Não é só a NSA que quer as nossas informações: os ladrões também

Os sistemas de vigilância que vieram do frio

Com toda a atenção mediática centrada no programa PRISM, que permite às autoridades norte-americanas controlar em tempo real as comunicações electrónicas mundiais, é importante não esquecer que há muitas outras formas de vigilância a ser usadas no hemisfério ocidental com origem em países de tradições menos democráticas. Como a Rússia, por exemplo.

Preocupadas com os acontecimentos da chamada Primavera Árabe, as autoridades russas adquiriram uma série de tecnologias destinadas a controlar as actividades dos seus cidadãos que estão também a ser usadas nos Estados Unidos. Elas incluem um sistema de reconhecimento de voz, um programa de identificação facial, sistemas de intercepção na internet feitos especificamente para ciber-cafés, hotéis e outros locais públicos, escutas telefónicas ilegais e localização de autocarros. Está tudo explicado neste artigo da Wired.

universal-credit-big-brother

Navegar na internet sem que os americanos nos apanhem

As notícias sobre a existência do programa PRISM – que permite ao governo americano aceder a todos os nossos dados e comunicações electrónicas – chamou a atenção para uma questão cada vez mais importante: a privacidade na internet. Saber que alguém, sentado num computador, a milhares de quilómetros de distância tem a capacidade de aceder ao conteúdo dos nossos emails, sms, pesquisas, dados pessoais, etc, é, numa palavra, assustador. No entanto, desligar a ficha do computador ou cancelar o fornecimento de internet não é a solução. A alternativa passa por tomar medidas simples. Navegar na internet sem deixar rasto? Fácil. Motores de busca que não guardam os nossos elementos? Tranquilo. Usar emails encriptados? Canja. Codificar arquivos no computador? Mais complicado, mas acessível. Comunicar em chats que se auto-destroem? Feito. Como? Basta lerem e seguirem as instruções deste artigo da Pública, a agência brasileira da qual O Informador é parceiro. 

O beabá do código

O guia da Pública de criptografia e outros recursos para proteger sua privacidade e escapar da vigilância online

Por Murilo Roncolato

Imagine que estranho seria encontrar alguém contando fatos pessoais, como os lugares que frequenta, a que horas sai de casa ou o número de telefone, a qualquer um na rua? É isso o que a maioria dos usuários da internet já fizeram e continuam fazendo todos os dias. A quantidade de informações que colocamos à disposição de pessoas que não conhecemos – estejam elas trabalhando para empresas privadas ou governos – é imensa.

Aplicativos, sites navegadores, serviços de e-mail, lojas virtuais, todos eles sabem mais sobre nosso “rastro” virtual do que nós mesmos e, se a política de privacidade permitir, esses dados podem ser vendidos a terceiros.

Desde a década de 90, muitos hackers e militantes da liberdade na internet já pensavam em maneiras de assegurar no mundo virtual a mesma privacidade que temos no real. A saída, concluíram, era popularizar a criptografia, sistema matemático que garante segurança de comunicações através do uso de uma senha, ou “chave”, que “tranca” o conteúdo no envio e o “destranca” no recebimento. Isso pode ser particularmente útil para quem trabalha com informações sensíveis, como jornalistas, ativistas, membros de movimentos sociais e advogados.

Navegação anônima, redes virtuais privadas, programas de encriptação, e-mails protegidos, moedas virtuais e sistema de mensagens instantâneas seguras. Tudo isso existe e está acessível ao grande publico. Depois do lançamento do livro de Julian Assange no Brasil, Cypherpunks, que é, segundo o próprio autor, “um chamado à luta criptográfica” contra a vigilância na rede, a Agência Pública traz um guia fácil para se proteger no mundo virtual:

=> NAVEGAÇÃO ANÔNIMA

TOR

O que é?

Tor é um programa desenvolvido pela Marinha americana na década de 1970 e que hoje é sustentado pela ONG Tor Project, apoiada por entidades como a Electronic Frontier Foundation (EFF) e Human Rights Watch, e por empresas como o Google.

Por que usar?

