Quer mandar um telegrama?

Tem rolado o maior fusuê por causa das notícias sobre o Telegram ter um furo que deixa tu descobrires o número de telefone de algumas pessoas num grupo aberto que haviam escolhido esconder essa informação. [1, PT] [2, EN]

É bem importante sabermos como os “apps” funcionam, quais suas potencialidades e vulnerabilidades. Mas que tal voltarmos para o começo dessa conversa?

Diferente de outros lugares do mundo, nós do coletivo temos visto pelo Brasil o desenvolvimento de uma perspectiva de segurança que está atenta ao contexto político de atuação e vinculado à noção de cuidados de segurança. Nós, desde o ano passado, 2018, abandonamos completamente a visão purista da “segurança total” ou a busca pelo “aplicativo mega-seguro”. Essa referência nos serviu no início do coletivo, mas agora parece atrapalhar mais que ajudar. A estratégia da Segurança de Pés Descalços aponta numa nova direção.

Apesar de ser um consenso geral de que não existe 100% de segurança, na prática quando aparece uma falha num software específico é sempre a mesma algazarra, um grande escândalo. Que tal mantermos em mente a noção de situação de segurança? (veja mais sobre isso no livro Segurança Holística) Afinal, a partir de que perspectiva uma ação ou fato é uma ameaça?

Neste caso do Telegram, vamos aproveitar os conceitos descritos nessa outra postagem para refletir e manter nossa mente atenta e crítica.

É uma questão de privacidade? Parece que não, pois na descrição das notícias as pessoas estão conversando num grupo público.

É uma questão de criptografia? Também parece que não, pois o Telegram é bastante claro quando diz que as conversas em grupo não são criptografadas de ponta-a-ponta, mas apenas entre cliente e servidor (ou seja, os dados podem ser decifrados por quem controla o servidor). Somente o “chat secreto” possui criptografia de ponta-a-ponta.

É uma questão de usabilidade? Até onde dá para entender pelas matérias, também não parece o caso. O app tá rodando tranquilo, todo mundo continua conversando normalmente nos grupos, recebendo e enviando mensagens.

Enfim, anonimato. Essa é a propriedade de um sistema de comunicação que protege/esconde a identidade das pessoas que se comunicam. Então:

  1. O Telegram (assim como o whatsapp e o signal) exige um número de telefone para criar um cadastro no seu servidor. Logo, você já sabe de entrada que a empresa Telegram (assim como o Facebook pro zap e a OpenWhisper pro signal) sabe qual o seu número, com quem e quando você conversa. Esses são os metadados mais comuns numa comunicação. O signal tem a particularidade de esconder o remetente quando ele envia uma msg (LINK), desvelando-o somente na hora que se abre a mensagem (ou seja, o servidor só sabe o destino, não a origem, nem o conteúdo) o que é uma grande vantagem em termos de anonimato sobre o zap e o telegram, mas também sobre email com GPG e OTR.
    Já o zap, que pertence ao Facebook, usa esses e outros metadados para lucrar com o seu perfil (zero anonimato para o servidor). Tudo isso independente da sua situação atual de segurança.
  2. Agora, quando você não quer mostrar seu número para outras pessoas num grupo público e o aplicativo dá a entender que isso vai acontecer, aí é outra história. Pois num grupo público, a questão não é mais tanto com relação ao servidor (à empresa que fornece o serviço), mas de ronda virtual, de perseguição política, onde agentes do Estado passam a mapear as relações e o protagonismo individual nos grupos.Como as conversas são públicas para quem está no grupo (não há privacidade da informação), facilmente pode-se fazer uma varredura num e em vários grupos identificando as mesmas pessoas e ampliando a análise (o que também pode acontecer se usarem apenas o apelido, como sempre se fez no mundo analógico).
    Porém, como disse um cara do Telegram (lá pro final da matéria), qualquer app baseado na lista de contatos do espertofone vai ser capaz de te mostrar qual o nome do contato para certo número de telefone que você já tenha anotado na sua lista de contatos. Se os seus amigos cadastram seu número com o seu nome verdadeiro, então eles vão vazar, mais cedo ou mais tarde, a relação entre apelido, nome e número de telefone.

Até aqui, dois pontos-chave: 1) tenha atenção com a comunicação por espertofone, ela é cheia de detalhes obscuros; 2) seu número de telefone normalmente está ligado à sua pessoa física (no brasil, ao CPF).

Então, o contexto em que essa falha no Telegram é um problema poderia ser: expressar num “local” público opiniões vinculadas à sua identidade de cunho antigoverno onde seu oponente é o Estado.

Em muitos casos, é central conseguir levar uma mensagem para o máximo de pessoas, como em Hong Kong, para agitação e coordenação dos protestos contra a lei de extradição que está em jogo. E parece que o serviço de grupos do Telegram dá conta disso: os servidores em nuvem parecem rápidos e permitem um número enorme de participantes. Os manifestantes já disseram que isso é chave pra eles e não vão mudar de app.

Agora, se é a vida de quem fala que está sendo ameaçada por um ator poderoso como o Estado (chinês), então o anonimato é muito importante. Sabemos que aqui mora uma dicotomia clássica e geralmente possui uma relação inversa: quanto mais alcance, menos anônimo. Ferramentas como Wikileaks e secureDrop foram criadas para quebrar essa inversão, fazendo com que uma informação pudesse vir a público sem comprometer a vida de quem a revela.

Para muitos grupos de atuação pública, a visibilidade acompanha a disseminação de informações, geralmente denúncias ou pedidos de apoio. Ela serve como proteção (pelo menos, essa é a aposta). São grupos que avaliam os riscos e decidem colocar seus corpos também à mostra (às vezes é a única coisa que conseguem fazer). É uma tática bem comum de grupos de ação direta não-violenta e de desobediência civil. Aqui, a falha do Telegram seria irrelevante.

Agora, se o contexto é de perseguição individual e não existe um grupo público forte para proteger cada pessoa, aí o anonimato é crucial. Neste caso, uma falha como a do Telegram é muito grave. Principalmente porque o software parece ocultar totalmente o número de telefone se você ativar a opção relacionada a isso.

Lição 3: se você acha que está resguardado por uma forma técnica de proteção, procure uma segunda opinião com alguém que realmente entende do assunto. Muitas de nossas vulnerabilidades vêm de um recurso que imaginamos que nos protege mas que não serve pra isso.

Porém, para milhares de outras pessoas usuárias do Telegram, a falha que deixa ligar apelido com número não parece ser relevante. Inclusive vários grupos que lidam com segurança no Brasil usam o Telegram para divulgar informações e conversar, como Encripta, CryptoRave e nós do Mariscotron. Tenho a impressão que para a finalidade que nossos grupos estão usando o Telegram, ele não apresenta uma ameaça, mas sim uma possibilidade de alcance.

Ou será que a notícia dessa falha muda nossa situação de segurança aqui também?

Mente viva, escolhas informadas!

