18.03
2021
18:00
Rowan Philp

Formação

Como os jornalistas estão lidando com uma elevada ameaça de vigilância

Captura de tela: International Press Institute Tracker.

Repórteres investigativos em todo o mundo estão endurecendo seus hábitos de segurança digital, com a preocupação de que as leis emergenciais da pandemia, novas tecnologias de espionagem e a própria quarentena tenham exposto os jornalistas a ameaças ainda maiores de vigilância e assédio.

Em Hong Kong, a prisão do fundador do Apple Daily, Jimmy Lai, destacou a ameaça representada pela nova lei de segurança nacional, que a China impôs enquanto o mundo estava distraído pela pandemia. A lei criminaliza efetivamente a dissidência em relação a Pequim e permite a apreensão de "materiais jornalísticos".

Os governos de lugares como Tailândia, Brasil e Hungria usaram a crise pandêmica como pretexto para limitar o acesso à informação. Até mesmo democracias, como a África do Sul, criaram sanções contra a publicação de informações consideradas falsas.

Países menores fora dos holofotes das notícias globais também apresentaram algumas medidas particularmente duras. O Camboja aumentou as prisões e o assédio de jornalistas e proibiu a publicação de “informações que poderiam alarmar ou gerar medo no público”. A Sociedade Interamericana de Imprensa declarou em agosto que a intimidação e o assédio do Estado à imprensa na Nicarágua pioraram durante a pandemia, citando um registro de 351 casos de difamação on-line, censura e outros ataques durante o isolamento.

“Você precisa de ferramentas básicas de segurança apenas para garantir que não seja hackeado - na vida, ponto final - mas agora, como jornalista, é realmente sua responsabilidade ter uma boa higiene digital”, diz a jornalista Gisela Pérez de Acha, que também trabalha como especialista em segurança cibernética do Laboratório de Investigação do Centro de Direitos Humanos da Universidade da Califórnia, Berkeley. “A vigilância já era universal antes da pandemia, mas o que acontece agora é que certos tipos de vigilância estão sendo legitimados e legalizados por causa da pandemia”.

“E também estamos gastando muito mais tempo on-line, o que significa que algumas das reportagens que costumávamos fazer cara a cara, estamos fazendo digitalmente por meio do Zoom, que não tem criptografia de ponta a ponta, e até mesmo por meio de ligações telefônicas”, afirma.

Trabalho on-line aumenta a ameaça

Jornalistas têm relatado casos de espionagem e de “doxing”, assédio nas redes sociais em que identidade, endereço ou outros detalhes pessoais de alguém são tornados públicos. Em ago.2020, um repórter investigativo do programa de televisão ucraniano Schemes, Mykhailo Tkach, relatou evidências de escutas em sua casa, depois que fontes o advertiram de que suas reportagens haviam “irritado” altos funcionários do governo. (Dias depois, um carro usado pela equipe da Schemes foi incendiado.) Em julho, outra repórter investigativa ucraniana, Lyubov Velychko, recebeu ameaças e mensagens abusivas após expor o controle do Estado russo por trás dos canais de propaganda do Telegram.

Mas esses incidentes permanecem isolados, pelo menos por enquanto. Entrevistas com uma dúzia de jornalistas trabalhando com a pandemia, combinadas com uma pesquisa de notícias e relatórios de organizações não governamentais, não encontraram evidências de um aumento geral nas infrações digitais ou assédio durante a crise atual.

O que essas entrevistas descobriram, no entanto, foi a profunda preocupação de que repórteres estão mais vulneráveis do que nunca a esses ataques - e que vários jornalistas importantes estão aplicando medidas extras de segurança digital ou evitando o uso de ferramentas on-line, ou ambos, em seus processos de reportagem.

A principal preocupação desses jornalistas está em como a quarentena forçou os repórteres a migrar seu modelo de trabalho para as plataformas digitais, ao invés de cara a cara: que o grande volume de seu trabalho no espaço digital aumentou a ameaça de que sua comunicação com as fontes possa ser interceptada. Em muitos casos, eles podem nem perceber que ocorreram invasões, de acordo com especialistas em segurança digital.

