Skip navigation

Category Archives: boas práticas

Atualmente a tecnologia permeia nossas vidas: temos smartphones em nossos bolsos, smartTVs em nossas salas, câmeras de vigilância por toda a cidade, reconhecimento facial no transporte público, e redes sociais para nos conectar a isso tudo. Mais do que isso, a tecnologia media boa parte das nossas interações: nossas amizades, nossas conversas, nossos eventos, nosso consumo e até mesmo nosso ativismo.

Todos os nossos dados estão expostos e sendo filtrados por métodos de vigilância de arrasto. Quando nos engajamos na luta para promover uma mudança social, nossos dados estão ainda mais em risco. É imprescindivel que tenhamos noções básicas de autodefesa digital e retomemos o poder de escolher o que queremos compartilhar e com quem.

Os coletivos Coisa Preta e mar1sc0tron promovem uma Oficina de Segurança Digital para Ativistas na Infoshop A Gata Preta, no sábado, 15 de julho, em Belo Horizonte. Vamos falar um pouco sobre a estrutura básica da comunicação pela internet, cultura de segurança, segurança da informação e ferramentas de autodefesa digital.

A Gata Preta fica no Edificio Maletta, na Rua da Bahia, 1148 sobreloja 35, Centro – Belo Horizonte.
A oficina inicia às 16h.
Traga seu computador e celular para instalarmos algumas das ferramentas que vamos estar apresentando.
A atividade é gratuita, mas haverá uma caixinha de colaborações espontâneas para cobrirmos os custos do evento.

Andamos tratando aqui no blog sobre criptografia PGP e algumas das maneiras que ela pode ser implementada. Hoje estamos compartilhando um guia publicado em 2013 que oferece um rápido panorama sobre o potencial da criptografia seguido de alguns tutoriais passo a passo. Os programas abordados nos tutoriais são Tor, Pidgin e OTR, Email e PGP e Tails. Esse artigo foi escrito por Micah Lee, da Freedom of the Press Foundation. logo após os primeiros vazamentos feitos por Edward Snowden. Esta versão em português contém alguns erros de ortografia mas que não afetam o conteúdo prático.

Baixe o PDF aqui.

Quando enviamos um e-mail para outras pessoas é como se enviássemos cartões postais, quer dizer toda a mensagem fica exposta para quem quiser interceptar. Em alguns casos, a mensagem até fica protegida enquanto está em trânsito, mas uma vez que chega nos servidores, fica legível e à disposição das empresas que hospedam nossas contas.

Usar métodos de criptografia para impedir que leiam seus e-mails muitas vezes é percebido como uma tarefa complexa. Porém com as ferramentas certas, podemos criptografar nossas mensagens com uns poucos cliques. Isso é uma saída para quando precisamos trocar mensagens mais intimas ou proteger nossas conspirações para organizar piqueniques subversivos. Na verdade, a criptografia serve para todos os momentos em que não queremos que nossos dados sejam observados, vendidos, gravados e guardados para posterioridade, independente do que estamos falando. Ou seja, SEMPRE. Nesse tutorial vamos ensinar como instalar os plugins necessários para criar seu par de chaves GPG e criptografar suas mensagens no cliente de email.

Breve História

Paul Zimmermann, um ativista contra o uso de energia nuclear norte-americano, desenvolveu em 1991 a primeira versão do programa de criptografia PGP. O nome vem da sigla em inglês Pretty Good Privacy (em português seria algo como Privacidade Muito Boa) e tinha o intuito de permitir a postagem anônima em fóruns online, impedindo que o movimento anti-nuclear fosse vigiado pelo Estado. O programa se espalhou rapidamente, principalmente por ter sido lançado gratuitamente e com código aberto incluído com todas as cópias. Em pouco tempo, estava sendo usado ao redor do mundo por dissidentes, ativistas e cypherpunks.

Nos anos que se seguiram, Zimmermann enfrentou várias batalhas judiciais em função de ter sido responsável pelo desenvolvimento do PGP, no entanto seguiu desenvolvendo melhorias no código. Na metade da década de 1990, Zimmermann e seus colegas formaram uma empresa para seguir com o desenvolvimento do PGP. Posteriormente, essa empresa foi adquirida por outras companhias, entre elas a Symantec. Em 1997, Zimmermann e sua equipe propuseram para a IETF (Internet Engineering Task Force) a criação de um padrão de criptografia que pudesse ser intercambiável com o protocolo PGP. Esse padrão veio a ser chamado OpenPGP e a partir daí muitos programas começaram a ser desenvolvidos em torno desse protocolo. A Free Software Foundation desenvolveu o programa Gnu Privacy Guard (GPG ou GnuPG) que é aplicado por várias interfaces. Outros programas estão disponíveis em diferentes linguagens e para diferentes plataformas, incluindo Android e iOS.

Como Funciona

A criptografia PGP  funciona com o uso de um par de chaves assimétricas geradas aleatoriamente. Cada pessoa possui seu par de chaves, sendo uma chave pública e a outra privada. A chave privada é secreta, deve ser guardada com segurança e nunca compartilhada com nenhuma pessoa. É com ela que você vai desembaralhar as mensagens criptografadas que receber. Já a chave pública será utilizada por quem quiser lhe enviar uma mensagem criptografada, por isso é bom que você divulgue ela para seus contatos. Abordamos mais a fundo esse assunto nessa postagem.

Existem muitos usos para a criptografia por chaves assimétricas além de segurança de e-mails, sendo parte importante da segurança em vários protocolos da internet como TLS, mensagens instantâneas e podendo ser usada para verificar a integridade de arquivos como demonstramos anteriormente aqui.

Baixando os complementos necessários

GnuPG, GPG4Win e GPGTools

Se você usa sistemas operacionais Gnu/Linux você provavelmente já tem GnuPG instalado em seu computador. Se você roda sistemas operacionais não-livres, terá que baixar e instalar um programa para operar as suas chaves. Para Windows, você deve baixar o programa GPG4Win e para Mac o programa se chama GPGTools. Baixe e instale optando sempre pelas configurações padrões.

Thunderbird

Você vai precisar de um cliente de e-mails instalado em seu computador. Um cliente de e-mails é um programa que opera no seu computador e acessa de modo seguro seu servidor de e-mails para receber e enviar mensagens. Ainda que existam complementos que permitem utilizar chaves PGP diretamente no webmail, é preferível fazer a criptografia na própria máquina. Lembre-se, sua chave privada deve ficar somente com você. Para esse tutorial, vamos usar o Thunderbird (da Mozilla Foundation). Existe um software livre de código aberto baseado no cliente da Mozilla chamado de IceDove. Caso você ainda não tenha o programa instalado, baixe-o no site da Mozilla e instale-o.

Abra o Thunderbird e siga o assistente de configuração passo-a-passo para configurar sua conta de e-mail.