Limitações das VPNs

O texto abaixo foi extraído da página de Ajuda do Riseup e nos parece importante pois nos lembra até onde vai esta solução técnica.

Recomendamos que se tenha sempre em mente os limites da opção tecnológica que você usa. Já escrevemos um pouco sobre o Signal. Quem sabe, mais pra frente, falamos sobre Tor, Linux, Lineage, etc.

Acima de tudo, esteja cara a cara com as pessoas.


A Riseup VPN tem limitações comuns a todas as VPNs pessoais:

  • Legalidade: Se você vive em um Estado não democrático, pode ser ilegal usar uma VPN pessoal para acessar a internet.
  • Localização: Usar uma VPN em um dispositivo móvel resguardaria a sua conexão de dados, mas a companhia telefônica ainda poderia determinar a sua localização, registrando quais torres se comunicam com o seu dispositivo.
  • Dispositivos seguros: Uma VPN ajuda a proteger as suas informações enquanto transitam pela internet, mas não enquanto estão armazenadas no seu computador ou em um servidor remoto.
  • Conexões inseguras são sempre inseguras: Embora a Riseup VPN torne anônima a sua localização e proteja você da vigilância do seu provedor, depois que seus dados forem roteados em segurança por riseup.net, eles seguirão pela internet normalmente. Portanto, ainda se deve usar conexões seguras (TLS), quando disponíveis (isto é, prefira HTTPS a HTTP, IMAPS a IMAP, etc.).
  • VPNs não são remédio para tudo: Embora deem conta de muita coisa, as VPNs não resolvem tudo. Por exemplo, não aumentam a sua segurança se o seu computador já estiver infectado por vírus ou programas espiões. Se você passar informações pessoais a um site, a VPN poderá fazer muito pouco para manter seu anonimato diante dele e das páginas parceiras. Saiba como manter o anonimato com VPNs.
  • A internet pode ficar mais lenta: A Riseup VPN roteia todo o seu tráfego por uma conexão criptografada a riseup.net antes que ele siga para a internet normal. Esse passo extra pode deixar a transferência de dados mais lenta. Para reduzir a lentidão, escolha, se possível, um servidor de VPN localizado próximo a onde você vive.
  • VPNs podem ser difíceis de configurar: Ainda que tenhamos tomado providências para facilitar ao máximo o processo, qualquer VPN complica um pouco a configuração da sua rede.

Como funciona a criptografia do seu celular

https://theintercept.com/2015/02/19/great-sim-heist/


“Depois que um cartão SIM é fabricado, a chave de criptografia, conhecida como “Ki”, é forjada diretamente no chip.

Uma cópia da chave também é fornecida ao provedor de celular, permitindo que sua rede reconheça um telefone individualmente. Para que o telefone seja capaz de se conectar com uma rede de telefonia sem fio, ele – com a ajuda do SIM – se autentica usando a Ki que foi programada no SIM. Então, o telefone realiza um “aperto de mão” (handshake) secreto para comprovar que aquela Ki do SIM é a mesma daquela que está com a companhia telefônica.

Após o sucesso dessa operação, a comunicação entre o telefone e a rede está criptografada.

Mesmo se os serviços de inteligência interceptarem os sinais de rádio do telefone, os dados interceptados terão a cara de uma grande bagunça. Descriptografá-los pode ser bastante desafiante e levar muito tempo. Roubar as chaves, por outro lado, é incrivelmente simples, do ponto de vista das agências de inteligência, pois a linha de produção e distribuição dos cartões SIM nunca foram projetadas para impedir os esforços da vigilância de massa.

Por que as mulheres “desapareceram” dos cursos de computação?

2018-03-07

http://jornal.usp.br/universidade/por-que-as-mulheres-desapareceram-dos-cursos-de-computacao/

Na década de 1970, cerca de 70% dos alunos do curso de Ciências da Computação, no IME, eram mulheres; hoje, 15%

Por Carolina Marins Santos – Editorias: Universidade



Primeira turma de alunos do curso de Bacharelado em Ciências da Computação do IME, em 1974 – Foto: montagem sobre reprodução de fotografia de Inês Homem de Melo

Inicialmente, as imagens acima e ao lado podem parecer simples fotografias antigas de colegas em qualquer curso da USP. Mas ela deixa de ser comum ao descobrir que se trata da primeira turma do Bacharelado em Ciências da Computação do Instituto de Matemática e Estatística (IME), em São Paulo. A informação pode causar espanto nos dias de hoje, em que a área de tecnologia é ocupada, majoritariamente, por homens. No entanto, essa não era a realidade em 1974, quando a turma se formou. Antes de nomes como Alan Turing, Steve Jobs e Bill Gates, a computação era uma área ocupada por mulheres, sendo elas as criadoras de diversas tecnologias e linguagens de programação. Mas, então, o que aconteceu? Para onde foram essas mulheres?

A primeira turma de Ciências da Computação do IME contava com 20 alunos, sendo 14 mulheres e 6 homens. Ou seja, 70% da turma era composta de mulheres. Já a turma de 2016 contava com 41 alunos, sendo apenas 6 meninas, ou seja, 15%.

A baixa presença feminina também se verifica em cursos de outra unidade da USP. Nos últimos cinco anos, apenas 9% dos alunos formados no curso de Ciências de Computação do Instituto de Ciências Matemáticas e de Computação (ICMC) da USP em São Carlos eram mulheres; no Bacharelado em Sistemas de Informação, foram 10% e em Engenharia de Computação, 6%.


Segundo a presidente da comissão de graduação do ICMC, Simone Souza, o baixo número de alunas no curso já vem desde a escolha no vestibular, que tem pouca procura entre as jovens. Na Fuvest, as carreiras em computação do IME e do ICMC são as de menor proporção entre homens e mulheres, juntamente com as engenharias.

Em 1997 (primeiro ano disponível para consulta), a proporção de candidatas inscritas no Bacharelado em Ciências da Computação do IME foi de 26,4%, enquanto em 2017, a proporção foi de 13,66%. Nos anos de 2010 e 2016, o curso teve a menor proporção entre todos da Fuvest.

Estigma masculino

Essa realidade não se restringe à USP. Entre as décadas de 1970 e 1980, houve uma grande inversão nos gêneros da área de tecnologia no mundo todo, mesma época em que surgiu o computador pessoal.

Antes da criação do personal computer (PC), o computador era uma grande máquina de realizar cálculos e processamento de dados, atividades associadas à função de secretariado. A sua chegada na casa das pessoas, por meio de empresas como IBM e Apple, popularizou o uso pessoal das máquinas, principalmente, com a finalidade lúdica dos jogos.

Para a professora do IME Renata Wassermann, foi neste momento que o computador ganhou a “marca” de masculino que o acompanha até hoje.

