Ataque de clique-zero: o que é?

Diferente dos ataques digitais por infecção, como aqueles que usam técnicas de phishing, por exemplo, no tipo clique-zero (zero-click attack) não é necessário que a vítima abra um arquivo ou tente entrar em algum link. Sem ter que realizar nenhuma ação, o alvo precisa apenas estar usando um sistema operacional ou aplicativo vulnerável instalado. [1]

Como acontece?

A coisa funciona da seguinte forma: um atacante precisa enviar um pacote de dados específico para o dispositivo alvo através de uma rede sem fio, como Wi-Fi, bluetooth, GSM, LTE (4G). Em seguida, a cadeia de ataque aciona uma vulnerabilidade desconhecida no nível de hardware (p.ex. um chip SoC) ou software (cliente de email, mensageiro instantâneo, serviço de chamada, etc.). [2] Daí pra frente, o arquivo conseguiu entrar no dispositivo e começará a executar comandos predefinidos.
Dependendo de onde está a vulnerabilidade, esse arquivo vai ter uma cara específica: pacotes de rede, requisições de autenticação, mensagens de texto, seções de videoconferência, mensagens de skype, telegram, signal, etc. Cada tipo de arquivo “estimulará” uma resposta do seu respectivo aplicativo, tudo sem passar pela pessoa.
Dado que não é preciso clicar em nada para explorar esse tipo de vulnerabilidade, temos duas consequências: por um lado, o atacante não precisa dispender tempo com engenharia social para “convencer” uma vítima. Por outro, a vítima não tem quase nenhuma chance de se preparar e se proteger ou mesmo perceber que foi atacada.
Eu disse quase, pois nos casos de softwares ou aplicativos, os consertos no código (patches) acontecem geralmente em pouco tempo depois que a vulnerabilidade foi descoberta. Por isso, mantenha sempre atualizados seu sistema operacional e seus aplicativos.
Há uns anos atrás, tivemos a notícia de um ataque de clique-zero no whatsapp. O atacante (Grupo NSO, de Israel) conseguiu inserir um software espião (spyware) em espertofones de defensores de direitos humanos através de uma chamada de voz “infectada”. Isso acontecia tanto em iOS quanto em Android. O mais sinistro é que o ataque funcionava mesmo que a pessoa não atendesse a chamada. Em seguida, uma vez que o spyware tenha sido instalado com sucesso, a chamada era apagada dos registros do zap e o atacante conseguia, por exemplo, controlar a câmera, o microfone e obter a geolocalização da vítima, dado que o whatsapp possui essas permissões.

Porta dos fundos x clique-zero

Já que o dispositivo alvo pode ser acessado simplesmente por um comando ou estímulo externo (remote code execution), o que diferenciaria uma vulnerabilidade clique-zero de uma porta dos fundos (backdoor)?
Olhando superficialmente, a primeira seria uma falha “honesta”, algo não previsto que passou batido na hora que o código foi escrito. E a segunda, pelo contrário, seria uma abertura propositalmente desenhada para dar acesso furtivo para quem programou ou a empresa desenvolvedora do software/hardware ao dispositivo da vítima.
Agora, do nosso ponto de vista, como usuários, será que faz muita diferença se a falha é intencional ou não? Afinal, não sabemos que as mega-tecs colaboram com governos democráticos na espionagem de seus cidadãos e que, eventualmente, essas portas dos fundos são descobertas por atores privados e acabam novamente sendo usadas contra nós? No caso de falhas não intencionais, pelo menos todo mundo está mais ou menos vulnerável da mesma forma, seja o agente da ABIN ou a florista do bairro.

Maçãs podres

Os dispositivos da Apple (e consequentemente, seus aplicativos exclusivíssimos) têm apresentado diversas falhas propensas a ataques de clique-zero nos últimos anos. Uma delas, que visava o aplicativo de email do iOS desde 2012 até a sua versão 13 (2019), dava ao atacante acesso aos dados pessoais da vítima. Ao tentar receber um email de grande tamanho, o aplicativo de email causava uma sobrecarga na memória temporária (buffer overflow) do espertofone. Ao “estufar” a memória com lixo digital arbitrário, era possível sobrescrever o código normal por dados maliciosos dando ao atacante o controle sobre o aplicativo. [3]
Mais recentemente, foi descoberta em agosto de 2021 uma falha de segurança no iOS chamada de ForcedEntry (entrada forçada). Desenvolvida pela empresa israelense Grupo NSO, ela era explorada pelo seu software espião Pegasus. Um arquivo PDF disfarçado de GIF é enviado para o dispositivo da vítima causando uma sobrecarga na memória quando o sistema gráfico do iOS tentava renderizá-lo. [4] Todos os iOS interiores ao 14.8 assim como todo os macOS anteriores ao Big Sur 11.6 estão vulneráveis a essa falha.

E tem jeito?

Sempre dá pra fazer alguma coisa. Os atacantes adoram a postura niilista do “dane-se a segurança”. Como já foi dito acima, mater tudo atualizado seria o básico para qualquer tipo de usuário. Mas se você busca mais segurança, dá para usar a estratégia de compartimentalização. Ela diminui sua “superfície de ataque” reduzindo os caminhos possíveis pelos quais os seus dispositivos podem ser infectados. Ou, ainda, caso um aplicativo tenha uma falha, somente as informações contidas nele serão afetadas.
Algumas outras ações: [5]
  •  Diminua o número de aplicativos no seu espertofone.
  • Revise regularmente os aplicativos instalados, principalmente suas permissões.
  • Se você sabe que é um possível alvo de vigilância e sua vida está em risco, use um espertofone específico para cada aplicativo importante (por exemplo, seu mensageiro instantâneo).
  • Mesmo com diversos espertofones separando suas informações, eles não deixam de ser possíveis equipamentos de escuta e rastreamento. Por isso, deixe aqueles que não estiver usando em uma bolsa de faraday, o que evita totalmente que receba ou envie dados.

Olhos e Ouvidos na Grampolância: um chamado para colaboração

Olhos e Ouvidos

Imagine aquela reunião da sua organização, coletivo ou movimento social antes da pandemia. O local é um conhecido centro cultural da cidade, onde todo dia tem reuniões de diversos grupos, e muita gente da militância da cidade se encontra por lá.

