Privacidade, segurança, anonimato (2): riscos e ameaças

Por 01010001

Todo e qualquer militante da área da segurança digital que não leve em conta as formas pelas quais as ameaças no mundo digital afetam desigualmente classes sociais antagônicas é, no mínimo, ingênuo. Não há tecnologia sem luta de classes, e não há luta de classes sem tecnologia. Vamos tratar do assunto primeiro em alguns artigos de fundo, depois em alguns artigos técnicos de tamanho médio, para a partir de então comentar questões palpitantes acerca dos cuidados digitais. Neste artigo, vamos focar na privacidade, segurança e anonimato.

A invenção de novas formas de comunicação afeta, sem sombra de dúvidas, o ritmo de nossas vidas. Por isto mesmo, nossa privacidade, nossa segurança e algum nível de anonimato são afetados. Se no tempo da simples burocratização da vida cotidiana nosso controle sobre certos aspectos de nossa vida já era mínimo, a combinação entre a burocratização e a digitalização piorou a situação.

Quem viveu no tempo em que celulares não existiam devem lembrar que um compromisso marcado era coisa “sagrada”, porque não havia como avisar se um engarrafamento nos levasse a um atraso, ou se um acidente impedisse nossa participação. Hoje, com celulares e aplicativos de mensagens como o Signal, o Wire e o WhatsApp, tudo isto se comunica em poucos segundos.

Vamos voltar um pouco mais no tempo. Quando o telefone era coisa de gente rica e interurbanos tinham qualidade muito ruim, pessoas que viviam muito longe umas das outras se comunicavam por carta. Cada carta demorava de alguns dias a uma semana, ou mesmo mais, para chegar de um lugar para o outro. Com isto, todos sabiam que a comunicação era demorada, e por isto ou escreviam somente o mais importante, o essencial, para que ninguém perdesse tempo, ou escreviam logo tudo o que tinham a dizer, porque sabiam que a resposta iria demorar bastante. Além disto, debates e decisões em governos, empresas e organizações se estendiam por meses, porque era o tempo que levava a troca de cartas. Quem quisesse algo mais rápido podia usar o telegrama, que mesmo assim era muito caro e não transmitia muitas palavras. Que diferença de hoje, quando um e-mail enviado agora para a Alemanha, a Nigéria ou o Japão chega até lá em menos de um segundo!

Outro exemplo, desta vez sobre os lazeres. Não faz muito tempo a forma mais barata de assistir filmes – fora a TV aberta – era o DVD, e antes dele era o videocassete; quem queria filmes, ia até a locadora mais próxima e alugava dois ou três para assistir no final de semana com a família e os amigos. Hoje quem quer filmes baixa direto da internet usando torrent, ou assiste em serviços como LibreFlix, YouTube ou Netflix. E assiste em qualquer lugar, porque além da televisão – que agora é smart TV – estes serviços permitem assistir filmes nos celulares e tablets.

Ainda outro exemplo. Quem mora em lugares onde existem pequenos mercados conhece bem a caderneta do fiado. Num dia em que você saiu sem troco de casa e precisou fazer um lanche, ou quando o salário terminou mais cedo que o mês, é a caderneta do fiado quem te salva. Compre agora, pague depois. A caderneta do fiado é a forma mais antiga de crédito, muito anterior à Visa, ao Master Card, ao American Express e ao Diners Club.

Os benefícios de uma comunicação tão rápida estão aí para quem quiser ver. Mas fica a pergunta: como funcionam estas tecnologias? Até que ponto sabemos usá-las garantindo nossa privacidade, nossa segurança e algum nível de anonimato? Por que isto é importante?

