Blogar no anonimato com Wordpress & Tor

por Ethan Zuckerman

GUIA

Introduction Uma das maiores alegrias de trabalhar na Global Voices tem sido a chance de trabalhar com pessoas que esto se expressando apesar das foras poderosas que trabalham para os manterem calados. Trabalhei com vrios autores que queriam escrever sobre problemas pessoais ou polticos na rede, mas que se sentiam incapazes a no ser que tivessem a segurana de que seus textos no poderiam revelar sua identidade. Estes autores incluem ativistas de direitos civis em dzias de naes, trabalhadores humanitrios em pases repressores e tambm apitadores em companhias e governos. Eu escrevi um guia tcnico sobre como blogar no anonimato e publiquei no Global Voices, mostrando mtodos diferentes de se blogar anonimamente. Desde ento, tenho liderado ocinas em lugares diferentes do mundo e me sinto confortvel em ensinar um conjunto de ferramentas - Tor, Wordpress e vrias contas de e-mail grtis - que usados conjuntamente podem assegurar um nvel muito alto de anonimato. Este guia que segue abaixo no lhe oferece nenhuma opo - apenas o leva por uma soluo detalhadamente. Sinta-se livre em ignorar as sees porque do guia se voc quiser uma leitura mais rpida e se voc do tipo de pessoa que no precisa saber o porqu de se fazer algo. Espero formatar de uma forma mais bonita no futuro, permitindo que as sees porque possa ser expandidas ou comprimidas, encurtando o documento. Se eu no tiver sido claro em algum lugar no documento ou se tiver errado, por favor me conte nos comentrios - isto um rascunho que espero limpar antes de postar no Global Voices. Se achar til e quiser divulgar, faa - como quase tudo neste site, ele est licenciado na licena Creative Commons 2.5, que signica que voc pode imprimir em xcaras de caf e vendelas, se achar que h um mercado e dinheiro para se ganhar.

Global Voices Advocacy

:: 1 ::

Blogar no anonimato com Wordpress & Tor

Termo de Responsabilidade Se voc seguir estas instrues com exatido, voc reduzir muito das chances de sua identidade ser ligada ao que voc escreve para a web atravs de mtodos tcnicos, i.e., atravs de uma agncia do governo ou da polcia conseguindo os dados de um Servidor Provedor de Internet. Infelizmente, eu no posso garantir que elas funcionem em todas as circunstncias, incluindo as suas, nem posso aceitar responsabilidade, criminal ou civil, se o uso ou mal uso destas instrues lhe trouxer problemas legais, civis ou pessoais. Estas instrues no previnem que voc seja rastreado atravs de outros mtodos, como logs de teclado (a instalao de um programa em seu computador que registra todas toques no teclado) ou vigilncia tradicional (observao a tela do seu computador com uma cmera ou binculos). Na verdade a maioria das pessoas so rastreadas por mtodos no tecnolgicos: eles escrevem algo que deixa pista sobre sua identidade, ou contam sua identidade para algum que depois se mostra indigno de conana. No posso ajudar nestas batalhas a no de dizendo para ser cuidadoso e esperto. Para um guia melhor em ser cuidadoso e esperto, recomendo o guia Como Blogar Com Segurana [Ingls] do EFF.

Para as postagens:
Passo 1: Disfarce seu IP. Todo computador na internet tem ou divide um endereo IP. Estes endereos no so a mesma coisa de um endereo fsico, mas podem levar um sistema de administrao inteligente at o seu endereo fsico. Particularmente, se voc trabalha para um ISP - Internet service provider, voc geralmente associa um endereo IP com o nmero de telefone que requereu aquele IP em uma hora especca. Ento antes de fazer alguma coisa anonimamente na internet, precisamos de disfarar nosso IP. O que fazer se voc quer blogar de sua casa ou estao de trabalho: a) Instale o Firefox. Baixe do site do Mozilla e instale no computador que usa para blogar.