A galera do teu movimento não é boba, uma ou outra militante assistiu o Dilema das Redes, e teve um que até participou de uma tal de CriptoRave e vez ou outra lê os artigos do Mariscotron. Então tá todo mundo ligad@ que tem muita vigilância cibernética rolando pelas redes. Questão de ordem, antes de começar a reunião, os espertofones são desligados e colocados em uma caixa, que é fechada e levada para outro cômodo longe dali.

Com a tranquilidade de quem está longe do zóião do Estado ou das megatéquis, todo mundo começa a falar sobre a próxima ação direta, dando nomes e explicando tin tin por tin tin cada detalhe.

Mas, e se no ambiente onde rolou a reunião tivesse sido plantado um dispositivo de vigilância, ao qual nós brasileiros conhecemos carinhosamente como grampo? A casa caiu. E agora quem plantou o grampo poderá colher valiosas informações sobre a tua organização, e provavelmente de muitas outras da cidade.

Nos últimos anos, muita atenção tem sido dada a vigilância cibernética, de massa ou não. Mas não podemos nos esquecer de técnicas mais antigas, como a engenharia social, explicada em linhas gerais em nossa última publicação, ou da implantação destes dispositivos de vigilância. Tais técnicas foram aplicadas em todas as nossas ditaduras oficiais, e também no período dito democrático (o Estado nunca dorme). Quem não se lembra de algum escândalo com o termo arapongagem, envolvendo algum politico famoso nos últimos anos? Mesmo o recente documentário “Privacidade Hackeada”, ao qual fizemos uma critica aqui no blog, tem uma cena mostrando quando a casa caiu para o chefão Alexander Nix, sendo filmado secretamente em um restaurante falando sobre os podres da Cambridge Analytica.

Os grampos geralmente são plantados pelas polícias ou agências de vigilância. Podem ser colocados em veículos, construções, ou espaços públicos e ficar dias, meses ou anos sem serem percebidos. Possuem diferentes combinações de capacidades de sensoriamento: microfones, câmeras, geolocalização. Também possuem diferentes formas, tamanhos e aparência em geral.

Banner do site Olhos e Ouvidos

Com objetivo de alertar e catalogar estes dispositivos e relatar estes casos de vigilância, surgiu o site “Ears and eyes” (orelhas e olhos). Reúne cerca de 50 relatos de grampos plantados em espaços de pessoas e grupos que realizam atividades subversivas (majoritariamente na Itália). Além disso, o site também faz um apanhado sobre a indústria de vigilância responsável pela fabricação e venda destes equipamentos para os Estados.

Conhecimento é poder e precisamos estar atentas a esta forma de vigilância debaixo de nosso nariz. A boa notícia é que a galera do Ears and Eyes quer ampliar os relatos para além da Europa. Se você conhece algum caso, mande por e-mail para: desoreillesetdesyeux [a na bola] riseup.net. A chave pública, para enviar e-mails criptografados, pode ser obtida na página de contato do site. Pode ser em qualquer idioma que o pessoal está disposto a traduzir. Ou escreva para nós (org-mariscotron[a-na-bola]lists.riseup.net).

Compartilhe o endereço do site com sua turma e vamos manter os nossos olhos e  orelhas em alerta, os do Estado e do Capital a gente arranca.

O que é engenharia social?

Na primeira vez que ouvi falar de engenharia social, tentei adivinhar: seria uma forma mais eficiente de organizar pessoas, ou um termo politicamente correto da área de RH, ou ainda uma forma de programação comportamental das massas?

Apesar da wikipedia-inglês dizer que esta última opção seria válida para o campo da política (onde o Estado ou a mídia tentariam direcionar a vontade das pessoas), o que nos interessa aqui é a sua conotação no campo da segurança. Ou seja, simplesmente, engenharia social é sinônimo de manipulação.

Tá, vamos a uma definição mais formal. Segunda a wikipedia, “no contexto da segurança da informação, engenharia social é a manipulação psicológica de uma pessoa para fazê-la realizar certas ações ou revelar informações confidenciais. Ela difere de um simples golpe ao geralmente envolver vários passos complexos para montar o esquema”.

Como normalmente esse tipo de tática é usado contra grandes empresas (corporações, bancos, etc) e órgãos do governo (ministérios, aeroportos, usinas, etc.), os coletivos e organizações que visam transformação social quase nunca ouviram falar de engenharia social. Por outro lado, nesses casos, a infiltração parece ser o mais comum. Quem sabe falamos sobre isso em outra postagem.

Mas quais seriam esses “passos complexos para montar o esquema”?

Antes de apresentar um passo a passo, é preciso dizer que a engenharia social explora o ponto mais fraco de um sistema informático: o ser humano. Seja por erro técnico, ingenuidade ou percepção equivocada, uma pessoa é muito mais facilmente enrolada do que software ou uma fechadura.

O lendário hacker Kevin Mitnick escreveu um livro sobre o assunto, chamado A arte de enganar: controlando o fator humano na segurança da informação. Aqui está o PDF do livro em português. Ele define:

A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.

A paranoia tá subindo? Pois é. Vamos levantá-la mais um pouco.

Niall Merrigan, na sua palestra “Psychology of Social Engineering“, aponta algumas das fraquezas humanas exploradas na engenharia social e dá diversos exemplos, principalmente da área de marketing. Na verdade, certos padrões de comportamento humano não são necessariamente fraquezas em si, mas como são previsíveis, Merrigan afirma, você vai usá-los a seu favor.

Um padrão segundo o qual todas nós operamos é chamado de viés cognitivo. Vejamos a wikipedia:

Um viés cognitivo (ou tendência cognitiva) é um padrão de distorção de julgamento que ocorre em situações particulares, levando à distorção perceptual, julgamento pouco acurado, interpretação ilógica.

Esse viés, somado à nossa experiência cotidiana, possivelmente gera o senso comum e os preconceitos. O primeiro é aquilo esperado de qualquer pessoa numa determinada sociedade (como formas de cortesia, cumprimentos, subentendidos, etc). Alguns preconceitos também podem fazer parte do senso comum, mas se, além disso, você descobre aqueles que são particulares da pessoa na sua frente, então é como fazer micro-targeting: modular os assuntos e as maneiras de falar sobre eles para causar um efeito esperado. Fascistas têm preconceitos e obviamente anarquistas também! O processo mental é o mesmo, logo, dá para explorar da mesma forma em qualquer pessoa.

