Construir o nosso terreno (2): servidores ativistas

Uma coisa boa, e possível para o PP e seus muitos leitores, seria um espaço na rede Matrix para encontros sobre o conteúdo, interesses e outros relacionados ao PP. Quem Vamos?

pium, não vale a pena. Matrix não é rede social, é um software que junta troca de mensagens de texto, conferências em vídeo, chamadas em áudio e permite conectar-se com alguma anonimização a outros softwares similares como Messenger, Whatsapp, Instagram, Telegram etc. Está na moda porque pede poucos dados: diferente do Signal e Whatsapp, que pedem número de telefone, Matrix pede só e-mail.

Apesar disso, Matrix ainda é instável, tem gestão complexa (tanto para o usuário quanto para a equipe de gestão) e apresenta falhas de segurança bem conhecidas. Naqueles servidores ativistas mencionados no artigo, conta-se nos dedos de uma só mão os que oferecem este software como serviço. Se gente da área não gosta do Matrix e não o oferece como serviço, é o suficiente para observá-lo com alguma desconfiança (ao menos por enquanto). Pode olhar nesses servidores ativistas listados e ver como a preferência é pelo bom e velho XMPP, que combinado com OTR, OMEMO e GPG garante excelente segurança e serve para essa função básica de “sala de bate-papo”. Pode-se inclusive usar no celular com o Conversations.

Por outro lado, existem muitas salas “não oficiais” do Matrix inspiradas em projetos como Redecentralize, Privacy Tools e p2pweb. Que tal você abrir uma sala para discutir os temas que te interessam? Não precisa esperar pelo Passa Palavra para fazer acontecer.

Matrizes, determinantes e sistemas discordo de sua rápida conclusão sobre Matrix:

-O codigo é Livre, tá lá pra quem quiser modificar,baixar, melhorar ou implementar
-O protocolo, diferente do software (servidores e clientes) tem recebido bastante atenção, por ser descentralizado,permitir federar,stc.
-a versão P2P está em franco desenvolvimento, dispensa servidores e serviços de terceiros.
-O XMPP é uma boa plataforma, de nicho,apesar disso não obteve adesões se usuários, a interface dos clientes não é amigável.
– Finalmente, os “servidores ativistas” não são uma boa amostra da qualidade de serviços de Chat, conheço 4 pessoas que usam os serviços mencionados por você, afinal, tecnologia não é apenas numa escolha ideológica, reflete as necessidades das pessoas em contextos específicos. Nos protestos de Hong Kong as pessoas usaram P2P para escapar da vigilância, em Myamary estão usando recursos lhes permitam comunicação em tempos de Ditadura militar sangrenta, e por aí vai.
-Matrix, XMPP ou o velho P2P são possibilidades, “a cada um segundo a sua necessidade”, preocupações de privacidade ou outras.
-usar Riseup ou outro servidor ativista não é garantia nenhuma de segurança, até por que, este último, juntamente com o Signal e
está hospedado nos EUA, como muitos outros.

pium, parece que vamos concordar em discordar em alguns pontos. Me estenderei mais, dessa vez.

Código aberto é bom para a segurança, mas sozinho não é garantia alguma. É fácil dizer “vá lá e olhe”, mas nem todo mundo tem as condições necessárias para “olhar”. O código aberto de um software cria a impressão de que qualquer um pode modificar, baixar, melhorar, implementar etc., quando para isso é necessário um conhecimento técnico bastante aprofundado. Daí a importância das auditorias externas, que inclusive contribuem para que as equipes responsáveis pelo desenvolvimento do produto cujo código está sob exame possam melhorá-lo em aspectos cruciais.

Veja o Wire, que também tem código aberto: uma inspeção do código-fonte por um investigador independente revelou que o Wire guarda em texto plano os nomes de seus contatos; ao que tudo indica, isso foi por opção dos desenvolvedores, não por uma falha, e naquele momento eles não pretendiam corrigi-la. A Wire Swiss GmbH, empresa responsável pelo software, poderia ter ficado parada, pois afinal o código é aberto e qualquer um pode “ir lá e olhar”; sua reação, entretanto, foi contratar boas auditorias técnicas de segurança e divulgar a íntegra de seus relatórios, assim como um plano para lidar com as falhas encontradas. Isso ajuda numa avaliação pública da segurança.