Global Voices Advocacy

:: 2 ::

Blogar no anonimato com Wordpress & Tor

O Internet Explorer tem alguns buracos de segurana que podem comprometer sua segurana online. Estes buracos cam sem registro por mais tempo no IE do que em outros navegadores. (No acredita em mim? Pergunte ao Bruce Schneier.) Ele o navegador mais vulnervel a 'spyware' que voc pode inadvertidamente baixar de um site. E muitas das ferramentas de privacidade esto sendo escritas para trabalharem especicamente com o Firefox, incluindo o Torbutton, que usaremos num passo adiante. b) Instale o Tor. Baixe o programa do site do Tor. c) Se o acesso ao site do Tor for bloqueado em seu pas, h alguns espelhos em outros lugares de onde pode ser baixado. Escolha a verso estvel mais nova para sua plataforma e baixe para sua mesa. Siga as instrues que esto `a direita na verso que voc baixar. Voc ir instalar dois

Por qu?

Global Voices Advocacy

:: 3 ::

Blogar no anonimato com Wordpress & Tor

Global Voices Advocacy

:: 4 ::

Blogar no anonimato com Wordpress & Tor

Por qu?

Tor uma rede de servidores proxy sosticada. Os servidores proxy requerem uma pgina web para voc, o que signica que o servidor web no v o endereo IP do computador que solicitou a pgina. Quando voc acessa o Tor, voc est usando trs servidores proxy diferentes para voltar a cada pgina. As pginas so encriptadas quando em trnsito entre os servidores, e mesmo que um ou dois servidores na cadeia estejam comprometidos, ser muito difcil ver qual pgina da web voc est acessando ou postando. Tor instala outro software, Privoxy, que aumenta o nvel de segurana do seu navegador, bloqueando cookies e outras partes de busca de software. Convenientemente, ele tambm bloqueia muitos anncios que voc encontra em pginas da web.

Global Voices Advocacy

:: 5 ::

Blogar no anonimato com Wordpress & Tor

c) Instale Torbutton. Leia sobre e instale seguindo as instrues na pgina de instalao. Voc precisar estar usando o Firefox para instalar facilmente - do Firefox, ser apenas pedida sua permisso para se auto-instalar desde a pgina mencionada acima.

Global Voices Advocacy

:: 6 ::

Blogar no anonimato com Wordpress & Tor

Por qu?

Ligar o Tor manualmente signica se lembrar de mudar as preferncias do navegador para usar um servidor proxy. Este um processo de mltiplos passos, que as pessoas geralmente se esquecem de fazer. Torbutton faz o processo com um simples clique de mouse e lembra se voc est usando o Tor ou no, que pode ser bastante til. Voc pode achar que o Tor diminui a velocidade do seu uso da web - isso resultado dos pedidos no Tor serem passados pelos 3 proxies antes de chegarem ao servidor web. Algumas pessoas - eu tambm - s usam o Tor em situaes em que seja importante disfarar a identidade e fora disso desligam o Tor - Torbutton faz este procedimento car bem fcil.

Global Voices Advocacy

:: 7 ::

Blogar no anonimato com Wordpress & Tor

d) Ligue o Tor no Firefox e teste. Com o Tor ligado, visit esta URL (https://torcheck.xenobite.eu/). Ser aberto um alerta de caixa de dilogo de segurana - incapaz de vericar a identidade do xenobite.eu como um site convel. Clique OK para aceitar o certicado auto-assinado para a sesso.

Depois de clicar, se voc receber esta mensagem dizendo, Seu IP foi identicado como um Tor EXIT. Ento voc est usando o Tor com sucesso para entrar na web., assim voc conseguiu instalar tudo corretamente e est pronto para o prximo passo.

Global Voices Advocacy

:: 8 ::

Blogar no anonimato com Wordpress & Tor

Se, ao contrrio, voc receber uma mensagem dizendo, Seu IP no foi identicado como um TorEXIT. Ento voc no est usando o Tor para conectar na web.