A wikipedia fornece os seguintes exemplos de vieses cognitivos:

Enquadramento: É se usar uma abordagem bastante ortodoxa na descrição de uma situação ou problema.
Viés de retrospecto às vezes chamado de “eu-sabia-de-tudo”: É a inclinação para ver os eventos do passado como sendo previsíveis.
Viés de confirmação: É a tendência para procurar ou interpretar informações de uma maneira que confirme preconceitos próprios.
Viés da autoconveniência: É a tendência de reivindicar mais responsabilidade pelos sucessos do que pelas falhas. Este viés também pode se manifestar como a tendência de avaliar informações ambíguas de uma forma benéfica a interesses próprios.

Sabendo disso e com um pouco de dissimulação e preparo, é possível conseguir se passar por uma autoridade simplesmente vestindo uma roupa e um crachá adequados ou imitando um site oficial. Dar o que as pessoas esperam é metade do caminho.

E então, como é que faz?

Chris Pritchard lista uma série de dicas na sua palestra “The basics of social engineering” sobre como realizar um “ataque”. Vou colocar aqui um resumo do resumo, ou seja, muita coisa vai se perder, mas acho que vale.

  1. Fazer reconhecimento
    • Pesquisar as informações que estão públicas (open source intelligence,  OSINT – isso merece uma postagem também!)
    • Ir ao local (se você vai precisar entrar num prédio, terreno, etc.)
    • Como as pessoas se vestem ali?
    • Entenda os padrões de horários (intervalos, horário de maior movimento, etc)
    • Como as pessoas se identificam? (crachás, uniformes, etc)
  2. Construa seu pretexto (por que você está ali?)
    • Use sempre o que você já conhece
    • Use a verdade
    • Vista-se adequadamente
    • Carregue e use coisas adequadas ao seu pretexto (equipamentos)
  3. Portões
    • Conheça as entradas
  4. Conseguiu entrar! E agora?
    • Mantenha a calma (a adrenalina sempre aumenta)
    • Lembre-se das infos que você coletou previamente sobre o lugar
    • Observe o local por dentro: onde estão as saídas, os banheiros
    • Não tenha medo de pedir ajuda.Na verdade, peça ajuda: é uma forma rápida de criar um laço de confiança
    • Sempre use o tom formal ao iniciar uma conversa
    • Fale de modo positivo (ex.: “vim aqui para…”, o contrário seria “não vim aqui para roubar nada, viu?”)
  5. Outras coisas:
    • O medo está sempre presente
    • Esconda-se no banheiro para se acalmar
    • Resolva os problemas éticos da sua ação antes de ir para o campo
    • Esse é um trabalho muito exaustivo

Uma forma simplificada de descrever o ciclo da engenharia social é:

  1. Coleta de informações
  2. Interação com a vítima
  3. Ataque
  4. Fechamento da interação

Além do viés cognitivo, ou desdobrando-se dele, a engenharia social usa seis pressupostos ou princípios sobre a interação humana:

  1. Reciprocidade: as pessoas tendem a retornar um favor
  2. Comprometimento: se uma pessoa se compromete a fazer algo, é bem provável que ela irá fazê-lo em nome da sua honra/autoimagem.
  3. Adequação social: as pessoas tendem a fazer o que as outras fazem.
  4. Autoridade: as pessoas tendem a obedecer a figuras de autoridade.
  5. Preferência: as pessoas são facilmente persuadidas pelas pessoas que elas gostam.
  6. Escassez: a escassez gera demanda.

A maioria das pessoas querem parecer legais.

Provavelmente o seu viés cognitivo está lhe dizendo: “isso só acontece com as outras, eu não caio nessa”. Ãham.

Agora que você sabe como a coisa funciona e que a galera que faz isso não tá de brincadeira, segue abaixo algumas formas simples de evitar ser vítima de engenharia social.

  • Nunca entregue a sua senha para ninguém (ninguém!)
  • Verifique a fonte (link, pendrive, site) ou a origem (pessoa, organização, solução etc.) por outros meios
  • Diminua a velocidade da interação: o estresse de ter que tomar uma decisão rapidamente pode turvar o seu discernimento
  • Quando a esmola é demais, o santo desconfia (veja se o atacante não está tocando na sua corda sensível, te dando o que você quer: aprovação,  reconhecimento, carinho, etc.)
  • Defina dentro da organização os níveis de confidencialidade das informações que vocês utilizam e armazenam: o que dá para falar por aí?
  • Faça um teste de segurança sem aviso
  • Simule situações de engenharia social
  • Cuide da forma como vocês descartam informação (documento ou bilhetes no lixo, etc.)
  • Responder “não” é sempre uma opção (“Não vou lhe passar meu CPF, mas teria alguma outra coisa em que eu poderia lhe ajudar?”

Para fechar, existem várias formas de atacar. Pode ser presencialmente, por telefone, por email ou mandando sms. Mas também existem diferentes escalas. Niall Merrigan dá o exemplo da fraude tipo phishing. Essa palavra é uma corruptela de fishing, pescaria, com o ph de phone, telefone. Antigamente, o comum era usar o telefone para conseguir informações sem se expor. Há algumas décadas, se usa o email. Enfim, phishing é o famoso “esquema”: chega um email com uma história comovente ou ameaçadora e no fim te pede alguma informação pessoal, documento, conta do banco, senha. Ou te pede para entrar num site falso e aí colocar documento, senha, etc. Ou pede pra você abrir um arquivo extremamente importante.

Bom, Merrigan afirma que phishing é caro, dá muito trabalho para pouco resultado. Seria tipo uma pesca de arrastão com uma rede de malha muito grande. Joga prum lado, joga pro outro, varre metade dos mares e quem sabe pega alguma pessoa desavisada. É a escala macro.

A escala micro seria o que ele chama de pesca de arpão (spear phishing). Nessa situação, o atacante usa informações pessoais públicas (OSINT) e manda uma mensagem direcionada. Por ser uma conversa pensada para o alvo, ela tem muito mais chance de ter sucesso do que uma mensagem genérica daquelas que rolaram pelo zap “tô precisando de uma grana” ou um email “entrei no seu computador por uma falha de segurança do windows”.