Caso utilize uma conta em servidores radicais como o Riseup.net ou Inventati, dê uma conferida nos tutoriais que esses coletivos disponibilizam, pois oferecem configurações otimizadas para maior segurança.

Enigmail

Com sua conta configurada para receber e enviar e-mails através do Thunderbird, é hora de baixar o complemento Enigmail. É esse plugin que vai servir de interface para todo o processo de criptografia do GnuPG.

No menu do programa de e-mails, busque a parte de configurações – geralmente representada por três barras empilhadas no canto direito superior. Nesse menu, vá até Ferramentas e então Complementos. Busque por Enigmail, e depois de instalá-lo reinicie o programa.

Criando suas chaves

Quando reiniciar o programa, o assistente de configurações do Enigmail deve abrir automaticamente. Caso não abra, vá novamente até o menu do programa de e-mails e selecione Enigmail e Assistente de Configuração.

No assistente de configuração, clique em Avançar com as opções padrão selecionadas, exceto nesses casos:

-> Na tela intitulada “Encryption”, selecione “Encrypt all of my messages by default, because privacy is critical to me”.
-> Na tela intitulada “Assinatura”, selecione “Don’t sign my messages by default”.
-> Na tela intitulada “Seleção de Chave”, selecione “Eu desejo criar um novo par de chaves para assinar e criptografar minhas mensagens”.
-> Na tela intitulada “Criar Chave”, escolha uma senha forte!

Recomendamos fortemente a utilização de senhas longas e aleatórias. Considere utilizar um gerenciador de senhas ou o método Diceware (Dadoware) para elaboração dessa senha. Descreveremos esse método em breve.

A seguir, o computador irá gerar seu par de chaves. Isso pode demorar um pouco, nesse meio tempo é importante que você utilize seu computador para todo o tipo de tarefas, isso vai ajudar o computador a gerar suas chaves aleatórias.

Pronto!

Teste suas configurações: Envie um e-mail para Edward, o bot da Free Software Foundation, << edward-pt-br@fsf.org >>. Comece enviando sua chave pública em anexo para o bot. Lembre-se que esse e-mail não pode ser criptografado, já que você ainda não tem a chave pública de Edward. Ele lhe responderá em alguns minutos e você poderá testar descriptografar sua primeira mensagem! Desse momento em diante, a criptografia acontecerá automaticamente entre vocês.

Aproveite para achar um/a cúmplice para seguir esse tutorial e criar suas chaves. Usem as ferramentas para começar a se enviar e-mails verdadeiramente privados!

Copiado do site do The Intercept Brasil


2016-12-29

 

Está ficando cada vez mais fácil proteger sua privacidade digital. Os iPhones agora criptografam grande parte de suas informações pessoais, seus discos rígidos no Mac e no Windows 8.1 são automaticamente bloqueados; e até mesmo o Facebook, que faturou uma fortuna com o compartilhamento aberto de informações, oferece criptografia de ponta a ponta na ferramenta de bate-papo WhatsApp. Mas nenhuma dessas tecnologias oferece a proteção esperada se você não souber criar uma frase secreta segura.

Uma frase secreta é como uma senha, apenas mais longa e mais segura. Funciona essencialmente como uma chave de criptografia que pode ser memorizada. Ao começar a se importar mais com sua privacidade e a aperfeiçoar seus hábitos de segurança no uso de computador, um dos primeiros desafios a ser enfrentado será a criação de uma frase secreta. Sem ela não é possível se proteger adequadamente.

Por exemplo, quando você criptografa seu disco rígido, um pendrive ou um documento em seu computador, a criptografia será tão segura quanto a sua frase secreta. Se optar por usar um banco de dados de senhas, ou um recurso de salvamento de senhas em seu navegador, crie uma frase secreta principal segura para protegê-los. Ao criptografar seus e-mails com PGP (Pretty Good Privacy – privacidade muito boa), sua chave privada é protegida com uma frase secreta. Em seu primeiro e-mail para Laura Poitras, Edward Snowden disse: “Confirme se ninguém teve acesso a uma cópia de sua chave privada e que ela usa uma frase secreta segura. Presuma que seu adversário é capaz de realizar um trilhão de tentativas por segundo”.

Neste artigo, descrevo uma forma simples de criar frases secretas extremamente seguras e fáceis de lembrar. É a última matéria de uma série em desenvolvimento de artigos que oferecem soluções — parciais e imperfeitas, mas úteis — para os muitos problemas relacionados à vigilância que investigamos agressivamente no The Intercept.

Acontece que criar uma frase secreta segura simplesmente pensando em uma é incrivelmente difícil e, se seu o adversário for realmente capaz de realizar um trilhão de tentativas por segundo, é provável que você não seja tão bem-sucedido. Se você usar uma sequência de caracteres completamente aleatória, a frase secreta pode ser segura, mas será angustiante memorizá-la (e, honestamente, um desperdício de energia cerebral).

Mas, felizmente, a dicotomia entre usabilidade e segurança é falsa. Há um método para gerar frases secretas impossíveis de serem adivinhadas até pelos adversários mais poderosos, mas possíveis de serem memorizadas por humanos. O método é chamado Diceware, e seu nome é baseado em um conceito matemático simples.

Seu macete para criar uma senha secreta não é inteligente

Com frequência, as pessoas escolhem frases baseadas na cultura pop — letras de músicas ou uma frase de um filme ou livro — e embaralham as letras ligeiramente, acrescentando maiúsculas, pontuação ou usando a primeira letra de cada palavra dessa frase. Algumas dessas frases secretas podem parecer seguras e completamente impossíveis de serem adivinhadas, mas é fácil subestimar a capacidade de quem se dispõe a adivinhá-las.

Imagine que seu adversário tenha obtido as letras de todas as músicas que já foram escritas, os roteiros de todos os filmes e programas de TV, os textos de todos os livros digitalizados até hoje e todas as páginas da Wikipedia, em todos os idiomas, e tenha usado esse material como base para sua lista de adivinhação de frases secretas. Sua frase resistiria?

Se você criou uma frase secreta tentando pensar em uma frase boa, há grandes chances de que ela não seja suficientemente segura para resistir a uma agência de espionagem. Por exemplo, você pode ter pensado em “Ser ou não ser/ ESSA é a Questão”. Se eu acertei, garanto que você não foi a primeira pessoa a usar essa frase batida de Shakespeare como frase secreta, e seu adversário sabe disso.

Passagens de Shakespeare não são seguras como frases secretas por conta de um fenômeno conhecido como entropia. Pense em entropia como se fosse aleatoriedade: um dos conceitos mais importantes em criptografia. Acontece que humanos são criaturas que seguem padrões e são incapazes de criar algo de forma verdadeiramente aleatória.

