Segurança digital
  • 16.04
  • 2021
  • 17:15
  • Global Investigative Journalism Network (GIJN)

Formação

Segurança digital

Texto originalmente publicado pela Global Investigative Journalism Network (GIJN).

Os jornalistas têm sido fortemente encorajados a proteger suas comunicações e informações das crescentes ameaças à sua privacidade.

No entanto, vários estudos mostram que a maioria dos jornalistas, apesar de acreditar que o perigo é real, não está adotando proteções básicas.

A Rory Peck Foundation publicou um Guia de Segurança Digital voltado para freelancers, enfatizando que “mesmo passos pequenos e simples podem fazer uma grande diferença”.

Para ajudar a promover a segurança digital, a GIJN reuniu este guia de recursos sobre o assunto.

“Você nunca pode dizer que alguém está 100% seguro”, disse Trevor Timm, Diretor Executivo da Freedom of the Press Foundation, em entrevista ao PDNPulse, um blog de fotografia profissional. "Mas há muitos passos básicos que qualquer pessoa pode seguir para ficar mais seguro do que 90 ou 95 por cento dos usuários da Internet, e isso já é um grande passo à frente”.

Começamos com um resumo das recomendações de Robert Guerra, um especialista em segurança digital do grupo canadense Citizen Lab, que alerta que a maioria dos repórteres não está tomando nem mesmo as precauções mais básicas.

“Se você se tornar conhecido por causa de reportagens investigativas, você pode virar alvo de pessoas que usam ferramentas digitais para atacar você e seus dados”, diz Guerra, que por mais de uma década treinou funcionários de ONGs e jornalistas para gerenciar seus relacionamentos e dados digitais de forma segura. “Comece com o básico. Conheça os riscos. Existem algumas coisas simples que as pessoas podem fazer”.

Guerra sugere começar aqui:

E-mail

  • Se você estiver viajando para um país conhecido por espionar a mídia ou jornalistas, não use um serviço de e-mail local.
  • Em casa, use um provedor seguro - você pode saber se seu e-mail está protegido verificando se consta “https” na barra de endereço. O Gmail é seguro por padrão, enquanto as configurações do Yahoo e do Facebook podem ser ajustadas. Por quê? Se você usa uma rede wi-fi gratuita, qualquer pessoa pode acessar sua tela usando um software simples e gratuito. Isso é um problema se você estiver se comunicando com uma fonte. É como se você estivesse tendo uma conversa confidencial com uma fonte em um lugar público e lotado, explica Guerra, "mas vocês dois estão gritando".
  • Não presuma que sua conta comercial está protegida. Pergunte ao departamento de tecnologia quais cuidados são necessários e considere abrir uma conta pessoal do Google ou do Yahoo sobre a qual você tenha controle.

Senhas e o autenticação de dois fatores

Se você tem Gmail, todos sabem seu nome de usuário. Portanto, um hacker só precisa da sua senha. Um primeiro passo óbvio é usar uma senha mais complexa. Existem guias para criar senhas mais fortes listados abaixo. Além disso, para interações mais confidenciais, Gmail, Twitter e Facebook adicionaram uma camada adicional (e opcional) de proteção - a autenticação de dois fatores. Quando você ativa a autenticação de dois fatores e insere sua senha, a conta envia uma mensagem de texto para o seu telefone, fornecendo um código de autenticação exclusivo que deve ser inserido antes de acessar a conta.

A Repórteres Sem Fronteiras tem um vídeo de 12 minutos, em inglês, sobre como criar senhas seguras.

Configurações de login

Estabeleça várias contas de usuário em seu computador, incluindo pelo menos um usuário além do administrador padrão. Certificando-se de que a segunda conta não tenha privilégios de administrador e use esse login para seu trabalho diário. Assim, se um malware tentar se instalar automaticamente, o computador irá alertá-lo com uma mensagem solicitando a senha do administrador.

MalWare

  • Cuidado com anexos suspeitos, mantenha seus programas atualizados e instale um bom antivírus. Normalmente, os programas pagos oferecem maior proteção.
  • Fique atento aos e-mails de grupos ou pessoas que você talvez conheça, mas que parecem um pouco estranhos - pequenas alterações gramaticais ou de pontuação.
  • Usuários de Mac, não se deixem enganar por uma falsa sensação de segurança.
  • Computadores desatualizados sem patches de segurança podem colocá-lo em um risco maior.

Guerra descreve algumas ferramentas específicas aqui (em inglês e espanhol).

