Segurança primeiro!

RESUMO: Mantenha-se seguro digital, física e psicologicamente. Esteja ciente dos riscos potenciais, adotando algumas boas práticas e ferramentas básicas para manter você, suas fontes humanas, e suas evidências, protegidos.

Manter-se seguro e vigilante é parte integrante de qualquer investigação. Quando embarcar em uma investigação, a segurança de suas fontes e colaboradores, a sua própria segurança, e a segurança dos seus dados, devem sempre ser uma prioridade.

Pense na segurança como parte integrante da mentalidade investigativa, como algo que você precisa planejar e pensar. Não só, mas pense nisso, também, como algo que pode lhe dar a percepção de como os seus rastros digitais e físicos podem expor informações. A segurança não deve ser simplesmente uma lista de tarefas que precisam ser cumpridas antes de prosseguir com sua investigação. Se você pensar na segurança como uma lista de tarefas, pode acabar tendo uma falsa sensação de proteção.

Aqui, vamos nos concentrar nos princípios e etapas que você precisa considerar antes de sair para coletar informações, verificá-las e investigar mais profundamente, tanto online quanto offline. Use esta seção como ponto de partida para o que será sua mentalidade de investigador, um conjunto de comportamentos e atitudes que devem, lentamente, se tornar incorporado e adaptado ao seu próprio contexto, estilo de trabalho e objetivos. Se voca cominar o básico, você facilmente será capaz de avançar e adotar mais técnicas e ferramentas de segurança relevantes para o seu perfil específico.

Não Cause Dano

Sempre pense e planeje suas pesquisas e ações de modo que aumente o impacto positivo e reduza o potencial impacto negativo nas pessoas com quem você trabalha, nas questões que você investiga e em si mesmo, entre outros. Isso faz parte do princípio «Não Cause Dano» (em inglês, Do No Harm), e como um investigador (ou um ativista, ou um pesquisador, etc.), você precisa integrá-lo a suas avaliações e decisões, em todos os momentos.

O princípio Não Cause Dano foi desenvolvido na área de apoio e intervenção humanitária, mas é válido em qualquer lugar. Ele assume que todos os seus comportamentos e ações têm consequências de algum tipo, sejam elas positivas, negativas ou ambos. **A ideia é NÃO causar mais risco e dano do que havia inicialmente lá **.

Existe uma fórmula muito simples que você pode ter em mente com relação a segurança:

Ações + Comportamentos = Consequências

Atenha-se a isso ao planejar seu próprio trabalho e ao avaliar sua próxima etapa. É uma fórmula essencial que ajuda você a analisar as formas nas quais nossas ações e comportamentos podem afetar a segurança e a condição dos outros, de si mesmo e das informações com as quais você trabalha.

Leia mais sobre o princípio Não Cause Dano e avaliações relacionadas que podem ajudar seu planejamento e ação no «Holistic Security Manual» (em português,»Manual Holístico de Segurança») - Security and the Do-No-Harm Approach (Segurança e a Abordagem Não Cause Dano).

O que você está protegendo?

A pergunta mais importante quando se trata de se manter seguro é: «O que exatamente você está protegendo?»

A lista pode ser resumida da seguinte forma:

• Contatos – Pessoas com quem você interage (fontes, colaboradores, colegas, pessoas próximas, etc.) e cujas informações você tem acesso para coletar / usar / armazenar .

• Você mesmo – É importante se manter seguro e minimizar os riscos e atenuar as ameaças a si mesmo.

• Dados – As informações que você coleta devem estar protegidas de serem acessadas por outros sem consentimento ou autorização, e devem ser recuperáveis em caso de perda, dano ou roubo.

Contexto é tudo / Não existe solução única

É melhor pensar em segurança como algo que se relaciona com o contexto em que você está trabalhando e com o que está tentando fazer. Por exemplo, envolver-se com uma pesquisa online como google dorking(vacilação do google) tem riscos diferentes em comparação com a realização de uma pesquisa de campo. Ao mesmo tempo, nem toda pesquisa de campo é tão arriscada; tudo se resume a uma série de fatores, sobre os quais você pode ler em nosso Guia de Pesquisa de Campo.

Ao pensar em segurança, primeiro considere a função que você est$1 $2ealizando, a partir de algumas perguntas a si mesmo, como:

• Quem/qual é o foco da sua investigação?

• Você está investigando um site na internet?

• Você está investigando uma empresa?

• Você vai sair para o campo?

• Você está fazendo entrevistas?

A natureza do que você está tentando fazer é importante e será determinante às ameaças que pode encontrar. Lidar com essas ameaças é decidir quais medidas você toma para manter a si mesmo, e aqueles com que você interage, seguros.

A segurança não pode ser dividida claramente em digital e não digital. O objetivo final é que você faça o seu trabalho enquanto garante que as pessoas estejam seguras. O que você faz em sua vida digital pode facilmente se espalhar para sua vida física e vice-versa. É por isso que é importante abordar a segurança holisticamente e entender de onde as ameaças podem surgir.

Resumidamente:

1. Segurança é sobre a função que você executa e o contexto em que a função é executada.

2. Segurança não pode ser claramente dividida em digital e não digital.

3. Sua segurança não pode ser abordada isoladamente da segurança de outras pessoas com quem você trabalha e se comunica.

Avaliação de riscos e atenuação de riscos

É vital pensar nos riscos e possíveis ameaças associadas ao tipo de pesquisa ou atividade de investigação que você está realizando em qualquer contexto - online e offline, ambiente amigável ou hostil etc. - e listar os riscos possíveis antes de iniciar qualquer investigação, bem como revisitá-los durante o processo. Isso é chamado de avaliação de risco. O objetivo de passar por esta avaliação é tentar reduzir os riscos que você pode correr tomando precauções apropriadas. O esforço de reduzir o risco é chamado de atenuação de risco.