Voltando ao Matrix, o código deste protocolo é aberto, assim como o dos software develpment kits (SDK) que permitem desenvolver muita coisa relativa ao protocolo; existe também um programa de bug bounty — mas não há nenhum relatório público de auditoria. Em maio de 2019, como resposta à invasão dos servidores, a equipe de desenvolvedores da Matrix.org Foundation CIC lançaram um longo comunicado onde, além de afirmarem que “isso não quer dizer que o protocolo Matrix está livre de bugs” (como é característico de qualquer softwre), dizem também que o incidente “deu início a uma abrangente auditoria de segurança sobre a totalidade de nossa infraestrutura e processos operacionais”, como mandam as boas práticas. Esse comunicado apresenta parte do plano de mitigação de falhas, não o relatório completo, sob o argumento de que “mitigações implicam em que há algo que pode ser melhorado, e por razões óbvias não queremos nos aprofundar em áreas onde a mitigação ainda está em curso”. Há, portanto, um grande esforço para melhorar o Matrix, mas hoje, 6 de maio de 2021, não temos como saber que outras falhas ainda estão sendo resolvidas pela equipe de desenvolvedores. Para todos os efeitos, isso é um cheque em branco, prática que não se recomenda na área de segurança. O Matrix tem grande potencial, mas, no aspecto de segurança, ele ainda não é a melhor alternativa.

O protocolo Matrix tem recebido bastante atenção, concordo, mas sem os servidores e clientes o protocolo é só uma estrutura lógica, um conjunto definido de regras e regulações que determina como dados são transmitidos em telecomunicações e em redes de computadores. Qualquer protocolo precisa de servidores e clientes para funcionar. É o mesmo que dizer que o protocolo HTTPS é ótimo, quando o que importa são as falhas de segurança nos navegadores que o utilizam para que pessoas se comuniquem por meio dele, e as falhas de segurança nos servidores que também o utiizam para fornecer os serviços necessários. Por sinal, a invasão noticiada se deu num dos servidores, e exatamente no servidor principal. Como não temos acesso ao relatório de auditoria completo com as falhas ainda a resolver, repete-se aqui o mesmo problema.

Quanto à versão P2P do Matrix, ela ainda está em testes, é altamente experimental, portanto não recomendada para usuários finais. A não ser, pium, que você contrarie o que se recomenda na área de segurança e endosse tratar de assuntos sensíveis por meios cuja segurança ainda não foi extensivamente testada contra falhas relevantes.

Quanto ao protocolo XMPP, ele nem é “plataforma”, nem é “de nicho”. É uma versão modificada do protocolo XMPP que faz funcionar o Whatsapp, só para ficar no básico. Por muito tempo, também foi o protocolo XMPP que fez funcionar o Google Talk. Para aqueles que ainda não se sentem à vontade com mensageiros mesh/P2P como Briar, que aliás disponibiliza ao público o relatório integral de sua auditoria de segurança mais recente, usar um mensageiro baseado em XMPP como o Conversations é tão simples quanto usar o Whatsapp. Além disso, como o protocolo XMPP está em constante uso e desenvolvimento desde 1999, nele já estão plenamente funcionais e seguras, portanto recomendáveis, boa parte das ferramentas que no protocolo Matrix ainda estão em testes.

Quanto aos servidores ativistas não serem bom indicador de qualidade de serviços de chat, concordamos. A diferença em nossos pontos de vista, no que diz respeito à adoção do Matrix por esses servidores, é que você leva em conta apenas o ponto de vista do usuário, e eu levo em conta, além dele, o dos “pobres coitados” que ralam para manter os servidores funcionando. Para administradores de servidores, a instalação de um servidor XMPP é muito mais simples, consome muito menos espaço em disco, exige muito menos memória e demanda muito menos performance de processador que um servidor Matrix, e ainda permite federar servidores diferentes, da mesma forma que o Matrix. Numa empresa que conheço, que usa XMPP+OMEMO para suas comunicações internas, foi feita uma experiência com o Matrix. Viu-se lá que manter trinta usuários de Matrix exigia 150GB de banco de dados e 5GB de RAM somente para o servidor (sem incluir o banco de dados); ao mesmo tempo, em paralelo, para manter em servidor tecnicamente semelhante 350 pessoas online no XMPP (sem contar outras centenas de usuários registrados que estavam offline naquele momento) exigia-se 260MB de RAM e 512MB de banco de dados. A vantagem do XMPP é enorme também pelo aspecto do consumo energético, porque demanda menos do servidor, funciona bem em máquinas menos potentes. Agora, imagine manter um serviço desses somente com base em campanhas de arrecadação de fundos ou tirando do próprio bolso, como é comum nos servidores ativistas. Por isso não é comum que eles ofereçam esse serviço, apesar de haver quem o faça. Há outros aspectos técnicos envolvidos, mas já estou me estendendo muito.

