O guia Motherboard para não ser hackeado

Nota do editor: Esse é o guia de segurança digital do Motherboard, o site de ciência e tecnologia da VICE. Ele também está disponível em PDF , em inglês. Para comprovar a integridade do PDF, segue o hash SHA do arquivo original: 2938d3b9b9842ae0763ab0dd27696de3dce0dd96. Aqui está o arquivo da assinatura PGP , assinado com a chave pública do Motherboard.

Uma das perguntas que mais recebemos aqui no Motherboard é "o que posso fazer para me proteger de hackers?".

Como viver em uma sociedade moderna nos obriga a depositar nossa confiança em terceiros, a resposta é, muitas vezes, "não muito". Consideremos, por exemplo, o hacking da Equifax, que afetou cerca de metade da população dos EUA: poucas pessoas assinaram o serviço voluntariamente, mas seus dados foram roubados mesmo assim.

Além de roubar centenas de milhões de senhas em um piscar de olhos, hackers também são capazes de causar apagões de larga escala. O futuro não é muito promissor: tudo indica que teremos que lidar com desastres causados por objetos cotidianos conectados à internet das coisas, robôs inteligentes que podem nos matar, laptops voadores e hackers roubando nossos dados genéticos. Nesse meio tempo, o crescente aparato de vigilância adotado pelo Estado e por agências policiais ameaça nossa privacidade digital.

Isso não significa que não há esperança. Existem várias precauções que podemos tomar para evitar que hackers ou autoridades acessem nossos dispositivos e contas. O objetivo desse guia é expor, de forma simples e clara, formas de melhorar sua segurança digital. Existem, em termos gerais, dois tipos de hack: os inevitáveis e os que poderiam ter sido evitados. Nosso objetivo é te ajudar a controlar os danos do primeiro e evitar que o segundo aconteça.

Você, mero usuário, não pode fazer nada para evitar que seu provedor de email ou a empresa que possui seus dados financeiros sejam hackeados. Mas você pode, sim, impedir um ataque de phishing que permitiria que um hacker invadisse sua conta de email, assim como você também pode evitar que uma senha obtida em um ataque a um servidor seja utilizada em outra das suas contas.

Esse não é um guia completo ou personalizado; não existe um estado de "segurança perfeita", muito menos soluções únicas. Na verdade, esperamos que esse seja o ponto de partida para aqueles que desejam fortificar os muros de seus reinos digitais.

Por causa disso, tentamos escrever o guia mais acessível possível. Ele é fruto do trabalho de muitos membros da equipe Motherboard, e foi revisado por muitas de nossas fontes, a quem deixamos aqui nossos agradecimentos.

Sem mais delongas.

Todo plano de segurança é único. O tipo de precaução a ser tomado depende de quem pode tentar invadir suas contas ou ler suas mensagens. A má notícia é que não existe uma fórmula mágica de segurança (foi mal!), mas a boa notícia é que não é preciso levar uma vida de reclusão total para ter uma certa segurança online.

Então, antes de fazer qualquer coisa, você deve levar em consideração seu modelo de ameaças. O que você está tentando proteger? Quem está comprometendo sua segurança?

A organização não-governamental Electronic Frontier Foundation, cujo objetivo é proteger os direitos da liberdade de expressão, possui uma lista de cinco perguntas que devem ser feitas durante o processo de modelagem de ameaças:

• O que você quer proteger?
• De quem você quer proteger essa coisa?
• É provável que você tenha que protegê-la?
• Caso você não consiga protegê-la, quais serão as consequências?
• O que você está disposto a fazer para impedir que isso aconteça?

A sua ameaça é um ex que quer invadir sua conta do Facebook? Se esse for o caso, se assegurar de que ele não saiba sua senha é um bom começo (não compartilhe senhas importantes, não importa com quem for; se você divide sua conta no Netflix, por exemplo, certifique-se de que essa senha não será reutilizada). Você está tentando evitar que doxers oportunistas tenham acesso a seus dados pessoais — como seu aniversário — que, por sua vez, podem ser usados para encontrar outras informações mais relevantes? Bem, ficar de olho no tipo de coisas que você publica nas redes sociais pode ser uma boa ideia. Além disso, a autenticação de dois fatores (falaremos mais sobre ela ao longo do guia) pode ser uma ótima forma de se proteger de ataques mais sérios. Caso você seja um ativista, jornalista ou tenha algum motivo para temer seu governo, ou caso a polícia esteja tentando te hackear, os passos necessários para se proteger são significativamente diferentes do que caso você queira impedir que seu melhor amigo saiba da festa surpresa que você está organizando.

Superestimar suas ameaças também pode ser um problema: se você começar a usar sistemas operacionais obscuros e customizados, máquinas virtuais ou qualquer ferramenta muito complexa e desnecessária, você estará perdendo seu tempo e talvez se arriscando. Na melhor das hipóteses, tarefas simples ficarão mais demoradas; na pior delas, você pode estar se apegando a uma falsa sensação de segurança por causa de sistemas e equipamentos dos quais você não precisa, ao mesmo tempo em que ignora as verdadeiras ameaças que te cercam.

Em certas partes desse guia, ofereceremos dicas específicas para aqueles cujo modelo de ameaças inclui agentes mais perigosos. Mas, no geral, ele foi escrito para aqueles que querem ter a base necessária para fortalecer sua segurança digital. Se seu modelo de ameaças inclui hackers da NSA ou outros grupos financiados pelo Estado, recomendamos que você entre em contato com um profissional para discutir sua situação.

Tenha em mente que, no caso do seu computador, isso não significa necessariamente que você é obrigado a usar sempre a versão mais recente do seu sistema operacional. Em alguns casos, versões um pouco mais ultrapassadas de um sistema operacional também recebem atualizações de segurança (infelizmente, isso não se aplica ao Windows XP — pare de usá-lo!). O que realmente importa é que seu sistema operacional ainda receba atualizações de segurança e que você as instale.

