Surveillance
Self-Defense

Reproductive Healthcare Service Provider, Seeker, or Advocate?

  • Reproductive Healthcare Service Provider, Seeker, or Advocate?

    Tips, tools and techniques to keep you and your community safe while fighting for the right to reproductive healthcare.

    If you or someone you know is concerned about unwanted data collection while navigating online resources, providing or seeking services, or organizing with others, here is a list of guides to stay safe while doing so.

     

  • Avaliando Seus Riscos

    Tentar proteger todos os seus dados de todas as pessoas e todo o tempo é impraticável e extremamente cansativo. Mas não se preocupe! Segurança é um processo, e através de planejamento cuidadoso você pode avaliar o que é o ideal para você. Segurança não se trata das ferramentas que você utiliza ou dos programas que baixa, ela começa com a compreensão de quais são as ameaças específicas que você enfrenta e como você pode combatê-las.

    Em segurança da informação, uma ameaça é um evento potencial que pode tornar menos efetivos os esforços que você faz para defender seus dados. Você pode combater as ameaças que enfrenta ao entender que coisas precisa proteger, bem como de quem precisa protegê-las. Este processo é chamado de modelagem de ameaças.

    Este guia o ensinará como modelar ameaças, ou como avaliar os riscos aos quais suas informações digitais estão expostos e determinar quais as melhores soluções para você.

    Como é o processo de modelagem de ameaças? Vamos dizer que você deseja manter sua casa e seus bens seguros... Aqui estão algumas perguntas que você pode querer se fazer:

    O que eu tenho dentro da minha casa merece ser protegido?

    • Ativos podem incluir jóias, eletrônicos, documentos financeiros, passaportes ou fotos.

    De quem eu quero proteger estes ativos?

    • Adversários podem incluir: ladrões, colegas de quarto e visitas.

    O quão provável é que eu precise proteger estes ativos?

    • Minha vizinhança tem um histórico de roubos? O quão confiável são meus colegas de quarto/visitas? Quais são os recursos de meus adversários? Que riscos eu devo considerar?

    O quão graves serão as consequências caso eu falhe?

    • Eu tenho alguma coisa na minha casa que eu não tenha como repor? Eu tenho tempo ou dinheiro para repor ativos? Eu tenho um seguro que cubra ativos roubados da minha casa?

    Até onde eu estou disposto a ir para me prevenir destas consequências?

    • Eu estou disposto a comprar um cofre para documentos importantes? Eu tenho recursos para comprar uma fechadura de alta qualidade? Tenho tempo para alugar um cofre no meu banco e manter meus objetos de valor neste cofre?

    Uma vez que você tenha se feito estas perguntas, você estará em condições de avaliar que medidas deve tomar. Se suas posses são valiosas mas o risco de um roubo à sua casa é baixo, então talvez você decida não investir muito dinheiro em uma fechadura. Por outro lado, se o risco for alto você desejará comprar a melhor fechadura do mercado e ainda instalar um sistema de segurança.

    Construir um modelo de ameaça o ajudará a entender as ameaças específicas que você corre e a avaliar seus ativos, seus adversários e os recursos que estes adversários possuem, bem como a probabilidade de que tais riscos se tornem realidade.

    O que é modelagem de ameaças e por onde eu começo?

    A modelagem de ameaças o ajuda a identificar ameaças às coisas que você dá valor e determinar de quem precisa protegê-las. Quando estiver construindo um modelo de ameaça, responda a estas cinco perguntas:

    1. Que coisas eu quero proteger?
    2. De quem eu quero protegê-las?
    3. O quão graves serão as consequências caso eu falhe?
    4. O quão provável é que eu precise protegê-las?
    5. Até onde eu estou disposto a ir para tentar evitar potenciais consequências?

    Vamos avaliar uma a uma estas perguntas.

    Que coisas eu quero proteger?

    Um “ativo” é algo ao qual você dá valor e que deseja proteger. No contexto de segurança digital, um ativo é normalmente algum tipo de informação. Por exemplo: seus e-mails, lista de contatos, mensagens instantâneas e arquivos são todos possíveis ativos. Seus dispositivos também podem ser ativos.

    Faça uma lista de seus ativos: dados que você mantém, onde eles são mantidos, quem tem acesso a eles, e o que impede que outros os acessem.

    De quem eu quero protegê-las?

    Para responder a esta pergunta, é importante identificar quem pode ter você ou suas informações como alvo. Uma pessoa ou entidade que represente uma ameaça aos seus ativos é um “adversário”. Exemplos de potenciais adversários são seu chefe, seu ex-cônjuge ou ex-namorado(a), seu concorrente, seu governo, ou um hacker numa rede pública.

    Faça uma lista de seus adversários, ou daqueles que possam ter interesse em ter acesso aos seus dados. Sua lista pode incluir pessoas, agências governamentais ou empresas.

    Dependendo de quem sejam seus adversários, em alguns casos esta lista pode se tornar algo que você queira destruir após terminar sua modelagem de ameaça.

    O quão graves serão as consequências caso eu falhe?

    Existem diversas formas pelas quais um adversário pode ameaçar seus dados. Por exemplo, um adversário pode ler suas comunicações pessoais enquanto tem acesso à rede, ou pode apagar ou corromper seus dados.

    Os objetivos dos adversários diferem enormemente, assim como seus ataques. Um governo tentando evitar a disseminação de um vídeo que mostra violência policial pode se satisfazer simplesmente apagando ou reduzindo a disponibilidade deste vídeo. Por outro lado, um adversário político pode querer ter acesso a conteúdos secretos e publicar este conteúdo sem que você saiba.

    A modelagem de ameaças envolve compreender o quão graves as consequências podem ser caso um adversário ataque com sucesso um de seus ativos. Para chegar a esta conclusão, você deve levar em conta os recursos dos quais seu adversário dispõe. Por exemplo, sua operadora de telefonia móvel tem acesso a todas as suas ligações e, consequentemente, a capacidade de usar estes dados contra você; um hacker numa rede Wi-Fi aberta pode acessar suas comunicações não criptografadas; já seu governo pode ter recursos ainda mais abrangentes.

    Coloque num papel o que o seu adversário pode querer fazer com seus dados privados.

    O quão provável é que eu precise protegê-las?

    Risco é a probabilidade de que uma ameaça específica contra um ativo específico efetivamente venha a se concretizar. Ele é sempre proporcional à capacidade. Apesar de sua operadora de telefonia celular ter a capacidade de acessar todos os seus dados, o risco de que ela poste seus dados online para prejudicar sua reputação é baixo.

    É importante distinguir entre ameaças e riscos. Enquanto uma ameaça é algo ruim que pode ocorrer, risco é a probabilidade de que esta ameaça seja levada a termo. Por exemplo, sempre há a ameaça de que seu prédio possa desmoronar, mas o risco de isso acontecer é bem maior em São Francisco (onde terremotos são comuns) do que em Estocolmo (onde eles não são).

    Efetuar uma análise de risco é ao mesmo tempo um processo pessoal e subjetivo: nem todas as pessoas têm as mesmas prioridades ou enxergam ameaças da mesma forma. Muitas pessoas acham certas ameaças inaceitáveis, independente do risco delas ocorrerem, porque a mera presença da ameaça, por menor que seja o risco, não compensa. Em outros casos, pessoas desprezam riscos altos porque não veem a ameaça como um problema.

    Coloque num papel quais ameaças você deseja levar a sério, e quais são tão raras ou tão sem consequências (ou difíceis de combater) que não vale à pena se preocupar.

    Até onde eu estou disposto a ir para tentar evitar potenciais consequências?

    Responder a esta pergunta requer a condução da análise de riscos. Nem todas as pessoas têm as mesmas prioridades ou enxergar as ameaças da mesma maneira.

    Por exemplo, um advogado que representa um cliente em um caso de segurança nacional estará provavelmente disposto a utilizar mais recursos para proteger as comunicações sobre o caso, como por exemplo utilizar e-mails criptografados, do que uma mãe que regularmente envia à sua filha e-mails com vídeos engraçados de gatos.

    Coloque num papel as opções disponíveis para ajudá-lo a atenuar as ameaças que você enfrenta pessoalmente. Leve em conta suas restrições de orçamento, técnicas, ou sociais.

    Modelagem de ameaças como uma prática regular

    Tenha em mente que seu modelo de ameaça pode mudar de acordo com a mudança da sua situação pessoal. Desta maneira, conduzir modelagens de ameaça frequentes é uma boa prática.

