CryptoRave 2018 – Chamado para atividades!

CRYPTORAVE 2018!

A CryptoRave 2018 ocorrerá nos dias 4 e 5 de maio de 2018!
O Chamado para Atividades já está rolando e encerrá dia 24 de março!

Envie a sua proposta pelo site:
https://cpa.cryptorave.org/pt-BR/cr2018/cfp/session/new

* * *

A CryptoRave, maior evento de segurança e privacidade aberto e gratuito do mundo, abriu no dia 23 de janeiro as chamadas para inscrição de atividades. A 5ª edição do evento ocorrerá entre os dias 4 e 5 de maio.

Em breve abriremos a campanha de financiamento colaborativo para 2018!

Mantendo a tradição, o evento será construído de forma colaborativa, por meio de sugestões de palestras, debates, oficinas, jogos, atividades mão-na-massa e colaboração de projeto FLOSS (free/libre/open software/source).
Propostas de apresentações artísticas, instalações, exibição de filmes e shows também são MUITO bem-vindas. DJs também já podem se inscrever para tocar na festa que rolará, como nas edições anteriores, ao final do encontro. As inscrições vão até dia 24 de março, à meia-noite. Não deixe para a última hora!

Para submeter uma atividade para a CryptoRave 2018 basta criar uma conta no site:
https://cpa.cryptorave.org e, em seguida, criar um evento. Quem se inscreveu no ano passado pode usar o mesmo perfil para inscrição este ano. O preenchimento de dados pessoais como nome, sobrenome e sexo são opcionais. Basta um e-mail válido para
nos comunicarmos com a pessoa responsável pela inscrição.

Os critérios para avaliação das propostas são:
– Adequação aos temas: privacidade, segurança e criptografia
– Diversidade de gênero, geográfica e de formato
– Inovação da proposta
– Atualidade da proposta

Lembrando que não serão aceitas propostas por qualquer outro canal de comunicação da CryptoRave como Twitter e Facebook. Não há compensação financeira pelas atividades aprovadas e não serão aceitas propostas que envolvam merchandising. Nos comprometemos a oferecer infraestrutura adequada e a buscar materiais essenciais à realização da atividade, mas não exagere, funcionamos na base do financiamento coletivo e trabalho voluntário.

Dúvidas e sugestões podem ser enviadas para contato ARROBA cryptorave.org

MULHERES

Com o objetivo de garantir a diversidade, a CryptoRave mantém uma política anti-assédio e o firme compromisso de garantir um ambiente receptivo para mulheres, pessoas LGBTQ e minorias sociais. Também mantemos uma trilha para apresentar atividades relacionando segurança, privacidade, criptografia e questões de gênero. Por isso, se inscrevam!

Sugestões de temas e tópicos para as atividades:
– Análise dos últimos grande vazamento de dados, seus impactos e como se proteger
– Discriminação algorítmica
– Criptografia: do básico ao avançado. Teoria e implementações.
– Segurança para ativistas e defensores de direitos humanos.
– Segurança para cidadãos e consumidores na era da Informação.
– Gênero e Privacidade: diversidade na segurança digital.
– Denúncias e análise de violações do direito à privacidade e liberdade de expressão.
– Denúncias e análises de como governos violam a privacidade: espionagem e vigilância no Brasil e no mundo.
– Como empresas violam a privacidade: coleta de dados, lucro e direito do consumidor.
– Experiência de (contra) ofensiva: hacking, hacktivismo, hacking das coisas, fuzzing, exploits e segurança ofensiva.
– Segurança e/ou vulnerabilidades em hardware, cripto dispositivos e open hardware.
– Ciberguerra e ativismo cibernético na rede.
– Hardening de sistemas operacionais.
– Soberania computacional, descentralização e federação de redes.
– Dissidentes políticos, denunciantes e vazamentos de informações – sistemas tecnológicos e éticos.
– Sistemas eletrônicos de governos e vulnerabilidades.

VOLUNTÁRIOS

A abertura de inscrições para trabalho voluntário durante o evento – uma nobre e fundamental atividade com a qual temos muito orgulho de contar – será em abril de 2017.

