privacyguides.org/i18n/pt/basics/threat-modeling.md
Crowdin Bot 9e35e2ef8a
New Crowdin Translations (#2074)
Signed-off-by: Daniel Gray <dngray@privacyguides.org>
2023-03-12 01:27:24 +10:30

8.3 KiB

title icon description
evergreen O que são modelos de ameaça? Equilibrar segurança, privacidade e usabilidade é uma das primeiras e mais difíceis tarefas que você enfrentará na sua jornada de privacidade.

Equilibrar segurança, privacidade e usabilidade é uma das primeiras e mais difíceis tarefas que você enfrentará na sua jornada de privacidade. Everything is a trade-off: The more secure something is, the more restricting or inconvenient it generally is, etc. Often, people find that the problem with the tools they see recommended is that they're just too hard to start using!

Se você quisesse usar o mais ferramentas seguras disponíveis, você teria que sacrificar muito de usabilidade. And, even then, ==nothing is ever fully secure.== There's high security, but never full security. É por isso que os modelos de ameaça são importantes.

So, what are these threat models, anyway?

==A threat model is a list of the most probable threats to your security and privacy endeavors.== Since it's impossible to protect yourself against every attack(er), you should focus on the most probable threats. In computer security, a threat is an event that could undermine your efforts to stay private and secure.

Focusing on the threats that matter to you narrows down your thinking about the protection you need, so you can choose the tools that are right for the job.

Creating Your Threat Model

To identify what could happen to the things you value and determine from whom you need to protect them, you should answer these five questions:

  1. O que é que eu quero proteger?
  2. De quem eu quero protegê-lo?
  3. Qual é a probabilidade de eu precisar de o proteger?
  4. Quão más são as consequências se eu falhar?
  5. Quantos problemas estou disposto a enfrentar para tentar evitar possíveis consequências?

O que é que eu quero proteger?

Um "bem" é algo que você valoriza e quer proteger. In the context of digital security, ==an asset is usually some kind of information.== For example, your emails, contact lists, instant messages, location, and files are all possible assets. Os seus próprios dispositivos também podem ser bens.

Faça uma lista dos seus bens: dados que você guarda, onde são guardados, quem tem acesso a eles e o que impede outros de acederem a eles.

De quem eu quero protegê-lo?

Para responder a esta pergunta, é importante identificar quem pode querer ter como alvo você ou suas informações. ==A person or entity that poses a threat to your assets is an “adversary”.== Examples of potential adversaries are your boss, your former partner, your business competition, your government, or a hacker on a public network.

Make a list of your adversaries or those who might want to get ahold of your assets. A sua lista pode incluir indivíduos, uma agência governamental ou corporações.

Depending on who your adversaries are, under some circumstances, this list might be something you want to destroy after you're done security planning.

Qual é a probabilidade de eu precisar de o proteger?

==Risk is the likelihood that a particular threat against a particular asset will actually occur.== It goes hand-in-hand with capability. Embora a sua operadora de celular tenha a capacidade de acessar todos os seus dados, o risco de que eles coloquem seus dados particulares online para prejudicar sua reputação é baixo.

É importante distinguir entre o que pode acontecer e a probabilidade de acontecer. Por exemplo, há uma ameaça de colapso do seu edifício, mas o risco de isso acontecer é muito maior em São Francisco (onde os terremotos são comuns) do que em Estocolmo (onde eles não são).

Assessing risks is both a personal and subjective process. Many people find certain threats unacceptable, no matter the likelihood they will occur, because the mere presence of the threat is not worth the cost. Em outros casos, as pessoas desconsideram os altos riscos porque não vêem a ameaça como um problema.

Escreva quais ameaças você vai levar a sério, e quais podem ser muito raras ou inofensivas (ou muito difíceis de combater) para se preocupar.

Quão más são as consequências se eu falhar?

Há muitas maneiras de um adversário poder ter acesso aos seus dados. Por exemplo, um adversário pode ler suas comunicações privadas enquanto elas passam pela rede, ou podem apagar ou corromper seus dados.

==The motives of adversaries differ widely, as do their tactics.== A government trying to prevent the spread of a video showing police violence may be content to simply delete or reduce the availability of that video. Em contraste, um adversário político pode desejar ter acesso a conteúdo secreto e publicar esse conteúdo sem que você saiba.

O planejamento de segurança envolve compreender quão ruins podem ser as conseqüências se um adversário conseguir ter acesso a um de seus ativos. Para determinar isso, você deve considerar a capacidade do seu adversário. For example, your mobile phone provider has access to all of your phone records. Um hacker em uma rede Wi-Fi aberta pode acessar suas comunicações não criptografadas. O seu governo pode ter capacidades mais fortes.

Escreva o que o seu adversário pode querer fazer com os seus dados privados.

Quantos problemas estou disposto a enfrentar para tentar evitar possíveis consequências?

==There is no perfect option for security.== Not everyone has the same priorities, concerns, or access to resources. Sua avaliação de risco lhe permitirá planejar a estratégia certa para você, equilibrando conveniência, custo e privacidade.

Por exemplo, um advogado que representa um cliente em um caso de segurança nacional pode estar disposto a ir mais longe para proteger as comunicações sobre esse caso, como o uso de e-mail criptografado, do que uma mãe que envia regularmente e-mails com vídeos engraçados de gatos para sua filha.

Escreva as opções que você tem disponíveis para ajudar a mitigar suas ameaças únicas. Observe se você tem alguma restrição financeira, técnica ou social.

Try it yourself: Protecting Your Belongings

These questions can apply to a wide variety of situations, online and offline. As a generic demonstration of how these questions work, let's build a plan to keep your house and possessions safe.

O que você quer proteger? (Ou, o que é que você tem que vale a pena proteger?) :

Seus bens podem incluir jóias, eletrônicos, documentos importantes ou fotos.

De quem você quer protegê-lo? :

Os seus adversários podem incluir assaltantes, companheiros de quarto ou convidados.

Qual é a probabilidade de precisar de o proteger? :

O seu bairro tem um histórico de assaltos? How trustworthy are your roommates or guests? Quais são as capacidades dos seus adversários? Quais são os riscos que você deve considerar?

Quão más são as consequências se falhar? :

Tem alguma coisa na sua casa que não possa substituir? Do you have the time or money to replace those things? Você tem um seguro que cobre bens roubados de sua casa?

Quantos problemas você está disposto a passar para evitar essas consequências? :

Você está disposto a comprar um cofre para documentos sensíveis? Tem dinheiro para comprar um cadeado de alta qualidade? Tem tempo para abrir uma caixa de segurança no seu banco local e guardar lá os seus valores?

Só depois de se ter feito estas perguntas é que estará em condições de avaliar que medidas tomar. Se os seus bens são valiosos, mas a probabilidade de um arrombamento é baixa, então você pode não querer investir muito dinheiro numa fechadura. But, if the probability of a break-in is high, you'll want to get the best lock on the market and consider adding a security system.

Fazer um plano de segurança o ajudará a entender as ameaças que são únicas para você e a avaliar seus ativos, seus adversários e as capacidades de seus adversários, juntamente com a probabilidade de riscos que você enfrenta.

Further Reading

For people looking to increase their privacy and security online, we've compiled a list of common threats our visitors face or goals our visitors have, to give you some inspiration and demonstrate the basis of our recommendations.

Fontes