Mesmo se você não usar uma passagem de livro, mas criar uma frase em sua cabeça aleatoriamente, a frase estará longe de ser aleatória, porque a língua é previsível. Como explicou uma pesquisa sobre o assunto, “usuários não têm a capacidade de selecionar frases com palavras completamente aleatórias e são influenciados pela probabilidade de uma frase ocorrer na língua naturalmente”, ou seja, as frases secretas escolhidas por usuários não contêm o nível de entropia que você gostaria que tivessem. Seu cérebro tende a continuar a usar expressões e regras gramaticais comuns que reduzem a aleatoriedade da frase. Por exemplo, sua mente tende a colocar um advérbio depois de um verbo e vice-versa de forma desproporcional em relação à máquina, ou, para citar um dos casos da pesquisa mencionada acima, tende a colocar a palavra “maravilhosa” depois de “cidade”.

Frases secretas baseadas em cultura pop, fatos sobre sua vida ou qualquer coisa que venha diretamente de sua mente são muito mais fracas do que frases secretas embutidas de entropia verdadeira, coletada na natureza.

Esse vídeo curto, mas esclarecedor, da aula gratuita de criptografia da Khan Academy explica bem esse ponto.

Crie uma frase secreta segura com o Diceware

Apenas quando admitir que suas frases secretas antigas não são tão seguras quanto você imagina, você estará pronto para usar a técnica Diceware.

Primeiro, abra uma cópia da lista de palavras do sistema Diceware, que contém 7.776 palavras em português — 36 páginas que podem ser impressas em casa. No canto superior direito de cada página existem dois números separados por uma vírgula. Eles representam os dois primeiros resultados que determinarão a página a ser usada para selecionar aleatoriamente a primeira palavra. Os três resultados seguintes do lançamento de dados representarão a palavra a ser usada. Veja um exemplo na imagem abaixo:

Agora, pegue alguns dados de seis lados (isso mesmo, dados de verdade), lance-os diversas vezes e anote os números obtidos. Você precisa de cinco lançamentos de dados para chegar à primeira palavra da sua frase secreta. Dessa forma, você está gerando entropia, isto é, extraindo a mais pura aleatoriedade da natureza e a transformando em números.

Se lançar os dados e tirar 6,5,6,6,5, abra a lista de palavras Diceware na página 6,5, na linha 665 e chegará à palavra “vesgo”. (Ignore o acento para evitar problemas de configuração de teclado.) A palavra “vertice” será a primeira a compor sua frase secreta. Repita o processo acima. Você precisa de um frase secreta com sete palavras se estiver preocupado com a NSA, a Abin ou espiões chineses tentando adivinhar sua senha. (Veja mais detalhes sobre a lógica por trás desse número abaixo.)

Usando o Diceware, você chegará a uma frase secreta parecida com “vertice nutrir pardo paiol volupia”, “faringe caduco bulbo preciso voo afoito” ou “abade chiapas zunir olhado normal gestual arengar”. Se precisar de uma frase secreta mais segura, use mais palavras. Se uma frase secreta menos segura for aceitável para sua finalidade, você pode usar menos palavras.

As frases secretas do Diceware são suficientemente seguras?

A segurança de uma frase secreta baseada na técnica Diceware depende de quantas palavras ela contém. Se você selecionar uma palavra (em uma lista de 7.776 palavras), as chances de um invasor adivinhá-la são da ordem de 1 para 7.776. Seu invasor precisará tentar ao menos uma vez, no máximo, 7.776 vezes, e, em média, 3.888 vezes (já que há uma chance de 50% do invasor adivinhar sua palavra quando chegar à metade da lista).

Mas se você escolher duas palavras para sua frase secreta, a extensão da lista de frases possíveis aumenta exponencialmente. A chance de o invasor adivinhar sua primeira palavra corretamente ainda é de 1 em 7.776, mas para cada primeira palavra possível, a chance de a segunda palavra ser adivinhada corretamente também é de 1 em 7.776. Além disso, o invasor não saberá se a primeira palavra está correta até que adivinhe a frase secreta completa.

Portanto, com duas palavras, há 7.7762 ou 60.466.176 frases secretas possíveis. Em média, uma frase secreta de duas palavras baseada na técnica Diceware pode ser adivinhada após 30 milhões de tentativas. Uma frase secreta com cinco palavras, que teria 7.7765 frases secretas possíveis, pode ser adivinhada após uma média de 14 quintilhões de tentativas. (O número 14 seguido de 18 zeros.)

A dimensão da aleatoriedade de uma frase secreta (ou de uma chave de criptografia, ou de qualquer tipo de informação) é medida através de bits de entropia. Você pode medir a segurança de sua frase secreta de acordo com quanto bits de entropia ela contém. Cada palavra na lista Diceware equivale a aproximadamente 12,92 bits de entropia, já que 212,92 é igual a 7.776, aproximadamente. Portanto, se você escolher sete palavras, chegará a uma frase secreta com aproximadamente 90,5 bits de entropia, já que 12,92 vezes 7 é igual a 90,5, aproximadamente.

Em outras palavras, se um invasor souber que você está usando uma frase secreta de sete palavras com base na técnica Diceware e selecionarem sete palavras aleatórias da lista Diceware, a cada tentativa, o invasor terá a chance de adivinhar sua frase secreta de 1 em 1.719.070.799.748.422.591.028.658.176 por tentativa.

De acordo com o alerta de Edward Snowden em janeiro de 2013, com a possibilidade de um trilhão de tentativas por segundo, essa frase secreta levaria 27 milhões de anos para ser adivinhada.

Nada mau para uma frase secreta como “abade chiapas zunir olhado normal gestual arengar”, que é perfeitamente possível de ser memorizada pela maioria das pessoas. Compare a frase secreta acima a “d07;oj7MgLz’%v”, uma senha aleatória que contém menos entropia do que a frase secreta de sete palavras com base na técnica Diceware, mas que é muito mais difícil de ser memorizada.

Uma frase secreta de cinco palavras, por sua vez, seria adivinhada em pouco menos de seis meses, enquanto uma frase secreta de seis palavras levaria, em média, 3.505 anos para ser adivinhada, com base em um trilhão de tentativas por segundo. Levando em consideração a Lei de Moore, a capacidade dos computadores cresce constantemente — em pouco tempo, um trilhão de tentativas por segundo será considerado um desempenho lento — portanto, é importante manter suas frases secretas um passo à frente dos avanços tecnológicos.

Com um sistema como esse, não importa a lista usada para escolher suas palavras. Nem mesmo as palavras em si importam (palavras com duas letras são tão seguras quanto palavras de seis letras). O importante é a extensão da lista de palavras e que cada palavra na lista seja única. A probabilidade de uma frase secreta composta por essas palavras selecionadas de forma aleatória ser adivinhada diminui exponencialmente a cada palavra acrescentada, logo, é possível criar frases secretas que nunca serão adivinhadas.

