Perguntas de segurança mais frequentes

Qualquer seja o nível de confiança que você coloca no seu operador de servidor, você pode tomar medidas adicionais para proteger sua privacidade. Por exemplo, usar o seu servidor através do Tor ou de uma VPN vai proteger a sua geolocalização do seu servidor ou de qualquer observador entre os dois. Adicionalmente, encriptar suas mensagens com OMEMO ou PGP vai proteger o conteúdo da suas comunicações do seu servidor, e do servidor do seu recipiente.

Um servidor malicioso é altamente perigoso, como outras redes federadas (como o Fediverso ou email). Um servidor malicioso pode:

  • Ler suas mensagens não encriptadas
  • ver a sua lista de contatos e salas de bate-papo (e outros grupos/comunidades não dedicados a bate-papo)
  • ler um histórico das suas mensagens previamente recebidas/enviadas (apenas se arquivação estiver ativada no servidor, e normalmente apenas por um certo tempo), e ler suas novas mensagens recebidas
  • prevenir você de receber ou enviar mensagens
  • enviar mensagens para outros servidores/pessoas imitando você

Essa lista pode parecer assustadora no começo, mas esse modelo de segurança é semelhante na maioria das redes federadas. O conceito de redes federadas é um servidor é responsável por várias pessoas e age em nome delas do ponto de vista de outras pessoas e servidores.

Note que um servidor malicioso não necessariamente significa um operador de servidor malicioso. Servidores podem ser comprometidos e é por isso que nós também promovemos boas práticas de seguranças para o servidor.

Se o seu servidor não estiver comprometido, você ainda deve estar ciente de que:

  • o servidor do seu correspondente pode estar comprometido, se for o caso suas comunicações não encriptadas com esse correspondente podem ser inspecionadas/modificadas/bloqueadas
  • alguns servidores públicos (como salas de bate-papo) divulgam o endereço Jabber de todos os membros ; nesse caso, você pode receber mensagens não solicitadas de outras contas mesmo que tenha saído da sala (em salas pseudônimas, outras contas so podem contatar você enquanto estiver na sala)
  • serviços públicos pseudônimos ainda revelam o seu endereço Jabber para operadores e administradores; adicionalmente, servidores de conversas implementando occupant-id (XEP-0421) vão associar um ID único por sala para o seu endereço, mesmo que entre com um apelido diferente, então outras pessoas podem lhe reconhecer (mas não identificar) ; se você gostaria de se proteger contra isso, você pode criar uma outra conta Jabber/XMPP para interagir com tais serviços.
  • utilização de imagens de avatar vcard podem identificar você por várias conversas em grupos pseudônimas mesmo usando nomes diferentes em cada uma
  • a maioria dos clientes publicam informação de presença (online, fora mensagens de estado) por padrão, o que pode ser usado para correlacionar suas identidades diferentes (ex. quem vai online/offline ao mesmo tempo) ou para espionar no seu horário ; isso pode ser facilmente desativado na maioria dos clientes Jabber/XMPP, então não hesite em dizer à comunidade que desenvolve o seu aplicativo que privacidade deve ser o padrão!
  • um observador passivo na rede pode gravar a atividade da rede entre você e o seu provedor de serviço, e tentar correlacionar a sua atividade de rede com a sua identidade pseudônima
  • um observador passivo na rede pode descobrir que você está conectando à um provedor de serviço especifico ao bisbilhotar nos seus pedidos de DNS e/ou nos cabeçalhos TLS SNI
  • um agressor ativo na rede pode tentar:
  • o seu cliente Jabber/XMPP pode guardar alguma informação não encriptada no seu sistema, como o seu nome/senha ou um histórico de suas mensagens ; a maioria dos clientes podem ser configurados para não fazerem isso

Se você está participando em dissidência política para mudança social, você pode considerar adquirir uma conta em uma cooperativa de hospedagem auto-organizada e amigável a ativistas. Essas vão usualmente ignorar solicitações legais estrangeiras para ceder os seus dados, mas esteja atento que elas ainda podem ser compelidas pelas suas próprias autoridades locais a denunciar pessoas. Script kiddies to mundo, por favor administrem os seus próprios servidores, vocês podem aprender uma coisa ou outra.

Ao usar um provedor de serviço não lucrativo que não toma passos extras para proteger a privacidade das pessoas utilizando o seu servidor, por favor tenha em mente que esses são usualmente administrados por pequenas comunidades, que podem decidir colaborar com agencias de aplicação da lei já que podem não ter os recursos para lutar no tribunal e provisionar novos servidores em caso de apreensão do hardware.

Finalmente, podem ter vantagens em ter uma conta em um servidor popular. Dependendo do seu modelo de ameaças, uma conta em um servidor grande e popular pode ajudar a esconder seus metadados na multidão de conexões de/para o servidor.

A maioria do ecossistema Jabber/XMPP não foi auditado para segurança. Conversas do Conversation encriptados por OMEMO foram auditados em 2016. No lado do servidor, prosody e ejabberd não possuem uma auditoria de segurança pública disponível, mas tiveram poucas vulnerabilidades (fora de vetores DOS) encontradas ao passar dos anos (ejabberd, prosody).

Se uma auditoria de segurança é importante para você, sinta-se livre para oferecer ou financiar auditorias de segurança para partes do ecossistema. Notavelmente, algumas pessoas no projeto prosody têm expressado o desejo de serem auditadas. Se uma auditoria de segurança compreensiva é um requerimento para você, e você não possui as habilidades/recursos para contribuir para uma, por favor considere utilizar alternativas para o ecossistema Jabber/XMPP como Signal (última auditoria em 2017), Briar (última auditoria em 2017) ou Threema (última auditoria em 2020).

O ecossistema XMPP/Jabber é desenvolvido e administrado por uma rede global de voluntários e pequenas organizações, mas também há grandes multinacionais e governos dependendo nele. No momento de escrita, a maioria dos voluntários livres do ecossistema XMPP residem na Europa central, mas existem contribuidores por todo o mundo. Enquanto seja altamente improvável que um governo iria bloquear o protocolo XMPP inteiro (o qual é usado para várias coisas), é inteiramente possível que bloqueiem servidores específicos, ou bloqueiem conexões de clientes para servidores estrangeiros, como é o caso de vários serviços passando pela Grande Firewall da China por exemplo.

Mas, mesmo que seja improvável que o Jabber/XMPP é bloqueado pelo seu governo, é inteiramente possível que else monitorem e gravem as suas conexões, as quais são informações que podem ser usadas contra você.

Nos casos mais extremos, é possível que um operador de rede (ou ordem do governo) bloqueie a rede Jabber/XMPP inteiramente. Nesse caso, utilizar mecanismos de evasão de censura como Tor pode ajudar você a manter em contato. Mas, por favor esteja ciente que evadir censura do governo pode ser uma ofensa criminal onde você reside, e você pode acabar tendo problemas com suas autoridades locais se descobrirem.