Quando os jogos começaram a se popularizar, acabou ficando estigmatizado como ‘coisa de menino’. Já no início dos anos 1970, era tudo muito abstrato, ninguém tinha computador em casa, então computação tinha mais a ver com a matemática, e o curso de matemática tinha mais meninas do que o de computação. O curso de computação não era muito ligado à tecnologia porque a gente não tinha computadores pessoais. Isso mudou bastante e agora o curso se refere mais à tecnologia do que à matemática.

Um gráfico produzido por um dos podcasts da National Public Radio (NPR) expõe essa quebra, comparando o número de mulheres em cursos de computação em relação aos cursos de medicina, direito e física nos Estados Unidos.

Segundo o professor e coordenador do curso de Ciência da Computação do IME, Marco Dimas Gubitoso, um fator que pode explicar o grande interesse das mulheres pela graduação na década de 1970 é a sua associação com o curso de Matemática.

A turma do início desta reportagem se constituiu a partir da migração de alunos da licenciatura em Matemática, que sempre teve um histórico maior de presença de mulheres.

Esse foi o caso de Maria Elisabete Bruno Vivian, que se formou na primeira turma de Ciência da Computação do IME e foi professora no mesmo instituto. Desde cedo, ela sabia que queria fazer computação, mas o curso ainda não existia quando se matriculou na licenciatura. A transferência só ocorreu no segundo semestre de 1971. Na época, a área era uma novidade e não se tinha ideia do quão competitiva ela se tornaria.

“A licenciatura é um curso para formar professores e ser professor sempre foi uma carreira majoritariamente feminina até hoje. Por isso, quando criaram o Bacharelado em Ciência da Computação havia muita mulher porque a maioria veio da licenciatura. O cenário mudou quando a carreira ficou interessante. Com muitas vagas e ótimos salários, ela acabou atraindo mais homens”, afirma Maria Elisabete..

Camila Achutti – Foto: montagem sobre fotografia de divulgação de Mastertech

O que os alunos dessa primeira turma não imaginavam, quando fizeram a fotografia, era de que ela seria o estopim para a criação do blog Mulheres na Computação por Camila Achutti, que também se formou no curso de Bacharelado em Ciência da Computação do IME.

Em 2010, quando Camila chegou para a primeira aula de Introdução ao Algoritmo, ela notou que era uma das poucas mulheres na sala. Em 2013, quando se formou, era a única. O choque de estar sozinha numa turma masculina a obrigou a pesquisar referências de mulheres na computação. Foi, então, que encontrou a foto no acervo de relíquias do IME.

Comparando essa foto de 1974 com a foto da minha turma, você vê que caiu muito. Como pode cair de 70% para 3% o número de mulheres na turma? Tem alguma coisa muito errada. Então eu pensei: ‘já que isso existe, eu quero mostrar para todo mundo. E toda vez que uma menina digitar Mulheres na Computação ou na Tecnologia vai aparecer alguma coisa’. E esse foi meu primeiro ato empreendedor, tudo por causa dessa foto.

Hoje, Camila dirige duas startups e é conhecida por lutar pela inserção feminina na área da tecnologia.

Essa inversão de realidade causou espanto também em Inês Homem de Melo, ex-aluna e professora no IME. Durante os 15 anos em que ficou na USP, a professora assistiu à predominância feminina no curso até atingir um equilíbrio entre os gêneros, mas jamais imaginou que o número se inverteria.

Inês Homem de Melo – Foto: montagem sobre fotografia de Inês Homem de Melo

“Eu trabalhei na USP, depois fui para uma fabricante de hardwares e softwares e meu último emprego, onde me aposentei, foi em um banco. Em todos esses lugares, era equilibrado o número de homens e mulheres, não havia a predominância de homens igual havia na engenharia. Não sei o que houve para diminuir tanto assim.”

Falta incentivo

Um estudo realizado na Southeastern Louisiana University, nos Estados Unidos, buscou investigar por que o número de estudantes mulheres em ciências da computação da universidade tinha diminuído. A conclusão do estudo, que pode ser encontrado no Journal of Computing Sciences in Colleges, mostra que as meninas são menos estimuladas às carreiras de tecnologia.

Propagandas midiáticas, a educação escolar e a própria família têm influência na criação do estereótipo de que homens são melhores na área de exatas, enquanto mulheres se dão melhor nas humanas. A falta de representação de mulheres na área também é um fator fundamental para repelir as meninas dos cursos de tecnologia.

“Quando você fala de computação, a primeira imagem que vem à cabeça é do homem nerd que programa desde os cinco anos e criou uma grande empresa aos 18, e isso não é verdade”, conta Camila.

“Existem muitas mulheres que participaram da história da computação, mas, de alguma forma, houve um apagamento dessas mulheres.” Ela lembra que, embora os nomes de homens sejam os mais citados, mulheres como Ada Byron (Lady Lovelace) e Grace Murray Hopper foram fundamentais para a informática…


Uma pesquisa realizada pela Microsoft mostrou que as mulheres tendem a se considerar menos aptas para as carreiras de exatas conforme crescem. As meninas costumam se interessar por tecnologia e exatas, em geral, aos 11 anos, mas aos 15 elas começam a desistir. As razões, segundo a pesquisa, são: ausência de modelos femininos na área, falta de confiança na equidade entre homens e mulheres para exatas e a ausência de contato com cálculo e programação antes da faculdade.

Camila sentiu essa falta de contato maior com as exatas já no primeiro dia de aula, quando notou que todos os alunos sabiam o que era algoritmo e já tinham uma noção básica de lógica de programação, enquanto, para ela, aquilo era tudo novidade. “Eu virei o patinho feio da sala, a burra. Comecei a me questionar do por quê estava ali.”

Anos depois de ter encontrado a fotografia, a ex-aluna do IME trabalha para desmistificar a computação como atividade exclusivamente masculina. A proposta do blog Mulheres na Computação é incentivar, discutir e difundir assuntos relacionados a tecnologia e empreendedorismo sob a ótica de jovens mulheres.

Por meio de cursos e workshops, a equipe do blog leva programação, lógica, cálculo, internet das coisas, entre outros temas, para as meninas. A intenção, segundo Camila, é acabar com a ideia de que tecnologia é difícil e tarefa de gênios.

Para ela, pequenas atitudes podem contribuir para atrair as mulheres de volta para a área. “Aos homens, cabe o papel de ‘evangelizar’, não deixar que o amigo faça piadas contra a colega de profissão, e quando uma menina perguntar o que ele faz, explicar de fato e não dizer que é algo difícil que ela não entende. E, às meninas, cabe refletir se aquela sensação de que não é para elas a área, é de fato verdade ou uma ideia que foi imposta a elas.”


Professora integrou equipe que projetou e construiu o primeiro computador do Brasil

slide

Considerado o primeiro computador totalmente desenvolvido e construído no Brasil, o Patinho Feio, como ficou conhecida a máquina, foi fruto de um projeto da Escola Politécnica (Poli) da USP, coordenado pelo professor Antônio Hélio Guerra Vieira, ex-reitor da Universidade.

