Não é só o Ad-Blocker que vai te "salvar"

Liberdade!!! - William Wallace

foto de capa: "Bird in Cage" by airbuck is licensed under CC BY-ND 2.0

Intro

Se você já ouviu falar dos navegadores Brave e Tor, ou até mesmo tem que utilizar uma Virtual Private Network (VPN) que tem que usar para o trabalho e acessar serviços da empresa e/ou faculdade; sabe que o que trafega pela internet pode ser rastreado pela sua provedora de internet, empresas de propaganda, agências governamentais e etc.

Deve ter um ano que vi este vídeo sobre o NoScript -- um plugin que você já deve ter visto nos prints do Firefox que eu posto nos textos -- onde mostra os JavaScripts (JS) -- "comandos a serem executados pelo site na sua máquina" -- que cada site carrega; uma descoberta que me levou questionamentos que eram sites como o da faculdade que possuiam ferramentas de rastreio/propaganda do Google.

Mesmo o NoScript bloqueando tudo isto a partir de então, o gosto "ruim" ficou na boca de quem estava sendo rastreado em lugares que menos espera até então foi a semente pro questionamento: "por que estavam lá em primeiro lugar?".

"Bansky in Budapest 046c" by Andras Fulop is licensed under CC BY-NC-SA 2.0

Por mais simples que seja a frase ela funciona muito bem: "não vai ter como ter vazamento dos meus dados se a empresa não ter eles para começo de conversa"

Aplicativos hoje em dia já pedem permissão para ter acessos à recursos do seu celular -- ou as vezes não, como no caso do LinkedIn olhando o que está copiado no seu teclado do ceular sem o usuário saber -- para que o usuário tenha uma noção de o que o app está pedindo para coletar dele. Todavia os sites normalmente pedem três tipos de informações do seu aparelho: câmera, localização e microfone; mas não avisam se te rastreiam e quais outras informações eles coletam de você -- como o caso da Target de uns anos atrás enviando promoções de produtos para bebês para um pai de uma menina grávida; a questão é que ele não sabia disso.

Agora a pergunta: "onde tudo isto te afeta?"

Resposta: "Sabia que a Serasa Expiran é a empresa com maior número de dados de pessoas, suas transações, histórico e etc da América Latina? Não? Pois bem, você lembra também deles pedirem para coletar tais dados?"

Assim como empresas das quais você não sabe o nome, procedência, interesses tem acesso à informações suas sem a sua permisão, tais informações podem ser utilizadas para colocar você em uma jaula da qual não sabia que estava entrando.

"Security By Thy Name" by cogdogblog is licensed under CC BY 2.0

Extensões

AVISO: Mesmo se você seguir TODAS as abordagens e/ou ir além do mostrado aqui, não existe sistema/pessoa/contexto "100% seguro" só menos vulnerável

"Networking" by punQtum is licensed under CC BY 2.0

Caso queria dar um passo "zero" para ver de se proteger melhor, pode procurar saber mais sobre as seguintes extensões de navegadores -- com suporte, em alguns casos, tanto para PC e celulares:

• uBlock

• DuckDuckGo Privacy Essentials

• Cookie AutoDelete

Essas são só o básico, os vídeos do The Hated One tratam um pouco mais de outras, como configurar elas e utilizar para suprirem melhor o seu cenário de uso. Mas altamente recomendo o já mencionado NoScript, pelo simples fato de que você terá que ter a iniciativa de liberar ou não acesso às requisições que os sites fazem para executar tarefas no seu aparelho. Diferentemente das outras ferramentas de proteção que normalmente executam ao fundo, esta pode te dar uma noção melhor do quanto os sites executam sem você ter noção.

Pi-Hole

Caso já tenha seguido alguns dos passos anteriores e tnha ouvido falar do Pi-hole, altamente recomendo por fazer uma higênização da comunicação da rede direto no ponto de entrada; procurarando fazer um papel de bloqueador de propagandas/ferramentas de rastreio/sites maliciosos, etc, antes mesmo de chegar no seu navegador.

"Dart Board" by evanrlew is licensed under CC BY-NC 2.0

Uma das vantagens é que qualqer app como joguinhos, YouTube da smart tv, Alexa e etc, estarão também seguindo as novas regras. Caso se conecta na sua rede seja por cabo ou wifi, será menos exposto.

