De volta ao básico: custos da privacidade

Segue um resusminho do podcast #115 Back to the Basics: the Costs of Privacy, do OpenSource Intelligence

Se pensarmos em três níveis de custos de segurança, essas são nossa sugestão (da OSInt) de 5 ações para melhorar a privacidade:

De graça:

  • Linux: provavelmente é a mudança mais forte em privacidade digital
  • Gerenciador de Senhas: software local como KeePassXC
  • Comunicações seguras, email e IM:
    • ProtonMail: servidor não tem acesso ao conteúdo (Mariscotron recomenda: riseup.net e autistici.org)
    • Chat no espertophone não é muito seguro, mas use Signal, Wire
  • Remover conteúdo online (Mariscotron recomenda: datadetox kit do Tactical Tech)
  • Eliminar seus usos em redes sociais:
    • se achas precisas usar, crie uma nova conta e recomece do zero
    • não usar os aplicativos das redes no espertofone; acesse pelo navegador (firefox)

Com algum gasto:

  • Endereço Postal: usar um endereço postal comercial para desvincular seu correio do endereço pessoal. Usar UPS Store. (descobrir algo semelhante aqui)
  • Usar uma empresa de telefonia que não pede informação pessoal: Mint Mobile. Totalmente anônimo. Pensando nos seviços GSM.
  • Usar uma bolsinha de Faraday no celular/espertofone enquanto não precisar dele
  • Usar VPN. Se for pagar, encontrar um serviço que aceita pagamento anônimo.
  • Comparar as coias com dinheiro ou com um cartão de crédito/débito pré-pago. Ter vários e ir alterando (descobrir se tem algo semelhante aqui)

Gastando muito dinheiro:

  • Privacy mail Box
  • Comprar um novo celular: crie novas contas (diferentes das do pc)
  • Comprar um novo computador: crie novas contas (diferentes das do espertofone)
  • Mudar de carro
  • Mudar de casa

Como encontrar grampos numa sala?

Segue um resuminho do podcast #119 The Privacy,  Security and OSINT Show, do cara do site Open Source Intelligence

Começa com algumas notícias:

– tem uma versão específica do keepassXC que tem um bug que apaga a base de dados na hora de salvar (!) se tais num Mac e pretendes salvar essa base num volume do veracrypt.

– Tem um novo mercado de fraude digital que é o roubo de impressão digital digital pessoal (digital fingerprint), o que implica em se passar pelo computador e pelos hábitos de navegação de outra pessoa. Os caras tão clonando o jeito que a tua máquina aparece prum servidor. O google não encheria o saco caso um hacker fosse acessar tua conta de qualquer lugar no mundo, pois poderia simular teu ambiente digital.

– SMS bomber. É semelhante ao mail bomber lá dos anos 1990, só que pra SMS. A utilidade desse bombardeio é esconder uma mensagem importante no meio de lixo, como aquele SMS que os bancos mandam quando tu muda uma senha. Se alguém clonou teu celular e pede pra alterar algum dado de um serviço que usa SMS pra mandar avisos, então essa pessoa vai conseguir encontrar o código de autenticação e tu não vais nem saber o que tá acontecendo.

– empregados da amazon ouvem as gravações de áudio da Alexa.


Agora vamos ao tema propriamente dito do podcast.

Sobre descobrir câmeras, o dica do cara, que trabalhou dezenas de anos implantando grampos pelo FBI e hoje está a 12 anos detectando grampos, Tom Gibbons, a dica é comprar uma câmera termográfica (infra-vermelho), pois tudo que está ligado gera calor. Simples assim.

Dá pra usar uma lanterna comum e ver se alguma coisa reflete (a lente da câmera escondida). E levar uma fita isolante para tampar tudo que pareça suspeito.

Para microfone, um detector de rádio frequência pode servir, mas como hoje tem MUITA coisa que emite ondas de rádio, o mesmo detector de calor das câmeras também servem aqui.