    Crie seu próprio modelo de ameaça baseado em sua situação única. Feito isso, marque em sua agenda uma data no futuro para rever este modelo de ameaça e verificar se ele ainda se enquadra na sua situação.

    Última revisão: 
    10-01-2019
  • Conversando com outras pessoas

    As redes de telecomunicação e a internet fizeram com que a comunicação com outras pessoas tenha se tornado cada vez mais fácil, mas também tornaram a vigilância mais predominante. Sem tomar cuidados adicionais para proteger sua privacidade, qualquer ligação telefônica, mensagem de texto, e-mail, mensagem instantânea, chats por meio de vídeo ou áudio ou mensagem enviada pelas redes sociais pode estar vulnerável a bisbilhoteiros.

    O meio mais seguro para conversar com outras pessoas e proteger sua privacidade costuma ser ao vivo, frente a frente, sem qualquer envolvimento de computadores ou telefones. Como isto nem sempre é possível, a segunda melhor maneira é utilizar a criptografia ponta-a-ponta.

    Como funciona a criptografia ponta-a-ponta?

    A criptografia ponta-a-ponta garante que a informação seja transformada em uma mensagem secreta por seu emissor original (a primeira “ponta”) e que seja decodificada apenas por seu destinatário final (a segunda “ponta”). Isto significa que ninguém consegue interceptar e bisbilhotar o que você anda fazendo – e isto inclui bisbilhoteiros de Wi-Fi de cafés, seu provedor de internet ou mesmo o próprio site ou aplicativo que você está utilizando. De maneira um tanto contraintuitiva, não é só porque você acessa mensagens em um aplicativo no seu celular ou acessa informações em um site no seu computador, que a empresa que desenvolveu o próprio aplicativo ou a plataforma do site consegue vê-las. Esta é uma característica central da boa criptografia: mesmo as pessoas que a projetam e implantam não são capazes de quebrá-la.

    Todas as ferramentas que nós ensinamos a utilizar nos guias que estão publicados no site do SSD usam criptografia ponta-a-ponta. Você pode utilizar criptografia ponta-a-ponta para qualquer tipo de comunicação, o que inclui chamadas de voz e de vídeo, troca de mensagens, chat e mensagens de e-mail.

    (A encriptação transport-layer não deve ser confundida com a encriptação ponta-a-ponta. Enquanto a criptografia ponta-a-ponta protege as mensagens ao longo de todo o caminho que elas percorrem até chegar ao destinatário, a criptografia transport-layer protege-as apenas enquanto elas navegam do seu dispositivo até os servidores do aplicativo e dos servidores do aplicativo para o dispositivo do destinatário. No meio deste caminho, o provedor do serviço de troca de mensagens – ou o site em que você está navegando ou o aplicativo que você está usando – pode ter acesso a versões não criptografadas das suas mensagens.)

    Por debaixo dos panos, a criptografia ponta-a-ponta funciona assim: quando duas pessoas querem se comunicar por meio de criptografia ponta-a-ponta (por exemplo, Akiko e Boris), cada um deles precisa gerar um tipo específico de dado chamado “chave”. Essas chaves podem ser utilizadas para transformar dados que qualquer pessoa consegue ler em dados que só podem ser lidos por alguém que tenha uma chave correspondente. Antes de Akiko enviar uma mensagem para Boris, ela criptografa o texto de acordo com a chave de Boris, de tal maneira que apenas ele conseguirá desencriptar. Em seguida, ela envia a mensagem pela internet. Se alguém estiver bisbilhotando na conversa de Akiko e Boris – mesmo que esta pessoa tenha acesso ao servidor que Akiko está utilizando para enviar esta mensagem (como a conta de e-mail dela, por exemplo) – verá apenas dados criptografados e não conseguirá ler a mensagem. Quando Boris recebê-la, ele precisará usar sua chave para transformá-la numa mensagem legível.

    Alguns serviços, tal como o Google Hangouts, divulgam que utilizam “criptografia”, mas usam chaves que são criadas e controladas pelo Google – e não pelo emissor e pelo destinatário final da mensagem. Isto não é criptografia ponta-a-ponta. Para ser verdadeiramente segura, apenas as “pontas” da conversa devem ter as chaves que permitem encriptar e desencriptar. Se o serviço que você utiliza controla as chaves, isto significa que se trata de criptografia transport-layer.

    Usar a criptografia ponta-a-ponta significa que os usuários precisam manter suas chaves em segredo. Também pode significar trabalhar para garantir que as chaves utilizadas para encriptar e desencriptar pertencem às pessoas certas. Usar a criptografia ponta-a-ponta pode envolver algum esforço – desde simplesmente escolher baixar um aplicativo que oferece este tipo de encriptação até proativamente verificar chaves –, mas é a melhor maneira de os usuários verificarem a segurança de suas conversas sem precisarem confiar na plataforma que ambos estão utilizando.

    Aprenda mais sobre criptografia em O que eu deveria saber sobre criptografia?, Conceitos-chave na criptografia e Diferentes tipos de criptografia. Nós também explicamos um tipo específico de criptografia ponta-a-ponta – chamada de “criptografia de chave pública” – em mais detalhes no guia Um mergulho profundo na criptografia ponta-a-ponta.

    Ligações telefônicas e mensagens de texto versus mensagens criptografadas enviadas pela internet

    Quando você faz uma ligação de um telefone fixo ou de um celular, a chamada não é criptografada de ponta-a-ponta. Quando você envia uma mensagem de texto (também conhecida como SMS) em um celular, não há nada de criptografia no texto. Ambos os meios permitem que governos ou qualquer outra pessoa com poder sobre a companhia telefônica possa ler suas mensagens ou gravar suas conversas. Se a sua avaliação de risco inclui interceptações feitas por governos, é preferível que você use meios alternativos criptografados que operam por meio da internet. Como bônus, várias destas alternativas criptografadas também oferecem comunicação por vídeo.

    Alguns exemplos de serviços ou softwares que oferecem criptografia ponta-a-ponta para mensagens de texto, mensagens de voz e chamadas de vídeo são:

    Alguns exemplos de serviços que não oferecem criptografia ponta-a-ponta como configuração padrão são:

    • Google Hangouts
    • Kakao Talk
    • Line
    • Snapchat
    • WeChat
    • QQ
    • Yahoo Messenger

    E alguns serviços, como o Facebook Messenger e o Telegram, apenas oferecem criptografia de ponta-a-ponta se você a ativar intencionalmente. Outros, como o iMessage, só fornecem criptografia ponta-a-ponta quando ambos os usuários estiverem utilizando um dispositivo específico (no caso do iMessage, ambos os usuários precisam estar usando um iPhone).

    Quanto você pode confiar no seu serviço de envio de mensagens?

    A criptografia ponta-a-ponta pode te proteger da vigilância feita por governos, hackers e pelo próprio serviço de envio de mensagens. Mas todos estes grupos podem fazer alterações secretas no software que você usa, de tal maneira que, mesmo que o serviço reivindique usar criptografia ponta-a-ponta, ele está, na verdade, enviando seus dados sem encriptação ou com uma criptografia fraca.

    Muitos grupos, incluindo a EFF, gastam seu tempo observando servidores conhecidos (como o Whatsapp, de propriedade do Facebook, ou o Signal) para assegurar que eles estão de fato fornecendo a criptografia ponta-a-ponta que prometem. Mas se você está preocupado com estes riscos, você pode utilizar ferramentas que usam técnicas de criptografia conhecidas e revisadas publicamente e que são projetadas para ser independentes dos sistemas de transporte que utilizam. OTR e PGP são dois exemplos. Estes sistemas dependem de alguma expertise do usuário para operar, são menos user friendly e são protocolos mais antigos que não utilizam todas as melhores técnicas modernas de criptografia.

    Off-the-Record (OTR) é um protocolo de criptografia ponta-a-ponta para conversas por mensagens de texto em tempo real, que pode ser utilizado por uma variedade de serviços de envio instantâneo de mensagens. Algumas ferramentas que incorporam o OTR são:

    PGP (ou Pretty Good Privacy) é o padrão para criptografia ponta-a-ponta de e-mail. Para instruções detalhadas sobre como instalar e usar a encriptação PGP no seu e-mail, veja:

    O uso do PGP para e-mail é mais adequado para usuários com experiência técnica que queiram se comunicar com outros usuários com experiência técnica, que saibam muito bem das complexidades e limitações do PGP.