Quando navegamos pela internet, todo o conteúdo que vemos – por exemplo em um site de notícias – está armazenado num servidor localizado em algum lugar do mundo. Para acessá-lo, o seu computador, identificado por um endereço de IP, navega através da rede até o servidor onde está localizado o conteúdo. Ele solicita a página que então volta pela rede até o seu computador.

O que o Tor faz é mascarar o seu endereço IP, levando a sua solicitação por uma rede “amigável” e criptografada. Assim, ele garante o anonimato do seu computador e do servidor de onde partirão os dados com os quais se quer interagir. Se o objetivo é proteger aquilo que você está fazendo – como transmitir dados secretos ou sensíveis – o Tor é a sua melhor ferramenta.

Como usar?

Pelo Tor, também se tem acesso a uma série de páginas que os buscadores tradicionais não encontram (simplesmente porque elas não querem ser achadas). Isso faz do Tor um grande oceano de páginas e conteúdos secretos, privados e até ilegais. Por isso, a melhor forma de se usar o Tor é garantir que o seu antivírus e firewall estejam atualizados, e navegar por redes seguras, protegidas pelo protocolo HTTPS (leia abaixo).

Para baixá-lo, clique aqui. Vale lembrar que a navegação por Tor é mais lenta do que a navegação normal, por conta dessa “capa” de proteção.

print1_tor1

Após instalar, execute o “Tor for Browser”

print2_tor2

O Vidalia, o iniciador do Tor, vai carregar as configurações e tentar se conectar à rede

print3_tor3

Após concluído, o Firefox com Tor abre uma página que informa o estado de conexão com o Tor

Há outras alternativas?

Sim, há outras ferramentas que também são bem fáceis de usar. São elas: CocoonChrisPC Anonymous ProxyUltraSurfHideMyAss. Este último tem, assim como o Tor, um software para download que garante o anonimato, mas além disso, usando apenas o site é possível ter acesso a uma série de serviços úteis como o Web Proxy – um acesso alternativo e anônimo a sites – e o Anonymous E-mail.

=> NAVEGAÇÃO SEGURA

HTTPS Everywhere

A Electronic Frontier Foundation (EFF) é uma ONG que defende os direitos dos usuários e preza pela liberdade e privacidade na rede. Além do Tor, ela aconselha o uso de um simples plugin para o navegador chamado HTTPS Everywhere, que faz com que o seu navegador ande somente por páginas protegidas por criptografia. Basta baixar o plugin, que ele já começa a funcionar.

Para ajudar a explicar, a EFF fez um infográfico que mostra o caminho entre o usuário e o servidor, com todos os possíveis agentes intermediários – desde operadoras de internet até serviços de seguranças e espionagem –, demonstrando como o uso do HTTPS Everywhere junto com o Tor aumenta a sua privacidade. Confira aqui.

Modo “anônimo” ou privativo

Os navegadores mais comuns – Chrome, Firefox e Internet Explorer – oferecem a opção para o usuário de navegar no modo “anônimo” (Chrome), “privativo” (Firefox) ou “InPrivate” (Explorer). É preciso cuidado. Isso não significa, em nenhum dos casos, que o usuário está anônimo. Mas significa que os navegadores não vão registrar o seu histórico, buscas, downloads, cookies (arquivos gravados em seu computador que registram dados de navegação) e arquivos temporários.

Para ativar esse estilo de navegação: no Chrome, você deve teclar Ctrl + Shift + N; no Firefox e no Internet Explorer, aperte Ctrl + Shift + P. Essas são teclas de atalho, é possível encontrar o modo “anônimo” pelo Menu de cada navegador.

=> EMAIL

Existem algumas formas bem fáceis de enviar e-mail de forma protegida.