Preciso mesmo usar os dados?

Esse é um debate mais extenso, mas a resposta objetiva é: o uso de dados de verdade oferece uma garantia muito maior de que nada deu errado. Mas é uma tarefa demorada e entediante, e o uso de um computador para gerar números aleatórios é quase sempre suficiente.

Mas infelizmente, parece não haver softwares fáceis de usar disponíveis para ajudar na geração de frases secretas com base na técnica Diceware, apenas alguns projetos no GitHub capazes de gerar frases secretas Diceware com base em linhas de comando que podem servir a usuários avançados. Fique atento para um artigo futuro sobre isso.

Como memorizar sua frase secreta maluca (sem ficar maluco)

Após gerar sua frase secreta, o próximo passo é memorizá-la.

Recomendo que você anote sua nova frase secreta em um pedaço de papel e o carregue com você por quanto tempo for necessário. Cada vez que digitar a frase secreta, tente usar a memória primeiro, mas consulte a anotação se precisar. Supondo que você digite a frase secreta duas vezes por dia, não deve levar mais de dois ou três dias para que a anotação não seja mais necessária e, portanto, destruída.

Digitar sua frase secreta regularmente permite que você a memorize por meio de um processo conhecido como “repetição espaçada”, de acordo com uma pesquisa promissora sobre frases secretas de alta entropia.

Agora que você sabe como usar frases secretas, saiba quando evitá-las

As frases secretas do Diceware são ótimas para descriptografar algo localmente em seu computador, como seu disco rígido, sua chave privada PGP ou seu banco de dados de senhas.

Você não precisa tanto delas para entrar em um site na Internet. Para isso, o uso de frases secretas de alta entropia tem um benefício menor. Invasores nunca conseguiram executar um trilhão de tentativas por segundo se a cada tentativa for preciso entrar em contato com um servidor na Internet. Em alguns casos, os invasores controlam ou invadem servidores remotos — de forma que podem obter sua frase secreta assim que você a digitar, independente do nível de criptografia da frase.

Para entrar em sites e outros servidores, use um banco de dados de senhas. Eu gosto do KeePassX porque é gratuito, usa código aberto, funciona em diversas plataformas e nunca armazena nada na nuvem. Basta trancafiar todas as suas senhas com uma frase secreta gerada por meio do Diceware. Use seu gerenciador de senha para criar e armazenar senhas diferentes e aleatórias para cada site que você usa.

Como usamos o Diceware para proteger nossas senhas

The Intercept conta com o servidor SecureDrop, um sistema de envio de informações confidenciais de código aberto que facilita o contato conosco e protege o anonimato de nossas fontes.

Quando uma fonte de informações nova visita nosso site SecureDrop, recebe um codinome composto de sete palavras aleatórias. Após enviar mensagens ou documentos, eles podem usar o codinome para ler as possíveis respostas de nossos jornalistas.

Na verdade, esse codinome age como uma frase secreta de criptografia para a fonte gerada por meio do método Diceware com um gerador de números aleatórios provido de segurança digital criptográfica, em vez de se valer do lançamento de dados. O dicionário do SecureDrop tem apenas 6.800 palavras (algumas palavras foram removidas pelos desenvolvedores por serem potencialmente ofensivas) fazendo com que cada palavra tenha aproximadamente 12,73 bits de entropia. Mas isso é mais do que suficiente para impedir que alguém descubra o codinome de uma fonte, a menos que tenha acesso a recursos computacionais poderosíssimos e alguns milhões de anos em mãos.

Frases secretas simples e aleatórias, em outras palavras, são tão eficientes na proteção de nossas fontes quanto na segurança de seu computador. É uma pena vivermos em um mundo onde cidadãos comuns precisem de tamanha proteção, mas enquanto esse for o caso, o sistema Diceware permite que nos protejamos com uma segurança no nível da CIA, sem ter que passar por um treinamento secreto avançado.

Agradecimento a Garrett Robinson por conferir meus cálculos matemáticos e evitar que eu cometesse erros tolos.

Abaixo reproduzimos os endereços do Riseup na rede Tor. São os chamados Serviços Ocultos, ou Hidden Services. Segundo a wikipedia:

Servidores configurados para receber conexões de entrada somente através do Tor são chamados serviços ocultos. Em vez de revelar o endereço IP de um servidor (e, portanto, sua localização de rede), um serviço oculto é acessado através de seu endereço onion . A rede Tor lê esses endereços e pode encaminhar dados de e para os serviços ocultos, mesmo para aqueles hospedados por trás de firewalls ou NATs, preservando o anonimato de ambas as partes. O Tor é necessário para acessar os serviços ocultos.

Os endereços .onion do Riseup aqui mostrados foram retirados de https://riseup.net/pt/security/network-security/tor

Não confie plenamente no texto aqui exposto. Baixe o arquivo de endereços .onion diretamente do site do Riseup e verifique sua assinatura para garantir que ele não foi alterado. (Se tiver dúvidas sobre como verificar uma assinatura GPG, veja nossa postagem Verificando a Integridade de Arquivos.)

Endereços .onion do Riseup

riseup.net:          nzh3fv6jc6jskki3.onion (port 80)
help.riseup.net:     nzh3fv6jc6jskki3.onion (port 80)
black.riseup.net:    cwoiopiifrlzcuos.onion (port 80)
imap.riseup.net:     zsolxunfmbfuq7wf.onion (port 993)
lists.riseup.net:    xpgylzydxykgdqyg.onion (port 80)
mail.riseup.net:     zsolxunfmbfuq7wf.onion (ports 80, 465, 587)
mx1.riseup.net:      wy6zk3pmcwiyhiao.onion (port 25)
pad.riseup.net:      5jp7xtmox6jyoqd5.onion (port 80)
pop.riseup.net:      zsolxunfmbfuq7wf.onion (port 995)
share.riseup.net:    6zc6sejeho3fwrd4.onion (port 80)
smtp.riseup.net:     zsolxunfmbfuq7wf.onion (ports 465, 587)
account.riseup.net:  j6uhdvbhz74oefxf.onion (port 80)
we.riseup.net:       7lvd7fa5yfbdqaii.onion (port 443)
xmpp.riseup.net:     4cjw6cwpeaeppfqz.onion (ports 5222, 5269)
0xacab.org           vivmyccb3jdb7yij.onion (port 80)

O coletivo Mar1sc0tron vem dando oficinas sobre Cultura de Segurança e Segurança Digital desde o final de 2014. Sempre foram uma bagunça, e das divertidas. Falamos de tudo, infiltração, ISP, rede TOR, comunidade, ciberguerra, etc, e a conversa vai longe. São 3, 4, 5 horas de oficina. Algumas pessoas já dos disseram: essa oficina é um rolo, não tem pé nem cabeça! Tentamos mudar, planejar uma oficina bem alinhadinha, com início meio e fim. Tentamos, mas na hora não deu, foi mais forte que nós.