Quando algo dá errado

Não deixe passar se o seu computador começar a agir de forma estranha. Entre em contato com um dos grupos sem fins lucrativos dedicados a detectar e rastrear ataques e treinar usuários. Por exemplo:

  • A Access Now opera uma linha de ajuda de segurança digital 24 horas, disponível todos os dias da semana e em nove idiomas: português, inglês, espanhol, francês, alemão, russo, filipino, árabe e italiano. Eles respondem a todos os pedidos dentro de duas horas.
  • O The Committee to Protect Journalists (CPJ), com sede em Nova York, advoga em nome de repórteres em todo o mundo e recebe pedidos de ajuda. O site inclui uma versão em português.
  • A Repórteres Sem Fronteiras, com sede em Paris, faz um trabalho semelhante ao do CPJ. A Repórteres Sem Fronteiras opera um serviço de assistência emergencial para a imprensa e uma central de ajuda on-line para aconselhar e apoiar jornalistas de todo o mundo em questões de segurança digital. Informações sobre assuntos como criptografia, anonimato, segurança de conta e uma abordagem profissional para lidar com discurso de ódio e notícias falsas estão disponíveis em helpdesk.rsf.org.
  • O The Citizen Lab da Universidade de Toronto investiga questões de segurança na Internet e direitos humanos.

Tutoriais e dicas

Não faltam guias de segurança digital. Muitos são excessivamente complexos e não são muito úteis para jornalistas. Mas vale a pena designar alguém da sua equipe, da sua redação ou da sua organização sem fins lucrativos para assumir a liderança e garantir que seu trabalho esteja bem protegido. Aqui estão alguns recursos:

O “Kit de ferramentas de segurança cibernética para jornalistas”, lançado em 2020 pela Global Cyber Alliance, é um recurso gratuito destinado a ajudar jornalistas e pequenas redações a reforçar suas práticas de cibersegurança.

Uma lista de dicas para opções de segurança digital de código aberto feita para a GIJN em 2019 por Katarina Sabados, jornalista freelance e pesquisadora do Organized Crime and Corruption Reporting Project (OCCRP).

Kit de Segurança Digital do CPJ, de 2019, tem versões em seis línguas, inclusive português, e contém seis capítulos:

Proteja suas contas
Phishing
Segurança do dispositivo
Comunicações criptografadas
Uso seguro da Internet
Cruzando fronteiras

Orientações de Segurança do CPJ: Jornalistas são alvo do spyware Pegasus”, de 2019 e em português.

O Centro de Educação em Segurança Digital do The New York Times contém um Guia de Como Investigar as suas Informações [fazer Dox] na Internet e Checklists de Segurança e Privacidade nas Redes Sociais, ambos em inglês.

A Federação Internacional de Jornalistas lançou, em nov.2019, diretrizes para lutar coletivamente contra o ataque on-line de mulheres jornalistas.

Checagem de segurança digital para evitar sofrer doxxing”, de Will Carless, correspondente do Reveal que cobre extremismo. 

A segurança digital para jornalistas requer um kit de ferramentas adaptável”, artigo de 2019 de Grégoire Pouget, presidente e cofundador da Nothing2Hide.

Treinamento de segurança digital para ativistas e jornalistas” da Totem, uma plataforma de aprendizagem on-line para jornalistas, ativistas e defensores dos direitos humanos em um ambiente de sala de aula on-line e seguro. Oferece treinamentos gratuitos de segurança digital em árabe, inglês, francês, persa e espanhol.

Medidas para redações e jornalistas lidarem com o assédio on-line”: esta coleção de materiais reunida pelo programa Ontheline do International Press Institute (IPI) cobre assuntos como o que fazer quando um jornalista recebe uma ameaça on-line e como criar hábitos de segurança na redação.

Segurança digital: remova dados pessoais da Internet” foi publicado em 2019 pelo CPJ, com versão em português. 

O Guia de campo para treinamento em segurança” é um programa de estudos oferecido pela OpenNews, uma equipe que ajuda desenvolvedores, designers e analistas de dados a se reunir e colaborar em projetos de jornalismo open source, e pelo BuzzFeed Open Lab, um programa de bolsa de estudos em artes e tecnologia do BuzzFeed News.

4 dicas de segurança digital que todo jornalista precisa saber”, apresentado na conferência Uncovering Asia 2018, em Seul, por Chris Walker, um especialista em segurança digital do Tactical Technology Collective, compartilhou dicas importantes que os jornalistas podem implementar para proteger a si mesmo, suas fontes e sua história.