Nota:

Quanto mais complicada e arriscada for a sua atividade, mais abrangentes sua avaliação e atenuação de risco devem ser.

A avaliação e atenuação de riscos são exercícios comuns em várias disciplinas envolvendo atividades online e de campo, incluindo pesquisas, investigações jornalísticas, investigações policiais ou missões de campo humanitárias.

Antes de iniciar seu trabalho, certifique-se de sempre ter um plano de risco e atenuação. Isso envolve encontrar maneiras de prevenir, responder e resolver problemas que possam surgir. Esse plano pode te ajudar a navegar pelos possíveis problemas destacados em sua avaliação de risco.

Dica:

Não há um modelo específico de avaliação e atenuação de riscos que você deve seguir como regra; você precisará adaptar este processo aos seus próprios métodos de pesquisa e ao seu contexto, bem como aos assuntos da sua investigação. Você teria diferentes graus e tipos de risco ou ameaça, se buscasse na internet relatórios de ONGs sobre abusos de direitos humanos cometidos por corporações,estando em casa; ou se realizasse pesquisa de campo para observar fatos e entrevistar pessoas afetadas. Da mesma forma, você teria que se planejar para diferentes tipos de riscos, se fotografasse o prédio da prefeitura no centro de uma cidade pacata, do que se precisasse fotografar uma área onde o desmatamento está em andamento, em um local isolado na mesma cidade.

Estes são apenas exemplos limitados, quanto mais você antecipar e analisar sua(s) situação(ões), melhor você fará a avaliação e atenuação dos riscos relacionados. Sua avaliação e o planejamento também será diferente se você pesquisar individualmente, em um grupo informal, ou como parte de uma organização. Uma organização provavelmente terá alguns procedimentos padrão de como você deve planejar, agir e se comportar, ao passo que se você agir sozinho, precisará ser extremamente cuidadoso com sua avaliação e precauções. Nós nunca recomendamos você tomar uma iniciativa sozinho ou investigar isoladamente. Colaboração com outras pessoas de confiança sempre oferecerá a você um melhor planejamento de atenuação de risco.

Na Tactical Tech, abordamos esse aspecto da avaliação de ameaças em nosso manual online Holistic Security(Segurança Holística), que analisa a segurança e a proteção de uma perspectiva mais ampla, que inclui bem-estar físico e mental enquanto trabalha individualmente ou em grupos. Você pode ler sobre percepções de riscos e ameaças e avaliações no capítulo Identifying and Analying Threats.(Identificando e Analisando Ameaças)

Imagem da matriz de ameaças do manual Holistic Security da Tactical Tech, fonte: https://holistic-security.tacticaltech.org/chapters/explore/2-8-identifying-and-analysing-threats.html. A ideia por trás dessa matriz é que as ameaças podem ser visualizadas e categorizadas à luz do seguinte: 1. - a probabilidade da ameaça ocorrer, e 2. - o impacto se, e quando, ocorrer. Verossimilhança e impacto são conceitos que nos ajudam a determinar o risco: quanto maior a probabilidade ou o impacto de uma ameaça, maior o risco. Se uma ameaça é menos provável ou teria um impacto menor, o risco é inferior.

Existem muitos modelos e guias de avaliação e atenuação de riscos por aí. Consultar alguns deles pode te ajudar a entender melhor o processo, para aplicá-lo à sua situação específica.

Aqui estão algumas sugestões para começar, mas saiba que cada artigo e guia são escritos de uma perspectiva particular ou para um determinado grupo, então tente ir além do vocabulário ou tarefas específicas mencionados em alguns deles, pois podem ser aplicados a muitos outros contextos não mencionados:

• Autodefesa contra Vigilância (Surveillance Self-Defense, cópia arquivada de Wayback Machine, disponível em inglês aqui), da Electronic Frontier Foundation - um recurso com conselhos, ferramentas e métodos para ficar atento e lidar com os riscos em potenciais situações de vigilância.

• Preparação pré-tarefa: resposta a emergências (Pre Assignment Preparations, cópia arquivada de Wayback Machine, disponível em inglês aqui), do Committee to Protect Journalists (CPJ) - uma lista de recursos disponíveis que podem ajudá-lo a aprender e preparar os elementos de segurança de suas investigações de campo. É relevante para qualquer pesquisador, não apenas jornalistas trabalhando em suas atribuições (em inglês).

• Gestão de risco para ONGs (Risk Management for NGOs, cópia arquivada de Wayback Machine, disponível em inglês aqui), das Nações Unidas na Somália. Observe que o guia é aplicável em geral, não apenas à Somália. {.is-info}

• Reduzindo conflito com qualquer pessoa, em qualquer lugar, a qualquer hora» - este é um download direto do PDF (De-escalate, Anyone, Anywhere, Anytime, cópia arquivada de Wayback Machine, disponível em inglês aqui), de RightResponse.org - uma introdução geral e não foi escrito especificamente para investigadores, mas pode ser usado como ponto de partida.

