F-Droid – Repositório Android de Código Aberto e Livre

Os smartphones continuam produzindo vítimas, à esquerda e à direita. O caso ilustre mais recente, e bizarro, foi o do deputado da Assembleia paulista, pego em uma molecagem épica.

Imagem: Pexels

É até divertido. Enquanto as pessoas continuarem a ignorar a tecnologia subjacente e usar smartphones na ilusão de estarem em privacidade os incidentes – e as revelações – vão continuar sua marcha, para nosso deleite*.

A fachada social, a reputação e o patrimônio das pessoas correm um risco constante na cultura da atenção e da vigilância, impulsionada pela conectividade tóxica. A vida em 2022 é mergulhada em um ambiente tecnológico sem freios éticos. As tecnologias de conectividade imploram por uma revisão geral.

O ambiente Android é notório, entre tecnologistas e engenheiros de software éticos, por sua brutal falta de princípios morais. O usuário médio não faz a menor ideia do monstro que coloca em movimento a cada interação, cada like e a cada share [e, pela minha experiência, faz um about-face toda vez que alguém tenta lhe explicar, como agora – as pessoas odeiam falar de privacidade e eu adoro provocar sua reação].

Existe alternativa a esse estado de coisas assustador? Não, não existe nenhuma solução perfeita nesta situação social de massivo analfabetismo científico-tecnológico. Contudo, podemos falar em mitigação das ameaças. Nesse momento, entra em cena o F-Droid, sistema aberto e livre [as in speech], alternativo ao mefistofélico Android.

A ética tem sido central para a comunidade F-Droid desde o início, com foco em software livre, privacidade e no controle do usuário sobre a plataforma. Uma parte fundamental do design do F-Droid é a ausência de contas de usuário.

No F=Droid, contas de usuário nunca são usadas no processo de entrega de aplicativos. Isso é por design. O F-Droid nunca teve um método para identificar ou rastrear usuários no Android. Obter informações no site f-droid.org também nunca exigiu nenhum tipo de identificação pessoal.

Ter contas de usuário torna alguns problemas muito mais fáceis de resolver: torna mais fácil incluir classificações, revisões e personalizar a documentação. No entanto, ter contas de usuário torna outros problemas muito mais difíceis de resolver, a ponto de o custo-benefício ser negativo.

As contas de usuário inevitavelmente significam que informações de identificação pessoal (IPI) serão coletadas. Contas de usuário também exigem senhas e, adicionalmente, números de telefone ou endereços de e-mail. Todos esses dados precisam ser defendidos contra acesso indevido, o que é problemático na plataforma Android. Um dos principais objetivos do F-Droid é eliminar a possibilidade de rastrear os usuários.

Quando se trata de smartphones, a verdade que nunca é dita é que contas de usuário não são um requisito técnico para a criação de um serviço – embora inúmeros aplicativos façam parecer que sim. As contas de usuário são a maneira perfeita para coletar dados e vinculá-los na criação de perfis estatísticos muito detalhados. Essa arquitetura é fundamental para rastrear usuários, a fim de mercantilizá-los e oferecê-los no pregão da economia da atenção.

As contas de usuário também são usadas para controlar o acesso a informações e dados. Elas são usadas ​​para “bloquear região” de vídeos e bloquear seletivamente o acesso a aplicativos. É claro que existem casos de uso legítimos para restringir o acesso, como garantir que crianças possam acessar apenas conteúdo apropriado para a idade. Por outro lado existem outras maneiras de fazer isso, como a curadoria de repositórios para que o material adulto seja entregue por meio de repositórios separados e opt-in.

As contas de usuário são fundamentais para rastrear pessoas

Contas e IDs de usuários são uma parte essencial do rastreamento de usuários e da criação de perfis estatísticos duradouros. Já se tornou um truismo da Intenet, que se um serviço qualquer exige uma conta para acessá-lo, esse serviço certamente está rastreando seus usuários. Quando um usuário faz login, ele está dizendo claramente ao serviço quem ele é. E esse serviço pode facilmente atribuir ações específicas a essa conta no ato da criação do perfil.

Isso não quer dizer que não haja motivos válidos para rastrear usuários. Como mencionado anteriormente, os editores da Wikipédia são um exemplo de serviço essencial construído com base nas contas dos usuários. O que estamos dizendo é que se a privacidade é um bem importante, os requisitos de login dos infinitos sites e serviços da Internet pedem que paremos um instante para pensar.