Agora, dentro da escala micro ainda pode haver um refinamento. Na “pesca de arpão”, o alvo pode ser um simples funcionário ou um terceiro que vai indiretamente levar ao objetivo. Se o alvo é a pessoa mais importante da organização, então Merrigan usa o termo “caça de baleia” (whaling).

Resumindo, as pessoas são o elo mais fraco da corrente da segurança. Tem gente especializada em testar esse elo usando conhecimento psicológico e técnicas de manipulação para fazer uma pessoa de dentro da organização dar o que ela quer (com ou sem o uso de tecnologia!). Transforme a segurança em pauta ordinária e nunca entregue sua senha.

Como usar a rede social Crabgrass?

Esse pequeno guia foi copiado daqui.


Sobre o Crabgrass

Antes de tudo, o crabgrass é um software de código aberto desenvolvido pela galera do Riseup e pode ser acessada pelo endereço https://we.riseup.net

Antes de mais nada, vejamos algumas perguntas comuns.

1) O que é o we.riseup.net / crabgrass?

É uma rede social construída com software livre  gerida pelo coletivo Riseup com a colaboração de pessoas de diversos lugares. É independente e não-comercial (mantida por doações). Em seu código estão embutidos valores como autonomia e cooperação, sendo sua principal função a organização de grupos e redes.

2) Já tenho uma conta de email do riseup. Serve como credencial?

Uma conta no Crabgrass é diferente e totalmente separada de uma conta de email do riseup. Não há vínculos entre elas. Portanto, não é preciso ter um email do riseup para poder usar o Crabgrass.

Você pode cadastrar quantos perfis quiser (sem número de telefone, nem documento de identificação ou email).

3) O que é necessário informar para criar uma conta no Crabgrass?

As únicas informações necessária para usar o we são um nome de usuária e senha (um email é opcional para a recuperação da senha e recebimento de avisos).

4) Quais ferramentas essa rede oferece?

Se o Crabgrass foi pensado e desenvolvido para organizar coletivos e redes é importante saber que:
1) o software NÃO serve para:
– Fazer propaganda de si
– Fazer propaganda de produtos
– Espalhar massivamente informação (viralizar)
– Receber informação não requisitada

2) o software SERVE para:

  • Organização de grupos e comitês de trabalho:
    • receber atualizações de conteúdos do seu grupo
    • compartilhar conteúdos (nos grupos ou publicamente)
    • construir um repositório ou memória de informações do seu grupo
  • Criação de conteúdos (ou páginas):
    • documentos editáveis (texto em formato wiki, com links, figuras, tabelas, etc.)
    • arquivos para compartilhamento
    • galeria de imagens
    • discussões em grupo
    • enquetes
    • votações qualificadas
    • lista tarefas direcionadas

Como criar uma conta no Crabgrass?

1) Acesse we.riseup.net, entre no link ‘Crie uma nova conta’, escreva um nome de usuária e uma boa senha (lembre-se que a inserção de uma conta de email é opcional para recuperar sua conta e/ou receber avisos). O nome de usuária não precisa ter nada a ver com sua identidade real. Recomendamos o uso de pseudônimos (por que vais usar teu nome real para tocar um grupo de contestação?!).
.

.

.

2) Para destruir tua conta, vá na aba “Configurações”, e acione a função “Destruir”. Clique em destruir e pronto.

.

.

.

3) Lembre-se de descartar/destruir sua conta caso esteja inativa. Cuide do seu lixo. O Riseup depende de financiamento coletivo para alocação de servidores.

E agora? Como me encontro lá dentro?

A rede social We é composta por várias partes. Vamos primeiro olhar para os níveis sociais: individual, grupo e rede.

Níveis sociais:

São as 3 abas mais acima na janela à esquerda (ao lado da figurinha do corvo).

Eu:

Esta página que relaciona os conteúdos que tens participação. Essa página inicial é dividida primeiro em Avisos, que nos falam sobre pessoas querendo entrar nos grupos que participamos, pessoas querendo ser nossos contatos, pessoas que marcaram algo teu com uma estrela, mensagens recebidas, etc. Equivalente a “notificações”.

Segundo, temos as Páginas Recentes, que são as páginas onde aconteceram modificações recentes ou avisos de criações de páginas que você pode ver (dos grupos que participas ou de teus contatos). Ambas estão listadas em ordem cronológica. Nesta rede social, a visualização dos avisos não é mediada por algoritmos de preferência (todo mundo aparece!). As outras abas do Painel de Usuária estão descritas logo abaixo.

Pessoas:

Existem aí 3 opções:
Contatos: sua lista de contatos. O campo de pesquisa dessa opção só irá buscar alguém que já é seu contato.
Parceiras: não sei. Imagino que sejam contatos dos seus contatos.
Pesquisar: Pesquisa o nome de um contato na base de dados de toda a rede. Porém, algumas pessoas optaram por não estar disponíveis para serem contactadas (isso é uma opção de configuração pessoal. Ver “Configurações” no Painel de Usuária).

Grupos:

Existem 3 opções ali:
Meus grupos: lista dos grupos, redes e comitês dos quais fazes parte.
Pesquisar: pesquisa de grupos, redes e comitês visíveis. Lá podes procurar por grupos de interesse.
Criar grupo: vai para a página de criação de Organizações (grupos) ou Redes. (Para entender as diferenças de cada tipo de grupo, ver o tópico “Hierarquias de Acesso”). Essa página será descrita mais a frente como “Criar Grupos”.
Em geral, grupos públicos e abertos são raros. Mais comuns são os grupos privados. Às vezes eles permitem entrada direta (quero entrar e me coloco no grupo). Outras vezes, o grupo não está nem visível, sendo necessário receber um convite para participar. Veremos mais sobre isso em Configurações de Grupo

Abas do Painel de Usuária:

Painel:

É a página inicial, que contém no centro a seção “Avisos” e “Páginas Recentes”. Na lateral, à esquerda, temos uma lista dos grupos que participamos. Ver a seção “níveis sociais – eu” logo acima.