Essa é a dica mais importante desse guia: atualize, atualize, atualize.

Muitos ciberataques tiram vantagem de falhas em softwares como navegadores, leitores de PDF ou processadores de texto e planilhas. Ao manter tudo atualizado, você diminui suas chances de se tornar vítima de um malware, pois fabricantes e desenvolvedores de software responsáveis sempre atualizam seus produtos em resposta a novos hacks.

Muitas vezes, os hackers escolhem o caminho mais fácil: seus primeiros alvos são usuários desprotegidos e fáceis de enganar. Por exemplo, os hackers por trás do ataque de ransomware conhecido como WannaCry atacaram pessoas que não haviam instalado uma atualização de segurança que estava disponível há semanas. Em outras palavras, eles sabiam que conseguiriam obter as informações que queriam porque as vítimas não haviam mudado o segredo de suas fechaduras mesmo sabendo que outros tinham a chave de sua casa.

A boa notícia é que já existe uma solução para esse problema: gerenciadores de senhas. Esses aplicativos administram suas senhas, criam boas senhas automaticamente e facilitam sua vida digital. Quando se usa um gerenciador de senhas, você só precisa lembrar de uma senha: a que guarda todas as outras.

Essa senha precisa ser muito boa. Esqueça as letras maiúsculas, símbolos ou números. A forma mais fácil de criar uma senha segura é usar uma frase-chave: uma série de palavras aleatórias, porém pronunciáveis — e portanto mais fáceis de memorizar. Um exemplo: iluminado soneca kirk amputado dado (não use essa sequência, ela já não é mais segura).

Depois de criar essa primeira senha, você pode usar senhas complexas e com muitos caracteres para todo o resto, desde que você use o gerenciador para criá-las e nunca as reutilize. É recomendável que essa senha-mestra seja uma frase porque isso facilita a memorização; já as outras senhas não precisam ser memorizadas porque o gerenciador se lembrará delas.

Intuitivamente, você pode achar que guardar sua senhas no seu computador ou em um gerenciador não é a melhor das ideias. E se um hacker conseguir invadir o gerenciador? Não é melhor guardar todas elas na cabeça? Bem, não exatamente: o risco de um hacker reutilizar uma senha roubada em outra ataque é muito maior do que o de um hacker profissional tentar invadir sua lista de senhas. Por exemplo, se você usou a mesma senha em diferentes sites, e essa senha foi roubada no ataque ao Yahoo!, que roubou informações de 3 bilhões de pessoas, ela pode muito bem ser reutilizada no seu Gmail, Uber, Facebook e outros sites. Alguns gerenciadores de senhas criptografam e armazem suas senhas na nuvem, então mesmo que a empresa seja hackeada, suas senhas ainda estarão a salvo. O gerenciador de senhas LastPass, por exemplo, foi hackeado pelo menos duas vezes, mas nenhuma senha foi roubada porque a empresa havia guardado elas de forma segura. Apesar desses incidentes, o LastPass ainda é considerado um ótimo gerenciador de senhas. Mais uma vez, o importante é compreender seu modelo de ameaças.

Então, faça o favor de usar um dos muitos gerenciadores de senhas disponíveis por aí: algumas sugestões são o 1Password, o LastPass e o KeePass. Afinal, por que não? Você — e a gente também! — vai se sentir mais seguro, e sua vida vai ficar mais fácil.

E caso seu chefe te obrigue a mudar suas senhas periodicamente por motivos de segurança, diga a ele que essa é uma péssima ideia. Se você tiver uma senha segura para cada conta e usar um gerenciador de senhas e a autenticação de dois fatores (falaremos mais sobre ela abaixo), não há motivo para mudar suas senhas de tempos em tempos — a não ser que haja uma brecha no backend de algum dos sites que você usa ou que sua senha tenha sido roubada.

Ao ativar a autenticação de dois fatores, você irá precisar de uma outra informação além da senha para acessar sua conta. Normalmente, essa informação é um código enviado para seu celular por SMS, ou um código criado por um app especializado (o que é ótimo caso seu celular esteja sem sinal na hora de acessar sua conta), ou uma pequena chave física (também conhecida como chave de segurança U2F ou YubiKey, o nome da marca de chaves físicas mais popular).

No último ano, o uso de SMSs como "segundo fator" foi alvo de muitas críticas. Durante esse período, o número de telefone do ativista Deray McKesson foi roubado, o que signifca que os hackers tiveram acesso a todos seus códigos de seguranças. Além disso, o Instituto Nacional de Padrões e Tecnologia (NIST, na sigla original), o órgão do governo americano responsável pela produção de regras e padrões, inclusive de segurança, desencorajou o uso de mensagens de texto na autenticação de dois fatores.

O ataque a Deray só foi possível por causa da "engenharia social". Nesse caso, um criminoso convenceu um representante do atendimento ao cliente a entregar os dados pessoais de Deray. O ataque incluiu convencer a operadora telefônica de Deray a emitir um novo cartão SIM e enviá-lo para os hackers, permitindo que eles controlassem seu número de telefone. Isso significa que, quando eles usaram seu primeiro fator (sua senha) para acessar sua conta, o código do segundo fator foi enviado diretamente para eles. Esse é um hack extremamente comum.

É difícil se defender de um ataque como esse, e por isso devemos estar dispostos a encarar uma dura verdade: não existe um estado de segurança perfeita. Mas existem precauções que você pode tomar para se proteger de ataques, como falaremos mais abaixo, na seção sobre segurança de dispositivos móveis.

A autenticação de dois fatores por SMS pode ser burlada, e também é possível usar um IMSI-catcher, equipamento também conhecido como Stingray, para roubar todos os dados de um celular, incluindo nossas mensagens de verificação. Nós não queremos te assustar; vale sempre ressaltar que, apesar da autenticação de dois fatores ser melhor do que nada, é mais seguro usar um aplicativo de autenticação ou, se possível, uma chave física.