Os especialistas concordam que os repórteres não devem permitir que a aparente onipresença de ameaças on-line desencoraje suas investigações, usando higiene digital básica para a maioria das investigações e aplicando segurança avançada e pouca tecnologia para pautas que eles pré-identificam como de alto risco. Nem toda reportagem requer telefones descartáveis e criptografia de ponta a ponta. Mas eles dizem que o aumento da ameaça de hackers apresentada pelas condições de pandemia significa que - "como passar fio dental" - certos princípios de higiene não são mais opcionais, como usar gerenciadores de senhas, sempre atualizar aplicativos, usar autenticação de dois fatores e reconhecer que os telefones representam a principal vulnerabilidade.

Spyware “zero cliques”, uma nova arma silenciosa

O ataque cibernético contra o jornalista investigativo marroquino Omar Radi oferece talvez o exemplo mais assustador do uso de novas tecnologias para hackear repórteres - e a ameaça de que os governos poderiam usar a compra legítima de tecnologia para rastrear a contaminação por covid-19 como disfarce para a compra de equipamentos de vigilância das mesmas empresas.

Uma representação de como as novas tecnologias de spyware de "zero cliques" estão ameaçando as comunicações dos repórteres.
Gráfico: Anistia Internacional

Radi foi condenado a quatro meses de pena suspensa em março por criticar um juiz que manteve um veredicto contra ativistas pró-democracia e, desde então, foi detido várias vezes pela polícia.

Uma investigação forense realizada pela unidade de Tecnologia da Anistia Internacional revelou que o telefone de Radi havia sido o foco de um sofisticado ataque que redirecionou o navegador do dispositivo para um site que silenciosamente instalou um spyware Pegasus. “O Grupo NSO, empresa israelense comercializando sua tecnologia na luta contra a covid-19, contribuiu para uma campanha do governo de Marrocos para espionar o jornalista marroquino Omar Radi”, afirma o relatório. “Quando o Pegasus é instalado, o invasor tem acesso completo às mensagens, e-mails, mídias, microfone, câmera, chamadas e contatos do telefone. Esses ataques, chamados de “network injection", são conhecidos pela dificuldade em serem detectados pela vítima, pois deixam poucos vestígios”. Tanto a NSO quanto o governo marroquino negaram as descobertas da Anistia.

O mais preocupante sobre a nova ameaça é sua necessidade de "zero cliques", diz Danna Ingleton, vice-diretora da unidade de Tecnologia. “No passado, as tecnologias da NSO - particularmente o Pegasus - teriam que enviar a você algum tipo de mensagem de texto construída socialmente, dizendo algo para fazer você clicar em um link, e esse site infectaria seu sistema. Mas com essa “network injection”, você não precisa clicar em nada. Você poderia apenas receber uma chamada perdida. Você pode fazer de tudo para se manter seguro e ainda assim correr risco”.

Ingleton diz que há uma necessidade urgente de uma suspensão global nas vendas desse tipo de software até que sejam criadas regulamentações eficazes para evitar abusos.

“Precisamos que os jornalistas continuem preocupados com sua privacidade, exponham violações de sua privacidade e entrem em contato com organizações como a Anistia para tornar essas situações públicas e encontrar os responsáveis”, diz ela.

Avaliando o risco para cada história

A jornalista investigativa Pérez de Acha, baseada na Califórnia, suspeita que as fontes de uma história de terrorismo que ela está investigando possam estar sob vigilância das autoridades federais dos Estados Unidos - e que, como resultado, suas próprias comunicações podem estar sendo monitoradas.

Tendo usado “telefones descartáveis” anteriormente apenas em países em desenvolvimento, como o México, ela agora está usando números de cartão SIM descartáveis, em vez de um telefone vinculado à sua identidade, nos EUA. “Mas isso é apenas por causa da natureza da história”, diz ela. “Então eu ajusto meu comportamento. A isso, você acrescenta que, por causa da pandemia, não posso ver minhas fontes pessoalmente. Tudo é digital ou por telefone, embora eu sugira [que as fontes usem] o Signal [um aplicativo de mensagem criptografada]. Mas nem sempre isso acontece”.

Pérez de Acha enfatiza que a maioria das investigações não apresenta alto risco para hacks sofisticados e que os repórteres precisam usar um modelo básico de ameaça para avaliar quanta proteção digital precisam, e não serem limitados pela paranoia.