Páginas:

Uma página é o mesmo que um conteúdo e pode ser um documento-wiki, uma lista de tarefas, um arquivo compartilhado (pdf, ogg, .odt, etc.), uma galeria de imagens, etc. Nesta aba, é possível buscar pelos conteúdos que tens acesso (seja porque foste tu quem criou, compartilharam contigo, ou é de algum grupo que participas). As opções de filtros podem te ajudar a encontrar o que buscas. O mais importante aqui é o link “CRIAR PAGINA”. Isso será descrito abaixo no tópico “Criar Página”.

Mensagens:

Esta seção possibilita o envio de mensagens privadas aos seus contatos ou usuárias que optaram por receber msg de desconhecidos (ver “Configurações” na aba do Painel de Usuária).

Tarefas:

Caso tenhas sido designada para uma tarefa numa página do tipo “Tarefas”, ela irá aparecer aqui para ti. Tanto as que ainda precisam ser realizadas quanto as que já foram completadas.

Configurações:

Configurações de conta: lá é possível alterar o login, o nome que tu queres que as pessoas vejam (pode ser diferente do login) e o ícone (desaconselha-se a utilização de fotos pessoais ou que possam identificar a usuária). Além disso, é possível ativar o recebimento de notificações (seus “Avisos”) por email e ajustar o fuso horário e idioma.
Permissões: aconselha-se desmarcar as opções “Ver meus contatos?” e “Ver meus grupos?”. Fazendo isso garantes que só quem te conhece saberá quem és e protege os membros de seus grupos e contatos.
Perfil: melhor deixar em branco.
Pedidos: Aqui vão aparecer os pedidos que fizeste a alguém ou grupo, ou que pessoas fizeram para ti ou para grupos que participas. Pedidos podem ser relacionados a: ser contato, participar de um grupo ou rede, ou excluir alguém de um grupo. Dá para ver pedidos pendentes, aceitos e os recusados.
Senha: Permite alteração da senha de usuária.
Destruir: aqui podes destruir tua conta sem medo!

Como criar uma página:

Nesta seção podes criar textos e discussões em grupo, carregar arquivos, criar enquetes e levantar votações, bem como criar listas de tarefas.

Título: é o nome da página
Resumo: descrição breve do conteúdo
Etiqueta: o mesmo que “tags”. Isso facilita a busca (indexação).
Posse: especifica quem é dona da página ou conteúdo. Além de uma usuária, uma página pode pertencer a um grupo ou uma rede. Se a dona da página é um grupo, todo mundo que participa do grupo terá acesso à página (inclusive quem participa dos comitês).
Acesso adicional: especifica quem mais poderá acessar a página.

Tipos de páginas:

Wiki

Discussão

Votação

Arquivo

Galeria

Lista de tarefas

Como criar grupos:

Organizações: é o que o tempo todo estamos chamando de grupos. Apenas pessoas são membras.
Redes: é um tipo de grupo que reúne grupos e/ou pessoas.

Hierarquias de acesso:

  • Todo mundo que participa de um grupo tem o poder de modificar as configurações do grupo, adicionar ou excluir páginas (conteúdos), enviar convites para novas pessoas entrarem ou sugerir a exclusão de alguém.
  • Pessoas formam grupos, redes ou comitês.
  • Grupos e/ou pessoas formam redes.
  • Comitês são subgrupos (mais conhecidos no mundo real como Grupos de Trabalho – GTs). Um comitê está sempre associado a um grupo. Pessoas de fora do grupo podem participar de comitês sem participar do grupo.
  • Um conselho é um subgrupo com poderes administrativos especiais. É útil no caso de criares um grupo público onde qualquer pessoa pode participar, mas onde a opção de destruir o grupo ou excluir pessoas esteja na mão das pessoas do conselho (aquelas que mantêm e organizam o grupo).

Veja a wiki de permissões.

Recomendações:

  • Use um pseudônimo, visto que a organização de rádios livres tem sido criminalizada.
  • Não utilize ou faça upload de arquivos pessoais que possam indentificá-lx. Se possível, apague os metadados dos arquivos com o software MAT (linux).
  • Podes criar mais de uma conta, mas lembre-se de destruí-la caso não estejas mais usando.
  • A rede We é feita para organização e compartilhamento. Não faz nenhum sentido usá-la para fazer propagandas comerciais.
  • Evite que seus grupos e contatos apareçam publicamente (veja subseção “Permissões” da seção “Configurações” logo acima)

Quer mandar um telegrama?

Tem rolado o maior fusuê por causa das notícias sobre o Telegram ter um furo que deixa tu descobrires o número de telefone de algumas pessoas num grupo aberto que haviam escolhido esconder essa informação. [1, PT] [2, EN]

É bem importante sabermos como os “apps” funcionam, quais suas potencialidades e vulnerabilidades. Mas que tal voltarmos para o começo dessa conversa?

Diferente de outros lugares do mundo, nós do coletivo temos visto pelo Brasil o desenvolvimento de uma perspectiva de segurança que está atenta ao contexto político de atuação e vinculado à noção de cuidados de segurança. Nós, desde o ano passado, 2018, abandonamos completamente a visão purista da “segurança total” ou a busca pelo “aplicativo mega-seguro”. Essa referência nos serviu no início do coletivo, mas agora parece atrapalhar mais que ajudar. A estratégia da Segurança de Pés Descalços aponta nessa nova direção.

Apesar de ser um consenso geral de que não existe 100% de segurança, na prática quando aparece uma falha num software específico é sempre a mesma algazarra, um grande escândalo. Que tal mantermos em mente a noção de situação de segurança? (veja mais sobre isso no livro Segurança Holística) Afinal, a partir de que perspectiva uma ação ou fato é uma ameaça?

Neste caso do Telegram, vamos aproveitar os conceitos descritos nessa outra postagem para refletir e manter nossa mente atenta e crítica.

É uma questão privacidade? Parece que não, pois na descrição das notícias as pessoas estão conversando num grupo público.

É uma questão de criptografia? Também parece que não, pois o Telegram é bastante claro quando diz que as conversas em grupo não são criptografadas de ponta-a-ponta, mas apenas entre cliente e servidor (ou seja, os dados podem ser decifrados por quem controla o servidor). Somente o “chat secreto” possui criptografia de ponta-a-ponta.

É uma questão de usabilidade? Até onde dá para entender pelas matérias, também não parece o caso. O app tá rodando tranquilo, todo mundo continua conversando normalmente nos grupos, recebendo e enviando mensagens.

