Criptografando para uma lista de email

Para podermos manter criptografas as conversas que realizamos nas listas de email, tem um jeito bem simples que é o seguinte:

1) Todas as pessoas da lista criam as chaves pgp para seus emails.

2) Essas chaves são trocadas preferencialmente ao vivo entre as pessoas que compõem a lista.

3) (Estou assumindo que você não abre seus emails no webmail!) Abra seu cliente de email que está integrado ao enigmail [1, 2] (por exemplo, o Thunderbird), clique naquele botão de menu, que está escondido no lado direito parte de cima, vá na opção “Enigmail” e depois clique em “Editar Regras por Destinatários” (ou em inglês, como mostra a imagem)

4) Adicione uma nova regra.

5) Coloque o endereço da lista no campo mais acima e depois selecione as chaves públicas das pessoas que compõem a lista (inclusive a sua própria).

 

Pronto! Agora todo mundo da lista receberá mensagens criptografadas que só poderão ser lidas por quem estiver contido naquela “regra”. Lembre-se que todo mundo da lista deverá utilizar a mesma configuração de “regra para destinatário”.

[FLORIPA] Oficina “Ferramentas Digitais para Organização Coletiva”

Na próxima quinta-feira, dia 13/set, acontece a oficina “Ferramentas digitais para organização coletiva”. Iremos apresentar e mostrar como funcionam algumas opções de ferramentas para organização coletiva que são usadas há quase duas décadas por inúmeros grupos ativistas pelo mundo. Nesse tempo, muito se melhorou em termos de segurança da comunicação, porém nossas necessidades quando estamos em coletivos, continuam as mesmas: nos comunicarmos, organizar e debater nossas ideias, compartilhar materiais e tomar decisões. Toda tecnologia possui valores codificados em sua estrutura que nós não conseguimos alterar, por mais que “usemos do nosso jeito”. Por isso recomendamos coletivos de tecnologia como Riseup ou Autistici que desenvolvem softwares a partir de valores como justiça social, privacidade e autonomia. Divulguem e apareçam!

Quando: dia 13 / set, quinta
Hora: 19h00
Local: Tarrafa Hackerspaço

Recuperando Arquivos com Linux

 

Discos rígidos e outros dispositivos de armazenamento estão sujeitos a falhas. Algumas vezes essas falhas podem ser causadas por vírus ou malware, outras vezes por corrupção dos dados, erro humano, ou também falha mecânica. Independente da razão, a perda de dados é no melhor dos casos uma dor de cabeça, mas pode significar problemas muito maiores dependendo dos dados envolvidos.

Muitas vezes supomos que a recuperação de dados de um disco é um serviço especializado, de alta complexidade e que necessita mão-de-obra técnica. Mas nos casos onde a falha não é mecânica é possível recuperar parcial ou totalmente os dados através de software desenvolvido especificamente para isso. Nesse tutorial vamos falar de duas ferramentas de recuperação de dados, TestDisk e Foremost. Ambas as ferramentas estão disponíveis para as principais distribuições Gnu/Linux e podem ser instaladas através de gerenciadores de pacotes como o APT, Synaptic ou Ubuntu Software Center.

Testdisk

Com o TestDisk além de restaurar arquivos corrompidos e excluídos também é possível alterar e escrever partições e tentar recuperar discos que não estão inicializando normalmente.

O programa deve ser rodado no terminal com privilégios administrativos:

$ sudo testdisk

A partir desse comando o programa apresenta uma interface de texto com diversas opções. Para recuperar arquivos, devemos seguir os seguintes passos. Primeiro, precisamos escolher entre criar ou não um arquivo de log da operação, essa opção não influencia nos próximos passos. Depois dessa escolha, o programa listará os dispositivos de armazenamento de dados instalados e montados na sua máquina. Você deve ser capaz de identificar em qual deles quer buscar pelos arquivos perdidos. Selecionando o disco correto, agora é hora de escolher qual formato de partição o programa deve buscar, na grande maioria dos casos deve-se selecionar Intel (para discos formatados como ext2, ext3, NTFS, FAT32 entre outros). Agora selecione [Analyse]. O programa iniciará buscando por partições e em alguns casos pode encontrar antigas partições que não nos interessam ou que ele é incapaz de recuperar. Pressione [Continue] até encontrar a partição procurada. Ao encontrar é possível listar todos os arquivos contidos na partição com a tecla P (shift+p) e então copiar os arquivos. Os principais comandos para realizar operações com os arquivos são os seguintes:

  • : para selecionar o diretório / arquivo destacada
  • a para selecionar todos os diretórios / arquivos
  • c para copiar o arquivo destacado
  • C (shift+c) para copiar todos os arquivos
  • seta direita, seta esquerda para navegar pelos diretórios

Uma vez copiados os arquivos o programa automaticamente nos direciona para nossa pasta pessoal onde podemos selecionar onde queremos colar os arquivos. A tecla para colar os arquivos é C. Esse processo pode demorar bastante tempo.

Foremost

Foremost é uma ferramenta muito completa de data carving . O Foremost busca por cabeçalhos e rodapés dos arquivos no disco e os reconstrói a partir dessas informações. É um processo mais complexo mas que consegue recuperar dados que estão mais corrompidos ou danificados.

Com os comandos básicos é possível executar uma varredura do disco alvo copiando os arquivos de forma rápida através de filtragens por formato de arquivo. Supondo que os arquivos procurados sejam imagens, uma busca exclusiva por jpg e png se torna muito mais ágil do que buscar por todos os arquivos contidos no disco. Os principais comandos são os seguintes:

  • -t antecede uma lista separada por vírgulas de formatos de arquivos que você quer buscar
  • -v modo verbose, exibe informações do andamento da operação de cópia
  • -o o diretório onde você quer salvar os arquivos de saída (output) da sua varredur
  • -i o diretório onde você quer efetuar a busca (input), pode ser um HD, ou outras imagens de disco de diferentes formatos

por exemplo:
$ sudo foremost -t pdf,jpg,odt -o pastadesaida -v -i /dev/sdb

Nesse exemplo utilizamos o para obter privilégios administrativos e fazemos uma busca por arquivos pdf, jpg e odt no dispositivo e copiamos os arquivos que correspondem a essa busca em diretório chamado .

Além dessas duas ferramentas que apresentamos aqui, existem várias outras opções livres e de código aberto para recuperação dados. Algumas são mais especializadas e outras amplas demais. Para problemas mais específicos ou complexos essas outras opções podem ser úteis. Lembre-se:  mantenha sempre um backup de seus informações mais sensíveis!

Instalando LineageOS em seu Android

Hoje em dia smartphones são ferramentas que acompanham a maioria de nós o tempo todo. Esses dispositivos se tornaram computadores de bolso que utilizamos para fazer muito mais do que apenas ligações. Com eles tiramos fotos e gravamos vídeos, acessamos a internet, checamos nossos emails, interagimos em redes sociais e principalmente trocamos mensagens instantâneas com nossos contatos. Porém, ao contrário de computadores comuns, smartphones são computadores sobre os quais temos muito pouco controle.

Atualmente apenas dois sistemas operacionais de dispositivos móveis dominam o mercado, iOS desenvolvido pela Apple e Android desenvolvido pela Google. Enquanto que o primeiro é um sistema operacional proprietário, ou seja, uma caixa preta de código fechado, o segundo é parcialmente livre. Parcialmente porque o Android é composto de uma base livre com código aberto chamada de Android Open Source Project (AOSP) mas também de uma base proprietária, ambas desenvolvidas pela Google. Apesar de ser muitas vezes considerado um software livre, essa porção proprietária afeta a confiança do sistema como um todo. É impossível saber com certeza quais dados estão sendo coletados pela Google ou se existe algum tipo de backdoor escondido no sistema. Além disso, na maioria das vezes os dispositivos vem com um número limitado de atualizações o que faz com que fiquemos trancados em versões ultrapassadas e vulneráveis do Android. Outro problema corriqueiro é a falta de espaço de armazenamento porque não é possível excluir apps instalados pelo fabricante e que não utilizamos. Isso tudo somado ao fato que os smartphones são localizadores de alta precisão, constantemente ligados à antenas das operadoras, à sistemas de GPS e todo o tipo de sensores torna esse tipo de dispositivo um pesadelo em termos de segurança.