Por qu?

Sempre uma boa idia ver se o software que voc instalou funciona, especialmente quando est fazendo algo to importante como o Tor faz. A pgina que voc est acessando checa de qual endereo IP a solicitao est vindo. Se for de um ndulo conhecido do Tor, Tor est trabalhando corretamente e seu IP est disfarado - se no, algo est errado e voc deveria tentar descobrir porque o Tor no funciona direito. Instrues Alternativas se voc for escrever principalmente de computadores compartilhados (em lan houses ou cybercafs) ou se voc no puder instalar programas no computador. a) Baixe o navegador XeroBank (xB Browser) ou o Tor on a Stick (ToaSt). Baixe o pacote do site do navegador xB Browser em computador que voc possa baixar e salvar arquivos. Insira sua pendrive USB e copie o sB-Browser.exe em sua pendrive. Usando esta USB e qualquer computador com Windows, voc pode acessar o navegador protegido pelo Tor. Isto ir abrir um novo navegador de onde voc poder acessar a web com o Tor. Em computador compartilhado, desligue o navegador padro. Insira a pendrive, ache o sistema de arquivos da pendrive na mesa (desktop), e clique duas vezes no xB-Browser_latest.exe. Isto ir abrir um novo navegador cujo acesso `a web se faz atravs do Tor.

Global Voices Advocacy

:: 9 ::

Blogar no anonimato com Wordpress & Tor

Global Voices Advocacy

:: 10 ::

Blogar no anonimato com Wordpress & Tor

b) Test se o XeroBank Browser est funcionando visitando o site de teste do Tor com o navegador com Tor tendo a certeza de receber a mensagem Seu IP foi identicado como Tor-EXIT.

Global Voices Advocacy

:: 11 ::

Blogar no anonimato com Wordpress & Tor

Por qu?

XeroBank uma verso altamente especializada do navegador Firefox com Tor e Privoxy j instalados. Ele foi desenhado para ser colocado em um pendrive USB para que voc possa acessar o Tor de computadores compartilhados que no permitem a instalao de software. Enquanto eu recomendo o XeroBank e o use quando estou viajando, ele no ocialmente apoiado pelas pessoas do Tor - eles no gostaram quando as verses iniciais do programa no liberaram o cdigo fonte, o que quer dizer que era impossvel determinar precisamente o que o XeroBank fez e como ele usou o cdigo fonte do Tor. Uma verso mais recente do programa inclui o cdigo fonte - ser interessante ver se os programadores do Tor iro oferecer suas benos a esta verso. Roger Dingledine do Tor tambm j disseram que ele e seus colegas esto planejando uma verso open source de um navegador porttil com o Tor j instalado, mas a data de lanamento deste projeto desconhecida. Passo 2: Gere um nova conta de e-mail, que seja difcil de achar. A maioria dos servios web - incluindo os servios de hospedagem de blogs - requerem um endereo de e-mail para se comunicarem com os usurios. Para os nossos objetivos, este endereo de e-mail no pode conectar com nenhuma informao pessoal identicvel, incluindo o endereo IP que usamos para inscrever no servio. Isto signica que precisamos de uma nova conta toda vez que usamos o Tor, e precisamos ter certeza que nenhum dado que usamos - nome, endereo, etc. - pode levar at ns. Voc NO deve usar uma conta de e-mail j existente - bem provvel que voc tenha aberto esta conta com um IP no disfarado, e a maioria dos provedores de email guardam os endereos IP com o qual assinamos. a) Escolha o provedor de correio eletrnico - recomendamos Hushmail, Vaultletsof e Gmail, mas se estiver usando o Tor pode usar o Yahoo ou Hotmail tambm. Alm disso, voc pode facilmente

Global Voices Advocacy

:: 12 ::

Blogar no anonimato com Wordpress & Tor

Por qu?