A professora Edith Ranzini foi uma das quatro mulheres que contribuíram com o projeto. Além da criação do computador, ela também foi responsável por implantar o curso de Engenharia Elétrica com ênfase em Computação na Poli.

Ela conta que entre os 360 colegas de sua turma, apenas 12 eram mulheres. Contudo, acredita que fazer parte da minoria nunca foi motivo para ser discriminada ou subjugada. “Não existe essa história de que, pelo fato de ser mulher, uma pessoa é engenheira ou professora de segunda categoria”, defende.

Ranzini passou a integrar o corpo docente da Poli em 1971 e se aposentou em 2003, mas continua contribuindo com a Universidade. Foi presidente da Fundação para o Desenvolvimento Tecnológico da Engenharia (FDTE) e professora da Pontifícia Universidade Católica de São Paulo (PUC).

Da Assessoria de Imprensa da Poli


Além do trabalho de Camila, outras iniciativas buscam atrair as mulheres para a tecnologia. São projetos como Meninas na Computação, que incentiva o ingresso de jovens sergipanas na ciência da computação, Cunhatã Digital, que visa a atrair mulheres da região amazônica para a tecnologia e, principalmente, o Meninas Digitais, da Sociedade Brasileira de Computação (SBC), direcionado a alunas do ensino médio e últimos anos do fundamental.

“O Meninas Digitais envolve centenas de meninas, em todo o Brasil, durante o ano todo, em práticas educacionais na computação”, explica a ex-presidente da SBC e ex-embaixadora do Comitê Mulheres da Associação Americana de Computação (ACM), Claudia Bauzer Medeiros.

“A SBC tem atividades regulares iniciadas há 11 anos. Começaram com um evento de um dia, o Women in Information Technology (WIT), que hoje é realizado durante três dias, com atividades de laboratório de programação para meninas, debates e apresentações. Há, além disso, um grupo bastante ativo de docentes e alunas na área de bancos de dados, o Women in dataBases (WomB), que se reúne anualmente durante o Simpósio Brasileiro de Bancos de Dados.”

Para Claudia, a maneira mais eficaz de atrair mais meninas não só para a computação, mas para as carreiras de Ciência e Tecnologia como um todo, é pela educação e esclarecimento desde o ensino fundamental sobre essas áreas. O projeto inspirou uma iniciativa dentro do IME de mesmo nome.

Camila Achutti destaca que incentivar as mulheres para essas carreiras é uma necessidade urgente e que traz apenas benefícios. “Você não precisa ser feminista para concordar comigo, você pode ser só capitalista para notar que essa conta não fecha. Você tem o setor com a maior demanda do mercado e está isolando metade do País. Como continuar desenvolvendo e inovando sem utilizar a mão de obra dessas mulheres?”

Protocolo Canário

Gostaríamos de compartilhar nossa experiência com o protocolo de segurança chamado Canário.

O Canário é um acordo coletivo que responde a uma análise de risco específica. Temos visto que medidas de segurança criadas no vácuo, sem avaliação de contexto e das nossas vulnerabilidades geralmente levam a uma competição confusa e infrutífera sobre “qual é o melhor aplicativo”.

Um protocolo de segurança é uma combinação contextual de boas práticas e boas ferramentas.

O que é um Canário?

Antigamente, para detectar gases tóxicos em minas ou cavernas, levava-se canários para o subterrâneo. Por ser mais sensível que os seres humanos às condições ambientais, no momento em que um canário morresse era hora de sair da mina.

No contexto de organizações em risco, o protocolo Canário busca obter uma prova de vida periódica dos seus integrantes.

No Mariscotron, durante o período da eleição presidencial de 2018 e após ela, avaliamos que estávamos num cenário de perseguição política mais forte. Nos pareceu plausível a instauração de um estado de exceção mais acentuado devido a ascensão da direita conservadora e a uma classe média raivosa sendo representada politicamente. Além disso, tendo em vista alguns ataques sofridos pela esquerda como um todo nos últimos anos e que pareciam estar sendo incentivados de forma violenta por políticos e influenciadores, decidimos utilizar um mecanismo para certificação de vida. Além do contexto político, levamos em conta também que alguns integrantes se viam com pouca frequência ou sequer estavam na mesma cidade/estado/país.

Como funciona:

Encontre um meio de comunicação que atenda suas necessidades de segurança e que todos os integrantes tenham acesso. Nós escolhemos um grupo no Signal, mas também cogitamos usar uma lista de e-mail com criptografia GPG.

IMPORTANTE: o meio de comunicação usado para o Canário deve ser exclusivo para este fim. Qualquer conversa sobre outro assunto nos faria perder a atenção: será que todo mundo deu um salve?!

Defina a periodicidade da verificação. Use uma medida simples para facilitar a memória, por exemplo, toda terça-feira ou todo dia 5 do mês. Nós escolhemos dar sinal de vida uma vez por semana.

No dia marcado e apenas nele, todos os integrantes devem enviar um sinal para o grupo. Pode ser um alô, uma carinha, uma frase inspiradora. Cuidamos para não haver distração. Lembre-se: o Canário tem apenas um propósito.

Casos de atraso ou não comunicação:

Para todo protocolo de segurança é preciso definir um plano B ou alguma medida de emergência. No caso do Canário, queremos saber que todo mundo está vivo. Porém, o que faremos caso alguém não responda?

Nosso acordo foi tentar um contato pessoal mesmo à distância com o integrante que não se apresentou no dia marcado. Sabemos que esquecimentos e falta de internet podem causar essa falha. Por isso, estipulamos um teto, um tempo máximo que alguém poderia ficar sem se comunicar no Canário. Passado esse prazo, se não houvesse nenhum sinal, o integrante seria procurado pessoalmente/fisicamente ou por terceiros próximos.

Como escolher um mensageiro “seguro”

Este texto é uma tradução levemente modificada do que saiu aqui, escrito por blacklight447.

Nos interessa muito a metade inicial sobre definições, pois ela ajuda a pensar e questionar quais características e comportamentos precisamos de um aplicativo mensageiro.

Dois comentários anônimos ao fim da postagem nos fizeram lembrar que a opinião que segue na segunda parte é do autor original. Ela nos parece válida como exemplo. Porém, tendo entendido os porquês expostos no início do texto, nós faremos nossa própria análise sobre qual aplicativo irá nos servir e em qual contexto (ou nenhum aplicativo!).

Encorajamos você a pensar seriamente no seu modelo de ameaças e escolher o que lhe serve. Não aceite opiniões como fatos, e boa leitura.


Outro dia, uma pessoa perguntou no nosso fórum sobre as diferenças entre os mensageiros seguros (os programas de bate-papo).  Em vez de listar uma cacetada de diferentes softwares e suas características, resolvi começar definindo “seguro” e outros termos chave no contexto dos mensageiros instantâneos (chats). Isso porque um mensageiro que é “seguro” para mim não vira automaticamente “seguro” para outra pessoa.