Em outras palavras, se você tiver este mini PC de US$: 10,00, poderá bloquear as propagandas do YouTube no seu Xbox 360, como exemplo. Outra coisa interessante sobre ela é a tela de estatísticas que gera como está daqui, mostrando que quase 70% das chamadas feitas por sites, apps, jogos e etc, são feitas para ferramentas de rastreamento, propaganda e/ou sites maliciosos:

fonte: Perfil no Twitter do AkitaOnRails

Como esta ferramenta é mantida pela comunidade e atualizada COM MUITA FREQUÊNCIA as listas estão sempre bem atualizadas; fora que você pode fazer uma própria sua adicionando e/ou removendo de acordo à sua necessidade.

Rancher

Caso tenha seguido já este tutorial de como ter seu próprio servidor em casa rodando em um carregador de celular, vai poder seguir os passos de configurar o Pi-hole no com o Rancher sem muitas dificuldades.

1. Acesse seu servidor remotamente:

   ssh -l usuarioRancher ip.do.seu.rancher
   

2. Crie uma pasta chamada pihole -- o último comando irá fazer seu servidor reinicar, espere ele ligar de novo para ir pro passo 3:

   mkdir ~/pihole
   cd ~/pihole 
   pwd # Copie o resultado deste comando
   curl https://gist.githubusercontent.com/Fazendaaa/15e96ba37fa898bd1f8a2090f1aaf38d/raw/cbcf91646e10504161e8de376cee915cc11e6a32/pihole.conf.sh | sh
   

3. Crie um novo deploy da image pihole/pihole. Neste caso a porta 53 do Pi-hole deve estar linkada à porta 53 da sua máquina, caso ela já esteja sendo utilizada, por favor mude antes de começar. A porta 80 deve ser mapeada para uma livre no seu servidor -- 8084 neste caso:
4. Configure agora as variáveis de ambiente -- lembrando que TZ é a timezone que pode ser verificada qual é a sua aqui e ServerIP é o ip do seu servidor Rancher, o que você acessou por ssh:
5. Lembra o comando que você copiou o resultado no passo 2? Pois bem, repita o resultado dele substituindo o /home/nanopim4/pihole pelo o seu resultado
6. Está é uma opção que aparece na tela te opções avançadas, só clicar no canto direito embaixo do deploy para aparecer ela e colocar os mesmos resultados desta tela:
7. Após o serviço terminar de inicializar, abra um terminal clicando na opção de executar um shell nele:
8. Nesta tela que aparecer digite o seguinte comando para cirar uma senha para o seu usário pihole -a -p, ele vai pedir para você digitar uma vez, apertar enter, digitar de novo para confirmar e apertar enter novamente:
9. Só abrir agora o seu painel do Pi-hole na porta que configurou para ele e clicar no Did you mean to got to the admin panel?:

A única nota que faço é com relação ao DNS utilizado para ser de exemplo aqui, caso esteja acostumado com o 1.1.1.1 ou 8.8.8.8, por favor vá em frente. A escolha do Quad9 é mais por gosto próprio após ver esta entrevista com um executivo da empresa.

Outra observação que faço é que por mais que o sistema esteja rodando na sua rede as suas máquinas não necessariamente estarão apontando para ele. Assim como uma extensão não conetada na tomada não liga nenhuma máquina, você terá que apontar os seus equipamentos para utilizarem o o "filtro de linha" do Pi-hole. Exemplos de configuração para as seguintes plataformas, configurando elas para apontar para o seu servidor Rancher:

• Mac
• iPhone
• Windows
• Android

Caso isto seja trabalhoso e/ou cansativo demais, leia mais sobre o pfSense

pfSense

"The Firewall #1" by lindztrom is licensed under CC BY-NC-ND 2.0

Caso você já tenha o pfSense, para fazer com que cada equipamento que se conectar na sua rede -- seja sem fio ou cabeada -- já esteja automaticamente conectado com o Pi-hole, acesse o painel do DHCP Server em Firewall:

Lá adicione apenas o ip do seu servidor Rancher como o DNS Server e salve no final da página as configurações:

Uma observação é que caso tenha Virtual Local Area Networs (VLANs), por favor leia este tutorial para um passo além que será necessário e o porquê dele.