Caso essa possibilidade exista, é sempre recomendado usar outro tipo de 2FA que não a mensagem de texto, como um aplicativo de autenticação (temos o Google Authenticator, o DUO Mobile, e o Authy) ou uma chave física. Se você tiver essa opção, é bom aproveitá-la.

Não use o Flash: o Flash é um dos softwares mais perigosos que você pode ter no seu computador. As brechas de segurança do Flash fazem dele um queridinho entre os hackers. A boa notícia é que, hoje, poucos sites usam o Flash, e é possível ter uma experiência digital completa e cheia de recursos mesmo sem ele. Deletar ele do seu computador é uma boa pedida; mas se você ainda quiser usá-lo, recomendamos mudar as configurações do seu navegador para que você tenha que autorizar a abertura do Flash sempre que necessário.

Use um antivírus: Sim, você já está cansado de ouvir isso. Mas essa é (em geral) uma boa dica. Antivírus têm, ironicamente, muitos problemas de segurança, mas se você não corre o risco de ser espionado por hackers do governo ou por criminosos muito sofisticados, usar um antivírus é uma boa ideia. Ainda assim, o antivírus não é uma solução mágica, e, hoje, é preciso fazer muito mais para estar realmente seguro. Além disso, é bom ter em mente que todo antivírus é, por definição, extremamente invasivo: para localizar e bloquear malwares, ele precisa escanear todos seus arquivos. Esse alcance pode ser usado de forma inadequada. Recentemente, o governo americano acusou o Kaspersky Lab, um dos maiores antivírus do mundo, de repassar informações confidenciais de um de seus clientes para o governo russo.

Use plugins de segurança: Às vezes, tudo que um hacker precisa para invadir seu computador é fazer você acessar um site cheio de vírus. Para evitar isso, vale a pena instalar plugins simples como adblockers, que te protegem de vírus embutidos em propagandas encontradas em cantos suspeitos da internet, ou, em alguns casos, em sites supostamente confiáveis (no entanto, pedimos encarecidamente que você libere as propagandas da Motherboard, pois são elas que pagam nossas contas).

Outro plugin útil é o HTTPS Everywhere, que criptografa todos seus movimentos na internet (ou pelo menos em todos os sites que suportam criptografia). O HTTPS Everywhere não vai te ajudar caso você acesse um site com vírus, mas, em alguns casos, ele pode impedir que hackers te redirecionem para versões falsas de um site.

Use uma VPN: Redes Privadas Virtuais são redes de comunicação seguras que conectam seu computador à internet. Quando se usa uma VPN, é preciso primeiro se conectar a essa rede para depois se conectar à internet, o que adiciona uma camada de segurança e privacidade. Quando você se conecta ao WiFi de um local público, seja ele um café, um aeroporto ou até um apartamento do Airbnb, você está compartilhando a internet com pessoas que você não conhece. Se uma dessas pessoas for um hacker, ela pode invadir sua conexão e, potencialmente, seu computador. Sugerimos fazer uma boa pesquisa sobre VPNs antes de escolher uma; algumas são melhores do que outras (a maioria das VPNs gratuitas não são muito boas em garantir sua privacidade). Nós recomendamos a Freedome, a Private Internet Access, ou, caso você prefira algo mais completo, a Algo.

Desabilite macros: Hackers podem usar os macros presentes em documentos do Microsoft Office para invadir seu computador. Apesar desse truque ser velho, tudo indica que ele está voltando à moda. Desabilite os macros do Office!

Faça um backup dos seus arquivos: Isso não é nenhuma novidade: se você tem medo que hackers destruam ou bloqueiem seus arquivos, você precisa fazer um backup deles. O ideal é se desconectar da internet e passar seu backup para um HD externo. Dessa forma, caso você seja vítima de um ransomware, o backup não será afetado.

Não se exponha sem motivo: As pessoas amam compartilhar cada detalhe de suas vidas nas redes sociais. Mas, por favor, não twite uma foto do seu cartão de crédito ou do seu cartão de embarque. Resumindo, é bom lembrar que o que você posta nas redes sociais pode ser visto por qualquer um que entre em seu perfil — isso significa, por exemplo, que alguém pode usar asrotas de corrida postadas no Strava, uma rede social para corredores e ciclistas, para descobrir seu endereço.

Informações pessoais como endereços ou instituições de ensino podem ser usadas para conseguir mais informações que, por sua vez, são usadas em ataques de engenharia social. Quanto mais informações suas um hacker tiver, mais chances ele tem de obter acesso a uma de suas contas. Dito isso, recomendamos que você mude as configurações de privacidade de suas redes sociais.

Não abra anexos sem antes tomar algumas precauções: Há décadas, hackers escondem malwares em anexos como documentos do Word ou PDFs. Alguns antivírus conseguem bloquear essas ameaças, mas é sempre bom usar o senso comum: nunca abra anexos (ou clique em links) vindos de pessoas que você não conhece ou que pareçam suspeitos. Se você realmente quiser abrir o documento, recomendamos tomar algumas precauções, como abrí-lo dentro do Chrome ao invés de baixá-lo. Melhor ainda: salve o arquivo no Google Drive, e abre ele dentro do Drive, o que te protege ainda mais, já que o arquivo será aberto pelo Google e não pelo seu computador.

Atualmente, os smartphones se tornaram nossos principais dispositivos de computação. Nós não apenas usamos nossos celulares mais do que computadores, como também estamos com eles o tempo todo. Não é nem preciso dizer que, a cada dia, cresce mais o núemro de ataques a celulares.

A boa notícia é que existem alguns cuidados que você pode tomar para minimizar esses riscos.

