Guia Infosec 101 para ativistas

 (infosecforactivists.org)
2 pontos por GN⁺ 2025-02-06 | 1 comentários | Compartilhar no WhatsApp

Introdução

  • Os Estados Unidos têm uma forte tradição de ativismo, que começou com revoltas de escravizados e levantes indígenas.
  • Ainda hoje, o ativismo nos Estados Unidos continua importante, e os protestos de rua são uma ferramenta essencial para aumentar a conscientização e impulsionar mudanças institucionais.
  • No entanto, desafiar estruturas de poder estabelecidas envolve riscos, e a exposição pode levar a assédio, prisão ou vazamento de informações pessoais.
  • Este documento tem foco na segurança digital e na segurança da informação enfrentadas por ativistas.

Ferramentas que você deve usar

  • BitWarden: gerenciador de senhas, gratuito, recursos adicionais por US$ 1/mês
  • DuckDuckGo: busca na web, gratuito
  • DuckDuckGo Maps: mapas e rotas, gratuito
  • Firefox: navegação na web, gratuito
  • Jitsi: reuniões online, gratuito
  • ProtonMail: e-mail, gratuito, recursos adicionais por US$ 5/mês
  • ProtonVPN: VPN, gratuito, recursos adicionais por US$ 5/mês ou US$ 10/mês
  • Signal: mensagens, gratuito

Ferramentas que você não deve usar

  • Google Maps: rastreia a localização do usuário e armazena os dados permanentemente.
  • Telegram: tem problemas de segurança e não aplica criptografia a mensagens em grupo.
  • WhatsApp: não é recomendado por problemas de segurança semelhantes.

O que você precisa saber

  • O celular é uma mina de ouro de informações de rastreamento e identificação.
  • Mensagens, ligações telefônicas etc. podem ser registradas pela polícia.
  • Atualize para o sistema operacional mais recente e, se o aparelho não receber atualizações de software, é melhor não levá-lo.

Participando de uma ação

Antes da ação

  • Não marque "vou" no Facebook.
  • Armazene os detalhes em um dispositivo pessoal ou em papel.
  • Ao pesquisar na internet, use o DuckDuckGo e uma sessão de navegação privada.
  • Atualize seu dispositivo para a versão mais recente do sistema operacional.
  • Configure uma conta no Signal e, se quiser, registre-a com um novo número de telefone criado no Google Voice.

Durante a ação

  • Aja junto com um companheiro de protesto.
  • Use o Apple Maps ou o DuckDuckGo Maps para encontrar rotas.

Depois da ação

  • Saia e apague o grupo do Signal criado para o protesto.
  • Não publique fotos do protesto nas redes sociais.

Preparando o celular

Rastros digitais

  • Desative o receptor de GPS e desative Bluetooth, Wi‑Fi e o rádio de banda ultralarga (UWB).
  • A operadora móvel pode rastrear a localização do celular, e a polícia pode usar isso.
  • Ative o modo avião para desativar todos os rádios.

Proteção contra invasão

  • Configure a tela de bloqueio e desative o bloqueio por biometria.
  • Use criptografia de disco completo para proteger seus dados.

Ideias de segurança

Mensagens criptografadas

  • Para criptografar comunicações privadas, use criptografia de ponta a ponta (E2EE).

Reuniões online

  • Use o Jitsi para não registrar nem armazenar o conteúdo das reuniões.

Segurança de senhas

  • Ative a autenticação em dois fatores (2FA), use senhas longas e utilize um gerenciador de senhas.

Outras dicas

  • Pense com cuidado em com quem você pode compartilhar com segurança sua participação em ações.
  • Não use e-mail para conversas relacionadas a protestos.
  • Pesquise seu nome no Google para ver quais informações aparecem.
  • Não faça check-in em protestos.
  • Não publique fotos nas redes sociais.

Leituras relacionadas

1 comentários

 
GN⁺ 2025-02-06
Comentários do Hacker News

  • Menciona que hesita em recomendar o Proton por estar envolvido em questões políticas, e observa que a Mullvad não cometeu esse tipo de erro

    • Como material relacionado, recomenda o "Activist or Protester?" da EFF e o "The Protester's Guide to Smartphone Security" do Privacy Guides
    • É preciso definir um modelo de ameaça e reconhecer que, no ambiente atual, essas medidas não são suficientes
    • Alerta que algumas medidas podem chamar atenção

  • Aponta que o artigo enfatiza a necessidade de participar de protestos com um amigo de confiança, mas não explica suficientemente como encontrar e manter esse tipo de amizade

    • Diz que tem a percepção de que o Firefox é mais amigável para ativistas e para a privacidade do que o Chrome, mas observa que o Chrome tem proteções de runtime mais sofisticadas e melhor testadas

  • Acredita que medidas básicas não serão eficazes contra adversários sofisticados, como atores estatais

    • Explica que os smartphones modernos estão cheios de firmware proprietário com muitas vulnerabilidades de segurança, incluindo falhas de execução remota de código
    • Alerta que a rede Find My da Apple pode funcionar mesmo com o dispositivo desligado e que pode haver um backdoor que atores estatais consigam contornar

  • Aponta que há um erro nas recomendações sobre backup no iCloud

    • Afirma que não é verdade a explicação de que o backup do iCloud armazena a chave de criptografia de disco completo e que as autoridades podem solicitá-la
    • Recomenda ativar o Advanced Data Protection para criptografar os dados de ponta a ponta

  • Questiona se um backup do iCloud pode desbloquear um dispositivo físico

    • Diz que o backup pode ser comprometido e que, por meio dele, é possível obter a maior parte dos dados do dispositivo, mas gostaria de entender melhor a relação disso com o desbloqueio do aparelho físico

  • Faz uma pergunta sobre a comparação de custo de vulnerabilidades 0-day entre Firefox e Chrome