Quando se trata da proteção de fontes e das informações que já foram coletadas, é bastante claro quem é o principal adversário. Dependendo da pessoa ou organização que está sendo investigada, os recursos disponíveis para cercear os jornalistas podem variar. Portanto, as ferramentas e habilidades devem estar à altura.
Algum comentário ou correção? Sinta-se à vontade para entrar em contato
A escolha das ferramentas e práticas adequadas devem ir ao encontro da "análise de ameaças". É uma forma de se entender:
Baseado nessa informação, você pode selecionar um conjunto de ferramentas de segurança e de privacidade, além de boas práticas para se defender e de proteger suas fontes.
A tabela abaixo tenta reunir os principals cenários de ameaças a um jornalista no Brasil.
| # | Adversários | O que querem? | O que podem fazer? | Como você pode se defender? |
|---|---|---|---|---|
| 1 | Autoridades e/ou governos | Nomes e detalhes das fontes de um jornalista | Ligar o jornalista à fonte usando metadados retidos em provedores ou outros prestadores de serviço de internet | Cenário 1 |
| 2 | Autoridades e/ou governos | Nomes e detalhes das fontes de um jornalista | Ligar o jornalista à fonte por meio de vigilância direcionada ao profissional | Cenário 2 |
| 3 | Autoridades e/ou governos | Nomes e detalhes das fontes de um jornalista | Ligar o jornalista à fonte tomando posse do computador ou do celular do profissional | Cenário 3 |
| 4 | Autoridades e/ou governos | O conteúdo das conversas entre fonte e jornalista | Grampear a comunicação do jornalista | Cenário 4 |
| 5 | Autoridades e/ou governos | O conteúdo das conversas entre fonte e jornalista | Monitorar a comunicação do jornalista usando um malware | Cenário 5 |
| 6 | Autoridades e/ou governos | O conteúdo das conversas entre fonte e jornalista | Apropriar-se de um computador ou celular de um jornalista para ler arquivos, registros de conversas e histórico do navegador | Cenário 6 |
| 7 | Hacking corporativo | Nome e detalhes das fontes e o conteúdo das conversas entre elas e os jornalistas | Monitorar as comunicações no computador do jornalista usando um malware | Cenário 7 |
| 8 | Criminosos digitais | Senhas, dinheiro e informações bancárias do jornalista | Instalar ransomware (malware que cobra resgate de um computador) ou programas para roubar as informações usando falhas de segurança em navegadores, links maliciosos ou anexos em emails | Cenário 8 |
| 9 | Bisbilhoteiro casual | Nada em particular | Divulgar quaisquer dados encontrados, como num pen drive perdido, ou um computador roubado | Cenário 9 |
Metadados são informações de acesso à internet, como registros de conexão e registros de acessos a sites
Novos guias são constantemente adicionados a este site, por isso continue checando a página
A seção abaixo detalha algumas ferramentas e práticas de acordo com as situações mencionadas na análise de ameaças.
Metadados são coletados e retidos em provedores por um ano no Brasil, e podem ser requisitados pro meio de ordem judicial (Lei Noº 12.965/14). Um projeto de lei em tramitação na Câmara (PL 5074/2016) pretende retirar a necessidade de ordem judicial para o acesso a esses dados para delegados e membros do Ministério Público. In this scenario, you have to leave as little footprint as possible.