Medidas para redações e jornalistas para lidar com o assédio on-line”, uma coleção de recursos publicada em 2019 pelo International Press Institute, incluindo um protocolo para apoiar jornalistas que são alvo de assédio.

Guia de campo contra assédio on-line”, publicado pela PEN America, inclui conselhos para uma variedade de públicos - escritores, testemunhas e empregadores - além de alguns recursos incomuns, como Diretrizes para falar com amigos e entes queridos.

Seu smartphone e você: um manual para manutenção de dispositivos móveis modernos”, um guia de 2019 da Freedom of the Press Foundation.

A edição de ago.2017 da Current Digital Security Resources foi elaborada por Martin Shelton, que começa observando que “mesmo os recursos de segurança digital mais completos se tornam rapidamente obsoletos”. Shelton também é autor de um artigo sobre uma das formas de se defender mais comuns: o uso da autenticação de dois fatores. Outro texto de sua autoria mostra como os repórteres podem se preparar para softwares maliciosos.

Autodefesa contra Vigilância da Electronic Frontier Foundation tem versão em portugês e fornece muitas informações, incluindo um "kit básico segurança" de sete etapas. Entre as sugestões:

  • Uso adequado de senhas: Escolha senhas fortes usando o Diceware, evite reutilizar senhas, considere o uso de uma chave virtual criptografada ou gerenciador de senhas, evite fornecer respostas que possam ser facilmente encontradas para suas perguntas de segurança e use senhas de autenticação de dois fatores. Se você deixa suas senhas anotadas em um pedaço de papel em sua carteira, certifique-se de adicionar caracteres fictícios antes e depois das senhas reais e não deixe claro a qual conta cada uma pertence. Não use a mesma senha para várias contas. E mude as senhas regularmente.
  • Você não deve destruir as evidências, mas pode manter uma política de retenção na qual limpa rotineiramente seus arquivos. Certifique-se de que este procedimento seja escrito e seguido por todos. “É a sua melhor defesa contra uma intimação - eles não podem obter algo que você não tem mais”. 
  • Noções básicas de proteção de dados: Exigir logins para contas e protetores de tela. Torne suas senhas fortes. Certifique-se de confiar em seu administrador de sistemas.
  • Criptografia de dados: os governos podem acessar dados protegidos por senha. Mas dados bem criptografados são mais difíceis. O site oferece outro guia básico de como funciona a criptografia.
  • Proteção contra malware: use um software antivírus, mantenha seus patches de segurança atualizados e evite acessar links ou arquivos suspeitos.

Eva Galperin, da Electronic Frontier Foundation, por meio do U.S. Public Broadcasting Service, fornece esta lista de dicas com práticas recomendadas. Alguns pontos importantes incluem:

  • O Skype não é tão seguro quanto você imagina. Os governos podem usá-lo para rastrear seus movimentos. Em vez disso, considere usar o Google Hangouts.
  • As mensagens de texto não são seguras e não são criptografadas.

O Guia de Segurança Digital, da revista The Wired.

Steve Doig, professor da Universidade do Estado do Arizona nos EUA, fornece estas dicas em sua apresentação “Espionagem: Mantendo suas fontes privadas” (PowerPoint):

  • Pesquise na web com o Startpage, que não salva seu endereço IP ou termos de pesquisa.
  • Disfarce seu identificador de chamadas com o SpoofCard. Também funciona para ligações internacionais.
  • Compre telefones celulares pré-pagos, com dinheiro.
  • Criptografe suas comunicações:
    • O Spam Mimic criptografa mensagens em e-mails para parecem spam
    • Delete os arquivos excluídos para sempre usando Webroot Window Washer
    • Ao obter documentos que vazaram de uma fonte governamental, tome cuidado com marcas d'água invisíveis.

O Tactical Technology Collective publicou e atualizou o Security in-a-Box para defensores dos direitos humanos e jornalistas, com versão em português. Inclui um Guia de Táticas que cobre 11 áreas, guias práticos com foco em softwares gratuitos específicos ou ferramentas de código aberto e uma seção de segurança  para telefonia móvel (Android).

Uma lista de sugestões de autodefesa contra vigilância do The Intercept descreve as etapas básicas, intermediárias e avançadas a serem executadas.

Técnicas de segurança de dados, capítulo quatro do Manual de Jornalismo Investigativo, um projeto do Global Media Programmes da Konrad Adenauer Stiftung (KAS).