No entanto existem alternativas de sistemas operacionais para dispositivos móveis totalmente livres. Esses sistemas permitem que xs usuárixs reganhem certo controle sobre seus dispositivos, reduzindo a coleta de dados pela Google e aumentando a vida útil de seu aparelho. Uma dessas alternativas mais bem desenvolvidas e documentadas se chama LineageOS, uma distribuição baseada na porção livre do Android.

>>> Leia mais sobre outras alternativas aos serviços da Google
>>> Leia mais sobre as intenções da Google em Foda-se o Google [PDF]

O processo todo de instalação de um novo sistema operacional (também conhecidos como ROMs) em seu dispositivo varia bastante dependendo da marca e do modelo do celular, e alguns dispositivos sequer possuem maneiras fáceis de fazer essa troca. Nessa postagem vamos fazer um passo-a-passo de como instalar o LineageOS em celulares Samsung.

Antes de começar o tutorial é importante que você tenha em mãos um computador GNU/Linux com adb e heimdall instalados, um celular compatível, uma ferramenta de recuperação (sugerimos TWRP) especifica para o modelo de seu celular, o ROM especifico para o modelo de seu celular e um cabo USB>MicroUSB.

IMPORTANTE: Consulte a lista de modelos compatíveis no site do LineagesOS, como cada ROM é específico para cada modelo, tentar instalar um ROM de outro modelo pode deixar o celular inoperável.

1. No seu celular, libere a depuração USB e ADB nas configurações de desenvolvedor do celular. As vezes as configurações de desenvolvedor estão escondidas. Para encontrá-las você deve entrar no menu “Sobre o Dispositivo”(About) e clicar repetidamente em “Número da Versão” (Build Number).
2. Desligue seu dispositivo, e ligue novamente em modo download segurando vol para baixo + home + power e só então conecte o celular ao computador através do cabo USB. Aceita a responsabilidade de alterar o conteúdo de seu celular navegando com as teclas de volume conforme indicado na tela.
3.  Verifique se a conexão entre o celular e o computadro estão funcionando corretamente. Abra um terminal no seu computador e digite:

heimdall print-pit

Vários dados serão impressos na sua tela e o celular vai reiniciar em modo normal.

4. Desconecte o celular do computador e ligue-o novamente em modo download. Conecte ao computador e instale o arquivo de recuperação que você baixou para o celular usando o seguinte comando:

heimdall flash --BOOT o_nome_do_arquivo_twrp.img --RECOVERY o_nome_do_arquivo_twrp.img

Uma barra de progresso vai indicar o andamento da instalação. Aguarde o término. Uma vez que o processo estiver concluído, o celular irá reinicializar em modo de recuperação.
5. Passe o arquivo do LineageOS que você baixou para o arquivo raiz do cartão de memória do celular usando o adb. Em um terminal dentro da pasta onde o arquivo se encontra digite:

adb push nomedoarquivoLineageOS.zip /sdcard/

6. Faça o backup do seu sistema operacional atual selecionando a opção backup do TWRP.
7. Limpe seu dispositivo com a ferramenta Wipe >Advanced Wipe e selecionando os ítens cache, system e data
8. Volte ao menu principal do TWRP e selecione instalar.

Pronto! Agora é só aproveitar um sistema operacional livre, com atualizações regulares e muitas opções de customizações. Alguns aplicativos populares dependem de serviços proprietários da Google e portanto podem não funcionar perfeitamente. Sempre que possível prefira apps livres. Sugerimos a “loja” de apps F-Droid que tem uma vasta seleção de aplicativos livres.

 

 

Lançamento do livro Manual de Segurança Holística na CryptoRave 2018


Este ano estaremos presentes novamente na CryptoRave, o maior evento de criptografia do mundo!
Dessa vez, lançaremos o Manual de Segurança Holística, um livro escrito pelo coletivo
Tactical Technology, cuja tradução concluímos recentemente.