Se a questão é interface de clientes, isso não tem a ver com o protocolo XMPP. Mas se é esse o problema, como o XMPP é só um protocolo, vocẽ pode escolher um entre muitos clientes: Tkabber, Xabber, aTalk, Spark, Coccinella, Psi, Gajim, Pidgin, ChatSecure… Pessoalmente, prefiro uma combinação de Conversations no celular e Dino no desktop. Aliás, como o XMPP é um protocolo aberto, <ironia>você também pode criar o cliente mais adequado a seu gosto</ironia>.

Nos casos dos protestos em Myanmar ou em Hong Kong, não duvido que estejam usando P2P, mas no segundo caso, que acompanhei de longe, foi o Telegram a “estrela”, e o Signal foi o aplicativo mais baixado na Play Store em Hong Kong em junho de 2020. Vou criticar esses ativistas por usarem o que aparenta estar mais ao alcance? Claro que não. Cada um usa as ferramentas que estão ao seu alcance, e as que mais conhece ou domina. Concordo que Matrix, XMPP ou P2P são “possibilidades”; concordo também que “tecnologia não é apenas numa escolha ideológica, reflete as necessidades das pessoas em contextos específicos”; mas imagino que você também concorde quando digo que, diante das muitas possibilidades e frente às necessidades de cada contexto, cabe a quem conhece mais a fundo as possibilidades indicar aquelas mais adequadas às necessidades, da mesma forma que não se indica a ninguém usar um copo de vidro para bater um prego na parede, mas um martelo. Se nos contextos indicados ativistas estão usando Matrix para comunicação P2P, em vez do Briar, do Manyverse ou de outras alternativas mais consolidadas (como XMPP + OMEMO), não posso deixar de destacar que existe aí uma falha de segurança, e de indicar alternativas. Se serão usadas, isso é outro problema, que envolve tanto as “escolhas” quanto algum treinamento mínimo para que as alternativas mais seguras sejam disseminadas ao menos num núcleo pequeno de usuários e depois espraiem-se. Mas não posso deixar de apontar as falhas, e de apontar possíveis soluções.

Por último, concordo, mas somente em parte, que “usar Riseup ou outro servidor ativista não é garantia nenhuma de segurança, até por que, este último, juntamente com o Signal e está hospedado nos EUA, como muitos outros”. A primeira parte do argumento é totalmente verdadeira, porque os usuários também são responsáveis pela sua segurança e há aspectos importantes que a equipe responsável pelo serviço deve observar (atualização constante de software, realização regular de testes de invasão, manutenção regular das máquinas, resposta rápida às demandas de usuários etc.). A segunda parte do argumento contém um erro: você parece levar em conta a legislação e os serviços de repressão de cada país como critério absoluto de segurança, o que é falso.

Dou como exemplo o ProtonMail, serviço fornecido pela empresa suíça Proton Technologies AG que dá, sim, boa proteção de segurança e privacidade para usuários sem tanto conhecimento técnico. Embora a boa legislação suíça sobre privacidade de dados seja usada pela empresa como peça de marketing em torno da “proteção das liberdades civis online“, é a própria empresa quem divulga um relatório de transparência onde estão registrados muitos casos em que obedeceram a ordens judiciais de retenção de dados e de fornecimento de dados de usuários. Das 1.594 ordens assim recebidas em 2019, apenas 110 (6,9%) foram contestadas, enquanto 1.484 (93,1%) foram obedecidas. Com esse histórico, eu recomendaria a um ativista usar ProtonMail? Para um ativista “comum”, recomendaria com ressalvas, mas para um ativista com perfil de alto risco, com certeza não. Mas recomendaria a um usuário com perfil de risco muito mais baixo a usar ProtonMail em substituição a GMail, Outlook, Yahoo e outros que não respeitam a privacidade online? Isso sim, com certeza.

