Embora os jornalistas sempre tenham enfrentado a ameaça de escutas e espionagem, ataques digitais estão forçando-os a se proteger online.
Na Internet, a forma universal que acessamos a maioria dos sites, HTTP, por exemplo, não é criptografada (segura). Isso significa que acessar informação através destes sites nos torna vulneráveis a uma variedade de ameaças em potencial. No mínimo, bisbilhoteiros de sites de HTTP podem ver vários detalhes sobre o comportamento do usuário do site, como as páginas visitadas e o tempo que passou em cada uma delas.
Em resposta, o New York Times está desafiando o processo, mudando o seu site inteiro de HTTP a HTTPs, um protocolo para comunicação segura em rede (o "s" significa "secure" ou seguro, em inglês), para proteger jornalistas e leitores. No Twitter, Rajiv Pant, chefe de tecnologia do New York Times, recentemente fez um chamado a todos os sites de jornalismo para mudar para HTTPs como padrão até o final de 2015.
Tom Lowenthal , tecnólogo do Comitê para a Proteção de Jornalistas (CPJ), concorda que está na hora dos jornalistas e veículos de mídia levarem a sério a mitigação de riscos. Em um recente post de blog, Lowenthal descreveu os três tipos de inimigos que os jornalistas podem enfrentar online: escutas passivas, interceptores ativos "man-in-the-middle" (MiM) e ameaças persistentes avançadas "advanced persistent threats" (APTs). É um monte de jargões, mas a ideia é simples: as ameaças vêm em três graus principais de gravidade.
Ameaças avançadas, Lowenthal apontou, são "complexas, mas raras". A escuta passiva, por outro lado, é generalizada. "Na maioria das vezes, mesmo a NSA (Agência de Segurança Nacional dos EUA), como mostraram as revelações de Edward Snowden, apenas age como um espião passiva, capaz apenas de olhar para metadados e ler o conteúdo das comunicações não criptografadas", disse Lowenthal.
No post, ele apresenta passos que jornalistas podem tomar para evitarem as ameaças diárias de espionagem para protegerem a si e suas fontes. As dicas não vão proteger jornalistas de todo os adversários possíveis (apenas o mais básico), mas, segundo Lowenthal, mesmo os adversários de grau mais baixo são um importante ponto de partida.
Sites
“Toda conexão insegura que um leitor faz é uma oportunidade de atacar este leitor com malware e assumir o controle do computador", escreveu Lowenthal. E é fácil e barato fazer isso.
Lowenthal recomenda aos jornalistas usarem um recurso para adicionar ao navegador chamado HTTPs-Everywhere, desenvolvido pelo grupo de direitos civis de tecnologia Electronic Frontier Foundation. HTTPs-Everywhere mantém uma lista de sites que usam HTTPs. Depois de instalado, qualquer conexão que o usuário fizer a um dos sites registrados automaticamente reverte HTTPs, mesmo se o usuário não digitar "https://" no barra do navegador.
“Jornalistas trabalhando para sites jornalísticos que não estão disponíveis em HTTPs devem perguntar a seus colegas por quê", Lowenthal recomendou.
“E-mail é um alvo atraente para bisbilhoteiros”, escreveu Lowenthal. “Não só conta com quem o jornalista está falando, mas o que estão falando, que matérias estão considerando e quem são as fontes das quais dependem mais. Felizmente, qualquer criptografia vai impedir um intruso passivo."
O protocol de e-mail é SMTP, como o HTTP, não usa criptografia como padrão. Isso significa que as mensagens são enviadas entre provedores de maneira insegura, o que torna o e-mail vulnerável a escuta. Neste estado, mesmo uma escuta passiva pode ver quem enviou a mensagem e para quem, bem como seu conteúdo, explicou Lowenthal.
Em muitos casos, uma versão atualizada de e-mail que permite criptografia está disponível. Para saber se seu provedor oferece essa opção, visite starttls.info. Basta digitar o nome de domínio de seu provedor de e-mail e o site irá avaliar a criptografia de e-mail, indicando se as mensagens recebidas dão suporte à criptografia de e-mail.
Para os jornalistas que fazem trabalho mais investigativo ou que podem lidar com informações especialmente sensíveis, Lowenthal recomendou o software PGP (Pretty Good Privacy), que fornece a "privacidade criptografada e autenticação para comunicação de dados." Com a ferramenta, uma mensagem é criptografada no computador do remetente e só pode ser decifrada pelo destinatário. Mas lembre-se: ferramentas como o PGP funcionam somente quando ambas as partes sabem como usá-las.
Outros
Canais de comunicação como mensagens de texto, mensagens instantâneas e chamadas telefônicas também podem ser criptografadas. Lowenthal recomenda ferramentas como TextSecure e RedPhone para Android ou Signal para iOS.
Via Comitê para a Proteção dos Jornalistas
Imagem principal sob licença CC no Flickr via Brook Ward