• Documentos de trabalho DSD sobre segurança de pesquisa (Working Papers on Research Security, cópia arquivada de Wayback Machine, disponível em inglês aqui) - guias avançados sobre segurança durante a pesquisa de campo em áreas perigosas, portanto, consulte-o com isso em mente.

• O que fazer quando as autoridades invadem sua casa (What to do when authorities raid your home, disponível em inglês), de Rede Global de Jornalismo Investigativo (GIJN) - etapas práticas a serem consideradas e realizadas quando sua casa/local de trabalho for invadido (ou caso você acredite que isso possa acontecer) como possível retaliação por seu trabalho investigativo.

Para facilitar um pouco o seu planejamento, e admitindo aqui que não se pode antecipar e avaliar todos os riscos - lembre-se, cada investigação é diferente! - abordaremos algumas formas concretas com que você pode atenuar potenciais riscos ao pesquisar online e offline/em campo. Em cada uma das seções deste Kit (de Como Investigar e O que investigar), você encontrará muito mais detalhes sobre avaliação e atenuação de riscos, bem como métodos recomendados e ferramentas a serem adotadas em situações específicas.

Segurança digital

Ao pensar em manter seus dados e informações seguros, você pode estar pensando em duas coisas distintas:

1. A primeira é sobre proteger seus dados para que não possam ser usados por um agente mal-intencionado para causar danos ou não constituir uma violação de privacidade.

2. A segunda é sobre mantê-los seguros para que você possa recuperá-los, caso sejam danificados ou perdidos.

Segurança digital é proteger seus dados. Esses dados podem ser seus:

• contatos

• localização

• senhas

• hábitos digitais

Esses dados podem estar disponíveis em :

• seus dispositivos

• suas comunicações

• suas contas online

• seu tráfego de internet

Mas lembre-se de que segurança não significa apenas ferramentas. A maior parte do que nos compromete não são as ferramentas técnicas que escolhemos, mas nosso comportamento. Os seres humanos são, muitas vezes, o elo mais fraco e mesmo se você estiver usando as ferramentas mais seguras, você ainda pode ter sua segurança violada.

Algumas coisas a ter em mente quando se pensa em segurança:

• o que você escolhe compartilhar

• como você se comunica

• o que você clica (ataques de phishing)

• quais serviços você escolhe

• com quem você escolhe compartilhar

É importante observar que a segurança digital não diz respeito apenas à sua compreensão dos riscos, mas aos passos que você toma para atenuar esses riscos. Pense na segurança como um esporte de grupo, onde todos dependemos uns dos outros. Quanto mais estamos todos coletivamente conscientes dos riscos e vulnerabilidades, melhor seremos em tomar medidas para atenuar esses riscos.

Se os dados forem violados por alguém acessando seus dispositivos, ou os de outra pessoa quem tem os mesmos dados, então os riscos ainda são os mesmos, mesmo se você tiver tomado todas as medidas para garantir que os dados sejam protegidos do seu lado. Por esta razão, você tem que prestar atenção à conscientização da segurança digital de outras pessoas ou plataformas e serviços com os quais você interage.

Nota:

Nem sempre é fácil colocar a segurança digital em pauta, mas certifique-se que as pessoas que trabalham com você entendam as ameaças da mesma forma que você entende, e tenha um plano se as coisas derem errado. Compartilhe seus planos de segurança e suas avaliações com colaboradores que estão trabalhando com você em uma investigação e certifique-se de que suas fontes também estejam cientes dos riscos.

Algumas práticas para ajudar a manter suas credenciais e dados seguros

• Use senhas longas

• Use autenticação de dois fatores

• Proteja suas senhas usando gerenciadores de senhas

• Certifique-se de ter ferramentas de recuperação configuradas sempre que possível, como adicionar um e-mail de recuperação

• Tenha backup dos dados

• Criptografe os dados

• A criptografia de ponta-a-ponta (E2EE, End-to-End Encryption) ajuda a garantir que o provedor de serviços não possa acessar seu conteúdo

• Esteja ciente de quem tem acesso aos seus dados

• Avalie as ferramentas que você usa

Alguns critérios para ajudá-lo a avaliar uma ferramenta digital

Verifique se a ferramenta:

• É Open source - O código-fonte(https://pt.wikipedia.org/wiki/C%C3%B3digo-fonte/) está publicamente disponível para você ou outros verem? Mesmo que você não consiga ler ou avaliar o código fonte, estar aberto significa que pode ser verificado e auditado por pessoas com conhecimento técnico.

• Fornece criptografia de ponta a ponta - Isso significa que os dados são criptografados antes de enviar para a parte receptora, e somente eles podem descriptografar os dados, nem mesmo o provedor de serviços.

• Não armazena dados desnecessariamente - Ferramentas que rastreiam mais dados do que eles precisam para executar sua função arriscam expor esses dados no futuro.

• Não vaza dados - Ao executar tarefas com essa ferramenta,nenhum dado desnecessário é inadvertidamente exposto ao público ou a terceiros.

• Não compartilha dados - Algumas ferramentas ou serviços compartilham seus dados ou os vende a terceiros; muitas vezes você pode descobrir sobre isso ao ler os Termos de Uso e/ou Política de Dados de uma ferramenta (aplicativo, software, etc.).

As escolhas na segurança

Ao escolher ferramentas, muitas vezes você tem uma escolha entre o que é útil, o que $1 $2ácil de usar e o seguro.

