Como Blogar Anonimamente Usando o WordPress e o Tor

Guilherme Barcelos nos presenteou graciosamente com a tradução deste texto, publicado originalmente no site Global Voices Advocacy, e que trata sobre o uso do Tor em conjunto com o WordPress para possibilitar a blogagem anônima.

Blogar no anonimato com WordPress & Tor

Baixe este guia em pdf guide [em Inglês]

Link para o post original, por Ethan Zuckerman.

Tradução de Guilherme Barcellos.

Outra Ferramenta deste guia: Geo-bombardeio.

Uma versão anterior deste guia foi escrita por Ethan Zuckerman em 13 de abril de 2005 e atualizada em 1º de outubro de 2006. Em 8 de agosto a Global Voices Advocacy publicou uma versão do guia em HTML atualizada e linkável, facilitada para blogar, junto com um arquivo em PDF.

Anonymous Blogging with WordPress and Tor

Introdução
Termo de Responsabilidade
Passo 1: seu IP
a) Instale Firefox.
b) Instale Tor.
c) Instale Torbutton.
d) Ligue o Tor dentro do Firefox e faça um teste.
Instruções Alternativas
a) Baixe o navegador XeroBank (xB Brouser).
b)  Teste o XeroBank.

a) Escolha o provedor de correio eletrônico.
b) Ligue Tor de dentro do navegador, ou ligue o XeroBank.
c) Confira se pode entrar na conta de e-mail.
Passo 3: Registre seu novo blog anônimo.
a) Ligue o Tor no navegador.
b) Link de ativação do WordPress.

Passo 4: Publique em seu blog.
a) Escreva seu ‘post’ offline.
b) Entre no WordPress.com.
Edit a Data e Hora.
Passo 5: Cubra suas pistas.
a) Apague os rascunhos
com segurança.
b) Limpe o histórico, cokies e senhas do Firefox.
Alguns pensamentos finais.
Um último pensamento em anonimato.

Introduction

Uma das maiores alegrias de trabalhar na  Global Voices tem sido a chance de trabalhar com pessoas que estão se expressando apesar das forças poderosas que trabalham para os manterem calados. Trabalhei com vários autores que queriam escrever sobre problemas pessoais ou políticos na rede, mas que se sentiam incapazes a não ser que tivessem a segurança de que seus textos não poderiam revelar sua identidade. Estes autores incluem ativistas de direitos civis em dúzias de nações, trabalhadores humanitários em países repressores e também apitadores em companhias e governos.

Eu escrevi um guia técnico sobre como blogar no anonimato e publiquei no Global Voices, mostrando métodos diferentes de se blogar anonimamente. Desde então, tenho liderado oficinas em lugares diferentes do mundo e me sinto confortável em ensinar um conjunto de ferramentas – Tor, WordPress e várias contas de e-mail grátis – que usados conjuntamente podem assegurar um nível muito alto de anonimato. Este guia que segue abaixo não lhe oferece nenhuma opção – apenas o leva por uma solução detalhadamente.

Sinta-se livre em ignorar as seções “porque” do guia se você quiser uma leitura mais rápida e se você é do tipo de pessoa que não precisa saber o porquê de se fazer algo. Espero formatar de uma forma mais bonita no futuro, permitindo que as seções “porque” possa ser expandidas ou comprimidas, encurtando o documento.

Se eu não tiver sido claro em algum lugar no documento ou se tiver errado, por favor me conte nos comentários – isto é um rascunho que espero limpar antes de postar no Global Voices. Se achar útil e quiser divulgar, faça – como quase tudo neste site, ele está licenciado na licença Creative Commons 2.5, que significa que você pode imprimir em xícaras de café e vende-las, se achar que há um mercado e dinheiro para se ganhar.


Termo de Responsabilidade

Se você seguir estas instruções com exatidão, você reduzirá muito das chances de sua identidade ser ligada ao que você escreve para a web através de métodos técnicos, i.e., através de uma agência do governo ou da polícia conseguindo os dados de um Servidor Provedor de Internet. Infelizmente, eu não posso garantir que elas funcionem em todas as circunstâncias, incluindo as suas, nem posso aceitar responsabilidade, criminal ou civil, se o uso ou mal uso destas instruções lhe trouxer problemas legais, civis ou pessoais.

