====== Oficina de segurança para jornalistas na Casa Pública ====== fev 2017 {{ :oficinas:img_20170211_151327101.jpg?nolink&550 |}} ===== Slides ===== * PDF: https://codingrights.org/arquivos/oficinas/2017-02_casa_publica.pdf * Imagens: https://imgur.com/a/s4VCl ===== Coding Rights ===== === Projetos === == Chupadados == * Home: http://chupadados.com * Saí para caçar equipamentos de vigilância no Rio de Janeiro: https://chupadados.codingrights.org/sai-para-cacar-equipamentos-de-vigilancia-no-rio-olimpico/ * Bilhete Único: concentração de dados e dinheiro no transporte público do Rio de Janeiro: https://chupadados.codingrights.org/com-o-riocard-seus-dados-passeiam-pelo-rj-e-ninguem-sabe-onde-vao-descer/ == Oficina Antivigilância == * Home: https://antivigilancia.org * Boletim Antivigilância 14: https://antivigilancia.org/pt/boletim-14-pt/ == Zine Safer Nudes == * http://www.codingrights.org/pt/manda-nudes/ == Plataforma de monitoramento de projetos de lei == * https://codingrights.gitlab.io/pls/ === Canais === * https://twitter.com/codingrights * https://facebook.com/CodingRights * https://medium.com/@codingrights/ * https://codingrights.org ===== Como a internet funciona / principais vulnerabilidades ===== * "Ameaças e riscos ao navegar na internet", do Tem Boi na Linha?: https://temboinalinha.org/#ameacas-e-riscos-ao-navegar-na-internet * Tor e HTTPS - infográfico interativo mostra quais partes da Internet podem ver o quê quando você usa Tor e/ou HTTPS https://antivigilancia.org/pt/tor-e-https/ **** {{ :oficinas:img_20170211_162620798.jpg?nolink&600 |}} **** ===== Leis e Tecnopolítica ====== ==== Cenário do Brasil ==== * Slide com tabela explicativa: https://i.imgur.com/1Tct7cA.png * Nossa plataforma de monitoramento de projetos de lei: https://codingrights.gitlab.io/pls/ * Documento-website feito para a CPI de Crimes Cibernéticos, com muitas referências: https://cpiciber.codingrights.org/marco-civil/ https://cpiciber.codingrights.org/interceptacao/ https://cpiciber.codingrights.org/anonimato/ ==== Coalizão Direitos na Rede ==== * https://medium.com/@cdr_br * https://direitosnarede.org.br/ ===== Metadados ===== * Metadados são vigilância: https://antivigilancia.org/pt/2013/10/metadados-sao-vigilancia/ * Rastreamento de Localização: https://myshadow.org/pt/location- * Por que Meta-dados são importantes: https://ssd.eff.org/pt-br/module/por-que-meta-dados-s%C3%A3o-importantes * Apple armazena os contatos do iMessage e pode divulgá-los para a Polícia: https://theintercept.com/2016/09/30/apple-armazena-os-contatos-do-imessage-e-pode-divulga-los-para-a-policia/ * Os dados do WhatsApp que não entram na criptografia ponta a ponta: http://gizmodo.uol.com.br/whatsapp-criptografia-analise/ * Immersion: a people-centric view of your email life: https://immersion.media.mit.edu/demo * 'A questão dos metadados tem sérias implicações para a privacidade' (entrevista com uma das pessoas do Immersion): http://revistagalileu.globo.com/Revista/Common/0,,EMI340880-17770,00-A+QUESTAO+DOS+METADADOS+TEM+SERIAS+IMPLICACOES+PARA+A+PRIVACIDADE.html * Por que jornalistas devem aprender sobre metadados: https://ijnet.org/pt-br/blog/por-que-jornalistas-devem-aprender-sobre-metadados * EUA usam vigilância digital da NSA para ordenar ataques com drones: https://www.brasildefato.com.br/node/27391/ * Briar — O próximo passo da evolução dos mensageiros criptografados: https://medium.com/@hendrixfreire/briar-o-pr%C3%B3ximo-passo-da-evolu%C3%A7%C3%A3o-dos-mensageiros-criptografados-ff3e3fd70b97#.8uq30dpyn * Bilhete Único: concentração de dados e dinheiro no transporte público do Rio https://chupadados.codingrights.org/com-o-riocard-seus-dados-passeiam-pelo-rj-e-ninguem-sabe-onde-vao-descer/ ===== Senhas ===== * Abre-te Sésamo: as senhas da nossa vida digital https://antivigilancia.org/pt/2015/06/abre-te-sesamo-as-senhas-da-nossa-vida-digital-2/ * Um chaveiro para sua vida online https://antivigilancia.org/pt/2015/11/um-chaveiro-para-sua-vida-online/ * Senhas fáceis para você memorizar e que nem a NSA conseguirá desvendar https://theintercept.com/2016/12/29/senhas-faceis-para-voce-memorizar-e-que-nem-a-nsa-nao-consegue-desvendar/ * Tutorial de uso do KeePass (Windows): https://securityinabox.org/pt/guide/keepassx/windows/ * Tutorial de uso do KeePass (GNU/Linux): https://securityinabox.org/pt/guide/keepassx/linux/ * Tutorial de uso do KeePassDroid (Android): https://securityinabox.org/pt/guide/keepassdroid/android * KeePass for Beginners (melhor texto, mas em inglês) https://medium.com/@mshelton/keypass-for-beginners-dc8adfcdad54#.ibfswlai8 **** {{ :oficinas:img_20170211_162440795.jpg?nolink&270|}} **** ===== Mensageiro Signal - cripto ponta-a-ponta / software livre ===== Algo que não dissemos na oficina mas que é bem interessante é que o Signal pode fazer chamadas de áudio (e a última versão lançada há pouco permite também chamadas de vídeo) * Android: https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms * iPhone / iOS: https://itunes.apple.com/us/app/signal-private-messenger/id874139669?mt=8 * OpenWhisperSystems, org. sem fins lucrativos que desenvolve o app: https://whispersystems.org/ * Tutorial da EFF: https://ssd.eff.org/pt-br/module/como-utilizar-signal-aplicativo-de-mensagem-privada * Como funciona o app ‘ultrasseguro’ de mensagens usado por Snowden http://www.bbc.com/portuguese/geral-37821449 * Entrevista d'O Globo com o fundador da OWS, Moxie Marlinspike http://oglobo.globo.com/sociedade/tecnologia/parece-que-juiz-nao-entende-diz-criador-de-criptografia-do-whatsapp-19239385 * Há uma versão para desktop do Signal, mas deve ser instalada integrada com o Google Chrome: https://chrome.google.com/webstore/detail/signal-private-messenger/bikioccmkafdpakkkcpdbppfkghcmihk ===== E o Whatsapp? ===== * Slide com tabela comparativa: https://i.imgur.com/e62qhKH.png * ‘Não é possível interceptar’, afirma especialista sobre dados do WhatsApp (no caso, nosso Lucas :)) http://oglobo.globo.com/economia/nao-possivel-interceptar-afirma-especialista-sobre-dados-do-whatsapp-19750758 * Whatsapp, Telegram, Signal ou Actor? https://antivigilancia.org/pt/2015/12/whatsapp-telegram-ou-signal/ * WhatsApp, Telegram ou Signal: qual é o app de mensagens mais seguro? https://motherboard.vice.com/pt_br/article/whatsapp-telegram-ou-signal-qual-e-o-app-de-mensagens-mais-seguro ===== Proteger o disco - desktop ===== ==== Windows ==== * Videoaulas: https://www.youtube.com/watch?v=_d1_0FMWxVY https://www.youtube.com/watch?v=GE9bkZFH_U0 * Tutorial detalhado da Microsoft: https://technet.microsoft.com/pt-br/library/ee424299%28v=ws.10%29.aspx * Download, caso não esteja instalado: https://www.microsoft.com/pt-br/download/details.aspx?id=7806 ==== Mac OS X ==== * Tutorial detalhado e ilustrado da Apple: https://support.apple.com/pt-br/HT204837 ==== Ubuntu ==== No Ubuntu, deve-se escolher criptografar a pasta pessoal (diretório *home*) no momento da instalação. * Vídeo mostrando as telas (em inglês): https://www.youtube.com/watch?v=pCsvj_bi0A8 ==== Veracrypt - multiplataforma ==== * Site da ferramenta: https://veracrypt.codeplex.com/ * Downloads: https://veracrypt.codeplex.com/releases/view/629329 * Tutorial passo-a-passo: http://www.brutalsecurity.com.br/2015/05/28/seguranca-digital-criptografia-com-veracrypt/ * Videoaula que vimos na oficina: https://www.youtube.com/watch?v=ASGKXcUmUvI * Um pouco da história do Truecrypt, antecessor do VeraCrypt: https://antivigilancia.org/pt/2015/06/a-saga-do-truecryptc ===== Proteger o disco - mobile ===== ==== iPhone ==== A Apple foi uma pioneira na implementação de criptografia no celular (principalmente após o iOS 8). Ao configurar um código de acesso os dados são automagicamente criptografados com a senha e mais um outro grande código embutido no hardware de forma a ser, na prática, impossível de ser extraído; há também um mecanismo no hardware para limitar fisicamente a quantidade de tentativas de senhas. ==== Android ==== Para proteger os dados no Android é necessário habilitar a opção "Criptografar telefone" ou "Codificar telefone": * http://www.techtudo.com.br/noticias/noticia/2014/12/criptografia-no-android-conheca-os-pros-e-contras-do-procedimento.html * https://www.tecmundo.com.br/como-fazer/31488-android-como-codificar-todos-os-dados-do-seu-celular.htm ==== Windows Phone ==== O Windows 10 Mobile já é capaz de fazer criptografia de disco: http://www.techtudo.com.br/dicas-e-tutoriais/noticia/2016/01/como-ativar-criptografia-no-windows-10-mobile.html ===== Trackers - monitoramento na web ===== * Estudo de Princeton expõe vigilância descontrolada dos trackers na Web https://antivigilancia.org/pt/2016/06/webcensus/ * Trackers: os grandes stalkers da Web https://antivigilancia.org/pt/2015/11/trackers-os-grandes-stalkers-da-web/ * Trackography — Who tracks you online? (ferramenta para visualizar trackers em jornais ao redor do mundo) https://trackography.org/ * Trace My Shadow (ótima ferramenta para descobrir vulnerabilidades, mas só em inglês https://myshadow.org/trace-my-shadow ===== Data brokers - compra e venda de dados pessoais ===== * Data Brokers e Profiling: um guia ilustrado https://antivigilancia.org/pt/2015/05/data-brokers-e-profiling-um-guia-ilustrado/ * Data Brokers e Profiling: vigilância como modelo de negócios https://antivigilancia.org/pt/2015/05/data-brokers-e-profiling-vigilancia-como-modelo-de-negocios/ ===== Usando a internet em redes não-confiáveis - VPN ===== * Escolhendo a VPN (rede virtual privada) mais adequada para você https://ssd.eff.org/pt-br/module/escolhendo-vpn-rede-virtual-privada-mais-adequada-para-voc%C3%AA * Provedor Private Internet Access (multisistema, pago) https://bra.privateinternetaccess.com/ * Provedor TunnelBear (multisistema, pago) https://www.tunnelbear.com/ * Provedor Bitmask (Android e GNU/Linux, software livre, grátis) https://bitmask.net/pt **** {{ :oficinas:img_20170211_163942883.jpg?direct&270|}} ===== Navegando anonimamente - Tor ===== * Folheto explicativo sobre o Tor https://people.torproject.org/~karsten/tor-brochure/tor-brochure-pt-BR.pdf * Animação sobre o Tor que passamos na oficina (tem legendas em português): https://www.youtube.com/watch?v=JWII85UlzKw * Download para o computador: https://www.torproject.org/download/download-easy.html.en * No Android, deve-se instalar os apps Orbot (conecta o celular à rede Tor) e Orfox (navegador): * https://play.google.com/store/apps/details?id=org.torproject.android * https://play.google.com/store/apps/details?id=info.guardianproject.orfox * Para saber mais: https://cpiciber.codingrights.org/tor-onion/ ===== Tor vs VPN ===== Em resumo: o Tor é feito especialmente para permitir conexões anônimas, e em alguma medida serve para se proteger de conexões não confiáveis (como wifi público). A VPN é feita especialmente para permitir se proteger de conexões não confiáveis, e em alguma medida permite anonimato também. Mas é bom usar a ferramenta específica pro que você quer. * Tor: a internet anônima é o que você realmente precisa? http://gizmodo.uol.com.br/giz-explica-tor/ * Tor x VPN x Proxy (em inglês, infelizmente): https://www.privateinternetaccess.com/pages/tor-vpn-proxy ===== Usando o Tor para receber documentos ===== * O Onionshare é o aplicativo que o próximo Snowden usará http://gizmodo.uol.com.br/onionshare-compartilhamento-arquivos/ * Como enviar informações para The Intercept (que usa SecureDrop) https://theintercept.com/2016/08/02/como-enviar-informacoes-para-the-intercept/ * SecureDrop: A plataforma que une informação e proteção www.reporterunesp.jor.br/securedrop-a-plataforma-que-une-informacao-e-protecao/ ===== Projeto OONI - detecção de censura e interferências na internet ===== * Site do projeto https://ooni.torproject.org/ * Visualização em mapa dos dados https://explorer.ooni.torproject.org/ * Post feito pelo OONI durante um bloqueio ao Whatsapp no Brasil https://ooni.torproject.org/post/brazil-whatsapp-block-pt/