Considerações finais

As configurações aqui demonstradas podem ser muito bem aplicadas em um cotidiano empresarial como pessoal -- claro que tendo o equipamento e o tempo para.

Você nunca vai estar 100% seguro e em qualquer lugar que esteja, isso porque todo esses cenário de configurações até agora -- principalmente com o Pi-hole -- não te impedem de ter seus dados coletados fora da rede no qual ele foi configurado e/ou até mesmo em outro aparelho sem as os plugins configurados. Algumas regras que recomendo seguir:

• Quando estiver fora de casa, procure usar o 4G e não uma rede wi-fi pública ou da qual você desconfie que seus dados possam ser interecptados
• Mesmo com o "modo anônimo" você ainda pode rastreado -- ou seja, mesmo em um computador no qual você não quer que, em tese, outras pessoas com acesso à maquina tenham seus dados, o modo anônimo não te protege disso
• Caso não vá acessar uma máquina de terceiros e está sem 4G disponível, apenas wifi, você pode configurar uma VPN no pfSense para usar todas as seguranças da sua rede mesmo longe de casa -- ainda pretendo escrever sobre tal

A liberdade não é algo que vai ser "dada" para ti por quem depende dos seus dados para fazer análises ou vender, liberdade não é 'dada' nem um direito garantido. Tem uma frase do Bob Marley dita no filme Eu Sou a Lenda que pode ser um ponto para refletir sobre a liberdade: "As pessoas que estão tentando fazer deste mundo pior, não tiram dias de folga. Como eu poderia?"

"DSC01206.jpg" by Awesome Sasquatch is licensed under CC BY-SA 2.0

Apêndice

• Antes de tudo, recomendo procurar maneiras de auxiliar os produtores de conteúdo dos quais consume mais se seguir essa abordagem de usar o Pi-hole; algumas maneiras são:

  • YouTube Premium, YouTube Membros, Floatplane e etc
  • Utilizar cupons de desconto -- uma vez que os produtores ganham uma comissão com isso
  • Comprar algum produto de lojas deles
  • Para podcasts normalmente é comum ter Padrim, Apioa-se, Patreon e etc
  • Ir em eventos prestigiar eles
  • etc

• Mais listas que podem ser adicionadas em Group Management > Adlists:

  • Sites pornôs: https://raw.githubusercontent.com/chadmayfield/my-pihole-blocklists/master/lists/pi_blocklist_porn_all.list
  • TikTok: https://raw.githubusercontent.com/crpietschmann/pi-hole-blocklist/main/social-media/blocklist-social-tiktok.txt
  • Facebook: https://raw.githubusercontent.com/crpietschmann/pi-hole-blocklist/main/social-media/blocklist-social-facebook.txt
  • Snapchat: https://raw.githubusercontent.com/crpietschmann/pi-hole-blocklist/main/social-media/blocklist-social-snapchat.txt
  • Instagram: https://raw.githubusercontent.com/crpietschmann/pi-hole-blocklist/main/social-media/blocklist-social-instagram.txt
  • Twitter: https://raw.githubusercontent.com/crpietschmann/pi-hole-blocklist/main/social-media/blocklist-social-twitter.txt
  • WhatsApp: https://raw.githubusercontent.com/crpietschmann/pi-hole-blocklist/main/messaging/blocklist-messaging-whatsapp.txt

• Mesmo que você utilize uma VPN fora do alcance dos 5, 9 e 14 olhos de nada isso vai adiantar se continuar logando no Instagram, Facebook e Google, no final de contas você vai estar assinando com o seus dados qualquer tipo de comunicação

• Procure ler um pouco mais sobre DNS over HTTPS

Referências

• 11 real and famous cases of malware attacks
• Block Ads, Trackers, and NSFW Sites on Your Network using Pi-hole and Raspberry Pi
• chadmayfield/my-pihole-blocklists
• crpietschmann/pi-hole-blocklist
• LinkedIn says it will stop repeatedly copying iOS clipboard
• How Target Figured Out A Teen Girl Was Pregnant Before Her Father Did
• Serasa Experian
• Block EVERY Online Ad with THIS - Pi-Hole on Raspberry Pi
• PiHole on Docker and Kubernetes (I almost gave up)