Formação

Help Desk

Kit de Segurança Digital do CPJ

Kit de Segurança Digital do CPJ

Para que jornalistas se mantenham atualizados sobre as ameaças à segurança digital, o Comitê para a Proteção dos Jornalistas (CPJ) revisou as orientações e ferramentas do seu manual voltado para o tema. O Kit de Segurança Digital é um conteúdo on-line que tem como objetivo orientar jornalistas a se protegerem e a preservarem suas fontes no ambiente digital. 

Confira a íntegra: 

Última revisão em 26.abr.2021.

Os jornalistas devem proteger a si mesmos e a suas fontes, mantendo-se atualizado sobre as últimas notícias e ameaças sobre segurança digital, como hackers, phishing e vigilância. Os jornalistas devem pensar nas informações pelas quais são responsáveis e o que poderia acontecer se caíssem em mãos erradas e tomar medidas para defender suas contas, dispositivos, comunicações e atividade on-line.

Proteja suas contas

Para proteger suas contas:

Os jornalistas usam uma variedade de contas on-line e mantêm informações pessoais e relacionadas ao trabalho, sobre si mesmos, seus colegas, familiares e fontes. Proteger essas contas e fazer backup, e regularmente remover informações via ajudar a proteger os seus dados.

  • Pense em quais informações estão armazenadas em cada conta e quais seriam as consequências para você, sua família e suas fontes se a conta for invadida.
  • Separe seu trabalho e sua vida privada online e evite misturar informações pessoais e profissionais nas contas. Isso limitará o acesso aos dados se uma delas for violada.
  • Revise suas configurações de privacidade e perceba quais informações são públicas, especialmente nas mídias sociais.
  • Crie cópias de backup de qualquer informação que seja sensível ou que você não queira que seja divulgada publicamente, incluindo mensagens privadas e e-mails, e então apague-os de sua conta ou dispositivo. Ferramentas de terceiros estão disponíveis para ajudá-lo a criptografar documentos individuais para armazenar em uma unidade externa ou na nuvem. Também é aconselhável criptografar discos rígidos externos. Revise a lei com relação à criptografia no país onde você está.
  • Exclua as contas que você não usa mais. Lembre-se de criar cópias de qualquer informação que deseje salvar.
  • Crie senhas longas com mais de 15 caracteres. Não reutilize senhas. Use um gerenciador de senhas para ajudá-lo a administrar suas senhas.
  • Ative a autenticação de dois fatores (2FA). O ideal é usar um app autenticador em 2FA em vez de SMS.
  • Se corre o risco de ser detido ouse preocupa com o acesso não autorizado aos seus dispositivos, saia da conta após cada uso e limpe o seu histórico de navegação.
  • Revise regularmente a seção "atividade da conta" de cada uma delas. Isso revelará se dispositivos que você não reconhece estão se conectando.
  • Evite acessar suas contas em computadores compartilhados, por exemplo, em um cibercafé. Se não tiver escolha, saia imediatamente depois e apague seu histórico de navegação.

Phishing

Os jornalistas geralmente têm um perfil público e compartilham seus detalhes de contato para solicitar dicas. Os adversários que desejam acessar dados e dispositivos de jornalistas podem atacá-los – ou a um colega ou membro da família – com ofensivas de phishing na forma de e-mail, SMS, mídias sociais ou mensagens de bate-papo projetados para induzir o destinatário a compartilhar informações confidenciais ou instalar um malware clicando em um link ou baixando um arquivo. Existem muitos tipos de malware e spyware que variam em sofisticação, mas os mais avançados podem conceder aos invasores acesso remoto ao dispositivo e a todo o seu conteúdo.

Para se defender de ataques de phishing:

  • Pesquise os recursos tecnológicos de seus adversários para entender a ameaça e a probabilidade de você ou alguém que você conhece ser um alvo.
  • Desconfie das mensagens que exigem que você faça algo rapidamente ou pareça oferecer algo que parece bom demais, especialmente se elas envolvem clicar em um link ou baixar um anexo.
  • Verifique cuidadosamente os detalhes da conta do remetente e o conteúdo da mensagem para ver se é legítimo. Pequenas variações de ortografia, gramática, layout ou tom podem indicar que a conta foi falsificada ou invadida.
  • Verifique a mensagem com o remetente usando um método alternativo, como um telefonema, se algo parecer suspeito ou inesperado.
  • Pense com cuidado antes de clicar em links, mesmo que a mensagem pareça ser de alguém que você conhece. Passe o cursor sobre os links para ver se o URL parece legítimo.
  • Visualize todos os anexos que você receber por e-mail; se não baixar o documento, qualquer malware será contido. Em caso de dúvida, ligue para o remetente e peça que copie o conteúdo para o corpo do e-mail, ou faça capturas de tela do documento na visualização em vez de baixá-lo.
  • Tenha cuidado com links ou documentos enviados por grupos de chat. Bate-papos com muitas pessoas podem ser infiltrados pelas autoridades ou grupos criminosos que procuram os participantes-alvo.
  • Se possível, use a versão de desktop dos aplicativos para revisar mensagens e links. Uma tela maior ajuda a verificar o que recebeu, e você tem menos probabilidade de realizar várias tarefas ao mesmo tempo.
  • Carregue links e documentos suspeitos no Virus Total, um serviço que os examinará em busca de possíveis malwares – embora apenas aqueles que são conhecidos.
  • Ative as atualizações automáticas e mantenha todos os softwares em seus dispositivos atualizados. Isso corrigirá vulnerabilidades conhecidas nas quais o malware confia para comprometer sua segurança.
  • Fique particularmente atento às tentativas de phishing durante eleições e períodos de agitação, ou se colegas ou grupos da sociedade civil local declararem ter sido alvo.

Segurança do dispositivo

Os jornalistas usam uma ampla variedade de dispositivos para produzir e armazenar conteúdo e entrar em contato com fontes. Muitos jornalistas, especialmente freelancers, usam os mesmos dispositivos em casa e no trabalho, potencialmente expondo uma grande quantidade de informações se forem perdidos, roubados ou capturados. Criptografe discos rígidos, telefones, tablets e dispositivos de armazenamento externos, especialmente se você viajar, para garantir que outras pessoas não possam acessar essas informações sem uma senha.

Para proteger seus dispositivos:

  • Bloqueie dispositivos com uma senha, código ou PIN. Números de identificação pessoal ou senhas mais longas são mais difíceis de desbloquear.
  • Atualize seu sistema operacional, aplicativos e navegadores quando solicitado. Softwares antigos tem vulnerabilidades que podem ser exploradas para instalar malware em seus dispositivos. Isso é especialmente importante se você achar que pode ser o alvo de um spyware sofisticado.
  • Verifique as informações armazenadas em seus dispositivos e considere como elas podem colocar você ou outras pessoas em risco.
  • Faça backup dos seus dispositivos regularmente, para o caso de serem destruídos, perdidos ou roubados. Armazene as cópias de backup com segurança, longe do computador em que habitualmente trabalha.
  • Exclua informações confidenciais regularmente, incluindo mensagens de bate-papo. Para impedir que um adversário restaure arquivos excluídos, use o software de exclusão segura para limpar o dispositivo, se disponível; caso contrário, redefina-o do modo como veio de fábrica e use-o para atividades não relacionadas, a fim de reescrever a memória do dispositivo. (Faça backup de qualquer coisa que você queira manter primeiro ou perderá todos os seus dados.)
  • Não deixe os dispositivos sem vigilância em público, inclusive durante o carregamento, pois eles podem ser roubados ou manipulados.
  • Não conecte dispositivos a portas USB públicas nem use unidades flash USB entregues gratuitamente em eventos. Estas podem conter malware, com potencial risco de infectar seu computador.
  • Esteja ciente de que seu dispositivo pode fazer backup de seus dados da conta na nuvem vinculada ao telefone. As informações armazenadas na nuvem podem não ser criptografadas. Neste caso, pode desativar os backups automáticos nas configurações.
  • Configure seus dispositivos para permitir que você delete os dados remotamente se eles forem roubados. Esse recurso deve ser configurado com antecedência e as informações só serão apagadas se o dispositivo estiver conectado à Internet.
  • Sempre conserte os dispositivos em uma empresa com boa reputação.

Para criptografar seu dispositivo:

  • Os smartphones mais recentes vêm com uma função de criptografia, apenas verifique se está ativada nas configurações.
  • Use o Bitlocker para ativar a criptografia de disco completo para Windows, Filevault para Mac ou o software gratuito Veracrypt para os discos rígidos e dispositivos de armazenamento externo.
  • Criar uma senha longa e exclusiva é essencial para usar a criptografia; em um smartphone, verifique as configurações personalizadas para adicionar uma senha mais longa e complexa.
  • Esteja ciente de que um adversário com conhecimento de sua senha ou poder para obrigá-lo a descriptografar seu dispositivo poderá examinar suas informações.
  • Sempre pesquise a lei para garantir que a criptografia seja legal no país em que você vive ou para o qual viaja.

