Email com texto simples x html

Lembra a primeira vez que um email apareceu piscando, tocando midi, cheio de cor e com palavas em destaque? Pois é, não foi uma amizade sua que enviou, né? Muito provavelmente foi uma empresa querendo te oferecer alguma tranqueira.

Essa formatação arrojada que aparece num email é graças à HTML, uma linguagem de programação originalmente desenvolvida para criar páginas na web. Ela permite pegar um texto simples e deixá-lo “bonito”, “atraente”, misturá-lo com logos e links. Mas afinal, a quem interessa todo esse desáine?

O mercado livre e o catarse me mandam email em HTML. Obviamente, gmail, twitter, couchsurfing, greenpeace, wordpress também usam HTML. Mas não só empresas gostam de figurinhas e links mascarados. Veja os boletins que você assina, blogs, grupos com engajamento social ou político: a galera pira na HTML. Claro, pode ser apenas uma escolha automática, “todo mundo faz assim”, mas meu palpite é que, da mesma forma que as megatecs, os grupos que propagam ideias ou causas também querem nos rastrear: quem clicou em tal link, o que interessou tal pessoa, quantas pessoas nos apoiam, etc. Pois é…

Agora vou dar dois exemplos de grupos que se comunicam com milhares de pessoas e que usam texto simples em seus emails. Um é a Cryptorave de São Paulo e outro é o Tactical Tech Collective (TTC) de Berlim. Toda a divulgação, as convocatórias, as chamadas para financiamento coletivo da Cryptorave vêm num email plano, simples, direto. As ideias, referências de conteúdos, divulgação de oficinas e bolsas do TTC também não têm firulas. Todos os links estão escritos por inteiro, não tem pixels secretos nem logos. Viu só, tá tudo bem. E, na real, a gente agradece!

Abaixo tem uma tradução do site https://useplaintext.email, onde encontrei bem descritinho as razões para escolher formatar seus emails com texto simples ao invés de HTML.

Por que o texto simples é melhor que o HTML?

Os e-mails com formatação HTML são usados principalmente para marketing – ou seja, e-mails que, antes de mais nada, você provavelmente não quer ver. As poucas vantagens que oferecem aos usuários finais, como links, imagens em linha (no corpo da mensagem) e texto em negrito ou itálico, não valem a pena.

HTML como um vetor para phishing

Os e-mails HTML permitem mostrar links que escondem a URL por trás de algum texto com cara amigável. Entretanto, este é um vetor extremamente comum para ataques de phishing, onde um remetente malicioso cria um link enganoso que o leva a um website diferente do que você espera. Muitas vezes estes sites são modelados iguaizinos à página de login de um serviço que você usa, e aí está a armadilha para digitar a senha de sua conta. Em e-mails em texto simples, a URL é sempre visível, e você pode mais facilmente fazer uma escolha informada para clicar nela ou não.

Invasão de privacidade e rastreamento

Praticamente todos os e-mails HTML enviados pelos marqueteiros incluem identificadores em links e imagens inline que são projetados para extrair informações sobre você e enviá-las de volta para o remetente. Examine os URLs de perto – os números e letras estranhas são exclusivos para você e usados para identificá-lo. Estas informações são usadas para hackear seu cérebro, tentando encontrar anúncios que são mais suscetíveis de influenciar seus hábitos de compra. Os e-mails HTML são bons para os marqueteiros e maus para você.

Vulnerabilidades do cliente de e-mail

O HTML é um conjunto extremamente grande e complicado de especificações projetado sem ter em mente os e-mails. Ele foi projetado para navegar na rede mundial de computadores, na qual uma enorme variedade de documentos, aplicações e muito mais estão disponíveis. A implementação até mesmo de um subconjunto razoável destes padrões representa centenas de milhares de horas de trabalho, ou mesmo milhões. Um grande subconjunto (talvez a maioria) destas características não é desejável para e-mails, e se incluído numa mensagem pode ser aproveitado para vazar informações sobre você, seus contatos, seu calendário, outros e-mails em sua caixa de entrada, e assim por diante. No entanto, devido ao esforço hercúleo necessário para implementar um renderizador HTML, ninguém construiu um especializado para e-mails que seja garantidamente seguro. Ao invés disso, navegadores web de propósito geral, com muitas de suas características desabilitadas, são empregados na maioria dos clientes de e-mail. Esta é a fonte número um de vulnerabilidades em clientes de e-mail que resultam na divulgação de informações e até mesmo na execução de código malicioso arbitrário.