Embora muitas ferramentas tenham se concentrado mais na segurança, você ainda precisa avaliar a segurança em relação à funcionalidade e usabilidade. A chave aqui é entender o contexto em que você está e o que você está ganhando ou abrindo mão com uma ferramenta específica. É importante identificar os pontos fracos em vez de reforçar os pontos fortes. Normalmente os pontos mais fracos são os mais explorados e, por essas fragilidades, faz sentido investir em aspectos de segurança, ao invés de funcionalidade ou usabilidade, às vezes.

Por exemplo, uma ferramenta muito segura pode exigir a digitação de senha cada vez que você a usa, enquanto outra é mais facilmente acessada, salvando a senha para você. A questão é que, ao usar a ferramenta que demanda menos tempo, ela se torna suscetível de ser acessada, se seu dispositivo for roubado.

Escolhas na segurança (Security trade-off)- Tactical Tech

Usando ferramentas para investigação

Quaisquer que sejam as ferramentas que se decida usar, ferramentas que encontram vestígios também deixam rastros - na Internet tudo é rastreável, é importante entender que o problema está nas configurações padrão - sempre verifique duas ou mais vezes as configurações e leia os termos e condições - e teste antes de usar.

Dados e dispositivos

Certifique-se de ter seus dados e dispositivos seguros, você pode fazer isso garantindo que seus dispositivos sejam criptografados. Algumas práticas e ferramentas recomendadas são:

• Use Criptografia de disco completo: use ferramentas comoBitlocker(para Windows),FileVault (Mac), dm-crypt(Linux) para criptografar seu disco e os arquivos em seu computador (em inglês).

• Use VeraCrypt(em inglês) ou Cryptomator para criar «estojos» de arquivo para os dados que você armazena em seu dispositivo (em inglês).

• Faça backup de seus dados na nuvem e discos rígidos para protegê-los em caso de perda de dispositivos.

Enviando dados

Use serviços confiáveis seguros para enviar dados, como:

• OnionShare (em inglês)

• TresoritSend (em inglês)

Segurança online

Pesquisar e coletar evidências online - seja sobre questões sociais dados de mídia, registros online da empresa, detalhes de propriedade do domínio, história de websites, metadados de imagens, etc. - envolve a navegação em um grande número de plataformas, ferramentas e serviços. Alguns deles funcionam com o Navegador Tor e que permite proteger sua privacidade até certo ponto. Outros não apenas não funcionam no Tor, mas eles também exigem que você se inscreva com um endereço de e-mail, nome e outros detalhes pessoais. Dependendo do seu assunto de investigação, seu contexto e das pessoas com quem você trabalha, deixar rastros digitais enquanto você investigar online pode colocá-lo em maior risco.

Nota:

Certifique-se de que usar criptografia é legal na jurisdição em que você a está usando. Existem alguns lugares que impõem restrições ao uso de criptografia e usá-la pode colocar você em risco

Considere estas sugestões para técnicas e ferramentas de segurança digital que podem ajudar a proteger sua privacidade digital e aumentar a segurança de seus dispositivos e dados.

Contas

Alguns serviços online exigem que você crie uma conta, escolha um nome de usuário, forneça informações de pagamento, verifique endereços de e-mail ou se inscreva com seu perfil de mídia social para obter acesso a suas plataformas. Tente limitar sua exposição considerando estas opções:

• Crie uma conta de e-mail mais segura e compartimentada, o que você pode fazer facilmente com serviços como Tutanota ou Protonmail(ambos em inglês).

• Estabeleça um conjunto separado de contas de mídia social para usar com serviços que requerem os seus dados, de forma a compartimentalizar (separar) seu trabalho investigativo de sua identidade pessoal no digital.

• Crie uma «identidade» de uso único para uma investigação específica e descarte-a assim que a pesquisa for concluída. Isso pode ser necessário especialmente ao fazer um trabalho delicado.

Navegadores

Como alguém que está procurando descobrir verdades ocultas, você provavelmente js ptiliza a internet para comunicação pessoal e para algumas de suas pesquisas.

Nota:

É uma boa ideia usar navegadores diferentes para sua pesquisa e para navegação casual na web. Ao fazer isso, você está novamente praticando «compartimentalização» - usando um navegador para pesquisa e outro para todo o resto.

Recomendamos que você escolha um navegador «amivável à privacidade» para sua pesquisa, e evite fazer login em e-mail baseado na web e em mídias sociais nesse navegador. Isso evitará que muitos de seus dados pessoais sejam enviados para os sites que você visita.

Antes de usar qualquer uma das ferramentas online de que falamos aqui ou no Kit, é uma boa ideia baixar e instalar um desses navegadores. Em seguida, adicione uma camada extra de proteção testando o navegador com uma ferramenta como Cover Your Tracks(em inglês, Cubra Seus Rastros) ou BrowserLeaks(em inglês Vazamentos de Navegador). «Os resultados que você vê ao usar um navegador que respeita privacidade devem ser diferentes dos que aparecem quando você visita um navegador normal com Cover Your Tracks ou BrowserLeaks, que normalmente revela mais fraquezas.»

Nota: Impressão digital

Os navegadores podem ter uma «impressão digital» atribuída a eles, o que significa que mesmo que você não esteja logado nos serviços que rastreiam você, você pode ser identificado pelas várias configurações do seu navegador.

Você pode atenuar isso alterando seu comportamento (como abrir janelas de tamanhos diferentes), ou usando ferramentas que ofuscam as informações básicas do sistema.