O Google nos fornece um exemplo não muito edificante. Ele se esforça muito para fazer com que as pessoas façam login o máximo possível, e a maioria de seus serviços exige que os usuários façam login com uma conta. Até o seu navegador Chrome exige logins, que são obviamente vinculados a contas do Google. Eles geralmente justificam esse requisito dizendo que isso torna os serviços mais fáceis de usar e, portanto, “mais convenientes”. A estrada da conveniência ainda vai nos levar a todos para o purgatório.

Embora seja óbvio que o rastreamento de usuários possa fazer com que certas coisas sirvam melhor ao perfil de um usuário, o Google parece consistentemente aplicar esses casos a situações em que eles têm uma vantagem clara em obter mais dados de rastreamento.

O que funciona sem contas de usuário?

F-Droid não está sozinho na entrega de serviços úteis sem contas ou perfis de usuários. Existe toda uma linha de aplicativos, como navegadores, wikis, blocos de notas compartilhados, videoconferência, mensagens e análises estatísticas.

A primeira pergunta a ser respondida é: um serviço precisa saber quem são os usuários para funcionar? Essas informações podem permanecer apenas no dispositivo do usuário? Por exemplo, um serviço de e-mail ou de mensagens precisa saber o suficiente sobre seus usuários para poder direcionar dados de um usuário que envia uma mensagem para o destinatário pretendido. Isso significa principalmente que o servidor de mensagens depende de cada usuário ter uma conta.

Essa é uma maneira comum de implementar esse sistema, mas não é a única. Tor Onion Services [forneço o link para informação, mas não concordo com o nome do verbete da Wiki em português] segue uma abordagem diferente. Eles são projetados para rotear dados sem que nenhuma parte do sistema possa ver quem está enviando dados para quem e quem está fazendo a solicitação. O aplicativo de mensagens Briar, oferecido pelo F-Droid baseia-se nesse esquema para fazer as mensagens funcionarem sem que ninguém saiba quem está enviando para quem, fora os envolvidos na conversa. Com o Briar, as informações de contato do usuário ficam armazenadas apenas nos dispositivos dos usuários.

O aplicativo de videoconferência foi construído em torno de IDs de usuários, como contas e números de telefone. Serviços como Jitsi Meet [serviço oposto ao proprietário e fechado Zoom] foram pioneiros em uma nova forma de conexão: cada sala de conferência é representada por um nome em na URL, por exemplo, https://meet.jit.si/CanalDoTrabalho. Qualquer pessoa que tenha esse URL pode abri-lo em um navegador e entrar na sala.

O Jitsi Meet funciona lindamente e já demonstrou que as reuniões online realmente funcionam melhor sem contas de usuário – e são muito mais fáceis de configurar e gerenciar. Plataformas de reunião que não suportem ingresso com apenas uma URL [sem conta de usuário] estão fadadas à extinção.

A Wikipedia é um ótimo exemplo híbrido. É possível editar a maioria das páginas sem uma conta, apenas clicando em editar e fazendo as alterações. O conteúdo gerado pelo usuário inevitavelmente precisa de controles para sobreviver às guerras de edição e comportamento abusivo. Portanto, as contas de usuário ainda são uma parte fundamental de como a Wikipédia funciona. No entanto, neste caso o uso de contas decorre da necessidade dos editores da Wikimedia de fornecer serviços essenciais a seus usuários.

Como o ecossistema F-Droid funciona baseado em hashes de arquivos estáticos sem controles de acesso, ele pode liberar todo tipo de flexibilidade. Os repositórios-espelhos do f-droid.org/repo podem ser entregues em todo o mundo com segurança, por meio de web services, Raspberry Pis locais ou até mesmo um pen drive USB. Com o IPFS [Inter Planetary File SystemSistema de Arquivos Inter Planetário] qualquer conteúdo pode ser baixado por qualquer pessoa sem necessidade de permissões ou serviços centralizados.

Para resumir tudo a duas linhas, o F-Droid é um grande aliado do usuário consciente que deseja limitar a presença do Google em suas vidas sempre que possível.

Aqui o link para download, Caso alguma leitora ou leitor queira realmente explorar a ideia e instalá-lo, pode me perguntar nos comentários, que terei prazer em explicar e dar links para todas as informações.


Este post marca o primeiro aniversário do blog. Nada a comemorar em termos de sucesso. Memoráveis as pessoas incríveis que conheci na rede WordPress.

Feliz aniversário para mim, Êêêêê…

Cyberfront: Ucrânia Propõe que ICANN Remova Domínios Russos

O site de Tecnologia TheRegister informa que, em resposta à invasão russa da Ucrânia na semana passada, Mykhailo Fedorov, vice-primeiro-ministro da Ucrânia, pediu na segunda-feira (28-3) à ICANN, todo-poderosa responsável pelo DNS [Domain Name System – Sistema de Nomes de Domínio], que desative os domínios de primeiro nível que tenham código de país associados à Rússia.