Outra forma, é analisar o que está conectado numa rede privada. O exemplo usado é o de uma pessoa que aluga uma casa pelo AirB&B e tem uma câmera gravando tudo. Então, procurar na rede por coisas conectadas pode ajudar a detectar algum e-grampo. O cara sugere o software Fing. Mas teria que estar dentro da rede. E isso não funcionaria num hotel, pois estaria cheio de coisa conectada.

Escanear dispositivos com bluetooth é mais um canto pra olhar.

Surge a pergunta: aquela coisa de ligar TV ou rádio ou a torneira ajuda a “sujar” uma conversa numa sala? Não. Um profissional do grampo consegue facilmente isolar o ruído.

Dicas para quartos de hotel: desligar o rádio-relógio da tomada, ver se os detectores de fumaça são iguais e do mesmo modelo, ver se os chuveirinhos contra-incêndio estão alinhados (devem usar o mesmo cano), verificar a ventoinha do banheiro com lanterna.

Outra opção é trocar de quarto logo que chegar no hotel.

Security Planner

(somente em inglês)

https://securityplanner.org

Improve your online safety with advice from experts
Answer a few simple questions to get personalized online safety recommendations. It’s confidential – no personal information is stored and we won’t access any of your online accounts.

Planejador de Segurança

Melhore sua segurança online com o conselho de especialistas
Responda algumas questões para receber recomendações persolnalizadas sobre segurança online. É tudo confidencial: nenhuma informação pessoal ficará armazenada e não acessaremos nenhuma de suas contas online.

MateAndroid – Oficina de instalação de LineageOS

Nesse domingo, 2/12/18 – 15h, no Tarrafa Hacker Clube, teremos uma oficina de instalação do sistema operacional LineageOS.

A Distribuição Android Lineage OS, é um sistema operacional de código aberto para smartphones e tablets, baseado na plataforma móvel Android. Lançado em 26 de Dezembro de 2016, LineageOS é um projeto que dá sequência ao falecido CyanogenMod, abandonado por seus desenvolvedores, e dá suporte a diversos modelos de telemóveis. Os cinco países onde a ROM é mais popular são: Índia, China, Brasil, Rússia e Alemanha.  Em menos de 1 ano (2017) o sistema já tinha mais de 1,7 milhões de dispositivos rodando o LineageOS, suportando 180 modelos de 23 fabricantes diferentes, e continua mantendo atualizações constantes.  A cada 10 dispositivos Android, 7 são alimentados por uma ROM antiga e insegura e LineageOS permite manter esses aparelhos rodando de forma segura e atualizada.

Segue lista de modelos com suporte:  https://wiki.lineageos.org/devices/

Lembre-se sempre de fazer suas copias de segurança antes de qualquer instalação!

 

Estratégias de Navegação Online

Trecho do projeto https://myshadow.org

Navegue do seu jeito na
sociedade da informação

1. Redução

Menos é mais!

Dados que não são criado não podem ser coletados, analisados, guardados ou vendidos. Essa estratégia está baseada na premissa de que quanto menos dados produzirmos, melhor.

Exemplos:
1. Limite a geração de dados resistindo a dar informações. Você não precisa preencher todos os campos dos formulários de registro.
2. Limpe sua identidade online, apague do seu espertofone os aplicativos que não usa mais, e apague as imagens, emails e mensagens defasadas.
3. Bloqueie acessos indesejados, e instale os complementos Privacy Badger e NoScript para evitar que cookies e scripts de terceiros rodem no seu navegador e coletem seus dados.

2. Ofuscação

Esconda-se na multidão!

Confunda as empresas com ruído. A estratégia de ofuscação envolve criar um monte de informações falsas para que companhias, governos e outros indivíduos não consigam distinguir os dados que são verdadeiros dos falsos.

