O que seria do jornalismo sem a tecnologia? Mas, junto com os avanços, as ameaças digitais também vêm se sofisticando, permitindo recursos cada vez mais desenvolvidos para a prática do assédio, abuso e espionagem online. Tudo isso coloca em risco a segurança digital de jornalistas. Quanto mais o trabalho migra para o mundo digital, mais aumentam as ameaças. E isso vem colocando cada vez mais em risco tanto os jornalistas como as suas fontes, principalmente nestes tempos de home office, em que não se pode contar com a proteção das redes corporativas das redações. Isso sem falar dos freelances,que já não contavam com essa proteção.
Uma solução seria realizar todas as atividades fora da internet, mas isso é inviável nos dias de hoje. Por outro lado, as ameaças não podem desencorajar o trabalho a ser feito. E é claro que nem toda reportagem vai requerer o uso das prevenções mais rigorosas. Mas especialistas e órgãos de defesa dos jornalistas alertam que o aumento da atuação de hackers durante a pandemia fez certas precauções deixarem de ser opcionais.
Para ajudar os jornalistas a passarem com menos percalços por estes novos tempos, o Comitê de Proteção aos Jornalistas mantém atualizado o Kit de Segurança Digital, cujas principais regras estão listadas aqui. E se você faz parte do time que não dá importância a essas recomendações, veja o exemplo do jornalista marroquino Omar Radi, que foi hackeado sem perceber e sem que tenha clicado em nenhum link para permitir a abertura das defesas de seu dispositivo.
Tecnologia “zero cliques”, o recurso que a Anistia Internacional quer regulamentar
Já vai longe o tempo em era preciso clicar em um link enviado por uma mensagem para permitir que os hackers invadissem o seu sistema. Com os ataques chamados de network injection, isso passou a ser feito com a tecnologia “zero cliques”, cujo principal exemplo é o software Pegasus, criado pela empresa israelense NOS, que permitiu que o governo do Marrocos espionasse o jornalista Omar Radi.
Matéria de Rowan Philp para a Global Investigative Network Journalism informa que a nova ameaça é tão poderosa que a Anistia Internacional tem pedido desde o ano passado a suspensão global das vendas desse tipo de software até que sejam criadas regulamentações eficazes para evitar abusos.
Como funciona o Network Injection Attack
O sofisticado ataque redireciona o navegador do dispositivo para um site que instala o Pegasus sem que o usuário perceba. A investigação da Anistia Internacional revelou o modelo esquemático do ataque:
“Quando o Pegasus é instalado, o invasor tem acesso completo às mensagens, e-mails, mídias, microfone, câmera, chamadas e contatos do telefone. Esses ataques, chamados de network injection, são conhecidos pela dificuldade em serem detectados pela vítima, pois deixam poucos vestígios”, diz o relatório da Anistia Internacional. Danna Ingleton, vice-diretora da Unidade de Tecnologia da organização, declarou à Global Investigative Journalism Network:
“O mais preocupante dessa tecnologia é que você não precisa clicar em nada. Você poderia apenas receber uma chamada perdida. Isso mostra como você pode fazer de tudo para se manter seguro e ainda assim correr risco.”
As 10 regras para diminuir seu risco
Embora seja impossível garantir um nível de 100% de segurança na sua experiência digital, as regras abaixo vão aumentar muito esse índice. A maioria se aplica aos jornalistas em geral, e algumas vão depender dos riscos envolvidos em cada matéria.
1. Separe o pessoal do profissional no mundo online
- Evite que sua vida profissional se misture com a pessoal no mundo digital. Nunca use seu próprio endereço pessoal ao fazer solicitações de acesso às informações. Têm se tornado mais frequentes os casos de doxing, tipo de assédio nas redes sociais em que detalhes pessoais da vítima são tornados públicos. Revise as configurações de privacidade de suas contas de mídia social, verifique as informações sobre você que são públicas e oculte ou remova qualquer coisa ligada à sua identidade pessoal, como seu número de telefone ou data de nascimento.