Micah Lee, do The Intercept, escreveu “Autodefesa contra Vigilância da Administração Trump”, alertando que uma expansão constante do poder executivo nos Estados Unidos significa que “aqueles que se preparam para a longa luta que se aproxima devem se proteger, mesmo que isso possa ser tecnicamente complicado”.

Jornalistas em perigo: protegendo sua vida digital foi preparado pelo Canadian Journalists for Freedom of Expression. Também está disponível em francês e árabe.

Mensagens instantâneas: muitos especialistas recomendam o uso do Signal ou do WhatsApp. Veja os artigos do Journalism.co.uk sobre o Signal e do First Draft sobre como usar WhatApp para coletar notícias. O serviço de compartilhamento seguro de arquivos da Mozilla é uma ótima maneira de receber documentos de pessoas que não se sentem confortáveis ou não são capazes de criptografar os arquivos ou não podem enviá-los, por exemplo, pelo Signal.

Privacidade para Jornalistas é a versão brasileira de um site australiano desenvolvido pelo jornalista Raphael Hernandes. Inclui guias e ferramentas como um sobre “análise de ameaças”. Suas cinco dicas básicas:

  • Criptografia de HD e pen drives - A criptografia coloca uma senha em discos rígidos e dispositivos USB, que protegem fontes e arquivos pessoais no caso de o equipamento ser perdido ou roubado.
  • Verificação em duas etapas - Usada para acesso a bancos on-line, pode ser configurada em seu e-mail e redes sociais. O login é feito com algo que você conhece (sua senha) e algo que você possui (um código enviado para o seu smartphone, por exemplo). Isso evita problemas, mesmo se você tiver senhas comprometidas.
  • Signal - Aplicativo disponível para smartphones com mensagem criptografada. Se o celular for interceptado, ninguém entenderá o que está escrito ali.
  • Sync.com - Sistema de armazenamento em nuvem gratuito. Ele usa criptografia de conhecimento zero, o que significa que armazena informações, mas não sabe o que está sendo armazenado. Como regra, os sites que usamos costumam escanear os arquivos e passar relatórios para as autoridades. Sync é criptografado e mais seguro, muito simples de usar.
  • PGP - acrônimo de Pretty Good Privacy (privacidade muito boa, em tradução livre). É uma forma de criptografar e-mails. Como uma espécie de baú, mas com duas chaves: uma para trancar e outra para destrancar. Você dá a chave que fecha o baú para que as pessoas possam lhe enviar arquivos e mensagens. Mas só você tem a chave para abrir o conteúdo.

Privacy for Journalists é um site australiano administrado pela CryptoAustralia. Notícias são apresentadas em um blog, contendo guias como Armazenar Arquivos Privadamente na Nuvem, Escolhendo um Mecanismo de Busca Seguro e Criptografe seus Drives USB no Windows.

A Free Press Unlimited oferece cursos on-line gratuitos de segurança digital na plataforma Totem, que ajuda jornalistas e ativistas a usar ferramentas e táticas de segurança digital e privacidade de forma mais eficaz em seu trabalho.

O podcast The Storyful Podcast: Segurança Digital - Como jornalistas e ativistas podem se proteger on-line (em inglês). O apresentador e jornalista Della Kilroy se juntou aos jornalistas da Storyful, Jenny Hauser e Eoghan Sweeney, junto com convidados especiais, os especialistas em segurança Andrew Anderson, Diretor Executivo da Frontline Defenders, e Holly Kilroy, cofundadora da Security First.

“Todo mês de janeiro, faço uma atualização digital, limpando minhas configurações de privacidade, atualizando meus softwares...”, escreveu Julia Angwin, da ProPublica, ao apresentar suas nove sugestões. “Atualmente, a tarefa parece particularmente urgente, pois enfrentamos um mundo com ameaças sem precedentes à nossa segurança digital”.

Dezesseis etapas são recomendadas por Aimee O'Driscoll da empresa de segurança Comparitech. “Isso vai desde o simples uso do bom senso até o de algumas das tecnologias mais atualizadas e envolve táticas como criptografar comunicações e evitar plataformas populares. Embora alguns desses métodos possam parecer muito trabalhosos, quando combinados, eles podem reduzir muito o risco de informações serem descobertas por curiosos”.

Observando que “o mundo da tecnologia é intimidante”, David Trilling criou uma lista de dicas “para jornalistas de todos os níveis de conhecimento digital, bem como links para tutoriais úteis”. Publicado pelo Journalist’s Resource do Harvard’s Shorenstein Center on Media, Politics and Public Policy.

