ANATEL: Vigilância sem querer querendo

Trecho do relatório Vigilância das Comunicações pelo Estado Brasileiro.

“No exercício de sua competência para expedição de normas infralegais (art. 19 da Lei nº 9.472/97), as resoluções, e no exercício de sua função de regulação das telecomunicações, a Agência Nacional de Telecomunicações (ANATEL) organiza a prestação de serviços e concretiza direitos de usuários, mas não sem criar significativo potencial de vigilância. A falta de precisão e clareza de suas resoluções e de transparência em sua atuação colaboram para a fragilidade da proteção de usuários de serviços de telecomunicações à vigilância ilegítima do Estado.

OBRIGAÇÕES DE PRESTADORES DE SERVIÇOS DE TELECOMUNICAÇÕES

A Resolução nº 426/05 – Regulamento do Serviço Telefônico Fixo Comutado obriga, no art. 22, que “todos os dados relativos à prestação de serviços, inclusive os de bilhetagem”, sejam guardados por prestadoras de serviço de telefonia fixa (tais como Vivo e NET) “por um prazo mínimo de 5 anos”, sem precisar quais dados são esses, por quem e a que fins poderão ser usados. Não há normas específicas de segurança sobre a forma como devem ser guardados os dados: o art. 23 apenas estabelece que é responsabilidade de provedores zelar pelo sigilo dos dados. No art. 24, determina-se que prestadores de serviços de telefonia fixa tenham à disposição recursos tecnológicos e facilidades necessárias para a suspensão de sigilo das telecomunicações, decorrente e nos limites de ordem judicial, e que elas próprias devem arcar com os custos financeiros de tais tecnologias.

A Resolução nº 477/07 – Regulamento sobre Serviço Móvel Pessoal determina, no art. 10, XXII, que prestadoras de telefonia móvel (tais como Vivo, Claro, Tim e Oi) manterão, pelo prazo mínimo de 5 anos, “à disposição da Anatel e demais interessados, documentos de natureza fiscal, os quais englobam dados da ligações efetuadas e recebidas, data, horário de duração e valor da chamada, bem como informações cadastrais dos assinantes, em conformidade com o que prescreve o art. 11 da Lei 8.218/91 […]”, o qual obriga pessoas jurídicas a manterem documentos fiscais à disposição da Receita Federal pelo prazo decadencial previsto na legislação tributária, que é de 5 anos. Os arts. 42 e 58 estabelecem, ainda, “dados pessoais mínimos” para adesão de usuário a serviço de telefonia móvel (nome, número do documento de identidade e número do registro Ministério da Fazenda). Na prática, isso torna o cadastro de uma linha móvel dependente de um CPF, por exemplo, dificultando o uso anônimo.

A lógica da obrigação de guarda de dados relativos à prestação de serviço de telefonia por 5 anos e sua justificativa para fins fiscais e fiscalizatórios da ANATEL são indicadas pelos termos do citado art. 10, XXII da Resolução nº 477/07. Ambas as normas que estabelecem obrigações de guarda de dados na telefonia fixa e móvel sustentaram por longo período, contudo, a conveniência da disposição desses dados para fins investigatórios e persecutórios do Estado. A Lei nº 12.850/13 (“Lei das Organizações Criminosas”), que obrigou empresas de telefonia a guardarem dados expressamente a estes fins, é apenas de 2013. Além disso, os termos das resoluções instituem obrigações de guarda de dados mesmo quando os tipos de serviço se referem a tarifas fixas (flat rates), quando a duração de uma chamada ou o número a que se ligou não afetam a cobrança final do usuário que será tributada. A extrapolação da vigilância da ANATEL para outros fins fica, portanto, evidenciada.

A Resolução nº 614/13 – Regulamento do Serviço de Comunicação Multimídia obriga provedores de conexão à Internet (tais como Vivo e NET) à guarda de registros de conexão e de dados cadastrais de assinantes pelo prazo mínimo de 1 ano, em seu art. 53. A definição de registros de conexão está fixada pelo art. 4º, XVII (conjunto de informações referentes à data e hora de início e término de uma conexão à Internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados, entre outras que permitam identificar o terminal de acesso utilizado). O prazo menor se comparado às obrigações relativas à telefonia e a clareza na definição do que deve ser guardado pode ser atribuída ao fato de a resolução ter sido elaborada no contexto de discussão da Lei nº 12.965/14 (“Marco Civil da Internet”) e da publicidade de decisões internacionais contrárias à retenção de dados, que receberam especial atenção da comunidade acadêmica e da sociedade civil.9