Mas temos boa vontade e descobrimos o manual que está ali abaixo. Galera do Mar1sc0tron: será que um dia a gente aprende?

Bora estudar metodologia 🙂


Download Trainers’ Manual
(por enquanto só tem em inglês)

Sobre o Manual da Oficineira
(tradução do release do manual do site Holistic Security)

O Manual da Oficineira foi criado em parte como um “companheiro” do Manual de Segurança Holística do Coletivo Tactical Tech para Defensoras dos Direitos Humanos, e em parte para refletir novos aprendizados e boas práticas identificadas durante as facilitações de diálogos e engajamentos entre especialistas e oficineiras engajadas em proteção geral, segurança digital e bem-estar psicossocial para defensoras de direitos humanos entre 2013 e 2015.

Assim, o manual está dividido em três partes:

A Parte I inclui artigos gerais sobre boas práticas em facilitação de treinamentos de segurança e proteção para defensoras de direitos humanos – qualquer que seja o seu foco principal: segurança digital, análise de risco, segurança integrada, etc. – que identificamos durante esse processo de engajamento.

A Parte II inclui seções independentes e completas, sem necessidade explícita de pré-requisitos, e que podem ser executadas no contexto de qualquer treinamento relacionado à segurança. Elas foram pensadas pelos participantes do Treinamento de Oficineiras de Segurança Avançada do Tactical Tech como parte do projeto Segurança Holística em abril de 2015. Elas foram elaboradas em cima dos textos produzidos naquele mesmo mês.

A Parte III inclui 11 seções projetadas para formar um “fluxo” sequencial baseado no material do Manual de Segurança Holística; foram pensadas e testadas nos treinamentos de quatro dias da “Introdução à Segurança” no Centro “Kurve Wustrow” de Treinamento e Criação de Redes através de Ação Não-Violenta em 2015. Elas, entretanto, não representam a totalidade das potenciais seções que podem sair do manual, mas representam um primeiro passo para um possível currículo de um programa de treinamento mais abrangente.

A estrutura das seções de aprendizado são, em geral, organizadas de acordo com a abordagem ADIDS (Atividade-Discussão-Insumo-Aprofundamento-Síntese), uma metodologia de aprendizado para adultos que se tornou popular entre muitos autores no nosso trabalho de Melhoramento de Materiais didáticos para oficineiros de segurança digital em 2013 e 2014. Gostaríamos de agradecer também à C5 pela sua inspiração neste trabalho.

Esperamos que este manual seja útil para a comunidade de facilitadoras e oficineiras responsáveis pelo processo de exploração e criação de habilidades em bem-estar, segurança e proteção para defensoras de direitos humanos. Gostaríamos de agradecer do fundo do coração as defensoras de direitos humanos e nossos colegas de inúmeras organizações por terem emprestados seus cérebros, mãos e corações para este processo.


Existem inúmeras opções para escolher quando você precisa enviar um arquivo pela internet. No entanto, muitas delas não são seguras e não protegem seus dados, e outras, como o e-mail, permitem enviar apenas pequenos arquivos. Além disso, anexos de e-mails sobrecarregam os servidores, em especial se você usa servidores sem fins lucrativos.

Uma alternativa segura é o OnionShare, um programa que permite enviar arquivos de qualquer tamanho de forma segura, anônima e efêmera. O OnionShare funciona criando um servidor web temporário, acessível apenas pela rede Onion do Tor através de uma URL praticamente impossível de ser adivinhada. É bastante diferente de ter que confiar em serviços de terceiros já que usa seu próprio dispositivo para hospedar o arquivo. Para fazer o download, a outra pessoa precisa apenas acessar o link que você enviou em um navegador Tor.

Como Usar

Partindo do ponto que você já deve ter o navegador Tor instalado em sua máquina, basta instalar o OnionShare. Feita a instalação, você primeiro deve rodar o navegador Tor e então abrir o OnionShare. O próximo passo é arrastar os arquivos ou diretórios que deseja compartilhar (ou navegar por seus diretórios) e clicar em <start server>. O programa irá gerar uma URL .onion para você compartilhar com a outra pessoa. Assim que o download for feito, o compartilhamento é interrompido. Caso você queira compartilhar com mais pessoas, é possível optar por não interromper automaticamente o servidor e manter o link disponível. Mas tenha cuidado ao compartilhar o link, pois a mensagem pode ser interceptada. Sempre envie os links de forma segura com criptografia de ponta-a-ponta.

Para fazer o download, tudo que a outra pessoa precisa é ter o navegador Tor instalado e abrir o link que você enviou, ou seja, ela não precisa ter o OnionShare instalado.

 

Resumindo…

  •  Terceiros não têm acesso aos arquivos compartilhados.
    Não há upload para servidores remotos. O seu próprio computador hospeda o(s) arquivo(s).
  • Interceptadores não podem espionar os arquivos em trânsito.
    Como as conexões entre serviços da rede Tor Onion são encriptados de ponta-a-ponta, não há forma de espionar os arquivos compartilhados ou baixá-los. Mesmo um adversário posicionado na entrada ou saída da rede Tor só verá tráfego Tor.
  • A Rede Tor protege o seu anonimato e o da pessoa para quem você está enviando arquivos.
    Contanto que você se comunique de forma anônima com a pessoa com quem deseja compartilhar o arquivo, a Rede Tor e o OnionShare irão proteger suas identidades.
  • Se um ataque conseguir descobrir o endereço .Onion, os arquivos continuam seguros.
    Existem ataques que conseguem descobrir endereços .Onion, mas mesmo assim é impossível baixar os arquivos sem conhecer o slug. Para cada envio, é criado um slug de forma aleatória a partir de uma lista de 6800 palavras, o que significa que existem 6800², ou cerca de 46 milhões, de slugs possíveis. Após 20 tentativas de adivinhar um slug o servidor é parado automaticamente para prevenir ataques de força bruta.
  • O envio da URL depende de você.
    A responsabilidade de enviar de forma segura e secreta a URL para a pessoa com quem você quer compartilhar o arquivo é toda sua. Se um adversário está espionando seus e-mails ou outros meios de comunicação, o OnionShare não irá proteger seus arquivos.
  • O anonimato depende dos seus hábitos.
    Mesmo que consiga enviar a URL de forma segura e criptografada, se você precisa se manter anônima, então deve usar sempre contas que não estejam atreladas à sua identidade e que tenham sido criadas pela rede Tor. Se o arquivo não é tão sigiloso, ou o envio de arquivos entre você e essa pessoa é algo corriqueiro, você não precisa se prevenir tanto.

