Sobre a arte de se camuflar: segurança e computadores

Nov/2013 Esse zine é uma publicação Anti-Copyright. Divulgue, copie e transforme à vontade.

Sobre a arte de se camuflar: segurança e computadores

Nov/2013

Esta é uma postagem pública.

Esse zine é uma publicação Anti-Copyright. Divulgue, copie e transforme à vontade.

Quão grave é a situação?

Comecemos pelas notícias. A Agência de Segurança Nacional (NSA) dos Estados Unidos espiona grande parte das trocas de e-mail e das ligações que ocorrem no mundo inteiro, inclusive no Brasil. A Agência Brasileira de Inteligência (ABIN) revela que está monitorando as redes sociais para poder identificar os manifestantes que estão saindo às ruas. Uma investigação coordenada pela Interpol está mapeando grupos de esquerda no país. Mandatos contra manifestantes são expedidos e nesses fica revelado que telefones estão sendo grampeados e, no processo, computadores são confiscados para análise.

A situação é grave. Passou o tempo de se sentir seguro, estamos todos sendo constantemente violados no nosso direito à privacidade. As investidas vêm de um Estado cada vez mais policial e de corporações que colaboram com a lógica do controle para poderem aumentar seus rendimentos. Não são apenas nossas ações políticas que estão sendo vigiadas, nossos relacionamentos, nossas transações bancárias, ou seja, toda nossa vida está sob escuta. Esse cenário pode gerar medo e passividade, mas não temos mais tempo para o medo e a passividade só piorará esse cenário. É a hora de conspirarmos, mas silenciosamente. Para evitar a paranoia a melhor solução é fazer o possível para estar seguro.

Esse breve manual tem como intuito dificultar o controle a que todos nós estamos expostos. Mais do que fornecer o passo-a-passo (o que seria impossível devido ao espaço e tempo de que dispomos), a ideia é fornecer caminhos a se seguir. Isso não é uma solução para todos os problemas, pois na era digital uma comunicação livre de controle é quase uma utopia. Porém a proliferação de novos usos na internet deixarão tudo muito mais trabalhoso para os que nos perseguem.

Iremos nos focar nos computadores, mas muito poderia ser dito sobre telefones, celulares, reuniões e conversas de bar – talvez outro dia. Na primeira parte trataremos do caso dos computadores caírem nas mãos da polícia. Na segunda como se comunicar de forma segura através da internet. Na última como navegar anonimamente.

Protegendo os seus dados

Se a polícia pegar o seu computador ela terá acesso a uma quantidade enorme de informações sobre você, seus amigos, seus coletivos e suas organizações. É óbvio que isso não é nada bom. Mas existe uma forma simples de dificultar essa análise que é a criptografia. Em poucas palavras: essa é uma arte milenar que se trata de tornar ilegível um conteúdo para quem não tiver a senha correta.

Há duas maneiras de criptografar seus dados:
1. Criptografia total do disco.
Sem a senha ninguém terá acesso ao HD do computador. Todos os arquivos estarão automaticamente seguros e mesmo que o HD seja removido não será possível lê-los.
- Como fazer?
Isso depende de qual sistema operacional (Linux, Windows, MAC) você usa.
No caso do Linux, várias distribuições (Debian, Ubuntu, Red Hat) já têm essa opção na instalação do sistema. Recomendamos que você faça uma cópia dos seus arquivos e reinstale seguindo as informações dadas na instalação para criptografar.
Se você usa Windows ou Mac recomendamos o uso do programa Truecrypt. Há vários tutoriais na internet para utilizar essa ferramenta, infelizmente a maioria está em inglês, mas uma busca com cuidado será o suficiente para entender o programa.

2. Criptografia de arquivos, pastas e diretórios
Ao invés de proteger todo o computador, você pode proteger as partes mais sensíveis. Com esse método você cria um “lugar” onde tudo o que for colocado lá será criptografado.
- Como fazer?
Novamente recomendamos o Truecrypt.

