Como funciona o Security in a Box?

Índice

...Carregando Tabela de Conteúdos...

    Como funciona o Security in a Box?

    Security in a Box é um recurso gratuito e de código aberto hospedado no Gitlab.com.

    Security in a Box é continuamente atualizado com a ajuda da Equipe de Proteção Digital da Front Line Defenders e de contribuições externas. Todas as atualizações e alterações são coordenadas pela pessoa Editora de Proteção Digital da Front Line Defenders.

    Todo o conteúdo inserido no Security in a Box é criteriosamente selecionado com base nos seguintes parâmetros.

    Como elaboramos as estratégias de proteção que sugerimos

    Security in a Box é uma ferramenta que abrange várias estratégias de proteção digital. Ao explorar este site, você encontrará sugestões sobre como criar e administrar senhas seguras, além de proteger suas contas, comunicações, dispositivos, conexão à internet e informações confidenciais.

    Todas essas estratégias se concentram na proteção de ativos digitais, mas são desenvolvidas de uma forma holística: embora o foco seja proteger o digital, reconhecemos que a proteção sempre envolve diferentes esferas, incluindo o contexto legal e psicossocial, além da necessidade de considerar o nível físico. Para mais informações sobre o que uma abordagem holística de proteção envolve, recomendamos a leitura sobre a abordagem holística no Manual de Segurança Holística.

    O principal objetivo do Security in a Box é auxiliar uma comunidade global de pessoas defensoras dos direitos humanos cujo trabalho as coloca em perigo. Em geral, consideramos este recurso como uma ajuda não apenas para DDHs, mas também para outros atores em risco de ataques digitais, como ativistas, jornalistas e outros membros da sociedade civil, bem como mulheres e pessoas LGBTQIA+ que estão em risco de violência online de gênero.

    Uma parte essencial da nossa abordagem é capacitar nossas pessoas-alvo a avaliar os riscos que enfrentam e definir suas próprias necessidades. Nosso objetivo é não causar danos as pessoas defensoras dos direitos humanos, suas famílias e comunidades, bem como aos outros leitores do SiaB. Reconhecemos também que ouvir com empatia os DDHs e outras pessoas em risco de violência digital e entender as situações em que se encontram é fundamental para fornecer suporte de proteção eficaz. Assim, as estratégias descritas no SiaB são desenvolvidas com uma abordagem que visa capacitar nossos leitores e são baseadas nas necessidades e objetivos reais de nossos usuários, em conformidade com a Visão, Missão e Valores Essenciais da Front Line Defenders.

    Como selecionamos as ferramentas e serviços que recomendamos

    O software é complexo, e nem todos são criados iguais quando se trata de suas propriedades de proteção à segurança e privacidade. Diferentes ferramentas e serviços podem ser considerados mais ou menos eficazes dependendo da jurisdição em que você está, suas leis e das pessoas adversárias que você pode enfrentar.

    Consideramos vários fatores ao selecionar as ferramentas e serviços que recomendamos no Security in a Box. Cada fator é crucial. Como diferentes áreas possuem requisitos legais distintos para tecnologia e enfrentam diferentes ameaças, é difícil classificar globalmente a importância de cada fator.

    Abaixo, listamos o que consideramos as perguntas mais importantes que fazemos ao considerar quais ferramentas e serviços recomendamos. Você também pode usar esses critérios ao avaliar a segurança relativa de ferramentas que não estão listadas no Security in a Box.

    É possível confiar nas pessoas que desenvolvem esta ferramenta ou operam este serviço?

    • Qual é a história do desenvolvimento e da propriedade da ferramenta ou serviço? Foi desenvolvido por ativistas ou por uma empresa? Este grupo tem uma imagem pública, e qual é o seu histórico?
    • Qual é a missão e o modelo de negócios da organização que desenvolve ou opera esta ferramenta ou serviço?
    • Houve desafios de segurança, como violações de dados ou pedidos de informações por autoridades estatais? Como o provedor de serviços/desenvolvedores da ferramenta reagiu a esses desafios? Eles trataram dos problemas de forma aberta, ou tentaram esconder?

    A ferramenta criptografa os dados? Qual tecnologia de criptografia é utilizada?

    • A ferramenta criptografa a conexão entre o usuário e as pessoas com quem estão se comunicando (criptografia de ponta a ponta), tornando impossível para os provedores de serviços acessar suas informações?
    • Caso a criptografia de ponta a ponta não esteja disponível, priorizamos ferramentas que criptografam os dados entre o dispositivo do usuário e a infraestrutura de serviço (criptografia para o servidor). Nessas situações, sempre lembramos às pessoas que estão nos lendo que, se os dados não forem criptografados nos servidores, elas precisam confiar nas pessoas que gerenciam o serviço, pois estas têm acesso potencial livre às informações armazenadas ali.
    • As configurações padrão protegem a privacidade e a segurança das pessoas usuárias?
    • Caso não haja criptografia de ponta a ponta disponível, a tecnologia possibilita hospedar o serviço em sua própria infraestrutura, para que possam controlar quem pode acessar seus dados?