- Os jornalistas usam uma variedade de contas online e estas contêm informações sobre colegas, famílias e fontes. Pense sobre quais seriam as consequências para você, sua família e suas fontes se sua conta fosse violada. Proteger essas contas, fazer backup e remover informações regularmente ajudará na proteção contra hackers.
- Reveja regularmente a seção “atividade da conta” de cada uma de suas contas. Os provedores de serviços permitem que você visualize a localização de qualquer dispositivo que esteja conectado e outros aplicativos com permissão para acessar sua conta. Se você notar algo suspeito, saia e mude sua senha
- Exclua todas as contas que você não usa mais. Lembre-se de criar cópias de todas as informações que deseja salvar.
- Exclua informações confidenciais ou que você não queira que se tornem públicas regularmente, incluindo mensagens privadas de bate-papo. Para evitar que arquivos excluídos sejam restaurados, use um software de exclusão segura para limpar o dispositivo, se disponível. Caso contrário, reinicie-o e use-o para atividades não relacionadas, para regravar a memória do dispositivo.
- Para preservar sua identidade pessoal, use contas descartáveis de redes sociais se for monitorar grupos de bate-papo potencialmente ameaçadores. No entanto, use sua conta profissional e seu status de jornalista se for abordar um potencial entrevistado identificado nesses grupos.
2. Atualize softwares e aplicativos regularmente
- Atualizar o software para a versão mais recente ajudará a protegê-lo melhor. Ative as atualizações automáticas ou instale-as assim que forem lançadas, para se beneficiar das correções de segurança mais recentes.
- Não use o Zoom se você estiver usando o Windows 7 ou uma versão anterior em seu PC. O Zoom apresenta uma falha de segurança nessas versões, detectada em julho de 2020, e que não acontece nas versões atualizadas do Windows. Mas atenção: você continuará vulnerável se a conversa no Zoom estiver sendo feita com um interlocutor que estiver usando uma dessas versões antigas do Windows.
3. Proteja seus dispositivos
-
Bloqueie seus dispositivos com uma senha forte. Quanto maior for a senha de abertura, mais difícil será para os outros desbloquearem.
- Ative a criptografia de discos rígidos de computador, telefones, tablets e dispositivos de armazenamento externos, para proteger suas informações se eles forem indevidamente acessados.
- Desative o Bluetooth e outros aplicativos e serviços de compartilhamento de arquivos quando não precisar deles.
- Evite deixar os dispositivos sozinhos em público e desligue-os quando não estiverem em uso.
- Não use carregadores ou pen drives fornecidos por outras pessoas.
- Faça backup de seus dispositivos regularmente para o caso de serem destruídos, perdidos ou roubados. Armazene as cópias de backup com segurança, longe de sua estação de trabalho regular.
4. Use autenticação de dois fatores
- Usar apenas um nome de usuário e senha para contas é como ter na porta a fechadura simples mais fácil de ser aberta. Use a autenticação de dois fatores (2FA), disponível nos sistemas da Apple, Microsoft e Google e na maioria dos apps e redes sociais, como WhatsApp, Facebook, Twitter, e Instagram.
- Para segurança extra, use uma chave de segurança como Yubikey, se possível.
5. Use um gerenciador de senhas
- Usar uma única senha para todas as suas contas é jogar todas as suas fichas numa única aposta, que certamente você vai perder. Um gerenciador de senhas pode cuidar disso automaticamente para você, gerando senhas longas e exclusivas para cada uma de suas contas, sob uma única senha mestra que você escolher.
- Não reutilize senhas e nem use o Facebook, Google ou outro serviço para fazer login em sites.
6. Use uma VPN
- Configure uma rede privada virtual (VPN) que criptografa sua conexão e oculta o tráfego do seu provedor de serviços de internet, especialmente quando você acessa o WiFi em locais públicos.
- Evite usar computadores públicos, especialmente em salas de imprensa. Se não puder evitar, ao final saia de todas as sessões e limpe seu histórico de navegação.
7. Use Mensagens criptografadas
- Suponha que todas as chamadas, mensagens de SMS e e-mails não criptografados podem ser interceptados.
- Sistemas criptografados como o WhatsApp podem ser suficientes − mas tenha em mente que o WhatsApp arquiva metadados. Os metadados revelam onde você está e com quem você fala, e podem ser usados para construir um perfil seu e daqueles com quem você se comunica.
