Rencana Aksi Keamanan Web 70-Hari untuk Artis dan Aktivis Di Bawah Pengepungan

Kami memiliki 70 hari hingga Donald Trump menjabat. Sangat penting bahwa orang-orang yang dikepung (POC, LGBTQ +, orang-orang Pribumi, imigran, Muslim, orang-orang penyandang cacat, dll), terutama artis dan aktivis, mengambil langkah-langkah untuk melindungi data dan privasi mereka secara online.

Saya bukan ahli keamanan informasi atau hukum. Ini hanya saran. Daftar ini tidak lengkap atau satu-satunya cara untuk mengamankan data Anda.

Keamanan web seperti pohon. Sebatang pohon muda bisa ditepuk oleh tangan. Saat pohon menumbuhkan lapisan dan akar, mereka membutuhkan pengetahuan, peralatan, dan energi untuk ditebang. Saya mencoba membantu Anda menambahkan lapisan keamanan ke rutinitas harian Anda. Saya tidak suka kata-kata "aman" atau "aman" karena tidak ada yang cocok dengan kategori tersebut. Satu-satunya hal yang dapat kita lakukan adalah menjadi lebih aman dan lebih aman. Setiap poin adalah lapisan, langkah yang harus diambil orang atau agensi lain, untuk mengakses dan memperdagangkan informasi Anda. Saya telah mencoba untuk memilih lapisan yang memiliki pengembalian tertinggi atas investasi Anda dalam waktu dan uang. Pikirkan situasi dan sumber daya Anda dan buat rencana aksi Anda sendiri.

Saya akan memperbarui artikel ini dengan pengeditan karena saya menemukan informasi baru dan cara yang lebih baik untuk melakukan sesuatu. Jika Anda memiliki ide atau suntingan, harap ping saya atau komentar.

Saya ingin mengidentifikasi asumsi yang mendasari artikel ini:

  • Mengambil langkah kecil dan pertama menurunkan hambatan mental Anda.
  • Mengubah alur kerja itu sulit dan membutuhkan latihan. Ikuti langkahmu sendiri dan bersikaplah mudah pada dirimu sendiri.
  • COINTELPRO (dan program serupa) tidak hanya "terjadi". Sudah terjadi dan akan meningkat.
  • Badan-badan pemerintah dan non-pemerintah sudah menempatkan Anda di radar mereka: Mereka tahu Anda tidak setuju dengan beberapa elemen status quo dan bahwa Anda adalah orang yang dikepung (kulit hitam, POC, Muslim, queer, orang dengan cacat fisik atau intelektual, imigran baru, asli, dll).
  • Banyak komunikasi pribadi Anda tersimpan di akun email dan perangkat teman dan keluarga Anda.
  • Kapitalisme pengawasan berbahaya. Kami tidak tahu implikasi bagaimana perusahaan teknologi mengekstraksi nilai dari data pelanggan mereka. Kebanyakan orang tidak mengerti apa yang diketahui perusahaan seperti Facebook dan Google tentang mereka, bagaimana data digunakan / dibeli / diperdagangkan / dikumpulkan / dijual / disebarkan, dan jika perusahaan telah memberikan informasi kepada kelompok pemerintah. Kurangnya transparansi + kolonialisme / kapitalisme + supremasi teknologi = BAHAYA YANG LUAR BIASA.

Peringatan hak istimewa: Saya memiliki hak istimewa untuk menghabiskan waktu memikirkan hal ini dan mengirim uang dengan kartu kredit untuk beberapa biaya yang terkait dengan pembelian akses VPN, brankas fisik, dan layanan teknologi. Artikel ini hanyalah dump otak cepat. Langkah selanjutnya adalah kita mengatur dan membantu mereka yang tidak memiliki tingkat hak istimewa yang sama. Ingatlah untuk mengamankan masker oksigen Anda sendiri sebelum membantu tetangga Anda.

PEMBARUAN TERAKHIR: 11/24/16 pukul 11:30 pagi EST (29k dilihat sejak 11/10)

November

  • Tarik $ 10 - $ 40 uang tunai dari bank Anda.
  • Beli kartu hadiah Starbucks dengan uang tunai.
  • Gunakan kartu hadiah untuk membeli akses VPN 1 bulan hingga 1 tahun di https://www.privateinternetaccess.com (atau layanan yang sebanding pilihan Anda. Tanyakan sekitar atau baca ulasan online. Pastikan layanan tidak menyimpan log dari aktivitas Anda). Perlu diingat: Lebih baik membeli VPN dengan kartu kredit / debit daripada tidak membeli sama sekali. Selain itu, ini hanya lapisan kecil dan masih memungkinkan untuk mencari tahu layanan VPN yang Anda gunakan.
  • Unduh dan mulai gunakan Tor sebagai browser utama Anda. Pastikan untuk mengikuti petunjuk dan peringatan keamanan di sini: https://www.torproject.org/download/download-easy.html.en#warning
  • Karena tidak mungkin untuk mengikuti semua peringatan dan ada batasan untuk Tor, ada baiknya juga menggunakan VPN. Jika Anda tidak menggunakan VPN, menggunakan Tor + Chrome / Firefox dengan ekstensi HTTPS Everywhere adalah awal yang baik.
  • Unduh Sinyal di ponsel Anda dan dorong semua orang yang berkomunikasi dengan Anda secara pribadi untuk menggunakannya juga. Gunakan itu sebagai ganti iMessage, SMS, WhatsApp, Pesan Facebook, dll. Anda juga dapat melakukan panggilan. Versi desktop dapat digunakan sebagai pengganti Skype, Slack, dll.
  • Aktifkan Otentikasi 2 Faktor pada semua layanan email, keuangan, dll.
  • Lakukan audit keamanan info - Mulailah bertukar pikiran tentang bagaimana Anda menggunakan media sosial, email, perangkat seluler, dan penyimpanan cloud. Bagaimana Anda menggunakan layanan ini? Komunikasi mana yang perlu dipindahkan ke saluran aman? Apakah dokumen sensitif disimpan di cloud? Bisakah Anda keluar dari Facebook, Twitter, Google, dan Amazon sekaligus?
  • Pilih frasa sandi yang kuat dan berbeda. Intercept memiliki panduan praktis di sini: https://theintercept.com/2015/03/26/passphrases-can-memorize-attackers-cant-guess/
  • @AllBetzAreOff merekomendasikan penggunaan pengelola kata sandi berbasis cloud untuk menghasilkan dan mengamankan kata sandi Anda. Info lebih lanjut di sini: https://securityinabox.org/en/guide/keepassx/windows
  • Sangat penting untuk mengaktifkan pembaruan otomatis perangkat lunak agar Anda terlindungi dari kerentanan perangkat lunak yang dikenal. (Terima kasih kepada Dan Sullivan, Ph.D untuk saran ini! Lihat komentarnya yang luar biasa untuk informasi lebih lanjut.)
  • Enkripsi perangkat seluler Anda. iPhone dienkripsi secara otomatis tetapi banyak yang menggunakan kode akses yang tidak memadai. Setel ulang kode Anda menjadi string angka yang panjang dan acak (pastikan Anda menuliskannya saat Anda mengingatnya). Pengguna Android dapat mengaktifkan enkripsi di aplikasi Pengaturan.
  • Enkripsi komputer Anda menggunakan BitLocker (Windows) atau FileVault (Mac).

Desember

  • Jika Anda memiliki (atau menginginkan) situs web, basis data, atau aplikasi, bergabunglah dengan layanan hosting terenkripsi seperti MayFirst.
  • Beli brankas fisik (seperti SentrySafe SFW123DSB) untuk dokumen penting, hard drive / kunci USB, dan karya seni. Anda dapat membagi biaya ini dengan orang-orang yang tinggal di dekatnya. Jika karya seni Anda lebih besar dari brankas rumah tangga biasa, dan Anda tertarik mengobrol, ping saya. Kita perlu melakukan brainstorming bagaimana membantu seniman yang dikepung menjaga seni mereka dari kehancuran. Meneliti aman untuk memastikan elektronik tidak akan mengoksidasi atau membeli paket Silica Gel Dehumidifier Desiccant / lengan khusus.
  • Beli hard drive yang dapat menyimpan file digital Anda. Enkripsi itu. Di masa depan, pertimbangkan untuk membeli banyak drive dan menyimpan informasi Anda yang paling berharga di banyak tempat. Jika Anda membeli brankas, simpan hard drive Anda di sana. Anda juga harus mempersiapkan saat ketika akses Internet atau informasi Anda yang disimpan secara online sama sekali tidak tersedia untuk Anda.
  • Audit penyimpanan cloud Anda. Di mana Anda menyimpan file? Informasi apa yang disimpan? Di mana informasi paling sensitif?
  • Mulailah memecah ketergantungan Anda pada penyimpanan cloud (bila mungkin): iPhoto, Foto Google, Google Drive, DropBox, dll. Struktur sistem file Anda dengan cara yang mudah dinavigasi tanpa kemampuan pencarian Google.
  • Lihat apakah Anda dapat meminimalkan penggunaan Chrome / Firefox / Safari / dll pada akhir bulan ini. Dennis Cahillane ツ mengatakan:
“Ya, saya tidak merekomendasikan menggunakan add-on Firefox yang Anda instal sendiri. Saya sarankan mengunduh bundel Browser Tor langsung dari Proyek Tor di sini https://www.torproject.org/download/download Menggunakan bundel Browser Browser itu mudah bagi pengguna non-teknis, tetapi Anda akan cepat menjadi frustrasi oleh keterbatasannya. Saat Anda tidak menggunakan Tor, saya sarankan Firefox atau Chrome dengan add-on berikut: HTTPS Everywhere, uBlock Origin. "
  • Unduh semua file Anda ke komputer + hard drive eksternal. Ini mungkin memakan waktu beberapa saat sehingga Anda dapat melakukan batch sehari. Mulai dengan informasi yang paling sensitif. (Ini hanya permulaan. Ada cara untuk memiliki akses ke penyimpanan cloud terenkripsi, saya pikir orang-orang dapat mempertimbangkan ini setelah Tahun Baru setelah mereka melakukan transfer awal dan telah memutuskan ketergantungan mereka pada layanan cloud yang mudah digunakan).
  • Jika Anda mau, pilih penyedia email aktivis yang akan Anda gunakan sebagai ganti Gmail (atau layanan seperti ProtonMail). Anda juga harus mengulangi teman dan keluarga Anda. Jamie McClelland, Co-Founder MayFirst / PeopleLink mengatakan:
“Menggunakan Gmail jelas merupakan ide yang buruk. Di bawah Obama, kami melakukan ekspansi besar-besaran di infrastruktur mata-mata pemerintah federal dan mereka pasti menargetkan penyedia perusahaan besar - baik dengan mengkompromikan mereka atau hanya mengirim mereka panggilan pengadilan. Dan sekarang semua itu akan menjadi milik Trump.
Untuk email, tetap dengan penyedia aktivis. Dan * setiap orang * harus melakukannya. Jika Anda melakukan percakapan grup dan hanya satu orang yang menggunakan gmail, maka semuanya akan berjalan ke gmail.
Jika semua orang menggunakan MF / PL, maka tidak pernah meninggalkan server kami dan itu jauh lebih sulit untuk dicegat. Jika beberapa orang menggunakan Riseup dan ada yang menggunakan MF / PL juga bagus - karena MF / PL dan Riseup akan mengenkripsi pesan antar server.
Namun ... bahkan dengan semua perlindungan ini, saya menyarankan agar tidak mengandalkan email untuk hal sensitif.
Jika Anda belum melakukannya, saya sarankan mengganti program apa pun yang Anda gunakan untuk mengirim pesan SMS dengan Signal (https://whispersystems.org/). Ada di iPhone dan Android. Mudah digunakan dan sangat aman.
Saya juga menyarankan menggunakan Jabber (lihat halaman MF / PL di sini: https://support.mayfirst.org/wiki/how-to/jabber).
Sinyal dan jabber berfungsi di ponsel Anda dan memberikan enkripsi dan privasi yang jauh lebih baik daripada yang pernah ada di email.

Catatan tentang email: Dan Sullivan, Ph.D. meninggalkan kritik yang relevan terhadap akun email aktivis di komentar:

Juga, infosec sebagian besar merupakan pertempuran keterampilan dan sumber daya teknis. Google memiliki lebih dari keduanya daripada email atau penyedia cloud lain yang saya ketahui. Saya menggunakan Gmail dengan otentikasi dua faktor dan akan tetap menggunakannya. Tentu, agen mungkin mendapatkan surat perintah untuk email di Google tetapi ada sedikit kesempatan untuk berhasil meretas infrastruktur Google untuk mendapatkan email itu daripada meretas penyedia lain dengan sumber daya lebih sedikit.

Saya menanggapi:

Email sepertinya tidak mungkin untuk diamankan. Saya sudah mulai menjauh dari email sebagai alat komunikasi utama saya. Meskipun saya mungkin menggunakan layanan terenkripsi ujung ke ujung, PGP, dll. 95% kontak saya tidak memiliki akses ke teknologi ini. Jadi pertanyaannya adalah: di mana saya ingin duduk email dan metadata tidak terenkripsi saya untuk duduk? Siapa yang lebih saya percayai - Google atau grup aktivis? Meskipun kelompok-kelompok aktivis menarik perhatian pada diri mereka sendiri, saya percaya Riseup dan rekam jejak MayFirst untuk menolak panggilan dari dewan juri AS, agensi AS, dan banyak pemerintah / sistem hukum lain di seluruh dunia. Karena identitas dan ideologi seniman pembangkang, pemerintah sudah tahu kami aktivis. Saya lebih suka berkolaborasi dengan kelompok yang telah mengerjakan masalah ini selama beberapa waktu. Saya juga curiga terhadap kapitalisme pengawasan karena sejalan dengan negara pengawasan. COINTELPRO dan proyek pengawasan lainnya yang memengaruhi gerakan yang dipimpin POC ada di benak saya ketika saya membuat keputusan ini. Google memiliki uang dan pengetahuan tetapi mereka tidak peduli tentang saya atau perjuangan saya. Mereka tidak akan pergi ke kasur untukku. Saya tidak suka penyedia data demografis dan psikometrik seperti Google dan Facebook berkumpul (dan kurangnya transparansi tentang bagaimana informasi itu digunakan). Saya seorang seniman pembangkang yang bersedia menghabiskan upaya untuk melepaskan sebanyak yang saya bisa dan menjadi anggota yang berkontribusi dalam kelompok-kelompok teknologi politik.

Berikut klip singkat dari pelatihan yang saya berikan di Eyebeam tentang enkripsi email.

Januari

  • Bagikan apa yang telah Anda pelajari dari proses ini. Bantu artis lain mulai menopang keamanan mereka. Jika Anda satu-satunya orang yang menggunakan Sinyal atau akun email aktivis, itu tidak akan berguna bagi Anda.
  • Untuk meningkatkan keamanan email Anda, mulailah menggunakan PGP. Lebih baik lagi, memiliki pesta PGP di mana Anda dan teman-teman terdekat Anda, keluarga, dan rekan kerja menginstal Alat GPG dan membuat kunci bersama. matt mitchell memiliki panduan (draft of a) yang sangat baik tentang cara mem-spin PGP tanpa menginstal penyedia email: https://docs.google.com/document/d/1Zn62XjVRkt6_nvtgUvWO4WLo4VTQ3WQ98WKc5gkPb8w/edit
  • Mengorganisir — Berkolaborasi dengan orang lain dan mengeksplorasi aksi kelompok (mengumpulkan uang untuk orang-orang yang tidak mampu membeli layanan, membeli unit penyimpanan yang aman untuk pekerjaan besar, membuat perpustakaan buku dan informasi pribadi yang dapat ditargetkan, dll). Cobalah untuk menemukan grup seperti pihak keamanan CryptoHarlem matt mitchell: https://twitter.com/cryptoharlem
  • Jika informasi Anda didukung secara memadai, pertimbangkan langkah-langkah selanjutnya (yaitu menghapusnya dari cloud).
  • Pertimbangkan untuk menggunakan Ekor. @ciakraa dari @hackblossom menjelaskannya dengan baik di Panduan DIY Unggulan mereka untuk Cybersecurity Feminis:
Ada banyak situasi di mana Tails bisa menjadi alat yang sangat berharga untuk privasi Anda. Aktivis yang ingin berorganisasi terlepas dari pengawasan pemerintah dapat menggunakan Ekor untuk berkomunikasi secara efektif. Orang-orang yang dilacak oleh pelaku kejahatan dapat menggunakan Ekor untuk mengakses internet tanpa mempertaruhkan lokasi atau data fisik mereka. Seseorang yang ingin memanfaatkan komputer publik atau jaringan internet dapat melakukannya sambil tetap memiliki privasi mereka. Kapan pun Anda ingin menjadi pribadi yang maksimal dalam aktivitas dan data Anda, Tails adalah alat yang luar biasa untuk Anda miliki!

Langkah dan pertanyaan selanjutnya yang diketahui

  • Bagaimana penyelenggara dapat menggunakan PGP untuk menghindari infiltrasi? (Saya punya 9 undangan Keybase. Ping saya jika Anda mau)
  • Bagaimana kita dapat membuat penyimpanan online terenkripsi mudah digunakan untuk orang-orang yang tidak memiliki pengalaman IT / Pengembang / teknologi?
  • Alat apa yang perlu dibangun oleh orang-orang yang dikepung untuk menghindari menggunakan Google, Twitter, Facebook, Amazon, dan layanan lainnya?
  • Haruskah kebiasaan perbankan kita berubah (kartu kredit, perbankan online, cryptocurrency, dll)?

Komunitas dan organisasi

Tuan Rogers pernah mengatakan bahwa ketika dia masih kecil dan sebuah tragedi nasional terjadi, ibunya mengatakan kepadanya, “Cari pembantu. Selalu ada yang membantu. ” Dalam 6 jam setelah memposting ini, pakar keamanan yang baik menghubungi saya dan ingin membantu Anda lebih aman di web. Setelah Anda mengamankan masker oksigen Anda, saya harap Anda akan melakukan hal yang sama untuk keluarga, teman, dan kolaborator Anda. Berikut adalah komunitas yang dapat Anda ikuti:

  • MayFirst / People Link - https://mayfirst.org/en/index.html
May First / People Link terlibat dalam membangun gerakan dengan memajukan penggunaan strategis dan kontrol kolektif teknologi untuk perjuangan lokal, transformasi global, dan emansipasi tanpa batas. Berasal dari misi itu, organisasi kami mendefinisikan kembali konsep "Penyedia Layanan Internet" secara kolektif dan kolaboratif. Seperti halnya organisasi keanggotaan demokratis, kami berkumpul bersama setiap tahun untuk mengevaluasi pengalaman tahun lalu, merencanakan pekerjaan tahun mendatang, dan memilih Komite Kepemimpinan untuk menerapkan apa yang telah kami putuskan. Seperti sebuah koperasi, kita membayar iuran, membeli peralatan dan kemudian kita semua menggunakan peralatan itu seperti yang kita perlukan untuk situs web, email, daftar email, dan hampir semua hal lain yang kita lakukan di Internet. Sebagai organisasi gerakan, kami berpartisipasi dalam (dan sering memimpin) kampanye, perjuangan, koalisi, dan jaringan organisasi keadilan sosial yang progresif dan kiri di AS, Meksiko, dan internasional.
  • Bangkit - https://riseup.net/
Riseup menyediakan alat komunikasi online untuk orang-orang dan kelompok yang bekerja pada perubahan sosial pembebasan. Kami adalah proyek untuk menciptakan alternatif yang demokratis dan mempraktikkan penentuan nasib sendiri dengan mengendalikan alat komunikasi kami sendiri yang aman.

11/24/16: Catatan tentang Riseup: Kicauan samar dan kenari yang ketinggalan zaman berarti Riseup mungkin telah dikompromikan. Jika Anda menggunakan Riseup, Anda harus: A. Menyumbang untuk mereka dan B. Putuskan apakah Anda akan terus menggunakan layanan atau bermigrasi ke yang lain sampai kenari diperbarui. Ada argumen untuk menunggu dan argumen untuk membuat cadangan data dan menggunakan penyedia lain sampai kenari telah diperbarui. Lihat artikel di bawah ini untuk informasi lebih lanjut.

  • CryptoParty NYC - https://www.cryptoparty.in
Dengan CryptoParty Anda menciptakan lingkungan di mana orang-orang dari berbagai latar belakang bersatu dan belajar satu sama lain. Karenanya Anda mungkin ingin memasukkan orang-orang dari berbagai usia, jenis kelamin, warisan dan keahlian.
Pintu terbuka, orang-orang datang, mencari tempat duduk dan bersosialisasi. Intro singkat resmi membuka acara dan kemudian pergi ke meja. Setiap meja membahas topik dan orang-orang memutuskan apa yang ingin mereka pelajari atau ajarkan.
Orang akan lebih nyaman diberikan waktu yang cukup untuk bersosialisasi. Mereka akan lebih cenderung mengajukan pertanyaan. Tapi itu juga membutuhkan lingkungan di mana mereka merasa nyaman bersosialisasi. Mengatur pemandangan adalah tugas Anda.
  • CryptoHarlem - https://twitter.com/cryptoharlem
  • Koperasi Teknologi Palante - http://palantetech.coop/
Palante Technology Cooperative bekerja untuk membantu organisasi nirlaba progresif bergerak maju dengan bantuan teknologi. Kami datang ke pekerjaan ini dengan keahlian teknis, pemahaman mendalam tentang kebutuhan khusus organisasi masyarakat, dan komitmen jangka panjang untuk bekerja untuk keadilan sosial.

Sumber daya

  • Hal-hal yang Perlu Diketahui Tentang Keamanan Web Sebelum Peresmian Trump: Panduan Harm Reduksionis - https://medium.com/@kappklot/things-to-know-about-web-surity-sebelum-trumps-pelantikan-a-harm-reductionist- panduan-c365a5ddbcb8
  • Cara mengenkripsi seluruh hidup Anda dalam waktu kurang dari satu jam https://medium.freecodecamp.com/tor-signal-and-beyond-a-law-abiding-citizens-guide-to-privacy-1a593f2104c3#.jn58hhi4k
  • Oh sial! Apa yang harus saya lakukan sebelum Januari? (panduan yang ditulis dengan LGBTQ + orang dalam pikiran) - https://docs.google.com/document/d/1QjiJi4YBbmdnWyTdKDb-IgLvTjYKWx3WqNirAkGMQV8/edit#heading=h.ln4kek81khwg
  • Panduan Aktivis untuk Mengarsipkan Video: https://archiving.witness.org/archive-guide/
  • Cara Membocorkan ke Intercept: https://theintercept.com/2015/01/28/how-to-leak-to-the-intercept/
  • Panduan DIY untuk Cybersecurity Feminis - https://tech.safehubcollective.org/cybersecurity/
  • Sumber Daya: Yang Dapat Anda Lakukan Saat Ini - http://entropymag.org/resources-what-you-can-do-right-now/
  • Enkripsi Laptop Anda Seperti yang Anda Inginkan - https://theintercept.com/2015/04/27/encrypting-laptop-like-mean/
  • Pengawasan Bela Diri Terhadap Administrasi Trump - https://theintercept.com/2016/11/12/surveillance-self-defense-against-the-trump-administration/
  • Paket perdana keamanan Electronic Frontier Foundation - https://ssd.eff.org/en/playlist/want-security-starter-pack