E lembre-se, a realização de um evento como a CryptoRave custa caro. Para garantir que sua atividade e a própria CryptoRave aconteçam, avise a sua comunidade e estimule a colaboração com nosso financiamento coletivo.

Compartilhe:

Aberto o CHAMADO DE PROPOSTAS DE ATIVIDADES para a Cryptorave 2018 – 4 e 5 de maio: https://cpa.cryptorave.org/pt-BR/cr2018/cfp/session/newMantendo a tradição, o evento será construído de forma colaborativa, por meio de sugestões de palestras, debates, oficinas, jogos, atividades mão-na-massa e colaboração de projeto FOSS (free/libre/open software/source). Propostas de apresentações artísticas, instalações, exibição de filmes e shows também são MUITO bem-vindas. DJs também já podem se inscrever para tocar na Cryptofesta que rolará, como nas edições anteriores, ao final do encontro.As inscrições vão até dia 24 de março, à meia-noite.Não deixe para a última hora!

Posted by CryptoRave on Tuesday, January 23, 2018

https://cryptorave.org/

[livro] Sem lugar para se esconder

Sem lugar para se esconder:
Edward Snowden, a NSA e a espionagem do governo norte-americado

Glen Greenwald, 2014

 

Desde que começou a ser usada de forma ampla, a internet foi vista por muitos como detentora de
um potencial extraordinário: o de libertar centenas de milhões de pessoas graças à democratização do
discurso político e ao nivelamento entre indivíduos com diferentes graus de poder. A liberdade na rede
– a possibilidade de usá-la sem restrições institucionais, sem controle social ou estatal, e sem a
onipresença do medo – é fundamental para que essa promessa se cumpra. Converter a internet em
um sistema de vigilância, portanto, esvazia seu maior potencial. Pior ainda: a transforma em uma
ferramenta de repressão, e ameaça desencadear a mais extrema e opressiva arma de intrusão estatal
já vista na história humana.
É isso que torna as revelações de Snowden tão estarrecedoras e lhes confere uma importância tão
vital. Quando se atreveu a expor a capacidade espantosa de vigilância da NSA e suas ambições mais
espantosas ainda, ele deixou bem claro que estamos em uma encruzilhada histórica. Será que a era
digital vai marcar o início da liberação individual e da liberdade política que só a internet é capaz de
proporcionar? Ou ela vai criar um sistema de monitoramento e controle onipresentes, que nem os
maiores tiranos do passado foram capazes de conceber? Hoje, os dois caminhos são possíveis. São as
nossas ações que irão determinar nosso destino.

Quais dados seu celular e a rede móvel coletam?

Esse texto saiu no Boletim #15 do site AntiVigilância.org


Quais dados seu celular e a rede móvel coletam?

02/05/2017, por Lucas Teixeira

Introdução

Ao pensarmos sobre vigilância em celulares é comum imaginarmos uma pessoa, grampeando nossas linhas e ouvindo nossas conversas, transcrevendo ou tomando notas do conteúdo, seguindo nossos passos — talvez um agente da inteligência de um governo ou um criminoso trabalhando de uma fábrica abandonada.

Essa prática tradicional da vigilância “direcionada”, que remete à Stasi da Alemanha Oriental e ao modus operandi das várias ditaduras que passaram pelo território latino-americano na segunda metade do século passado certamente ainda está presente nos dias de hoje. Mas ela por vezes eclipsa, principalmente para o público geral, a quantidade de dados sensíveis que já são criados, registrados, transmitidos e processados por todo o caminho desde o celular, passando pelas antenas e fios, até os servidores de email e mensagens instantâneas e a famigerada “nuvem” (que, no fim das contas, é “apenas o computador de outra pessoa”).

Da mesma maneira, ao tentarmos nos livrar dessa vigilância e proteger nossas comunicações, procuramos soluções mágicas como a capa de invisibilidade do Harry Potter, que nos tornarão completamente indetectáveis com o apertar de dois ou três botões ou o instalar de um programa. Como vemos neste e em outros artigos do Boletim 15, as proteções que temos à nossa disposição costumam agir sobre somente uma parte desses dados, seja pelo escopo em que ela pode atuar seja pelo fato de que determinadas trocas e armazenamentos de dados são necessárias para o próprio sistema funcionar.