“Também é bom dividir a preocupação com a vigilância por tema - não é o mesmo risco fazer uma reportagem sobre moradores de rua do que sobre atividades terroristas”, diz ela. “Se você está fazendo uma reportagem sobre assistência médica, provavelmente não está correndo riscos, apenas use senhas fortes e não seja bobo. Estou em Berkeley, então digamos que estou investigando a polícia de Berkeley. Qual é a probabilidade de eles terem grampeado meu telefone? Bem, eles precisariam do mandado de um juiz, ou talvez alguém da T-Mobile possa ser uma fonte, ou eles têm ferramentas avançadas para me hackear. Honestamente, para a polícia local, esse risco não é tão alto”.

Pérez de Acha diz que a pandemia destacou a importância de evitar que os mundos profissional e pessoal se misturem on-line.

Ela conta que um repórter que ela conhece na Califórnia fez um pedido de acesso a informações para obter dados de propriedade de armas, usando seus dados pessoais. De acordo com Acha, ele então recebeu uma série de ameaças dirigidas a ela e sua família - por meio dos dados pessoais de contato que ele listou no formulário - de ativistas de “extrema direita”, que eram tão sérias que ele foi forçado a abandonar a investigação.

Fahmida Rashid, uma repórter sênior do site de notícias sobre segurança Decipher, diz que muitos repórteres - incluindo ela mesma - agora estão usando caixas postais para compartilhar documentos, para fontes que podem não estar dispostas a criar um e-mail criptografado, como o Protonmail.

“Certamente veremos abusos do governo durante esta pandemia e você deve se preocupar se isso persistirá”, diz ela. “Há precedentes nos Estados Unidos, depois do 11 de setembro, com o Ato Patriota que foi usado para forçar jornalistas a revelar suas fontes, tudo sob o manto de investigações antiterrorismo”.

Rashid diz que a maioria de seus colegas repórteres em Hong Kong e Taiwan estão usando o Telegram e o Signal para troca de mensagens, em vez do WeChat - apesar da onipresença dessa plataforma na região. O WeChat, que tem sede na China, é um alvo frequente dos censores do governo e de trolls, enquanto o Telegram e o Signal são criptografados e têm registros de independência.

O desafio da segurança aumenta para freelancers

Talvez o mais ameaçador seja o fato de que pessoas mal intencionadas estão começando a explorar uma das principais forças do jornalismo - a curiosidade - como uma vulnerabilidade digital.

Em 2019, o The Great Saudi Podcast - uma série investigativa apresentada pela jornalista saudita exilada Safa al-Ahmad - recebeu uma estranha mensagem direta em sua conta no Twitter.

A primeira temporada do podcast tratou do assassinato de Jamal Khashoggi - o dissidente saudita e colunista do Washington Post - e a mensagem do Twitter solicitava um e-mail seguro para o envio de um vídeo que dizia estar relacionado ao assassinato.

Além de ser uma cineasta independente premiada - que revelou um levante no leste da Arábia Saudita em 2015 - Al-Ahmad era amiga de longa data de Khashoggi.

“Então eu respondi, 'OK ...' e então eles começaram a dizer coisas como: nós contrabandeamos um vídeo para fora do consulado, temos todo o assassinato gravado, corremos muitos riscos”, lembra Al-Ahmad . “E então eles enviaram imagens tiradas do suposto vídeo. A pessoa que gerenciava nossa conta abriu as imagens. As fotos eram estranhas e intrigantes, do ponto de vista jornalístico. Mostrava um cadáver no chão, imagens bastante fortes. A primeira coisa em que eu tive que pensar foi a segurança digital, e eu estava pensando: ‘Fomos violados ... você precisa jogar seu telefone fora já’”.

Al-Ahmad diz que ainda não sabe a verdadeira intenção por trás da mensagem, embora tenha encontrado a versão original do vídeo e concluído que não mostrava o assassinato de seu amigo.

No entanto, para ela, o incidente ecoou um padrão recente em que os jornalistas são alvo de mensagens que despertaram sua curiosidade profissional ou referem-se a conexões pessoais.

“É assim que outros repórteres foram hackeados com o Pegasus. Lembro de como um repórter recebeu um ‘alerta do Ministério da Justiça’ sobre um caso judicial que estava cobrindo”, conta. “Foi um lembrete de como a comunicação digital pode ser perigosa para um jornalista. Isso é importante, porque sou mais cautelosa do que a maioria e ainda poderia ter sido [hackeada]. Como jornalista, eu queria ver aquele link, aquela foto. Eu conhecia Jamal há 20 anos; não era apenas uma história, era pessoal para todos nós”.