Primeiro, precisamos desconstruir o significado de segurança. Que tal começar com os conceitos confidencialidade, integridade e disponibilidade?

  • Confidencialidade significa que somente as partes desejadas podem ler as mensagens.
  • Integridade significa ter certeza de que sua mensagem não foi alterada antes de chegar no destino, o que muita gente não da muita importância.
  • Disponibilidade significa garantir que todas as partes tenham acesso adequado às suas mensagens.

Se te interessar, leia mais sobre isso aqui.

Então, se a gente quer um mensageiro “seguro”, no que será que devemos ficar ligadas?

A resposta são quatro coisas: segurança, privacidade, anonimato e usabilidade.

  • Segurança: Em resumo, segurança significa que apenas os destinatários receberam sua mensagem, que eles conseguem acessá-la adequadamente e que a mensagem não foi modificada por terceiros.
  • Privacidade: é ter o conteúdo de suas comunicações protegido de terceiros, mas não necessariamente as identidades de quem está se comunicando. Por exemplo, duas colegas no espaço de trabalho vão para uma outra sala para conversar entre si: você sabe quem está lá e que elas estão conversando, mas não sabe o que estão dizendo. Essa conversa é privada.
  • Anonimato: significa proteger as identidades das partes em comunicação, mas não necessariamente o conteúdo. Por exemplo, um delator anônimo vaza um documento para o público; o centeúdo do vazamento deixou de ser privado e passou para o conhecimento público, mas não sabemos quem o vazou; o delator é anônimo.
  • Usabilidade: diz respeito à facilidade de usar alguma coisa; geralmente é o elemento mais menosprezado da mensageria segura. Se um aplicativo é muito difícil ou frustrante de usar, muitas pessoas simplesmente optarão por alternativas menos seguras, porém mais fáceis. A baixa usabilidade é a razão pela qual a criptografia PGP de email nunca foi adotada pelas massas: é um saco usá-la. Roger Dingledine, do Projeto Tor, escreveu um artigo bem legal sobre por que a usabilidade é tão importante em sistemas seguros.

Agora que já entendemos as facetas mais importantes da mensageria segura, temos que falar sobre modelo de ameaças.

Modelo de ameaças é algo que você tem que fazer antes de escolher seu mensageiro, porque não existe nenhum mensageiro glorioso que funcionará universalmente para todo mundo. Parece que poucas pessoas entendem qual é o seu modelo de ameaças. Para começar, aqui vão algumas perguntas que você pode fazer a si mesma:

  • O que estou protegendo? Vocês está protegendo o conteúdo da mensagem? Sua identidade? Os metadados? Sua localização? Talvez uma combinação de tudo isso?
  • De quem estou me protegendo? Você está se protegendo das companhias de propaganda? de governos? De um parceiro abusador? Hackers? Cada um desses oponentes possui suas próprias fraquezas e potências; um governo tem muita grana, mas uma hacker pode quebrar a lei.
  • Qual será o impacto caso a coisa que estou protegendo caia nas mãos do meu adversário? Os mesageiros que melhor protegem o conteúdo e os metadados costumam ser os menos conveniente de usar. Então, considere quanta usabilidade você está disposta a sacrificar para proteger essas coisas. Você está protegendo suas paixões secretas ou é uma situação de vida ou morte?

Beleza, já pensei no meu modelo de ameaças. E agora?

Tendo construído seu modelo de ameaças, e sabendo o que você está protegendo e de quem, podemos começar a dar uma olhada nos mensageiros que estão por aí. Vejamos dois exemplos:

Signal: é um mensageiro de código aberto, criptografado de ponta a ponta e privado. É bem fácil de usar e não exige que o usuário saiba nada sobre criptografia ou segurança em geral. Ele fornece privacidade em mensagens e chamadas através da criptografia de ponta a ponta, e porque ele é tão ridículo de usar, você terá menos trabalho em migrar seus contatos de aplicativo. Entretanto, já que o Signal necessita de um número de telefone para registrar-se ele não é , e nunca disse que era, anônimo.

Briar: é um mensageiro com criptografia de ponta a ponta que utiliza a rede Tor para se manter anônimo. Por funcionar como um mensageiro de par a par (ou seja, não existem servidores entre os usuários distribuindo suas mensagens) dentro da rede Tor, seus metadados e o conteúdo de suas mensagens estão protegidos. O problema da natureza par a par do Briar é que ambas as partes devem estar online ao mesmo tempo para mandar mensagens, o que diminui a usabilidade.

Agora, se você ou um contato seu acredita que é alvo das agências de inteligência do governo, o Briar seria uma opção melhor para manter sua identidade segura. Isso acontece porque, mesmo que o Briar não seja o serviço mais fácil, ele não irá expor os metadados que poderão revelar quem, quando ou mesmo se você alguma vez interagiu com outro usuário.

Entretanto, se você é um cidadão comum conversando com amizades ou com a família sobre assuntos tranquilos, o Signal provavelmente seria mais apropriado. As conversas no Signal são criptografadas de ponta a ponta e privadas, mas dado que ele usa seu número de telefone é possível identificar os contatos do usuário e outros metadados. O principal benefício do Signal é que ele é extremamente fácil de usar, é essencialmente a mesma experiência do WhatsApp. Assim, usuários menos preocupados com privacidade/segurança tem mais chance de adotá-lo.

Tá, então temos um modelo de ameaças e sabemos a diferença entre segurança, privacidade, anonimato e usabilidade. Como vou saber qual mensageiro fornece o quê?

Boa pergunta! Existem algumas coisas que se pode ficar de olho quando for escolher um mensageiro:

  • Criptografia de ponta a ponta: isso significa que somente a pessoa para quem você enviou a mensagem pode ler o conteúdo da mensagem.
  • Código aberto: isso significa que o código fonte do programa está disponível para ser lido, permitindo àquelas pessoas com tempo e conhecimento verificarem se ele é tão seguro quanto se diz. (Bonus points if reproducible builds are available. This means you can copy the source code, follow the build instructions and end up with an exact copy of the application distributed by the developers. This allows us to ensure that the app in use is actually the same as the source code.)
  • Par a par: em inglês P2P ou peer-to-peer significa que suas mensagens vão diretamente para o dispositivo dos seus contatos e que não existem terceiros envolvidos no tráfico de dados. Cuidado: embora isso signifique que nenhuma entidade central esteja coletando seus metadados e mensagens num servidor, se você não proteger seu IP qualquer pessoa que estiver olhando sua conexão poderá ver com quem você conversa e por quanto tempo, potencialmente quebrando seu anonimato. Como foi mencionado acima, o Briar consegue resolver isso usando a rede Tor.
  • Metadados: são todas as informações sobre uma mensagem exceto o seu conteúdo. Alguns exemplos de metadados são: remetente, destinatário, hora de envio e localização de quem enviou. Daria pra descrever os metadados como “registros de atividade“. Dependendo do seu modelo de ameaças, pode ser importante garantir que certos metadados não estejam disponíveis para o seu adversário.
  • Informações de registro: quais informações são pedidas a você antes de usar um serviço? Quando o número de telefone é requisitado, como no Signal, será difícil manter o anonimato porque o número geralmente está associado com a sua identidade real. Se o anonimato é parte do seu modelo de ameaças, procure um mensageiro com o mínimo possível de informações de registro.