ACESSO DIRETO A DADOS

O acesso da ANATEL a documentos fiscais de prestadoras de serviços, os quais, como visto, contêm informações cadastrais de clientes, registros e valores de chamadas, é admissível, em regra, para fins fiscalizatórios, por meio de requisição da agência ao prestador. Reportagem do jornal Folha de São Paulo de 201110 revelou as intenções da agência de possuir acesso direto e sistemático a tais dados por meio da construção de infraestrutura que permitisse acesso online irrestrito à ANATEL, com o objetivo de modernizar sua fiscalização. À época, a agência declarou que o acesso a registros de chamadas somente ocorreria com autorização de usuário que fizesse reclamação à agência11 e que os software a serem instalados permitiriam apenas fornecimento de “informações em estado bruto” das prestadoras, não conectadas a dados cadastrais.12 O art. 38 da Resolução nº 596/12 da ANATEL instituiu as obrigações às prestadoras de serviços de telefonia de fornecer dados, permitir o acesso e disponibilizar o acesso online a aplicativos, sistemas, recursos e facilidades tecnológicos utilizados por elas “para coleta, tratamento e apresentação de dados, informações e outros aspectos”, confirmando as intenções da agência. As modulações da ANATEL acerca da necessidade de autorização do usuário para acesso e de especificação acerca dos dados cujo acesso é direto não encontraram especificações nessa resolução, contudo.”

Compartilhe sua chave pública pgp

Se você está com dificuldades em compartilhar sua chave pública pgp, aqui segue um passo a passo.

Aviso: a melhor forma de passar sua chave para alguém é fazendo-o AO VIVO. Passe por um pendrive ou entregue em mãos a impressão digital da sua chave para a colega; assim ela poder baixar sua chave de um servidor de chaves (veja como subir sua chave num servidor de chaves pgp)

Temos duas opções quando usamos o Thunderbird:

Vá em Menu -> Enigmail -> Gerenciador de Chaves

1. Copiar a chave e colar no corpo do email

No Gerenciador de Chaves do Enigmail, selecione seu email na lista de chaves e clique em Editar -> Copiar Chave Pública para a Área de Transferência:

Componha um novo email para a pessoa para a qual deseja enviar sua chave e cole-a no corpo do email.

2. Compor um novo email com sua chave anexa

No Gerenciador de Chaves do Enigmail, selecione seu email na lista de chaves e clique em Arquivo -> Enviar Chave Pública por Email:

Escolha a destinatária, escreva uma mensagem bonita e envie!

Guia para Defensores de Direitos Humanos

Guia de Proteção para Defensoras e Defensores de Direitos Humanos, da Justiço Global – PDF

“A experiência adquirida nas Oficinas de proteção, o intercâmbio constante com defensores de direitos humanos (DDHs) em situação de ameaça ou criminalização, as análises e avaliações realizadas tanto no âmbito do CBDDH quanto com as Coordenações Nacional e Estaduais do Programa de Proteção à Defensores de Direitos Humanos (PPD- DH), incentivaram a Justiça Global a produzir este Guia de Proteção, tentando trazer para as análises de riscos e estratégias de proteção uma aproximação ainda maior ao contexto que aqui vivemos.”

Avaliando seus riscos [EFF]

do site da Eletronic Frontier Foundation. O texto foi levemente alterado na nossa revisão.

Avaliando Seus Riscos

Última revisão:

07-09-2017

A versão em Inglês pode estar mais atualizada.

Tentar proteger todos os seus dados de todas as pessoas e todo o tempo é impraticável e extremamente cansativo. Mas não se preocupe! Segurança é um processo, e através de planejamento cuidadoso você pode avaliar o que é o ideal para você. Segurança não se trata das ferramentas que você utiliza ou dos programas que baixa. Ela começa com a compreensão de quais são as ameaças específicas que você enfrenta e como você pode combatê-las.

Em segurança da informação, uma ameaça é um evento potencial que pode tornar menos efetivos os esforços que você faz para defender seus dados. Você pode combater as ameaças que enfrenta quando entende quais coisas precisa proteger, bem como de quem precisa protegê-las. Este processo é chamado de modelagem de ameaças.

Este guia lhe ensinará como modelar ameaças, ou como avaliar os riscos aos quais suas informações digitais estão expostas e determinar quais as melhores soluções para você.

Como é o processo de modelagem de ameaças? Digamos que você deseja manter sua casa e seus bens seguros… Aqui estão algumas perguntas para você fazer a si mesma:

O que tenho dentro da minha casa merece ser protegido?

  • Ativos podem incluir jóias, eletrônicos, documentos financeiros, passaportes ou fotos.

De quem eu quero proteger estes ativos?

  • Adversários podem incluir: ladrões, colegas de quarto e visitas.

O quão provável é que eu precise proteger estes ativos?

  • Minha vizinhança tem um histórico de roubos? O quão confiável são meus colegas de quarto/visitas? Quais são os recursos de meus adversários? Que riscos devo considerar?

O quão graves serão as consequências caso eu falhe?

  • Tenho alguma coisa na minha casa que eu não tenha como repor? Tenho tempo ou dinheiro para repor ativos? Tenho um seguro que cubra ativos roubados da minha casa?

Até onde estou disposta a ir para me prevenir destas consequências?