    O código está disponível para inspeção?

    • Em outras palavras, é de código aberto?
    • A ferramenta ou serviço foi auditada por especialistas em segurança independentes do projeto de desenvolvimento de software ou da empresa provedora de serviços?
    • Qual foi a data da última auditoria? Existem planos para auditorias regulares?
    • A auditoria cobriu todos os componentes da ferramenta ou serviço, ou apenas alguns deles? No caso de um serviço, a infraestrutura do servidor foi auditada, ou apenas a interface do usuário?
    • Qual é a opinião dos especialistas independentes sobre a ferramenta ou serviço?

    A tecnologia está em um estágio maduro?

    • Há quanto tempo essa tecnologia está em funcionamento? Ela já provou sua durabilidade?
    • Ela tem uma ampla comunidade de desenvolvedores ainda ativa?
    • Quantos usuário ativos ela possui?

    Onde os servidores estão localizados?

    • Pode ser uma pergunta desafiadora, especialmente com a crescente adoção de serviços na nuvem, mas as pessoas desenvolvedoras e provedores de serviços confiáveis costumam divulgar essas informações em seus sites ou através de intermediários confiáveis.
    • É difícil tirar conclusões dessa informação, já que os servidores podem estar localizados em um país que protege as pessoas defensoras de direitos humanos e outros membros da sociedade civil em alguns estados, mas não em outros.
    • Geralmente, nos perguntamos se os servidores estão em um país que cumpriria solicitações de autoridades de países sem estado de direito, e se esse país aplica direitos humanos e proteção ao consumidor. Em suma, a questão é: as autoridades em países não democráticos têm o direito legal de apreender dados, acessar informações ou fechar esses serviços por causa da localização dos servidores?

    Quais informações pessoais são solicitadas das pessoas usuárias? Quais informações o proprietário/operador pode acessar?

    • O serviço ou ferramenta pede para que forneçam número de telefone, e-mail, apelido ou outras informações pessoalmente identificáveis?
    • Eles requerem a instalação de um aplicativo/programa dedicado que possa potencialmente realizar rastreamento de pessoas usuárias?
    • Qual é a declaração da política de privacidade deles? Estão protegendo a privacidade das pessoas usuárias e estão em conformidade com leis de privacidade como o Regulamento Geral de Proteção de Dados da União Europeia (GDPR)?
    • Quais informações são armazenadas nos servidores? Os termos e condições da empresa conferem ao proprietário o direito de acessar os dados das pessoas? Com que propósitos?
    • Quais recursos o aplicativo/programa terá acesso em um dispositivo: agenda de contatos, localização, microfone, câmera, etc.? É possível desativar essas permissões, ou o aplicativo/programa deixará de funcionar?

    Qual é o custo? É acessível?

    • Quando consideramos um serviço ou ferramenta, avaliamos seu custo. É acessível? Qual é o modelo de negócios das pessoas desenvolvedoras ou provedores?
    • Além do pagamento inicial, consideramos os custos de hospedagem, possíveis taxas de assinatura, o custo para aprender a usar e gerenciar a ferramenta ou serviço, a necessidade de suporte de TI e/ou equipamentos adicionais, entre outros.
    • Se a ferramenta ou serviço é fornecido de graça, nos perguntamos por quê. Quem está pagando pelo projeto se a ferramenta/serviço não é paga? É gratuito devido ao trabalho voluntário, é financiado por governos ou empresas, ou a empresa está realmente lucrando vendendo os dados de seus usuários para terceiros?

    Está disponível para múltiplos sistema operacionais e dispositivos?

    • O serviço ou ferramenta pode ser usado tanto em computadores quanto em dispositivos móveis? Está disponível apenas em sistemas operacionais proprietários como macOS e iOS, ou também em Linux? Se não estiver disponível em todos os sistemas operacionais, há uma alternativa confiável para outros dispositivos onde este serviço/ferramenta não pode ser usada?

    É amigável ao usuário? Será útil para pessoas em risco?

    • É confuso ou frustrante usar esta ferramenta com segurança, ou desenvolvedores/provedores fizeram um esforço para torná-la amigável à quem usa?
    • Defensores dos direitos humanos e outros em situação de risco continuam utilizando esta ferramenta ou serviço, ou tendem a desistir dela?
    • A interface de usuário é intuitiva? Ou, em alternativa, há documentação desenvolvida para explicar claramente como usar a ferramenta ou serviço?

    Foi traduzido para diferentes idiomas?

    • A ferramenta ou serviço foi adaptada para quantos idiomas?
    • A localização é atualizada regularmente?
    • Qual é a qualidade da localização?
    • A documentação está traduzida para vários idiomas para facilitar o entendimento seguro do serviço pelas pessoas usuárias?