Exemplos:
1. Crie diversos perfis falsos em redes sociais com nomes semelhantes ou as mesmas imagens.
2. Mascare sua identidade pessoal no Facebook através da criação de uma conta e identidade de grupo.
3. Crie ruído clicando em propagandas aleatórias, ou instale a complemento Adnausiam, uma ferramenta que fará isso por você por trás dos panos, enquanto você faz outras coisas.
4. Confunda o Google instalando o complemento TrackMeNot, uma ferramenta que gera pesquisas aleatórias, mascarando suas pesquisas e perguntas reais.
5. Use uma VPN para mudar o seu endereço de IP.
6. Mude o nome que está configurado no seu telefone.
7. Mude suas rotinas…

3. Compartimentalização

Diversifique!

Quando estamos desconectadas, temos diferentes “eus” em diferentes situações sociais: no trabalho ou na escola, pode ser que usemos diferentes versões de nós mesmas das usadas em casa, no bar, ou na academia. Naturalmente, nós temos a tendência de gerenciar bem essas diferentes identidades. A estratégia de compartimentalização diz respeito ao gerenciamento de múltiplas “personas” online também, separando diferentes redes sociais, interesses, informações e identidades em diferentes “compartimentos”.

Exemplos:
1. Procure pelo seu nome online e escreva uma lista de todas as diferentes contas que você possui. Isso é um primeiro passo em direção à separação da sua vida online em diferentes esferas.
2. Crie diferentes contas em redes sociais com nomes diferentes.
3. Coloque os rastros dos seus dados em diferentes gavetas: use certos navegadores para certos tipos de atividades online; ude diferentes aplicativos de chat para diferentes círculos sociais.
4. Isole dados pessoais ou valiosos guardando-os num dispositivo diferente.
5. Dissocie sua vida no trabalho da sua vida social através do uso de contas de email separadas para cada uma.

4. Fortificação

Meus dispositivos, minhas regras!

Crie barreiras, restrinja o acesso a visibilidade. Esta estratégia significa manter seus dados seguros de bisbilhoteiros.

Exemplos:
1. Crie uma barreira: instale um programa de anti-vírus e mantenha-o atualizado.
2. Mantenha seus dados guardados à chave: criptografe seu espertofone, computador e trablet.
3. Interrompa os sinais: desligue sua internet sem fio e o bluetooth quando não estiver usando-os e colque seu espertofone numa “mochila de faraday” (você pode construir uma!) quando não quiser ser seguida.
4. Simples e efetivo: cubra sua webcam quanto não estiver usando-a.
5. Confirme se você está se conectando aos websites através de uma conexão segura (quando o website suporta isso!), através da instalação do complemento HTTPS Everywhere no seu navegador.

Objetivo SMART

Trecho do “Caderno de Planejamento e Estratégia” da Escola de Ativismo.

O que é?

É uma “fórmula” para escrever objetivos de curto e médio prazo atendendo a 5 critérios básicos, que nos ajudam a ser mais precisos e também a avaliar nosso progresso ao longo do tempo.

Pra que serve?

Muitas vezes, nossos objetivos são muito grandes para serem enfrentados de uma única vez. Por isso, é importante dividi-lo em vários pedaços menores, de acordo com o tempo que acreditamos ser necessário para alcançá-lo. Objetivos que perpassam várias gerações podem ser chamados de VISÃO (ex. a paz mundial ou o fim da opressão de gênero ou cidades mais humanas). Dentro dessa visão, é importante definir objetivos de longo prazo e de curto prazo, que funcionam como etapas que precisamos ir cumprindo pra chegar mais perto da nossa visão. É uma ferramenta que até pode ser usada para outros níveis de objetivo, mas que funciona muito melhor para os objetivos de curto prazo.

Como fazer?