Esta é uma lista de 421 vulnerabilidades de execução de código remoto no Thunderbird. Se você estiver entediado, tente encontrar uma que não explore a tecnologia web.

Os e-mails HTML são menos acessíveis

Navegar na web é um grande desafio para os usuários que precisam de um leitor de tela ou outras ferramentas de assistência para usar seu computador. Os mesmos problemas se aplicam ao e-mail, só que é pior ainda – tornar um e-mail HTML acessível é ainda mais difícil do que tornar um site acessível devido às limitações impostas aos e-mails HTML pela maioria dos clientes de e-mail (que eles não têm outra escolha a não ser impor – pelas razões de segurança mencionadas acima). Em comparação, e-mails de texto simples são muito fáceis para os leitores de tela recitarem, especialmente para usuários com clientes de e-mail especializados projetados para este fim. Como você fala o texto em negrito em voz alta? Como seria uma imagem em linha?

Alguns clientes não podem exibir e-mails HTML de forma alguma

Alguns clientes de e-mail não suportam e-mails HTML de forma alguma. Muitos clientes de e-mail são projetados para funcionar em ambientes somente de texto, como um emulador de terminal, onde são úteis para pessoas que passam muito tempo trabalhando nesses ambientes. Em uma interface somente de texto não é possível renderizar um e-mail HTML e, em vez disso, o leitor verá apenas uma bagunça de texto em HTML bruto. Muitas pessoas simplesmente enviam e-mails HTML diretamente para spam por este motivo.

Texto rico não é tão bom assim, de qualquer forma

Os recursos de texto rico desejáveis para os usuários finais incluem coisas como imagens em linha, texto em negrito ou itálico, e assim por diante. No entanto, a troca não vale a pena. As imagens podem ser simplesmente anexadas ao seu e-mail, e você pode empregar coisas como *asteriscos*, /slashes/, _underscores_, ou UPPERCASE para ênfase. Você ainda pode comunicar seu ponto de vista efetivamente sem trazer consigo todas as coisas ruins que os e-mails HTML carregam consigo.

Em resumo, os e-mails HTML são um pesadelo de segurança, são usados principalmente para fazer publicidade e rastrear você, são menos acessíveis para muitos usuários e não oferecem nada que seja especialmente bom.

Bloqueio de IP, adeus federação do email

Há uns poucos dias, eu estava conversando com um amigo sobre email. Nós dois usamos email para nos comunicarmos tanto no trabalho quanto com nossas amizades todos os dias. No meu caso, os caras do trabalho preferem que eu mande tudo pelo zap (se fosse possível, eles me pediriam até os relatórios via áudio!). É um pesadelo em termos de organização: tanto as buscas quanto o armazenamento ficam prejudicados naquela mistureba de áudios, mensagens confusas, e cartões de natal e páscoa. Sem falar nas questões de criptografia, valores políticos do provedor, coleta de metadados, propaganda, privacidade, relações com o Estado, etc.

Essa conversa que tivemos foi motivada pelo bloqueio do IP do disroot.org que a Microsoft (outlook, hotmail, live, etc) tinha implementado. A galera do disroot pediu mais informações e a MS disse que não podia dizer a razão. Nesse momento, finalmente descobri porque os emails que eu enviava pelo disroot eram recusado pelo hotmail. E além disso, também havia tido problemas com arquivos que eu compartilhava através da nuvem do disroot. O cara na outra ponta recebia um aviso ao tentar baixar o arquivo: “o site a seguir contém apps prejudiciais”. E ele me disse com ares de refém: “O windows defender não me deixa abrir!”.

Pra vocês verem que o email tá vivinho da silva e sendo disputado! Às vezes, me sinto um velho chato falando dos usos e situações propícias ao email (obviamente ele não serve pra qualquer coisa). Mas não é coisa de velho, não. Inclusive esse meu amigo me surpreendeu ao dizer: “contratei um provedor para garantir que minha comunicação tenha as características que eu desejo”. Já pensou? Em pleno século XXI tem gente que paga pra ter uma conta de email? Pois é, se temos a mínima noção dos gastos envolvidos para o funcionamento da internet, então é de se estranhar que exista alguma empresa fornecendo serviço gratuito. Essa é um discussão difícil, raramente pautada; seja porque nós estamos aqui nessa américa latina com os pilas contados no bolso, seja porque a gente se acostumou, foi educado/formatado, com uma internet grátis. Mas eu também não vou puxar a conversa agora (ela parece mais complexa do que “você é a mercadoria”).