Neste artigo, mapeamos os dados que estão armazenados ou são coletados pela infraestrutura de comunicação e pelos componentes do seu celular em seu funcionamento normal.

Por dentro do telefone

 

Os três principais sistemas lógicos de um smartphone, ilustrados de forma didática

Nossos smartphones parecem ser um sistema único, mas por baixo do panos há várias CPUs, memórias e discos agindo em conjunto para que eles funcionem. A maneira como os smartphones são construídos, com os sistemas “System on Chip” que já trazem quase todos os componentes condensados em um único chip, torna difícil identificar elementos fisicamente, mas pode-se identificar três computadores principais – cada um com seu próprio sistema operacional em software ou firmware – mais os componentes de rede, todos armazenando informações de identificação importantes:

  • SIM card: embora sua principal função seja armazenar o IMSI (International Mobile Subscriber Identity) e uma chave privada usada para proteger a comunicação com a rede celular, cada chip presente em celulares GSM é um computador autônomo.

    Assim como cartões de banco e outros smartcards, eles podem armazenar múltiplos programas escritos na linguagem Java Card, que podem ser instalados utilizando equipamentos especiais ou pela própria operadora de telefonia através de mensagens SMS de configuração over-the-air (OTA).

    O IMSI é um código de identificação vinculado à pessoa proprietária da linha, e permite à operadora saber que quem está falando de um determinado aparelho celular é o(a) cliente X, e então por exemplo descontar créditos ou aumentar o valor da conta desta pessoa.

  • Baseband modem: este computador, que é muito semelhante e mantém grande compatibilidade com os modems presentes nos primeiros aparelhos celulares, executa um sistema operacional proprietário (de código fechado, mantido sob propriedade intelectual de empresas da indústria de telecomunicações) e mantido em firmware (não pode ser facilmente substituído).

    Na prática, isso significa que ele é uma completa caixa preta. Em sua memória fica registrado o IMEI (International Mobile Equipment Identity), um código que, de maneira análoga ao IMSI, identifica o aparelho celular para a operadora de telefonia. O principal uso do IMEI pelas operadoras é para impedir celulares roubados de serem usados, através de listas desses identificadores mantidas em colaboração com os(as) próprios(as) clientes e/ou com departamentos de polícia.

  • Sistema principal: esse é o computador com maior poder de processamento e armazenamento, que armazena e executa o sistema operacional principal (Android, iOS etc) e todos os aplicativos que você tem instalados, atuando como ponte entre eles e os outros componentes como o baseband modem, as interfaces de rede abaixo, a tela, a câmera, o microfone etc.

    Como os aplicativos executados nesses apicativos podem coletar toda sorte de informações (e, como sabemos, por vezes coletam muito mais do que necessário para seu funcionamento), a quantidade de identificadores que podem estar aqui é grande demais para caber neste artigo. O Código de Publicidade (Android) e o Identificador de Publicidade (iOS) se destacam por serem acessíveis a todos os aplicativos, feitos especificamente para permitir a identificação inequívoca do celular por anunciantes. Ambos podem ter seu uso desativado nas configurações do celular.

  • Wi-fi e Bluetooth: cada um desses componentes tem um “endereço físico” específico (o endereço MAC, de “Media Access Control”) definido no momento de sua fabricação. Se o aparelho está com wi-fi e/ou bluetooth habilitados, ele divulga esses identificadores de tempos em tempos, para quem quiser ouvir, em busca de redes ou dispositivos conhecidos.

    Isso é o que permite que shoppings consigam seguir pessoas para extrair padrões de comportamento e conseguir identificar clientes específicos. Tanto no Android quanto no iOS há maneiras de mudar o endereço MAC apresentado pela interface wi-fi; o iOS especificamente passou a usar endereços descartáveis gerados aleatoriamente para parte do tráfego desde a versão 8.

Telefonia ou Internet?

Além da complexidade dessa estrutura de telecomunicações e do fato de telefonia e Internet se misturarem até mesmo a nível institucional, a convergência de ambas as tecnologias num mesmo telefone celular faz com que seja difícil discernir quais aplicativos ou ações são considerados como telefonia ou como conexão à Internet, que dirá quais dados cada uma dessas interações gera.