Estas instruções não previnem que você seja rastreado através de outros métodos, como logs de teclado (a instalação de um programa em seu computador que registra todas toques no teclado) ou vigilância tradicional (observação a tela do seu computador com uma câmera ou binóculos). Na verdade a maioria das pessoas são rastreadas por métodos não tecnológicos: eles escrevem algo que deixa pista sobre sua identidade, ou contam sua identidade para alguém que depois se mostra indigno de confiança. Não posso ajudar nestas batalhas a não de dizendo para ser cuidadoso e esperto. Para um guia melhor em “ser cuidadoso e esperto”, recomendo o guia “Como Blogar Com Segurança [Inglês]” do EFF.

Para as postagens:

Passo 1: Disfarce seu IP.

Todo computador na internet tem ou divide um endereço IP. Estes endereços não são a mesma coisa de um endereço físico, mas podem levar um sistema de administração inteligente até o seu endereço físico. Particularmente, se você trabalha para um ISP – Internet service provider, você geralmente associa um endereço IP com o número de telefone que requereu aquele IP em uma hora específica. Então antes de fazer alguma coisa anonimamente na internet, precisamos de disfarçar nosso IP.

O que fazer se você quer blogar de sua casa ou estação de trabalho:

a) Instale o Firefox. Baixe do site do Mozilla e instale no computador que usa para blogar.

install-firefox

Por quê?
O Internet Explorer tem alguns buracos de segurança que podem comprometer sua segurança online. Estes buracos ficam sem registro por mais tempo no IE do que em outros navegadores. (Não acredita em mim? Pergunte ao Bruce Schneier.) Ele é o navegador mais vulnerável a ‘spyware’ que você pode inadvertidamente baixar de um site. E muitas das ferramentas de privacidade estão sendo escritas para trabalharem especificamente com o Firefox, incluindo o Torbutton, que usaremos num passo adiante.

b) Instale o Tor. Baixe o programa do site do Tor. Se o acesso ao site do Tor for bloqueado em seu país, há alguns espelhos em outros lugares de onde pode ser baixado. Escolha a “versão estável mais nova” para sua plataforma e baixe para sua mesa. Siga as instruções que estão `a direita na versão que você baixar. Você irá instalar dois pacotes de software e precisará fazer algumas mudanças em sua nova versão do Firefox.

install-torwizard1wizard2

wizard3

wizard4

Por quê?
Tor é uma rede de servidores proxy sofisticada. Os servidores proxy requerem uma página web para você, o que significa que o servidor web não vê o endereço IP do computador que solicitou a página. Quando você acessa o Tor, você está usando três servidores proxy diferentes para voltar a cada página. As páginas são encriptadas quando em trânsito entre os servidores, e mesmo que um ou dois servidores na cadeia estejam comprometidos, será muito difícil ver qual página da web você está acessando ou postando.

Tor instala outro software, Privoxy, que aumenta o nível de segurança do seu navegador, bloqueando cookies e outras partes de busca de software. Convenientemente, ele também bloqueia muitos anúncios que você encontra em páginas da web.

install_torbutton5

c) Instale Torbutton. Leia sobre e instale seguindo as instruções na página de instalação. Você precisará estar usando o Firefox para instalar facilmente – do Firefox, será apenas pedida sua permissão para se auto-instalar desde a página mencionada acima.

install_torbuttonnstall_torbutton2

Por quê?
Ligar o Tor manualmente significa se lembrar de mudar as preferências do navegador para usar um servidor proxy. Este é um processo de múltiplos passos, que as pessoas geralmente se esquecem de fazer. Torbutton faz o processo com um simples clique de mouse e lembra se você está usando o Tor ou não, que pode ser bastante útil.