Quando se trata de dispositivos móveis, uma das maiores ameaças é alguém que porventura tenha acesso físico ao seu celular. Isso significa que sua segurança depende inteiramente da sua senha: se possível, evite dar sua senha para terceiros ou usar senhas óbvias como seu aniversário ou endereço. Até os códigos e senhas mais simples são uma forma eficiente de impedir que ladrões desbloqueiem seu celular, mas não se sua preocupação for um parceiro abusivo que sabe seu PIN, por exemplo.

Com isso em mente, segue aqui uma lista de coisas que você pode fazer para se proteger das ameaças mais comuns à segurança do seu celular.

Se você tem uma tendência à paranóia, o iPhone é o celular mais seguro do mercado. Mas a não ser que você tenha um bom motivo para isso, NÃO o desloqueie. Embora o movimento de jailbreaking e os hacker por trás dele tenham ajudado a tornar o iPhone mais seguro, hoje, desbloquear seu iPhone não te dá nenhuma vantagem que compense os riscos. Há alguns anos, hackers organizaram um ataque em massa a iPhones desbloqueados.

No entanto, tudo pode ser hackeado. Sabemos que alguns governos possuem ferramentas milionárias capazes de hackear iPhones, e é possível que alguns criminosos mais sofisticados também tenham ferramentas parecidas. De qualquer forma, o conselho se mantém: compre um iPhone, instale as atualizações e fique tranquilo.

A boa notícia é que isso melhorou bastante nos últimos dois anos. O Google tem forçado seus parceiros a fornecer atualizações mensais, e os Google Phones oferecem quase que o mesmo apoio aos clientes que a Apple, além de alguns dos mesmos recursos de segurança.

A melhor opção é comprar um Pixel ou um Nexus, pois assim, sua segurança não ficará nas mãos de ninguém além do Google. Se você não quiser comprar um Google Phone, esses outros modelos costumam lançar atualizações de segurança com certa frequência.

Caso você já tenha um Android, tome cuidado com os apps que você baixa. Hackers podem esconder aplicativos maliciosos na Play Store, então pense duas vezes antes de instalar um app pouco conhecido, e sempre verifique se você está instalando o aplicativo certo. No meio desse ano, uma versão falsa do WhatsApp foi instalada por mais de um milhão de usuários do Android. Outra recomendação é priorizar a Play Store e evitar baixar aplicativos de terceiros. Assim, você corre menos risco de baixar um aplicativo malicioso. Na maioria dos celulares Android, a instalação de aplicativos de terceiros é bloqueada; é melhor não desbloquear essa opção.

Para proteger os dados contidos no seu celular Android, certifique-se de habilitar a criptografia total de disco. Caso você ainda não tenha feito isso, clique em "Segurança", e em seguida em "Criptografar Telefone" (se isso não funcionar no seu celular, pesquise as instruções específicas do seu aparelho).

Por fim, embora não obrigatório, talvez seja uma boa ideia instalar um antivírus para celular como o Lookout ou o Zips. Embora esses antivírus sejam capazes de bloquear a maioria dos malwares, eles não são fortes o suficiente para te proteger de hackers do governo.

Seu número de celular é a porta de entrada para uma série de outras partes, muitas delas mais importantes, da sua vida digital: seu email, sua conta bancária, seus backups do iCloud.

Como consumidor, você não pode controlar os bugs da sua operadora telefônica. Mas você pode dificultar o trabalho dos hackers e evitar que eles se passem por você para sua operadora de celular. Muitos não sabem, mas a solução é simples: basta habilitar uma segunda senha ou código que será solicitada sempre que você ligar para sua operadora. A maioria das operadoras americanas já oferece essa opção.

Ligue para sua operadora e pergunte se eles oferecem esse serviço. Nos Estados Unidos, as operadoras que oferecem essa função são a Sprint, a T-Mobile, a Verizon e a U.S. Cellular. Segundo os porta-vozes da Verizo e da U.S. Cellular, esse protocolo de segurança é obrigatório em todos seus atendimentos. É claro que essa dica só vai funcionar se você lembrar da sua senha; para evitar problemas, salve ela no seu gerenciador de senhas.

Considerando a incrível amplitude da vigilância estatal nos Estados Unidos — assim como o poder que o governo americano exerce sob muitos outros países — você pode estar se sentindo um pouco paranóico. O problema não é apenas a NSA; o FBI e agências de polícia locais têm, atualmente, mais ferramentas para espionar cidadãos do que nunca. Além disso, essa vigilância pode te afetar de diversas formas: suas contas nas redes sociais podem ser requisitadas em processos criminais, seus emails e ligações podem ser incluídas no conjunto de provas de uma ação judicial, e os metadados do seu celular podem ser capturados por Stingrays ou IMSI catchers.

Lembre-se: a antivigilância não é a cura, mas apenas uma forma de se proteger e de proteger outros. É improvável que você corra grandes riscos, mas isso não significa que você não deva se preocupar com sua segurança. A vigilância é uma questão complexa: você pode ter a melhor rotina de segurança do mundo, mas se você estiver trocando mensagens com alguém que não tem o mesmo cuidado, você pode ser espionado através do dispositivo dessa pessoa ou através das conversas dela com terceiros (caso eles discutam as informações que vocês trocaram, por exemplo).

É por esse motivo que é importante difundir e normalizar essas práticas de segurança: ainda que você não tenha motivos para se preocupar, é importante adotar alguns desses cuidados. Ao fazer isso, você estará normalizando as precauções tomadas por seus amigos que são, digamos, imigrantes ilegais ou ativistas. O atual diretor da CIA acredita que o simples fato de usar criptografia pode ser "um sinal de práticas ilegais". Se você não "tem nada para esconder", você pode adotar a criptografia e, assim, ajudar aqueles em risco. Ao seguir esse guia, você estará ajudando outras pessoas. Pense nisso como uma ação análoga à imunidade de grupo. Quanto mais pessoas se protegerem, mais seguros todos nós ficaremos.