  • Estou disposta a comprar um cofre para documentos importantes? Tenho recursos para comprar uma fechadura de alta qualidade? Tenho tempo para alugar um cofre no meu banco e manter meus objetos de valor neste cofre?

Uma vez que tenha se feito estas perguntas, você estará em condições de avaliar que medidas deve tomar. Se suas posses são valiosas mas o risco de um roubo à sua casa é baixo, então talvez você decida não investir muito dinheiro em uma fechadura. Por outro lado, se o risco for alto você desejará comprar a melhor fechadura do mercado e ainda instalar um sistema de segurança.

Construir um modelo de ameaça lhe ajudará a entender as ameaças específicas que você corre e a avaliar seus ativos, seus adversários e os recursos que estes adversários possuem, bem como a probabilidade de que tais riscos se tornem realidade.

O que é modelagem de ameaças e por onde começo?

A modelagem de ameaças lhe ajuda a identificar ameaças às coisas que você dá valor e a determinar de quem precisa protegê-las. Quando estiver construindo um modelo de ameaça, responda a estas cinco perguntas:

  1. Que coisas quero proteger?
  2. De quem quero protegê-las?
  3. O quão graves serão as consequências caso eu falhe?
  4. O quão provável é que eu precise protegê-las?
  5. Até onde estou disposta a ir para tentar evitar potenciais consequências?

Vamos avaliar uma a uma estas perguntas.

Que coisas quero proteger?

Um “ativo” é algo ao qual você dá valor e que deseja proteger. No contexto de segurança digital, um ativo é normalmente algum tipo de informação. Por exemplo: seus e-mails, lista de contatos, mensagens instantâneas e arquivos são todos possíveis ativos. Seus dispositivos também podem ser ativos.

Faça uma lista de seus ativos: dados que você mantém, onde eles são mantidos, quem tem acesso a eles, e o que impede que outros os acessem.

De quem eu quero protegê-las?

Para responder a esta pergunta, é importante identificar quem pode ter você ou suas informações como alvo. Uma pessoa ou entidade que represente uma ameaça aos seus ativos é um “adversário”. Exemplos de potenciais adversários são seu chefe, seu ex-cônjuge ou ex-namorado(a), seu concorrente, seu governo, ou um hacker numa rede pública.

Faça uma lista de seus adversários, ou daqueles que possam ter interesse em ter acesso aos seus dados. Sua lista pode incluir pessoas, agências governamentais ou empresas.

Dependendo de quem sejam seus adversários, em alguns casos pode ser que você queira destruir essa lista após terminar sua modelagem de ameaça.

O quão graves serão as consequências caso eu falhe?

Existem diversas formas pelas quais um adversário pode ameaçar seus dados. Por exemplo, um adversário pode ler suas comunicações pessoais enquanto tem acesso à rede, ou pode apagar ou corromper seus dados.

Os objetivos dos adversários diferem enormemente, assim como suas formas de atacar. Um governo tentando evitar a disseminação de um vídeo que mostra violência policial pode se satisfazer simplesmente apagando ou reduzindo a disponibilidade deste vídeo. Por outro lado, um adversário político pode querer ter acesso a conteúdos secretos e publicar este conteúdo sem que você saiba.

A modelagem de ameaças envolve compreender o quão graves as consequências podem ser caso um adversário ataque com sucesso um de seus ativos. Para chegar a esta conclusão, você deve levar em conta os recursos dos quais seu adversário dispõe. Por exemplo, sua operadora de telefonia móvel tem acesso a todas as suas ligações e, consequentemente, a capacidade de usar estes dados contra você; um hacker numa rede Wi-Fi aberta pode acessar suas comunicações não criptografadas; já seu governo pode ter recursos ainda mais abrangentes.

Coloque num papel o que o seu adversário pode querer fazer com seus dados privados.

O quão provável é que eu precise protegê-las?

Risco é a probabilidade de que uma ameaça específica contra um ativo específico efetivamente venha a se concretizar. Ele é sempre proporcional à capacidade [do adversário e à sua vulnerabilidade]. Apesar de sua operadora de telefonia celular ter a capacidade de acessar todos os seus dados, o risco de que ela poste seus dados online para prejudicar sua reputação é baixo.

É importante distinguir entre ameaças e riscos. Enquanto uma ameaça é algo ruim que pode ocorrer, risco é a probabilidade de que esta ameaça seja levada a termo. Por exemplo, sempre há a ameaça de que seu prédio possa desmoronar, mas o risco de isso acontecer é bem maior em Lima, no Peru (onde terremotos são comuns) do que em Salvador (onde eles não são).

Efetuar uma análise de risco é ao mesmo tempo um processo pessoal e subjetivo: nem todas as pessoas têm as mesmas prioridades ou enxergam ameaças da mesma forma. Muitas pessoas acham certas ameaças inaceitáveis, independente do risco delas ocorrerem, porque a mera presença da ameaça, por menor que seja o risco, não compensa. Em outros casos, pessoas desprezam riscos altos porque não veem a ameaça como um problema.