Você pode achar que o Tor diminui a velocidade do seu uso da web – isso é resultado dos pedidos no Tor serem passados pelos 3 proxies antes de chegarem ao servidor web. Algumas pessoas – eu também – só usam o Tor em situações em que seja importante disfarçar a identidade e fora disso desligam o Tor – Torbutton faz este procedimento ficar bem fácil.

install_torbutton3install_torbutton4

d) Ligue o Tor no Firefox e teste.  Com o Tor ligado, visit esta URL (https://torcheck.xenobite.eu/). Será aberto um alerta de caixa de diálogo de segurança – incapaz de verificar a identidade do xenobite.eu como um site confiável. Clique OK para aceitar o certificado auto-assinado para a sessão.

Accept Tor Check

Depois de clicar, se você receber esta mensagem dizendo, “Seu IP foi identificado como um Tor – EXIT. Então você está usando o Tor com sucesso para entrar na web.”, assim você conseguiu instalar tudo corretamente e está pronto para o próximo passo.

Tor Check yes

Se, ao contrário, você receber uma mensagem dizendo, “Seu IP não foi identificado como um Tor-EXIT. Então você não está usando o Tor para conectar na web.”

Tor Check no

Por quê?
Sempre é uma boa idéia ver se o software que você instalou funciona, especialmente quando está fazendo algo tão importante como o Tor faz. A página que você está acessando checa de qual endereço IP a solicitação está vindo. Se for de um nódulo conhecido do Tor, Tor está trabalhando corretamente e seu IP está disfarçado – se não, algo está errado e você deveria tentar descobrir porque o Tor não funciona direito.

Instruções Alternativas se você for escrever principalmente de computadores compartilhados (em lan houses ou cybercafés) ou se você não puder instalar programas no computador.

a) Baixe o navegador XeroBank (xB Browser) ou o Tor on a Stick (ToaSt). Baixe o pacote do site do navegador xB Browser em computador que você possa baixar e salvar arquivos. Insira sua pendrive USB e copie o sB-Browser.exe em sua pendrive. Usando esta USB e qualquer computador com Windows, você pode acessar o navegador protegido pelo Tor. Isto irá abrir um novo navegador de onde você poderá acessar a web com o Tor. Em computador compartilhado, desligue o navegador padrão. Insira a pendrive, ache o sistema de arquivos da pendrive na mesa (desktop), e clique duas vezes no xB-Browser_latest.exe. Isto irá abrir um novo navegador cujo acesso `a web se faz através do Tor.

download xerobankrun xerobankInstall xerobank

b) Test se o XeroBank Browser está funcionando visitando o site de teste do Tor com o navegador com Tor tendo a certeza de receber a mensagem “Seu IP foi identificado como Tor-EXIT”.

xerobank Enabled

Por que?
XeroBank é uma versão altamente especializada do navegador Firefox com Tor e Privoxy já instalados. Ele foi desenhado para ser colocado em um pendrive USB para que você possa acessar o Tor de computadores compartilhados que não permitem a instalação de software. Enquanto eu recomendo o XeroBank e o use quando estou viajando, ele não é oficialmente apoiado pelas pessoas do Tor – eles não gostaram quando as versões iniciais do programa não liberaram o código fonte, o que quer dizer que era impossível determinar precisamente o que o XeroBank fez e como ele usou o código fonte do Tor. Uma versão mais recente do programa inclui o código fonte – será interessante ver se os programadores do Tor irão oferecer suas bençãos a esta versão. Roger Dingledine do Tor também já disseram que ele e seus colegas estão planejando uma versão open source de um navegador portátil com o Tor já instalado, mas a data de lançamento deste projeto é desconhecida.

Passo 2: Gere um nova conta de e-mail, que seja difícil de achar.