As dicas de segurança oferecidas no começo desse guia ainda se aplicam: quando você se protege de hackers, suas chances de se proteger da vigilância estatal também aumentam (para espionar iPhones, por exemplo, os governos têm poucas opções além de hackeá-los). Mas ferramentas técnicas não resolvem todos os problemas. Governos têm uma arma que hackers não têm: a lei. Muitas das dicas disponíveis nessa seção desse guia podem te ajudar a se proteger não apenas de solicitações legais ou de hackers do governo, mas também de qualquer outra pessoa que possa tentar te espionar.

Você não precisa se tornar um especialista em segurança. O importante é ter noção dos riscos que você corre e não se deixar intimidar pela tecnologia. A segurança é um processo contínuo de aprendizagem. Ambas as ameaças e as ferramentas desenvolvidas para nos proteger estão sempre evoluindo, o que é uma das razões pela qual dicas de privacidade e segurança podem parecer, muitas vezes, contraditórias. Mas os conselhos abaixo são um bom começo.

É fácil dizer "use o Signal, use o Tor", mas isso não funciona para todo mundo. Um exemplo: uma amiga costumava conversar conosco sobre seu ex-parceiro abusivo usando o chat do jogo Words With Friends, pois ela sabia que seu namorado lia todas suas mensagens de texto e conversas no Gchats. O aplicativo Words With Friends não tem um sistema de troca de mensagens particulamente seguro, mas, nesse caso, ele era uma opção melhor do que o Signal ou o Google Hangouts, justamente porque o namorado dela nunca pensaria em checar o chat de um jogo.

Quando se trata de agentes do Estado, é válido pensar na vigilância em dois níveis: a vigilância de metadados (quem você é, com quem você está falando e quando você está falando) e a vigilância de conteúdo (sobre o que você está falando). Como acontece com quase todo assunto, quando nos aprofundamos no tema da vigilância, vemos que as coisas não são tão simples. Mas se essa é a primeira vez que você pensa sobre essas questões, esse já é um bom começo.

As leis que regulam a vigilância estatal são complexas, mas, resumindo, tanto a lei quando a atual infraestrutura tecnológica fazem com que seja mais fácil interceptar metadados do que conteúdo. Os metadados não são necessariamente menos importantes ou reveladores do que o conteúdo. Digamos que você recebeu uma ligação do Planned Parenthood. Em seguida você ligou para seu parceiro. Depois, para seu plano de saúde. E, por fim, você ligou para a clínica de aborto. Essas informações constarão na sua conta de telefone, e sua operadora pode, muito facilmente, entregá-las para o governo. Sua operadora pode não ter gravado essas ligações — o conteúdo delas ainda é confidencial. Mas, nesse caso, o conteúdo não importa — bastam apenas seus metadados para inferir qual teria sido o tema dessas ligações.

Comece a prestar atenção em quais informações estão disponíveis, e quais você pode proteger. Às vezes, é preciso aceitar que certos meios de comunicação serão sempre perigosos. Se sua situação for crítica, você terá que procurar uma forma de contornar essas dificuldades.

Usar o Signal é simples. Você pode encontrá-lo na app store do seu celular (na App Store do iOS e na Google Play Store, o aplicativo está intitulado como "Signal Private Messenger", e seu desenvolvedor é o Open Whisper Systems).

Uma vez instalado, você pode usar o Signal para ligar ou trocar mensagens com qualquer pessoa da sua lista de contatos. Se a outra pessoa também usar o Signal, suas mensagens serão criptografadas automaticamente — não é preciso fazer nada.

Assim como o Whatsapp, o aplicativo também oferece uma versão para computador. Acesse o site Signal.org e baixe o app de acordo com seus sistema operacional. Tudo o que você precisa fazer é seguir as instruções — confie em nós, elas são bem simples.

O Signal também permite que você defina uma contagem regressiva para suas mensagens; ao fim desse período, as mensagens são excluídas automaticamente de todos seus dispositivos. Essa contagem regressiva pode ter a duração que você quiser. Essa é uma função ideal para jornalistas preocupados em manter o anonimato de suas fontes ou o sigilo de suas conversas com editores.

Esse recurso é parte do motivo pelo qual recomendamos o Signal e não outros aplicativos de mensagens com criptografia de ponta-a-ponta. O iMessage e o Whatsapp também oferecem criptografia de ponta-a-ponta, mas ambos têm suas desvantagens.

Não recomendamos o WhatsApp porque ele pertence ao Facebook e vem compartilhando informações de seus usuários com a empresa. Embora o WhatsApp compartilhe apenas os metadados dos seus clientes, em última instância, ao ser comprado pelo Facebook, o app comprometeu seu engajamento com a privacidade. Acreditamos que isso diz algo negativo sobre a atual confiabilidade da empresa.

A Apple ganha pontos por criptografar as mensagens trocadas no iMessage. No entanto, o iMessage faz backups automáticos de suas mensagens no iCloud, e é por isso que você pode ler e enviar mensagens de todos os seus dispositivos Apple. Esse é um recurso divertido e prático, mas se você se preocupa com a vigilância governamental, lembre-se que a Apple pode entregar qualquer dado gravado no iCloud mediante uma intimação do governo: "O backup do iCloud salva cópias das suas mensagens do iMessage e SMS, no caso de você precisar delas", afirma a página de privacidade da Apple. Você pode desativar essa opção, mas, em teoria, a Apple pode ser forçada a acessar as mensagens que você enviou para pessoas que não desativaram esse recurso.