    O que a criptografia ponta-a-ponta não faz

    A criptografia ponta-a-ponta protege o conteúdo das suas comunicações, mas não te protege de que outras pessoas saibam que você está se comunicando. Ela não protege seus metadados, o que inclui, por exemplo, a linha de título de uma mensagem de e-mail, de saber quem é a outra pessoa com quem você está se comunicando e quando vocês estão se comunicando. Se você estiver fazendo uma ligação de um telefone celular, a informação sobre a sua localização também é um metadado.

    Os metadados podem fornecer informações extremamente reveladoras sobre você mesmo quando o conteúdo das suas comunicações permanecer sigiloso.

    Os metadados sobre suas ligações telefônicas podem revelar algumas informações muito íntimas e sensíveis. Por exemplo:

    • Eles sabem que você ligou para um serviço de sexo por telefone às 2h24 da manhã e conversou por 18 minutos, mas eles não sabem sobre o que você falou.
    • Eles sabem que você ligou para o disque-prevenção ao suicídio, falando da ponte Golden Gate, mas o assunto da sua ligação permanece sigiloso.
    • Eles sabem que você falou com um serviço de teste de HIV, em seguida, com seu médico, e depois com o seu plano de saúde, tudo dentro do período de uma hora, mas eles não sabem o que foi conversado.
    • Eles sabem que você recebeu um telefonema do escritório local da NRA (Associação Nacional de Rifles), na época em que ela estava promovendo uma campanha contra a regulação do porte de armas, e que você ligou para seus senadores e representantes no Congresso imediatamente depois, mas o conteúdo destas ligações está protegido da intrusão por parte do governo.
    • Eles sabem que você ligou para um ginecologista, conversou por meia hora e depois ligou para o número do grupo local de planejamento familiar (planned parenthood) mais tarde naquele dia, mas ninguém sabe sobre o que você falou.

    Outras características importantes

    A criptografia ponta-a-ponta é apenas uma das muitas características que podem ser importantes para você em comunicações seguras. Como foi descrito acima, a criptografia ponta-a-ponta é ótima para impedir que empresas e governos acessem suas mensagens. Mas, para muitas pessoas, empresas e governos podem não ser as maiores ameaças e, assim, a criptografia ponta-a-ponta pode não ser sua principal prioridade.

    Por exemplo, se alguém está preocupado que seu esposo ou sua esposa, pai ou mãe ou empregador ou empregadora tenha acesso físico a seu dispositivo, então a possibilidade de enviar mensagens efêmeras, que desaparecem logo em seguida do envio, pode ser um fator decisivo na escolha de um aplicativo de envio de mensagens. Outra pessoa pode estar preocupada em divulgar seu número de telefone, então a possibilidade de usar um número não-telefônico como “alias” pode ser importante.

    De maneira geral, configurações de segurança e privacidade não são as únicas variáveis que importam quando você for escolher um meio seguro de comunicação. Um aplicativo com ótimas características de segurança não vale nada se nenhum de seus amigos e contatos o usam e os aplicativos mais populares e amplamente utilizados podem variar de maneira significativa de país para país e de comunidade para comunidade. Baixa qualidade do serviço ou ter que pagar por um aplicativo também podem tornar um app inadequado para algumas pessoas.

    Quanto mais claramente você entender o que você quer e precisa que um método de comunicação ofereça, mais fácil será navegar pelo enorme mar disponível de informações extensas, conflitantes e, por vezes, desatualizadas.

    Última revisão: 
    09-06-2020
  • Mantendo seus dados seguros

    Se você tem um smartphone, laptop ou tablet, você carrega com você uma enorme quantidade de dados o tempo todo. Seus contatos pessoais, suas comunicações privadas, documentos e fotos pessoais (muitos dos quais podem conter informações confidenciais de dúzias ou mesmo de milhares de pessoas) são apenas alguns dos exemplos de coisas que você pode armazenar nos seus dispositivos digitais. Como armazenamos e carregamos conosco tantos dados, pode ser difícil mantê-los seguros – especialmente porque eles podem ser retirados de você com relativa facilidade.

    Seus dados podem ser confiscados na fronteira, tomados de você na rua ou roubados da sua casa e copiados em segundos. Infelizmente, proteger seu dispositivo com senhas, PINs ou gestos pode não proteger seus dados caso o dispositivo em si seja levado por outra pessoa. É relativamente simples contornar este tipo de proteção porque seus dados estão armazenados de forma relativamente simples de ser lida dentro do dispositivo. Um adversário precisar apenas ter acesso direto ao armazenamento do dispositivo para conseguir copiar ou inspecionar seus dados sem ter sua senha.

    Isto posto, você pode tornar o acesso aos seus segredos mais difícil para quem eventualmente venha a roubar fisicamente seus dados. Listaremos aqui algumas maneiras por meio das quais você pode ajudar a manter seus dados seguros.

    Criptografe seus dados

    Se você utilizar criptografia, seu adversário precisará tanto do seu dispositivo quanto da sua senha para decodificar os dados criptografados. Portanto, é mais fácil e seguro criptografar todos os seus dados e não apenas algumas pastas. A maioria dos computadores e smartphones oferecem a criptografia de disco completo como uma opção.

    Para smartphones e tablets:

    • Em dispositivos mais recentes, o Android oferece a opção de criptografia de disco inteiro no momento em que você configura seu dispositivo pela primeira vez. Em dispositivos mais antigos, este recurso pode ser ativado a qualquer momento nas configurações de “segurança”.
    • Dispositivos Apple como iPhone e iPad chamam o recurso de “Proteção de Dados” e o ativam se você configurar uma senha.

    Para computadores:

    • A Apple oferece um recurso embutido de criptografia no macOS, cujo nome é FileVault.
    • Distribuições do Linux geralmente oferecem criptografia de disco inteiro quando você configura seu sistema pela primeira vez.
    • O Windows Vista ou sistemas posteriores oferecem uma ferramenta de criptografia de disco inteiro chamada BitLocker.

    O código do BitLocker é fechado e proprietário, o que significa que é difícil para analistas externos avaliarem exatamente o quão seguro ele é. Usar o BitLocker requer que você confie que a Microsoft fornece um sistema de armazenamento seguro e sem vulnerabilidades ocultas. Por outro lado, se você já estiver usando o Windows, você já está confiando na Microsoft na mesma medida. Se você está preocupado com a vigilância feito por adversários que podem saber ou se beneficiar de um backdoor no Windows ou no BitLocker, avalie começar a utilizar um sistema operacional alternativo de fonte aberta, como o GNU/Linux ou BSD, especialmente uma versão que tenha sido criada para ser mais resistente contra ataques, tal como o Tails ou o Qubes OS. Como alternativa, considere instalar um programa de criptografia de disco alternativo, como o  Veracrypt, para criptografar seu disco rígido.

    Mas lembre-se: independente do nome dado pelo seu dispositivo ao recurso de criptografia, ele será sempre tão eficiente quanto a senha que você utilizar. Se um adversário estiver de posse de seu dispositivo, ele terá todo o tempo do mundo para descobrir suas senhas. Uma forma efetiva de criar e armazenar senhas fortes e simples de lembrar é utilizar um dado de números e uma lista de palavras para escolher palavras aleatoriamente. Juntas, estas palavras formarão sua “frase-chave”. Uma “frase-chave” é um tipo de senha mais comprida, com o objetivo de ser mais segura. Para criptografia de disco inteiro, nós recomendamos utilizar, no mínimo, seis palavras. Para mais informações, leia nosso guia Criando senhas fortes.

    Mas, sendo realista, a maioria de nós não irá memorizar e digitar frases-chaves longas nos nossos smartphones ou dispositivos móveis. Desse modo, enquanto a criptografia pode ser útil para evitar o acesso eventual, você deve preservar os dados que são realmente confidenciais, mantendo-os protegidos do acesso físico de aversários ou isolados à distância em um dispositivo muito mais seguro.