No entanto, Al-Ahmad destaca que, como freelancer, foi apenas devido ao seu relacionamento com a unidade de pesquisa de ameaças digitais do Citizen Lab da Universidade de Toronto que ela foi capaz de avaliar a ameaça potencial.

Em geral, ela diz que a crescente ameaça representada por regulamentações e práticas relacionadas à pandemia apresenta um desafio maior para jornalistas freelance, que não têm suporte institucional para sua segurança digital.

“Isso também faz parte do que significa ser um jornalista saudita no exílio agora: essa absoluta paranoia sobre cada interação digital, constantemente, e agora, por causa da covid-19, há um risco maior de monitoramento”, diz ela. “Não posso simplesmente marcar uma reunião e dizer: ‘Ok, só vou perguntar o que preciso saber quando te encontrar’. Tudo tem que ser digital ou por telefone - e o Signal tem sido meu melhor amigo durante a pandemia. A segurança digital agora é de extrema importância e os freelancers como um grupo estão muito vulneráveis”, diz ela.

“Estamos na retaguarda dos funcionários, que costumam receber laptops e telefones celulares limpos para o trabalho. Mas, como freelancer, não posso me dar ao luxo de comprar celulares descartáveis constantemente. Não posso perder o número que [meus contatos] sabem onde me encontrar. Não posso cobrir os custos da verdadeira higiene digital, então a questão é: até que ponto posso ser responsável?”

Al-Ahmad diz que ficou receosa com a recente revelação de que o Zoom era vulnerável a ataques hacker para usuários com versões mais antigas do Microsoft Windows.

“Normalmente eu concordo em fazer reuniões no Zoom e depois deletar o programa, mas depois dessa notícia [da vulnerabilidade de hacking no Windows], não quero esse programa no meu computador”, afirma ela. "Quer dizer, a pessoa que está fazendo a chamada do Zoom - eu nem sei qual é o computador dela. Não posso perguntar às fontes: quais são as especificações do seu computador? Você atualizou recentemente?”.

Telefones continuam sendo o principal alvo de espionagem

Uma ameaça mais comum que surge sob os vários bloqueios implementados em todo o mundo é o uso de dados básicos de chamadas pelas autoridades - em vez do conteúdo das conversas - como forma de perturbar tanto repórteres quanto suas fontes.

Na Nigéria - antes da pandemia - descobriu-se que a polícia usava registros de chamadas de contas de telefone de repórteres para identificar fontes através dos números chamados com frequência.

“Os repórteres afetados na Nigéria ficaram chocados - este não era o tipo de vigilância que eles esperavam”, conta Jonathan Rozen, pesquisador sênior do programa para a África do Comitê para a Proteção de Jornalistas (CPJ). “Estamos falando de dados de chamadas bastante rudimentares. Informações aparentemente inofensivas foram levadas com bastante seriedade para prender jornalistas por seu trabalho. A polícia teve acesso aos dados das ligações dos repórteres, que incluem as pessoas para as quais ligavam com mais frequência e, com base nessas informações, entraram em contato com essas pessoas e, em alguns casos, trouxeram-nas sob custódia e obrigaram-nas a convocar os jornalistas que eram alvo das investigações”.

Rozen diz que os primeiros sinais de aumento da vigilância durante a pandemia indicam que os repórteres na África e em outros lugares precisam estar mais alertas. Em julho, Rozen foi o autor de um relatório do CPJ que revelou que as forças policiais de Gana haviam adquirido tecnologia avançada para hackear telefones, que foi usada em outros lugares para selecionar as comunicações dos telefones celulares de jornalistas.

“Desde o início da pandemia, muitos jornalistas temem que os Estados possam expandir seus poderes de vigilância no contexto da quarentena, e isso pode ser usado para abusos contra repórteres”, diz Rozen.

Alguns procedimentos extremos de higiene digital podem incluir: desmarcar certas opções como "verificar a ortografia ao digitar", "fornecer sugestões de pesquisa" e "bloquear todos os cookies" nas preferências da barra de pesquisa do navegador, para reduzir as chances de seu mecanismo de pesquisa alcançar pontos externos. Ou evitar navegadores que consomem muitos dados, como o Chrome e o Internet Explorer, usando um mecanismo de busca com foco na privacidade como o DuckDuckGo. No entanto, especialistas como Pérez de Acha consideram que as limitações impostas por algumas dessas opções superam o risco de exposição.

