Arte: Jack Forbes
Arte: Jack Forbes

Kit de Segurança Digital

Última revisão Outubro 18,2021

Os jornalistas devem proteger a si mesmos e a suas fontes mantendo-se atualizado sobre as últimas notícias e ameaças sobre segurança digital, como hackers, phishing e vigilância. Os jornalistas devem pensar nas informações pelas quais são responsáveis e o que poderia acontecer se caíssem em mãos erradas, tomando medidas para defender suas contas, dispositivos, comunicações e atividade on-line.

Conteúdo

Proteja suas contas

Phishing

Segurança do dispositivo

Comunicações criptografadas

Uso seguro da Internet

Cruzando fronteiras

Proteja suas contas

Os jornalistas usam uma variedade de contas on-line que mantêm informações tanto pessoais quanto relacionadas ao trabalho sobre si mesmos, seus colegas, familiares e fontes. Proteger essas contas, fazer backup, e regularmente remover informações ajudará a defender esses dados.

Para proteger as suas contas:

Pense em quais informações estão armazenadas em cada conta e quais seriam as consequências para você, sua família e suas fontes se a conta for invadida.

  • Separe seu trabalho da vida privada on-line e evite misturar informações profissionais e pessoais nas contas. Isto limitará o acesso aos dados se um deles for violado.
  • Revise suas configurações de privacidade e perceba quais informações são públicas, especialmente nas mídias sociais.
  • Crie cópias de backup de qualquer informação sensível ou que você não gostaria que fosse tornada pública, como mensagens privadas, e exclua-as da sua conta ou dispositivo. Ferramentas de terceiros estão disponíveis para ajudá-lo a encriptar documentos individuais para armazenar em um drive externo ou na nuvem. Também é aconselhável encriptar discos rígidos externos. Revise a lei com relação à criptografia onde você está baseado.
  • Exclua as contas que você não usa mais. Lembre-se de criar cópias de qualquer informação que deseje salvar.
  • Crie senhas longas com mais de 15 caracteres. Não reutilize senhas. Use um gerenciador de senhas para ajudá-lo a administrar suas senhas.
  • Ative a autenticação de dois fatores (2FA). De preferência, use um aplicativo autenticador como sua forma de 2FA ao invés de SMS.
  • Se você estiver sob risco de detenção ou se estiver preocupado com o acesso não autorizado aos seus dispositivos, desconecte-se das contas após cada uso e limpe seu histórico de navegação.
  • Revise regularmente a seção ‘atividade da conta’ de cada uma delas. Isso revelará se dispositivos que você não reconhece estão se conectando.
  • Evite acessar suas contas em computadores compartilhados, por exemplo, em um cibercafé. Se você não tiver escolha, faça logo em seguida o logout e apague seu histórico de navegação

Phishing

Os jornalistas geralmente têm um perfil público e compartilham seus detalhes de contato para solicitar dicas. Os adversários que desejam acessar dados e dispositivos de jornalistas podem atacá-los – ou a um colega ou membro da família – com ofensivas de phishing na forma de e-mail personalizado, SMS, mídias sociais ou mensagens de bate-papo projetados para induzir o destinatário a compartilhar informações significativas ou instalar um malware clicando em um link ou baixando um arquivo. Existem muitos tipos de malware e spyware que variam em sofisticação, mas os mais avançados podem conceder aos invasores acesso remoto ao dispositivo e a todo o seu conteúdo.

Para se defender de ataques de phishing:

  • Pesquise os recursos tecnológicos de seus adversários para entender a ameaça e a probabilidade de você ou alguém que você conhece ser um alvo.
  • Desconfie das mensagens que exigem que você faça algo rapidamente ou pareça oferecer algo que parece bom demais, especialmente se elas envolvem clicar em um link ou baixar um anexo.
  • Verifique a mensagem com o remetente usando um método alternativo, como um telefonema, se algo parecer suspeito ou inesperado.
  • Pense com cuidado antes de clicar em links, mesmo que a mensagem pareça ser de alguém que você conhece. Passe o cursor sobre os links para ver se a URL parece legítima.
  • Visualize todos os anexos que você receber por e-mail; se não baixar o documento, qualquer malware será contido. Em caso de dúvida, ligue para o remetente e peça que copie o conteúdo para o corpo do e-mail ou faça capturas de tela do documento em vez de baixá-lo.
  • Tenha cuidado com os links ou documentos enviados em grupos de discussão. As conversas com grande número de pessoas podem ser infiltradas pelas autoridades ou grupos criminosos que procuram identificar os participantes.
  • Se possível, use a versão desktop de aplicativos para revisar mensagens e links. Uma tela maior ajuda a verificar o que você recebeu e é menor a probabilidade de executar multitarefas.
  • Carregue links e documentos suspeitos no Virus Total, um serviço que os examinará em busca de possíveis malwares, embora apenas aqueles que são conhecidos.
  • Ative as atualizações automáticas e mantenha todos os softwares em seus dispositivos atualizados. Isso corrigirá vulnerabilidades conhecidas nas quais o malware espera comprometer sua segurança.
  • Fique particularmente atento às tentativas de phishing durante períodos de eleições e de agitação, ou se colegas ou grupos da sociedade civil local declararem ter sido alvo.