Coloque num papel quais ameaças você deseja levar a sério, e quais são tão raras ou tão sem consequências (ou difíceis de combater) que não vale à pena se preocupar.

Até onde estou disposta a ir para tentar evitar potenciais consequências?

Responder a esta pergunta requer a realização da análise de riscos. Nem todas as pessoas têm as mesmas prioridades ou enxergar as ameaças da mesma maneira.

Por exemplo, uma advogada que representa um cliente em um caso de segurança nacional provavelmente estará disposta a utilizar mais recursos para proteger as comunicações sobre o caso, como por exemplo utilizar e-mails criptografados, do que um pai que regularmente envia à sua filha e-mails com vídeos engraçados de gatos.

Coloque num papel as opções disponíveis para ajudá-la a atenuar as ameaças que você enfrenta pessoalmente. Leve em conta suas restrições de orçamento, técnicas, ou sociais.

Modelagem de ameaças como uma prática regular

Tenha em mente que seu modelo de ameaça pode mudar de acordo com a mudança da sua situação pessoal. Desta maneira, conduzir modelagens de ameaça frequentes é uma boa prática.

Crie seu próprio modelo de ameaça baseado em sua situação única. Feito isso, marque em sua agenda uma data no futuro para rever este modelo de ameaça e verificar se ele ainda se enquadra na sua situação.

Como criar uma máscara de email

Máscara de email é um endereço de fachada criado sobre uma conta de email principal. Dependendo do servidor de email, essa opção está disponível ou não.Os emails enviados para a máscara são recebido na caixa de entrada da conta principal. Preste atenção na hora de escolher qual email será usado para responder às suas máscaras.

Você pode criar uma máscara de email por diversos motivos, como por exemplo, para despistar o seu endereço principal sem ter que criar uma nova conta ou organizar os seus diferentes perfis virtuais que atuam nos coletivos que você participa. Obviamente, é sempre bom ter formas de contato não vinculadas à sua identidade burocrática (seu nome registrado nas bases de dados do Estado), como emails com pseudônimos.

No momento que inventou-se o webmail, todo mundo ficou maravilhado: “uau, vou poder ver minhas mensagens a partir de qualquer computador que esteja conectado na internet”. Só que criou-se um problema que antes não existia: é um saco ficar mudando de conta e checando email pelo navegador. Não dá para abrir no mesmo navegador diversas contas de email do mesmo provedor (por causa dos cookies). A solução milenar é usar um cliente de emails instalado no seu computador pessoal (hoje, mais do que nunca, os computadores finalmente são pessoais, e isso é bem importante para a sua privacidade e segurança).

Então, não se assuste. Crie quantas contas de email quiser e administre-as todas a partir do mesmo cliente de emails, como o Thunderbird. Para cada uma das suas contas (que são dedicadas a funções diferentes), crie as máscaras de email que precisar.

Email é uma forma de comunicação federada com opção de criptografia forte ponta a ponta e que funciona em qualquer sistema operacional ou espertofone.

(Se você está procurando um email descartável para receber um confirmação de cadastro e nunca mais vai usar a conta, então utilize um serviço como https://www.guerrillamail.com/.)

Como criar uma máscara de email no Riseup.net

Entre no endereço de configuração de usuário: https://user.riseup.net

Clique em Configurações de Email e em seguida na aba Aliases. No campo New Aliases escreva um endereço válido completo do riseup. Se o endereço já estiver sendo usado, você será avisado e terá que escolher outro.

Pronto.

No caso do Riseup, uma vantagem, em termos de segurança, do uso de máscaras é que no cabeçalho do email não aparece o email principal. Outros provedores muito provavelmente deixam esse rastro no “código fonte” do email.

Como criar uma máscara de email no Autistici.org

Entre no endereço de configuração de usuário: https://www.inventati.org/pannello/login

Clique no ícone da da engrenagem, ao lado do botão de webmail e em seguida no item Manage Aliases. Abaixo de Create new alias, preencha com um endereço válido e selecione um dos domínios oferecidos pelo Autistici. Se o endereço já estiver sendo usado, você será avisado e terá que escolher outro.

No caso do Autistici, é apenas possível usar uma máscara de email como uma identidade vinculada ao email principal já que o servidor revela o endereço do email principal no cabeçalho.


Configurando máscara de email no Thunderbird

Caso você use máscaras de email para administrar melhor suas comunicações por email, é bem útil configurá-las no seu cliente de email. Aqui descreveremos como se faz isso no Thunderbird.

Clique no ícone de Menu, vá na opção Preferências e depois em Configurações de Conta.

Nas página inicial das configurações da sua conta principal, aquela onde você criou sua máscara e clique em Gerenciar Identidades abaixo à direita.

Em seguida, clique em Adicionar.

