OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal

Pesquisador de seguranca que comeca pelo Tor sem ter modelo de ameaca termina com tres telefones, cinco emails e zero anonimato real. Vi isso varias vezes na Basilisk OffSec: um analista quer publicar um writeup de SSRF em provedor cloud, instala Whonix de impulso, mas continua logado na mesma conta Google de sempre e tira screenshot com EXIF intacto. OPSEC nao e shopping de ferramenta, e processo de risco. O ponto de partida e responder tres perguntas concretas: quem quer me prejudicar, do que eles sao capazes tecnicamente e o que eu perco se eles vencerem. Sem essas respostas, qualquer comparativo entre Tails e Qubes vira teatro.

Modelo de ameaca pessoal segue a mesma logica do STRIDE corporativo que aplicamos em Threat Modeling com STRIDE em Sprints: Exemplo Completo de Microservico, mas com ativo central diferente: voce e o sistema. Liste seus ativos crus em uma planilha: identidade legal, identidades de pesquisa, contas operacionais de CTF, chaves PGP, carteiras cripto, dispositivos fisicos, contatos de fontes, drafts nao publicados. Para cada um, marque tres colunas: confidencialidade, integridade, disponibilidade. Um pesquisador de malware que perde acesso ao laboratorio por dois dias sofre pouco; o mesmo pesquisador exposto por nome real em forum russo pode sofrer dano permanente. Essa matriz vai dizer onde gastar dinheiro em hardware wallet (Cripto Pessoal: Hardware Wallets, Passphrase e Backup Resistente a Coercao) e onde gastar paranoia em compartimentacao.

Defina seu adversario de forma honesta. A maioria dos pesquisadores nao tem como adversario realista um servico de inteligencia estatal com NSO Pegasus. Tem sim: stalker individual com OSINT preguicoso, gangue de ransomware que voce trolou no Twitter, advogado de empresa irritada com seu disclosure, ex parceiro com acesso fisico a roteador domestico, scraper que vende dados em data broker. Cada um exige resposta tecnica diferente. Para o data broker, a defesa e burocratica e segue receita PT-BR de Seguranca Pessoal Anti-Doxxing: Removendo Dados de Data Brokers em PT-BR. Para o ex com acesso fisico, e LUKS com keyfile externo e auditoria de keylogger USB. Nao misture as camadas.

Com adversario e ativo no papel, escolha o sistema operacional como consequencia, nao como identidade. O comparativo tecnico em Tails, Whonix ou Qubes OS: Qual Escolher para Cada Cenario de OPSEC mostra que Tails serve para sessoes curtas amnesicas, Whonix para isolamento de rede em VM, Qubes para compartimentacao por dominio. Se voce escreve writeups sobre AWS, Qubes com qube dedicado a credenciais e outro qube com Burp e DVWA do guia Pentest Web do Zero: Montando um Lab Seguro com DVWA, Juice Shop e Burp Suite resolve sem drama. Se voce vai a campo entrevistar uma fonte, Tails em pendrive com persistencia minima e mais defensavel. Misturar tudo em um Ubuntu unico com Tor browser e o pior dos mundos: complexidade alta, garantia baixa.

Comunicacao merece capitulo proprio dentro do modelo. Signal protege conteudo mas vaza grafo social pelo numero de telefone; SimpleX nao tem identificador persistente; Session usa rede Lokinet. A escolha depende de quem voce conversa e do que acontece se a metadata caçar. O comparativo em OPSEC de Comunicacao: Signal, SimpleX e Session Comparados Tecnicamente traz numeros de latencia e modelo de descoberta. Acrescente regra simples: cada identidade de pesquisa tem canal proprio, nunca cruza com pessoal. Higiene de metadados (Higiene de Metadados: Limpando EXIF, PDF e Office antes de Publicar) entra aqui tambem, porque PDF de relatorio com autor real em XMP ja queimou mais pesquisador que zero day em browser. Rode exiftool antes de qualquer upload, sem excecao.

Por ultimo, teste seu modelo com OSINT contra voce mesmo. Use Maltego e Spiderfoot como descrito em OSINT Etico: Investigando Sua Propria Pegada Digital com Maltego e Spiderfoot, comecando por email principal, handle de Twitter e numero de celular. Se voce consegue chegar ao seu endereco em dez minutos, qualquer adversario menor tambem chega. Documente o que vazou, corrija o que da para corrigir e aceite o que ja e publico, ajustando o modelo de ameaca em vez de fingir que e privado. Takeaway pratico: reserve duas horas neste fim de semana, abra um arquivo markdown chamado threat-model.md, preencha ativos, adversarios, vetores e contramedidas, e revise a cada trimestre. Ferramenta nova so depois desse documento existir.