É fácil de entender como a aceleração do ritmo de nossas vidas, causada pela informática, se entendermos que o mundo “real” e o mundo “virtual”, “da internet”, não são separados, como querem alguns; na verdade, são partes da nossa vida, partes inseparáveis e complementares. O risco é grande, porque tudo o que você faz na internet é monitorado, 24h por dia, 7 dias por semana, 30 dias por mês, 365 dias por ano. Sem exceção, nem feriado, nem dia santo. Também falaremos disto adiante. Não é, também, por nenhuma teoria da conspiração, mas por necessidades técnicas que podem tanto ser usadas contra nós quanto podem ser usadas a nosso favor.

O primeiro grande risco à nossa privacidade, segurança e anonimato na internet é a coleta de dados e metadados.

Voltemos ao exemplo do DVD versus serviços de filmes por assinatura na internet. Em algumas locadoras mais organizadas havia uma caderneta com todos os filmes que você já havia alugado, como numa biblioteca. A “caderneta da locadora” num serviço como Netflix tem outras informações bastante sensíveis, como seu cartão de crédito e dados de documentos pessoais, e eles podem ser usados para rastrear usuários simplesmente usando a lista de filmes que você assistiu – como o fizeram Arvind Narayanan e Vitaly Shmatikov, da Universidade do Texas, em resposta a um desafio da própria Netflix.

Agora, imagine há mais ou menos vinte anos a situação de um usuário frequente de táxi. É bem possível que, com o tempo, os próprios taxistas já conhecessem seus hábitos de deslocamento. É possível, também, que este usuário já houvesse chegado ao ponto de contratar um taxista para servir-lhe eventualmente como motorista. Retornemos aos tempos atuais. David Andrew Finer, da Booth School of Business da Universidade de Chicago, publicou um interessantíssimo estudo onde dados de deslocamento de táxis de Nova Iorque foram usados para detectar a influência de instituições financeiras sobre as decisões do Federal Reserve relativas à política monetária estadunidense. Um padrão de deslocamentos mostrou a este estudioso como havia um intenso deslocamento entre as proximidades da sede do Federal Reserve novaiorquino e as sedes de algumas instituições financeiras, concentradas no horário de almoço (quando sugere-se ter havido reuniões informais em restaurantes) e nas horas da madrugada imediatamente próximas do anúncio do resultado das reuniões. Tudo isto apenas com base em dados anônimos de deslocamento!

O segundo risco é a espionagem governamental e empresarial.

Os serviços secretos da Austrália, Canadá, Nova Zelándia, Reino Unido e Estados Unidos, os reunidos pelo Tratado de Segurança UK-USA assinado em março de 1946. Mais especificamente, o programa Muscular, operado conjuntamente pela Agência Nacional de Segurança dos EUA (NSA) e pelo Quartel-General de Comunicações do Governo do Reino Unido (GCHQ), permite a estas duas agências de inteligência explorar falhas de segurança interna do Google e da Yahoo, fazer um grampo gigantesco nas redes destas duas empresas e copiar todo o conteúdo de seus serviços prestados ao público (e-mails, redes sociais, fotos, vídeos, áudio etc.).

As agências de inteligência da Austrália, Canadá, Nova Zelândia, Reino Unido e Estados Unidos compartilham informações entre si, graças ao Tratado de Segurança UK-USA assinado em março de 1946. Por sua atuação conjunta, são conhecidas como “os cinco olhos”. Microsoft, Google, Facebook, Yahoo, Apple, YouTube, America On Line (AOL), Paltalk e Skype são acusadas – embora neguem – de ceder voluntariamente a pedidos destas agências secretas para acessar informações sobre navegação, vídeos, áudios, e-mails, fotos, conversas privadas – tudo, literalmente tudo o que circula pela internet, mesmo sem mandados judiciais. Vejamos agora os detalhes, e os programas usados por estas agências, conhecidos graças às denúncias de Edward Snowden publicadas no jornal inglês The Guardian a partir de reportagens de Glen Greenwald, Laura Poitras e Ewen MacAskill:

1. PRISM: operado pela Agência Nacional de Segurança dos EUA (NSA) e pelo Quartel-General de Comunicações do Governo do Reino Unido (GCHQ), este programa permite aos funcionários destas agências (em especial a NSA) coletar vários tipos de informações dos usuários que estão em poder de serviços de Internet – incluindo histórico de pesquisas, conteúdo de e-mails, transferências de arquivos, vídeos, fotos, chamadas de voz e vídeo, detalhes de redes sociais, logins, senhas e quaisquer outros dados em poder das empresas de Internet. O documento divulgado por Edward Snowden que trouxe este programa ao conhecimento público diz que o PRISM é executado com a participação das companhias já citadas e outras (Verizon, Qualcomm, Cisco, Oracle, Intel, Qwest, EDS, AT&T, IBM); diz ainda que a NSA tem acesso direto aos servidores do Google, Facebook, Apple e outras gigantes da internet nos Estados Unidos.

2. Olympia: programa especializado em escutas telefônicas, foi usado pela Agência Canadense de Segurança em Comunicação (CSEC) espionou o antigo Ministério das Minas e Energia em 20131.

3. Xkeyscore: O sistema funciona em uma infraestrutura com cerca de 500 servidores espalhados pelo mundo, instalados em diversos países sem conhecimento dos mesmos, inclusive no Brasil. Em janeiro de 2013 apenas, a NSA tinha recolhido 2,3 bilhões de dados de usuários brasileiros. O XKeyscore pode ver as caixas de entrada e saída de e-mails de qualquer pessoa em todas as partes do mundo, bastando apenas ter em mãos um endereço de correio eletrônico. Permite também que os analistas da NSA leiam o conteúdo que os usuários produzem nas redes sociais como Facebook, Orkut, Twitter, Flickr e outras. Permite espionar em tempo real a navegação de milhões de usuários na Internet para descobrir o que cada internauta está fazendo na Web a cada instante. Mapeia as pessoas a partir de localidades enquanto elas usam o Google Maps. Os dados coletados mundialmente são então enviados para armazenamento no gigantesco Centro de Processamento de Dados Utah, sob administração da NSA.

4. Tempora: programa de vigilância eletrônica mantido pelo Quartel-General de Comunicações do Governo do Reino Unido (GCHQ). É ainda mais abrangente e agressivo que o PRISM, pois em vez de confiar na colaboração das grandes empresas de telecomunicações e informática, usa interceptações nos cabos de fibra óptica que compõem a espinha dorsal da internet para ter acesso a grandes quantidades de dados pessoais dos usuários de internet.

5. Muscular: operado conjuntamente pela NSA e pelo GCHQ, é um grampo gigantesco nas redes internas do Google e do Yahoo. Graças a uma falha de segurança na comunicação entre seus data centers privados e a internet pública, estas duas agências puderam capturar todo o conteúdo dos serviços destas empresas (e-mails, mensagens, redes sociais etc.) e copiá-lo sem qualquer proteção.

Mesmo os cabos submarinos são vulneráveis. Em 1971 os EUA lançaram a operação Ivy Bells, em que três submarinos – o USS Parche (SSN-683), o USS Richard B. Russell (SSN-687) e o USS Seawolf (SSN-575) – foram encarregados de fazer um grampo num cabo telegráfico soviético e seguir monitorando as comunicações gravadas; a operação funcionou até 1981, quando um agente estadunidense entregou o esquema aos soviéticos. Anos depois, em 2005, os EUA lançaram ao mar o submarino USS Jimmy Carter (SSN-23), que tem todos os equipamentos necessários para grampear cabos submarinos de fibra ótica – e é esta toda a informação pública de que se dispõe sobre o assunto até o momento.

As comunicações na internet são inseguras por padrão. É assim que devem ser consideradas por qualquer militante, que deverá buscar proteger-se por todos os meios possíveis para garantir a continuidade de suas atividades sem colocar outros companheiros em perigo. Voltaremos ao assunto num próximo artigo.