A maioria dos serviços web – incluindo os serviços de hospedagem de blogs – requerem um endereço de e-mail para se comunicarem com os usuários. Para os nossos objetivos, este endereço de e-mail não pode conectar com nenhuma informação pessoal identificável, incluindo o endereço IP que usamos para inscrever no serviço. Isto significa que precisamos de uma nova conta toda vez que usamos o Tor, e precisamos ter certeza que nenhum dado que usamos – nome, endereço, etc. – pode levar até nós. Você NÃO deve usar uma conta de e-mail já existente – é bem provável que você tenha aberto esta conta com um IP não disfarçado, e a maioria dos provedores de email guardam os endereços IP com o qual assinamos.

a) Escolha o provedor de correio eletrônico – recomendamos Hushmail, Vaultletsof e Gmail, mas se estiver usando o Tor pode usar o Yahoo ou Hotmail também. Além disso, você pode facilmente registrar um provedor grátis e rápido com o fastmail.fm.

webmail providers

Por quê?
Webmail é o melhor modo de se criar um endereço de e-mail “descartável”, um que você pode usar para se inscrever em serviços e ignorar depois. Mas muitos usuários também usam webmail como seu e-mail principal. Se você fizer isto, é importante entender algumas vantagens e fraquezas dos diferentes provedores de e-mail.

Hotmail e Yahoo têm ambos uma “característica de segurança” que deixa os defensores da privacidade muito infelizes. Ambos incluem o endereço IP do computador usado para enviar mensagens. Isto é relevante se você estiver acessando estes serviços com o Tor, já que o endereço IP será um endereço IP Tor, e não o seu endereço IP. Mais, Hotmail e Yahoo não oferecem interfaces seguras de HTTP para o e-mail – de novo, isso não afeta se você for usar o Tor todas as vezes que usar estes serviços. Mas muitos usuários vão querer checar seus e-mails em circunstancias onde não têm o Tor instalado – para sua conta de e-mail, é bom escolher um provedor que tem uma interface https para o e-mail.

Hushmail oferece e-mail com um alto nível de segurança. Eles apóiam a criptografia PGP – que é muito útil se você se corresponder com pessoas que também usam PGP. Sua interface para o e-mail usa https e ele não inclui o IP de quem envia nas mensagens geradas. Mas eles são um serviço que visa o lucro e só oferecem serviços limitados para usuários não pagantes. Se você se registrar em uma conta grátis, você tem de acessar a cada duas semanas para ter certeza de que o sistema não vai deletá-lo. Por serem agressivos na idéia de transformar usuários gratuitos em pagantes, e porque o sistema deles usa muitos applets do Java, algumas pessoas acham que o Hushmail não é a melhor escolha para elas.

Gmail, apesar de não anunciar a si mesmo como um serviço de e-mail seguro, tem algumas características interessantes embutidas. Se quiser visitar esta URL especial, sua sessão inteira com o Gmail será codificada através do https. (eu recomendo marcar essa URL e usar com todas as sessões com o Gmail). Gmail não inclui o IP que origina nos cabeçalhos do e-mail, e você pode adicionar PGP apoio ao Gmail usando o serviço FreeEnigma, uma extensão do Firefox que adiciona criptografia forte ao Gmail (isso funciona com outros serviços de e-mail também).

um aviso sobre as contas de todos – você está confiando seu e-mail `a companhia que oferece o serviço. Se esta companhia for cortada, ou se for pressionada por outros governos a revelar informações, eles terão acesso aos textos de todos as mensagens que você enviou e recebeu. O único modo de evitar isso é escrever suas mensagens em um editor de texto, codificar em seu computador usando PGP e mandar para alguém que também use PGP. Este modo é além do nível de segredo que a maioria de nós queremos ou precisamos, mas é importante lembrar que você está confiando em uma companhia que pode ou não agir com os seus interesses defendidos. Yahoo, em particular, tem um péssimo hábito de dar informação ao governo Chinês – dissidentes chineses estão processando a companhia por divulgarem seus dados ilegalmente. Apenas algo para se pensar quando você decidir em quem confiar…

b) Ligue Tor de dentro do navegador, ou ligue o XeroBank. Visite o site de e-mail de sua escolha e registre uma nova conta. Não use informação que possa levar a sua identificação –  considere se tornar um nome comum em um país com muitos usuários da web, como os USA ou Inglaterra. Crie uma senha boa e forte (no mínimo 8 caracteres, inclua pelo menso um número ou um caracter especial) para a conta e use um nome parecido com o que você irá chamar o seu blog.

c) Confira se pode entrar na conta de e-mail e mandar mensagens enquanto o Tor estiver ligado. É possível que o Tor troque de circuito a cada 10 minutos e isso pode interromper as operações do e-amil, então você pode cogitar limitar o processo de escrever uma nova mensagem em 10 minutos.