O livro é um guia de treinamento em Cultura de Segurança a partir de uma compreensão “holística”,
ou seja, uma abordagem que leva em conta além do impacto físico, o impacto em nossa integridade psicológica.

O Manual de Segurança Holistica é baseado na compreensão de que segurança é um conceito
profundamente pessoal, subjetivo e influenciado pelo genêro de cada pessoa. Quando trabalhamos
para trazer uma mudança social positiva, podemos enfrentar ameaças e ataques persistentes
que impactam nossa integridade física e psicológica, e muitas vezes afetam nossas amizades
e família. Entretanto, ter uma abordagem de segurança organizada pode nos ajudar a manter
nosso trabalho e nós mesmos ativos.

Este guia é o primeiro a adotar explicitamente uma abordagem “holística” com relação a
segurança e estratégias de proteção para defensores de direitos humanos. Resumidamente,
isso significa que ao invés de olhar separadamente para a importância de nossa segurança
digital, nosso bem-estar psicossocial e dos processos de segurança organizacionais, essa
abordagem tenta integrar tudo isso e destacar suas interrelações.

Nessa atividade de lançamento, planejamos apresentar brevemente o conteúdo desse manual através de exemplos
de práticas e dinâmicas de treinamento e prática de cultura de segurança.

A atividade acontece no dia 5 de Maio, às 8h00 da manhã, no espaço Ian Murdock.

Além disso, estaremos presentes durante todo o evento com nossa banca de livros e zines.

Nos vemos lá!

Escolhendo Softwares mais Seguros

https://i.kinja-img.com/gawker-media/image/upload/s--L6r0n9ZG--/c_scale,fl_progressive,q_80,w_800/18q38gyuqtgufjpg.jpg

Existe uma infinidade de opções na hora de escolher qual software ou serviço utilizar para lidar com necessidades simples como receber e gerenciar emails ou se conectar com nossxs amigxs. Porém, muitos dos softwares populares ignoram sua privacidade ao vender seus dados para qualquer empresa disposta a comprá-los. Alguns serviços vão ainda mais longe e hospedam seus dados diretamente em servidores de agências de espionagem e repressão como a NSA, a CIA e a GCHQ. Essa violação absurda do direito à privacidade faz parte de um programa do governo dos EUA chamado Prism, e veio a tona através dos documentos vazados por Edward Snowden.

No entanto, existem muitos serviços menos conhecidos que estão comprometidos com a privacidade e a segurança dos dados de seus usuárixs. São serviços baseados em software com código aberto e desenvolvidos por uma comunidade engajada em lutar pela internet livre. Para facilitar o acesso a esse tipo de software e promover o uso dessas ferramentas, existem dois sites que reúnem uma lista delas. Esses sites comparam os serviços proprietários e espiões com serviços similares, porém livres. Fica fácil trocar para software livre ao invés de utilizar programas que vendem seus dados e os compartilham com agências espiãs. Dê uma olhada nessas listas e mude para opções mais seguras.

Privacy Tools

Prism Break

[Oficina] Segurança Digital para Ativistas em Belo Horizonte!

Atualmente a tecnologia permeia nossas vidas: temos smartphones em nossos bolsos, smartTVs em nossas salas, câmeras de vigilância por toda a cidade, reconhecimento facial no transporte público, e redes sociais para nos conectar a isso tudo. Mais do que isso, a tecnologia media boa parte das nossas interações: nossas amizades, nossas conversas, nossos eventos, nosso consumo e até mesmo nosso ativismo.

Todos os nossos dados estão expostos e sendo filtrados por métodos de vigilância de arrasto. Quando nos engajamos na luta para promover uma mudança social, nossos dados estão ainda mais em risco. É imprescindivel que tenhamos noções básicas de autodefesa digital e retomemos o poder de escolher o que queremos compartilhar e com quem.

Os coletivos Coisa Preta e mar1sc0tron promovem uma Oficina de Segurança Digital para Ativistas na Infoshop A Gata Preta, no sábado, 15 de julho, em Belo Horizonte. Vamos falar um pouco sobre a estrutura básica da comunicação pela internet, cultura de segurança, segurança da informação e ferramentas de autodefesa digital.