Estes são alguns exemplos de ferramentas que podem ajudar a proteger sua privacidade enquanto pesquisar online, com os prós e contras de usá-los:

Navegador Tor

• Prós: Este é o melhor navegador amigável à privacidade. O código é publicado abertamente para que todos possam ver como funciona. Ele tem, embutido, uma maneira de alterar seu endereço IP e criptografar seu tráfego.

• Contra: Existem lugares no mundo onde o uso do Navegador Tor é bloqueado ou banido. Embora existam maneiras de contornar esses bloqueios, como Pontes Tor (Tor Bridges), usar o Tor também pode levantar suspeita sobre seu tráfego em tais lugares.

Nota:

Algumas páginas da web bloqueiam o Tor por padrão e você terá que decidir se os visita ou não com o Tor desligado.

Firefox

• Prós: bloqueia rastreadores e cookies com uma configuração chamada «Proteção aprimorada contra rastreamento», que é ativada automaticamente quando você define «Bloqueio de conteúdo» como «estrito».

• Contras: Você precisa ativar esta opção, ela fica desativada por padrão. Quando você usa o Firefox, é importante lembrar que seu endereço IP ainda é visível para os sites que você visita.

Brave

• Prós: Tenta proteger a privacidade sem a necessidade de alterar opções ou adição de complementos ou extensões. O Brave tem uma configuração de segurança para apagar todos os dados privados quando o navegador é fechado. Tem um recurso chamado “Shields” onde você pode bloquear anúncios e rastreadores. Isto também permite que você crie uma nova «Aba Privada com Tor», que usa a rede Tor para proteger seu endereço IP (o uso regular não o proteje).

Nota:

A guia «Private Tab with Tor» do Brave também permite que você acesse sites de serviço Tor de forma oculta - são sites que terminam em .onion e são configurados para serem acessados com segurança apenas por navegadores habilitados para Tor.

• Contras: Os recursos «pagamentos» ou «Pagamentos Brave», que permitem doações, devem ser evitadas, pois enviam dados que podem ser usados para identificar você. Ao usar o Brave, você deve usar a “Guia Privada com recurso Tor” para proteger seu endereço IP.

DuckDuckGo

• Prós: Este é um buscador amigável à privacidade (não um navegador) que afirma não coletar quaisquer dados pessoais sobre seus usuários. Você pode usar DuckDuckGo em combinação com o navegador Tor para preservar ainda mais sua privacidade.

• Contras: DuckDuckGo salva suas consultas de pesquisa, mas não coleta dados que possam identificá-la pessoalmente.

Observação:

Certifique-se de verificar as configurações padrão no DuckDuckGo e customize seu uso visitando: https://duckduckgo.com/settings

Redes Privadas Virtuais (VPNs)

Se você não pode usar o Tor, outra opção, embora menos eficaz em preservar seu anonimato, seria usar uma VPN (Rede Virtual Privada, ou Virtual Private Network, em inglês).

Nota:

VPNs funcionam disfarçando seu endereço IP, que pode ser usado pelos sites que você visita para mapear onde você está. Ao usar uma VPN, em vez de ver seu endereço IP real, os sites que você visita verão o IP de o provedor de VPN.

Visitar um site é como fazer uma ligação telefônica. O site que você visita pode ver o seu «número» - o seu endereço IP - que pode ser usado indicar sua localização.

Pense na VPN como um túnel de concreto entre você e o site que deseja visitar. A VPN cria um túnel em torno do seu tráfego para que não possa ser observado de fora e o encaminha através de um servidor intermediário de propriedade do seu provedor de VPN, para que seu tráfego seja direcionado a qualquer site que você visitar como se viesse de um local diferente de onde você realmente está. Nem o navegador da web, seu provedor de serviços de internet, nem o site que voca visita, verão seu IP ou poderão identificá-lo. Os sites verão apenas que seu tráfego vem do endereço IP do seu provedor de VPN.

Nota:

Para ilustrar, se você estiver pesquisando uma empresa e frequentemente visitar a página do conselho de administração – uma página que normalmente recebe muito pouco tráfego - suas visitas repetidas a um local específico podem tornar a empresa ciente de sua pesquisa.

Existem muitas opções de VPN e pode ser difícil decidir qual deles escolher. Para aumentar a confusão, a maioria das avaliações e listagens de VPN não são independentes, algumas são realmente tendenciosas. Para uma análise mais equilibrada, sugerimos começar lendo as avaliações de VPN de Safety Detectives.

É recomendável que você escolha uma empresa de VPN que afirme não registrar logs de seu tráfego. Embora você deva evitar a maioria das VPNs gratuitas, porque eles geralmente financiam suas operações vendendo os registros de tráfego (traffic log - registros de quais sites os usuários visitam via VPN), existem alguns respeitáveis, recomendamos: Bitmask, Riseup VPN, Psiphon,Lantern.

Comunicação

Comunicar-se com segurança é um aspecto vital da investigação, ainda mais no mundo digital. A comunicação interceptada é um dos maiores riscos que podem comprometer suas fontes, você mesmo ou o sigilo das informações que você pode estar coletando. Escolher as ferramentas certas é particularmente importante quando você se torna dependente dos outros.

Frequentemente, você sempre se comunica por meio de mensagens de e-mail e aplicativos de mensagens. Sempre que possível, use e-mail criptografado - PGP /Pretty Good Privacy - em sua comunicação por e-mail com colaboradores, fontes e entrevistados.