O Signal, por sua vez, guarda pouquíssimas informações. Sabemos disso porque, no ano passado, a Open Whisper Systems recebeu uma intimação judicial do governo americano. No entanto, devido à sua política de segurança, a empresa possuía pouquíssimas informações de seus clientes. Em seus servidores, o Signal só guarda o número de telefone, a data de criação da conta e o horário da última conexão dos usuários. Isso significa que, embora a empresa ainda guarde algumas informações sobre seus usuários, essas informações são pouco comprometedoras.

O iMessage e o WhatsApp podem não ser os aplicativos mais seguros do mundo, mas existem outros piores do que eles. O Telegram é um exemplo, e por isso, recomendamos que você nunca o use para trocar informações confidenciais. E, a não ser que você se dê ao trabalho de criptografar suas conversas no GChat, o Google pode ler todas as mensagens trocadas no aplicativo. Existem muitas outras boas alternativas no mercado (o Wire é um bom exemplo), mas, assim como o WhatsApp e o iMessage, todas elas foram criadas por empresas com fins lucrativos, e não sabemos como essas empresas planejam monetizar seus serviços no futuro. O Signal é um projeto sem fins lucrativos e de código aberto. Isso traz algumas desvantagens (o Signal não é tão bonitinho quanto o iMessage, por exemplo, nem possui uma equipe de segurança responsável por ele), e por isso encorajamos novos usuários a doar qualquer quantia na hora de baixar o Signal.

Vale mencionar que, para usar o Signal, é preciso usar um número de telefone válido. Isso significa que você precisa confiar nas pessoas com quem conversa o bastante para informá-las seu número de celular ( a outra opção é comprar um segundo cartão SIM e usá-lo para criar seu perfil no Signal). Se você não quiser compartilhar seu número, considere baixar outro aplicativo de mensagens.

Também é importante saber que a criptografia de ponta-a-ponta não deixa suas conversas invisíveis para o governo. Afinal, a criptografia só acontece entre dois endpoints. Você e seu destinatário ainda podem ler a mensagem. Caso ela seja interceptada antes de chegar ao destinatário, seu conteúdo será protegido.

Mas se um dos endpoints não for seguro — em outras palavras, se seu celular for hackeado ou roubado pelo governo, ou se seu destinatário tirar prints da conversa — toda essa segurança não servirá para nada.

A criptografia não impede que o governo nos espione — ela só dificulta um pouco. Mesmo assim, ao dificultar o acesso de terceiros a suas informações, você está protegendo sua privacidade.

Mesmo que você seja cuidadoso com suas configurações de privacidade, essas empresas são obrigada por lei a acatar intimações, ordens judiciais e solicitações de dados. Na maioria das vezes, elas entregam essas informações sem nem ao menos notificar o usuário. Quando se trata das redes sociais, é sempre bom considerar que tudo, absolutamente tudo que você posta é público. Isso não significa que você deva parar de usar toda e qualquer rede social, mas sim que você deve saber como (não) usá-las.

Se você é um ativista, considere adotar um pseudônimo. Além disso, se você usa as redes sociais para fins políticos, também é importante zelar pela privacidade e segurança de outros.

Quem você está marcando em seus posts? Você está compartilhando sua localização? Quem você está fotografando, e por quê? Seja especialmente cuidadoso com fotos ou posts sobre protestos, manifestação ou assembléias. A tecnologia de reconhecimento facial está cada dia mais sofisticada, então mesmo que você não marque ninguém, em teoria um algoritmo seria capaz de identificar ativistas em uma foto de uma manifestação. Podemos ver um desses algoritmos em ação nas sugestões de marcação do Facebook.

Sempre que você fotografar alguém em uma manifestação, certifique-se de que ele sabe que está sendo fotografado e que está ciente das consequências de ter sua foto publicada.

No caso de laptops ou smartphones, recomenda-se usar um adesivo para cobrir a câmera frontal. Você não precisa parar de usar o FaceTime ou de tirar selfies; o objetivo é impedir que outras pessoas te vejam quando você não quer ser visto. A Fundação Fronteira Eletrônica vende adesivos removíveis para laptops que não deixam resíduos na sua câmera — é só tirar o adesivo, usar a câmera e colocar o adesivo de volta. Uma boa ideia é comprar vários adesivos e distribuí-los entre seus amigos menos abastados.

Por fim, temos uma verdade inconveniente sobre o microfone do seu celular: não há nenhuma forma de saber quando ele está ou não gravando. Caso você tenha medo de ser grampeado, desligue seu celular e coloque ele dentro do microondas ( com ele desligado, que fique claro) ou deixe seu celular em outro cômodo. Desligar seu celular não é, necessariamente, um jeito garantido de se proteger. Também recomendamos deixar seus aparelhos em outro cômodo sempre que você for transar com seu parceiro.

Em 2012, Khadija Ismayilova, uma jornalista azerbaijana, foi chantageada com uma sex tape filmada clandestinamente. O chantagista exigia que Ismayilova parasse de publicar matérias contra o governo azerbaijano, sob a ameaça de publicar o vídeo com suas imagens pessoais (Ismayilova veio à público, e o vídeo foi publicado na internet). Em 2015, o governo do Azerbaijão condenou Ismayilova a sete anos e meio de prisão sob acusações de evasão fiscal. Atualmente, ela está em liberdade condicional.

Governos de todo o mundo já usaram sexo para chantagear dissidentes. Lembre-se sempre disso e proteja sua privacidade.

Feche a aba do Gmail e, no lugar dele, use o OTR ( Off The Record, um protocolo de criptografia que oferece a encriptação de conversas de mensagens instantâneas). Lembre-se que você só pode usar o OTR se a outra pessoa também estiver o usando. Para usar o OTR, usuários da Mac precisam instalar o Adium, e os de PC (e Linux), o Pidgin e um plugin de OTR.

Você pode usar sua conta no Gmail como seu nome de usuário. No fim, você ainda estará usando o Gchat, mas agora ele estará protegido por uma camada de criptografia. Abra uma nova conversa e clique no ícone de cadeado para criptografar sua conversa. E lembre-se de mudar suas configurações para impedir que o Gmail armazene suas conversas criptografadas.