 

Instalação

Linux

Debian / Ubuntu
Em um terminal adicione o repositório:
$ sudo add-apt-repository ppa:micahflee/ppa

Em seguida rode a atualização:
$ sudo apt-get update

E depois instale o OnionShare:
$ sudo apt-get install onionshare

Fedora
Se você está usando Fedora, instale a partir do Software ou abre um terminal e digite:
$ sudo dnf install onionshare

Outras Distros
Se você está usando uma distribuição diferente de Linux, siga esses passos para instalar.

Windows
OnionShare para Windows

Mac OS
OnionShare para Mac OS

Beabá da Criptografia de Ponta-a-Ponta

As Revelações do Vault 7 Significam que Criptografia é Inútil?

Se você usou a internet em algum momento desde maio de 2013, provavelmente ouviu falar que deveria usar comunicações encriptadas. As revelações de Edward Snowden de que a Agência de Segurança Nacional dos EUA registra todas as suas ligações, textos e e-mails impulsionou o desenvolvimento e uso de aplicativos e serviços criptografados. Apenas alguns anos mais tarde, a criptografia é usada em nossa comunicação diária. Se você usa alguma dessas ferramentas de criptografia, provavelmente ouviu a frase “criptografia de ponta-a-ponta”, ou “E2EE” (end-to-end encryption). O nome é direto o suficiente: ponta-a-ponta significa que o conteúdo é encriptado de um ponto final (geralmente seu celular ou computador) a outro ponto final (o celular ou computador do destinatário pretendido de sua mensagem). Mas que tipo de segurança isso promete para você, o usuário?

Desde o início da administração de Donald Trump nos EUA, a polícia alfandegária e de proteção de fronteiras dos EUA (CBP) tem ampliado as ações que invadem a privacidade de viajantes. A CBP tem ordenado tanto cidadãos dos EUA quanto visitantes a logar em seus telefones e notebooks e entregá-los para inspeção. Eles também têm ordenado que viajantes passem suas senhas ou loguem em suas redes sociais. Viajantes que não acatam com essas ordens podem ter seu ingresso no país negado.

No início de março, o Wikileaks publicou uma coleção de documentos vazados (Vault 7) da CIA, incluindo informação sobre vulnerabilidades e brechas de software (exploits) que a CIA pagou por e manteve em segredo do público em geral. Agora que essa informação vazou, já não é apenas a CIA que tem conhecimento sobre essas vulnerabilidades – é todo mundo. O jornal New York Times e outros erroneamente noticiaram que a CIA havia quebrado a criptografia em aplicativos como Signal e WhatsApp, quando de fato o que a CIA fez foi selecionar e comprometer dispositivos Android de pessoas específicas.

Resumindo, essa revelação confirma a importância do uso de comunicação criptografada de ponta-a-ponta, porque impede que adversários estatais realizem vigilância em massa de amplo espectro. A E2EE continua sendo importante.

Muitos relatos ao redor de Vault 7 tem deixado a impressão que apps encriptados como Signal foram comprometidos. Na verdade, o dispositivo (o smartphone) é que está comprometido – o ponto final. Não há motivo para pensarmos que a criptografia em si não funciona.

Limitações: Ponto final em Texto Simples

Primeiro, é importante entender que se você pode ler uma mensagem, ela está em texto simples – ou seja, não está mais encriptada. Na criptografia de ponta-a-ponta, os pontos fracos na cadeia de segurança são você e seu dispositivo e seu destinatário e o dispositivo delx. Se seu destinatário pode ler sua mensagem, qualquer pessoa com acesso ao dispositivo delx também pode ler. Um policial disfarçado poderia ler a mensagem espiando sobre o ombro do seu destinatário, ou a polícia poderia confiscar o dispositivo do seu destinatário e abri-lo a força. Se há qualquer risco de algumas dessas situações desagradáveis acontecerem, você deve pensar duas vezes antes de enviar qualquer coisa que não gostaria de compartilhar com as autoridades.

Essa limitação em particular é relevante também para as recentes revelações feitas no Vault 7, que demonstram como que apps como Signal, WhatsApp e Telegram podem não ser úteis se um adversário (como a CIA) ganha acesso físico ao seu dispositivo ou ao dispositivo de seu contato e é capaz de desbloqueá-lo. Muitos relatos sobre o Vault 7 foram um pouco enganosos, dando a impressão que os apps em si tinham sido comprometidos. Nesse caso, o comprometimento é no nível do dispositivo – no ponto final. A criptografia em si continua sendo boa.

Limitações: Vigilância Pontual

Considerando que você não pode controlar as condições de segurança no destinatário da sua mensagem, você deve considerar a possibilidade que qualquer mensagem que você enviar para essa pessoa poderá ser lida. Ainda que raros, existem casos em que poderes estatais usam vigilância pontual direcionada a alvos individuais. Nesses casos, alvos podem estar operando com dispositivos infectados por malware com a intenção de registrar todas as comunicações que entram e saem. Esse ataque funciona no nível do ponto final, tornando a E2EE inútil contra esses adversários específicos. Por ser difícil de saber se você (ou o destinatário da sua mensagem) são alvos desse tipo de ataque, é sempre melhor evitar por padrão enviar informações muito sensíveis por meios digitais. Atualmente, esse tipo de ataque parece ser raro, mas nunca se deve correr riscos desnecessários.

Limitações: Metadados

A terceira coisa que você precisa saber sobre E2EE é que ela não protege necessariamente seus metadados. Dependendo de como as comunicações são transmitidas, os registros podem ainda conter e mostrar o tamanho e horário da mensagem, assim como remetente e destinatárix. Registros podem também mostrar a localização tanto dx remetente quanto dx destinatárix no momento que a comunicação ocorreu. Apesar de tipicamente isso não ser suficiente para mandar alguém para a cadeia, pode ser útil para provar associações entre pessoas, estabelecer proximidade a cenas de crimes, e rastrear padrões de comunicações. Todos esses pedaços de informações são úteis para estabelecer padrões maiores de comportamento em casos de vigilância direta.

Então… Por quê?

Então, se criptografia de ponta-a-ponta não necessariamente protege o conteúdo de suas comunicações, e ainda assim deixa passar metadados úteis, qual o sentido em usá-la? Uma das coisas mais importantes que a E2EE faz é garantir que seus dados nunca atinjam os servidores de outra pessoa de forma legível. Como a criptografia de ponta-a-ponta inicia no momento que você pressiona “enviar” e persiste até atingir o dispositivo dx destinatárix, quando uma empresa – como o Facebook – é intimada a fornecer os registros de suas comunicações, ela não possui nenhum conteúdo em texto simples para dar. Isso coloca as autoridades em uma posição de que, se precisam conseguir o conteúdo de suas comunicações, serão forçadas a gastar muito tempo e recursos tentando quebrar a criptografia. Nos Estados Unidos, seu direito a um julgamento rápido pode tornar essa evidência inútil para xs promotorxs, que podem não ser capazes de desencriptar a tempo de agradar umx juízx.

