprio dispositivo | Arquivos, histórico, malware, notificações na tela |
| Dispositivo da outra pessoa | Armazenamento depois do download, recompartilhamento, verificação de metadados |
| Caminho de transmissão da URL | Se ela não permanece em e-mail com nome real ou chat de trabalho |
| Ambiente de uso do Tor | Se o acesso está acontecendo no ambiente correto |
| Conteúdo do arquivo | Se informações do criador ou expressões distintivas permanecem |
OnionShare pode reduzir pontos de confiança em algumas situações.
Mas não elimina toda a confiança.
Verificar o conteúdo e os metadados do arquivo
Antes de entregar um arquivo com OnionShare, verifique o arquivo.
PDFs, arquivos Office, imagens, áudio, vídeos e arquivos compactados podem manter informações do criador, comentários, histórico de alterações, GPS, data e hora de captura e nomes de arquivo.
| Arquivo | O que verificar |
|---|---|
| Criador, anotações, tarjas, texto incorporado | |
| Office | Comentários, histórico de alterações, planilhas ocultas, criador |
| Imagem | , GPS, fundo, reflexos |
| Áudio e vídeo | Sons de fundo, data e hora de captura, informações do dispositivo |
| ZIP | Nomes de arquivos internos, nomes de pastas, arquivos desnecessários |
Usar um caminho de compartilhamento seguro não ajuda muito se você entregar um arquivo perigoso.
Separe o original da cópia para publicação ou envio.
Cuidado com a URL de compartilhamento
No OnionShare, é necessário transmitir à outra pessoa o endereço onion de compartilhamento.
O caminho usado para entregar essa URL é importante. Se você a enviar por e-mail com nome real, chat de trabalho, rede social habitual ou dispositivo administrado por uma organização, um registro permanece ali.
| Forma de entregar a URL de compartilhamento | Risco |
|---|---|
| E-mail com nome real | Remetente e destinatário ficam registrados |
| Chat de trabalho | Permanece em logs do lado da organização |
| DM de rede social | Permanece registrado do lado da plataforma |
| Captura de tela | Não só a URL, mas também notificações e horário aparecem |
| Por fala ou presencialmente | Histórico de deslocamento e registros de contato no mundo real permanecem |
Mesmo que apenas a URL do OnionShare seja tratada como anônima, se o caminho usado para entregá-la for fraco, ela pode ser correlacionada.
O ambiente do lado receptor também importa
O compartilhamento de arquivos não se completa apenas do seu lado.
Se a outra pessoa acessar em um ambiente com nome real, baixar em um dispositivo de trabalho, salvar o arquivo na nuvem ou publicar sem verificar metadados, informações vazam depois do compartilhamento.
| Conduta do lado receptor | O que acontece |
|---|---|
| Abrir em um dispositivo de trabalho | Permanece em logs ou histórico do lado da organização |
| Salvar em nuvem com nome real | Proprietário e histórico de compartilhamento permanecem |
| Publicar sem verificar metadados | Criador ou GPS aparecem |
| Encaminhar a URL | Chega a pessoas não previstas |
| Recompartilhar depois do download | Sai por um caminho fora do OnionShare |
OnionShare é uma ferramenta que ajuda no caminho de entrega.
Ele não protege automaticamente a operação do lado receptor.
Em usos de alto risco, decidir primeiro o procedimento
Ao usar para denúncias de irregularidades internas ou proteção de fontes, decida o procedimento antes de enviar.
Qual arquivo será entregue. Se será original ou cópia. Como a URL será transmitida. Em que ambiente a outra pessoa receberá. Onde será armazenado depois do recebimento.
| O que decidir | Razão |
|---|---|
| Arquivo a entregar | Não expor materiais desnecessários nem metadados |
| Caminho de transmissão da URL de compartilhamento | Evitar a correlação da própria URL |
| Ambiente de recebimento da outra pessoa | Evitar dispositivos de trabalho e ambientes com nome real |
| Local de armazenamento | Prevenir vazamentos depois do recebimento |
| Procedimento de exclusão e interrupção | Interromper se houver um problema |
Não comece a pensar depois de iniciar a ferramenta; decida o procedimento antes de usá-la.
Situações em que pode ser melhor não usar
OnionShare nem sempre é a melhor opção.
Se a outra pessoa não consegue usar Tor com segurança, se o dispositivo dela está sob administração de uma organização, se é necessário julgamento especializado sobre o valor probatório do arquivo, se o risco legal é alto ou se você não consegue transmitir a URL de compartilhamento com segurança, pode ser melhor priorizar outro canal de recebimento ou consultar especialistas.
| Situação | O que considerar |
|---|---|
| A outra pessoa não tem familiaridade com Tor | Erros de operação aumentam outros rastros |
| O dispositivo da outra pessoa é administrado | Histórico de download e operações de arquivo permanecem |
| Não é possível transmitir a URL com segurança | A própria URL de compartilhamento é correlacionada |
| O valor probatório importa | Consultar sobre o tratamento de originais e cópias |
| O risco legal é alto | Consultar primeiro um advogado ou especialista |
A escolha da ferramenta deve se ajustar ao objetivo e à capacidade da outra pessoa.
Não use apenas porque está disponível; verifique se ela se ajusta ao modelo de ameaça deste caso.
Exclusão e registros depois da entrega
Mesmo depois de entregar o arquivo, é necessário verificar.
Veja se o compartilhamento foi interrompido, se a outra pessoa conseguiu receber, se cópias desnecessárias não permanecem e se a URL não ficou em outro lugar.
No entanto, em materiais que precisam de valor probatório, pode haver casos em que originais ou registros de entrega não devam ser apagados.
Em denúncias de irregularidades internas e proteção de fontes, separe o julgamento sobre exclusão do julgamento sobre preservação.
Resumo
OnionShare é uma ferramenta de código aberto usada para compartilhamento e transferência de arquivos por Tor.
Ela é útil porque permite entregar arquivos sem usar o compartilhamento comum em nuvem.
No entanto, OnionShare não anonimiza automaticamente o conteúdo nem os metadados dos arquivos. Também é necessário revisar como a URL de compartilhamento é transmitida, o ambiente do lado receptor, o armazenamento depois do recebimento e a verificação de metadados na publicação.
No compartilhamento de arquivos que exige anonimato, verifique em conjunto a ferramenta, o arquivo, a outra pessoa e as ações antes e depois do compartilhamento.
Ferramentas relacionadas
Tor Project
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
ExifTool
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://exiftool.org/
SecureDrop
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://securedrop.org/
GlobaLeaks
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://globaleaks.org/
OnionShare
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://onionshare.org/