Nota sobre PGP:

O PGP criptografa o conteúdo de um e-mail. No entanto, não criptografa os metadados, sobre o e-mail. Os metadados podem ser o remetente, o destinatário, linha de assunto, hora de envio, e várias outras informações no cabeçalho do e-mail. Isso significa que muita informação ainda pode ser extraída de e-mails que são criptografados com PGP, mas não o conteúdo da própria mensagem.

Para chamadas e mensagens, existem diferentes aplicações com níveis avançados de criptografia e privacidade, como Signal ou Wire. Eles são preferíveis, em comparação com WhatsApp ou Telegram, embora os últimos sejam de uso mais comum, e você talvez encontre pessoas que não podem ser acessadas através dos outros aplicativos, mais seguros. Vale ressaltar que nem todos esses aplicativos estão disponíveis em todos os lugares, e há regiões onde o uso de Wire, por exemplo, seria impossível porque está bloqueado.

Nota:

Confira o guia Mantendo sua comunicação digital Privada, de Security-in-a-Box, para detalhes sobre como o PGP funciona e como adaptar a criptografia no seu caso, bem como para dicas mais extensas, ferramentas e métodos para manter sua comunicação digital tão privada quanto possível.

Quando você é forçado a confiar em formas convencionais de comunicação - chamadas telefônicas não criptografadas, telefones fixos etc…, - certifique-se de fornecer apenas o mínimo de informações ao seu interlocutor e tente estabelecer com antecedência quais detalhes são menos arriscados para se comunicar com a pessoa do outro lado da linha. Quando temer ameaças e vigilância, use os métodos criptografados descritos acima para entrar em contato com alguém próximo às suas fontes, que possa ajudar a organizar uma reunião.

Nota:

É muito importante observar que todo celular é rastreável por padrão e não há nada que você possa fazer sobre isso. É assim que a telefonia celular funciona - provedores de sinal sabem onde estão todos os aparelhos, o acesso à sua rede é 24h/7 (24 horas por dia, 7 dias da semana). Essa rastreabilidade de dispositivos pode também pode ser expandida ao habilitar o rastreamento de localização, que pode usar GPS, WIFI, Bluetooth etc. - o que torna o rastreamento mais preciso e permite que terceiros (além do seu provedor) possam acessar sua localização e dados, caso desejem.

Ocasionalmente, se você acha que seu telefone pode ser monitorado, considere usar um telefone descartável - um telefone descartável que você possa usar em uma, ou algumas ocasiões, que não esteja ligado a você, ou que você possa descartar facilmente.

Observe que trocar de dispositivos não é algo fácil de se fazer, quanto mais dispositivos você traz consigo, melhor pode encontrar, coletar e gerenciar informação - mas com mais equipamentos você aumenta os riscos associados a esses dispositivos. Um smartphone pode ser extremamente útil, mas sempre será um dispositivo de rastreamento. Decida cuidadosamente o que você leva e quais riscos estão associados a isso - tome decisões conscientes - e se você correr riscos, não os faça em nome de outros. Um dispositivo pode levar você em segurança a uma reunião e voltar - mas pode expor sua fonte para sempre.

O Projeto Guardian cria aplicativos seguros, fáceis de usar, como parte do objetivo de fornecer soluções focadas em segurança. Você pode encontrar aplicativos recomendados, viáveis, e testados, no site.

segurança de campo

As investigações de campo envolvem mais riscos físicos do que trabalhar atrás de um computador. Viajar para novos lugares, conversar com pessoas, filmar ou usar certos equipamentos podem fazer você parecer suspeito em alguns contextos. É por isso que planejar, realizar uma avaliação de risco e considerar as possíveis consequências de suas ações é vital, mesmo se você tiver certeza que sua atividade é de baixo risco. Não há regras rígidas para uma avaliação de risco, mas certifique-se de ter um plano claro estabelecido com antecedência, saber quem são seus contatos importantes e quais indivíduos ou organizações poderiam fornecer assistência em campo.

Aqui estão alguns aspectos essenciais a serem considerados ao avaliar sua situação:

• Se a sua atividade inclui entrevistas com fontes confidenciais ou vulneráveis, aborde os riscos aos quais estão expostos em sua avaliação. Discuta com eles quaisquer vulnerabilidades que possam enfrentar enquanto estiverem colaborando com você.

• Tome cuidado ao decidir a ordem em que você coleta informações, as pessoas com quem você as compartilha, quando/onde você marca o encontro, onde e como você armazena as informações que você coletou. Comece com pesquisa do pano de fundo e contexto, e entrevistas e trabalho de campo menos arriscadas, e avance conforme você coleta mais informações, sempre reavaliando os riscos.

• Cuidado com a divulgação de informações confidenciais ou sensíveis sobre sua investigação e fontes. Isso pode colocar você e seus colaboradores em risco dependendo do contexto e questões que você está pesquisando.

Nota:

O risco é herdado. Se você é alguém com pouco ou nenhum risco (você deve viver e trabalhar em uma área segura), mas você está entrevistando uma pessoa em situação de alto risco (vivendo em uma área perigosa, sofrendo pressão, trabalhando em questões controversas), você herda esse risco. Seu nível de risco será maior por um período de tempo antes e depois da entrevista. Se você entrevistar alguém para uma reportagem, ou artigo que será publicado, esteja preparado para o aumento do risco na hora da publicação. Ao investigar indivíduos em cargos de poder e influência, esteja preparado para um prolongamento do risco, se eles tomarem conhecimento de sua investigação.