Enfim, anonimato. Essa é a propriedade de um sistema de comunicação que protege/esconde a identidade das pessoas que se comunicam. Então:

  1. O Telegram (assim como o whatsapp e o signal) exige um número de telefone para criar um cadastro no seu servidor. Logo, você já sabe de entrada que a empresa Telegram (assim como o Facebook pro zap e a OpenWispers pro signal) sabe qual o seu número, com quem e quando você conversa. Esses são os metadados mais comuns numa comunicação. O signal tem a particularidade de esconder o remetente quando ele envia uma msg (LINK), desvelando-o somente na hora que se abre a mensagem (ou seja, o servidor só sabe o destino, não a origem, nem o conteúdo) o que é uma grande vantagem em termos de anonimato sobre o zap e o telegram, mas também sobre email com GPG e OTR.
    Já o zap, que pertence ao Facebook, usa esses e outros metadados para lucrar com o seu perfil (zero anonimato para o servidor). Tudo isso independente da sua situação atual de segurança.
  2. Agora, quando você não quer mostrar seu número para outras pessoas num grupo público e o aplicativo dá a entender que isso vai acontecer, aí é outra história. Pois num grupo público, a questão não é mais tanto com relação ao servidor (à empresa que fornece o serviço), mas de ronda virtual, de perseguição política, onde agentes do Estado passam a mapear as relações e o protagonismo individual nos grupos.

    Como as conversas são públicas para quem está no grupo (não há privacidade da informação), facilmente pode-se fazer uma varredura num e em vários grupos identificando as mesmas pessoas e ampliando a análise (o que também pode acontecer se usarem apenas o apelido, como sempre se fez no mundo analógico).
    Porém, como disse um cara do Telegram (lá pro final da matéria), qualquer app baseado na lista de contatos do espertofone vai ser capaz de te mostrar qual o nome do contato para certo número de telefone que você já tenha anotado na sua lista de contatos. Se os seus amigos cadastram seu número com o seu nome verdadeiro, então eles vão vazar, mais cedo ou mais tarde, a relação entre apelido, nome e número de telefone.

Até aqui, dois pontos-chave: 1) tenha atenção com a comunicação por espertofone, ela é cheia de detalhes obscuros; 2) seu número de telefone normalmente está ligado à sua pessoa física (no brasil, ao CPF).

Então, o contexto em que essa falha no Telegram é um problema poderia ser: expressar num “local” público opiniões vinculadas à sua identidade de cunho antigoverno onde seu oponente é o Estado.

Em muitos casos, é central conseguir levar uma mensagem para o máximo de pessoas, como em Hong Kong, para agitação e coordenação dos protestos contra a lei de extradição que está em jogo. E parece que o serviço de grupos do Telegram dá conta disso: os servidores em nuvem parecem rápidos e permitem um número enorme de participantes. Os manifestantes já disseram que isso é chave pra eles e não vão mudar de app.

Agora, se é a vida de quem fala que está sendo ameaçada por um ator poderoso como o Estado (chinês), então o anonimato é muito importante. Sabemos que aqui mora uma dicotomia clássica e geralmente possui uma relação inversa: quanto mais alcance, menos anônimo. Ferramentas como Wikileaks e secureDrop foram criadas para quebrar essa inversão, fazendo com que uma informação pudesse vir a público sem comprometer a vida de quem a revela.

Para muitos grupos de atuação pública, a visibilidade acompanha a disseminação de informações, geralmente denúncias ou pedidos de apoio. Ela serve como proteção (pelo menos, essa é a aposta). São grupos que avaliam os riscos e decidem colocar seus corpos também à mostra (às vezes é a única coisa que conseguem fazer). É uma tática bem comum de grupos de ação direta não-violenta e de desobediência civil. Aqui, a falha do Telegram seria irrelevante.

Agora, se o contexto é de perseguição individual e não existe um grupo público forte para proteger cada pessoa, aí o anonimato é crucial. Neste caso, uma falha como a do Telegram é muito grave. Principalmente porque o software parece ocultar totalmente o número de telefone se você ativar a opção relacionada a isso.

Lição 3: se você acha que está resguardado por uma forma técnica de proteção, procure uma segunda opinião com alguém que realmente entende do assunto. Muitas de nossas vulnerabilidades vêm de um recurso que imaginamos que nos protege mas que não serve pra isso.

Porém, para milhares de outras pessoas usuárias do Telegram, a falha que deixa ligar apelido com número não parece ser relevante. Inclusive vários grupos que lidam com segurança no Brasil usam o Telegram para divulgar informações e conversar, como Encripta, CryptoRave e nós do Mariscotron. Tenho a impressão que para a finalidade que nossos grupos estão usando o Telegram, ele não apresenta uma ameaça, mas sim uma possibilidade de alcance.

Ou será que a notícia dessa falha muda nossa situação de segurança aqui também?

Mente viva, escolhas informadas!

Como funciona a criptografia do seu celular

https://theintercept.com/2015/02/19/great-sim-heist/


“Depois que um cartão SIM é fabricado, a chave de criptografia, conhecida como “Ki”, é forjada diretamente no chip.

Uma cópia da chave também é fornecida ao provedor de celular, permitindo que sua rede reconheça um telefone individualmente. Para que o telefone seja capaz de se conectar com uma rede de telefonia sem fio, ele – com a ajuda do SIM – se autentica usando a Ki que foi programada no SIM. Então, o telefone realiza um “aperto de mão” (handshake) secreto para comprovar que aquela Ki do SIM é a mesma daquela que está com a companhia telefônica.

Após o sucesso dessa operação, a comunicação entre o telefone e a rede está criptografada.

Mesmo se os serviços de inteligência interceptarem os sinais de rádio do telefone, os dados interceptados terão a cara de uma grande bagunça. Descriptografá-los pode ser bastante desafiante e levar muito tempo. Roubar as chaves, por outro lado, é incrivelmente simples, do ponto de vista das agências de inteligência, pois a linha de produção e distribuição dos cartões SIM nunca foram projetadas para impedir os esforços da vigilância de massa.

Protocolo Canário

Gostaríamos de compartilhar nossa experiência com o protocolo de segurança chamado Canário.

O Canário é um acordo coletivo que responde a uma análise de risco específica. Temos visto que medidas de segurança criadas no vácuo, sem avaliação de contexto e das nossas vulnerabilidades geralmente levam a uma competição confusa e infrutífera sobre “qual é o melhor aplicativo”.