Lembre-se que às vezes é melhor usar uma solução não tão perfeita caso ela ofereça uma usabiliade melhor, pois isso te ajudará a manter teus contatos longe de alternativas menos seguras. Por exemplo, levar a sua família para o Signal, ou mesmo para o WhatsApp é um passo enorme em relação a SMS, pois as mensagens de telefone são enviadas em texto puro. Claro, as mensagens enviadas pelo zap não são anônimas, os metadados estarão disponíveis, porém essa mudança já um grande passo em termos de segurança, e você estará melhor com ela do que tentando migrar todo mundo para o mensageiro mega-ultra-seguro-anônimo, que é um pé no saco de usar, e que ao ver que é difícil as pessoas acabarão voltando para a SMS. Como disse Voltaire:

O perfeito é inimigo do bom.

De volta ao básico: custos da privacidade

Segue um resusminho do podcast #115 Back to the Basics: the Costs of Privacy, do OpenSource Intelligence

Se pensarmos em três níveis de custos de segurança, essas são nossa sugestão (da OSInt) de 5 ações para melhorar a privacidade:

De graça:

  • Linux: provavelmente é a mudança mais forte em privacidade digital
  • Gerenciador de Senhas: software local como KeePassXC
  • Comunicações seguras, email e IM:
    • ProtonMail: servidor não tem acesso ao conteúdo (Mariscotron recomenda: riseup.net e autistici.org)
    • Chat no espertophone não é muito seguro, mas use Signal, Wire
  • Remover conteúdo online (Mariscotron recomenda: datadetox kit do Tactical Tech)
  • Eliminar seus usos em redes sociais:
    • se achas precisas usar, crie uma nova conta e recomece do zero
    • não usar os aplicativos das redes no espertofone; acesse pelo navegador (firefox)

Com algum gasto:

  • Endereço Postal: usar um endereço postal comercial para desvincular seu correio do endereço pessoal. Usar UPS Store. (descobrir algo semelhante aqui)
  • Usar uma empresa de telefonia que não pede informação pessoal: Mint Mobile. Totalmente anônimo. Pensando nos seviços GSM.
  • Usar uma bolsinha de Faraday no celular/espertofone enquanto não precisar dele
  • Usar VPN. Se for pagar, encontrar um serviço que aceita pagamento anônimo.
  • Comparar as coias com dinheiro ou com um cartão de crédito/débito pré-pago. Ter vários e ir alterando (descobrir se tem algo semelhante aqui)

Gastando muito dinheiro:

  • Privacy mail Box
  • Comprar um novo celular: crie novas contas (diferentes das do pc)
  • Comprar um novo computador: crie novas contas (diferentes das do espertofone)
  • Mudar de carro
  • Mudar de casa

[entrevista] Bolsonaro, censura, perseguição digital e auto segurança em tempos de fascismo

O Portal Planeta Minas Gerais fez uma entrevista conosco em nossa passagem pela CriptoTrem. Confira a entrevista, em duas partes:

Parte 1: Proteção e segurança digital: um convite à militância

Parte 2: Bolsonaro, censura, perseguição digital e auto segurança em tempos de fascismo


Bolsonaro, censura, perseguição digital e auto segurança em tempos de fascismo

Que o governo de extrema direita de Jair ‘O Coiso’ Bolsonaro enaltece o fascismo (que não é de esquerda!), a ditadura militar, os cortes na previdência dos trabalhadores e nas modificações das bases educaionais, não é novidade. Mas há ainda muito o que se preocupar. Com um governo repleto de militares, mais dos que os da época da ditadura, uma Polícia Federal que mais se assemelha à Gestapo, o governo esconde que a famigerada lei antiterrorismo que Bolsonaro quer aprovar, criminilarizará os movimenos sociais e todos que resolvam questionar seus direitos. Mas há ainda muito o que se preocupar. A segurança digital, que eu e você, usamos todos os dias quer seja pelas redes sociais ou no google, pode estar em risco.

Nossa equipe conversou com os caras do Coletivo Anarco Tecnológico Mariscotron, durante o evento ‘CriptoTrem 2019’, ocorrido em Belo Horizonte.

P: O ativismo de vocês é na rede (internet) ou vocês possuem um ativismo combativo?
R: Na rede, apenas divulgamos materiais e replicamos notícias. Nossa principal atuação é diretamente com as pessoas que buscam melhorar suas práticas de segurança. Um pouco mais rara é a produção de livros e zines.

P: Vocês se consideram hackers, ativistas digitais ou militantes?
R: Se considerarmos hacker a pessoa que quer entender a fundo como softwares, sistemas e equipamentos funcionam e, caso deseje, faça modificações ou testes, então sim, somos hackers. Trocamos muito conhecimento e também aprendemos a aprender por conta própria. Mas junto a isso, temos que ressaltar nossa posição política: somos anarquistas e estamos construindo o tempo todo formas de aumentar nossa autonomia social. Privacidade e solidariedade precisam andar juntas.

P: O q vocês pensam sobre a importancia ou trabalho da mídia alternativa?
R: A mídia independente sempre ocupou um papel central no ativismo, através da difusão de ideias, chamados para ações, denúncias e reflexões sobre as lutas sociais. Este papel é histórico, e acompanha o advento das novas tecnologias de cada época, desde a imprensa operária no início do século, as rádios livres, e com a Internet iniciativas internacionais e federadas como o Centro de Mídia Independente. De certa forma, também atuamos como mídia independente, pois produzimos, traduzimos e divulgamos materiais focados em tecnopolítica.