    Crie um dispositivo seguro

    Pode ser difícil manter um ambiente seguro. No melhor dos casos, você tem que mudar senhas, hábitos e talvez até mesmo o software que você usa em seu computador ou dispositivo principal. No pior dos casos, você tem que pensar constantemente se está deixando vazar informações confidenciais ou utilizando práticas inseguras. Mesmo quando você conhece os problemas, você pode não conseguir solucioná-los porque às vezes as pessoas como quem você precisa se comunicar fazem uso de práticas de segurança digitais inseguras. Por exemplo, seus colegas de trabalho podem querer que você continue a abrir anexos de e-mail enviados por eles, mesmo que você saiba que seus adversários poderiam fingir ser um deles para enviar malwares.

    Então qual é a solução? Sugerimos que você separe seus dados e comunicações valiosos em um dispositivo mais seguro. Você pode utilizar este dispositivo para manter uma cópia principal de seus dados confidenciais. Utilize este dispositivo apenas ocasionalmente e, quando o fizer, conscientemente tome muito mais cuidado com suas ações. Se você precisar abrir um anexo ou utilizar software inseguro, faça isto em outra máquina.

    Um computador seguro extra pode não ser uma opção tão cara quanto você imagina. Um computador que raramente é utilizado e que apenas executa alguns programas não precisa ser particularmente rápido ou novo. Você pode comprar um netbook antigo por um preço bem inferior ao preço de um laptop de um telefone modernos. Máquinas mais antigas têm também a vantagem de que softwares seguros, como o Tails, terão maior probabilidade de rodar neles do que em modelos mais recentes. Parte destes conselhos genéricos é quase sempre verdadeira. Quando você comprar um dispositivo ou um sistema operacional, mantenha-o sempre em dia com as atualizações de software/firmware mais recentes. Atualizações muitas vezes corrigem, em softwares antigos, problemas de segurança que poderiam ser explorados por ataques. Observe que alguns sistemas operacionais poderão não ser mais suportados, inclusive para atualizações de segurança.

    Quando for configurar um computador seguro, que passos devo seguir para torná-lo mais seguro?

    1. Mantenha seu dispositivo bem escondido e não fale abertamente sobre sua localização – deixe-o em algum lugar onde você poderá saber caso alguém tenha mexido nele, como, por exemplo, em um armário trancado.
    2. Criptografe o disco rígido de seu computador com uma frase-chave forte, de maneira que, caso seja roubado, os dados continuarão a ser ilegíveis sem sua senha.
    3. Instale um sistema operacional focado em privacidade e segurança, como o Tails. Você pode não conseguir (ou querer) utilizar um sistema operacional de fonte aberta no trabalho do seu dia-a-dia, mas se você precisa apenas armazenar, editar, e escrever e-mails ou mensagens instantâneas a partir deste dispositivo seguro, o Tails funcionará bem e tem as configurações de segurança mais rígidas como padrão de instalação.
    4. Mantenha seu dispositivo offline. Não é nenhuma surpresa que a melhor maneira de se proteger de ataques vindos da internet ou de vigilância online é nunca se conectar à internet. Você pode se certificar de que seu dispositivo seguro jamais se conecte a uma rede local ou a uma rede sem fio e apenas copiar arquivos para ele ou dele utilizando mídias físicas, como por exemplo DVDs ou dispositivos USB. Em segurança de redes, isso é conhecido como um “air gap” entre o computador e o resto do mundo. Apesar de extrema, esta pode ser uma opção caso você deseje proteger dados que raramente acessa, mas que não quer perder (como, por exemplo, uma chave de criptografia, uma lista de senhas ou uma cópia de segurança dos dados pessoais de alguém que foi confiada a você). Na maior parte desses casos, você pode querer considerar ter apenas um dispositivo de armazenamento escondido em vez de um computador completo. Um pen drive USB criptografado e escondido em local seguro, por exemplo, é, provavelmente, tão útil (ou tão inútil) quanto um computador completo desconectado da internet.
    5. Não se conecte às suas contas habituais. Se você utiliza seu dispositivo seguro para se conectar à internet, crie contas separadas de e-mail ou para a web para se comunicar a partir deste dispositivo, e use o Tor (veja guias para Linux, macOS e Windows) para manter seu endereço IP oculto destes serviços. Se alguém escolher especificamente você como alvo para envio de malware ou se estiver simplesmente interceptando suas comunicações, contas separadas e o uso do Tor podem ajudar a quebrar a ligação entre sua identidade e esta máquina específica.

    Ao mesmo tempo em que ter um dispositivo seguro que contenha informações importantes e confidenciais pode ajudá-lo a se proteger de adversários, ele também se torna um alvo óbvio. Há ainda o risco de perder a única cópia de seus dados caso a máquina venha a ser destruída. Se seu adversário pode se beneficiar caso você perca todos os seus dados, não os mantenha em apenas um lugar, independentemente de quão seguro seja este local. Criptografe uma cópia e o mantenha em um local separado.

    Uma alternativa a ter uma máquina extra segura é ter uma máquina insegura: um dispositivo que você só utiliza quando estiver indo para lugares perigosos ou quando está tentando fazer uma operação arriscada. Muitos jornalistas e ativistas, por exemplo, levam consigo um netbook básico quando viajam. Este computador não contém nenhum de seus documentos, nem informações de contatos habituais ou de e-mails e, por isso, haverá perda mínima caso ele seja confiscado ou tenha seus dados copiados. Você pode aplicar a mesma estratégia com telefones móveis. Se você costuma utilizar um smartphone, considere comprar um telefone descartável barato e levá-lo quando for viajar ou quando for fazer comunicações específicas.

    Última revisão: 
    12-11-2019
  • Mobile Phones: Location Tracking

    Location Tracking

    The deepest privacy threat from mobile phones—yet one that is often completely invisible—is the way that they announce your whereabouts all day (and all night) long through the signals they broadcast. There are at least four ways that an individual phone's location can be tracked by others.

    • Mobile Signal Tracking from Towers
    • Mobile Signal Tracking from Cell Site Simulators
    • Wi-Fi and Bluetooth Tracking
    • Location Information Leaks from Apps and Web Browsing

    Mobile Signal Tracking — Towers

    In all modern mobile networks, the operator can calculate where a particular subscriber's phone is located whenever the phone is powered on and registered with the network. The ability to do this results from the way the mobile network is built, and is commonly called triangulation.

    Three cell phone towers have different ranges, represented by overlapping circles. A phone is shown in the area where all towers’ signal ranges meet.

    One way the operator can do this is to observe the signal strength that different towers observe from a particular subscriber's mobile phone, and then calculate where that phone must be located in order to account for these observations. This is done with Angle of Arrival measurements or AoA. The accuracy with which the operator can figure out a subscriber's location varies depending on many factors, including the technology the operator uses and how many cell towers they have in an area. Usually, with at least 3 cell towers the operator can get down to ¾ of a mile or 1km. For modern cell phones and networks trilateration is also used. In particular, it is used where the “locationInfo-r10” feature is supported. This feature returns a report that contains the phone’s exact GPS coordinates.

    There is no way to hide from this kind of tracking as long as your mobile phone is powered on, with a registered SIM card, and transmitting signals to an operator's network. Although normally only the mobile operator itself can perform this kind of tracking, a government could force the operator to turn over location data about a user (in real-time or as a matter of historical record). In 2010, a German privacy advocate named Malte Spitz used privacy laws to get his mobile operator to turn over the records that it had about his records; he chose to publish them as an educational resource so that other people could understand how mobile operators can monitor users this way. (You can visit here to see what the operator knew about him.) The possibility of government access to this sort of data is not theoretical: it is already being widely used by law enforcement agencies in countries like the United States.

    Another related kind of government request is called a tower dump; in this case, a government asks a mobile operator for a list of all of the mobile devices that were present in a certain area at a certain time. This could be used to investigate a crime, or to find out who was present at a particular protest.

    • Reportedly, the Ukrainian government used a tower dump for this purpose in 2014, to make a list of all of the people whose mobile phones were present at an anti-government protest.
    • In Carpenter v. United States, the Supreme Court ruled that obtaining historical cell site location information (CSLI) containing the physical locations of cellphones without a search warrant violates the Fourth Amendment.

    Carriers also exchange data with one another about the location from which a device is currently connecting. This data is frequently somewhat less precise than tracking data that aggregates multiple towers' observations, but it can still be used as the basis for services that track an individual device—including commercial services that query these records to find where an individual phone is currently connecting to the mobile network, and make the results available to governmental or private customers. (The Washington Post reported on how readily available this tracking information has become.) Unlike the previous tracking methods, this tracking does not involve forcing carriers to turn over user data; instead, this technique uses location data that has been made available on a commercial basis.