Vigilância em Massa

Outro uso útil para a E2EE é dificultar muito a vigilância indiscriminada, feita de arrasto pela NSA e outras órgãos da repressão. Já que não existe um ponto no meio em que suas comunicações não criptografadas possam ser pegas, o que é capturado são os mesmos blocos de texto encriptado disponíveis através de intimação. Vigilância de arrasto é geralmente conduzida coletando quaisquer dados disponíveis e submetendo-os a uma classificação automatizada em vez de análise individual. O uso de criptografia impede que algoritmos peneirem conteúdos específicos, tornando o processo muito mais complicado e geralmente não vantajoso.

Torres de Celular falsas (Stingrays)

Além da coleta de dados que a NSA executa, as polícias estaduais e federal têm, e frequentemente usam, simuladores de torres celulares conhecidos como “capturadores de IMSI” ou “Stingrays”. Capturadores de IMSI fingem ser torres celulares para enganar seu telefone e fazer com que ele dê informações que possam servir para lhe identificar, incluindo sua localização. Simuladores de torres celulares também capturam e registram suas comunicações. Como com outros tipos de interceptação, a criptografia significa que o que é capturado é largamente inútil, a menos que os órgãos da repressão estejam dispostos ao dispendioso trabalho de desencriptá-lo.

Criptografia em Repouso

Em adição ao uso de criptografia de ponta-a-ponta para proteger o conteúdo de suas mensagens enquanto elas estão em trânsito, você também pode usar encriptação total de disco para proteger suas informações enquanto estão armazenadas em seu dispositivo. Criptografia de disco significa que todas as informações em seu dispositivo são indecifráveis sem sua chave de criptografia (geralmente uma palavra-chave), criando um ponto final reforçado que é muito mais difícil de comprometer. Ainda que criptografar seu ponto final não seja necessariamente uma proteção contra os métodos mais insidiosos de vigilância, como malware, a criptografia pode prevenir que adversários que tomam posse de seus dispositivos tirem qualquer informação útil deles.


Criptografia de ponta-a-ponta não é de forma alguma um escudo mágico contra a vigilância feita por adversários Estatais ou indivíduos maliciosos, mas como visibilizado no Vault 7, seu uso pode ajudar a forçar uma mudança de procedimento: ao invés de vigilância de arrasto em massa, ataques direcionados super dispendiosos. Quando aliados ao bom senso, a dispositivos criptografados, e demais práticas de segurança, a E2EE pode ser uma ferramenta poderosa para reduzir significativamente a área de ataque. O uso consistente e habitual de criptografia de ponta-a-ponta pode anular muitas das ameaças de nível inferior e podem até mesmo levar adversários de alto nível a decidir que lhe atacar simplesmente não vale o esforço.

Leitura Adicional

— Por Elle Armageddon

Traduzido do inglês da postagem original em Crimethinc.

Traduzido do projeto Me and My Shadow do Coletivo Tactical Tech.

Alternativas ao Google

Da Busca do Google ao Google Maps e o Google Docs, geralmente usamos os serviços do Google sem pensar muito sobre isso. Isso significa um montão de dados nossos indo pro google. Descubra quais serviços alternativos existem.

As alternativas apresentadas nesta página são:

  • livres e de código aberto, e não-comerciais.
  • projetadas para permitir que você tenha algum controle sobre seus dados, e fornecem melhor privacidade e segurança.
  • desenvolvidas mais ou menos independentes umas das outras, o que distribui seus dados, assim como o pode daqueles que possuem ou cuidam dos serviços.

Elas incluem JitsiMeet (chamadas e vídeo-conferências), DuckDuckGo (busca) Firefox and Tor (navegadores), Etherpad (criação textual colaborativa), Open Street Maps (mapas), e outros.

Por que usar alternativas?

Google é uma companhia comercial
Ela funciona na base do lucro. Se ela dizer que “não vende seus dados” é verdade ou não, isso é quase irrelevante. No fim das contas, o que o Google vende é a sua atenção (a propagandas e outras empresas). Para saber como melhor capturar a sua atenção, a com o quê, eles precisam coletar, armazenar e analisar tantos dados quanto for possível. O que nos leva a:

Google possui um monte de informações sobre você
O mote do Google é “Uma conta para tudo”. Quando pensamos em todos os serviços que o Google fornece – Gmail, Google Search, Youtube, Google Maps, Chrome browser tanto para o seu espertofone quanto para computador – e o quão profundamente inter-relacionados estão todos eles, é muita informação detalhada sobre você o que eles estão coletando.

Fichas digitais demais numa única aposta
Google começou apenas como um motor de busca. Desde então, foi se transformando numa das maiores e mais pderosas companhias do mundo. Seria uma boa ideia usar todos os seus serviços e deixar que uma única companhia se torne o nó central que lida com todos os seus dados?

Falta de encriptação ponta a ponta
Os produtos do Google que funcionando através do navegador – gmail, google hangouts e google talk, por exemplo – possuem de fato um nível básico de encriptação, chamado HTTPS. Isso significa que seus dados em trânsito (entre o seu aparelho e o servidor) estão protegidos de olhos externos, mas o Google ainda tem acesso a eles. Nenhum produto do Google, por padrão, possui encriptação ponta a ponta, o que protegeria seus dados inclusive do Google.

Google é uma companhia gringa
É sempre bom lembrar que o seu conteúdo e os seus dados pessoais que o Google possui estarão sujeitos às leis dos EUA.

As alternativas são viáveis?

Talvez você não se empolgue muito em trocar a conveniência do Google por uma promessa abstrata de mais controle sobre seus dados. Porém, pense assim: cada novo serviço alternativo que você usar irá prevenir que o Google adicione mais informações no perfil que ele tem de você.

Motores de Busca

Alternativas para a Busca do Google:

Duck Duck Go

Cookies: por padrão, não usa cookies
Política de Rastreamento: não rastreia e não cria perfis dos usuários
Informação pessoal: não recolhe ou armazena
Encriptação: sim, HTTPS

Searx

Cookies: por padrão, não usa cookies
Política de Rastreamento: não rastreia e não cria perfis dos usuários
Informação pessoal: não recolhe ou armazena
Encriptação: sim, HTTPS
Possuído e administrado por: La Quadrature du Net

StartPage

Cookies: não usa cookies identificadores
Política de rastreamento: não guarda o IP dos seus usuários
Informações Pessoais: não coleta ou compartilha dados pessoais
Encriptação? Sim, HTTPS
Extra: Oferece um serviço gratuito de proxy que permite navegação anônima online

Ixquick

Cookies: não usa cookies identificadores
Política de rastreamento: não guarda o IP dos seus usuários
Informações Pessoais: não coleta ou compartilha dados pessoais
Encriptação? Sim, HTTPS
Extra: Oferece um serviço gratuito de proxy que permite navegação anônima online

 

Video-conferência

Alternativas ao Google Hangout:

Jitsi Meet

Fácil de usar? Sim, vídeo-conferência no navegador
Encriptação? Sim, HTTPS
Aumentar o anonimato: Sim, Jitsi Meet não requer a criação de contas nem requere o acesso à sua lista de contatos. Funciona através da criação de um link usado apenas uma vez que pode ser compartilhado por email ou chat.
Possuída e administrada por: equipe Jitsi.