1) Crie o seu e-mail em um serviço que garanta a sua privacidade. Sugerimos o HushmailLavabitVmail ou o TorMail – cujo acesso só pode ser feito via Tor. Como num email normal, basta criar a conta normalmente. O importante é que há a opção de criptografar as mensagens. A “chave” privada é muitas vezes uma pergunta que apenas o destinatário sabe responder.

print5_tor5

TorMail é um serviço de e-mail independente gerenciado na rede Tor

print7_hushmail2

Com o Hushmail, é possível gerar uma chave privada e encriptar o e-mail, tornando-o mais seguro

print8_hushmail3

O destinatário recebe um link que o direciona à página na qual lerá o e-mail
A tela com a pergunta aparece (a resposta é chave)

print9_hushmail4

Só após responder à pergunta, inserindo a chave, o acesso ao conteúdo é liberado

2) Crie contas de e-mail “descartáveis”. Tratam-se de endereços de e-mail gerados temporariamente. Depois de 60 minutos ou 24 horas eles deixam de existir e todos os e-mails enviados para aquele endereço vão com ele. Há muitos serviços assim por aí, mas dois bem populares são o Mailinator e o IncognitoMail.

=> ARQUIVOS E MENSAGENS

PGP

Você também pode criptografar os arquivos do seu computador para que possam ser enviados pela internet, protegidos pelo “código” ou “chave”, ou mesmo ser carregados no seu computador ou em um pendrive. Nos Estados Unidos, por exemplo, os agentes da alfândega podem revisar o conteúdo de qualquer computador que atravessar a fronteira; se o seu conteúdo estiver criptografado, dificilmente ele sera desvendado.

Um bom programa é o PGP (Pretty Good Privacy), que criptografa qualquer arquivo do seu computador. Você pode fazer o download e a assinatura da versão proprietária aqui ou baixar o software livre similar, o GnuPGP (disponível para Mac OSWindows e derivados do Linux, ).

O GnuPG criptografa arquivos e mensagens usando a técnica de criptografia de chaves assimétricas. Uma analogia é a de caixas de correios com duas fechaduras, sendo que uma se refere à caixa onde as mensagens serão depositadas e a outra à caixa por onde o dono as receberá e, assim, terá acesso ao seu conteúdo. A primeira chave da sua caixa é pública, todos podem e devem ter acesso a elas para que você possa receber mensagens. A segunda, que permite acesso ao conteúdo das mensagens, é privada.

Esse sistema possibilita que duas pessoas troquem mensagens entre si (basta saberem a chave pública do outro) sem correrem o risco de ter sua comunicação interceptada (já que o acesso só é permitido para quem souber a chave privada). Clique aqui para começar.

Truecrypt

Truecrypt

O Truecrypt é outro programa que criptografa de maneira segura qualquer arquivo no seu computador. Para fazer isso, ele cria um  “diretório” secreto, criptografado, onde podem ser inseridos os arquivos.

Você pode baixar aqui o programa e executá-lo no seu computador. Depois, pode “criar um volume”, ou container criptografado, em um diretório não utilizado do seu computador (por exemplo, N: ou R:). Crie em local pouco comum e não o nomeie com algo que possa chamar a atenção, como “arquivos importantes”, por exemplo.

Depois, você terás que criar um tamanho para esse “volume” – como, por exemplo, 1 Mb – onde todos os seus arquivos possam ser “guardados” de maneira segura. Então sera a vez de criar uma senha segura à qual apenas você terá acesso. O container criptografado pode ser aberto em qualquer computador que possua o Truecrypt. Com o container “montado”, ou “aberto”, é possível copiar arquivos e também apagá-los, como num arquivo comum. Clique aqui para ver o passo a passo.

=> BUSCADORES ALTERNATIVOS

Buscadores são serviços que procuram conteúdos desejados a partir de palavras-chave em inúmeros servidores. O mais usado no mundo é bom e velho Google. O problema é que, por saberem de tudo sobre o que você deseja mais informações, eles são donos de boa parte do seu comportamento na web, dos seus anseios e das suas áreas de interesse, por exemplo, que podem ser vendidas a anunciantes interessados em direcionar publicidade para você – ou enviar um alerta caso você esteja investigando algo sensível.

Para quem gosta de privacidade, isso é péssimo.

A saída é usar buscadores que o mantenham anônimo, não registrem nada sobre o seu uso e sejam tão eficientes quanto o Google.