Segurança do dispositivo

Os jornalistas usam uma ampla variedade de dispositivos para produzir e armazenar conteúdo e entrar em contato com fontes. Muitos jornalistas, especialmente freelancers, usam os mesmos dispositivos em casa e no trabalho, potencialmente expondo uma grande quantidade de informações se forem perdidos, roubados ou apreendidos. Criptografe discos rígidos, telefones, tablets e dispositivos de armazenamento externos, especialmente se for viajar, para garantir que outras pessoas não possam acessar essas informações sem uma senha.

Para proteger seus dispositivos:

  • Bloqueie dispositivos com uma senha, código ou PIN. Senhas ou números de identificação pessoal mais longos são mais difíceis de serem desbloqueados.
  • Atualize seu sistema operacional, apps e navegadores quando solicitado. quando solicitado. O software antigo tem vulnerabilidades que podem ser exploradas para instalar malware em seus dispositivos. Isto é especialmente importante se você sente que pode ser alvo de um spyware sofisticado.
  • Verifique as informações armazenadas em seus dispositivos e considere como elas podem colocar você ou outras pessoas em risco.
  • Faça backup dos seus dispositivos regularmente, para o caso de serem destruídos, perdidos ou roubados. Armazene as cópias de backup com segurança, longe do computador em que habitualmente trabalha.
  • Exclua informações confidenciais regularmente, incluindo conversas que manteve. Para impedir que um adversário restaure arquivos excluídos, use o software de exclusão segura para limpar o dispositivo, se disponível; caso contrário, redefina-o do modo como veio de fábrica e use-o para atividades não relacionadas, a fim de reescrever a memória do dispositivo. (Primeiro, faça backup de qualquer coisa que você queira manter ou perderá todos os seus dados.)
  • Não deixe os dispositivos sem vigilância em público, inclusive durante o carregamento, pois eles podem ser roubados ou manipulados.
  • Não conecte dispositivos a portas USB públicas nem use unidades flash USB entregues gratuitamente em eventos. Estas podem conter malware, com potencial risco de infectar seu computador.
  • Esteja ciente de que seu dispositivo pode fazer backup de seus dados da conta na nuvem vinculada ao telefone. Informações armazenadas na nuvem podem não ser criptografadas. Neste caso, pode desativar os backups automáticos nas configurações.
  • Configure seus dispositivos para permitir que você delete os dados remotamente se eles forem roubados. Esse recurso deve ser configurado com antecedência e as informações só serão apagadas se o dispositivo estiver conectado à internet.
  • Sempre conserte seus dispositivos em uma empresa com boa reputação.

Para criptografar seu dispositivo:

  • Os smartphones mais recentes vêm com uma função de criptografia, mas verifique se está ativada nas configurações.
  • Use o Bitlocker para ativar a criptografia de disco completa para Windows, Firevault para Mac ou o software gratuito Veracrypt para os discos rígidos e dispositivos de armazenamento externo.
  • Criar uma senha longa e exclusiva é essencial para usar a criptografia; em um smartphone, verifique as configurações personalizadas para adicionar uma senha mais longa e complexa.
  • Esteja ciente de que um adversário com conhecimento de sua senha ou poder para obrigá-lo a descriptografar seu dispositivo poderá examinar suas informações.
  • Sempre pesquise a lei para garantir que a criptografia seja legal no país em que você vive ou para o qual vai viajar.

Comunicações criptografadas

Os jornalistas podem se comunicar com as fontes com mais segurança usando aplicativos de mensagens criptografados ou softwares que criptografam o e-mail, para que apenas o destinatário possa lê-lo. Algumas ferramentas são mais fáceis de usar do que outras. A criptografia protege o conteúdo das mensagens, mas as empresas envolvidas ainda podem ver os metadados, inclusive quando você enviou a mensagem, quem a recebeu e outros detalhes reveladores. As empresas têm políticas diferentes sobre quais dados coletam, como os armazenam e como respondem quando as autoridades os solicitam.