No grafo abaixo estão os principais tipos de atividades comuns em smartphones, associados ao tipo de serviço necessário para elas e quais dados são transmitidos (alguns detalhes serão explicados mais adiante):

Caminho da Telefonia

Apesar de hoje em dia nossos smartphones serem “computadores que por acaso também fazem ligações”, o sistema de telefonia celular está intrinsecamente ligado ao funcionamento do aparelho. Seja pelo fato de que muitas pessoas se conectam à Internet por 3G/4G/LTE, seja porque cada vez mais nosso número de celular é usado como meio de identificação e autenticação (como no login através do envio de tokens), o fato de alguém raramente fazer ligações e enviar SMSs não impede a operadora de telefonia de estar monitorando sua localização 24/7.

Simplesmente por estar ligado e dentro da área de cobertura, qualquer aparelho celular está em constante comunicação com as torres de telefonia que estão em seu raio de alcance, à procura da mais próxima que seja de sua operadora e o permita se conectar para enviar e receber ligações e mensagens.

Estas torres, chamadas de Estações Rádio-Base (ERBs), são distribuídas pela operadora por toda a sua área de cobertura, cada uma em uma célula que cobre uma parte do território – daí o nome de telefonia celular. Essas estações, que além da antena têm também computador e espaço de armazenamento, são ligadas à central da operadora que é quem organiza (e cobra) as ligações, mensagens e, no caso da Internet móvel, provê a conexão à rede mundial de computadores.

Ao emitir o seu constante “alô, sou um celular, tem ERBs aí?”, o aparelho transmite tanto seu IMSI (identificador do(a) cliente) quanto seu IMEI (identificador do aparelho). Isso permite com que as operadoras (que mantém um banco de dados que associa esses números aos dados cadastrais) saibam o tempo inteiro em qual célula um(a) determinado(a) cliente está.

A localização a nível de células já é um dado bastante sensível, mas através da combinação dos dados de múltiplas torres usando técnicas como a triangulação, trilateração e multilateração, é possível mapear com bastante precisão os principais endereços e a movimentação de uma pessoa, principalmente em locais urbanos onde há uma concentração maior de antenas por km². Experimentos feitos pelo Open Data City e pelo jornal alemão Die Zeit mostram em visualizações como uma pessoa pode ter sua vida devassada apenas a partir dessas informações.

Também devido a esse comportamento dos celulares, equipamentos comumente chamados de IMSI catchers, antenas espiãs ou Stingrays possibilitam listar os identificadores de pessoas que estão em um determinado local (como foi feito em uma praça da Ucrânia durante uma manifestação).

A princípio mantidos para fins de cobrança e prevenção de fraudes, os CDRs acumulam informações preciosíssimas sobre clientes. Análises avançadas desses bancos de dados podem ser feitas para fins diversos como prever o status socioeconômico de pessoas ou quais delas podem estar perto de trocar de operadora (churn) e visualizar redes sociais formadas por ligações para investigação de crimes. Forças policiais e judiciais podem em muitas jurisdições acessar os dados tanto nas operadoras quanto nas próprias ERBs, prática conhecida como tower dump.

Infelizmente, essa constante transmissão de dados não pode ser contornada por ser parte intrínseca da telefonia celular, exceto desativando o funcionamento do SIM card nas configurações do celular ou o colocando em uma bolsa que o isole de sinais eletromagnéticos (uma “gaiola de Faraday”) – mas aí as funções de celular e Internet móvel do dispositivo também param.

Caminhos da Internet

Caminhos da Internet

O caminho que seus dados farão para chegar “à Internet” vai depender do seu tipo de conexão: wi-fi ou móvel / dados.

Ao acessar por wi-fi da sua casa ou de um café, você estará tipicamente se conectando a um roteador, que está ligado a um modem (ou já possui um embutido), que se comunica através de cabos ou ondas de rádio, talvez com intermediários como a central de distribuição do seu bairro, até o provedor de Internet banda larga.