Uma janela aparecerá com as configurações da sua máscara. Coloque ali o endereço da máscara, preencha as opções de nome, organização, assinatura, se quiser e pronto.

Agora, na hora de enviar um email, no campo Remetente você poderá escolher sua máscara.

Criptografando para uma lista de email

Para podermos manter criptografas as conversas que realizamos nas listas de email, tem um jeito bem simples que é o seguinte:

1) Todas as pessoas da lista criam as chaves pgp para seus emails.

2) Essas chaves são trocadas preferencialmente ao vivo entre as pessoas que compõem a lista.

3) (Estou assumindo que você não abre seus emails no webmail!) Abra seu cliente de email que está integrado ao enigmail [1, 2] (por exemplo, o Thunderbird), clique naquele botão de menu, que está escondido no lado direito parte de cima, vá na opção “Enigmail” e depois clique em “Editar Regras por Destinatários” (ou em inglês, como mostra a imagem)

4) Adicione uma nova regra.

5) Coloque o endereço da lista no campo mais acima e depois selecione as chaves públicas das pessoas que compõem a lista (inclusive a sua própria).

 

Pronto! Agora todo mundo da lista receberá mensagens criptografadas que só poderão ser lidas por quem estiver contido naquela “regra”. Lembre-se que todo mundo da lista deverá utilizar a mesma configuração de “regra para destinatário”.

Manual de Segurança Holística – Prefácio

Baixe o manual aqui.

 

Prefácio pelo coletivo Mariscotron:

Há poucos dias recebi a notícia de que os 23 ativistas envolvidos nas jornadas de junho de 2013 que haviam sido perseguidos pela polícia do Rio de Janeiro foram sentenciados a 7 anos de prisão. Isso lembrou-me novamente por que o nosso coletivo existe e da importância do que fazemos.

O ano de 2013 foi um aprendizado político para muita gente no Brasil. Porém, na verdade, o que havia começado com uma tradicional manifestação do MPL contra o aumento da passagem logo se transformou em nossa versão local da falência da democracia. Foi algo semelhante ao que estava ocorrendo em outros lugares do mundo como no Movimento de Ocupações de Praças na Espanha e Grécia, o movimento Occupy nos EUA e a Primavera Árabe. Centenas de milhares de pessoas nas ruas tentando desesperadamente ser atores políticos (mesmo que momentaneamente, para em seguida abdicar do poder que conquistaram). Dentro do nosso escopo enquanto coletivo, um dos desdobramentos mais importantes daquele momento aconteceu no que chamamos de tecnopolítica.

Recentemente, foi muito fácil notar a influência recíproca entre tecnologia e política. Em 2018, vimos a manipulação do eleitorado através da influência psicológica massiva usando dados do Facebook. A empresa Cambridge Analytica virou escândalo mundial após a revelação de que os partidários da saída da Inglaterra da União Europeia e da entrada de Trump no governo dos EUA usaram seus serviços para obter a vitória. Esses acontecimentos chamaram atenção para algo que por 40 anos Chomsky vinha tentando denunciar, o Consenso Fabricado. Hoje, alegando temer esse tipo de manipulação e a circulação de notícias falsas nas primeiras eleições pós-golpe, o Supremo Tribunal Eleitoral brasileiro disse que irá recrudescer a “ronda eletrônica” e não cansa de alardear que cancelará as eleições caso for necessário.

Entretanto, nas jornadas de junho de 2013, a interseção entre tecnologia e política seguia outro algoritmo: a vigilância. Foi justamente naquele ano que Snowden revelou o escandaloso uso que a agência de inteligência gringa faz da rede mundial de computadores: uma captura massiva de dados. Descobrimos a vigilância de arrasto: não eram mais as pessoas suspeitas ou terroristas em potencial que estavam na mira do Estado, mas absolutamente todos os cidadãos.

A situação é muito mais perturbadora aqui nos países dependentes de infraestrutura tecnológica do que os gringos em geral e Snowden, com seu nacionalismo inocente, pensam: todas as nossas comunicações (serviços como Gmail, Facebook, pagamentos online, etc.) passam pelo território estadunidense – logo, podem ser melhor vigiadas. Através do vazamento que saiu no portal do Wikileaks em 2015, tivemos finalmente a evidência de que a então presidenta Dilma Rousseff estava sendo grampeada pelos tecnocratas da gringolândia desde 2013. Depois dessa, o governo brasileiro anunciou a construção de um cabo submarino dedicado à internet ligando o Brasil diretamente à Europa.

Foi essa a mesma presidenta que, durante sua campanha para a reeleição no final de 2014, afirmava com muita pompa que o mais importante legado da Copa do Mundo realizado nesse mesmo ano no Brasil havia sido a integração dos sistemas de inteligência da Polícia Civil, Polícia Militar, Abin, Departamento Penitenciário Federal, etc. Ou seja, um aparato de vigilância total que estava sendo montado desde 2011 com a desculpa dos megaeventos, Copa e Olimpíadas (2016). Que oportunidade para a democracia mostrar sua função social!

