Photo by Cristian Grecu on Unsplash

Sempre alertei clientes, conhecidos e amigos da importância de navegar em segurança, o que vai do bom programa de mensagens instantâneas até o anonimato da nossa navegação passando por boas senhas.

Em geral as pessoas negligenciam tudo isso e administram as crises quando aparecem, bem convenhamos que a maioria de nós não tem grandes motivos para ter receio de ter nossa vida online espionada.

Só que aí aconteceu de ser eleito um presidente cuja campanha usou e abusou de ameaças à liberdade de imprensa e de expressão, a grupos minoritários ou discriminados (mesmo sendo maiorias).

Muita gente está com medo e correndo do WhatsApp para o Signal.

Achei que era hora de voltar ao assunto e fazer um guia completo resumido porque tem tópicos em que já me aprofundei antes e outros que são extensos demais para um post, mas que podem ser suficientemente abordados apontando caminhos.

Tudo que apresentarei nesse guia será explicado de forma simples para as pessoas leigas possam fazer também.

Comecemos pelo medo maior (muito embora certamente não seja o risco maior).

Sem isso, desista!

Antes de ter qualquer preocupação com segurança você precisa resolver dois pontos:

  1. Você precisa de senhas seguras
  2. Seu sistema precisa ser seguro (Windows, Android etc)

Senhas seguras

É muito fácil resolver isso, você precisa usar um gerenciador de senhas. Pode ser o LastPass, que é gratuito, o 1Password que é pago ou qualquer outro gerenciador confiável.

“Ah! Mas isso é complicado!”

Sério, gente, isso é algo que a pessoa mais despreocupada entre todas nós devia fazer justamente para descomplicar a vida.

Se você não tem um gerenciador de senhas então, com certeza, usa senhas MUITO simples ou, o horror, usa a mesma senha em mais de um lugar.

Nada, mas nada mesmo pode ser mais complicado do que isso em termos de uso de senha. Já andei escrevendo sobre o problema das senhas na época do Heartbleed e até já sugeri como fazer a senha perfeita.

Mantendo o sistema seguro

Tenho boas e más notícias: hoje o maior risco para a sua segurança é você… Lamento. Claro que é uma péssima notícia carregar essa culpa, mas é ótimo saber que você provavelmente não terá que estudar coisas complicadas e nem colocar seu computador em uma gaiola de faraday.

Coisas a fazer ou não fazer para ficar em segurança:

  • Só instale aplicativos conhecidos e confiáveis
  • Prefira usar o Firefox ou mesmo o Chrome
    • Considere instalar extensões de segurança como as sugeridas pelo Privacy Tools.
  • Não deixe seu computador ou celular destravado ou mesmo travado longe dos seus olhos
  • Assine uma VPN com “DNS leak protection” como a NordVPN (isso já é um nível de segurança meio hard)

Acho que isso é o suficente, vamos ao que tem preocupado mais as pessoas: como conversar em segurança.

Mensagens Instantâneas

Signal e sua família

É verdade que o Signal é o sistema de troca de mensagens mais seguro, principalmente porque quase todos são “filhos” dele.

Os “bate papos sem rastro” do Allo, as conversas secretas do Messenger do Facebook, todos os chats do WhatsApp (inclusive os grupos) usam a mesma criptografia criada para o Signal, hoje chamada de Open Whisper Systems. Para mais informações consulte o artigo da Wikipedia sobre o Signal.

Por que ele é mais seguro?

A bem da verdade considero todos da família suficientemente seguros até para pessoas vivendo em regimes vigilantistas, no entanto realmente o Google (Allo), o Facebook (messenger e WhatsApp) podem não fazer a implementação completa do protocolo, o que se observa, por exemplo, no Allo e no Messenger que só o usam nas conversas secretas, como o Telegram, de quem falarei mais abaixo.

Além disso o Signal já foi testado em 2016 quando foi pressionado a revelar as comunicações entre dois celulares e deixou claro que toda a informação que seria possível recuperar do sistema era quando um dos números tinha entrado no sistema e a data do acesso mais recente.

A única desvantagem a levar em consideração é que ele é atrelado a números de telefone e, se uma pessoa com quem você se comunica entregar o celular destravado é possível identificar todas as pessoas com quem ela se comunica e até acessar as mensagens trocadas sem a opção de autodestruição.

O Viber… Achei que não valia a pena fazer um tópico para ele, muito embora tenha uma base razoável de usuários. Ele usa a mesma filosofia de criptografia da Open Whisper Systems, mas com uma implementação totalmente própria que não estudei a fundo para garantir que seja igualmente segura.