A Gata Preta fica no Edificio Maletta, na Rua da Bahia, 1148 sobreloja 35, Centro – Belo Horizonte.
A oficina inicia às 16h.
Traga seu computador e celular para instalarmos algumas das ferramentas que vamos estar apresentando.
A atividade é gratuita, mas haverá uma caixinha de colaborações espontâneas para cobrirmos os custos do evento.

[Livro] A Criptografia Funciona: Como Proteger Sua Privacidade na Era da Vigilância em Massa

Andamos tratando aqui no blog sobre criptografia PGP e algumas das maneiras que ela pode ser implementada. Hoje estamos compartilhando um guia publicado em 2013 que oferece um rápido panorama sobre o potencial da criptografia seguido de alguns tutoriais passo a passo. Os programas abordados nos tutoriais são Tor, Pidgin e OTR, Email e PGP e Tails. Esse artigo foi escrito por Micah Lee, da Freedom of the Press Foundation. logo após os primeiros vazamentos feitos por Edward Snowden. Esta versão em português contém alguns erros de ortografia mas que não afetam o conteúdo prático.

Baixe o PDF aqui.

Como Criptografar seus Emails de Forma Fácil

Quando enviamos um e-mail para outras pessoas é como se enviássemos cartões postais, quer dizer toda a mensagem fica exposta para quem quiser interceptar. Em alguns casos, a mensagem até fica protegida enquanto está em trânsito, mas uma vez que chega nos servidores, fica legível e a disposição das empresas que hospedam nossas contas.

Usar métodos de criptografia para impedir que leiam seus e-mails muitas vezes é percebido como uma tarefa complexa. Porém com as ferramentas certas, podemos criptografar nossas mensagens com uns poucos cliques. Isso é uma saída para quando precisamos trocar mensagens mais intimas ou proteger nossas conspirações para organizar piqueniques subversivos. Na verdade, a criptografia serve para todos os momentos em que não queremos que nossos dados sejam observados, vendidos, gravados e guardados para posterioridade, independente do que estamos falando. Nesse tutorial vamos ensinar como instalar os plugins necessários para criar sua chave e criptografar suas mensagens no cliente de email.

Breve História

Paul Zimmermann, um ativista anti-nuclear norte-americano, desenvolveu em 1991 a primeira versão do programa de criptografia PGP. O nome vem da sigla em inglês Pretty Good Privacy (em português algo como Privacidade Muito Boa) e tinha o intuito de permitir a postagem anônima em fóruns online, impedindo que o movimento anti-nuclear fosse vigiado pelo Estado. O programa se espalhou rapidamente, principalmente por ter sido lançado gratuitamente e com código aberto incluído com todas as cópias. Em pouco tempo estava sendo usado ao redor do mundo por dissidentes, ativistas e cypherpunks.

Nos anos que se seguiram Zimmermann enfrentou várias batalhas judiciais em função de ter sido responsável pelo desenvolvimento do PGP, no entanto seguiu desenvolvendo melhorias no código. Na metade da década de 90, Zimmermann e seus colegas formaram uma empresa para seguir com o desenvolvimento do PGP. Posteriormente, essa empresa foi adquirida por outras companhias, entre elas a Symantec. Em 1997, Zimmermann e sua equipe propuseram para a IETF (Internet Engineering Task Force) a criação de um padrão de criptografia que pudesse ser intercambiável com o protocolo PGP. Esse padrão veio a ser chamado OpenPGP e a partir daí muitos programas começaram a ser desenvolvidos em torno desse protocolo. A Free Software Foundation desenvolveu o programa Gnu Privacy Guard (GPG ou GnuPG) que é aplicado por várias interfaces. Outros programas estão disponíveis em diferentes linguagens e para diferentes plataformas, incluindo Android e iOS.