Agora vamos ao exemplo do Signal. Não apenas seus servidores estão hospedados nos EUA, mas também sua infraestrutura física de servidores não é própria, muito provavelmente alugada da Amazon ou da Microsoft. Apesar disso, os únicos dados de usuário a que a Signal Foundation e a Signal Messenger LLC afirmam ter acesso são a data de criação da conta e a data do uso mais recente; como o Signal também tem código aberto, seu protocolo foi vistoriado e recebeu excelente avaliação em sua auditoria de segurança, que confirmou as afirmações da empresa. As mensagens transitam de uma ponta a outra no aplicativo criptografadas, e com a tecnologia de “remetente oculto” (sealed sender) até mesmo os metadados de remetente são criptografados. Com tudo isso, quero dizer que o fato de os servidores do Signal estarem nos EUA, do ponto de vista da segurança, só representariam um risco severo se não houvessem contramedidas tecnológicas capazes de fazer tanto a CIA quanto empresas privadas de segurança (como a Cellebrite israelense) precisarem explorar vulnerabilidades nos aparelhos para tentar ter acesso às mensagens do Signal.

Agora, vamos ao exemplo do Riseup, que também tem servidores nos EUA. Diferentemente do Signal, o Riseup tem controle físico sobre os próprios servidores, e além disso usam criptografia de disco inteiro para proteger os dados ali hospedados na eventualidade de confisco. Como camada adicional de segurança, as informações registradas pelo Riseup são mínimas, e os usuários são inclusive estimulados a reduzir mais ainda as poucas informações necessárias ao uso do serviço. Essas medidas não tornam o Riseup invulnerável contra mandados judiciais sob segredo de justiça (gag orders), como revelou um caso de 2017 em que serviços do Riseup foram usados por uma conta relacionada a um grupo internacional que praticava extorsão via DDoS e por outra conta que fazia sequestro de dados (ransomware) para extorquir pessoas. Foi justamente este caso, entretanto, que levou o coletivo a implementar as medidas cada vez mais próximas do “conhecimento zero” (zero knowledge) já referidas acima.

Tanto no caso do Signal quanto do Riseup, há muito boas medidas de segurança envolvidas, e neste último há uma camada extra: confiança em quem está por trás das máquinas. Apesar de recomendar sempre o uso do Signal por suas excelentes características técnicas, não tenho por que “botar a mão no fogo” pela Signal Foundation, pela Signal Messenger LLC, por Moxie Marlinspike, por Brian Acton, por Meredith Whittaker ou por qualquer pessoa envolvida com o Signal; por sinal, endosso as preocupações de Bruce Schneier quanto às recentes movimentações rumo a uma espécie de “criptomoeda do Signal”. Já quanto ao Riseup, os “passarinhos” já deram provas suficientes de serem confiáveis.

Com tudo isso, quero dizer que não basta saber onde está um servidor, mas também as medidas de segurança aplicadas para mitigar as ameaças do lugar onde se está, e se essas medidas são suficientes para lidar com as ameaças. De nada adianta ter um servidor na Suíça ou na Islândia se as medidas de segurança e manutenção forem insuficientes ou falhas.

Por favor, pium, entenda que não estou nem te “condenando” por defender o uso do Matrix, nem “condenando” o Matrix de uma vez por todas. Quero enfatizar bem esse aspecto para que não interpretem mal meu comentário. Só estou dizendo que hoje, 6 de maio de 2021, se algum ativista em situação de alto risco (atual ou potencial) me perguntar se vale a pena usar Matrix, eu vou dizer “não” sem a menor dor na consciência. Da mesma forma, se hoje, 6 de maio de 2021, alguma organização que lide com temas sensíveis me perguntar se recomendo usar Matrix como alternativa ao Whatsapp para suas comunicações internas, eu também vou dizer “não” com muita tranquilidade. Isso pode mudar no futuro, mas por hoje minha resposta é essa.