#Dobras 23 // Segurança digital em tempos de exceção
2 de novembro de 2018O MediaLab.UFRJ convidou a Amarela, pesquisadora em privacidade, para elaborar um pequeno manual contendo orientações e dicas práticas a respeito de procedimentos que podem ser tomados para garantir a segurança digital em tempos de exceção. Aqui, você saberá como desenvolver senhas seguras e como se proteger, por exemplo, de ataques e vazamentos de informações em aplicativos como Facebook e WhatsApp.
Por Amarela
Senhas
A maioria dos serviços que utilizamos na Internet requer a criação de senhas, e elas passaram a ser parte importante da nossa vida. Como o número de senhas é cada vez maior e fica difícil gravar todas, a maioria das pessoas acaba utilizando senhas fáceis e pequenas, ou mesmo uma única senha para vários serviços. Mas em um contexto no qual histórias de roubo de perfis e vazamento de senhas são cada vez mais comuns, e também de avanço do fascismo e ataques à ativistas, é preciso garantir a privacidade dos nossos dados, ações e conversas e usar senhas únicas e mais fortes.
Existem várias formas de descobrir a senha de uma pessoa, seja através de programas de força bruta (que ficam testando combinações até acertar) ou engenharia social. Senhas com dados pessoais, como nossas datas de aniversário ou da nossa família, são fáceis de serem descobertas por pessoas próximas ou por pessoas que procurem esses dados na Internet. Assim, é necessário criarmos senhas longas e aleatórias, desconectadas ao máximo da nossa vida, dos nossos dados e dos nossos gostos.
Para construir senhas fortes, tente fazer frases-senhas, em vez de palavras-senhas; misture várias línguas e linguagens (use o pajubá, iorubá, nheengatu, guarani, esperanto!); use gírias e expressões que não existam em dicionários; números e caracteres especiais; letras maiúsculas e minúsculas.
Também é importante não repetir as senhas, usar uma para cada serviço, e trocá-las constantemente (a cada três meses, por exemplo). Mas para usar senhas fortes e únicas, é preciso também ter um lugar seguro para armazená-las, já que vai ser quase impossível gravar todas elas. Uma dica é usar um gerenciador de senhas, como o KeepassX (Windows, Mac OS e Linux), por exemplo, que guarda e organiza logins e senhas, criptografando-os com uma “senha mestre”. Eles também vêm equipados com um gerador de senhas, que junta símbolos aleatórios para formar senhas fortes.
Aplicativos de troca de mensagens
Whatsapp, Telegram, Signal: já se perguntou qual aplicativo de chat você deveria usar pensando em sua segurança? Há uma série de critérios que nos ajudam a responder a essa pergunta. Conhecê-los é importante para que possamos fazer uma análise e escolher com autonomia, já que novos aplicativos estão sempre surgindo, e os que já existem podem ser descontinuados ou modificados.
Listei alguns critérios que podem ser importantes na hora de decidir qual aplicativo usar:
1. É software livre?
São programas que permitem a usuáries que acessem, executem, modifiquem e redistribuam (modificados ou não) o seu código fonte. Ou seja, são programas que deixam seus códigos acessíveis, trazendo mais transparência aos usuáries. Qualquer pessoa pode auditar o código e verificar o que de fato o programa está fazendo. É como ter acesso, por exemplo, a receita de um bolo, e poder verificar o que de fato está comendo.
2. Possui criptografia ponta-a-ponta?
Para garantir que nossas conversas sejam lidas apenas por nós e as pessoas destinatárias de nossas mensagens e ligações, é importante que o chat seja criptografado ponta-a-ponta. Isso significa que a conversa estará protegida por criptografia, e apenas as pessoas envolvidas nela possuem a chave. Quando não há criptografia ou a criptografia não é ponta-a-ponta, é possível que o intermediário da conversa, ou seja, o próprio aplicativo, possa ler, armazenar e analisar as conversas.
3. Permite autenticação de chaves?
Em um chat com criptografia ponta-a-ponta, cada participante da conversa recebe uma chave que fica armazenada em seu dispositivo. Essa chave, além de criptografar a conversa, permite também a autenticação das pessoas participantes da conversa. A autenticação de chaves é importante para que possamos nos certificar que a pessoa com quem estamos falando é realmente quem diz que é. As pessoas podem confirmar as chaves ao vivo, ou por outro canal de comunicação.
4. Permite autodestruição de mensagens?
Em alguns casos, é importante não manter conversas sensíveis em seu celular, e alguns aplicativos de chat permitem que você configure um tempo de expiração da mensagem. Caso seu celular seja roubado, ou alguém sem autorização tenha acesso a ele, ler o histórico de suas mensagens vai ser uma tarefa bem difícil.