Comunicações criptografadas

Os jornalistas podem se comunicar com as fontes com mais segurança usando aplicativos de mensagens criptografados ou softwares que criptografam o e-mail, para que apenas o destinatário possa lê-lo. Algumas ferramentas são mais fáceis de usar do que outras. A criptografia protege o conteúdo das mensagens, mas as empresas envolvidas ainda podem ver os metadados, inclusive quando você enviou a mensagem, quem a recebeu e outros detalhes reveladores. As empresas têm políticas diferentes sobre como armazenam esses dados e como respondem quando as autoridades solicitam.

Os aplicativos de mensagens recomendados oferecem criptografia de ponta a ponta, o que significa que as informações são criptografadas quando são enviadas do remetente para o destinatário. Ambas as partes devem ter uma conta com o mesmo aplicativo. Qualquer pessoa com acesso a um dispositivo que envia ou recebe a mensagem, ou à senha da conta vinculada ao aplicativo, ainda pode interceptar o conteúdo da mensagem. Exemplos de aplicativos de mensagens com criptografia de ponta a ponta ativada por padrão incluem Signal e WhatsApp.

O e-mail criptografado é outra maneira segura de trocar informações com uma fonte ou contato. Ambos devem baixar e instalar software específico para enviar e receber e-mails criptografados.

Para usar aplicativos de mensagens criptografadas:

  • Pesquise quem é o proprietário do aplicativo, quais dados do usuário eles mantêm e se esses dados foram intimados pelo governo. Verifique qual é a política deles para responder a solicitações das autoridades para compartilhar dados do usuário.
  • Use um PIN ou senha com o aplicativo sempre que possível para impedir que alguém o abra se seu telefone for roubado.
  • Entenda onde as informações enviadas para seus aplicativos de mensagens, como fotografias ou documentos, estão armazenadas no seu telefone.
  • Qualquer coisa que você baixar, como fotos, será salva no seu dispositivo e poderá ser copiada para outros dispositivos e aplicativos, especialmente quando você faz o backup dos seus dados.
  • Alguns serviços, como o WhatsApp, fazem backup do conteúdo da sua mensagem na conta da nuvem vinculada ao número de telefone.
  • Os contatos armazenados no seu telefone são sincronizados com aplicativos de mensagens e contas na nuvem; portanto, os números que você tenta excluir em um local podem ser preservados em outro.
  • Faça backup e exclua mensagens regularmente para armazenar o mínimo possível em um único dispositivo ou conta. Crie um processo para revisar o conteúdo, incluindo documentos e mensagens multimídia, e armazene downloads ou capturas de tela em um dispositivo de armazenamento externo criptografado.
  • Funções de mensagens do Signal e do WhatsApp permitem que você apague mensagens automaticamente após um certo tempo. Ative-os se estiver preocupado com o fato de seu telefone ser levado e de suas mensagens serem acessadas.
  • O Signal e o WhatsApp também oferecem criptografia de ponta a ponta para chamadas de vídeo.

Para usar e-mail criptografado:

  • Obtenha ajuda de um contato confiável que seja conhecedor de tecnologia. O e-mail criptografado nem sempre é fácil de configurar se é uma novidade para você.
  • Escolha um software de criptografia de e-mail com boa reputação, que tenha sido resenhado por peritos no assunto. Sempre atualize seu software para se proteger contra vulnerabilidades de segurança.
  • Reserve um tempo para criar uma senha longa e exclusiva para o seu software de e-mail criptografado. Se você esquecer essa senha, perderá o acesso a e-mails criptografados.
  • Envie e-mails criptografados regularmente para não esquecer como usar o software.
  • Detalhes sobre o e-mail, incluindo o título e os endereços do correio eletrônico que enviam e recebem a mensagem, não são criptografados.
  • Exemplos de software de criptografia de e-mail incluem o GPG Suite para Mac, o GPG4win para Windows e Linux, o Thunderbird com a extensão Enigmail e o Mailvelope.

Uso seguro da Internet

Os jornalistas dependem da internet, mas podem não querer compartilhar suas atividades na web com todos os provedores de serviços de Internet, cybercafés ou hotéis com Wi-Fi gratuito. Criminosos, assim como adversários sofisticados, podem roubar informações ou monitorar jornalistas usando sites inseguros ou conexões Wi-Fi públicas.