Como Funciona

A criptografia PGP  funciona com o uso de um par de chaves assimétricas geradas aleatoriamente. Cada pessoa possui seu par de chaves, sendo uma chave pública e a outra privada. A chave privada é secreta, deve ser guardada com segurança e nunca compartilhada com nenhum pessoa, é com ela que você vai desembaralhar as mensagens criptografadas que receber. Já a chave pública será utilizada por quem quiser lhe enviar uma mensagem criptografada, por isso é bom que você divulgue ela para seus contatos. Abordamos mais a fundo esse assunto nessa postagem.

Existem muitos usos para a criptografia por chaves assimétricas além de segurança de e-mails, sendo parte importante da segurança em vários protocolos da internet como TLS, mensagens instantâneas e podendo ser usada para verificar a integridade de arquivos como demonstramos anteriormente aqui.

Baixando os complementos necessários

GnuPG, GPG4Win e GPGTools

Se você usa sistemas operacionais Gnu/Linux você provavelmente já tem GnuPG instalado em seu computador. Se você roda sistemas operacionais não-livres, terá que baixar e instalar um programa para operar as suas chaves. Para Windows, você deve baixar o programa GPG4Win e para Mac o programa se chama GPGTools. Baixe e instale optando sempre pelas configurações padrões.

Thunderbird

Você vai precisar de um cliente de e-mails instalado em seu computador. Um cliente de e-mails é um programa que opera no seu computador e acessa seu servidor de e-mails para receber e enviar mensagens. Ainda que existam complementos que permitem utilizar chaves PGP diretamente no webmail, é preferível fazer a criptografia na própria máquina. Para esse tutorial vamos usar o Thunderbird, que em alguns sistemas pode ser chamado de IceDove. Caso você ainda não tenha o programa instalado, baixe-o no site da Mozilla e instale-o.

Abre o Thunderbird e siga o assistente de configuração passo-a-passo para configurar sua conta de e-mail.

Caso utilize uma conta em servidores radicais como o Riseup.net ou Inventati, dê uma conferida nos tutoriais que esses coletivos disponibilizam pois oferecem configurações otimizadas para maior segurança.

Enigmail

Com sua conta configurada para receber e enviar e-mails através do Thunderbird, é hora de baixar o complemento Enigmail. É esse plugin que vai servir de interface para todo o processo de criptografia do GnuPG.
No menu do programa de e-mails, busque a parte de configurações – geralmente representada por três barras empilhadas no canto direito. Nesse menu, vá até Ferramentas e então Complementos. Busque por Enigmail, e depois de instalá-lo reinicie o programa.

Criando suas chaves

Quando reiniciar o programa, o assistente de configurações do Enigmail deve abrir automaticamente. Caso não abra, vá novamente até o menu do programa de e-mails e selecione Enigmail e Assistente de Configuração.

No assistente de configuração, clique em Avançar com as opções padrão selecionadas, exceto nesses casos:

-> Na tela entitulada “Encryption”, selecione “Encrypt all of my messages by default, because privacy is critical to me”.
-> Na tela entitulada “Assinatura”, selecione “Don’t sign my messages by default”.
-> Na tela entitulada “Seleção de Chave”, selecione “Eu desejo criar um novo par de chaves para assinar e criptografar minhas mensagens”.
-> Na tela entitulada “Criar Chave”, escolha uma senha forte!

Recomendamos fortemente a utilização de senhas longas e aleatórias. Considere utilizar um gerenciador de senhas ou o método Diceware (Dadoware) para elaboração dessa senha.

A seguir o computador irá gerar seu par de chaves. Isso pode demorar um pouco, nesse meio tempo é importante que você utilize seu computador para todo o tipo de tarefas, isso vai ajudar o computador a gerar suas chaves aleatórias.

Pronto!

Teste suas configurações: Envie um e-mail para Edward, o bot da Free Software Foundation, << edward-pt-br@fsf.org >>. Comece enviando sua chave pública em anexo para o bot. Lembre-se que esse e-mail não pode ser criptografado, já que você ainda não tem a chave pública de Edward. Ele lhe responderá em alguns minutos e você poderá testar descriptografar sua primeira mensagem!

Aproveite para achar um/a cúmplice para seguir esse tutorial e criar suas chaves. Usem as ferramentas para começar a se enviar e-mails verdadeiramente secretos!