Sobre senhas:

Não adianta muita coisa criptografar seus dados e colocar como senha “123456”. Uma senha forte é importante para garantir sua segurança e anonimato não só na criptografia, mas também nas suas comunicações. Aqui vão algumas dicas do pessoal do Riseup de como criar senhas fortes:
1. Não use a mesma senha para tudo. Você pode usar a mesma para o que não for muito importante, ou seja, o que não envolve privacidade ou questões financeiras. Para coisas muito importantes é sempre importante ter senhas únicas.
2. Não use senhas que sejam somente palavras existentes (não importa a língua). Uma das principais maneiras que as senhas são quebradas é utilizando programas de computador que tentam todas as palavras que existem no dicionário. Não vai ser sempre uma pessoa que vai tentar adivinhar suas senhas, mas sim computadores programados para tentar qualquer palavra (e combinação delas).
3. Nunca use o seu login como senha.
4. Pense numa frase ou numa música que você gosta que contenha números, como por exemplo: Meu Filho Nasceu No Dia 12 De Janeiro De 94. Agora pegue as primeiras letras das palavras da frase e os números: MFNND12DJD94.
5.Mude suas senhas de tempos em tempos.

Comunicando-se de forma segura

As nossas comunicações pela internet são muito sensíveis à vigilância. Como não podemos parar de nos falarmos é preciso escolher os meios mais seguros e saber quando usar cada um.

1. E-mails
Os e-mails corporativos (Gmail, Hotmail…) são particularmente inseguros. Essas empresas coletam constantemente dados sobre as nossas movimentações e não veem nenhum problema em entregá-los para as autoridades governamentais. A primeira coisa a se fazer é procurar servidores de e-mails seguros. Muitas são as opções, mas a mais conhecida é o Riseup. Essa rede de ativistas mantém um servidor seguro que coleta o mínimo de informações possíveis sobre você.
Uma boa ideia é ter mais de uma conta de acordo com o objetivo, mas não podemos exagerar porque é maldade sobrecarregar os servidores seguros. Se você quer uma conta para se registrar em algum lugar uma ótima opção são os e-mails temporários que são deletados depois de um tempo: GuerrillaMail.
A migração para servidores seguros já ajuda em muito se alguém quiser invadir a sua caixa de e-mails, mas não resolve o problema da interceptação do e-mail quando você mandar ou receber um. Um e-mail pode ser interceptado no caminho e lido, portanto se a informação for muito sensível é preciso tomar cuidados a mais. Uma boa solução é ter uma conta coletiva com os que têm que ter acesso à informação e ao invés de enviar o e-mail, gravar sempre nos rascunhos. Cada umas das pessoas terá a senha e poderá ler e gravar o que quiser nos rascunhos, evitando que o e-mail seja enviado e fique exposto. Outra boa solução é a criptografia.
- Como criptografar seus e-mails?
Para fazer isso pode ser utilizada a criptografia PGP. Nela cada pessoa tem uma senha pública e outra privada. A pública deve ser dada para todos aqueles que irão mandar e-mails para você e a privada deve ser guardada de uma forma segura. Nunca dê sua chave privada para ninguém! Quando alguém for lhe mandar um e-mail, a pessoa deverá criptografar com a sua senha pública e somente você (com a senha privada) poderá descriptografar. Você deverá saber as chaves públicas daqueles com quem você troca e-mails.
A maneira mais fácil de usar criptografia nos e-mails é utilizando um gerenciador de e-mails como o Thunderbird. Ele pode ser instalado em qualquer sistema operacional, mas alguma distribuições Linux já vêm com tudo necessário para a criptografia. Além desse programa é necessário que seja instalado um complemento ao programa que é o Enigmail. Por fim é necessário o download do software que fará o trabalho principal: GNU Privacy Guard. Existem tutoriais na internet que explicam esse processo passo-a-passo para cada sistema operacional (se você lê em inglês recomendamos The CryptoParty Handbook).
Depois de fazer a instalação você poderá gerar as chaves dentro do Thunderbird. Depois você terá que importar as chaves públicas dos destinatários que você irá receber e poderá sempre escolher se quer criptografar seus e-mails.

2. Comunicação instantânea
Quando trocamos ideia em chats e por videoconferência também estamos sendo monitorados. Existem alternativas desenvolvidas com software livre. Recomendamos o Pidgin-OTR. Além de instalar os programas, você deve ter certeza que está usando os complementos necessários para a criptografia.