Voltando ao tema da postagem, o caráter federado do protocolo de comunicação do email, que permite que diferentes provedores consigam conversar entre si (como as empresas de telefonia, mas não como o zap, que só fala com zap, ou o signal, que só fala com o signal), está sendo minado com esse tipo de bloqueio. As pessoas que prestam atenção na hora de escolher um provedor de email hoje têm buscado alternativas fora das grandeteqs, como protonmail, tutanota, riseup, por exemplo. Porém, se as grandonas bloquearem as pequenas (mesmo que devagarzinho, sutilmente, sem dizer por quê), acabou-se a federação e segue-se o processo há décadas iniciado de monopólio dos serviços, de jardins murados, de fazendas de metadados.

Nas semanas seguintes pretendo falar mais sobre email: vantagens da formatação texto simples sobre HTML e o Deltachat.

Criptoglitch – João Pessoa, 11-19 nov

https://bit.ly/Criptoglitch

A segunda edição da Criptofesta João pessoa atende por Criptoglitch e será realizada inteiramente de forma online. Glitch remete às falhas de funcionamento, no entanto, o que seria um glitch em um sistema todo corrompido? Identificar erros pode ser um convite para uma mudança.

Estamos com chamada aberta para atividades até o dia 21 de novembro de 2020.

https://bit.ly/Criptoglitch

Serão selecionadas até duas mesas redondas, duas oficinas e duas intervenções artísticas. Aceitamos propostas que abordem: modulação algorítmica e direitos humanos, cuidados integrais do corpo (digital, físico, psicossocial); anti vigilância; corpo, gênero, raça, favela, ativismo, quilombos, periferia e tecnologias.

As oficinas e mesas selecionadas serão realizadas entre os dias 14 e 15 de dezembro; já as intervenções serão entre os dias 11, 14, 15 e 18 de dezembro.

Haverá uma ajuda de custo de R$250 para cada oficina e intervenção artística selecionadas.

A programação completa será divulgada no dia 26 de novembro de 2020.

Manual Segurança Digital, conceitos e ferramentas básicas

Em maio de 2020, saiu em espanhol o manual Seguridad Digital: Conceptos y Herramientas Básicas, da Conexo. Segundo seu site, ela se define como “una organización de alcance latinoamericano que busca conectar mejores prácticas y soluciones técnicas con activistas y periodistas en zonas de riesgo que constantemente están luchando por adoptar nuevas tecnologías para asegurarse y desarrollar un mejor trabajo.”

O mar1sc0tron recebeu o convite para traduzir este manual e aqui está!

Este guia foi escrito pensando em jornalistas, defensores e defensoras de direitos humanos, ativistas e pessoas que, independentemente da sua área de atuação profissional, desejam iniciar-se no caminho da segurança digital e da privacidade. A adoção total ou parcial das recomendações oferecidas aqui dependerá dos riscos que está enfrentando a pessoa ou organização interessada em implementá-las. É por isso que antes de começar, recomendamos que se realize uma avaliação de riscos.

Arquivo em PDF

Acessando aplicativo de banco no computador em uma caixinha de areia

Utilizar aplicativos de Internet Banking no computador sempre foi bem chato, exigindo a instalação de penduricalhos que nem sempre funcionam em sistemas operacionais livres, como distribuições GNU/Linux.

O problema é que além da dor de cabeça por mau funcionamento, estes softwares adicionais podem ser proprietários (não livres), inseguros e ainda violam a nossa privacidade, já não bastando todos os dados (e dinheiro) que entregamos para o sistema bancário capitalista.

Clientes do Banco do Brasil, Caixa Econômica Federal e Itaú, que acessam estes bancos sem um espertofone, são obrigados a utilizar um software proprietário chamado Warsaw, desenvolvido por uma empresa chamada GAS Tecnologia, com um longo histórico de falhas de segurança e violações de privacidade.

Instalar este software no seu computador pode trazer riscos. Uma possibilidade para limitar o acesso deste software é instalá-lo em uma “caixa de areia”, isolada do seu sistema operacional.  Técnicas de virtualização podem ajudar neste sentido, a virtualização permite criar uma versão virtual (em vez de real) de algo, incluindo a simulação de uma plataforma de hardware, sistema operacional, dispositivo de armazenamento ou recursos de rede.

Aqui vou explicar como utilizar um container Docker,  para executar um navegador com o warsaw instalado para uso do Banco do Brasil e Caixa (existem relatos de funcionar no Sicredi também).

