Quais dados seu celular e a rede móvel coletam?

Introdução

 

Ao pensarmos sobre vigilância em celulares é comum imaginarmos uma pessoa, grampeando nossas linhas e ouvindo nossas conversas, transcrevendo ou tomando notas do conteúdo, seguindo nossos passos — talvez um agente da inteligência de um governo ou um criminoso trabalhando de uma fábrica abandonada.

Essa prática tradicional da vigilância “direcionada”, que remete à Stasi da Alemanha Oriental e ao modus operandi das várias ditaduras que passaram pelo território latinoamericano na segunda metade do século passado certamente ainda está presente nos dias de hoje. Mas ela por vezes eclipsa, principalmente para o público geral, a quantidade de dados sensíveis que já são criados, registrados, transmitidos e processados por todo o caminho desde o celular, passando pelas antenas e fios, até os servidores de email e mensagens instantâneas e a famigerada “nuvem” (que, no fim das contas, é “apenas o computador de outra pessoa”).

Da mesma maneira, ao tentarmos nos livrar dessa vigilância e proteger nossas comunicações, procuramos soluções mágicas como a capa de invisibilidade do Harry Potter, que nos tornarão completamente indetectáveis com o apertar de dois ou três botões ou o instalar de um programa. Como vemos neste e em outros artigos do Boletim 15, as proteções que temos à nossa disposição costumam agir sobre somente uma parte desses dados, seja pelo escopo em que ela pode atuar seja pelo fato de que determinadas trocas e armazenamentos de dados são necessárias para o próprio sistema funcionar.

Neste artigo, mapeamos os dados que estão armazenados ou são coletados pela infraestrutura de comunicação e pelos componentes do seu celular em seu funcionamento normal.

Por dentro do telefone

 

Nossos smartphones parecem ser um sistema único, mas por baixo do panos há várias CPUs, memórias e discos agindo em conjunto para que eles funcionem. A maneira como os smartphones são construídos, com os sistemas “System on Chip” que já trazem quase todos os componentes condensados em um único chip, torna difícil identificar elementos fisicamente, mas pode-se identificar três computadores principais – cada um com seu próprio sistema operacional em software ou firmware – mais os componentes de rede, todos armazenando informações de identificação importantes:

  • SIM card: embora sua principal função seja armazenar o IMSI (International Mobile Subscriber Identity) e uma chave privada usada para proteger a comunicação com a rede celular, cada chip presente em celulares GSM é um computador autônomo.
    Assim como cartões de banco e outros smartcards, eles podem armazenar múltiplos programas escritos na linguagem Java Card, que podem ser instalados utilizando equipamentos especiais ou pela própria operadora de telefonia através de mensagens SMS de configuração over-the-air (OTA).O IMSI é um código de identificação vinculado à pessoa proprietária da linha, e permite à operadora saber que quem está falando de um determinado aparelho celular é o(a) cliente X, e então por exemplo descontar créditos ou aumentar o valor da conta desta pessoa.
  • Baseband modem: este computador, que é muito semelhante e mantém grande compatibilidade com os modems presentes nos primeiros aparelhos celulares, executa um sistema operacional proprietário (de código fechado, mantido sob propriedade intelectual de empresas da indústria de telecomunicações) e mantido em firmware (não pode ser facilmente substituído).Na prática, isso significa que ele é uma completa caixa preta. Em sua memória fica registrado o IMEI (International Mobile Equipment Identity), um código que, de maneira análoga ao IMSI, identifica o aparelho celular para a operadora de telefonia. O principal uso do IMEI pelas operadoras é para impedir celulares roubados de serem usados, através de listas desses identificadores mantidas em colaboração com os(as) próprios(as) clientes e/ou com departamentos de polícia.
  • Sistema principal: esse é o computador com maior poder de processamento e armazenamento, que armazena e executa o sistema operacional principal (Android, iOS etc) e todos os aplicativos que você tem instalados, atuando como ponte entre eles e os outros componentes como o baseband modem, as interfaces de rede abaixo, a tela, a câmera, o microfone etc.Como os aplicativos executados nesses apicativos podem coletar toda sorte de informações (e, como sabemos, por vezes coletam muito mais do que necessário para seu funcionamento), a quantidade de identificadores que podem estar aqui é grande demais para caber neste artigo. O Código de Publicidade (Android) e o Identificador de Publicidade (iOS) se destacam por serem acessíveis a todos os aplicativos, feitos especificamente para permitir a identificação inequívoca do celular por anunciantes. Ambos podem ter seu uso desativado nas configurações do celular.
  • Wi-fi e Bluetooth: cada um desses componentes tem um “endereço físico” específico (o endereço MAC, de “Media Access Control”) definido no momento de sua fabricação. Se o aparelho está com wi-fi e/ou bluetooth habilitados, ele divulga esses identificadores de tempos em tempos, para quem quiser ouvir, em busca de redes ou dispositivos conhecidos.Isso é o que permite que shoppings consigam seguir pessoas para extrair padrões de comportamento e conseguir identificar clientes específicos. Tanto no Android quanto no iOS há maneiras de mudar o endereço MAC apresentado pela interface wi-fi; o iOS especificamente passou a usar endereços descartáveis gerados aleatoriamente para parte do tráfego desde a versão 8.

    Telefonia ou Internet?

    Além da complexidade dessa estrutura de telecomunicações e do fato de telefonia e Internet se misturarem até mesmo a nível institucional, a convergência de ambas as tecnologias num mesmo telefone celular faz com que seja difícil discernir quais aplicativos ou ações são considerados como telefonia ou como conexão à Internet, que dirá quais dados cada uma dessas interações gera.

    Caminho da Telefonia

    Apesar de hoje em dia nossos smartphones serem “computadores que por acaso também fazem ligações”, o sistema de telefonia celular está intrinsecamente ligado ao funcionamento do aparelho. Seja pelo fato de que muitas pessoas se conectam à Internet por 3G/4G/LTE, seja porque cada vez mais nosso número de celular é usado como meio de identificação e autenticação (como no login através do envio de tokens), o fato de alguém raramente fazer ligações e enviar SMSs não impede a operadora de telefonia de estar monitorando sua localização 24/7.

    Simplesmente por estar ligado e dentro da área de cobertura, qualquer aparelho celular está em constante comunicação com as torres de telefonia que estão em seu raio de alcance, à procura da mais próxima que seja de sua operadora e o permita se conectar para enviar e receber ligações e mensagens.

    Estas torres, chamadas de Estações Rádio-Base (ERBs), são distribuídas pela operadora por toda a sua área de cobertura, cada uma em uma célula que cobre uma parte do território – daí o nome de telefonia celular. Essas estações, que além da antena têm também computador e espaço de armazenamento, são ligadas à central da operadora que é quem organiza (e cobra) as ligações, mensagens e, no caso da Internet móvel, provê a conexão à rede mundial de computadores.

    Ao emitir o seu constante “alô, sou um celular, tem ERBs aí?”, o aparelho transmite tanto seu IMSI (identificador do(a) cliente) quanto seu IMEI (identificador do aparelho). Isso permite com que as operadoras (que mantém um banco de dados que associa esses números aos dados cadastrais) saibam o tempo inteiro em qual célula um(a) determinado(a) cliente está.

    A localização a nível de células já é um dado bastante sensível, mas através da combinação dos dados de múltiplas torres usando técnicas como a triangulação, trilateração e multilateração, é possível mapear com bastante precisão os principais endereços e a movimentação de uma pessoa, principalmente em locais urbanos onde há uma concentração maior de antenas por km². Experimentos feitos pelo Open Data City e pelo jornal alemão Die Zeit mostram em visualizações como uma pessoa pode ter sua vida devassada apenas a partir dessas informações.

    Também devido a esse comportamento dos celulares, equipamentos comumente chamados de IMSI catchers, antenas espiãs ou Stingrays possibilitam listar os identificadores de pessoas que estão em um determinado local (como foi feito em uma praça da Ucrânia durante uma manifestação).

    A princípio mantidos para fins de cobrança e prevenção de fraudes, os CDRs acumulam informações preciosíssimas sobre clientes. Análises avançadas desses bancos de dados podem ser feitas para fins diversos como prever o status socioeconômico de pessoas ou quais delas podem estar perto de trocar de operadora (churn) e visualizar redes sociais formadas por ligações para investigação de crimes. Forças policiais e judiciais podem em muitas jurisdições acessar os dados tanto nas operadoras quanto nas próprias ERBs, prática conhecida como tower dump.

    Infelizmente, essa constante transmissão de dados não pode ser contornada por ser parte intrínseca da telefonia celular, exceto desativando o funcionamento do SIM card nas configurações do celular ou o colocando em uma bolsa que o isole de sinais eletromagnéticos (uma “gaiola de Faraday”) – mas aí as funções de celular e Internet móvel do dispositivo também param.

    Caminhos da Internet

    O caminho que seus dados farão para chegar “à Internet” vai depender do seu tipo de conexão: wi-fi ou móvel / dados.

    Ao acessar por wi-fi da sua casa ou de um café, você estará tipicamente se conectando a um roteador, que está ligado a um modem (ou já possui um embutido), que se comunica através de cabos ou ondas de rádio, talvez com intermediários como a central de distribuição do seu bairro, até o provedor de Internet banda larga.

    Já ao acessar a Internet através do plano de dados da sua operadora, você está transmitindo dados pelo mesmo caminho que suas ligações e SMSs e que explicamos há pouco. Seus dados relativos ao uso da Internet, no entanto, ficam armazenados somente na central da operadora – a ERB usada registrará somente que você esteve por ali e que se conectou à Internet através dela (tecnicamente pode ser possível que alguém com controle da ERB a programe para registrar isso, mas isso foge do escopo do artigo e, ao que sabemos, da prática comum). Para todos os efeitos, sua operadora é seu provedor de Internet, e geralmente está sob o mesmo arcabouço legal da sua operadora no caso acima.

    Em ambos os casos, todas as suas ações na Internet são sempre vinculadas ao endereço IP da sua conexão, designado pelo provedor para o seu celular, no caso da telefonia móvel, ou para o roteador no caso do wi-fi. Os provedores costumam registrar as conexões feitas (endereço IP de origem, endereço IP de destino e data/hora) por meses ou até mesmo anos.

    Como muitas vezes um único endereço IP pode ser compartilhado por múltiplas máquinas, ele tecnicamente não identifica as atividades de uma pessoa específica; legalmente, porém, ele pode ser associado à/ao titular do plano de Internet. Além disso, os roteadores registram os endereços MAC que identificam o componente wi-fi do celular e, cruzando seus dados com os registros de conexão do provedor, é possível discernir quais das atividades atribuídas a um endereço IP vieram de um determinado aparelho.

    Embora a Internet permita que nos conectemos diretamente às máquinas de outras pessoas, na prática a maior parte do nosso tráfego é direcionado a servidores, máquinas com grande poder de armazenamento e processamento que intermediam nossas comunicações (como as via e-mail e mensagens instantâneas) ou nos servem conteúdo e serviços online (no caso da Web). Eles também têm acesso ao seu endereço IP e podem guardar seus próprios registros, a seu critério e/ou por determinação legal dos países onde ele e e o(a) usuário(a) se encontram, e associar o IP ao seu login, seus dados cadastrais e que ações foram executadas / que páginas foram requisitadas.

    Ao usar serviços de VPN ou proxy, os endereços que constarão nos registros do provedor serão todos de conexões suas ao serviço que você utilizar, enquanto o servidor que você está acessando registrará o endereço IP desse mesmo serviço de VPN / proxy. Esse serviço, no entanto, terá acesso a todo o seu fluxo de comunicação e pode, tecnicamente, registrar e inspecionar os dados da mesma forma que o seu provedor poderia numa conexão comum. É recomendado, principalmente se você não conhece e confia no serviço que está usando, garantir que o aplicativo ou site que você está acessando possua sua própria camada de criptografia (como o HTTPS no caso da web e outros tipos de criptografia de transporte e/ou ponta-a-ponta).

    Ao se conectar à Web ou outros serviços utilizando o Tor, os registros conterão conexões a diversos nós de entrada da rede em países diferentes, e os endereços IP dos registros no servidor acessado serão pulverizados entre diversos nós de saída também dispersos pelo mundo. Na prática, isso confere maior anonimato (pois não há nenhuma máquina centralizando o tunelamento da conexão como no caso anterior), mas como o tráfego sairá de diversos pontos escolhidos aleatoriamente é ainda mais importante utilizar uma camada extra de criptografia para qualquer assunto sensível (como logins e trocas de dados que possam lhe identificar).

     

    FONTE: Oficina Antivigilância

About Where are the Eyes – Sobre Onde estão os Olhos

Vigilância é um tema de discussão emergente e de interesse internacional, sobretudo  a vigilância da Internet. Concordamos que este seja um tema importante,mas queremos expandir a discussão para incluir a vigilância física e a rede pervasiva de câmaras que nos cercam todos os dias. Acreditamos que o nosso direito à liberdade de expressão e reunião requer  compreender o ambiente em que nos expressamos e reunimos.  Para esse fim, construímos uma ferramenta que ilumina essas redes de vigilância e ajuda a informar os cidadãos sobre quando eles estão sendo observados.

 

Onde estão os Olhos” – (About Where are the Eyes) é um aplicativo de mapeamento distribuído. Cada usuário contribui com dados de localização sobre as câmeras que estão próximas, que são agregados em nossos servidores. Ao combinar informações da comunidade, podemos localizar as posições das câmeras de todo o mundo e enviar esses dados de volta para todos os nossos usuários. Nós periodicamente removemos do mapa os pontos de localização das câmeras que não têm sido vistas recentemente ou só foram vistas por uma pessoa. Isso aumenta a precisão do mapa, mesmo se as câmeras são movidas ou removidas.

Como usar: Onde estão os Olhos?

 

Em primeiro lugar, registre um nome de usuário conosco. Isto é usado para que possamos distinguir entre os diferentes usuários que viram uma mesma câmera.
Em seguida, baixe o app para iOS ou Android e digite seu nome de usuário nas configurações do aplicativo.
Isso ativa o mapa: um ponto azul representa a sua localização e as marcas vermelhas indicam os locais das câmeras ao seu redor.
Cada vez que você passar uma câmera nas ruas, pressione o botão “olho”. Quanto mais próximo estiver à câmara mais preciso nosso mapa será. Por favor, pressione o botão mesmo que a câmara já esteja em nosso mapa – quanto mais usuários verificarem que uma câmera existe, mais certeza teremos de que ela é real e mais preciso nosso mapa se torna.
Nota: Nosso mapa é muito mais preciso ao ar livre, onde você pode obter um sinal de GPS forte.

 

Quando exatamente é a minha localização enviada on-line?

 

Você regularmente nos envia uma localização bastante aproximada (sua latitude e longitude arredondado para números inteiros) para que possamos enviar de volta os locais de câmeras próximas. Isso é feito anonimamente e nós não registramos quaisquer coordenadas que recebemos.
Quando você pressiona o botão “olho”, você nos envia sua localização exata, juntamente com seu nome de usuário. É assim que podemos obter uma gravação precisa do local da câmera e dizer quando vários usuários verificaram a existência de uma câmera.
Note que seu nome de usuário é constantemente modificado no nosso servidor. Isto significa que podemos dizer se você já verificou a existência de uma câmera, mas alguém com acesso ao nosso banco de dados teria dificuldades em descobrir quais câmeras foram marcadas por um usuário específico.


Criminosos não vão usar esse app?

 

Os criminosos estão acostumados a procurar por câmaras. Na pior das hipóteses, nosso mapa só torna esse trabalho ligeiramente mais rápido, mas duvidamos que o mapa seja suficientemente preciso para ser de utilidade para eles. Acreditamos que os benefícios para o público superem facilmente as pequenas desvantagens potenciais.


Meus dados serão compartilhados?

 

Absolutamente não. Podemos divulgar publicamente algumas estatísticas sobre os pontos no mapa, tais como quantas câmeras foram marcadas no Brasil no mês passado, mas nunca compartilharemos informações de identificação pessoal.

Aviso legal

 

A Daylighting Society é uma organização sem fins lucrativos dedicada à construção de tecnologia para proteger a privacidade e a liberdade dos cidadãos. Nós somos programadores, artistas e loucos envolvidos na pesquisa sobre vigilância e segurança. Leia mais na página inicial Daylighting Society.


Informações extras

Onde estão os Olhos é uma ferramenta de detecção e evasão de vigilância. Juntos, você e outros usuários constroem um mapa de câmeras de vigilância para proteger ativistas, estudantes e outras minorias em situação de risco. Quando você passar por uma câmera, aperte o botão “olho”. Isto adicionará a câmara ao mapa ou verificará sua existência se já soubermos sobre ela.

Nota sobre anonimato:

Nosso esforço é para assegurar que seu nome de usuário não possa revelar os seus movimentos. No entanto, se você usar nosso aplicativo móvel sem marcar qualquer câmera, garantimos que seu nome de usuário nunca será enviado para o nosso servidor.
A sua informação pessoal nunca será voluntariamente compartilhada com terceiros. As informações são armazenadas de tal maneira que não sabemos os nomes de usuário de nossos usuários.

“Onde estão os Olhos” é um programa para detectar e mapear câmeras de vigilância. Nossa esperança é que Onde estão os Olhos seja amplamente adotado e usado para ajudar ativistas de duas maneiras:a aumentar sua consciência sobre vigilância e práticas autoritárias e a planejar seus movimentos.

O mapa é composto por três elementos: o cliente, o servidor e você!

Faça o download do cliente (para iOS e Android) e siga as instruções na tela de ajuda para se unir a nós!

play store

F-droid

Itunes

 

Artigo traduzido por desconhecido é encontrado aqui