Telegram – Site

Apesar de haver quem o considere extremamente seguro e eu não tenha registro dele ter sido violado, o projeto tem alguns problemas, muito embora eu o use bastante, já digo para quê.

Problemas:

  • As mensagens padrão ficam armazenadas no servidor deles com uma chave de criptografia que poderia ser quebrada dando acesso aos seus conteúdos. A empresa tem preferido ser bloqueada em certos governos a fornecer as chaves, mas elas existem. Somente o chat secreto é realmente seguro e ainda assim usa outra forma de criptografia menos confiável que a da Open Whisper Systems
  • Atraso nas notificações. Se você precisa de notificação instantânea precisa saber que atualmente pode demorar 12h ou até mais para você receber a notificação de que te enviaram uma mensagem.

Não são tantos problemas afinal e, como ele tem grupos com até 5 mil pessoas e robôs programáveis para ajudar a administrar esses grupos e canais que são públicos e com audiência ilimitada ele pode ser uma excelente ferramenta de comunicação em países democráticos ou para divulgar conteúdo não comprometedor.

Wickr – Site

O Wickr é um dos mais antigos e seguros sistemas de trocas de mensagem em tempo real. E provavelmente o mais indicado se as suas prioridades são anonimato e segurança.

  • Assim como no Telegram é possível criar sua conta e se comunicar com outras pessoas sem a necessidade de associar ao número do telefone
  • O protocolo de segurança e criptografia, como no Signal, é Open Source, logo pode ser certificado por especialistas e organizações de segurança
  • O fato de haver versões pagas nos alivia de uma grande preocupação: como o sistema está se mantendo? de onde ele tira recursos? de algo que faz com os nossos dados escondido?

A única desvantagem vem de uma vantagem: ao não verificar o número do celular é possível que o seu contato (sou roneyb lá) não seja realmente o seu contato. Para isso é importante tanto manter a segurança da sua senha quanto só estabelecer contato se confirmar por outras vias que aquele é realmente o ID da pessoa.

Comunicação Ponto a Ponto

Todos os aplicativos até aqui armazenam as mensagens em um servidor enquanto elas viajam do seu celular (ou computador, já que a maioria tem aplicativos para Windows, MacOS e Linux) para o celular de destino.

Uma outra categoria de aplicativos dispensa o servidor transmitindo as mensagens diretamente de um celular para outro.

Esse é o “modo hard” da comunicação anônima e privativa.

Francamente, acho exagerado. Se você precisa desse grau de segurança provavelmente tem um aplicativo próprio desenvolvido pelo órgão de segurança do país para o qual você trabalha como espião ou espiã 😉

Alguns exemplos (mas pesquise serverless message para se atualizar):

  • Tox – Na verdade tem “servidor”, mas é distribuído pelos usuários mais ou menos como as redes torrent que alguns usam para distribuir filmes;
  • Bitmessage: Usa uma estratégia semelhante ao Tox, acima, distribuindo os servidores.

Conclusão sobre troca de mensagens

Você provavelmente usará ao menos dois programas de trocas de mensagem, um que a maioria das pessoas com quem você conversa usam, outro para trocar mensagens mais seguras, se você tiver essa necessidade.

O mais importante é entender as características, recursos e fragilidades de cada ferramenta.

WhatsApp, Telegram e Signal são três ótimas opções.

Use a opção de auto-destruição das mensagens.

Eu uso para lista de compras, coisas que não preciso guardar, mas se você trocar realmente mensagens confidenciais com outras pessoas é bom que elas se apaguem automaticamente.

Segurança dos seus arquivos

Todo mundo já deve ter visto algum filme em que a pessoa está prestes a ser capturada pelos bandidos ou pelos mocinhos e sai destruindo todo o conteúdo dos computadores.

Já que o pessoal está nível hard de preocupação com segurança acho bom pensar nisso também, né?

A melhor situação de segurança nesse caso é manter todo o seu conteúdo sensível no máximo em dois dispositivos, o seu computador e uma unidade externa.

Se você tiver recursos financeiros use SSD que podem ser apagados em minutos enquanto os HDs demoram muitas horas dependendo do tamanho.

Acho bom guardar também em um espaço online como o Dropbox para poder recuperar depois, mas se forem os seus boletins com notas baixas talvez seja melhor perder mesmo hehehehe.

Nos celulares estude a função que retorna o aparelho para as configurações de fábrica.

Em computadores, se quiser brincar de espião internacional, sugiro ter um pendrive com boot Linux (Ubuntu é ótimo) para dar boot por ele e mandar apagar todo o conteúdo do HD ou SSD do computador e já aproveitando para apagar a unidade externa também, conectada em outra porta USB.