O primeiro passo pra escrever um objetivo SMART é rascunhar um objetivo da melhor maneira possível a partir da identificação de PROBLEMA, / VISÃO e MUDANÇA que você já fez. Com base nesse objetivo rascunhado, você vai fazer a análise de poder, usando as ferramentas PASTEL, FOFA e MAPA DE ATORES, já descritas nas páginas anteriores. Depois disso, você terá elementos suficientes pra reescrever seu objetivo seguindo os seguintes critérios:

Exemplos de objetivos:
√ SMART ,  X Não-SMART

√ – Impedir a aprovação de 3 variedades de milho transgênico na CTNBio até dezembro/2016.
X – Impedir a aprovação do milho transgênico no Brasil.
√ – Reduzir em em 50% os acidentes de trânsito na cidade de Recife até 2020, com base em 2015.
√ – Ter 20 jovens “especialistas” em radio comunitária em Altamira até 2016.
√ – Criar uma RESERVA Extrativista em 3 anos na região de Serra Talhada, Pernambuco.
X – Fazer um seminário para debater sobre os problemas na região.
√ – Assentar 150 famílias na Gleba Pacoval em Santarém, Pará, até 2017.
X – Expor para a sociedade os problemas de moradia.
X – Conscientizar a população de Cuiabá sobre os riscos dos agrotóxicos para a saúde humana de trabalhadores rurais e consumidores.

Instalei o Signal, e agora?

O aplicativo Signal é uma das melhores opções neste momento para a comunicação via espertofone. Este mensageiro instantâneo criptografa suas mensagens de forma que somente você e a pessoa para quem você as enviou possam ler o conteúdo. Chamamos isso de criptografia de ponta a ponta. Porém, outros cuidados são necessários para manter sua conversa sigilosa. Como a criptografia é uma técnica muito forte de privacidade, os atacantes irão procurar outros meios mais fáceis, simples e baratos de conseguir suas informações, caso você seja um alvo visado individualmente.

Aviso: todos os meios de comunicação e aplicativos possuem vantagens e desvantagens. Estude, avalie, converse com suas amizades que possuem conhecimento técnico para mais informações. Uma rede de confiança é essencial para não termos que fazer tudo sozinhas.

A criptografia em si é confiável e ela depende muito mais da forma como é implementada (em nível de código) e não tanto do que você faz. Aplicativos como Signal e o zap se propõem a fazer tudo por você (chamamos isso de criptografia transparente; ela acontece sem que a gente veja). Porém, sua privacidade vai além da criptografia e também está vinculada às suas práticas cotidianas. Como disse um dos criadores do algoritmo RSA para criptografia, Adi Shamir, “a criptografia geralmente é desviada e não atacada de frente”. Então, preste atenção na sua parte dessa história:

Apague suas mensagens

Configure cada uma de suas conversas com um temporizador. A importância desta recomendação não está no canal usado para se comunicar, mas no armazenamento local. Caso alguém tenha acesso ao seu dispositivo não criptografado (seja por encontrar seu espertofone desbloqueado por acaso ou por você ser forçada a entregar sua senha), não encontrará nada lá dentro.

Escolha um contato, vá nas opções e aperte Mensagens Temporárias.

Depois, escolha um tempo que seja útil para você.

A mesma medida pode ser feita com qualquer forma de comunicação digital, como email ou zap. Por exemplo, vá na sua caixa de entrada e apague suas mensagens antigas.

Não faça backup na nuvem

Como consequência do primeiro ponto, não faça cópia da sua comunicação em serviços de terceiros. O Signal até oferece a opção de backup na memória interna do seu espertofone com proteção de uma senha de 30 números. Novamente, você ainda pode ser forçada (legalmente ou através de violência física) a fornecer suas senhas. (Outros aplicativos como zap ou i-messenger usam g-drive ou icloud para guardar uma cópia das suas mensagens, o que faz com que a criptografia de ponta a ponta seja TOTALMENTE anulada.)

Não aconselhamos nenhum tipo de backup.