Passo 3: Registre seu novo blog anônimo.

a) Ligue o Tor em seu navegador, ou ligue o XeroBank. Visite o WordPress.com e crie uma nova conta clicando no link “Cadastre-se agora!”. Use o endereço de e-mail que você acabou de criar e cire um nome de usuário que será parte do endereço do seu blog: onomeescolhido.wordpress.com

wordpress1

b) WordPress mandará uma mensagem com um link de ativação para sua conta de e-mail. Use o navegador com o Tor para receber esta mensagem e siga o link indicado. Isso permite ao WordPress saber que você usou uma conta de e-mail e que eles podem te alcançar quando tiverem atualizações no serviço deles – como resultado, eles farão com que seu blog seja visível publicamente e mandarão sua senha. Você terá de checar seu e-mail novamente para encontrar a senha.

c) Usando o Tor, entre em seu novo blog usando seu nome de usuário e senha. Clique em “My Dashboard”, e “Update your profile or change password”. Mude sua senha para uma senha forte que você possa lembrar. Adicione informação ao seu perfil também… só tenha certeza que nenhuma informação esteja ligada a você.

Passo 4: Publique em seu blog.

a) Escreva seu ‘post’ offline. Isso não é apenas uma boa maneira de evitar que você perca um post se o navegador falhar ou perder a conexão, é também uma forma de criar seus posts em lugares mais privados do que um cybercafé. Um editor simples, como o Wordpad ou Windows, é o melhor a ser usado. Salve seus posts como arquivos de texto (depois de blogar, sempre se lembre de retirar estes arquivos completamente da máquina, usando uma ferramente como Eraser ou Ccleaner que está disponível em muitas línguas e apaga os arquivos temporários automaticamente dos navegadores instalados ou outras aplicações).

b) Ligue o Tor, ou use o XeroBank e ntre no WordPress.com. Clique em “escrever” para escrever um novo post. Corte e cole seu post do arquivo de texto na janela do post. Nomeei seu post e coloque as categorias que você quer usar.

c) Edit a Data e Hora. Antes de “Publicar”, há um passo importante. Clique na barra azul no lado direito da tela que diz “Publicar imediatamente – Editar””. Escolha uma hora futura – ideal é usar um intervalo geral e usar um número diferente a cada vez. Isto colocará um atraso variável no tempo em que seu post irá realmente aparecer no site – WordPress não colocará seu post até que chegue a hora que você especificou.

wordpress2

Por quê?
Editando a hora, você está se protegendo de alguém que alguém possa estar usando para determinar sua identidade. Imagine que esteja escrevendo um blog chamado “Abaixo a Companhia de Telecomunicações da Etiópia”! Alguém na ETC pode começar a acompanhar seu blog bem de perto e imaginar se algum de seus clientes está escrevendo o blog. Eles começam a gravar as horas que um post foi feito em abaixoaetc.wordpress.com e checar estas horas com os dados que têm. Eles descobrirão que alguns segundos antes de cada post ser feito em uma série de um mês, um de seus clientes estava acessando um ou outro nódulo do Tor. Eles irão concluir que este usuário está usando o Tor para blogar e irão levar esta informação para a polícia.

Trocando a hora dos posts, fazemos com que seja mais difícil este ataque para o provedor de serviços de internet. Agora eles terão que acessar os dados do WordPress também, que são bem mais difíceis de conseguir do que seus próprios dados. É um passo muito fácil de fazer que aumenta sua segurança.