Para usar a Internet com segurança:

  • Procure https e o ícone de cadeado no início de cada URL do site (https://cpj.org), indicando que o tráfego entre você e o site está criptografado. Verifique se os sites visitados são seguros usando a extensão de navegador HTTPS Everywhere da Electronic Frontier Foundation.
  • Verifique se o endereço do site é autêntico, não uma falsificação. O URL deve estar escrito corretamente e incluir https.
  • Instale um bloqueador de anúncios para se proteger contra malware, geralmente oculto na publicidade pop-up. Tais programas permitem impedir o bloqueio de determinados sites.
  • Instale o Privacy Badger para impedir que sites e anunciantes rastreiem quais sites você visita na Internet.
  • Desative o Bluetooth e outros aplicativos e serviços de compartilhamento de arquivos quando não estiverem em uso.
  • Use uma VPN para proteger melhor o tráfego da Internet de ser registrado pelo seu provedor de serviços de Internet ou ao usar WiFi público.
  • Evite usar computadores públicos, especialmente em cybercafés ou salas de imprensa. Se não puder evitar, saia de todas as sessões e limpe seu histórico de navegação após o uso.
  • Considere instalar o Tor (Tor Browser Bundle) gratuito para usar a Internet anonimamente ou o Tails, um sistema operacional gratuito que roteia todo o tráfego da Internet através do Tor. O Tor é especialmente recomendado para jornalistas que investigam tópicos delicados, como corrupção governamental de alto nível em países com capacidade tecnológica sofisticada. Reveja a lei com relação ao uso do Tor no país em que você está.

Cruzando fronteiras

Muitos jornalistas atravessam fronteiras transportando informações pessoais e de trabalho que talvez não desejem que outras pessoas acessem em dispositivos eletrônicos. Se os guardas de fronteira tirarem um dispositivo de seu campo de visão, terão a oportunidade de inspecioná-lo, obter acesso a qualquer conta, copiar informações ou instalar um spyware. Jornalistas que atravessam a fronteira para os EUA devem consultar as recomendações de segurança do CPJ, "Nada a declarar".

Antes de viajar:

  • Confira quais informações estão em seus dispositivos e como elas podem colocar você e seus contatos em risco. Suponha que seus dispositivos possam estar sujeitos ao mesmo nível de escrutínio que notebooks e material impresso em sua bagagem.
  • Faça backup do conteúdo de todos os seus dispositivos em um disco rígido externo ou na nuvem. Remova todas as informações que você não gostaria que os oficiais de fronteira acessassem em seus dispositivos.
  • Se possível, compre dispositivos limpos para usar somente em viagens, especialmente se estiver trabalhando em histórias altamente sensíveis. Se estiver viajando com um dispositivo pessoal ou de trabalho, faça backup seguro do seu conteúdo e execute uma limpeza ou redefinição de fábrica.
  • Ative a criptografia de disco completo em todos os dispositivos para garantir que suas informações não possam ser acessadas sem uma senha. Pesquise quais as restrições sobre criptografia do país que vai visitar para garantir que não infrinja nenhuma lei. Esteja ciente de que as forças de segurança podem legalmente solicitar sua senha. Consulte o seu empregador ou advogado antes de viajar, se houver a possibilidade de você ser parado na fronteira.
  • Faça logout de todas as contas nos seus dispositivos e desinstale os aplicativos até atravessar a fronteira e alcançar uma conexão segura à Internet.
  • Limpe seu histórico de navegação em todos os seus dispositivos. (O seu provedor de serviços de Internet ainda terá um registro de quais sites você visitou.)
  • Bloqueie todos os dispositivos com um PIN ou senha em vez de dados biométricos, como seu rosto ou impressão digital.
  • Ative a limpeza remota de seus dispositivos e deixe instruções claras com alguém de sua confiança para deletar o conteúdo remotamente se você for detido.

Na fronteira:

  • Desligue seus dispositivos para ativar a criptografia de disco.
  • Fique de olho nos seus dispositivos enquanto eles passam pela segurança.
  • Não ligue o telefone até estar longe do aeroporto. Quaisquer chamadas e mensagens SMS serão roteadas através de um provedor de serviços local que pode coletar o conteúdo ou compartilhá-lo com as autoridades. Use uma VPN ao conectar-se ao aeroporto WiFi.
  • Se algum dispositivo for confiscado na fronteira ou algo for inserido nele, presuma que ele está comprometido e que qualquer informação contida nele foi copiada.

Nota do editor [do CPJ]: este kit foi publicado originalmente em 30 de julho de 2019 e revisado para precisão na data indicada no topo.

Assinatura Abraji