Zóião

Cuidado com pessoas olhando por cima do seu ombro enquanto você lê e escreve suas mensagens e principalmente quando desbloqueia o app ou seu espertofone. Tenha atenção também com câmeras de vigilância. Recomendação simples: fica de costas para uma parede e toca ficha.

Verifique o Número de Segurança de seus contatos

Para ter certeza de que você está conversando com a pessoa certa, é importante verificar a chave criptográfica de seu contato. A melhor maneira de fazer isso é pessoalmente.

Lidar com a segurança de forma presencial pode nos ajudar a fortalecer nossos vínculos.

O Signal facilita esse processo de verificação: é só tocar no nome do contato de quem você quer verificar a chave dentro da própria conversa, rolar até a seção Privacidade e então tocar em Ver Número de Segurança.

Agora toque no seu código QR para abrir a câmera e escanear o código de seu contato. Se aparecer um ícone verde é porque deu tudo certo e agora você pode tocar em Verificado. Peça para seu contato repetir o processo e verificar o seu código. Depois disso fique atenta a qualquer aviso de mudança de Número de Segurança.

Configure um número PIN

O Signal (assim como o zap e o telegram) usa o seu número de telefone para fazer um cadastro único na rede interna do programa. Para evitar que outras pessoas usem sua conta do Signal porque conseguiram clonar seu número ou porque seu número foi vendido duas vezes pela cia de telefone (ou porque as agências de inteligência de Estado querem se passar por você com o apoio das telefônicas), você pode configurar um PIN de bloqueio de conta.

No Signal, vá em Configurações, Privacidade, role até a parte de baixo da tela e pressione em “PIN de Desbloqueio de Cadastro“.

Escolha um número e memorize-o. Quando você for usar o signal no PC ou em outro aparelho, esse PIN será exigido como forma de autenticação.

Rede de confiança

A comunicação em geral, assim como nossa organização, envolve várias pessoas e isso significa que todo mundo deve compartilhar práticas semelhantes de segurança. Por exemplo, essas mesmas precauções listadas aqui precisam ser entendidas e seguidas por todas as partes. Dessa forma, uma rede de confiança com respeito à comunicação segura vai se formando aos poucos. (Falaremos mais sobre rede de confiança em outra postagem). Lembre-se, a corrente sempre arrebenta no elo mais fraco. Ajude as pessoas do seu entorno a ficarem fortes com você.

Nova Seção – Mariscotron Tira Dúvidas

 

Criamos uma nova seção no site chamada “Mariscotron Tira Dúvidas”. Nessa seção abrimos um canal direto para tirarmos dúvidas e conversarmos sobre cultura de segurança, segurança da informação, comunicação segura, tecnopolítica ou tecnologia em geral.

Esses tempos de rápidas mudanças no contexto político nacional tem gerado muita incerteza e ansiedade. Em função disso muitas dúvidas e inseguranças têm vindo à tona, em especial nos campos da segurança e autodefesa digital. Por isso, mais do que nunca, é importante que os coletivos e indivíduos que buscam transformar a sociedade de alguma maneira estejam atentos buscando aperfeiçoar suas práticas de forma a agir melhor preservando sua integridade e a das pessoas à sua volta.

Acesse a seção aqui e adicione suas perguntas ou comentários, ou acesse diretamente o bloco de notas virtual aqui.

 

Guia para Defensores de Direitos Humanos

Guia de Proteção para Defensoras e Defensores de Direitos Humanos, da Justiço Global – PDF

“A experiência adquirida nas Oficinas de proteção, o intercâmbio constante com defensores de direitos humanos (DDHs) em situação de ameaça ou criminalização, as análises e avaliações realizadas tanto no âmbito do CBDDH quanto com as Coordenações Nacional e Estaduais do Programa de Proteção à Defensores de Direitos Humanos (PPD- DH), incentivaram a Justiça Global a produzir este Guia de Proteção, tentando trazer para as análises de riscos e estratégias de proteção uma aproximação ainda maior ao contexto que aqui vivemos.”