Passo 5: Cubra suas pistas.

a) Apague com segurança os rascunhos. Apague com certeza os rascunhos do seu post de seu laptop ou pc caseiro. Se precisar de um pendrive USB para trazer o post ao cybercafé, você também precisará apagá-lo. Não basta mover o arquivo para o lixo e esvaziar a lixeira – você precisa de uma ferramenta de apagar com segurança como o Eraser ou Ccleaner que escreve por cima o antigo arquivo com dados que fazem com que seja impossível de encontrar. Em um Macintosh esta função já é embutida – leve o arquivo para o lixo e escolha “Esvaziamento Seguro do Lixo” no menu do Finder.

b) Limpe o histórico, cokies e senhas do Firefox. Dentro da guia Ferramentas, selecione “Limpar Dados Pessoais”. Selecione todas as caixas e aperte “OK”.  Você pode querer ajustar o Firefox para limpar os dados quando sair – use o caminho “Firefox -> Preferências -> Privacidade -> Dados Pessoais: marque a caixa que diz “Limpar dados pessoais ao sair do Firefox”. Se não puder instalar programs no computador, use a ferramenta de Limpeza de Privacidade pendrive USB para apagar os dados temporários do navegador.

firefox options

Why?
É muito fácil alguém ver os websites que você visitou em um computador revisando o histórico do navegador. Investigadores mais sofisticados podem encontrar seu histórico de navegação checando os arquivos em cache, que incluem versões guardadas das páginas visitadas. Queremos limpar todos estes dados de um computador público para que o próximo usuário não os encontre. E queremos eliminar também de seu computador pessoal, pois se o perder, for roubado ou tomado pela polícia, não seremos relacionados aos posts que fizemos.

Alguns pensamentos finais:

- Só porque você é um anônimo não significa que não deva fazer o seu blog de modo bonito. A guia “Aparência” do WordPress tem várias opções para se brincar – você pode escolher temas diferentes, até mesmo colocar fotos para personalizar em alguns deles. Mas seja muito, muito cuidadoso se for usar suas próprias fotos – você dá muita informação sobre si mesmo quando adiciona uma foto (se a foto tiver sido tirada na Zâmbia, por exemplo, será uma evidência de que já esteve lá).

- Se estiver mesmo preocupado com sua segurança, poderá optar por um passo adiante nas preferências do navegador Firefox e desligar o Java. Há um bug de segurança horrível na última versão do Java que permite que um autor malicioso de scripts descubra o endereço IP de seu computador MESMO QUE ESTEJA USANDO O TOR. Nós não nos preocupamos tanto com isso porque não acreditamos que o WordPress.com ou o Google estão rodando estes scripts maliciosos… mas é algo para se considerar seriamente se você estiver usando o Tor por outras razões. Para desligar o Java, vá para “Firefox -> Preferências -> Conteúdo” e desmarque a caixa “Permitir Java”

java

- Se você for a única pessoa a usar o Tor em seu país, será muito óbvio – o mesmo usuário é o único que acessa os endereços IP associados com nódulos do Tor. Se você for usar o Tor e estiver pensando que um ISP possa estar investigando o uso do Tor, você pode encorajar outros amigos a usarem o Tor – isso cria o que criptógrafos usam “tráfego de cobertura”. Talvez queira usar o Tor para ler vários sites, não apenas para postar em seu blog. Em ambos os casos, isso mostra que o Tor está sendo usado para razões diferentes de apenas postar em seu blog anônimo, o que indica que o usuário usando o Tor em um servidor ISP não leva automaticamente o ISP a pensar que algo ruim está se passando.

Um último pensamento sobre anonimato: se você realmente não precisa ficar anônimo, não fique. Se seu nome for associado as suas palavras, as pessoas provavelmente irão levar suas palavras mais a sério. Mas algumas pessoas precisarão ficar anônimas, e é por isso que este guia existe. Mas por favor não use essas técnicas se você realmente não precisar.

Mostre o Seu Apoio!

8 comentários

Junte-se à conversa

Colaboradores, favor realizar Entrar »

Por uma boa conversa...

  • Por favor, trate as outras pessoas com respeito. Trate como deseja ser tratado. Comentários que contenham mensagens de ódio, linguagem inadequada ou ataques pessoais não serão aprovados. Seja razoável.