Os aplicativos de mensagens recomendados oferecem criptografia de ponta a ponta, o que significa que as informações são criptografadas quando são enviadas do remetente para o destinatário. Ambas as partes devem ter uma conta com o mesmo aplicativo. Qualquer pessoa com acesso a um dispositivo que envia ou recebe a mensagem, ou à senha da conta vinculada ao aplicativo, ainda pode interceptar o conteúdo da mensagem. Exemplos de aplicativos de mensagens com criptografia de ponta a ponta incluem Signal, WhatsApp e Telegram. Outros apps podem exigir que você ative a encriptação de ponta a ponta.

O e-mail criptografado é outra maneira segura de trocar informações com uma fonte ou contato. Ambas as partes devem baixar e instalar um software específico para enviar e receber e-mails criptografados.

Para usar aplicativos de mensagens criptografadas:

  • Pesquise quem é o proprietário do app, que dados de quem o utiliza guardam, e se esses dados foram intimados por um governo. Verifique qual é a sua política para responder a pedidos de partilha de dados de usuários. As empresas de tecnologia devem produzir um relatório de transparência anualmente, onde se possa verificar os pedidos do governo para remover ou compartilhar dados.
  • Bloqueie o aplicativo com um PIN ou senha sempre que possível para melhor proteger contra a abertura do app por alguém que tenha acesso físico ao seu telefone. 
  • Configure um bloqueio de registo, se o serviço o oferecer, que exija que qualquer pessoa que instale o app com o seu número de telefone precise introduzir seu número PIN
  • Alguns aplicativos, incluindo Signal e WhatsApp, fornecem um passo de segurança extra para verificar com quem você está conversando e impedir que alguém se faça passar por um dos seus contatos a partir de outro dispositivo. Procure a opção de verificar o número de segurança ou o código de segurança nas configurações do app.
  • Entenda onde as informações enviadas para seus aplicativos de mensagens estão armazenadas no seu telefone.
  • Qualquer coisa que você baixar, como fotos, será salva no seu dispositivo e poderá ser copiada para outros dispositivos e aplicativos, especialmente quando você fizer o backup dos seus dados.
  • Alguns serviços, como o WhatsApp, fazem o backup do conteúdo da sua mensagem e do histórico de chamadas para a conta na nuvem ligada ao número de telefone –  iCloud para os que usam iOS. Você pode desativar esta função nas configurações do app.
  • Os contatos armazenados no seu telefone são sincronizados com aplicativos de mensagens e contas na nuvem; portanto, os números que você tenta excluir em um local podem ser preservados em outro.
  • Faça backup e exclua mensagens regularmente para armazenar o mínimo possível em um único dispositivo ou conta. Crie um processo para revisar o conteúdo, incluindo documentos e mensagens multimídia, e armazene downloads ou capturas de tela em um dispositivo de armazenamento externo criptografado.
  • A função para o desaparecimento de mensagens do Signal e WhatsApp permite excluí-las automaticamente após um certo tempo. Ative-a se estiver preocupado com o fato de seu telefone ser tomado e suas mensagens serem acessadas.
  • Tanto o Signal como o WhatsApp oferecem a possibilidade de definir fotos e vídeos a serem apagados após a visualização. Pode ser útil ativá-los se você estiver enviando imagens sensíveis. 
  • Signal e WhatsApp também oferecem criptografia de ponta a ponta para chamadas de vídeo.

Para usar e-mail criptografado:

  • Obtenha ajuda de um contato de confiança que tenha conhecimentos técnicos. Nem sempre é fácil configurar um e-mail criptografado se você é um novato.
  • Escolha um software de criptografia de e-mail com boa reputação, que tenha sido revisado por especialistas. Mantenha-o atualizado para se proteger contra vulnerabilidades de segurança.
  • Reserve um tempo antecipadamente para criar uma senha longa e exclusiva para o seu software de e-mail criptografado. Se você esquecer essa senha, perderá o acesso a eles.
  • Envie e-mails criptografados regularmente para não esquecer como usar o software.
  • Detalhes sobre o e-mail, incluindo o título e os endereços de correio eletrônico que enviam e recebem a mensagem, não são criptografados.

Exemplos de software de criptografia de e-mail incluem o GPG Suite para Mac, o GPG4win para Windows e Linux, o Thunderbird com a extensão Enigmail e o Mailvelope.

Uso seguro da Internet

Os jornalistas dependem da internet, mas podem não querer compartilhar suas atividades na web com todos os provedores de serviços de internet, cybercafés ou hotéis com Wi-Fi gratuito. Criminosos, assim como adversários sofisticados, podem roubar informações ou monitorar jornalistas usando sites inseguros ou conexões Wi-Fi públicas.