Como usar?

print10_duckduckgo

Os dois buscadores mais recomendáveis são o DuckDuckGo e oStartPage. O primeiro foi criado no fim de 2008 e não guarda seus dados de navegação, usando um misto de busca do Yahoo, Wikipedia e Wolfram Alpha. O StartPage usa o motor de buscas do Google, mas garante a privacidade do usuário, não registrando seu IP e não permitindo cookies.

=> CHATS

Há muitas maneiras de se comunicar com amigos via chat de forma segura. Uma delas é bem simples porque é feita através de serviços de mensagens que se autodestroem; a outra é a utilizada por Jacob Appelbaum, colaborador do WikiLeaks e o hacker apontado como “o homem mais perigoso do ciberespaço”.

Como usar?

Há na internet muitos serviços online gratuitos de envio de mensagens encriptadas, que exigem uma chave privada para se ter acesso, e que se autodestroem em um tempo determinado pelo autor do conteúdo.

Alguns são bens fáceis de usar e trazem aplicativos para Android e iOS, como o Burnote,  Privnote e o Wickr. É simples: faça uma conta, crie uma mensagem, estabeleça uma senha que os participantes da conversa saberão, defina o tempo para autodestruição e envie o link (por e-mail, no caso do Burnote, ou diretamente para o contato, caso do Wickr).

print11_burnnote1

Gera-se a mensagem, coloca-se senha, tempo para autodestruição e o e-mail do destinatário.

print13_burnnote3

Após clicar no link da mensagem e colocar a senha, quem a receber terá a determinada quantidade de tempo para ler o conteúdo escondido (com uma espécie de lanterna virtual) e responder.

Jabber

print14_pidgin1

Crie sua conta no Jabber, baixe o software para chat chamado Pidgin, indicado pelo Jacob, e baixe este plugin para o Pidgin, que garantirá criptografas todas as mensagens trocadas (o chamador OTR, sigla para off-the-record messaging). Instale o Pidgin e o plugin.Execute o Pidgin e adicione a sua conta do Jabber.Em “Protocolo”, selecione “XMPP” (nome atual do Jabber), em “Nome de usuário” coloque o nome da sua conta do Jabber; em “Domínio”, coloque “jabber.org” e a senha. Defina um apelido e clique em “Adicionar”.

Criada a conta, vamos ativar o plugin OTR. Vá em “Ferramentas” e “Plugins” (ou tecle Ctrl + U). Procure por “Off the Record Messaging” e clique em “Configurar Plug-in”. Selecione sua conta do Jabber e libere as opções “Enable private messaging”, “Automatically enable private messaging” e “Don’t log OTR conversations”. Isso fará com que o Pidgin detecte quando o seu contato usa OTR e gerará uma conversa privada, com uso de senha, para os dois; e também não arquivará o histórico da conversa. Clique em “Generate” para gerar a sua “impressão digital”, é ela que vai mostrar para o seu amigo que você é você.

Pronto, feche e adicione seus contatos (Ctrl + B) e inicie seus chats de forma segura.

Vale lembrar que de nada adianta usar todos esses recursos, que te permitem uma navegação segura e anônima, se você disponibilizar seus dados em sites como Facebook, Google +, Youtube, ou outros. Ter cuidado com o seu “rastro” digital depende apenas de você.

O ciber-crime é uma realidade. E combatê-lo custa dinheiro

A China já admitiu ter uma unidade do exército dedicada aos ciber-ataques. Ontem, o The Washington Post noticiou que hackers chineses acederam a dados sensíveis dos principais programas de defesa dos Estados Unidos. Na Europa, os governos começam a tomar medidas. Por cá, são poucos os que se dedicam a esta realidade. Um deles, o professor José Tribolet, já alertou várias vezes para a debilidade dos sistemas informáticos do Estado português. Já para não falar dos bancos, um alvo apetecível por todos os motivos.