Imagem: Pexels

Em um e-mail [PDF], Fedorov pediu a Goran Marby, CEO da ICANN, que imponha sanções à Rússia, argumentando que o regime de Putin usou a infraestrutura da Internet para propagar seu esforço de guerra. Especificamente, ele pediu a revogação dos domínios “.ru”, “.”, “.su” e outros usados ​​pela Federação Russa, desligando os servidores raiz DNS que atendem à Federação Russa e contribuindo para a revogação dos certificados de segurança [TLD/SSL] emitidos para esses domínios.

“Todas essas medidas ajudarão os usuários a buscar informações confiáveis ​​em zonas de domínio alternativas, evitando propaganda e desinformação”, diz o e-mail de Fedorov. “Líderes, governos e organizações de todo o mundo são a favor da introdução de sanções contra a Federação Russa, uma vez que visam pôr fim à agressão contra a Ucrânia e outros países. Ajude a salvar a vida das pessoas em nosso país.”

Fazer isso bloquearia cerca de cinco milhões de domínios da internet global e afetaria significativamente a capacidade da Rússia de se comunicar online.

Em resposta a Prykhodko, Erich Schweighofer, professor da Universidade de Viena e participante da comunidade da ICANN, escreveu: “Nós sabemos e estamos atentos à situação muito difícil e perigosa. [A] União Européia irá apoiá-lo. No entanto, remover a Rússia da Internet não ajuda a sociedade civil desse país em sua luta para uma mudança democrática. A ICANN é uma plataforma neutra, não tomando uma posição neste conflito, mas permitindo que os Estados ajam de acordo – por exemplo, bloqueando o tráfego a um determinado estado.”

Antony Van Couvering, CEO da Top Level Domain Holdings, expressou apoio à ideia: “A neutralidade como resposta ao assassinato não é neutra. De que adianta uma ‘organização da sociedade civil’, se ela se recusa a proteger a mesma sociedade civil, muito menos fazer algo a respeito? Até os políticos acordaram. Até o governo alemão acordou. Até o governo suíço acordou! Enquanto isso, algumas pessoas na ICANN se contentam em repetir frases vazias sobre não se envolver porque isso não ajuda a sociedade civil em seu país. Isso é que é o tal de ‘um mundo, uma internet'”.

A reportagem do Register acrescenta que o registrador de domínio Namecheap* “aconselhou os clientes na Rússia a levar seus negócios para outro lugar, citando crimes de guerra”. No entanto, o CEO da Namecheap, Richard Kirkendall, esclareceu mais tarde que os domínios não foram bloqueados. Em vez disso, eles estão apenas “pedindo às pessoas que voluntariamente se mudem”.

Com tantos se unindo ao lado da Ucrânia (mesmo aqueles que tradicionalmente permanecem neutros em assuntos internacionais), pedir à ICANN que tome medidas contra a Rússia parece ser uma proposta razoável dadas as circunstâncias. Como um bônus, a provável diminuição no spam seria um alívio bem-vindo.

(*) Vox Leone também é cliente do Namecheap, e ficamos contentes com a decisão de R. Kirkendall

Cyberfront: Gigante Russo Kaspersky Tenta Manter a Neutralidade

A revista Motherboard deu conta, ontem (1/3), que no mesmo momento em que forças russas lançavam um ataque de foguetes em uma praça em Kharkiv, a segunda maior cidade da Ucrânia, matando e ferindo um número ainda desconhecido de pessoas, Eugene Kaspersky, CEO da empresa russa de segurança cibernética homônima, twittou singelamente que esperava que as negociações entre a Ucrânia e a Rússia levem a “um compromisso”.

Imagem: Pexels

A declaração resume a posição da empresa desde que a Rússia invadiu a Ucrânia há seis dias: a de uma tentativa de neutralidade em uma guerra onde ficar em silêncio ou em cima do muro significa estar implicitamente do lado das forças russas. Em outra declaração à Motherboard, na segunda-feira (28/3), a empresa disse que “como provedora de serviços de tecnologia e segurança cibernética, a empresa não está em posição de comentar ou especular sobre desenvolvimentos geopolíticos fora de sua área de especialização”.