P: Vcs acham que a mídia alternativa tem sido hackeada pelo governo ou tem sofrido coação?
R: Por enquanto, não tivemos nenhum relato de ataque cibernético realizado pelo governo brasileiro. O que tem sido mais frequente são as ações de coação, realizadas por grupos de extrema-direita que formam a base social do atual governo. Estes grupos atuam como milícias virtuais em uma guerra psicológica, e visam expor e ameaçar pessoas ligadas a causas consideradas “subversivas” pela ordem neo-fascista que visam
estabelecer. Desde o início do ano, já tivemos alguns casos de pessoas públicas no país, que embora tenham bastante visibilidade, sofreram com ameaças de morte, agressão e linchamentos. Por outro lado, feministas, como Lola Aronovich, já sofrem trollagem e ameaças de morte há muitos anos. Imaginamos que pessoas que atuam com mídia alternativa a nível local também poderão sofrer com este tipo de coação.
Aqui, apenas um exemplo do que pode acontecer:
https://www.theguardian.com/technology/2016/jan/07/ukrainian-blackout-hackers-attacked-media-company

P: Hoje a comunicação dos movimentos sociais é quase toda feita pelo whatsapp ou no facebook, vocês acham que é preciso adotar algum mecanismo mais seguro pra comunicação?
R: Sim, este foi um dos motivos que nos levou a constituir o coletivo. Nossa formação enquanto ativistas passou por experiências com os movimentos de mídia alternativa que surgiram após o ano 2000, portanto tivemos contato com uma prática política de apropriação dos meios de comunicação, através do software livre, da criação de sites na Web e da própria gestão de nossos servidores. Portanto, não foi somente a questão da segurança que nos assustou quando vimos tantos ativistas abraçando estas ferramentas corporativas e abandonando as suas próprias, foi uma questão política também. Whatsapp e Facebook são ferramentas corporativas e de uma única empresa, que depois se revelou pivô em escândalos de manipulação de massas, como a Cambridge Analytica ou na propaganda massiva de noticias falsas para alavancar o candidato fascista das últimas eleições.

Em termos de segurança, o Facebook é uma distopia. Coletam todo tipo de informação sobre você e seus relacionamentos, e a comunicação via Messenger não é criptografada, podendo ser espionada pelo governo.

Já a comunicação via Whatsapp é criptografada, entretanto ele é um software de código fechado, sendo impossível saber como foi feita sua implementação, e se existem brechas – propositais ou por acaso – na segurança do aplicativo. Outro aspecto é que muitas pessoas habilitam a cópia automática de todas as suas mensagens para o Google Drive, onde as conversas são armazenadas sem criptografia alguma.

Como alternativas, temos adotado o Signal, que é software livre, e tem mensagens criptografadas por padrão. Além disso, o Signal implementa uma série de medidas de proteção dos seus metadados, quer dizer, com quem você está conversando e quando. Esses dados são muito importantes e muitas vezes suficientes para saber muito sobre os hábitos das pessoas e
as relações entre elas. O Signal garante que só quem tem acesso a esses dados é a própria usuária, enquanto o Whatsapp armazena todos esses dados.

Entretanto este tipo de comunicação é somente um dos aspectos para tornar a nossa vida digital mais segura. Existem outros, o que motivou uma articulação nacional que propôs um conjunto básico de ferramentas, assim como guias e manuais que podem ser encontrados no site autodefesa.org. Recomendamos este site e o material lá publicado como o mínimo a se fazer agora.

Mas é sempre bom lembrar que independente do software que se use, boas práticas de comunicação são o elemento cultural que manterá nosso ativismo funcionando.

P: Com esse governo fascista, repleto de militares, os movimentos sociais e todos que resolvem discordar da posição do Bozo, tem sido hackeados pelo governo. Vocês acham que não só a militancia, mas todos devem se proteger?
R: Pelos ambientes em que atuamos, costumamos falar sobre os riscos de perseguição política, mas os impactos da vigilância afetam a todas as pessoas. Parceiras que são vigiadas em relações abusivas, trabalhadoras que têm sua comunicação espionada pelo patrão, seguradoras de saúde que usam seus dados de redes sociais para te precificar, lojas, supermercados e operadoras de cartão de crédito que sabem tudo que você consome, companhias de transporte que sabem todos os trajetos que você faz, aplicativos de relacionamento que sabem com quem você se relaciona e os seus desejos, ou até a receita federal que pode inferir sua renda através da ostentação consumista em redes sociais, todos esses são apenas exemplos dos resultados dessa vigilância massiva. Recomendamos o documentário “Nothing to Hide” que faz uma boa análise nesta perspectiva.

Podemos abordar a questão por outro lado também. Segurança não é simplesmente eu instalar o signal. É uma questão social que envolve muitas pessoas e organizações. Qualquer um que transitar neste mundo, terá que interagir. E nessa interação há constante e, cada vez mais, abundante troca de informações. Assim, teremos muito mais condições de enfrentar os riscos do nosso ativismo num ambiente que promove a cultura de segurança do que num ambiente paranoico. Vejamos o caso do Navegador Tor: se poucas pessoas usam a rede Tor, elas são facilmente identificadas e marcadas como suspeitas. Se muitas pessoas passarem a usar, mesmo sem ser para se protegerem, aquelas pessoas que estão precisando agora de anonimato poderão ter um pouco mais de tranquilidade para fazer o que
precisam.

P: Temos como nos proteger dessa vigilãncia feita pelo governo ou a internet como utilizamos não favorece isso?
R: Antes de tudo, a internet é uma rede de computadores que troca informações. É claro que serviços digitais como facebook ou gmail, construídos por corporações para lucrar em cima das interações das pessoas, são chave para levar a vigilância e o controle para os aspectos mais cotidianos das nossas vidas. Porém, existe vida lá fora. E é sobre isso que falamos em nossas formações: tem muita gente desenvolvendo e lutando por uma internet aberta e que preserve nossa privacidade.

Entretanto, o campo burocrático ou dos serviços públicos têm dependido cada vez mais de sistemas digitais, o que força o cidadão a vincular muitos dados da sua vida pessoal com seu CPF, por exemplo. O seguinte caso é emblemático: a primeira ação de larga escala que os nazistas realizaram foi um censo, processado com ajuda de computadores de IBM. Hoje, todos os governos (democráticos ou não) possuem tantos dados sobre
as pessoas que nem sabem o que fazer com isso. Porém, a gente conhece a História: todos os governos, sejam monarquias ou democracias, tratam seus cidadãos como porcos numa fazenda. Na hora do abate, não há hesitação.

P: No mundo todo o discurso da extrema direita ganhou força, estamos vivendo uma retração da tolerância ideológica ou um tipo de guerra na web?
R: Um misto das duas coisas, com o agravante é que agora a manipulação de massas com propósitos fascistas conta com novas armas: um poder de processamento gigantesco, com dados cedidos voluntariamente ou não de milhões de pessoas. Casos como o da Cambridge Analytica revelam só o início de como este tipo de estratégia terá cada vez mais importância
para os Estados em seus projetos de dominação.

P: Sobre isso ainda, a NSA, CIA e outras agencias de rastreamento do governo, usam a internet para procurar suspeitos. É possível que os movimentos sociais, a imprensa, a sociedade unida pode lutar contra estas armas governamentais?
R: Sim, caso contrário teríamos desistido do coletivo e se escondido no meio do mato! Brincadeiras à parte, acreditamos que o ponto principal é desenvolvermos uma cultura de segurança, o que deve ser um processo coletivo, descentralizado e contínuo. As mudanças que estão vindo por aí só estão começando, e serão muito rápidas. Teremos que reagir
rapidamente, e buscar formas de se apropriar e transformar a tecnologia para construir modos de resistência.