5. Possui senha para entrar no aplicativo?
O uso de senha para os aplicativos é importante para preservar suas informações e mensagens trocadas caso alguém tenha acesso indevido ao seu celular. Ou seja, se alguém estiver de posse de seu celular, precisará de uma senha para acessar o aplicativo de mensagem.
6. Permite autenticação de dois fatores?
Esse recurso acrescenta mais uma camada de segurança no processo de autenticação de uma conta ao permitir a configuração de uma senha. Ou seja, para ativar o chat com o mesmo número de telefone, além do código enviado por SMS, será necessário colocar a senha anteriormente configurada. Isso impede que outras pessoas tentem usar o aplicativo com o seu número de telefone e, caso seu número seja atribuído a outra pessoa, ela não poderá ver o seu histórico.
7. Permite o sigilo do número de telefone?
Alguns chats permitem que você utilize um nome de usuárie para interagir com outras pessoas, em vez do seu número de telefone. Então pessoas que não tenham seu número cadastrado nos contatos do telefone, podem interagir com você, mas não podem ver o seu número. Proteger o seu número pode significar, também, proteger sua identidade, uma vez que todos os números de telefone no Brasil são registrados com CPF e outros dados pessoais.
Utilizando os critérios listados anteriormente e analisando os aplicativos de mensagens, temos o seguinte quadro:
O Whatsapp afirma que possui criptografia ponta-a-ponta, mas, como não é software livre, não é possível auditar seu código e saber o que de fato o aplicativo faz. Além disso, ainda que os chats sejam criptografados, as informações sobre nossas conversas e sobre como usamos o aplicativo (com quem falamos, em que grupo estamos, com quem trocamos mais mensagens) não o são, e, por isso, estão disponíveis para o Whatsapp analisar.
Essas informações revelam muito sobre nós, e podem ser cruzadas com informações coletadas em outras aplicações do Facebook, como o Instagram e o próprio Facebook, sendo valiosíssimas para a empresa. O Whatsapp não possui a ferramenta de autodestruição de mensagens, e também não dá a possibilidade da configuração de uma senha para bloquear o aplicativo, o que pode ser uma vulnerabilidade considerável, caso pessoas não autorizadas tenham acesso ao seu celular.
O Telegram, por sua vez, não possui criptografia ponta-a-ponta por padrão nos chats comuns e nos grupos, mas seus desenvolvedores afirmam que a criptofria está implementada nos chats secretos. No entanto, o Telegram também não disponibiliza todo o seu código para ser auditado, e não é possível saber o que de fato o aplicativo faz. Uma coisa boa do Telegram é que ele permite o sigilo do número de telefone. Logo, é possível entrar em grupos e se comunicar com pessoas sem revelar seu número.
Já o Signal é software livre, possui criptorafia ponta-a-ponta, possibilita a autenticação de chaves, permite o uso de PIN como autenticação em dois fatores e possui a configuração de autodestruição de mensagens. Infelizmente o Signal não permite o sigilo do número de telefone. Além disso, nos grupos do Signal não existe a figura da pessoa administradora. Todas as pessoas podem adicionar contatos, mudar o nome e a foto do grupo, e configurar a autodestruição de mensagens, mas ninguém tem poderes para remover um contato do grupo. Isso pode tornar o uso do aplicativo menos fluido, uma vez que se alguém do grupo mudar de número, não será possível excluir o número antigo do grupo, sendo necessário criar um novo grupo.
E lembre-se: escolher o aplicativo de chat apropriado já é um grande passo, mas, se você e seu coletivo ou grupo se organizam por meio de chats, é preciso prestar atenção também em quem são as pessoas que participam dos mesmos grupos de chat que você. Não adianta usar criptografia se dentro dos grupos há “bois na linha”, né?
O Facebook pode ser ótimo para compartilhar campanhas e trocar informações, mas é preciso ter atenção com a série de dados que compartilhamos por lá. Dados de localização (check-ins e nome da cidade em que mora), disponibilização de número de telefone, contatos, familiares, eventos que compareceu ou comparecerá, tags em fotos, nome completo, tudo isso, analisado em conjunto, pode revelar bastante sobre nossas vidas e hábitos, e pode também ser usado em ataques e ameaças. Não compartilhar certas informações, ou reduzir quem pode ter acesso a elas, é uma prática importante para resguardar nossa privacidade e diminuir os riscos de ataques. Use as configurações de privacidade para escolher o que será compartilhado.