- Para assuntos mais delicados, existem opções como o Protonmail para e-mail e Signal para mensagens de texto.
8. Use um navegador protegido
-
Use um navegador bem protegido, como o Firefox. Evite navegadores que consomem muitos dados, como o Chrome e o Internet Explorer.
- Para segurança adicional, desative opções como “verificar a ortografia ao digitar”, “fornecer sugestões de pesquisa” e “bloquear todos os cookies” nas preferências da barra de pesquisa do navegador.
- Instale complementos no navegador, como o HTTPS Everywhere ou o Privacy Badger, desenvolvidos por especialistas para aprimorar sua privacidade e segurança ao visitar sites.
- Verifique se o endereço dos sites visitados são autênticos, não uma falsificação. A URL deve ser digitada corretamente e incluir https.
- Instale um bloqueador de anúncios para proteção contra malware, que muitas vezes está oculto em anúncios pop-up. Os bloqueadores de anúncios permitem que você isente certos sites de serem bloqueados.
9. Evite conversas por linhas telefônicas convencionais quando possível
- Não apenas o conteúdo das conversas, mas a identificação dos números chamados com mais frequência via linhas telefônicas convencionais podem expor fontes. Prefria serviços de voz por internet com criptografia.
- Em casos mais sensíveis, use a opção dos chips descartáveis de linhas celulares, em vez de um telefone vinculado à sua identidade pessoal.
10. Não clique em links e nem baixe arquivos desconhecidos
-
Os ataques de phishing acontecem na forma de e-mails personalizados e mensagens de SMS, mídia social ou de bate-papo criados para induzir o destinatário a compartilhar informações confidenciais ou instalar malwares clicando em um link ou baixando um arquivo. Existem muitos tipos de malwares e spywares que variam em sofisticação, mas os mais avançados podem permitir que se tenha acesso a todo o conteúdo do dispositivo.
- Verifique os detalhes da conta do remetente e o conteúdo da mensagem cuidadosamente para ver se é legítimo. Pequenas variações de ortografia, gramática ou leiaute podem indicar que a conta foi falsificada ou hackeada.
- Se estiver em dúvida quanto a um link, passe o cursor sem clicar para ver se a URL parece legítima.
- Visualize todos os anexos que você receber por e-mail antes de abri-los − se você não baixar o documento, qualquer malware será contido. Em caso de dúvida, ligue para o remetente e peça que copie o conteúdo no corpo do e-mail, em vez de mandar como anexo.
Curiosidade profissional torna jornalistas mais vulneráveis
Um exemplo levantado pelo GIJN é o da jornalista saudita Safa al-Ahmad, apresentadora da série investigativa The Great Saudi Podcast, que recebeu uma mensagem em sua conta no Twitter durante a exibição da primeira temporada que tratava do assassinato do jornalista Jamal Khashoggi, colunista do Washington Post assassinado na embaixada da Arábia Saudita em Istambul. A mensagem solicitava um e-mail seguro para o envio de um vídeo do assassinato.
Amiga de longa data de Khashoggi e interessada em achar os culpados pelo assassinato, Al-Ahmad aceitou a oferta:
“Eles começaram a mandar mensagens como: nós contrabandeamos um vídeo para fora da embaixada, temos todo o assassinato gravado, corremos muitos riscos. E então eles enviaram imagens tiradas do suposto vídeo. A pessoa que gerenciava nossa conta abriu as imagens. As fotos eram estranhas e intrigantes, do ponto de vista jornalístico. Mostrava um cadáver no chão, imagens bastante fortes. Só então lembrei da segurança digital e avisei: ‘Fomos violados! Você precisa jogar seu telefone fora já!’”.
Al-Ahmad acabou descobrindo a versão original do vídeo, que não mostrava o assassinato de seu amigo. Mas ficou a lição:
“Foi um lembrete de como a comunicação digital pode ser perigosa para um jornalista. Embora mais cautelosa do que a maioria, eu queria ver aquele link. Eu conhecia Jamal há 20 anos. Não era apenas uma matéria, era pessoal para todos nós”.