Existem outras formas de fazer isto, como criar uma máquina virtual completa e instalar os programas necessários. A vantagem do Docker é ser mais leve na utilização dos recursos da máquina física, técnica conhecida como virtualização em nível de sistema operacional,  bem como não ser necessário instalar manualmente os softwares, dado que eles já vem declarados para instalação automática em arquivos textuais de configuração. Na prática qualquer uma destas alternativas é válida, pois elas criam um espaço isolado do seu próprio sistema operacional, servindo como uma “caixinha de areia” para uso do fedorento warsaw.

1) O primeiro passo é instalar o docker e o docker-compose, pacotes necessários para instalar o container.

Em distribuições baseadas em Debian:

$ sudo apt install docker docker-compose

2) Baixar o container (Code -> Download Zip): para Caixa e BB, ou uma alternativa somente para o BB.

3) Descompactar o arquivo zip e acessar sua pasta via terminal.

4) Seguir as instruções descritas no arquivo README.md.

Se tudo der certo, uma nova janela de navegador irá aparecer e acessar o Internet Banking.

Problemas comuns:

* Se não estiver conseguindo salvar seus extratos em uma pasta do sistema hospedeiro (o real), lembre-se de declarar a variável que indica em qual pasta estes extratos serão salvos, exemplo: export BANKFILES=/home/meuUsuario/Downloads

* Eu não consegui fazer funcionar a imagem só para o BB no Ubuntu 20.04, pois o warsaw não executa, no fim tive que usar o que funciona para CEF também. No Ubuntu 18.04 funcionava perfeitamente.

Atividade sobre Segurança de Pés Descalços na #CriptoGoma 16/06 19h

A Segurança de Pés Descalços (SPD) é um plano estratégico de segurança baseado nos princípios de prevenção e autonomia, e visa criar e manter as condições para a ação de coletivos que lutam pela transformação social.

Neste papo na #CriptoGoma queremos apresentar a SPD, dizer em que pé estamos,  além de trocar ideias sobre táticas para difusão e formações para atingirmos junt@s os objetivos desta caminhada.

A atividade será transmitida no canal do coletivo Encripta no dia 16 de junho, às 19h.

Para mais informações sobre a CriptoGoma, acesse: encripta.org/criptogoma

 

Tá no ar a programação da #CriptoGoma

Tá no ar a programação da #CriptoGoma! Tem atividades diversas com temas de privacidade, liberdade e tecnopolítica a produção de mídia e arte com software livre.

Espia lá: https://encripta.org/criptogoma/

O evento acontecerá virtualmente do dia 08/06 ao dia 08/07. O chamado para escritos continua aberto até 11/06.

Chamado para a CriptoGoma [criptofesta virtual] – Envio de atividades até 26/05 e escritos até 11/06

Estamos vivendo uma situação única e inesperada, que mudou rapidamente nosso estilo de vida. A necessidade do isolamento físico para conter o avanço do coronavírus nos obrigou a encontrar outras formas de nos relacionarmos e nos ajudarmos. Enquanto isso, tecnologias de vigilância e controle são a aposta de Estados e corporações para o enfrentamento desta crise.

Acreditando que trocas de conhecimento e experiências sobre tecnologia e política, privacidade, software livre, cultura e segurança na internet são necessárias, se torna imperativo promover um encontro sobre a temática – mesmo que seja cada da sua casa. Por isso, anunciamos a CriptoGoma, a criptofesta edição casinha.

Anota aí na agenda!

  • do dia 11/05 até o dia 26/05 (terça) estará aberto o chamado de atividades. Mais informações em breve.
  • o chamado de escritos estará aberto de 11/05 a 11/06.

As atividades serão realizadas do dia 08/06/2020 ao dia 08/07/2020:

  • segunda a sexta feira às 19h,
  • sábados e domingos no período da tarde (horário a ser definido).

Mais informações, e envio de atividades e escritos em: https://encripta.org/criptogoma/

Quer ter uma ideia da sua localização: geoclue!

Sempre existem boas intenções por trás das escolhas feitas no projeto de um software, e o inferno está cheio delas também. Mas antes de entrar nos detalhes técnicos, vou contar uma história.

Era uma vez um bagre usando um notebook com Linux (na era digital, ninguém sabe que você é um bagre atrás da tela!). A distribuição linux que está rodando é o Debian, o mais livre dos softwares livres: por padrão, nada de código proprietário, como mp3 ou drivers de placa de vídeo ou impressora.

(A linguagem é incrível, né? Quando a gente diz ou escuta a palavra “livre” parece que o mundo faz sentido e a gente relaxa, pois tá tudo bem, nada vai te fazer mal.)