    Mobile Signal Tracking — Cell Site Simulator

    A government or another technically sophisticated organization can also collect location data directly, such as with a cell site simulator (a portable fake cell phone tower that pretends to be a real one, in order to “catch” particular users' mobile phones and detect their physical presence and/or spy on their communications, also sometimes called an IMSI Catcher or Stingray). IMSI refers to the International Mobile Subscriber Identity number that identifies a particular subscriber's SIM card, though an IMSI catcher may target a device using other properties of the device as well.

    An animation: a phone connects to a cell phone tower’s weak network connection: the tower requests the ID of the phone, and the phone responds with its International Mobile Subscriber Identity (IMSI) number. A cell-site simulator — presented here as a device within a mobile vehicle — appears, providing a stronger network connection. The phone connects to the cell-site simulator’s signal. The cell-site simulator requests the ID of the phone, and the phone responds with its IMSI number.

    The IMSI catcher needs to be taken to a particular location in order to find or monitor devices at that location. It should be noted that IMSI traffic interception by law enforcement would meet the parameters for a warrant. However, a “rogue” CSS, (not set up by law enforcement) would be operating outside of those legal parameters.

    Currently there is no reliable defense against all IMSI catchers. (Some apps claim to detect their presence, but this detection is imperfect.) On devices that permit it, it could be helpful to disable 2G support (so that the device can connect only to 3G and 4G networks) and to disable roaming if you don't expect to be traveling outside of your home carrier's service area. Additionally, it could be helpful to use encrypted messaging such as Signal, WhatsApp, or iMessage to ensure the content of your communications can’t be intercepted. These measures may protect against certain kinds of IMSI catchers.

    Wi-Fi and Bluetooth Tracking

    Modern smartphones have other radio transmitters in addition to the mobile network interface. They usually also have Wi-Fi and Bluetooth support. These signals are transmitted with less power than a mobile signal and can normally be received only within a short range (such as within the same room or the same building), although someone using a sophisticated antenna could detect these signals from unexpectedly long distances; in a 2007 demonstration, an expert in Venezuela received a Wi-Fi signal at a distance of 382 km or 237 mi, under rural conditions with little radio interference. However, this scenario of such a wide range is unlikely. Both of these kinds of wireless signals include a unique serial number for the device, called a MAC address, which can be seen by anybody who can receive the signal.

    A phone connects to bluetooth identifiers and wi-fi routers, sharing its MAC address as an identifiable number.

    Whenever Wi-Fi is turned on, a typical smartphone will transmit occasional “probe requests” that include the MAC address and will let others nearby recognize that this particular device is present. Bluetooth devices do something similar. These identifiers have traditionally been valuable tools for passive trackers in retail stores and coffee shops to gather data about how devices, and people, move around the world. However, on the latest updates on iOS and Android, the MAC address included in probe requests is randomized by default programmatically, which makes this kind of tracking much more difficult. Since MAC randomization is software based, it is fallible and the default MAC address has the potential to be leaked. Moreover, some Android devices may not implement MAC randomization properly (PDF download).

    Although modern phones usually randomize the addresses they share in probe requests, many phones still share a stable MAC address with networks that they actually join, such as sharing a connection with wireless headphones. This means that network operators can recognize particular devices over time, and tell whether you are the same person who joined the network in the past (even if you don't type your name or e-mail address anywhere or sign in to any services).

    A number of operating systems are moving towards having randomized MAC addresses on WiFi. This is a complex issue, as many systems have a legitimate need for a stable MAC address. For example, if you sign into a hotel network, it keeps track of your authorization via your MAC address; when you get a new MAC address, that network sees your device as a new device. iOS 14 has settings per-network, “Private MAC addresses.”

    Location Information Leaks From Apps and Web Browsing

    Modern smartphones provide ways for the phone to determine its own location, often using GPS and sometimes using other services provided by location companies (which usually ask the company to guess the phone's location based on a list of cell phone towers and/or Wi-Fi networks that the phone can see from where it is). This is packaged into a feature both Apple and Google call “Location Services”. Apps can ask the phone for this location information and use it to provide services that are based on location, such as maps that display your location on the map. The more recent permissions model has been updated for applications to ask to use location. However, some applications can be more aggressive than others asking to either use GPS or the combination of Location Services.

    A “location services”-like settings menu on an illustrated phone.

    Some of these apps will then transmit your location over the network to a service provider, which, in turn, provides a way for the application and third parties they may share with to track you. (The app developers might not have been motivated by the desire to track users, but they might still end up with the ability to do that, and they might end up revealing location information about their users to governments or a data breach.) Some smartphones will give you some kind of control over whether apps can find out your physical location; a good privacy practice is to try to restrict which apps can see this information, and at a minimum to make sure that your location is only shared with apps that you trust and that have a good reason to know where you are.

    In each case, location tracking is not only about finding where someone is right now, like in an exciting movie chase scene where agents are pursuing someone through the streets. It can also be about answering questions about people's historical activities and also about their beliefs, participation in events, and personal relationships. For example, location tracking could be used to find out whether certain people are in a romantic relationship, to find out who attended a particular meeting or who was at a particular protest, or to try to identify a journalist's confidential source.

    The Washington Post reported in December 2013 on NSA location-tracking tools that collect massive amounts of information “on the whereabouts of cellphones around the world,” mainly by tapping phone companies' infrastructure to observe which towers particular phones connect to, and when those phones connect to those towers. A tool called CO-TRAVELER uses this data to find relationships between different people's movements (to figure out which people's devices seem to be traveling together, as well as whether one person appears to be following another).

    Behavioral Data Collection and Mobile Advertising Identifiers

    In addition to the location data collected by some apps and websites, many apps share information about more basic interactions, such as app installs, opens, usage, and other activity. This information is often shared with dozens of third-party companies throughout the advertising ecosystem enabled by real-time bidding (RTB). Despite the mundane nature of the individual data points, in aggregate this behavioral data can still be very revealing.

    Advertising technology companies convince app developers to install pieces of code in software development kit (SDK) documentation in order to serve ads in their apps. These pieces of code collect data about how each user interacts with the app, then share that data with the third-party tracking company. The tracker may then re-share that information with dozens of other advertisers, advertising service providers, and data brokers in a milliseconds-long RTB auction.

    Underneath a full-screen mobile ad: code for Software Development Kits (SDKs). The phone sends a packet of user data, like number of installs, opens, gender, activity and location, to a remote server.

    This data becomes meaningful thanks to the mobile advertising identifier, or MAID, a unique random number that identifies a single device. Each packet of information shared during an RTB auction is usually associated with a MAID. Advertisers and data brokers can pool together data collected from many different apps using the MAID, and therefore build a profile of how each user identified by a MAID behaves. MAIDs do not themselves encode information about a user’s real identity. However, it’s often trivial for data brokers or advertisers to associate a MAID with a real identity, for example by collecting a name or email address from within an app.

    Mobile ad IDs are built into both Android and iOS, as well as a number of other devices like game consoles, tablets, and TV set top boxes. On Android, every app, and every third-party installed in those apps, has access to the MAID by default. Furthermore, there is no way to turn off the MAID on an Android device at all: the best a user can do is to “reset” the identifier, replacing it with a new random number. In the latest version of iOS, apps finally need to ask permission before collecting and using the phone’s mobile ad ID. However, it’s still unclear whether users realize just how many third parties may be involved when they agree to let a seemingly-innocuous app access their information.

    Behavioral data collected from mobile apps is used primarily by advertising companies and data brokers, usually to do behavioral targeting for commercial or political ads. But governments have been known to piggyback on the surveillance done by private companies.

    Further reading on browser tracking: What Is Fingerprinting?

    Última revisão: 
    06-05-2021
  • Participando das Manifestações (nos Estados Unidos)

    Com a evolução constante das tecnologias pessoais, os manifestantes de todas as convicções políticas estão cada vez mais documentando suas manifestações - e encontros com a polícia - utilizando dispositivos eletrônicos, como câmeras e telefones celulares. Em alguns casos, conseguir que uma foto da tropa de choque da polícia, vindo diretamente em sua direção, seja postada em algum lugar na internet é um ato excepcionalmente poderoso e pode chamar atenção à sua causa.

    Seguem algumas dicas úteis para você se lembrar delas quando for a uma manifestação e estiver preocupado em proteger seus dispositivos eletrônicos, se ou quando for questionado, detido ou preso pela polícia. Lembre-se de que essas dicas são um guia básico, de modo que, se tiver preocupações específicas, consulte um advogado.