Além disso, a maioria das redes sociais é mantida por empresas, com interesses diversos. Organizar grupos e ações políticas nelas, ainda que em espaços anunciados como privados (como grupos privados do Facebook), pode comprometer a segurança das pessoas envolvidas e também o sucesso de ações e campanhas. Os espaços de chat também não são tão privados assim: na maioria das redes, as empresas ou as pessoas que administram o serviço têm acesso ao conteúdo das mensagens.
Para usar as redes de maneira mais segura e com mais privacidade, sugerimos as seguintes medidas:
1. Protegendo sua conta
Use senhas fortes e lembre-se de trocá-las com frequência. Além disso, habilite a autenticação de dois fatores. Assim, você vai diminuir a possibilidade de ter seu perfil roubado ou acessado por pessoas sem autorização. Como fazer: Configurações > Segurança e login > Configuração de segurança extra > Usar autenticação de dois fatores.
Além disso, se desconfiar que alguém, além de você tem acesso a sua conta, verifique o histórico de IPs e dispositivos conectados a ela, encerre todas as sessões e troque a senha. Como fazer: Configurações > Segurança e login > Onde você se conectou > Sair de todas as sessões.
Ative também o alerta sobre logins não reconhecidos para receber notificações sempre que um login que o Facebook considera suspeito for feito. Como fazer: Configurações > Segurança e login > Configuração de segurança extra > Receba alertas sobre logins não reconhecidos.
2. Protegendo seus dados
Configure quem pode ver os seus posts. Em alguns casos é importante alcançar o maior número de pessoas possível, mas em postagens com conteúdo mais sensível ou íntimo, é interessante que só pessoas de confiança possam acessar e interagir. Configure também quem pode ter acesso aos seus contatos e quem pode procurar você, principalmente em mecanismos de busca fora do Facebook. Como fazer: Configurações > Privacidade > Configurações e ferramentas de privacidade > Quem pode ver minhas coisas?
Assuma o controle da sua linha do tempo! É importante que só você possa postar nesse espaço, isso evita que outras pessoas te exponham, ainda que sem querer, ou que pessoas mal intencionadas te agridam. Configure para “Somente eu” em “Quem pode publicar na sua linha do tempo?”.
Diminua a possibilidade de exposição, restringindo marcações e habilite a análise de publicações em que foi marcada, para que tenha autonomia sobre o que aparece ou não na sua linha do tempo. Configurações > Configurações da Linha do Tempo e marcações.
Mas nem tudo são configurações. Muitas vezes precisamos mudar hábitos também. No Facebook e, principalmente no Instagram, adicione ao seu perfil pessoal apenas quem você conhece. No Facebook ainda há a possibilidade de configurar quem pode ter acesso aos seus dados e conteúdos, mas no Instagram as configurações de privacidade são mais reduzidas.
3. Gestão de identidades
Ninguém é uma pessoa só. A “política de nome real” do Facebook nos força a utilizar um único perfil, vinculado ao nosso nome “real”, para se concectar e interagir de maneira padronizada (posts, comentários, likes) com pessoas dos mais variados círculos: família, amigues, ativismo, trabalho. Mas somos vastas, contemos multidões. Somos pessoas diferentes em cada um desses círculos, com afetos, posturas e tons de fala diferentes. Por isso, politicamente e subjetivamente é interessante experimentar ter mais de um perfil, e performar diferentes identidades em cada um deles, assim como fazemos nos espaços offline.
Para quem tem uma atuação política e ativista nas redes, ter diferentes perfis é ainda mais recomendado. Considere manter um perfil mais privado, para pessoas mais próximas, e outro para questões de trabalho, por exemplo. Ou ainda utilizar um perfil com um pseudônimo ou variações de seu nome para uma atuação mais política na rede, ou um perfil coletivo para fazer denúncias e administrar páginas. Assim você consegue filtrar melhor quem tem acesso às suas informações e vida íntima, e pode também evitar situações de bloqueio de seu perfil pessoal.
Links úteis
Para saber mais sobre senhas:
“Abre-te Sésamo: as senhas da nossa vida digital”: https://medium.com/codingrights/abre-te-s%C3%A9samo-as-senhas-da-nossa-vida-digital-469a8772723a
Para baixar o KeepassX:
Para saber mais sobre aplicativos de chat:
“Do sexxting ao grupo de família: chats criptografados para todxs”: https://medium.com/codingrights/do-sexxting-ao-grupo-de-fam%C3%ADlia-chats-criptografados-para-todxs-46109f22183f
Para saber mais sobre o Signal:
Security in a Box: https://securityinabox.org/pt/guide/signal/android/