Eis que o bagre tá lá conversando com a galera pelo Tox, baixando filmes em bittorrent,  escrevendo num noblogs.org, subindo anonimamente um meme que ridiculariza o presidente. Tudo tranqx.

Como o bagre terminou de diagramar um zine que conta sua experiência numa okupa, ele quer imprimi-lo na impressora da galera, mas acabou o toner. Pesquisa as lojas da cidade (já que não está com as ferramentas para fazer a recarga em casa) e encontra um endereço central.

O bagre abre o gnome-maps, um navegador de mapas que usa o openstreetmap.org e já vem instalado no seu ambiente de trabalho Gnome. Antes de encontrar o local da loja, dá uma olhada naquele software que nunca tinha aberto. Tá bonito, simples, tem tudo. Aí, por curiosidade, o bagre clica num ícone estranho: uma folha de documento com uma ampulheta no canto inferior direito. O que será isso?

Depois de clicar, o mouse ficou em cima e a descrição do botão apareceu “vai para a localização atual”. Eita porra, disse o bagre, meio indignado com o espalhamento inadvertido da criptografia, que está afetando até os desenhinhos dos botões, mas também com curiosidade.

– Humm, tô usando uma VPN, disse o peixe. Onde será que esse mapa vai me jogar?

Ainda bem que o bagre estava sentado. O Gnome-maps indicou a sua localização com uma precisão de centímetros!

Acabou a historinha. Nesse momento, eu fiquei muito indignado. Como assim tem um software rodando no meu PC que consegue dizer EXATAMENTE onde eu estou? Só faltou aparecer desenhados os móveis da sala onde eu estava, o número do andar e a temperatura ambiente interna.

Lembra do poder das palavras? Pois é. Vou tentar descrever um pouco mais a minha situação para mostrar que, no final das contas, não havia nada de tão surpreendente assim. A única coisa que aconteceu foi que todo esse falatório sobre segurança digital dos últimos anos havia – mais uma vez – embotado minha capacidade de distinguir as coisas. Da mesma forma que a palavra “livre” mexe com o nosso bem estar, palavras como segurança, risco, criptografia, vírus, censura, democracia e o escambau também acabam se passando por engodo. A gente vê a sombra (do jeito que a gente quer) e não vê a coisa.

Primeiro, eu estava usando um linux, dos mais cricris, para não ter que quebrar tanto a cabeça lendo sobre softwares e bibliotecas maliciosas (tipo Ubuntu). Tá, então, nada de sacanagem embutida.

Segundo, eu tava acessando a Internet, e não apenas navegando na web, através de uma VPN. Claro, uma VPN mascara meu IP, só isso. Tudo aquilo que o meu computador pede para a rede global de computadores passa primeiro por um servidor lá na gringa para depois chegar ao seu destino. Isso faz com que localmente, aqui no brasil, meu provedor de internet (tipo, claro, oi, etc) só consegue ver que eu tô acessando esse servidor-lá-na-gringa mas não vê o que eu tô pedindo (seja um site, uma msg de chat, baixar um repositório git, etc.) Como a VPN é um intermediário, o serviço que eu estou requisitando não sabe que sou eu que estou fazendo o pedido, mas acha que é o servidor-lá-na-gringa.

Resumindo, meu endereço IP fica escondido do mundo lá fora, tirando a VPN com quem me conecto diretamente (ela tem que saber pra onde devolver a informação). Se eu tivesse usando o navegador Tor, a coisa seria mais ou menos (eu disse “mais ou menos) assim, só que com três intermediários em vez de apenas um e somente esconderia meu IP durante a navegação na web.

Terceiro, usar a internet a partir de um PC (de gabinete ou notebook) faz com que não seja possível a localização feita por GPS ou por triangulação de antenas de celular, como é o caso dos espertofones.

Então, como diabos foi possível dar, com tamanha precisão, minha localização?!

Procurei por mais detalhes do software gnome-maps. Descobri que ele usa uma biblioteca para fazer a localização chamada geoclue. Esse troço vem instalado por padrão no Debian, e em todas as distros que se baseiam nele, inclusive o Tails.

A página do geoclue diz o seguinte:

Geoclue is a D-Bus service that provides location information. The goal of the Geoclue project is to make creating location-aware applications as simple as possible.

(É uma biblioteca que fornece informações de localização. O objetivo do projeto é fazer com que a criação de softwares que usam localização seja o mais simples possível.)

Uma intenção legítima e cívica. E em seguida:

Geoclue é um software livre.

(e com essa frase a gente já fica tranquilo, como o cachorro do Pavlov.)