    Mora fora dos Estados Unidos? Leia nosso guia sobre comparecimento a protestos (Internacional).

    Proteger seu telefone antes de ir à manifestação

    Pense cuidadosamente sobre o que o seu telefone contém, antes de levá-lo para uma manifestação.

    Ele contém uma riqueza de dados privados, os quais podem incluir a sua lista de contatos, as pessoas que você chamou recentemente, suas mensagens de texto e de e-mail, fotos e vídeos, dados de localização GPS, seu histórico de navegação na Web e senhas ou login ativos e os conteúdos de seus e-mails e das suas contas nas redes sociais. Através das senhas armazenadas , o acesso ao dispositivo pode permitir ainda que alguém obtenha mais informações pelos servidores remotos.

    A Suprema Corte dos Estados Unidos declarou recentemente que a polícia é obrigada a conseguir uma autorização para obter estas informações quando alguém for preso, mas os limites exatos dessa decisão ainda estão em análise. Além disso, para a aplicação da lei, algumas vezes, tentarão confiscar um telefone, porque os policiais acreditam que possa conter evidências de um crime (como por exemplo, possíveis fotos tiradas da manifestação) ou como parte de uma investigação sobre um veículo. Eles podem então, obter posteriormente um mandado para examinar o celular apreendido.

    Você pode reforçar a segurança do seu telefone contra investigações, para proteger os seus direitos. Considere a possibilidade de levar para a manifestação um aparelho telefônico descartável ou suplementar, o qual não contenha dados confidenciais, que nunca tenha utilizado para fazer login em suas comunicações ou contas de redes sociais e que não se importaria de perdê-lo ou se separar dele por um tempo. Essa pode ser a melhor opção, caso tenha um monte de informações pessoais ou confidenciais em seu telefone.

    Opções de criptografia e proteção com senha: sempre proteja seu celular com uma senha. Ainda que protegê-lo possa ser uma pequena barreira de acesso, saiba que apenas defender ou bloqueá-lo com uma senha não implica em um bloqueio eficaz para um especialista em investigação forense. Tanto o Android quanto o iPhone fornecem opções para a criptografia de disco completo em seus sistemas operacionais, e você deve utilizá-las, embora a alternativa mais segura continua sendo deixar seu telefone em outro lugar.

    Um problema com a criptografia de celulares é que, no Android, a senha utilizada para a criptografia de disco é a mesma para o desbloqueio de tela. Isso é um mal do projeto, pois força o usuário a selecionar uma senha muito fraca para a criptografia ou digitar uma muito longa e inconveniente para o desbloqueio da tela. A melhor solução seria que ela tivesse entre 8 e 12 caracteres bem aleatórios, fáceis de digitar rapidamente em seu dispositivo em particular. Ou, caso tenha acesso ao “root” do seu telefone Android, que saiba como utilizar um “shell”; leia aqui. (consulte também “Comunicando-se com outras pessoas” para obter detalhes de como criptografar chamadas de texto e voz).

    Faça backup dos seus dados: é importante que frequentemente realize backup dos dados armazenados no telefone, especialmente se seus dispositivos caírem nas mãos de um policial. Você pode ficar sem seu telefone por algum tempo (se não para sempre) e talvez o seu conteúdo seja ou não intencionalmente excluído. Apesar de acreditarmos que seria impróprio para a polícia excluir suas informações, há uma chance de que isso possa ocorrer.

    Por razões similares, utilizando um marcador permanente, considere escrever um número de telefone para emergências em seu corpo, mas não um que seja incriminatório, para o caso de perda do seu telefone, mas se o autorizarem a fazer uma ligação.

    Informação de localização do celular: será fácil para o governo descobrir, ao procurar esta informação com o seu provedor, que você está em uma manifestação, caso leve consigo o seu telefone celular. (Nós achamos que a legislação requer que os governos obtenham um mandado específico para obter informações sobre localizações, mas eles discordam). Caso precise ocultar a sua participação em uma manifestação contra o governo, não leve o seu telefone móvel. Se for absolutamente necessário levar um celular, tente carregar um que não esteja registrado em seu nome.

    Talvez não seja possível encontrar com seus colegas, caso você seja detido. Você pode combinar de fazer uma chamada para um amigo logo após a manifestação e, se a chamada não for feita, ele poderá supor que você foi preso.

    Você já está na manifestação, e agora?

    Manter o controle sobre o seu telefone: manter o controle pode significar permanecer com o seu celular o tempo todo ou entregá-lo a um amigo de sua confiança, caso esteja se engajando em uma ação que acredita que possa levá-lo a ser detido.

    Considere tirar fotos e vídeos: pode ser suficiente para desencorajar a má conduta da polícia durante a manifestação, caso os policiais saibam que há câmeras documentando o evento. A EFF acredita que, baseado na Primeira Emenda, você tenha o direito de documentar as manifestações públicas, incluindo a ação da polícia. Porém, entenda que a polícia discordará, citando diversas leis locais e estaduais. Se pretende gravar um áudio, você deve rever o guia útil “Podemos Gravar?, do Comitê para a Liberdade de Imprensa” (do inglês “Reporter’s Committee for Freedom of the Press’ Can We Tape?”).

    Se quiser manter em segredo a sua identidade e a sua localização, certifique-se de excluir todos os metadados de suas fotos antes de publicá-las.

    Em outras circunstâncias, os metadados podem ser úteis para comprovar a credibilidade das provas coletadas em uma manifestação. O Guardian Project tem uma ferramenta chamada InformaCam, a qual permite armazenar metadados, incluindo as informações atuais das coordenadas do GPS do usuário, altitude, leituras de bússola e de medição de iluminação, assinaturas de dispositivos vizinhos, torres de celulares e redes Wi-Fi, além de servir para esclarecer as circunstâncias e os contextos exatos em que a imagem digital foi obtida.

    A polícia pode também confiscar o seu telefone para obter evidências, caso você tire fotos ou vídeos. Você pode reivindicar os privilégios de repórter para proteger o seu material não publicado, caso esteja engajado no jornalismo. O RCFP tem um guia explanando os privilégios do repórteres nos diversos estados.

    Cubra o seu rosto, caso esteja preocupado em ser identificado nas fotos. As máscaras podem lhe causar problemas em alguns locais com leis antimáscaras.

    Ajudem-me! Ajudem-me! Eu estou sendo detido

    Lembre-se de que você tem o direito de permanecer em silencio, sobre o seu telefone e qualquer outra coisa.

    Se for interrogado pela polícia, você pode, educadamente, mas com firmeza, pedir para falar com o seu advogado e, da mesma maneira, solicitar que parem de questioná-lo até que ele esteja presente. É melhor não dizer nada até que tenha a chance de falar com um advogado. Porém, caso decida responder às questões, assegure-se de dizer a verdade. É considerado crime mentir para um oficial da polícia e você pode encontrar-se em mais problemas por ter mentido à aplicação da lei do que para o que quer que seja que os policiais quisessem em seu computador.

    Se a polícia pedir para ver o seu telefone, você pode informar que não consente que o seu celular seja investigado. Os oficiais podem conseguir investigar seu aparelho telefônico com um mandato após sua detenção, mas pelo menos ficará claro que não foi concedida a permissão para fazê-lo.

    Caso a polícia peça a senha para o seu dispositivo eletrônico (ou peça para desbloqueá-lo), você pode educadamente recusar-se a fornecê-la e solicitar falar com o seu advogado. Se for questionado sobre o fato de um telefone ser seu, você pode dizer à polícia que tem sua posse legal, sem admitir ou negar que o celular é seu ou que o controla. Cada situação de detenção é adversa, e você precisará de um advogado para ajudá-lo a resolver a sua circunstância específica.

    Pergunte ao seu advogado sobre a Quinta Emenda, que o protege de ser forçado a dar ao governo testemunho autoincriminatório. Se o ato de negar a entregar uma chave de criptografia ou a senha desencadeia esse direito, nem mesmo um tribunal pode forçá-lo a divulgar as informações. Se o ato de negar entregar uma chave de criptografia ou a senha revelará informações que o governo não tem (como demonstrar que você tem controle sobre os arquivos em um computador), existe então um forte argumento para que a Quinta Emenda o proteja. Porém, se o ato de se negar a entregar as senhas e as chaves de criptografia não resultar em um ""ato testemunhal"", por exemplo, demonstrar que você tem o controle sobre os dados, então a Quinta Emenda não pode protegê-lo. Seu advogado pode ajudá-lo a descobrir como isso se aplica em uma determinada situação.