Este cenário imagina uma situação na qual você tem que (ou quer) deixar o mínimo de rastros possível. Para isso, recomendamos as seguintes ferramentas dos nossos guias:
| Casos de uso | Recomendação |
|---|---|
| Navegação na internet | Como usar o navegador Tor (em breve) Como escolher um mecanismo de buscas seguro |
| Não recomendado (mesmo com PGP) | |
| Mensageiros instantâneos | Conversas seguras usando Ricochet |
| Chamadas de voz | Ferramenta não existe |
| Chamadas de vídeo | Ferramenta não existe |
| Mensagens de texto (SMS) | Não recomendado |
| Trocas de arquivos | Troca de arquivos segura usando OnionShare Trocando mensagens e arquivos com GlobalLeaks |
O uso de PGP (sigla em inglês para "privacidade muito boa", um programa de encriptação de dados) é uma boa forma de proteger o conteúdo das conversas entre duas partes, mas não esconde o fato de que elas existiram
Neste cenário, o tráfego na internet do jornalista são ativamente monitorados. Suas comunicações por voz e por texto no celular também são.
O objetivo é encriptar a informação e deixar o mínimo de metadados.
| Casos de uso | Recomendações |
|---|---|
| Navegação na internet | Como usar o navegador Tor (em breve) |
| Não recomendado (mesmo com PGP) | |
| Mensageiros instantâneos | Conversas seguras usando Ricochet |
| Chamadas de voz | Ferramenta não existe |
| Chamadas de vídeo | Ferramenta não existe |
| Mensagens de texto (SMS) | Não recomendado |
| Trocas de arquivos | Troca de arquivos segura usando OnionShare Trocando mensagens e arquivos com GlobalLeaks |
Este cenário considera situações em que computadores e celulares são tomados por alguém que quer obter seus arquivos, além de seus históricos de conversas e de navegação. Portanto, o objetivo é encriptar o armazenamento dos dispositivos, de modo que seus detalhes só possam ser acessados por aqueles que têm a senha correta.
Veja algumas sugestões:
Neste caso, o tráfego de internet no computador e celular do jornalista está sendo gravado e analisado. Ligações e mensagens de texto também são gravadas. O foco é ver o conteúdo da comunicação entre repórter e fonte.
Este cenário assume que a ligação entre o jornalista e a fonte não é secreto, por isso a retenção de metadados não é uma preocupação, apenas o conteúdo em si. O propósito das ferramentas listadas é encriptar a comunicação entre as duas partes.
| Casos de uso | Recomendações |
|---|---|
| Navegação na internet | Como usar o navegador Tor (em breve) Configurando uma VPN (em breve) |
| Criptografar emails com PGP | |
| Mensagens instantâneas | Como encriptar mensagens de texto (em breve) |
| Chamadas de voz | Como encriptar ligações telefônicas (em breve) |
| Chamadas de vídeo | Chamadas de vídeo encriptadas de ponta-a-ponta com Wire |
| Mensagens de texto (SMS) | Como encriptar mensagens de texto (em breve) |
| Troca de arquivos | Trocas seguras de arquivos |
| Armazenamento de arquivos | Como armazenar arquivos de maneira segura na nuvem |
| Colaboração em equipe | Conversas seguras em equipe com Semaphor |
Desde os vazamentos do Hacking Team e do FinFisher, ou de notícias a respeito do FBI poder hackear qualquer computador em qualquer lugar, sabemos que certas autoridades governamentais têm a intenção de explorar computadores e smartphones para instalar backdoors neles.
Backdoors são softwares que exploram falhas de segurança e permitem o acesso à máquina de maneira remota
Essas backdoors são instaladas sem o conhecimento e consentimento dos indivíduos, e monitoram praticamente toda a atividade do dispositivo. Isso inclui a gravação de áudio e vídeo, registro de todas as teclas que são pressionadas no teclado, gravar imagens da tela, recuperar o histórico de navegação e por aí vai. Uma vez que uma backdoor é instalada no computador ou no smartphone, praticamente todas as técnicas de proteção mostradas nos guias deste site se tornam inúteis.