3. Redes sociais
Definitivamente as redes sociais não são locais seguros. Mas não adianta ficar repetindo isso porque quase todo mundo sente que sem o Facebook não há internet – e para alguns não há nem vida. Portanto tenha sempre em mente que tudo o que você fizer nessas redes será registrado e será usado contra você quando for conveniente para os de cima. Estratégias de camuflagem são pouco eficientes nesses ambientes e além disso você estará fornecendo não só conteúdo, mas toda a sua rede de articulação para que o controle saiba com quem você anda.
Caso você queira usar redes sociais para se organizar recomendamos que você migre para redes sociais livres como a We.Riseup e a Saravea. Elas fornecem um bom instrumental para organizar tarefas, relatorias e discussões em grupo. Se quiser fazer amigos, recomendamos que saia de casa e vá dar uma caminhada na rua.

4. Publicações/limpando metadados
Metadados são dados pessoais seus que são colocados em todos os arquivos que você cria e que podem ser usados para identificar, por exemplo, quem escreveu um texto ou tirou uma foto. Alguns programas podem ser usados para limpar esses dados antes de postá-los na internet. Dentre eles recomendamos: o ExifTool e o Metadata Anonymisation Toolkit. Após a instalação basta abrir os arquivos nos programas e apagar os dados.

Navegando de forma segura

Navegar na internet não é apenas receber informações, nesse processo você está sempre enviando também informações. Essa troca pode ajudar a identificar você (através do seu número de IP por exemplo) e a mapear por onde você anda. Esses dados veem sendo utilizados em processos judiciais e uma simples busca no Google pode ser o suficiente para você virar um suspeito. Existem, entretanto, formas de dificultar esse mapeamento.

1. Navegador
É sábio utilizar navegadores desenvolvidos em código aberto, como o Mozilla. Qualquer navegador fala sobre você pelas costas, entregando informações para os sites que você visita, mas no Mozilla é possível de controlar esse processo. Depois de fazer o download e instalar o Mozilla, é interessante instalar alguns complementos que deixa a navegação bem mais segura. Para isso é só ir em Ferramentas > Complementos.
Adblock Edge – Bloqueia propagandas e rastreadores.
Disconnect – Para o rastreamento de outros sites na sua navegação.
HTTPS Everywhere – Criptografa suas comunicações em milhões de sites.

2. Buscas
O Google monta perfis das suas buscas que podem ser requisitadas legalmente ou usadas para lhe vender produtos. Alguns casos já ficaram famosos de pessoas que foram visitadas pela polícia em outros países porque pesquisavam no Google produtos de limpeza ou panelas de pressão. A alegação foi que esses produtos podem ser usados para montar bombas! Ou seja, não confie em buscadores corporativos. Duas boas opções são: DuckDuckGo e StartPage.

3. Camuflando o IP
Cada computador na internet tem um endereço de IP (Internet Protocol) único. Portanto é bom camuflá-lo sempre que sua navegação necessite segurança. Aqui vamos falar de duas formas de fazer isso:
Tor – O Tor é um programa que é utilizado para evitar a análise de tráfico. Para utilizá-lo basta seguir as instruções de download e instalação contidas no site oficial: torproject.org. Essa é a maneira mais segura de você navegar na internet e funciona através de uma rede de IPs na qual você entra e é redirecionado até conseguir utilizar a internet com um outro IP. Uma boa ideia é utilizar o navegador desenvolvido pelo projeto o Tor Browser Bundle.
VPN – O VPN é outra forma de camuflar. Quando você acessa o VPN, você entra em um servidor que possui um endereço de IP que será o que aparecerá nos sites. Essa forma é um pouco menos segura que o Tor, mas mais fácil de usar. Recomendamos que você não use um VPN de empresa, mas que use o do Riseup que é uma rede que se importa muito com sua segurança. Para instalar e entender como funciona você pode entrar no site: help.riseup.net/pt/pt-vpn.

Fontes interessantes:

Em português
Zine do Riseup sobre segurança: pt.protopia.at/wiki/Seguran%C3%A7a_Digi...
Dicas de segurança do Riseup: help.riseup.net/pt/pt-seguranca

Em inglês (infelizmente muita coisa boa ainda não foi traduzida):
The CryptoParty Handbook: www.cryptoparty.in/documentation/handbook
Anonymity/Security: 325.nostate.net/?p=3475

Nos vemos nas sombras!