Uma extensa coleção de links sobre segurança digital foi preparada pela DW Akademie, a organização alemã para o desenvolvimento de mídia internacional.

Um primeiro contato com a segurança digital”, um guia open source para ajudá-lo a dar os primeiros passos para melhorar sua segurança digital on-line, e em constante atualização no GitLab.

Um artigo com cinco dicas foi feito pelo The Ugandan Hub for Investigative Media, uma organização não governamental de Uganda, que treina jornalistas em segurança digital com o apoio da DW Akademie.

Como evitar o phishing e fazer uma boa limpeza em seu e-mail são discutidos pela Freedom of the Press Foundation. Phishing é uma técnica usada para enganar usuários e obter informações confidenciais como senhas.

Oito dicas de prevenção para proteger seu telefone celular são descritas em um infográfico da The Freedom of the Press Foundation. Também é interessante a entrevista com Harlo Holmes, diretor de segurança digital da redação da organização, que diz: “Todo dia há novos desafios”.

O Kit de Primeiros Socorros Digitais “oferece um conjunto de ferramentas de auto diagnóstico para defensores dos direitos humanos, blogueiros, ativistas e jornalistas que enfrentam ataques, além de fornecer diretrizes para que ‘socorristas digitais’ ajudem pessoas sob ameaça”. Foi produzido pela Digital Defenders Partnership e mais de uma dezena de ONGs.

O Source oferece “Segurança para Jornalistas, Parte Um: O Básico” e “Segurança para Jornalistas, Parte Dois: Modelagem de Ameaças”, elaborados por Jonathan Stray.

Protegendo suas fontes ao divulgar documentos confidenciais” de Ted Han e Quinn Norton tem o subtítulo “Limpe metadados, redija informações corretamente, procure por micropontos e outros”.

Segurança Digital para Freelancers, da Rory Peck Trust, cobre uma variedade de tópicos sobre segurança digital.

A The Journalist’s Toolbox (Caixa de Ferramentas para Jornalistas) da Sociedade para Jornalistas Profissionais oferece links para muitos recursos.

O Comitê para a Proteção de Jornalistas (CPJ) aborda a segurança cibernética como parte de seu Guia de Segurança de Jornalismo.

Uma crítica às orientações do CPJ sobre segurança digital ao cruzar as fronteiras foi feita por Robert Graham, da Errata Security.

O Kit de Primeiros Socorros Digital é um guia criado por uma dúzia de ONGs relacionadas à mídia, incluindo Free Press Unlimited, Freedom House, Global Voices e Internews.

O Centre for Investigative Journalism, com sede em Londres, tem um manual de 80 páginas, Segurança da Informação para Jornalistas, cheio de dicas e técnicas.

O relatório da UNESCO “Construindo Segurança Digital para Jornalismo” descreve 12 ameaças digitais específicas “incluindo vigilância digital ilegal ou arbitrária, rastreamento de localização e ataques explorando vulnerabilidaes em software e hardware feitos sem o conhecimento do alvo”. Ele fornece dicas sobre como manter você e seus dados seguros. Também disponível em espanhol.

O Facebook oferece dicas de segurança para jornalistas em 20 idiomas.

O “Guia de recursos de privacidade 2019” é uma lista abrangente de aplicativos, ferramentas e serviços de privacidade gratuitos que os usuários podem implementar em vários dispositivos. Compilado por Marcus P. Zillman para a LLRX (Recursos jurídicos e tecnológicos para profissionais jurídicos).

O “Guia da Motherboard para não ser hackeado” é um guia extenso para segurança digital. Também aborda segurança móvel.

Guia Faça Você Mesmo para a Cibersegurança Feminista” por Noah Kelley, que explora o ciberfeminismo por meio da organização ativista HACK*BLOSSOM.

Cibersegurança para jornalistas e meios de comunicação, um artigo de Stephen Cobb da empresa de segurança ESET. Inclui sites e uma lista de recursos.

Noções básicas de comunicações seguras para jornalistas”, escrito em 2017 por Gabor Szathmari cobre limpeza de metadados de documentos, mensagens instantâneas, compartilhamento de arquivos e comunicação segura.

As melhores práticas para conduzir pesquisas arriscadas e se proteger contra o assédio on-line”, publicado pela Data&Society em 2016, é projetado para pesquisadores acadêmicos, mas contém bons conselhos e listas de outros recursos.

Tradução: Ana Beatriz Assam

Assinatura Abraji