Olhem à volta. É provável que haja uma câmara a filmar-vos

Em Londres, há uma câmara de video-vigilância para cada 14 pessoas. Ao mesmo tempo, as autoridades estão a utilizar drones para localizar suspeitos. Ameaças estão a ser identificadas com base no comportamento corporal de cidadãos anónimos. Alguns – cada vez mais – são detidos apenas porque não olharam directamente para um polícia e preferiram encarar os degraus ao entrar na estação de metro. As suas casas são revistadas. Tudo em nome da luta contra o terrorismo. Nos países ocidentais esta é uma tendência geral. De um lado está o argumento da segurança e do interesse público. Do outro o direito dos cidadãos à privacidade. Qual deles deve prevalecer? 

Marco Borges: a aventura chegou a Espanha

Depois de ser notícia na Time, no USA Today e na revista Sábado, a aventura de Marco Borges na China como treinador de guarda-costas foi motivo de uma reportagem da espanhola RTVE. Em 1m25s assistimos aos detalhes dos treinos e também às explicações do português – que recebeu formação e se tornou formador na International Security Academy de Israel – sobre o que é ser guarda-gostas em ambientes de risco elevado.

O seu a seu dono: soube desta emissão através do Alter Ego.

Segredos (mal guardados)

Um jornalista não é só um contador de histórias. É também o oposto: um guardião de segredos. E um dos bens mais preciosos que um jornalista pode ter é a identidade das suas fontes de informação confidenciais: aquelas cujos empregos podem realmente ficar em risco por decidirem partilhar informação cujo interesse público as faz ultrapassar o dever de sigilo. 

Regularmente ouvimos falar em inquéritos às fugas de informação. Seja na Procuradoria Geral da República, seja em qualquer ministério do governo. Não é novo. O objectivo é claro: descobrir quem passou determinada informação a um jornalista. Há inúmeros casos de repórteres  condenados em tribunal por se recusarem a revelar a identidade de uma fonte. Mesmo em Portugal. A novidade é que hoje em dia, não é preciso uma ordem judicial para um governo descobrir com quem fala um jornalista. Basta uma ligação à internet.

A maioria das comunicações são feitas por telefone ou email. Os jornalistas guardam informação sensível no computador, no smartphone ou no iPad. E são poucos os que têm algum tipo de cuidado para evitar intercepções telefónicas ou intrusões no computador – mesmo nos grandes jornais internacionais como é o caso do The New York Times. E há governos democráticos a aproveitarem-se disso.

Recentemente, a American Jornalism Review publicou um excelente artigo sobre o assunto. E o produtor da BBC, Stuart Hughes, apesar de concluir que nenhuma comunicação é 100% segura, colocou online uma série de conselhos para criar um “sistema de defesa”:

– Keep any device that holds sensitive information with you at all times. Don’t let it out of your sight. If it’s impractical to carry your laptop with you 24 hours a day, consider using an encrypted memory stick, or create an encrypted hidden partition on your hard drive using commercially available software.

– Create a “Pocket PC” – a USB stick loaded with the free Linux operating system – to reduce the risk of sensitive data being left on an infected computer.

– Lock your laptop and smartphone with a strong password made up of a long string of letters and numbers. Also make sure that the laptop BIOS is locked down and has a strong password. Don’t use any word appearing in a dictionary. A determined hacker will be able to bypass a password but it may deter an opportunist intruder.

– Use an open source Voice Over IP (VoIP) application such as Asterisk, rather than landlines or mobile phone networks, for more secure voice calls. Because the source code is freely available, any security loopholes are often quickly spotted and patched by developers. Making calls via Skype is safer than using local telephone networks, but because the source code is closed it’s difficult to know who’s able to hack it.

– ‘Chunk’ sensitive information and send it in small blocks using different methods of communication – email, SMS, instant messenger. Anyone monitoring your digital traffic may be able to intercept part of the message but they’re less likely to be able to see the full picture if it’s divided up and sent over various platforms.

Em Portugal, há um conjunto de pessoas capazes de entrar em qualquer computador ou de interceptar qualquer comunicação telefónica, por mais segura que se julgue ser. Não duvido que uma boa parte das redacções dos jornais esteja sob vigilância, ilegal, por parte dos serviços de informações. Cabe-nos tornar-lhes a vida mais difícil. E continuar a revelar os segredos que têm de ser revelados.