É no meio dessa sequência sinistra de eventos que minam nossa liberdade que surge, então, o coletivo Mariscotron. No final de 2014, nos reunimos e decidimos montar uma oficina sobre comunicação segura no hackerspaço local. Tínhamos em vista o uso desleixado e perigoso que ativistas vinham fazendo da internet. Por exemplo, houve chamadas para vandalismo na página de Facebook “oficial” do black bloc da cidade do Rio de Janeiro. Nessa época, já havíamos entendido a necessidade da criptografia, mas ainda estávamos presos na ideia de “qual software vai nos salvar?”. Claro, isso é um exagero: nossas oficinas eram longas conversas carregadas de críticas à tecnologia e à “mentalidade de consumidor”, essa forma acrítica e “intuitiva” de usar computadores, espertofones e a internet. Conhecimento livre e direitos autorais, código aberto e proprietário, protocolos federados e privados, exposição e anonimato. Em poucos meses, uma compreensão mais aprofundada sobre a diferença entre paranoia e anonimato foi, na minha opinião, o que transformou nosso enfoque. Como a galera do coletivo Saravá dizia, segurança é aquilo que nos protege para agir, enquanto a paranoia é o que nos impede qualquer ação. Eis o salto qualitativo: como os softwares estão sempre nascendo e morrendo (e se transformando, como o caso do Signal que nasceu do protocolo federado OTR, se fechou impedindo a federalização com o LibreSignal, que não usava os serviços da Google, e acabou se “vendendo” para o WhatsApp), a parte prática de nossas oficinas, para além das maravilhosas análises críticas sobre tecnopolítica, passaram a focar em ações que aumentassem a autonomia dos grupos ativistas. Os movimentos por transformação política não podiam ficar reféns de softwares, corporações ou especialistas, nem se paralisar na paranoia da ignorância tecnológica. Era preciso que criassem as condições para tomarem suas próprias boas decisões visando o contexto específico de suas ações.

É aqui que este livro, Segurança Holística, aparece em nosso caminho. Olhar para o conceito de risco como aquilo que restringe nosso espaço de trabalho ou de segurança como bem-estar em ação foram mudanças cruciais em nossa compreensão de mundo e forma de atuação. Passamos a ter mais confiança em nossa abordagem, assim como manter um foco claro sobre nosso objetivo: promover uma cultura de segurança.

Como toda cultura, essa é um conjunto de ações e compreensões que visa especificamente nossa capacidade de agir bem e manter nossa energia para transformação política. É algo que parte de cada pessoa, mas que só ganha sentido em coletivo. Sua força se manifesta no campo social.

Os coletivos de ação direta ambientalistas dos anos 1980 resumiram sua cultura de segurança em três frases: não fale o que não precisa ser dito, não pergunte o que não precisa saber e o “não” é uma resposta válida para uma pergunta desnecessária. A segurança holística, entretanto, adicionalmente à infiltração e repressão, traz à nossa atenção o cuidado psicológico, tanto individual como socialmente, para podermos fazer nosso ativismo e mantê-lo operando.

A segurança holística também nos ajudou a pensar contextualmente. Em muitas oficinas durante o início do coletivo, apresentávamos o cenário tecnológico desde uma perspectiva global, onde era preciso atuar em todas as frentes imagináveis. Tínhamos “boas soluções” para senhas, comunicação, aplicativos, reuniões, infiltração, etc. Mesmo sabendo que não existe segurança total, naquela época, a medida do sucesso para nós era o quão perto estávamos do uso absoluto da criptografia e da prática do sigilo. Esse é um enfoque que avalia o inimigo como sendo extremamente poderoso e onipresente. Obviamente, sabíamos das dificuldades de causar uma mudança pública e manter o anonimato ao mesmo tempo. Porém, estando imerso nos desdobramentos dos anos de 2013 e 2014 e frente a violência do Estado e das empresas, isso pareceu o mais sensato. A perseguição política também é parte do jogo democrático. Não existe democracia sem prisões, polícia, fronteiras ou guerra. Qualquer pessoa ou grupo que se posicione contra ou questione o status quo mais cedo ou mais tarde sofrerá represálias. A situação recente da Nicarágua é exemplar: uma população que rejeita a perda de direitos é recebida com franco atiradores. Já são mais de 400 mortos e 260 desaparecidos.

Olhar os riscos contextualmente, então, mudou completamente essa visão. A análise em grupo de nossas capacidades e medidas de segurança atuais, assim como do risco presente em nossas ações deixa mais claro como podemos atuar melhor e trabalhar sobre nossas vulnerabilidades. Quem são nossos aliados e inimigos declarados? Quais atores podem mudar de lado? De onde brota nosso medo quando atuamos? Temos nos alimentado bem? Algo mudou na “normalidade” do dia a dia? Como está nossa comunicação interna, as tensões dentro do grupo? Precisamos de ajuda externa? Temos planos de emergência para eventos chave? Enfim, é uma série de questões que melhora nossa compreensão do que fazemos e estimula nossa criatividade para encontrar saídas não pensadas antes.