Para que tudo isso aconteça, a biblioteca “usa TODAS as fontes possíveis para melhor encontrar a geolocalização do usuário”. Eis então minha primeira surpresa de fato: a página enumera 5 fontes. Ip, sinal 3G e GPS do dispositivo, que são as mais óbvias, mas também:

  • GPS de outros dispositivos na mesma rede local
  • geolocalização dos roteadores WiFi (pontos de acesso)

QuÊ!?!@ Então eu me conecto num roteador e aquela caixinha tem um endereço fixo e único no mundo real? Como assim todos os roteadores do planeta possuem um endereço físico tipo coordenadas geográficas??

Tô passado!

A página do geoclue descreve também a precisão da localização de cada fonte: IP e 3G em quilômetros, WiFi em metros, GPS em centímetros.

Tá, então se cada ponto de acesso (roteador) tem um endereço, como que essa informação foi designada e quem armazena ela?

Segunda surpresa: quem coleta, designa, mantém e fornece a base de dados que o geoclue usa é a Fundação Mozilla através do mozilla location service. A página descreve o serviço da seguinte maneira:

The Mozilla Location Service (MLS) is an open service, which lets devices determine their location based on network infrastructure like Bluetooth beacons, cell towers and WiFi access points. This network based location service complements satellite based navigation systems like A-GPS.

(O MLS é um serviço aberto [palavra mágica!] que permite aos dispositivos determinarem sua localização com base nas infraestruturas de rede como repetidores de Bluetooth e pontos de acesso WiFi. O uso desses pontos da rede complementa os sistemas de navegação baseados em satélite como GPS)

Mais uma vez, muito boas intenções: assim podes melhor receber a previsão do tempo (que tem uma precisão de quilômetros!)  na exata lajota onde tais pisando agora. Ou alterar o fuso horário do teu computador quando tu mudas de país.

Terceira surpresa: a coleta e atualização de informações sobre os pontos de acesso (vulgarmente chamados de roteadores) WiFi é feita automaticamente e (olha a cara de pau!) caso tu não queiras fazer parte dessa base de dados tens que mudar ANTES o nome do teu ponto de acesso (SSID) acrescentando ao fim as letras “_nomap_” (sem mapa).

Primeiro de tudo: quem, no mundo, sabe que essa informação está sendo coletada? Segundo: quem sabe mudar o nome do ponto de acesso? Porra, o troço se aproveita da ignorância das pessoas da mesma forma que o facebook ou a CIA. E é tudo software livre de código aberto, fundação legal que financia projeto massa!!

A mozilla tem a decência de dizer, no seu FAQ, que não coleta os identificadores únicos dos pontos de acesso (BSSID ou MAC do aparelho), que é tipo um número de série.

E como ela descreve a base de dados de geolocalização dos pontos de acesso?

… [the] data contains personally identifiable information from both the users uploading data to us and from the owners of WiFi devices. We cannot publicly share this data without consent from those users.

(os dados contêm informações que podem identificar as pessoas, tanto aquelas que sobem dados para nós, quanto as donas dos WiFis. Não podemos compartilhar publicamente esses dados sem o consentimento delas.)

Na página de download temos mais detalhes da sua benevolência:

While we do not store any individual user token with the observation data, the data itself contains plenty of unique characteristics, locations and timestamps that would allow someone to track the movements of the people contributing observations to this service.

(Embora não armazenamos qualquer marcador individual nos dados de observação, em si os dados contêm um monte de características, localizações e informações de data e hora únicas que poderiam permitir que alguém rastreasse os movimentos das pessoas que contribuem com observações a esse serviço.)

Por favor, por favor!! Tão de sacanagem mesmo. Não é preciso consentimento para coletar, óbvio. A gente só fala de consentimento depois que se apoderou das informações pessoais de todo mundo. Mais um vez, isso por acaso não se parece com a google ou a NSA? Na verdade, nenhuma surpresa: a internet nunca deixou de ser usada para isso e só aprofundou a prática com o capitalismo de vigilância.

Lembra do escândalo do carro da google street view que coletava essas MESMAS informações? Aqui tem uma matéria em inglês. (Uma curiosidade: o cara responsável pelo google street view trabalhava num projeto da CIA chamado Keyhole, que acabou virando o GoogleEarth e depois desenvolveu o pokemonGo, outro escândalo de privacidade.)

Lá em 2007, esse tipo de coleta era um ataque à privacidade das pessoas. Dava processo, multa e queimava o filme da empresa na mídia. Hoje, já virou banal, “é assim que funciona mesmo”.