    E só porque a polícia não pode persuadi-lo a entregar a sua senha, não significa que ela não possa pressioná-lo. Ela pode detê-lo e mandá-lo para a cadeia em vez de liberá-lo de imediato, caso ache que você não está cooperando. Você terá de decidir se irá obedecer.

    A polícia ficou com o meu telefone. Como recuperá-lo?

    Se o seu telefone ou dispositivo eletrônico foi confiscado ilegalmente e não for prontamente devolvido quando você for liberado, é possível pedir que o seu advogado apresente uma moção ao tribunal para reaver a sua propriedade. Se a polícia acredita que uma evidência de um crime foi encontrada em seu dispositivo eletrônico, incluindo as suas fotos ou vídeos, ela pode mantê-lo como prova. Os policiais podem também tentar fazê-lo abrir mão do seu dispositivo eletrônico, mas você pode contestar isso no tribunal.

    Telefones celulares e outros dispositivos eletrônicos são componentes essenciais de manifestações no século 21. Todos, nos Estados Unidos, cidadãos ou não, podem e devem exercer o seu direito à liberdade de expressão e de reunião prevista na Primeira Emenda, e esperamos, assim, que as dicas acima possam ser um guia útil para que consiga administrar sabiamente os riscos à sua propriedade e à privacidade.

    Última revisão: 
    09-01-2015
  • Como contornar a censura on-line

    Esta é uma visão geral sucinta para contornar a censura on-line, mas não se trata de um documento abrangente.

    Muitos governos, empresas, escolas e pontos de acesso públicos utilizam softwares para evitar que os usuários da internet acessem determinados websites e serviços da web. Isso é chamado de filtragem ou bloqueio da internet e é uma forma de censura. A filtragem do conteúdo vem de diferentes formas. Algumas vezes o website inteiro está bloqueado; outras vezes, apenas páginas avulsas da Web; e em outras o conteúdo é bloqueado baseado em palavras que ele contém.

    Há diferentes maneiras de derrotar a censura na Internet. Algumas protegem você contra a vigilância, mas muitas não. Quando alguém que controla sua conexão à rede filtra ou bloqueia um site, você pode quase sempre utilizar uma ferramenta de evasão para chegar à informação que deseja. Note: Ferramentas de evasão que prometem privacidade ou segurança nem sempre são privadas ou seguras, e ferramentas que utilizam termos como “anonimizador” nem sempre mantêm sua identidade completamente secreta.

    A melhor ferramenta de evasão para você depende do seu modelo de ameaça. Se você não estiver seguro(a) sobre qual é o seu modelo de ameaça, comece aqui.

    Neste artigo, apresentaremos quatro maneiras de driblar a vigilância:

    • Visitando um web proxy para acessar um site bloqueado.
    • Visitando um web proxy criptografado para acessar um site bloqueado.
    • Utilizando uma Rede Privada Virtual (VPN) para acessar um site ou serviço bloqueado.
    • Utilizando o Tor Browser para acessar um site bloqueado ou proteger a sua identidade.

    Técnicas básicas

    Ferramentas de evasão normalmente funcionam desviando seu tráfego de rede para outro computador, de forma a contornar as máquinas que realizam a censura. O serviço intermediário através do qual você canaliza sua comunicação neste processo é chamado de proxy.

    O protocolo HTTPS é uma versão segura do HTTP, utilizado para acessar websites. Algumas vezes o censor bloqueará apenas a versão não segura de um site, permitindo que você o acesse pela versão do domínio que se inicia com HTTPS.

    Isso é particularmente útil se a filtragem a que você está sujeito baseia-se em palavras ou só bloqueia páginas avulsas da Web. O HTTPS impede que os censores leiam seu tráfego na Web; portanto eles não podem dizer quais palavras-chave estão sendo enviadas ou qual página da web você está visitando.

    Censores ainda podem ver o nome de domínio de todos os sites que você visita. Então, por exemplo, se você visitar “eff.org/https-everywhere”, censores podem ver que você está na “eff.org” mas não conseguem ver que você está na página do “https-everywhere”.

    Se suspeita deste tipo de bloqueio simples, tente acessar por meio do https:// antes do domínio, em vez de http://.

    Tente o plug-in HTTPS Everywhere da EFF para ligar o HTTPS automaticamente para aqueles sites que o suportam.

    Outra maneira de conseguir contornar as técnicas básicas de censura é tentar um nome de domínio ou uma URL alternativa. Em vez de visitar http://twitter.com, você pode, por exemplo, visitar http://m.twitter.com, que é a versão móvel do site. Censores que bloqueiam os sites ou páginas da web costumam fazê-lo a partir de uma lista negra de websites proibidos, então qualquer coisa que não esteja na lista negra fica acessível. Eles podem não saber de todas as variações de um determinado nome de domínio de um website, ainda mais se o proprietário do site souber que está bloqueado e registrar mais de um nome.

    Os Proxies baseados na Web

    Um proxy baseado na Web (como o http://proxy.org/) é uma boa maneira de contornar a censura. Tudo que precisa fazer para utilizar um proxy baseado na Web é digitar o endereço filtrado que você quer utilizar e o proxy exibirá, então, o conteúdo solicitado.

    Os proxies baseados na Web são uma boa maneira de acessar rapidamente os websites bloqueados, mas muitas vezes não proporcionam qualquer segurança, e será uma escolha ruim se seu modelo de ameaças inclui alguém vigiando sua conexão com a internet. Além disso, eles não lhe ajudarão a utilizar outros serviços bloqueados, tais como o seu programa de mensagens instantâneas. Finalmente, dependendo do modelo de ameaça, os proxies baseados na Web constituem um risco de privacidade para muitos usuários, pois o proxy terá um registro completo de tudo que você faz on-line.

    Proxies criptografados

    Diversas ferramentas de proxy utilizam criptografia para fornecer uma camada adicional de segurança acima da habilidade de contornar os filtros. A comexão é encriptada para que outros não vejam o que você está visitando. Enquanto proxies criptografados geralmente são mais seguros do que outros proxies baseados na web, o fornecedor da ferramenta pode ter informações sobre você. Ele pode ter seu nome e endereço de email em seus registros, por exemplo. Isso significa que essas ferramentas não fornecem anonimato total.

    A forma mais simples de um proxy da Web criptografado é aquele que começa com "https", pois utilizará a criptografia normalmente fornecida por sites seguros. Ironicamente, no processo, os proprietários desses proxies começarão a ver os dados que você envia e recebe de outros sites seguros, portanto seja cauteloso. O Ultrasurf e o Psiphon são exemplos destas ferramentas.

    Redes privadas virtuais

    Uma Rede Privada Virtual (Virtual Private Network ou VPN) criptografa e envia todos os dados da internet de seu computador para outro computador. Esse equipamento pode pertencer a um serviço VPN comercial ou entidade sem fins lucrativos, sua empresa ou um contato confiável. Uma vez que um serviço VPN esteja corretamente configurado, você pode utilizá-lo para acessar páginas da Web, e-mail, mensagens instantâneas, VoIP e qualquer outro serviço de internet. Uma VPN protege seu tráfego de ser interceptado localmente, porém seu provedor VPN pode manter registros do seu tráfego (websites que você conecta e quando os acessa) ou até mesmo proporcionar a um terceiro a possibilidade de sondar diretamente sua navegação na Web. Dependendo do seu modelo de ameaça, a possibilidade de um governo ouvir sua conexão VPN ou obter os registros pode ser um risco significativo e, para alguns usuários, poderia superar os benefícios de curto prazo da utilização de uma VPN.

    Clique aqui para obter as informações sobre serviços específicos de VPN.

    Nós da EFF não podemos confirmar essa pontuação dos VPNs. Algumas VPNs com políticas de privacidade exemplares poderiam perfeitamenteser mantidas por pessoas desonestas. Não utilize uma VPN na qual você não confie.

    Tor

    Tor é um software gratuito, livre e de código aberto desenhado para  fornecer a você o anonimato na rede. O Tor Browser é um navegador da web construído sobre a rede de anonimato do Tor. Por conta da forma como o Tor roteia seu tráfego de navegação na Web, ele também possibilita que você contorne a censura (Veja nosso guia “Como usar o Tor para Linux, macOS e Windows").

