Não clicar em links de origem duvidosa, preferir acessar a internet por redes virtuais privadas (VPNs) e evitar redes de telefonia GSM por conta de sua criptografia fraca – essas são algumas dicas do manual de cibersegurança usado pelo Estado Islâmico, que pode ser acessado nesse link (pdf).

Pesquisadores do centro de combate ao terrorismo (CTC) da academia militar de West Point, nos Estados Unidos, conseguiram obter o documento por meio de fóruns, redes sociais e salas de conversa associados a membros do Estado Islâmico. Foi um procedimento semelhante ao que permitiu ao CTC descobrir o help desk do Estado Islâmico.

Trata-se de um guia escrito ha cerca de um ano por uma empresa de cibersegurança do Kuwait, para jornalistas e ativistas políticos em Gaza, mas que foi apropriado pelo EI. A versão disponibilizada acima foi traduzida do árabe pelo CTC usando o Google Tradutor.

De acordo com Aaron Brantly, pesquisador do CTC ouvido pela Wired, o manual é “tão bom em Segurança de Operações quanto seria possível sem treinamento formal pelo governo”. Segundo Brantly, as dicas contidas no documento são as mesmas que ele oferece a jornalistas e ativistas políticos trabalhando em outros países.

Dicas de segurança do Estado Islâmico

Segundo Brantly, o Estado Islâmico não possui uma ferramenta própria de criptografia, como a Al Qaeda possuía. Em vez disso, eles confiam na criptografia de outros serviços. Para comunicações por meio de mensagens instantâneas, o manual recomenda evitar o WhatsApp, por conta de sua proteção fraca, e preferir aplicativos como o Telegram ou Wickr.

Ele também recomenda dar preferência a navegadores que criptografem os dados de navegação, como o Tor, e sempre acessar a rede por meio de VPNs, de forma a ocultar os dados de navegação dos provedores também. Para e-mails, o documento recomenda o uso de serviços como HushMail ou ProtonMail. As redes sociais Facebook e Instagram são desincentivadas por sua “má reputação” em coletar dados dos usuários.

Curiosamente, os aplicativos iMessage e FaceTime, para iOS, são recomendados por ter uma criptografia confiável. No entanto, ele enfatiza a necessidade de se desabilitar a funcionalidade de tagueamento de localização por GPS das câmeras de dispositivo móvel, para evitar “vazar” a posição do usuário. Além disso, ele também recomenda o aplicativo Mappr, que permite falsear os dados de localização de imagens.

Para armazenar arquivos na internet, o documento recomenda o serviço MEGA Cloud Storage, de Kim Dotcom, dono do extinto MegaUpload. Ele também sugere usar programas como TrueCrypt para encriptar os arquivos armazenados localmente, para o caso do dispositivo (celular ou PC) ser confiscado. O manual também recomenda não fazer ligações, exceto usando celulares especiais encriptados como BlackPhone ou CryptoPhone.

A rede Playstation Network e os consoles Playstation não saõ mencionados no documento.

Debate sobre criptografia

Os ataques de Paris levantaram novamente o debate sobre criptografia: oficiais do governo estadunidense alegam que companhias como Apple e Google são cúmplices dos terroristas por conta de seus serviços de criptografia, que impedem que o governo tenha acesso a comunicações privadas de seus usuários.

No entanto, segundo jornais franceses, pelo menos parte dos terroristas envolvidos nos atentados sequer se preocupou com o sigilo de suas comunicações e, mesmo assim, as autoridades não foram capazes de impedir os ataques.