Pois é, mas quando Mozilla, Debian/Tails e outros projetos queridinhos do movimento de segurança digital saem por aí pisando na jaca da mesma forma que as empresas malvadas fizeram há 10 anos atrás (e que a CIA faz desde sempre), então a gente tem que ficar esperta e parar de repetir frases bonitas só porque criam fantasias bonitas.

[EFF] Protestos e tecnologia na América Latina: uma retrospectiva de 2019

traduzido do site da EFF

Por Veridiana Alimonti
24 de dezembro de 2019

Insatisfação crescente com a liderança política. Restrições sociais e econômicas. Represálias contra medidas de austeridade. Assédio contra líderes comunitários e políticos. Todas essas são questões que, em diferentes combinações, levaram a protestos maciços e revoltas políticas nos últimos meses na América Latina. Elas deixaram uma marca em 2019 e, junto, uma série de obstáculos à liberdade de expressão e privacidade on-line.

Embora a tecnologia tenha sido usada para mobilizar cidadãos, denunciar violência e compartilhar conselhos legais e de segurança para manifestantes em lugares como Chile, Equador, Colômbia e Bolívia, medidas relacionadas à tecnologia foram empregadas para censurar, dissuadir manifestações e aumentar a vigilância.

Grupos de direitos humanos e digitais têm denunciado abusos e oferecido orientações críticas sobre como se manter seguro. O trabalho deles é crucial e compõem esta matéria, onde descreveremos alguns desses abusos e ameaças na interseção com a tecnologia.

Desligamentos da Internet: desconectando discursos e dissidências

Ter problemas para se comunicar e ficar on-line durante períodos de agitação social não é incomum. Isso pode ocorrer devido ao congestionamento da rede, especialmente nas zonas de protestos. Mas também pode resultar de ações deliberadas do governo para bloquear e interromper as conexões com a Internet. No Equador, os relatórios do NetBlocks permitem inferir algum nível de interferência do governo, embora ainda não haja evidências conclusivas sobre isso.

O primeiro relatório do NetBlocks mostra uma interrupção temporária que afeta os assinantes da empresa estatal Corporación Nacional de Telecomunicaciones (CNT) entre 6 e 7 de outubro. Isso impedia que os usuários se conectassem a servidores em que as redes sociais armazenam conteúdo multimídia. O relatório destaca que as medições de rede corroboram as queixas de muitos usuários ao tentar postar áudio, fotos e vídeos durante o período de interrupção. Ele também enfatiza uma jogada curiosa: as restrições começaram na mesma época em que os usuários começaram a postar sobre destacamentos militares nas ruas de Quito e a morte de um manifestante.

Alguns dias depois, um segundo relatório constatou que a operadora de telefonia móvel Claro havia sido afetada por uma interrupção de várias horas. Ela primeiro atingiu grande parte do país durante um curto período e depois continuou localizada em Quito por várias horas. Além disso, enquanto os protestos persistiam, a Telefónica Movistar divulgou um comunicado dizendo que parte de sua infraestrutura de telecomunicações foi afetada por atores desconhecidos, o que poderia levar a degradações no serviço. Um relatório elaborado pela Association for Progressive Communications (APC), juntamente com outras organizações, destaca que a interrupção no cabeamento de fibra óptica do Estado pode afetar outros operadores de telecomunicações, como a Movistar, que usam esses cabos para fornecer seus serviços.

Outros países da região, como Nicarágua e Venezuela, sofreram fortes crises políticas e protestos, com interrupções na Internet este ano. A interferência no acesso à Internet é um problema persistente na Venezuela. Em meados de novembro, o provedor de Internet estatal ABA CANTV restringiu o acesso ao Twitter, Facebook, Instagram e Youtube na manhã de manifestações políticas planejadas contra o governo.

Obstáculos ao Protesto Online e, é claro, Nas Ruas

Dissuasão, assédio e vigilância fazem parte dos esforços para reduzir as manifestações. Na Colômbia, a Fundación Karisma destacou a campanha de comunicação que o governo realizou para desencorajar os protestos, usando as mídias sociais das instituições estatais e enviando mensagens SMS antes da massiva mobilização planejada para 21 de novembro. Alguns dias antes, o Centro Cibernético da Polícia do país enviou um pedido à Universidade de Los Andes para remover um manual de autodefesa contra as forças policiais que uma revista vinculada à instituição havia publicado on-line. O pedido requisitava que a universidade avaliasse a eliminação desse conteúdo, alegando que incitava a violência em protestos e continha informações ofensivas sobre a polícia.