Um protocolo de segurança é uma combinação contextual de boas práticas e boas ferramentas.

O que é um Canário?

Antigamente, para detectar gases tóxicos em minas ou cavernas, levava-se canários para o subterrâneo. Por ser mais sensível que os seres humanos às condições ambientais, na hora que um canário morresse era hora de sair da mina.

No contexto de organizações em risco, o protocolo Canário busca obter uma prova de vida periódica dos seus integrantes.

No Mariscotron, durante o período da eleição presidencial de 2018 e após ela, avaliamos que estávamos num cenário de perseguição política mais forte. Nos pareceu plausível a instauração de um estado de exceção mais acentuado devido a ascensão da direita conservadora e a uma classe média raivosa sendo representada politicamente. Além disso, tendo em vista alguns ataques sofridos pela esquerda como um todo nos últimos anos e que pareciam estar sendo incentivados de forma violenta por políticos e influenciadores, decidimos utilizar um mecanismo para certificação de vida. Além do contexto político, levamos em conta que alguns integrantes se viam com pouca frequência ou sequer estavam na mesma Cidade/Estado/País.

Como funciona:

Encontre um meio de comunicação que atenda suas necessidades de segurança e que todos os integrantes tenham acesso. Nós escolhemos um grupo no Signal, mas também cogitamos usar uma lista de e-mail com criptografia GPG.

IMPORTANTE: o meio de comunicação usado para o Canário deve ser exclusivo para este fim. Qualquer conversa sobre outro assunto nos faria perder a atenção: será que todo mundo deu um salve?!

Defina a periodicidade da verificação. Use uma medida simples para facilitar a memória, por exemplo, toda terça-feira ou todo dia 5 do mês. Nós escolhemos dar sinal de vida uma vez por semana.

No dia marcado e apenas nele, todos os integrantes devem enviar um sinal para o grupo. Pode ser um alô, uma carinha, uma frase inspiradora. Cuidamos para não haver distração. Lembre-se: o Canário tem apenas um propósito.

Casos de atraso ou não comunicação:

Para todo protocolo de segurança é preciso definir um plano B ou alguma medida de emergência. No caso do Canário, queremos saber que todo mundo está vivo. Porém, o que faremos caso alguém não responda?

Nosso acordo foi tentar um contato pessoal mesmo à distância com o integrante que não se apresentou no dia marcado. Sabemos que esquecimentos e falta de internet podem causar essa falha. Por isso, estipulamos um teto, um tempo máximo que alguém poderia ficar sem se comunicar no Canário. Passado esse prazo, se não houvesse nenhum sinal, o integrante seria procurado pessoalmente/fisicamente ou por terceiros próximos.

Como escolher um mensageiro “seguro”

Este texto é uma tradução levemente modificada do que saiu aqui, escrito por blacklight447.


Outro dia, uma pessoa perguntou no nosso fórum sobre as diferenças entre os mensageiros seguros (os programas de bate-papo).  Em vez de listar uma cacetada de diferentes softwares e suas características, resolvi começar definindo “seguro” e outros termos chave no contexto dos mensageiros instantâneos (chats). Isso porque um mensageiro que é “seguro” para mim não vira automaticamente “seguro” para outra pessoa.

Primeiro, precisamos desconstruir o significado de segurança. Que tal começar com os conceitos confidencialidade, integridade e disponibilidade?

  • Confidencialidade significa que somente as partes desejadas podem ler as mensagens.
  • Integridade significa ter certeza de que sua mensagem não foi alterada antes de chegar no destino, o que muita gente não da muita importância.
  • Disponibilidade significa garantir que todas as partes tenham acesso adequado às suas mensagens.

Se te interessar, leia mais sobre isso aqui.

Então, se a gente quer um mensageiro “seguro”, no que será que a gente deve ficar ligada?

A resposta são quatro coisas: segurança, privacidade, anonimato e usabilidade.

  • Segurança: Em resumo, segurança significa que apenas os destinatários receberam sua mensagem, que eles conseguem acessá-la adequadamente e que a mensagem não foi modificada por terceiros.
  • Privacidade: é ter o conteúdo de suas comunicações protegido de terceiros, mas não necessariamente as identidades de quem está se comunicando. Por exemplo, duas colegas no espaço de trabalho vão para uma outra sala para conversar entre si: você sabe quem está lá e que elas estão conversando, mas não sabe o que estão dizendo. Essa conversa é privada.
  • Anonimato: significa proteger as identidades das partes em comunicação, mas não necessariamente o conteúdo. Por exemplo, um delator anônimo vaza um documento para o público; o centeúdo do vazamento deixou de ser privado e passou para o conhecimento público, mas não sabemos quem o vazou; o delator é anônimo.
  • Usabilidade: diz respeito à facilidade de usar alguma coisa; geralmente é o elemento mais menosprezado da mensageria segura. Se um aplicativo é muito difícil ou frustrante de usar, muitas pessoas simplesmente optarão por alternativas menos seguras, porém mais fáceis. A baixa usabilidade é a razão pela qual a criptografia PGP de email nunca foi adotada pelas massas: é um saco usá-la. Roger Dingledine, do Projeto Tor, escreveu um artigo bem legal sobre por que a usabilidade é tão importante em sistemas seguros.

Agora que já entendemos as facetas mais importantes da mensageria segura, temos que falar sobre modelo de ameaças.

Modelo de ameaças é algo que você tem que fazer antes de escolher seu mensageiro, porque não existe nenhum mensageiro glorioso que funcionará universalmente para todo mundo. Parece que poucas pessoas entendem qual é o seu modelo de ameaças. Para começar, aqui vão algumas perguntas que você pode fazer a si mesma:

  • O que estou protegendo? Vocês está protegendo o conteúdo da mensagem? Sua identidade? Os metadados? Sua localização? Talvez uma combinação de tudo isso?
  • De quem estou me protegendo? Você está se protegendo das companhias de propaganda? de governos? De um parceiro abusador? Hackers? Cada um desses oponentes possui suas próprias fraquezas e potências; um governo tem muita grana, mas uma hacker pode quebrar a lei.
  • Qual será o impacto caso a coisa que estou protegendo caia nas mãos do meu adversário? Os mesageiros que melhor protegem o conteúdo e os metadados costumam ser os menos conveniente de usar. Então, considere quanta usabilidade você está disposta a sacrificar para proteger essas coisas. Você está protegendo suas paixões secretas ou é uma situação de vida ou morte?