Por outro lado, assim como você herda os riscos de outras pessoas, eles herdam o seu. Operar em uma área de baixo risco, ou ter um perfil de baixo risco, não significa que você não representa nenhum risco para os outros. Pelo contrário, você pode contribuir para aumentar o risco de outras pessoas com quem você interage. Isso pode acontecer quando seu comportamento normal, em uma área de baixo risco, te coloca em risco em outras áreas. Atos muito simples e normais, como se comunicar através de um celular numa rede móvel, pode ser seguro e não preocupar alguém em uma área de baixo risco, mas pode facilmente submeter alguém a perigo em uma área de alto risco. Portanto, o que muitas vezes pode acontecer é que alguém pode expor os outros simplesmente por não reconhecer o contexto daqueles com quem interage.

Mantendo sua localização segura

Vários aplicativos comuns, incluindo Google Maps e WhatsApp, permitem que você compartilhe sua localização em tempo real com pessoas específicas por um período limitado de tempo. Esse recurso pode ser útil ao conduzir pesquisas de campo porque podem permitir que um colega de confiança monitore onde você está, como uma medida de segurança.

Por outro lado, compartilhar sua localização em tempo real pode colocá-lo em risco se outras pessoas interessadas em seu paradeiro puderem acessar os dados que você compartilha. Ao pesquisar tópicos delicados, ou se suspeitar que pode estar sob vigilância, você deve evitar compartilhar ou armazenar sua localização sem usar criptografia.

Em vez disso, considere encontrar formas alternativas de monitorar sua rotina de movimentos diários durante a investigação, como marcar lugares e detalhes manualmente ou usando um mapa impresso. Em muitos casos, é mais sensato desativar tais recursos de compartilhamento de localização de seu telefone celular e outros dispositivos com funções de rastreamento de localização. A maioria dos smartphones permite que você faça isso em «Configurações de localização».

Além disso, lembre-se de que ameaças e vulnerabilidades digitais estão intimamente relacionadas à segurança física e podem afetá-lo, bem como na segurança física de outras pessoas conectadas a você.

Nota:

Os metadados da imagem podem revelar mais do que você deseja. É possível alguém usá-los para localizar na internet outras fotos que você, ou outra pessoa, fizeram com a mesma câmera, ou descobrir onde você mora se alguma das fotografias foi tirada em sua casa. Assim como você pode desejar preservar as informações de localização como parte de sua evidência, especialmente durante a pesquisa de campo, você deve, também, ser cauteloso sobre onde e como você compartilha imagens e outros dados baseados em localizações que você coleta.

Para mais leituras relacionadas a metadados, segurança e métodos de pesquisa, consulte estes recursos:

• *Por que os metadados são importantes – uma introdução de Autodefesa Contra Vigilância / EFF (Veja a lista inteira de tópicos sobre segurança em: https://ssd.eff.org/pt-br/)

• Behind the Data: Investigating Metadata(em inglês) – um guia com métodos, casos e ferramentas para rastreamento e verificação de metadados em diferentes contextos e plataformas online.

Para uma visão geral completa das ações e riscos relacionados ao conduzir investigações de campo, leia nosso guia do Kit «Longe de sua tela, no campo.»

Fatores mais importantes

Você encontrará situações em que sua percepção de gênero, raça, religião, e outros aspectos pessoais, afetarão sua segurança, como você pode fazer seu trabalho e como outras pessoas o aceitam ou se dirigem a você. Esteja ciente disso e certifique-se de estabelecer limites claros desde o começo para evitar reações indesejadas ou inesperadas. Pesquise o local, cultura, crenças e normas sociais dos lugares, comunidades e pessoas que você visita ou planeja conversar.

** Visite as seções do kit online «Segurança em primeiro lugar!» para obter conselhos detalhados aplicados a cada contexto de investigação: kit.exposingtheinvisible.org.**

---

Publicado em agosto de 2020 / atualizado em novembro de 2021
Traduzido para português em julho de 2023

Recursos

Artigos e Guias

• Asi Que Necesitas Hacer Una Videollamada (Então você precisa fazer uma chamada de vídeo), da organização Derechos Digitales, em espanhol. Um breve guia sobre como escolher as melhores ferramentas de videoconferência para suas necessidades e níveis de risco.

• Data Detox Kit (Kit de Desintoxicação de Dados) da Tactical Tech, em português, – guia passo a passo online e materiais interativos, que ajudam você a limpar seus rastros e estar mais ciente sobre suas práticas online (veja os fundamentos de privacidade aqui: https://datadetoxkit.org/pt/privacy/essentials/)

• Checklist de Segurança Digital (Digital Security Checklist) – lista de verificação de ferramentas que você deve/poderia ter ou usar para se manter seguro online (navegação, comunicações, armazenamento/compartilhamento de dados, etc.)

• Guia para ferramentas seguras de bate-papo em grupo e conferências, da Frontline Defenders, em português.

• Holistic Security (Segurança Holística), da Tactical Tech, em inglês – um recurso sobre segurança física e digital, e bem-estar ao pesquisar e investigar em ação.

• Ononymous, da Tactical Tech, em inglês – Vídeos e recursos sobre segurança para iniciantes.

• Segurança primeiro, tutorial por Escola de Dados Brasil.