    Quando você inicia o Tor Browser, você pode escolher uma opção especificando que você está em uma rede que é censurada:

    O Tor não só contornará praticamente toda censura nacional, mas, se propriamente configurado, pode também proteger a sua identidade de um adversário monitorando as redes do seu país. Ele pode, no entanto, ser lento e difícil de usar.

    Para aprender a usar o Tor em um desktop, clique aqui (Linux), aqui (macOS), ou aqui (Windows), mas por favor certifique-se de clicar em “Configurar” em vez de “Conectar” na janela exibida acima.

    Última revisão: 
    10-08-2017
  • Como se proteger nas redes sociais

    As redes sociais estão entre os sites mais populares na internet. O Facebook tem mais de um bilhão de usuários e o Instagram e o Twitter têm centenas de milhões de usuários cada um. De maneira geral, as redes sociais foram criadas a partir da ideia do compartilhamento de publicações, fotos e informação pessoal. Agora, elas também se tornaram fóruns de organização e discussão. Qualquer uma destas atividades pode ter por base a privacidade e o uso de pseudônimos.

    Assim, é importante levar as seguintes questões em consideração quando utilizamos redes sociais: Como posso interagir com estes sites protegendo ao mesmo tempo em que me protejo deles? Minha privacidade básica? Minha identidade? Meus contatos e associações? Que informações quero manter privadas e quem será excluído do acesso a elas?

    Dependendo das circunstâncias, pode ser que você precise se proteger da própria rede social, de outros usuários ou de ambos.

    Dicas para levar em conta quando criar uma conta em redes sociais

    • Você quer usar seu nome verdadeiro? Algumas redes sociais têm as assim chamadas “políticas de nome verdadeiro”, mas têm-se tornado menos rigorosas com o passar do tempo. Se você não quiser usar seu nome verdadeiro quando se registra numa rede social, então não o faça.
    • Ao se registrar, não dê mais informações do que é necessário. Se você está preocupado em esconder sua identidade, use um endereço de e-mail diferente e evite informar seu número de telefone. Estas duas informações podem identificá-lo invidualmente e podem associá-lo a diversas outras contas.
    • Seja cuidadoso quando escolher uma foto ou imagem de perfil. Além dos metadados da imagem, que podem incluir o local e a hora em que a foto foi tirada, a própria imagem pode fornecer informações. Antes de escolher a foto de perfil, pergunte a si mesmo: foi tirada na frente de sua casa ou do seu local de trabalho? Há algum endereço ou placas de trânsito visível na imagem, que possa permitir identificação?
    • Saiba que seu endereço de IP pode estar logado no momento em que você se registra.
    • Escolha uma senha forte e, se possível, ative autenticação de dois fatores.
    • Esteja atento às questões de segurança para a recuperação da senha, tais como “Em que cidade você nasceu?” ou “Qual o nome do seu animal de estimação?”, pois estas respostas podem ser extraídas dos detalhes disponibilizados em seus perfis de redes sociais. É recomendável dar respostas falsas às questões de segurança. Caso você escolha dar respostas falsas para ter ainda mais segurança, uma boa maneira de se lembrar das respostas é anotar suas respostas e armazená-las num gerenciador de senhas.

    Verifique a política de privacidade da rede social

    As informações armazenadas por terceiros estão sujeitas às suas próprias políticas e podem ser utilizadas para propósitos comerciais ou compartilhadas com outras empresas, tais como empresas de marketing. Ainda que ler as políticas de privacidade seja uma tarefa praticamente impossível, é importante que você leia as seções que descrevem como os dados são usados, quando são compartilhados com terceiros e como o serviço responde a demandas de autoridades legais.

    Redes sociais são, de maneira geral, empresas com fins lucrativos e frequentemente recolhem informações sensíveis para além daquelas que você forneceu explicitamente – onde você está, a quais interesses e anúncios você reage, que outros sites você visita (por exemplo, por meio do botão “curtir”). Considere bloquear cookies de terceiros e usar as extensões de bloqueio do rastreamento do navegador para garantir que as informações não estão sendo passivamente transmitidas a terceiros.

    Altere as configurações de privacidade

    Especificamente, altere as configurações padrão. Por exemplo: você quer compartilhar as suas postagens com o público ou apenas com um grupo específico de pessoas? As pessoas podem encontrá-lo usando seu endereço de e-mail ou seu número de telefone? Você quer que a sua localização seja compartilhada automaticamente?

    Ainda que cada rede social tenha suas próprias configurações únicas, é possível perceber alguns padrões.

    • Configurações de privacidade tendem a responder à questão: “Quem pode ver o quê?” Nesta seção, você provavelmente vai encontrar configurações relacionadas a pré-determinações da audiência (“público”, “amigos de amigos”, “apenas amigos apenas” etc. ), localização, fotos, informações de contato, tagging e se e como as pessoas podem encontrar seu perfil nas buscas.
    • Configurações de segurança provavelmente estarão mais relacionadas a bloquear ou silenciar outras contas e a se e como você quer ser notificado caso haja uma tentativa não autorizada de entrar na sua conta. Às vezes você vai encontrar configurações de login nessa seção – tais como a autenticação de dois fatores e um e-mail ou número de telefone para back-up. Outras vezes, essas configurações de login poderão ser encontradas nas seções de configuração da conta ou de login, junto com as opções para alterar sua senha.

    Aproveite os check-upsde privacidade e segurança. O Facebook, o Google e outros sites grandes oferecem dispositivos de “check-up de segurança”. Estes guias, formatados no estilo de tutoriais, oferecem orientação, explicando as configurações mais comuns de privacidade e segurança ao usuário com uma linguagem simples. São uma excelente funcionalidade aos usuários.

    Por fim, lembre-se que as configurações de privacidade estão sujeitas a mudanças. Por vezes, estas configurações se tornam melhores e mais detalhadas; por vezes, não. Preste atenção a estas mudanças para ver se qualquer informação que antes era privada passa a ser passível de ser compartilhada publicamente. Também fique atento a quaisquer configurações adicionais que lhe permitam ter mais controle sobre sua privacidade.

    Mantenha perfis separados

    Para muitos de nós, manter separadas as identidades de contas diferentes é fundamental. Isto pode se aplicar a sites de namoro e paquera, a perfis profissionais, a contas anônimas e a contas em várias comunidades.

    Números de telefone e fotos são os dois tipos de infomação a que se deve prestar mais atenção. Em particular, fotos podem sorrateiramente vincular contas que você pretendia que ficassem separadas. Isto é muito comum entre sites de namoro e paquera e perfis profissionais. Se você quer manter seu anonimato ou manter uma certa identidade separada de outras, use uma foto ou imagem que você não usa em qualquer outro lugar online. Para verificar, você pode usar a funcionalidade “reverse image search” [“busca reversa de imagens”] do Google. Outras variáveis que podem vincular as identidades são seu nome (ou mesmo apelidos) e seu e-mail. Se descobrir algum desses nomes num lugar onde não deveriam estar, não entre em pânico ou fique assustado. Em vez disso, pensa em pequenos passos: em vez de tentar fazer com que toda a informação sobre você desapareça da internet, foque em informações específicas, onde elas estão e o que você pode fazer em relação a elas.

    Familiarize-se com as configurações de grupos no Facebook

    Grupos de Facebook  são, cada vez mais, espaços para ação social e para outras atividades potencialmente sensíveis. As configurações dos grupos podem ser confusas. Informe-se mais sobre as configurações dos grupos e, se os participantes estão interessados em aprender mais sobre as configurações de grupo, trabalhe em conjunto com eles para manter seus grupos de Facebook privados e seguros.

    Privacidade é um esporte em equipe

    Não mude apenas as suas próprias configurações e o seu próprio comportamento nas redes sociais. Dê um passo além e converse com seus amigos sobre os dados potencialmente sensíveis que cada um revela sobre demais online. Mesmo que você não tenha uma conta numa rede social ou mesmo que remova o seu tag das postagens, ainda assim seus amigos podem identificá-lo, indicar sua localização e expor as conexões que têm com você, mesmo que não tenham a intenção de fazê-lo. Proteger a privacidade não significa apenas termos cuidado conosco, mas também cuidarmos de todos à nossa volta.

    Última revisão: 
    30-10-2018
Next:
JavaScript license information