Webmail o melhor modo de se criar um endereo de e-mail descartvel, um que voc pode usar para se inscrever em servios e ignorar depois. Mas muitos usurios tambm usam webmail como seu e-mail principal. Se voc zer isto, importante entender algumas vantagens e fraquezas dos diferentes provedores de e-mail. Hotmail e Yahoo tm ambos uma caracterstica de segurana que deixa os defensores da privacidade muito infelizes. Ambos incluem o endereo IP do computador usado para enviar mensagens. Isto relevante se voc estiver acessando estes servios com o Tor, j que o endereo IP ser um endereo IP Tor, e no o seu endereo IP. Mais, Hotmail e Yahoo no oferecem interfaces seguras de HTTP para o e-mail - de novo, isso no afeta se voc for usar o Tor todas as vezes que usar estes servios. Mas muitos usurios vo querer checar seus e-mails em circunstancias onde no tm o Tor instalado - para sua conta de e-mail, bom escolher um provedor que tem uma interface https para o e-mail. Hushmail oferece e-mail com um alto nvel de segurana. Eles apiam a criptograa PGP - que muito til se voc se corresponder com pessoas que tambm usam PGP. Sua interface para o e-mail usa https e ele no inclui o IP de quem envia nas mensagens geradas. Mas eles so um servio que visa o lucro e s oferecem servios limitados para usurios no pagantes. Se voc se registrar em uma conta grtis, voc tem de acessar a cada duas semanas para ter certeza de que o sistema no vai delet-lo. Por serem agressivos na idia de transformar usurios gratuitos em pagantes, e porque o sistema deles usa muitos applets do Java, algumas pessoas acham que o Hushmail no a melhor escolha para elas. Gmail, apesar de no anunciar a si mesmo como um servio de e-mail seguro, tem algumas caractersticas interessantes embutidas. Se quiser visitar esta URL especial, sua sesso inteira com o Gmail ser codicada atravs do https. (eu recomendo marcar essa URL e usar com todas as sesses com o Gmail). Gmail no inclui o IP que origina nos cabealhos do e-mail, e voc pode adicionar PGP apoio ao Gmail usando o servio FreeEnigma, uma extenso do Firefox que adiciona criptograa forte ao Gmail (isso funciona com outros servios de e-mail tambm). um aviso sobre as contas de todos - voc est conando seu e-mail `a companhia que oferece o servio. Se esta companhia for cortada, ou se for pressionada por outros governos a revelar informaes, eles tero acesso aos textos de todos as mensagens que voc enviou e recebeu. O nico modo de evitar isso escrever suas mensagens em um editor de texto, codicar em seu computador usando PGP e mandar para algum que tambm use PGP. Este modo alm do nvel de segredo que a maioria de ns queremos ou precisamos, mas importante lembrar que voc est conando em uma companhia que pode ou no agir com os seus interesses defendidos. Yahoo, em particular, tem um pssimo hbito de dar informao ao governo Chins - dissidentes chineses esto processando a companhia por divulgarem seus dados ilegalmente. Apenas algo para se pensar quando voc decidir em quem conar

Global Voices Advocacy

:: 13 ::

Blogar no anonimato com Wordpress & Tor

b) Ligue Tor de dentro do navegador, ou ligue o XeroBank. Visite o site de e-mail de sua escolha e registre uma nova conta. No use informao que possa levar a sua identicao - considere se tornar um nome comum em um pas com muitos usurios da web, como os USA ou Inglaterra. Crie uma senha boa e forte (no mnimo 8 caracteres, inclua pelo menso um nmero ou um caracter especial) para a conta e use um nome parecido com o que voc ir chamar o seu blog. c) Conra se pode entrar na conta de e-mail e mandar mensagens enquanto o Tor estiver ligado. possvel que o Tor troque de circuito a cada 10 minutos e isso pode interromper as operaes do eamil, ento voc pode cogitar limitar o processo de escrever uma nova mensagem em 10 minutos. Passo 3: Registre seu novo blog annimo. a) Ligue o Tor em seu navegador, ou ligue o XeroBank. Visite o Wordpress.com e crie uma nova conta clicando no link Cadastre-se agora!. Use o endereo de e-mail que voc acabou de criar e cire um nome de usurio que ser parte do endereo do seu blog: onomeescolhido.wordpress.com