Para usar a internet com segurança:

  • Procure https e o ícone de cadeado no início de cada URL do site (https://cpj.org), indicando que o tráfego entre você e o site está criptografado. Verifique se os sites visitados são seguros usando a extensão de navegador HTTPS Everywhere da Electronic Frontier Foundation.
  • Verifique se o endereço do site é autêntico, e não uma falsificação. A URL deve estar escrita corretamente e incluir https.
  • Instale um bloqueador de anúncios para se proteger contra malware, que frequentemente é oculto em publicidade pop-up. Estes programas permitem que você isente certos sites de serem bloqueados.
  • Instale o Privacy Badger para impedir que websites e anunciantes rastreiem quais sites você visita on-line.
  • Desative o Bluetooth e outros aplicativos e serviços de compartilhamento de apps e arquivos quando não estiverem em uso.
  • Use uma VPN para melhor proteger seu tráfego de internet de ser registrado por seu provedor. Pesquise quem é o proprietário da VPN, se registram seu histórico de navegação, e se a empresa compartilha dados com os governos.
  • Evite usar computadores públicos, especialmente em cybercafés ou salas de imprensa. Se não puder evitar, saia de todas as sessões e limpe seu histórico de navegação após o uso.
  • Considere instalar o navegador gratuito Tor para usar a internet anonimamente ou o Tails, um sistema operacional gratuito que roteia todo o tráfego da internet através do Tor. O Tor é especialmente recomendado para jornalistas que investigam temas delicados, como corrupção governamental de alto nível em países com capacidade tecnológica sofisticada. Analise a lei com relação ao uso do Tor no país em que você está.

Cruzando fronteiras

Muitos jornalistas atravessam fronteiras transportando informações pessoais e de trabalho que talvez não desejem que outras pessoas acessem em dispositivos eletrônicos. Se os guardas de fronteira tirarem um dispositivo de seu campo de visão, terão a oportunidade de inspecioná-lo, obter acesso a qualquer conta, copiar informações ou instalar um spyware. Jornalistas que atravessam a fronteira para os EUA devem consultar as recomendações de segurança do CPJ, “Nada a declarar“.

Antes de viajar:

  • Confira quais informações estão em seus dispositivos e como elas podem colocar você e seus contatos em risco. Considere que seus dispositivos possam estar sujeitos ao mesmo nível de escrutínio que notebooks e material impresso em sua bagagem.
  • Faça backup do conteúdo de todos os seus dispositivos em um disco rígido externo ou na nuvem. Remova todas as informações que você não gostaria que os oficiais de fronteira acessassem em seus dispositivos.
  • Se possível, compre dispositivos limpos para usar somente em viagens, especialmente se estiver trabalhando em histórias altamente sensíveis. Se estiver viajando com um dispositivo pessoal ou de trabalho, faça backup seguro do seu conteúdo e execute uma limpeza ou redefinição de fábrica.
  • Ative a criptografia de disco completo em todos os dispositivos para garantir que suas informações não possam ser acessadas sem uma senha. Pesquise quais as restrições sobre criptografia no país que vai visitar para garantir que não infrinja nenhuma lei. Esteja ciente de que as forças de segurança podem legalmente ter permissão de solicitar sua senha. Consulte o seu empregador ou advogado antes de viajar, se houver a possibilidade de você ser parado na fronteira.
  • Faça logout de todas as contas nos seus dispositivos e desinstale os aplicativos até atravessar a fronteira e alcançar uma conexão segura à internet.
  • Limpe seu histórico de navegação em todos os seus dispositivos. (O seu provedor de serviços de internet e seu navegador ainda terão um registro de quais sites você visitou.)
  • Bloqueie todos os dispositivos com um PIN ou senha em vez de dados biométricos, como seu rosto ou impressão digital.
  • Ative a limpeza remota de seus dispositivos e deixe instruções claras com alguém de sua confiança para deletar o conteúdo remotamente se você for detido.

Na fronteira:

  • Desligue seus dispositivos para ativar a criptografia de disco.
  • Fique de olho nos seus dispositivos enquanto eles passam pela segurança.
  • Não ligue o seu telefone até estar longe do aeroporto. Quaisquer chamadas e mensagens SMS serão roteadas através de um provedor de serviços local que pode coletar o conteúdo ou compartilhá-lo com as autoridades. Use uma VPN ao conectar-se ao Wi-Fi do aeroporto .

Se algum dispositivo for confiscado na fronteira ou algo for inserido nele, presuma que ele está comprometido e que qualquer informação contida nele foi copiada.

Nota dos editores: Este kit foi originalmente publicado em 30 de julho de 2019 e reanalisado para maior precisão na data indicada na parte superior.

More On:
Notas de Segurança