Porém, não precisamos descartar nosso acúmulo anterior. Percebi que, no fundo, o que visávamos com uma segurança digital “total” era a preservação de valores muito importantes para a manutenção da liberdade na internet. Ou seja, basicamente defendíamos a circulação livre de informação e não-militarização do espaço virtual. Sabendo que nosso primeiro enfoque era a comunicação segura, usar softwares de código livre e aberto assim como incentivar e defender nossa privacidade (dos de baixo) eram temas recorrentes que continuam fazendo sentido.

Esta tradução é, então, parte de nosso aprendizado. Não somos todas especialistas nem temos diplomas. Durante este trabalho, dividi meu tempo entre escrever, plantar e cozinhar comida, construir uma casa, trabalhar e fortalecer relações, programar software, viajar, tomar banhos de rio, CryptoRaves e tudo o mais que compõe uma vida que busca reduzir as inter-mediações criadas pelo Estado e pelo consumo. Sou grato a minhas amizades, que me acolheram e ajudaram no dia a dia durante a tradução, mesmo não tendo nada a ver com a produção do livro. Este foi meu “financiamento”.

Desde o lançamento de Segurança Holística em português na CryptoRave 2018 em São Paulo, começamos a organizar um treinamento para coletivos e grupos de esquerda pela transformação social. Esperamos que o livro contribua para manter nosso ativismo forte e nossas vidas cheias de energia.

Crianças e adolescentes como agentes ativos na configuração da privacidade

04/07/2018

Por Patricio Velasco F., pesquisador da ONG Derechos Digitales | #Boletim17


O aumento do acesso a novas tecnologias e em especial o crescimento da quantidade de crianças e adolescentes que possuem celular com conexão à internet implica em numerosas consequências no momento de exercer direitos humanos fundamentais como a privacidade.

Uma boa maneira de abordar a questão é considerar os números do fenômeno. Por exemplo, segundo os dados da pesquisa Kids Online aplicada no Brasil em 2016, 85% das crianças e adolescentes acessam a internet no celular (sem que existam diferenças significativas segundo o nível socioeconômico das famílias nem o sexo dos respondentes). Esse tipo de dado não é excepcional no contexto regional. A queda nos preços dos dispositivos e a ampliação da infraestrutura de internet permitiram uma crescente massificação do acesso à rede na América Latina.

O acesso massivo à internet e sua maneira particular de uso tem, igualmente, outras implicações. Com a ampliação da conectividade através de celulares, os usos que crianças e adolescentes podem fazer dessas tecnologias se multiplicam e, além disso, o eventual controle preventivo que os adultos responsáveis pelos menores podem exercer a respeito da navegação de crianças e jovens também é restrito (Byrne, Kardelfelt-Winther, Livingstone, & Stoilova, 2016). O controle não pode ser permanente e o conhecimento que crianças e adolescentes adquirem sobre as novas tecnologias pode deixar os adultos rapidamente desatualizados, configurando um cenário onde são os menores que se “alfabetizam” com maior rapidez sobre os novos desenvolvimentos tecnológicos (Ólafsson, Livingstone, & Haddon, 2013).

Além disso, é necessário considerar um terceiro elemento relevante: o modo que crianças e adolescentes experimentam a conectividade. A experiência da internet tem sido mediada principalmente pelo uso de plataformas que são acessadas através de aplicativos para celular. No caso chileno, por exemplo, 80% das crianças e adolescentes declaram ter utilizado redes sociais nos últimos meses.

Essa configuração, considerando um amplo acesso à internet através de dispositivos pessoais, alto nível de familiaridade com as novas tecnologias e a prevalência de redes sociais implica em desafios significativos no momento de abordar a pergunta sobre privacidade online.

Para autores como Boyd, a proliferação da conectividade através de redes sociais com ênfase no uso feito por crianças e adolescentes influiu em uma mudança do que compreendemos por privacidade online. Assim, se antes para conseguir publicidade era necessário mobilizar e gerir recursos, atualmente estaríamos frente a um cenário onde se compreende que o que é público se encontra determinado “por padrão”; enquanto o que é privado opera como uma construção que requer não apenas mobilizar recursos, mas também desenvolver estratégias que sejam capazes de estabelecer limites ao acesso e difusão dos conteúdos gerados.

Essa mudança na compreensão da privacidade possui amplas consequências na hora de avaliar o comportamento online de crianças e adolescentes. Além dos perigos que o uso de informação pessoal de terceiros pode implicar (que já foi amplamente exposto no debate sobre a Cambridge Analytica) é necessário situar essa preocupação no contexto de uma crescente transformação da vida social em dados, onde as experiências são registradas através de diversos sensores e dispositivos, formando um rastro duradouro da vida das crianças que se socializaram através dessas plataformas (Lupton & Ben Williamson, 2017).