• Security in a Box da Tactical Tech, em inglês – guias e recomendações sobre ferramentas e práticas para mantê-lo seguro online (exceto para as seções rotuladas como “sem manutenção”)

• Autodefesa Contra Vigilância, da Electronic Frontier Foundation (EFF), em português - noções básicas sobre como funciona a vigilância e dicas, ferramentas, tutoriais para uma comunicação digital mais segura.

• Technology Is Stupid: How to choose tech for remote working (A tecnologia é estúpida: como escolher a tecnologia para o trabalho remoto), da Tactical Tech, em inglês – Uma discussão sobre segurança e ética na escolha de software.

• What to Do When Authorities Raid Your Home (O que fazer quando as autoridades invadem sua casa), por Julia Krasnikova, 22 de abril de 2021, para GIJN, em inglês - etapas práticas a serem consideradas e realizadas conforme recomendado pelos principais repórteres investigativos do mundo.

Ferramentas e Bancos de Dados

Navegadores e motores de busca

• Navegador TOR - navegador de internet amigável à privacidade

• Navegador Brave - navegador que respeita a privacidade e bloqueia rastreadores

• DuckDuckGo - mecanismo de busca que não rastreia suas buscas e não mantém um histórico com eles

• HTTPS Everywhere - Extensão do Firefox, Chrome e Opera que criptografa suas comunicações em muitos sites importantes, tornando seu navegador mais seguro

• PrivacyBadger - complemento que bloqueia rastreadores invisíveis que você interagem com você na web

VPN - Rede Privada Virtual

• Safety Detectives - Avaliações de VPN para ajudar a decidir qual VPN usar. É recomendado que você escolha uma empresa de VPN que declare não registrar logs de seu tráfego.

• A maioria das VPNs gratuitas deve ser evitada pois muitas vezes estão financiando suas operações vendendo seus dados de logs (registros dos sites que os usuários visitam por meio da VPN). No entanto, existem algumas que podemos endossar, como: Bitmask, Riseup VPN, Psiphon, Lantern, ProtonVPN.

Criptografia de disco e arquivo

• VeraCrypt - software gratuito de criptografia de disco de código aberto para Windows, Mac OSX e Linux

• Cryptomator - ferramenta gratuita de criptografia de arquivos de código aberto, para uso online apenas, criptografa seus dados e permite fazer uploads protegidos em seu serviço de nuvem, unidades de armazenamento, etc…

Criptografia de e-mail

• GPG - para criptografia de e-mail

• Mailvelope - um complemento do navegador que você pode usar no Firefox ou Chrome para criptografar com segurança seus e-mails com PGP / Pretty Good Privaccy

• Thunderbird - Um servidor de e-mail gratuito que pode ser usado com um plugin chamado Enigmail para oferecer PGP integrado

Gerenciadores de senhas

• KeepasXC - gerenciador para armazenamento seguro de senhas offline

• LastPass - para gerenciamento seguro de senhas online

Comunicações

• Signal - aplicativo de comunicação criptografada para telefone e Computadores

• WIRE (em inglês) - aplicativo de comunicação criptografada disponível gratuitamente em dispositivos Android e iphones, também disponíveis para computadores

Outros

• What is My IP - mostra seu endereço IP, localização e outros detalhes como vistos pelos sites que você visita, e também permite que você localize detalhes de outras pessoas por seus endereços IP.

• MyLocation - semelhante ao anterior, ajuda no rastreamento de IP

• Cover Your Tracks - mostra como seu navegador é rastreável e onde estão suas vulnerabilidades, assim você pode tomar melhores medidas de segurança.

• Greenbeam - Extensão do Mozilla Firefox que permite que você veja os rastreadores nos sites que você visita. Tanto dos sites em si (first party), quanto de terceiros (third party).

• Have I Been Pwned - mostra se o seu e-mail e outros serviços protegidos por senha foram hackeados e onde as vulnerabilidades estão.

• How Secure is my Password - site que permite testar senha/frases secretas fortes, também mostra como é fácil/difícil de quebrá-las. Aviso: não use suas senhas reais lá.

• Ferramenta de Avaliação de Segurança do Jornalista - uma ferramenta gratuita de autoavaliação baseada em pesquisa que oferece soluções práticas adaptadas ao perfil e às vulnerabilidades de cada redação. Por GIJN e Ford Foundation.

Glossário

term-fulldisk

Criptografia de disco completo – também chamada de FDE (Full Disk Encryption), é criptografia que ocorre em um nível de dispositivo, disco, drive ou hardware. Por exemplo, criptografar todo o disco do computador também criptografaria automaticamente todos os dados salvos nele.

term-metadata

Metadados – informações que descrevem as propriedades de um arquivo, seja imagem, documento, gravação de som, mapa etc. Por exemplo, o conteúdo de uma imagem são os elementos visíveis nela, enquanto a data em que a imagem foi capturada, a localização e o dispositivo em que foi capturada são chamados de metadados.

term-open-source

Código aberto - No contexto de software, o “código” ou as instruções que constituem um programa de software ou aplicativo, em um dispositivo, são disponibilizados para leitura.

term-sourcecode

Código-fonte - O código subjacente, escrito por programadores de computador, que permite a criação de software ou sites. A leitura do código-fonte de um determinada ferramenta ou site pode revelar como funciona e se pode ser inseguro ou malicioso.

term-tor

Navegador Tor – um navegador que mantém suas atividades online mais privadas. Ele disfarça sua identidade e protege seu tráfego na web de várias formas de vigilância na internet. Também pode ser usado para ignorar certos filtros da Internet.