 

Navegadores

Alternativas ao Google Chrome

Firefox

Fácil de usar? Sim
Aumenta o anonimato? Não, não por padrão. Existe, entretanto, uma gama de extensões e plug-ins disponíveis para aumentar sua privacidade através de, por exemplo, bloqueio de rastreadores. Aqui estão as nossas recomendações. Você também pode customizar suas configurações padrão para administrar seus cookies e seu  histórico de navegação.
Possuída e Admiinstrada por: Mozilla

 Tor Browser

Fácil de usar? Sim
Aumenta o anonimato? Sim, o Tor browser foi criado especificamente para aumentar o seu anonimato, por esconder o seu endereço de IP e outros identificadores únicos do seu navegador. O Tor browser não inclui, por padrão, funcionalidades contra o rastreamento online nem ganha dinheiro com os dados de usuário.
Nota: Esteja atento que o uso do Tor pode levantar uma bandeira vermelha sobre a sua cabeça, então nem sempr epode ser a melhor opção para você. Mais informações sobre o Tor browser aqui.
Possuído e administrado por: projeto Tor

Edição colaborativa de textos

Alternativas ao Google Docs

Etherpad

Fácil de usar? Sim
Aumenta o anonimato? Sim; o Etherpad não exige que você crie uma conta nem exige acesso à sua lista de contatos. Funcionar através de um link único para um bloco de notas que pode ser compartilhado por email ou chat. Além disso, o bloc pode ser protegido por senha, o que evita que pessoas não autorizadas tenha acesso a ele.
Possuído e administrado por: Fundação Etherpad.

[Mais uma sugestão:

ethercalc

Fácil de usar? Sim, é só entrar no site e criar um documento.
Não necessita cadastro, é um software de código aberto e gratuito.]

Mapas

Alternativas ao Google Maps:

Open street map

Fácil de usar? Sim
Possuído e administrado por: comunidade Open Street Map, apoiada pela Fundação Open Street Ma.

Documentos compartilhados

Alternativas ao Google Drive:

OwnCloud

Fácil de usar? Não muito; você precisa rodá-lo por conta própria
Aumenta o anonimato? Sim; Since you’re hosting your cloud storage yourself, you have control over whom your data is shared with.
Encryption: Owncloud enables the encryption of files.
Owned and managed by: OwnCloud.

[Outras opções são:

syncthing

Software rodado em cada um dos seus dispositivos para fazer sincronização de arquivos. Pode-se fazer a sincronia de uma pasta, por exemplo, com outros usuários. Desenvolvido em código aberto, gratuito, encriptado, porém não é muito fácil de botar pra funcionar.

share.riseup.net

Endereço para subir e compartilhar arquivos de no máximo 50MB. Os arquivos são encriptados no navegador e somente em seguida vão para o servidor do riseup. Cada arquivos está endereçado com um link que dura uma semana. Após esse período tanto o link como o arquivo são apagados.]

 

Chat

Alternativas ao Google Talk (para telefone)

Veja a página de Aplicativos de chat alternativos sugeridos pelo Coletivo Tactical Tech.

[Em breve colocaremos nossas próprias sugestões aqui.]

 

Email

Alternativas ao Gmail [As sugestões a seguir são nossas]

Riseup.net

Fácil de usar? Sim. Acesso por Webmail ou programa de e-mail para desktop.
Possuído e administrado por: Coletivo riseup.net.
Aumenta o anonimato? Sim; além da criptografia básica de navegador (https) e de transporte (SSL), o coletivo riseup armazena todos os e-mails de forma criptografada nos seus servidores. Isso significa que nem mesmo as pessoas do coletivo tem acesso aos dados, tornando impossível a venda de suas informações para empresas ou que, no caso de uma ordem judicial, tenham algo útil para entregar para o governo. Além disso, o riseup não envia seus endereços de IP junto com suas mensagens ou armazena esses endereços nos servidores.
Permite acesso via endereço Onion? Sim.

Inventati/Autistici

Fácil de usar? Sim. Acesso por Webmail ou programa de e-mail para desktop.
Possuído e administrado por: Coletivo Autistici/Inventati.
Aumenta o anonimato? Sim; muito similar aos serviços oferecidos pelo coletivo riseup, criptografia básica de navegador e de transporte, nenhum tipo de análise ou venda do conteúdo de suas mensagens, e não armazena seu endereço de IP nos servidores.
Permite acesso via endereço Onion? Sim.

ProtonMail

Fácil de usar? Sim. Acesso apenas por Webmail ou aplicativo Android e iOS. Não permite integração com programa de e-mail para desktop.
Possuído e administrado por: Proton Technologies AG.
Aumenta o anonimato? Sim; Armazena e-mails em servidores criptografados. A única forma de descriptografar as mensagens é com a senha de usuário, que a empresa alega não armazenar. Não escaneia ou arquiva e-mails para vigilância de arrasto ou venda de informações. Não armazena endereços de IP. Oferece outras funções como envio de e-mails com tempo de expiração e criptografia simétrica. Está disponível em uma versão grátis limitada e versões pagas.
Permite acesso via endereço Onion? Sim.

 

 

Saiu em 2015 um livro em inglês chamado “Obfuscation“, de Finn Btunton e Helen Nissenbaum.

O conteúdo trata de como se mover de forma mais segura no meio da vigilância. Exemplos de técnicas seriam despistar ou criar ruído, se “camuflar” digitalmente, ou então fazer umas pequenas sabotagens. A primeira parte trata de casos reais de ofuscação, não apenas digital, mas de várias áreas como radares, poker ou grampo.

Já a segunda parte vai tentar responder às seguintes perguntas: Por que a ofuscação é necessária? Podemos justificá-la? A ofuscação funciona?

Tudo isso levando em conta o contexto onde esta técnica está sendo usada: se você está agindo individualmente ou em grupo, quais são os meios de vigilância do seu adversário, sua ação é pública ou secreta ou anônima, sua escala de tempo é de curto ou médio prazo, etc.

Ainda não terminei de ler, mas já posso dizer que minha percepção sobre cultura de segurança se ampliou: ao lado da criptografia, a ofuscação parece trazer meios viáveis para as pessoas que não querem deixar de usar os serviços digitais comuns se protegerem melhor e resguardarem mais a sua privacidade.

baixe o PDF.

Obfuscation_