Beleza, já pensei no meu modelo de ameaças. E agora?

Tendo construído seu modelo de ameaças, e sabendo o que você está protegendo e de quem, podemos começar a dar uma olhada nos mensageiros que estão por aí. Vejamos dois exemplos:

Signal: é um mensageiro de código aberto, criptografado de ponta a ponta e privado. É bem fácil de usar e não exige que o usuário saiba nada sobre criptografia ou segurança em geral. Ele fornece privacidade em mensagens e chamadas através da criptografia de ponta a ponta, e porque ele é tão ridículo de usar, você terá menos trabalho em migrar seus contatos de aplicativo. Entretanto, já que o Signal necessita de um número de telefone para registrar-se ele não é , e nunca disse que era, anônimo.

Briar: é um mensageiro com criptografia de ponta a ponta que utiliza a rede Tor para se manter anônimo. Por funcionar como um mensageiro de par a par (ou seja, não existem servidores entre os usuários distribuindo suas mensagens) dentro da rede Tor, seus metadados e o conteúdo de suas mensagens estão protegidos. O problema da natureza par a par do Briar é que ambas as partes devem estar online ao mesmo tempo para mandar mensagens, o que diminui a usabilidade.

Agora, se você ou um contato seu acredita que é alvo das agências de inteligência do governo, o Briar seria uma opção melhor para manter sua identidade segura. Isso acontece porque, mesmo que o Briar não seja o serviço mais fácil, ele não irá expor os metadados que poderão revelar quem, quando ou mesmo se você alguma vez interagiu com outro usuário.

Entretanto, se você é um cidadão comum conversando com amizades ou com a família sobre assuntos tranquilos, o Signal provavelmente seria mais apropriado. As conversas no Signal são criptografadas de ponta a ponta e privadas, mas dado que ele usa seu número de telefone é possível identificar os contatos do usuário e outros metadados. O principal benefício do Signal é que ele é extremamente fácil de usar, é essencialmente a mesma experiência do WhatsApp. Assim, usuários menos preocupados com privacidade/segurança tem mais chance de adotá-lo.

Tá, então temos um modelo de ameaças e sabemos a diferença entre segurança, privacidade, anonimato e usabilidade. Como vou saber qual mensageiro fornece o quê?

Boa pergunta! Existem algumas coisas que se pode ficar de olho quando for escolher um mensageiro:

  • Criptografia de ponta a ponta: isso significa que somente a pessoa para quem você enviou a mensagem pode ler o conteúdo da mensagem.
  • Código aberto: isso significa que o código fonte do programa está disponível para ser lido, permitindo àquelas pessoas com tempo e conhecimento verificarem se ele é tão seguro quanto se diz. (Bonus points if reproducible builds are available. This means you can copy the source code, follow the build instructions and end up with an exact copy of the application distributed by the developers. This allows us to ensure that the app in use is actually the same as the source code.)
  • Par a par: em inglês P2P ou peer-to-peer significa que suas mensagens vão diretamente para o dispositivo dos seus contatos e que não existem terceiros envolvidos no tráfico de dados. Cuidado: embora isso signifique que nenhuma entidade central esteja coletando seus metadados e mensagens num servidor, se você não proteger seu IP qualquer pessoa que estiver olhando sua conexão poderá ver com quem você conversa e por quanto tempo, potencialmente quebrando seu anonimato. Como foi mencionado acima, o Briar consegue resolver isso usando a rede Tor.
  • Metadados: são todas as informações sobre uma mensagem exceto o seu conteúdo. Alguns exemplos de metadados são: remetente, destinatário, hora de envio e localização de quem enviou. Daria pra descrever os metadados como “registros de atividade“. Dependendo do seu modelo de ameaças, pode ser importante garantir que certos metadados não estejam disponíveis para o seu adversário.
  • Informações de registro: quais informações são pedidas a você antes de usar um serviço? Quando o número de telefone é requisitado, como no Signal, será difícil manter o anonimato porque o número geralmente está associado com a sua identidade real. Se o anonimato é parte do seu modelo de ameaças, procure um mensageiro com o mínimo possível de informações de registro.

Lembre-se que às vezes é melhor usar uma solução não tão perfeita caso ela ofereça uma usabiliade melhor, pois isso te ajudará a manter seus contatos longe de alternativas menos seguras. Por exemplo, levar a sua família para o Signal, ou mesmo para o WhatsApp é um passo enorme em relação a SMS, pois as mensagens de telefone são enviadas em texto puro. Claro, as mensagens enviadas pelo zap não são anônimas, os metadados estarão disponíveis, porém essa mudança já um grande passo em termos de segurança, e você estará melhor com ela do que tentando migrar todo mundo para o mensageiro mega-ultra-seguro-anônimo, que é um pé no saco de usar, e que ao ver que é difícil as pessoas acabarão voltando para a SMS. Como disse Voltaire:

O perfeito é inimigo do bom.

Compartilhe sua chave pública pgp

Se você está com dificuldades em compartilhar sua chave pública pgp, aqui segue um passo a passo.

Aviso: a melhor forma de passar sua chave para alguém é fazendo-o AO VIVO. Passe por um pendrive ou entregue em mãos a impressão digital da sua chave para a colega; assim ela poder baixar sua chave de um servidor de chaves (veja como subir sua chave num servidor de chaves pgp)

Temos duas opções quando usamos o Thunderbird:

Vá em Menu -> Enigmail -> Gerenciador de Chaves

1. Copiar a chave e colar no corpo do email

No Gerenciador de Chaves do Enigmail, selecione seu email na lista de chaves e clique em Editar -> Copiar Chave Pública para a Área de Transferência:

Componha um novo email para a pessoa para a qual deseja enviar sua chave e cole-a no corpo do email.

2. Compor um novo email com sua chave anexa

No Gerenciador de Chaves do Enigmail, selecione seu email na lista de chaves e clique em Arquivo -> Enviar Chave Pública por Email:

Escolha a destinatária, escreva uma mensagem bonita e envie!