Por outro lado, relatórios e registros de ações policiais justificam a necessidade de um manual de autoproteção. Os abusos incluem “paradas para revista” durante as manifestações, exigindo acesso a informações privadas nos telefones celulares dos manifestantes – relatados na Colômbia e na Bolívia -, bem como assédio contra aqueles que tentam registrar ações ilegais. No Chile, as forças policiais evitaram ser registradas ao mal informar manifestantes dizendo que aquilo era ilegais ou através de violência e detenção arbitrária. O relatório da Derechos Digitales destaca casos de confisco forçado e destruição de telefones celulares usados para registrar ações policiais. A InternetBolivia encontrou casos semelhantes durante manifestações em La Paz, realizadas pelas forças de segurança e também por manifestantes.

Por outro lado, os governos têm muitos dispositivos de registro. O município metropolitano de Santiago do Chile anunciou recentemente um aumento no número de câmeras de vigilância e a implementação de um sistema de reconhecimento facial na cidade. Paralelamente, o Senado chileno aprovou um projeto de lei que piora as penas para os manifestantes que cobrem o rosto durante as manifestações. Na Colômbia, as autoridades aproveitaram a oportunidade para anunciar o lançamento de câmeras com a capacidade de identificar, em tempo real, as características ao redor dos olhos e nariz das pessoas com o rosto coberto. Mais de 90 drones também foram usados para monitorar as manifestações de 21 de novembro em Bogotá.

As autoridades também parecem estar rastreando redes e dispositivos sociais. A Derechos Digitales recebeu denúncias de investigações policiais e intimidações com base em informações coletadas por meio do monitoramento de redes sociais. O mesmo relatório aponta o possível uso de software malicioso contra Daniel Urrutia, o juiz de um caso em andamento sobre alegações de tortura dentro de uma estação de metrô de Santiago. Urrutia também emitiu uma decisão para garantir que os defensores dos direitos humanos pudessem entrar em um centro médico que estava impedindo o acesso a pessoas feridas por tiros. Esses assuntos estão sendo investigados pelas autoridades chilenas e pela Derechos Digitales em um exame independente. Da mesma forma, pesquisas conduzidas pela APC, Digital Defenders Partnership, Taller de Comunicação Mujer e La Libre.net mostram que pelo menos um dos entrevistados sofreu um conjunto de incidentes anômalos em relação a seus dispositivos durante o período de manifestações no Equador.

A moderação do conteúdo falha, especialmente em contextos políticos problemáticos

A EFF relatou as complexidades da moderação de conteúdo nas plataformas de mídia social e como as formas atuais de abordar conteúdo violento e extremista geralmente erram o alvo e silenciam as comunidades marginalizadas. Estamos vendo esses mesmos problemas ocorrerem em contextos políticos problemáticos na América Latina. Surgiram queixas sobre restrição de conteúdo no Chile, Equador, Bolívia e Colômbia (reconsiderado aqui).

Uma pesquisa realizada pela Fundación Datos Protegidos no Chile nos dias 23 e 27 de outubro indica que problemas na publicação de conteúdo, remoção de contas e remoção de postagens específicas foram os três principais problemas relatados pelos usuários. Entre os casos envolvendo o Instagram, que está no topo da lista de denúncias de censura, as contas focadas em música e humor, algumas com vários milhares de seguidores, mudaram de abordagem durante o estado de emergência para denunciar as violações ocorridas. Muitas contas particularmente comprometidas com a denúncia de protestos desapareceram (Instagram) ou tiveram seu tráfego reduzido (Facebook). O Twitter registrou menos desses casos.

A restrição de conteúdo graficamente violento merece atenção especial em contextos de agitação social. Fotos e vídeos de pessoas feridas ou representando fortes cenas de conflito ou repressão podem ser essenciais para informar e documentar violações dos direitos humanos. Restringi-los pode prejudicar seriamente o trabalho de investigadores, jornalistas e advogados, como vimos antes. Além disso, o conteúdo sobre forte polarização política é propenso a abusos nos mecanismos de reclamação on-line das plataformas. Conforme observado no relatório da Derechos Digitales, os agressores podem tirar proveito das áreas cinzentas nas políticas da plataforma para atingir e silenciar os apoiadores de contas dedicadas à denúncia de manifestações e violência policial. Ambos os grupos de direitos digitais enfatizaram a falta de notificação adequada de quedas e processos para apelar das decisões de remoção de conteúdo, o que dificulta o papel crucial que as plataformas de mídia social ainda desempenham na conscientização, no fornecimento de informações e no compartilhamento de evidências de violações de direitos.