Então devemos nos perguntar novamente em que implica e como se configura a privacidade online para crianças e adolescentes. Para Balleys & Coll, a privacidade se refere à capacidade de gerir a intimidade de uma pessoa com seus pares, o que implica que se configure como uma forma de capital que permite a crianças e adolescentes consolidar seus vínculos e status. Essa gestão da intimidade poderia estar representada nas diversas formas em que os menores se relacionam com as plataformas online e, particularmente, com as restrições que estabelecem de sua participação nelas.

Pelo que acabamos de mencionar, é importante avaliar quais são as habilidades e capacidades que crianças e adolescentes demonstram em redes sociais ao configurar sua privacidade online. Assim, antes de focar na privacidade como conceito abstrato, é possível verificar quais são os recursos que efetivamente são mobilizados para definir o que cada um quer resguardar como privado. Ao adotar essa abordagem, surgem novas perguntas: Todas as crianças e adolescentes estão em igualdade de condições para mobilizar tais recursos e configurar a sua privacidade online? Com relação a isso, foi apontado que a alfabetização digital e o desenvolvimento de habilidades online reproduz as desigualdades sociais de base (Helsper, van Deursen, & Eynon, 2015), questão que em contextos como o latino-americano, com amplas diferenças entre os diversos estratos socioeconômicos, pode resultar ainda mais urgente.

Dessa maneira, estamos frente a um cenário complexo: o exercício da privacidade não só implica gerir recursos, mas também esses recursos não estão igualmente disponíveis para toda a população. Em termos de habilidades online, essas lacunas são particularmente significativas. Como exemplo, e considerando novamente os dados da Kids Online Brasil, é possível apontar que 74% das crianças e adolescentes dos estratos altos sabem como mudar a sua configuração de privacidade em redes sociais, em comparação com somente 50% de quem pertence ao estrato mais baixo.

Perante essa situação é necessário desenvolver estratégias que favoreçam a criação e gestão de recursos que permitam que crianças e adolescentes sejam agentes ativos na configuração da sua privacidade online. Isso implica enfatizar o desenvolvimento de habilidades e estratégias para um uso seguro da internet, capazes de considerar que, no cenário atual, a privacidade não é um conceito estático, mas uma implementação prática e cotidiana. Para isso é imperativo habilitar não somente as próprias crianças e adolescentes, mas também os adultos que formam parte do seu processo educativo, tanto nas famílias como em estabelecimentos educacionais.

Então devemos nos orientar pensando no desenvolvimento de programas que permitam aos menores discernir o que querem manter no âmbito privado e quais são as ferramentas e estratégias tecnológicas efetivas para esse fim. Assim, estaremos permitindo que crianças e adolescentes desenvolvam competências digitais para a construção da sua própria privacidade online, sem que isso presuma que um determinado conteúdo deva ser resguardado. É relevante que essa formação seja capaz de reconhecer as diferentes identidades étnicas, religiosas e sexuais existentes na sociedade, permitindo assim que a participação online de crianças e adolescentes respeite as diferenças culturais, enquanto lidamos com as lacunas de classe que podem incidir na gestão da privacidade.

Atenção usuários de PGP: Novas vulnerabilidades exigem que você aja agora

do site da EFF.

13 de maio de 2018

Um grupo de pesquisadores de segurança europeu publicou um aviso sobre um conjunto de vulnerabilidades que afetam usuários de PGP e S/MIME. A EFF está em contato com essa equipe de pesquisa e pode confirmar que essas vulnerabilidades colocam um risco imediato para as pessoas que usam essas ferramentas de comunicação por email, incluindo a potencial exposição do conteúdo de mensagens antigas.

Todos os detalhes serão publicados em um artigo na próxima terça-feira às 7:00 AM UTC. Para reduzir os riscos no curto prazo, nós e a equipe de pesquisa acordamos em alertar a comunidade de usuários de PGP antes da sua publicação.

Nosso conselho, que é o mesmo que o da equipe, é desabilitar ou desinstalar imediatamente as ferramentas que descriptografam automaticamente os emails criptografados com PGP. Até que as falhas descritas no artigo sejam melhor compreendidas e corrigidas, usuários devem conseguir formas alternativas de comunicação segura de ponta-a-ponta, tais como Signal, e parar temporariamente de enviar, e especialmente de ler, emails criptografados com PGP.

Por favor, use os seguintes guias para saber como desabilitar temporariamente os plugins de PGP em:

Thunderbird com Enigmail

Apple Mail com GPGTools

Outlook com Gpg4win

Esses passos buscam ser paliativos temporários e conservadores do ponto de vista da segurança até que os riscos imediatos dessas falhas passem e sejam mitigados.

Lançaremos uma explicação e análise mais detalhada quando mais informações estiveram disponíveis publicamente.