Mais uma vez, a criptografia de ponta-a-ponta não é uma solução perfeita. Se outra pessoa estiver arquivando suas conversas, o fato delas estarem ou não criptografas não fará diferença. Se isso te preocupar, peça para seus amigos pararem de arquivar suas mensagens.

Embora o Tor possa te deixar mais seguro, ele é um pouco instável. Não dá para assistir, por exemplo, Netflix no Tor.

O ideal é analisar suas necessidades e, a partir disso, concluir se o Tor será útil para você. Lembre-se que, caso você não use o Tor, você corre o risco de descobrirem seu endereço IP (que pode revelar sua localização, e, consequentemente, sua identidade).

Existem quatro situações que justificam o uso do Tor.

• A primeira é se você quiser se manter no anonimato.
• A segunda, se você tem o costume de usar redes de WiFi públicas.
• A terceira, se você está tentando burlar a vigilância governamental.
• E, por fim, se você quer proteger outras pessoas que usam o Tor.

Se você é um ativista tentando se manter no anonimato, você terá que usar o Tor para esconder seu endereço IP. Como podemos observar, o uso do Tor é limitado a alguns casos específicos. No meu caso, por exemplo, não faria sentido abrir o Tor, entrar no meu perfil público do Twitter e postar "E aí, galera, tô twitando do escritório da Vice Media em Nova York". Eu estaria dando todas as informações que o Tor está tentando esconder — isso porque, nesse caso em especial, meu objetivo nunca foi esconder essas informações.

Mas se você usa muitas redes WiFi públicas (seja num Starbucks, num hotel ou num aeroporto), o Tor é uma ótima opção. Ele oferece os mesmos recursos qua as VPNs, mas sem suas desvantagens (nos aprofundaremos nesse assunto na próxima sessão).

Caso os Estados Unidos comecem a censurar certos sites, como muitos governso já fazem, o Tor será uma forma de burlar essa censura. O Tor é uma ferramenta crucial para aqueles que vivem em países que controlam o acesso à internet.

Concluindo, é importante ter em mente que quantas mais pessoas usarem o Tor, menos chances o governo tem de rastreá-las. Quando várias pessoas de diferentes nacionalidades usam o Tor, ele se torna uma plataforma mais forte. Ao usar o Tor, mesmo que apenas por alguns minutos, você está ajudando outras pessoas.

Um detalhe: o Tor não é inatingível. É de conhecimento comum que o governo americano já hackeou milhares de usuários do Tor e de VPNs. O Tor, por si só, não te protege completamente de hackers. Ele é uma ferramenta de privacidade, não de segurança. Além disso, o Tor foi criado para dificultar que outros acessem seu histórico digital, não impedí-los completamente, então existe sempre o risco de que você não esteja tão protegido quanto pensa.

Os computadores que compõem a rede do Tor — os aparelhos pelos quais sua conexão é extraviada — pertencem a voluntários, instituições e organizações de todo o mundo, e alguns deles estão arriscando suas seguranças para manter a privacidade dos usuários do Tor. Em teoria, eles não poderiam registrar o tráfego que passa por esses computadores, mas como o trabalho é feito por voluntários, é bom ter em mente que isso pode acontecer. O risco é mitigado pelo fato de que cada computador só registra uma amostra do tráfego que passa por ele, e nenhum dos voluntários tem acesso ao endereço IP dos usuários ou à versão não-criptografada de seu tráfego. Um voluntário mal-intencionado teria que operar um grande número de computadores para registrar uma quantidade significativa de tráfego, o que seria muito trabalhoso. Além disso, o Tor monitora seus voluntários a fim de evitar esse tipo de situação.

Resumindo, se sua preocupação é fugir da vigilância do seu governo, o Tor é melhor do que uma VPN, e uma VPN é melhor do que nada.

Não sabemos se, a longo prazo, o Tor continuará a existir; ele é financiado, em grande parte, pelo governo americano (como muitas outras tecnologias de ponta, o Tor foi desenvolvido pelo exército americano). É possível que o Tor perca esse financiamento num futuro próximo. Pense com carinho na possibilidade de doar uma graninha para o Projeto Tor.

Algumas empresas de VPN afirmam não registrar os dados de seus clientes. Antes de tomar qualquer decisão, é preciso considerar se você confia na empresa de VPN de sua escolha. Se você tem medo de estar sendo espionado pelo seu governo, recomendamos que você continue a usar o Tor.

Se você realmente precisa criptografar seus emails, esse guia de introdução ao PGP pode te ajudar. Como ele é um programa chatinho, recomendamos que você peça para algum ativista ou hacker te ajudar a instalá-lo.

É verdade que o Google e outras empresas são obrigados por lei a colaborar com investigações judiciais. Mas por outro lado, o Google sabe como gerir um servidor de email melhor do que qualquer um de nós. Administrar seu próprio servidor de email é trabalhoso — pergunte para a Hillary Clinton.

Caso você criptografe seus emails, o Google só poderá fornecer para as autoridades seus metadados (informações como o assunto do email). Como criptografar emails dá muito trabalho, tente trocar informações confidenciais por aplicativos com criptografia de ponta-a-ponta ao invés de emails. Não estamos dizendo para você abandonar sua conta do Gmail; estamos apenas te avisando que o governo pode ter acesso a seus emails.

A criptografia de unidade de disco significa que, uma vez criptografado, as informações contidas no seu HD só poderão ser acessadas com uma senha.

Muitos smartphones já oferecem essa opção. Caso você tenha um iPhone com um sistema operacional atualizado recentemente (mais ou menos nos últimos três anos), você só precisa colocar uma senha nele para se proteger.