Não cabe aqui dar instruções detalhadas porque tem dezenas de formas diferentes de fazer isso dependendo do seu sistema (Windows, Mac, Linux, desse ou daquele fabricante de hardware).

Como e onde publicar textos?

As pessoas que estão me procurando para saber sobre segurança online nesse momento estão preocupadas com a oposição e resistência que acreditam que terão que exercer nos próximos 4 anos pelo menos.

Um colchetes…

[Oposição porque discordam das plataformas e propostas políticas, educacionais, econômicas etc. do governo eleito.

Resistência porque o discurso do candidato eleito aponta diretamente para a supressão de direitos básicos e estimula agressão a diversos grupos e minorias]

Parece que andaram esquecendo o que é oposição e resistênci

O Facebook, antes de mais nada, é um buraco negro de conteúdo. Ele é projetado para atrair nossa atenção naquele dia e logo o conteúdo vai desaparecendo para raramente ser reencontrado.

Para escrever textos com alcance e persistência os sites jornalísticos e blogs continuam sendo a melhor opção (e o Twitter um dos melhores lugares para divulgar e interagir). Além disso é possível ser um pouco mais anônimo dessa forma.

Para ter um anonimato ainda maior há serviços que permitem criar textos sem deixar rastros, como o Telegra.ph, desenvolvido pelo mesmo time do Telegram.

Nesse caso recomendo sempre colocar o link para as fontes que dão suporte ao texto escrito. Se queremos construir uma sociedade cibernética temos que aprender a combater mentiras sustentando com evidências sólidas tudo que escrevemos ou dizemos.

Ah! Voltando lá aos sites e blogs, para a maioria das pessoas não são viáveis por custo ou complexidade.

Então, para a maioria de nós, as que não precisam manter anonimato, sugiro o Medium, que é ligado ao Twitter (foi criado pelo mesmo cara) e, além de gratuito e ter uma enorme visibilidade, é muito fácil de usar!

Como guardar artigos importantes

Você encontrou um texto excelente em um blog, jornal ou mesmo no Facebook de alguém, mas percebe que o blog pode ser perseguido, o jornal censurado e o artigo no FB pode ficar ficar perdido lá no meio.

Além disso você pode não lembrar onde leu a informação quando precisar dela para relembrar ou mostrar para alguém.

Você precisa fazer algum tipo de clipping como o meu clipping no Evernote com mais de 2 mil artigos.

Tem outros serviços cujo plano gratuito é suficiente para fazer um clipping, o importante é que ele possa se integrar ao seu navegador.

Procure um que te permita:

  • Classificar em pasta ou por palavras chave
  • Guardar apenas o link para o conteúdo ou o conteúdo todo para os casos em que você desconfie que o site pode sair do ar
  • Te deixe fazer comentários ao salvar o artigo pois algumas vezes você salvará textos com os quais não concorda.
  • Dê a opção de deixar seu clipping publicamente visível. Mas isso é opcional, se você tiver acesso ao que guardou já é ótimo

Paywall

Esse é um sub tópico do armazenamento de artigos.

Serviços como o Pocket e o Outline visam principalmente separar o conteúdo do artigo dos elementos gráficos como propagandas. O complemento do Evernote para os navegadores também é capaz disso, mas o Outline tem um efeito colateral que tem sido bem usado nessas eleições:

Ultrapassar que muitos jornais impõe ao seu conteúdo permitindo ler N artigos e depois só permitir ler mais se pagar uma assinatura ou, pelo menos, fazer um cadastro gratuito.

O Outline não só passa por cima da maioria dos paywall, como também guarda uma versão completa do artigo, assim, mesmo que o jornal seja extinto o artigo é preservado.

Imagino que futuramente os jornais fecharão totalmente seu conteúdo ou aprenderão a bloquear esses acessos.

Seja como for não recomendo esse tipo de uso e sim que nos mobilizemos junto aos jornais para que eles não coloquem artigos de importância crítica atrás de paywalls.

Considerações finais

Pergunte. Sugira. Comente suas soluções.

O objetivo desse post é dar uma visão geral da segurança de sistemas para pessoas em regimes políticos mais ou menos vigilantistas, mais ou menos autoritários e espero que o nosso atravesse esse período sem ir além do “flertando com o autoritarismo”.

Na prática provavelmente você pode seguir sua vida normalmente… Ah! Vou acrescentar um tópico importantíssimo! Como publicar textos online!

Pronto… Continuando…

Sinta-se à vontade para pedir outros tópicos, apontar falhas no que escrevi, pode ser privativamente pelo formulário de contato.