Diversas organizações de apoio ao jornalismo desenvolveram guias gerais de segurança digital para repórteres, incluindo o CPJ. Depois de fazer as entrevistas para escrever esta história, GIJN está atualizando seus próprios guias. Aqui estão 10 ferramentas e técnicas que os especialistas dizem ser particularmente eficazes para o período de pandemia e após:

Crie um telefone descartável virtual: configure o Google Voice como um "telefone descartável virtual". Uma característica surpreendente das entrevistas conduzidas foi que os números de várias fontes discados pela GIJN não eram seus telefones pessoais, mas um número aleatório atribuído pelo Google Voice. “Acho que provavelmente apenas meu namorado e minha mãe sabem meu número real”, observa Perez de Acha. Mas ela adverte que o próprio Google ainda é vulnerável a investigações legais por obter dados.
Obtenha um navegador protegido: use um navegador bem protegido, como o Firefox, e exclua navegadores não compatíveis, como o Internet Explorer, de seu sistema.
Use comunicações criptografadas: para assuntos delicados, peça às fontes para usar sistemas de comunicação criptografados de ponta a ponta, como Protonmail para e-mail e Signal para mensagens de texto. Sistemas criptografados mais familiares como o WhatsApp podem ser suficientes - mas tenha em mente que o WhatsApp arquiva metadados. Se isso não funcionar, ofereça às fontes um endereço de caixa postal para documentos confidenciais.
Atualize o Windows: se você estiver usando o Windows 7 ou uma versão anterior em seu PC, evite usar o Zoom até que tenha atualizado para uma versão mais recente do Windows ou instalado um micropatch (programa que corrige bugs e vulnerabilidades de softwares) para corrigir uma falha de segurança no Zoom detectada em 09.jul.2020. Jitsi é uma boa alternativa de código aberto para reuniões virtuais, embora seu número de participantes seja limitado.
Separe o pessoal do profissional: se possível, evite que seus mundos profissional e digital se misturem, usando métodos como contas de mídia social que podem ser deletadas e comunicações criptografadas. Nunca use seu próprio endereço ao fazer solicitações de acesso às informações.
Denuncie ataques: embora não haja atualmente nenhuma proteção contra ataques de spyware de "zero cliques" - além de trabalhar sem se conectar à internet - denuncie esses ataques a unidades forenses, como a equipe de tecnologia da Anistia Internacional, e talvez também a seu público.
Crie contas descartáveis: Use contas descartáveis de redes sociais - não vinculadas à sua identidade pessoal - ao monitorar passivamente grupos de bate-papo extremistas ou potencialmente ameaçadores. No entanto, use sua conta profissional e seu status de jornalista ao abordar um entrevistado em potencial que você identificou nesses grupos.
Obtenha um gerenciador de senhas: Use um gerenciador de senhas gratuito que é de confiança de jornalistas, como o LastPass, que irá gerar senhas seguras sob uma única senha mestra que você escolher.
Use uma VPN: Configure uma rede privada virtual (VPN) que criptografa sua conexão com a Internet - usando um sistema confiável como o Tunnel Bear - para ajudar a proteger sua privacidade digital.
Use autenticação de dois fatores: usar apenas um nome de usuário e senha para contas hoje é como ter apenas uma fechadura simples e um olho mágico na porta da frente durante uma onda de crimes. Assim, os especialistas recomendam a autenticação de dois fatores, que - embora seja um pouco chata - pode ser fácil ao seguir bons guias passo a passo, como este produzido pelo The Verge.

Se há alguma consequência positiva da pandemia para a imprensa, é que a segurança pode estar finalmente se tornando uma prática de rotina para jornalistas que investigam temas delicados. “Na verdade, acho que é um mito que a segurança digital requer muitos recursos de tecnologia e muito dinheiro”, diz Pérez de Acha. “Pode ser muito fácil e até mesmo muito divertido - você só precisa pesquisar”.

Leia mais sobre o assunto

Para obter mais informações sobre segurança digital, consulte o Guia do Centro de Recursos da GIJN para Segurança Digital; esta cartilha sobre como melhorar sua segurança digital como jornalista investigativo; e esta matéria da GIJN sobre como jornalistas em regiões diferentes precisam avaliar sua segurança digital de maneiras diferentes.

Rowan Philp é repórter da GIJN. Rowan foi repórter-chefe do Sunday Times da África do Sul. Como correspondente estrangeiro, ele relatou notícias, política, corrupção e conflitos em mais de duas dezenas de países ao redor do mundo.

Tradução: Ana Beatriz Assam