Se você tem um Android, há alguma possibilidade do seu disco já ser criptografado (o Google Pixel já sai assim da fábrica), mas é mais provável que ele não seja. Não existe um guia completo e atualizado sobre como ativar a criptografia em todos os modelos de celulares Android, portanto você vai ter que descobrir por conta própria ou perguntar para um amigo. E caso você tenha um Windows Phone, que Deus te proteja: a gente não pode fazer nada para te ajudar.

No caso dos computadores, as coisas também ficaram mais fáceis. Tudo o que você precisa fazer é ativar a opção de criptografia de disco do seu sistema operacional. Para aqueles com MacBooks com o iOS Lion ou atualizações mais recentes, basta apenas ativar o FileVault.

Ativar a criptografia de disco no Windows, no entanto, é consideravelmente mais complicado. Para começar, alguns usuários já recebem a criptografia de disco automaticamente. Outros até conseguem ativar a criptografia de disco, mas só depois de muito trabalho. E se você estiver usando o Bitlocker, da Microsoft, você terá que alterar algumas configurações para deixá-lo mais seguro. A Apple não tem a capacidade de acessar um dispositivos criptografado. Reza a lenda que, caso algum governo emita um mandado para a Apple, a empresa não poderia descriptografar seu celular sem antes elaborar uma forma de hackear todos os iPhones do mundo. O mesmo não acontece com a Microsoft: em alguns casos, eles usam uma técnica conhecida como "depósito de chaves" que permite que eles descriptografem seu aparelho. Por isso, você terá de seguir alguns passos a mais ( descritos nessa matéria) para chegar ao mesmo nível de segurança de um iPhone.

É possível que você tenha que usa o VeraCrypt. Muitos guias mais antigos recomendam o uso do TrueCrypt, que hoje está ultrapassado. O VeraCrypt costumava ser o TrueCrypt, e a história dessa mudança, uma novela cheia de reviravoltas e drama, foge ao tema desse guia. Resumindo, não há nada de errado no VeraCrypt, mas caso você tenha essa opção, opte por usar a criptografia de disco disponibilizada pelo seu sistema operacional.

Se você usa o Linux, é provável que sua distro já ofereça criptografia. Siga as instruções ao instalá-la.

Por exemplo, se você compra um cartão pré-pago usando seu cartão de crédito e depois paga uma empresa de VPN com esse primeiro cartão, o governo pode seguir essas transações bancárias até chegar em você. Se você pagou pela sua VPN com bitcoins comprados pelo seu cartão de crédito pessoal, sua identidade também pode ser rastreada.

Isso se aplica a qualquer transação monetária, como comprar domínios ou celulares não-rastreáveis. De um ponto de vista prático, não há muito que você possa fazer para evitar isso. É por esse e outros motivos que recomendamos o uso do Tor ao invés de VPNs.

É também por esse motivo que é difícil comprar um celular não-rastreável que seja realmente não-rastreável. (como criar uma conta telefônica sem usar seu nome?) Nesse caso, não temos uma resposta perfeita. Se você se encontrar em uma situação na qual sua segurança depende de seu anonimato, você precisará de muita mais ajuda do que esse guia pode te dar.

Mais uma coisa: até o momento, organizações como o ACLU e a NAACP têm o direito de se recusar a informar os nomes de seus doadores. Mas seu banco ou o PayPal podem te dedurar. Isso não significa que você não deve doar dinheiro para organizações que lutam contra a opressão e defendem a liberdade e os direitos civis. Na verdade, isso só aumenta a importância desse ato. Quanto mais pessoas comuns doarem para essas instituições, mais os grandes doadores estarão protegidos de escrutínio e suspeitas.

Não espere até ser processado para deletar todas essas informações comprometedoras. Em alguns casos, isso é ilegal, e você corre o risco de ir para a cadeia. Cada situação é diferente: em alguns casos, suas anotações podem te tirar de uma enrascada. Então, se você é o tipo de jornalista que acumula anos de anotações, saiba o risco que você está correndo, converse com um advogado e aja de forma responsável.

Isso nos leva a nosso próximo ponto: não sabemos o que o futuro nos reserva. Esse guia foi escrito com base nas atuais capacidades técnicas e jurídicas do governo americano. Mas, no futuro, tudo isso pode mudar. A criptografia pode se tornar ilegal. Os Estados Unidos podem seguir o exemplo da China e começar a censurar a internet. O governo pode instituir uma política de identidade nacional para o acesso à internet, tornando praticamente impossível manter-se anônimo no mundo digital.

Essas medidas são difíceis de se impor e implementar, então é improvável que isso aconteça de um dia para o outro.

Também não é absurdo imaginar que o governo poderia obrigar app stores a parar de disponibilizar o Signal ou outros aplicativos com criptografia de ponta-a-ponta. Esse guia pode ficar desatualizado em breve. Essa é mais uma razão para lutar contra a vigilância.

Saia da internet e encontre seus amigos pessoalmente. Se vocês tiverem privacidade, vocês não serão ouvidos, e suas palavras se dissolverão no ar, ignoradas e perdidas para sempre.

Além disso, se você está lendo esse guia, é provável que você precise de um bom abraço.

Então encontre um amigo e dê um abraço nele. Vocês dois estão assustados, e precisam mais um do outro do que de qualquer tecnologia.

Nesse guia, reunimos dicas que todos deveriam saber.

Sabemos que alguns leitores irão apontar informações que não foram incluídas nesse guia, e gostaríamos de ouvir seus comentários. O mundo da segurança digital está em eterna mudança, e um bom conselho hoje pode não ser tão bom amanhã. Nosso objetivo é manter esse guia atualizado, então, por favor, entre em contato conosco caso você ache que deixamos de fora alguma informação importante.

E lembre-se: esteja sempre alerta!

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD.
Siga o Motherboard Brasil no Facebook e no Twitter.
Siga a VICE Brasil no Facebook , Twitter e Instagram.