Já ao acessar a Internet através do plano de dados da sua operadora, você está transmitindo dados pelo mesmo caminho que suas ligações e SMSs e que explicamos há pouco. Seus dados relativos ao uso da Internet, no entanto, ficam armazenados somente na central da operadora – a ERB usada registrará somente que você esteve por ali e que se conectou à Internet através dela (tecnicamente pode ser possível que alguém com controle da ERB a programe para registrar isso, mas isso foge do escopo do artigo e, ao que sabemos, da prática comum). Para todos os efeitos, sua operadora é seu provedor de Internet, e geralmente está sob o mesmo arcabouço legal da sua operadora no caso acima.

Em ambos os casos, todas as suas ações na Internet são sempre vinculadas ao endereço IP da sua conexão, designado pelo provedor para o seu celular, no caso da telefonia móvel, ou para o roteador no caso do wi-fi. Os provedores costumam registrar as conexões feitas (endereço IP de origem, endereço IP de destino e data/hora) por meses ou até mesmo anos.

Como muitas vezes um único endereço IP pode ser compartilhado por múltiplas máquinas, ele tecnicamente não identifica as atividades de uma pessoa específica; legalmente, porém, ele pode ser associado à/ao titular do plano de Internet. Além disso, os roteadores registram os endereços MAC que identificam o componente wi-fi do celular e, cruzando seus dados com os registros de conexão do provedor, é possível discernir quais das atividades atribuídas a um endereço IP vieram de um determinado aparelho.

Embora a Internet permita que nos conectemos diretamente às máquinas de outras pessoas, na prática a maior parte do nosso tráfego é direcionado a servidores, máquinas com grande poder de armazenamento e processamento que intermediam nossas comunicações (como as via e-mail e mensagens instantâneas) ou nos servem conteúdo e serviços online (no caso da Web). Eles também têm acesso ao seu endereço IP e podem guardar seus próprios registros, a seu critério e/ou por determinação legal dos países onde ele e e o(a) usuário(a) se encontram, e associar o IP ao seu login, seus dados cadastrais e que ações foram executadas / que páginas foram requisitadas.

Ao usar serviços de VPN ou proxy, os endereços que constarão nos registros do provedor serão todos de conexões suas ao serviço que você utilizar, enquanto o servidor que você está acessando registrará o endereço IP desse mesmo serviço de VPN / proxy. Esse serviço, no entanto, terá acesso a todo o seu fluxo de comunicação e pode, tecnicamente, registrar e inspecionar os dados da mesma forma que o seu provedor poderia numa conexão comum. É recomendado, principalmente se você não conhece e confia no serviço que está usando, garantir que o aplicativo ou site que você está acessando possua sua própria camada de criptografia (como o HTTPS no caso da web e outros tipos de criptografia de transporte e/ou ponta-a-ponta).

Ao se conectar à Web ou outros serviços utilizando o Tor, os registros conterão conexões a diversos nós de entrada da rede em países diferentes, e os endereços IP dos registros no servidor acessado serão pulverizados entre diversos nós de saída também dispersos pelo mundo. Na prática, isso confere maior anonimato (pois não há nenhuma máquina centralizando o tunelamento da conexão como no caso anterior), mas como o tráfego sairá de diversos pontos escolhidos aleatoriamente é ainda mais importante utilizar uma camada extra de criptografia para qualquer assunto sensível (como logins e trocas de dados que possam lhe identificar).

Apanhado geral

Qual o estado da internet?

A resposta é: físico. A internet é nada mais que um gigantesco conjunto cabos. Para quem imaginava que no futuro seriam os satélites, nada disso. Os satélites têm sua função, mas primariamente como sensores, coletores de informações. E ultimamente como lixo espacial.

Então a internet significa quilômetros e mais quilômetros daqueles cabos azuis? Exatamente!

E sabe qual é a implicação mais interessante dessa fato? É que os cabos têm donos e estão enterrados na geografia. Controle o território e o poder será seu. (Não é por acaso que o google remapeou o mundo. Mas isso já é assunto para outra postagem.) Então, vejamos a quais países (e suas lei, e principalmente seus políticos) nossos dados, requisições, logins, fotos, smiles, estão submetidos:

global-traffic-map-2010-x

Um país! A descentralização é o pressuposto básico da autonomia. Do jeito que a internet vai, nós pelo mundo continuaremos à mercê de SOPAs e PIPAs e sem recursos para resistir.