P: O que vocês pensam sobre a efetividade das leis brasileiras q deveriam fornecer segurança e proteção dos dados de usuários da internet (como o marco civil da internet, por ex)
R: As leis podem até ajudar a mitigar alguns pontos da vigilância e invasão de nossa privacidade, não negamos que elas têm algum valor e respeitamos os coletivos que possuem este enfoque mais legalista. Entretanto, nosso foco enquanto um coletivo anarquista é buscar formas de autodefesa, onde por construção as tecnologias ou comportamentos possam nos proteger desta vigilância.

P: Como o usuário comum pode fazer para se proteger e manter seus dados pessoais, opinião, fora do alcance do governo?
R: Alguns dados são exigidos pelo próprio Estado para prover seus serviços, e muitas vezes são vendidos para empresas privadas (como é o caso de dados biométricos utilizados para participar das eleições), ou mesmo vazados por incompetência técnica, como foi revelado recentemente sobre dados do SUS. Outros tipos de dados, como a maioria dos metadados, são
necessários para o próprio funcionamento das comunicações (sem o nome do destinatário, o carteiro não saberia onde deixar a carta). Sobre o que está em nosso controle, podemos utilizar ferramentas que nos ajudam a preservar o nosso anonimato e privacidade. Sobre as opiniões públicas, existe uma linha tênue entre a necessidade de se posicionar e o receio da perseguição, mas não nos cabe fazer esta avaliação, que é algo muito pessoal.

O gerenciamento de identidades pode ser útil nessa situação. Só como um exemplo, temos quatro tipos de identidades que podemos usar para nos expressarmos no mundo: nome civil, pseudônimo(s), heterônimo(s), anônimo.

P: Vocês teriam alguma coisa a dizer sobre a prisão de Julian Assange?
R: É um recado claro para todas que desafiam a ordem estabelecida e um ataque a liberdade de imprensa. Mostra como o “ocidente democrático”, sob comando dos EUA, em conjunto com um Estado vassalo na América Latina podem se unir para perseguir politicamente qualquer um, mesmo aqueles que contam com visibilidade internacional, como é o caso do Assange. Não podemos esquecer de Chelsea Manning, que foi quem forneceu muitos dos documentos para o Wikileaks e que está presa desde 8 de março deste ano. E também temos a prisão recente de Ola Bini no Equador, programador sueco que colaborava com o Wikileaks. São muitos recados em um curto
espaço de tempo para considerarmos apenas coincidência. A criminalização de hackers e jornalistas só vai aumentar.

P: Como os movimentos sociais, ativistas podem fazer pra entrar em contato com vocês?
R: Temos um site: mariscotron.libertar.org, e também um endereço de e-mail org-mariscotron@lists.riseup.net, estes são atualmente nossos canais de comunicação.

O Mariscotron é um coletivo anarquista que promove cultura de segurança. A partir de 2013, com as jornadas de junho e as revelações do caso Snowden sobre a vigilância massiva das agências de inteligência americanas, começaram oferecer oficinas sobre comunicação digital segura, e proteção digital.

Como encontrar grampos numa sala?

Segue um resuminho do podcast #119 The Privacy,  Security and OSINT Show, do cara do site Open Source Intelligence

Começa com algumas notícias:

– tem uma versão específica do keepassXC que tem um bug que apaga a base de dados na hora de salvar (!) se tais num Mac e pretendes salvar essa base num volume do veracrypt.

– Tem um novo mercado de fraude digital que é o roubo de impressão digital digital pessoal (digital fingerprint), o que implica em se passar pelo computador e pelos hábitos de navegação de outra pessoa. Os caras tão clonando o jeito que a tua máquina aparece prum servidor. O google não encheria o saco caso um hacker fosse acessar tua conta de qualquer lugar no mundo, pois poderia simular teu ambiente digital.

– SMS bomber. É semelhante ao mail bomber lá dos anos 1990, só que pra SMS. A utilidade desse bombardeio é esconder uma mensagem importante no meio de lixo, como aquele SMS que os bancos mandam quando tu muda uma senha. Se alguém clonou teu celular e pede pra alterar algum dado de um serviço que usa SMS pra mandar avisos, então essa pessoa vai conseguir encontrar o código de autenticação e tu não vais nem saber o que tá acontecendo.

– empregados da amazon ouvem as gravações de áudio da Alexa.


Agora vamos ao tema propriamente dito do podcast.

Sobre descobrir câmeras, o dica do cara, que trabalhou dezenas de anos implantando grampos pelo FBI e hoje está a 12 anos detectando grampos, Tom Gibbons, a dica é comprar uma câmera termográfica (infra-vermelho), pois tudo que está ligado gera calor. Simples assim.

Dá pra usar uma lanterna comum e ver se alguma coisa reflete (a lente da câmera escondida). E levar uma fita isolante para tampar tudo que pareça suspeito.

Para microfone, um detector de rádio frequência pode servir, mas como hoje tem MUITA coisa que emite ondas de rádio, o mesmo detector de calor das câmeras também servem aqui.

Outra forma, é analisar o que está conectado numa rede privada. O exemplo usado é o de uma pessoa que aluga uma casa pelo AirB&B e tem uma câmera gravando tudo. Então, procurar na rede por coisas conectadas pode ajudar a detectar algum e-grampo. O cara sugere o software Fing. Mas teria que estar dentro da rede. E isso não funcionaria num hotel, pois estaria cheio de coisa conectada.

Escanear dispositivos com bluetooth é mais um canto pra olhar.

Surge a pergunta: aquela coisa de ligar TV ou rádio ou a torneira ajuda a “sujar” uma conversa numa sala? Não. Um profissional do grampo consegue facilmente isolar o ruído.

Dicas para quartos de hotel: desligar o rádio-relógio da tomada, ver se os detectores de fumaça são iguais e do mesmo modelo, ver se os chuveirinhos contra-incêndio estão alinhados (devem usar o mesmo cano), verificar a ventoinha do banheiro com lanterna.

Outra opção é trocar de quarto logo que chegar no hotel.

Segurança de Pés Descalços na CriptoTrem

No dia 13/4/19, sábado, estaremos em Belo Horizonte apresentando a estratégia da Segurança de Pés Descalços na CriptoTrem.

Será uma conversaa sobre perspectivas estratégicas da formação e promoção da cultura de segurança.

Horário: às 14:30
Local: galeria Cisso.

A Segurança de Pés Descalços é um Plano Estratégico de Segurança baseado nos princípios de prevenção e autonomia que visa criar e manter as condições para a ação. A “Promoção da Segurança” inicia de forma federada, com coletivos que fomentam a cultura de segurança realizando treinamentos de agentes multiplicadores nos grupos que estão tensionando a transformação social. Com o passar do tempo, buscamos que ela se descentralize, tornando-se uma cultura de segurança que se sustente, se propague e se reinvente. Essa estratégia é aberta como um código aberto em software; usamos “bibliotecas” públicas e testadas, toda informação contida no treinamento pode ser encontrada por outros meios, e incentivamos o compartilhamento e a ramificação desse “código”.