Global Voices Advocacy

:: 14 ::

Blogar no anonimato com Wordpress & Tor

b) Wordpress mandar uma mensagem com um link de ativao para sua conta de e-mail. Use o navegador com o Tor para receber esta mensagem e siga o link indicado. Isso permite ao Wordpress saber que voc usou uma conta de e-mail e que eles podem te alcanar quando tiverem atualizaes no servio deles - como resultado, eles faro com que seu blog seja visvel publicamente e mandaro sua senha. Voc ter de checar seu e-mail novamente para encontrar a senha. c) Usando o Tor, entre em seu novo blog usando seu nome de usurio e senha. Clique em My Dashboard, e Update your prole or change password. Mude sua senha para uma senha forte que voc possa lembrar. Adicione informao ao seu perl tambm s tenha certeza que nenhuma informao esteja ligada a voc. Passo 4: Publique em seu blog. a) Escreva seu post' ofine. Isso no apenas uma boa maneira de evitar que voc perca um post se o navegador falhar ou perder a conexo, tambm uma forma de criar seus posts em lugares mais privados do que um cybercaf. Um editor simples, como o Wordpad ou Windows, o melhor a ser usado. Salve seus posts como arquivos de texto (depois de blogar, sempre se lembre de retirar estes arquivos completamente da mquina, usando uma ferramente como Eraser ou Ccleaner que est disponvel em muitas lnguas e apaga os arquivos temporrios automaticamente dos navegadores instalados ou outras aplicaes). b) Ligue o Tor, ou use o XeroBank e ntre no Wordpress.com. Clique em escrever para escrever um novo post. Corte e cole seu post do arquivo de texto na janela do post. Nomeei seu post e coloque as categorias que voc quer usar. c) Edit a Data e Hora. Antes de Publicar, h um passo importante. Clique na barra azul no lado direito da tela que diz Publicar imediatamente - Editar. Escolha uma hora futura - ideal usar um intervalo geral e usar um nmero diferente a cada vez. Isto colocar um atraso varivel no tempo em

Global Voices Advocacy

:: 15 ::

Blogar no anonimato com Wordpress & Tor

Por qu?

Editando a hora, voc est se protegendo de algum que algum possa estar usando para determinar sua identidade. Imagine que esteja escrevendo um blog chamado Abaixo a Companhia de Telecomunicaes da Etipia! Algum na ETC pode comear a acompanhar seu blog bem de perto e imaginar se algum de seus clientes est escrevendo o blog. Eles comeam a gravar as horas que um post foi feito em abaixoaetc.wordpress.com e checar estas horas com os dados que tm. Eles descobriro que alguns segundos antes de cada post ser feito em uma srie de um ms, um de seus clientes estava acessando um ou outro ndulo do Tor. Eles iro concluir que este usurio est usando o Tor para blogar e iro levar esta informao para a polcia. Trocando a hora dos posts, fazemos com que seja mais difcil este ataque para o provedor de servios de internet. Agora eles tero que acessar os dados do Wordpress tambm, que so bem mais difceis de conseguir do que seus prprios dados. um passo muito fcil de fazer que aumenta sua segurana.

Global Voices Advocacy

:: 16 ::

Blogar no anonimato com Wordpress & Tor

Passo 5: Cubra suas pistas. a) Apague com segurana os rascunhos. Apague com certeza os rascunhos do seu post de seu laptop ou pc caseiro. Se precisar de um pendrive USB para trazer o post ao cybercaf, voc tambm precisar apag-lo. No basta mover o arquivo para o lixo e esvaziar a lixeira - voc precisa de uma ferramenta de apagar com segurana como o Eraser ou Ccleaner que escreve por cima o antigo arquivo com dados que fazem com que seja impossvel de encontrar. Em um Macintosh esta funo j embutida - leve o arquivo para o lixo e escolha Esvaziamento Seguro do Lixo no menu do Finder. b) Limpe o histrico, cokies e senhas do Firefox. Dentro da guia Ferramentas, selecione Limpar Dados Pessoais. Selecione todas as caixas e aperte OK. Voc pode querer ajustar o Firefox para limpar os dados quando sair - use o caminho Firefox -> Preferncias -> Privacidade -> Dados Pessoais: marque a caixa que diz Limpar dados pessoais ao sair do Firefox. Se no puder instalar programs no computador, use a ferramenta de Limpeza de Privacidade pendrive USB para apagar os dados temporrios do navegador.

Global Voices Advocacy

:: 17 ::

Blogar no anonimato com Wordpress & Tor

Por qu?

muito fcil algum ver os websites que voc visitou em um computador revisando o histrico do navegador. Investigadores mais sosticados podem encontrar seu histrico de navegao checando os arquivos em cache, que incluem verses guardadas das pginas visitadas. Queremos limpar todos estes dados de um computador pblico para que o prximo usurio no os encontre. E queremos eliminar tambm de seu computador pessoal, pois se o perder, for roubado ou tomado pela polcia, no seremos relacionados aos posts que zemos. Alguns pensamentos nais: - S porque voc um annimo no signica que no deva fazer o seu blog de modo bonito. A guia Aparncia do Wordpress tem vrias opes para se brincar - voc pode escolher temas diferentes, at mesmo colocar fotos para personalizar em alguns deles. Mas seja muito, muito cuidadoso se for usar suas prprias fotos - voc d muita informao sobre si mesmo quando adiciona uma foto (se a foto tiver sido tirada na Zmbia, por exemplo, ser uma evidncia de que j esteve l). - Se estiver mesmo preocupado com sua segurana, poder optar por um passo adiante nas preferncias do navegador Firefox e desligar o Java. H um bug de segurana horrvel na ltima verso do Java que permite que um autor malicioso de scripts descubra o endereo IP de seu computador MESMO QUE ESTEJA USANDO O TOR. Ns no nos preocupamos tanto com isso porque no acreditamos que o Wordpress.com ou o Google esto rodando estes scripts maliciosos mas algo para se considerar seriamente se voc estiver usando o Tor por outras razes. Para desligar o Java, v para Firefox -> Preferncias -> Contedo e desmarque a caixa Permitir Java

Global Voices Advocacy

:: 18 ::

Blogar no anonimato com Wordpress & Tor

- Se voc for a nica pessoa a usar o Tor em seu pas, ser muito bvio - o mesmo usurio o nico que acessa os endereos IP associados com ndulos do Tor. Se voc for usar o Tor e estiver pensando que um ISP possa estar investigando o uso do Tor, voc pode encorajar outros amigos a usarem o Tor - isso cria o que criptgrafos usam trfego de cobertura. Talvez queira usar o Tor para ler vrios sites, no apenas para postar em seu blog. Em ambos os casos, isso mostra que o Tor est sendo usado para razes diferentes de apenas postar em seu blog annimo, o que indica que o usurio usando o Tor em um servidor ISP no leva automaticamente o ISP a pensar que algo ruim est se passando. Um ltimo pensamento sobre anonimato: se voc realmente no precisa car annimo, no que. Se seu nome for associado as suas palavras, as pessoas provavelmente iro levar suas palavras mais a srio. Mas algumas pessoas precisaro car annimas, e por isso que este guia existe. Mas por favor no use essas tcnicas se voc realmente no precisar. Mostre o Seu Apoio!

Global Voices Advocacy

:: 19 ::

Blogar no anonimato com Wordpress & Tor