Se você suspeita que seu dispostivo está comprometido, a melhor opção é limpar definitivamente toda a informação ou fazer um reset de fábrica e reinstalar tudo a partir de mídias consideradas seguras
| Casos de uso | Recomendação |
|---|---|
| Navegação na internet | Não segura se o computador/smartphone está comprometido |
| Não seguro se o computador/smartphone está comprometido | |
| Mensagens instantâneas | Não seguras se o computador/smartphone está comprometido |
| Chamadas de voz | Não seguras se o computador/smartphone está comprometido |
| Chamadas de vídeo | Não seguras se o computador/smartphone está comprometido |
| Mensagens de texto (SMS) | Não seguras se o computador/smartphone está comprometido |
| Troca de arquivos | Não segura se o computador/smartphone está comprometido |
Os objetivos nesse cenário os objetivos são os seguintes: impedir que esses softwares explorem seus dispostivos, compartimentar as suas atividades para que o estrago seja menor, detectar se há alguma anomalia no aparelho. Eis uam lista de ações recomendadas:
Neste cenário, os dispositivos foram tomados à força para a extração de seus arquivos, históricos de conversas e históricos de navegação. Portanto, o objetivo é manter o armazenamento da informação encriptado, de modo que os detalhes só possam ser acessados quando a senha correta é inserida.
Esses guias são focados na segurança física:
Este cenário é semelhante Cenário 5, mencionado anteriormente. Empresas descontentes com suas reportagens investigativas podem contratar hackers para tentar rastrear suas fontes.
Tipicamente, hackers lhe mandarão links e arquivos especialmente construídos para instalar uma backdoor no seu computador. Como o alvo é especificamente você, eles não serão identificados pelos anti-vírus tradicionais.
Essas backdoors são instaladas sem o conhecimento e consentimento dos indivíduos, e monitoram praticamente toda a atividade do dispositivo. Isso inclui a gravação de áudio e vídeo, registro de todas as teclas que são pressionadas no teclado, gravar imagens da tela, recuperar o histórico de navegação e por aí vai. Uma vez que uma backdoor é instalada no computador ou no smartphone, praticamente todas as técnicas de proteção mostradas nos guias deste site se tornam inúteis.
Se você suspeita que seu dispostivo está comprometido, a melhor opção é limpar definitivamente toda a informação ou fazer um reset de fábrica e reinstalar tudo a partir de mídias consideradas seguras
| Casos de uso | Recomendação |
|---|---|
| Navegação na internet | Não segura se o computador/smartphone está comprometido |
| Não seguro se o computador/smartphone está comprometido | |
| Mensagens instantâneas | Não seguras se o computador/smartphone está comprometido |
| Chamadas de voz | Não seguras se o computador/smartphone está comprometido |
| Chamadas de vídeo | Não seguras se o computador/smartphone está comprometido |
| Mensagens de texto (SMS) | Não seguras se o computador/smartphone está comprometido |
| Troca de arquivos | Não segura se o computador/smartphone está comprometido |
Para se proteger, você deve compartimentalizar o trabalho para limitar o estrago. Além disso, você não deve nunca usar a mesma senha para contas diferentes. Uma autenticação em duas etapas deve ser usada em todos os lugares possíveis. Finalmente, um anti-vírus mais avançado pode ajudar a bloquear alguns dos arquivos maliciosos feitos especialmente para você.
Este é um pouco parecido com o Cenário 5, com ad iferença de que o jornalista e a fonte não são especificamente o alvo. Cibercriminosos têm um negócio lucrativo ao infectar computadores vulnerávels com malwares (como para roubar informações bancárias) ou ransomwares (que encriptam os arquivos da vítima e exigem um resgate para liberá-los).
Portanto, uma ferramentas genéricas como um bom anti-vírus podem ser efetivos contra esse tipo de ataque.
Este cenário cobre alguns casos em que seus dados vão parar nas mãos erradas, mas que o jornalista e a fonte não são exatamente o alvo. Exemplos de situações típicas são computadores ou pen drives perdidos, ou um smartphone roubado.
O objetivo é encriptar toda a informação para que o atacante casual não seja capaz de acessar os dados. Portanto,a s recomendações giram em torno de segurança física: