Riseup usará emails criptografados em resposta a solicitações legais

16 de fevereiro de 2017

Após esgotar nossas opções legais, o Riseup decidiu recentemente cumprir dois mandados do FBI que estavam sob segredo de justiça, ao invés de desobedecê-los (o que teria resultado na prisão dos passarinhos do Riseup por um tempo e/ou no término da organização). O primeiro mandado tem relação com o endereço público de contato de um anel de extorsão DDoS internacional. O segundo tem relação com uma conta que usava um software de sequestro de dados (ransomware) para extorquir pessoas.

Atividades de extorsão claramente violam ambos a carta de princípios e o espírito do contrato social 1 que temos com nossos usuários: Nós seguramos a sua onda se você não estiver realizando ações de exploração, misóginas, racistas e intolerantes.

Houve uma “ordem de sigilo” (gag order, em inglês) que nos impediu até agora de tornar pública até mesmo a existência desses mandados. Essa também foi a razão pela qual não atualizamos nossa “Canária”. 2

Resolvemos agir para garantir que o Riseup nunca mais tenha acesso a emails de usuários armazenados sem criptografia. A partir de hoje, todas as novas contas de email do Riseup terão armazenamento criptografado individualizado, acessível somente por você. Num futuro próximo, começaremos a migrar todas as contas existentes para esse novo sistema (para detalhes técnicos, veja a nota 3).

Para esclarecer, esse tipo de criptografia não é criptografia ponta a ponta de mensagens. Com esse novo sistema do Riseup, você ainda tem que confiar no servidor enquanto estiver logado. Para criptografia de email ponta a ponta, assim como antes, é preciso usar um cliente de email que tenha suporte a OpenPGP (e que não seja acessado pelo navegador).

Estamos trabalhando para desenvolver um sistema ponta a ponta mais completo para o próximo ano mas, até que esteja pronto, estamos lançando o armazenamento criptografado individualizado.

em solidariedade,
Os pássaros do Riseup

Perguntas

Pergunta: Seus sistemas foram comprometidos pelas autoridades?

Resposta: Não. Nunca permitimos a instalação de qualquer hardware ou software que monitorasse qualquer sistema que controlamos; as autoridades não tomaram nossos servidores; não possuem e nunca possuíram acesso a eles. Nós preferimos deixar de ser o Riseup do que permitir isso.

P: O governo pode obrigá-los a dizer isso?

R: Obrigar a fazer uma declaração, na realidade, é algo bem raro no contexto legal dos EUA. Em geral, acontece somente em casos de proteção ao consumidor nos quais o governo consegue obrigar uma determinada declaração (por exemplo, avisos obrigatórios em cigarros). No entanto, não, eles não estão nos obrigando a dizer nada.

P: Por que vocês não atualizaram a canária?

R: No inverno de 2016 (no sul, de dezembro a fevereiro), a canária não foi atualizada a tempo. A canária era tão ampla que qualquer tentativa de lançar uma nova teria sido uma violação da ordem de silêncio relacionada à investigação de extorsão do anel de DDoS e à operação de ransomware. Não era bem isso o que queríamos, pois coisas pequenas podem acontecer, e o efeito prático acaba sendo uma sinalização aos usuários de que algo grande está acontecendo.

P: Por que a nova canária não menciona ordens de silêncio, ordens judiciais FISA (lei de vigilância de inteligência estrangeira), Cartas de Segurança Nacional, etc.?

R: A estratégia inicial da nossa canária estava somente prejudicando os usuários ao deixá-los malucos desnecessariamente no caso do acontecimento de pequenos eventos. Uma canária deve sinalizar informações de risco importantes para os usuários, mas também existe o risco de sinalizar coisas erradas ou causar medo e confusão geral sem motivo. A canária atual está limitada a eventos significativos que possam comprometer a segurança dos usuários do Riseup.

1 https://riseup.net/tos
2 https://riseup.net/canary
3 https://0xacab.org/riseuplabs/trees