A Kaspersky é uma das empresas russas mais conhecidas e há anos seu produto antivírus está entre os mais usados ​​no mundo. O software antivírus também coleta dados de telemetria para os pesquisadores da Kaspersky, que podem usá-los – alegadamente – para identificar e combater novas ameaças. Seus pesquisadores são alguns dos melhores do mundo, com sua Equipe de Pesquisa e Análise Global (Global Research & Analysis Team – GReAT) publicando regularmente pesquisas importantes sobre várias operações de malware de vários governos.

Notoriamente, a empresa foi a primeira a revelar a existência e detalhes de um grupo de hackers do governo dos EUA, que apelidou de Equation Group. A Kaspersky também pesquisou supostos hackers ligados ao governo russo.

O tweet de Eugene também traz outro assunto à tona novamente: quanto a Kaspersky, a empresa, é influenciada pelo governo russo, mesmo que indiretamente? É lícito supor que, como uma empresa russa que opera em Moscou sob as leis russas, ela pode sentir pressão para estar em linha com as questões russas.

A declaração na segunda-feira acrescentou que “a Kaspersky está focada em sua missão de construir um mundo mais seguro para governos e consumidores em todo o mundo. As operações comerciais da Kaspersky permanecem estáveis. A empresa garante o cumprimento de suas obrigações com parceiros e clientes – incluindo entrega e suporte de produtos e continuidade de transações financeiras. A equipe de gerenciamento global está monitorando a situação cuidadosamente e está pronta para agir muito rapidamente, se necessário.”

A Kaspersky pode não se sentir em posição de especular ou tomar uma posição sobre a invasão da Ucrânia. Mas com um comboio militar russo de 70 km de comprimento a caminho de Kyiv e com a perspectiva de mais ataques cibernéticos desempenhando um importante papel na invasão, a Kaspersky pode ser obrigada a escolher um lado.

Ucrânia: Notícias do Front

Vivemos tempos extraordinários. Os eventos correntes no leste europeu marcam “um tempo que [pelas suas peculiaridades] nunca foi vivido na história humana”, como disse Thomas L. Friedman no New York Times de hoje [Nunca Estivemos Aqui Antes].

Imagem: Pexels

Portanto é razoável que este blog, em princípio dedicado à ciência e à tecnologia, queira ter este registro histórico em suas páginas. Aqui falamos de sexo + tecnologia, arte + tecnologia, tudo + tecnologia. Vamos então usar a prerrogativa de poder tratar da gloriosa [slavnyy] guerra na Ucrânia, que praticamente é fruto da tecnologia, exibindo [para quem sabe ler] todos os excessos e absurdos de seu DNA social-midiático. Allez.

Um correspondente na Lituânia, nos círculos de Schneier on Security [link], dá conta da interessante nota abaixo nesta manhã de sábado. A origem e veracidade da informação só pode ser especulada, mas é compatível com os dados sobre a Rússia disponíveis a todos no Ocidente. Ponderei um tanto antes de postar, e concluo que a informação vale a pena. Aspas até o fim:

“Intel de um oficial ucraniano sobre uma reunião no covil de Putin nos Urais. Os oligarcas se reuniram nesse local para facilitar a contagem e garantir que ninguém fugisse ao encontro. Putin está furioso, ele pensou que a guerra toda seria fácil e tudo teria terminado em 1-4 dias.

Os russos não tinham um plano tático antes da invasão. A guerra custa cerca de US$ 2 bilhões por dia. Há foguetes para 3-4 dias no máximo, eles estão sendo usados com moderação. Eles não têm armas, as fábricas Tula e 2 Rotenberg não podem cumprir fisicamente os pedidos. Rifles e munição são o máximo que podem fazer.

As próximos lotes de armas russas só podem ser produzidas em um prazo de 3-4 meses – se tanto. Eles não têm matéria-prima. O que antes era fornecido principalmente pela Eslovênia, Finlândia e Alemanha agora está cortado.

Se a Ucrânia conseguir manter os russos afastados por 10 dias, os russos terão que entrar em negociações. Porque eles não têm dinheiro, armas nem recursos. No entanto, eles estão indiferentes quanto às as sanções.

Alpha Spec Ops [Operações Especiais] está perto de Kiev desde 18 de fevereiro. O objetivo era tomar Kiev e instalar um regime fantoche. Eles estão efetuando provocações contra civis inocentes – mulheres e crianças – para semear o pânico. Este é o seu trunfo.

Todo o plano da Rússia se baseia no pânico – que os civis e as forças armadas se rendam e Zelensky fuja. Eles esperam que Kharkiv se renda primeiro para que as outras cidades sigam o exemplo para evitar derramamento de sangue. Os russos estão chocados com a resistência feroz que encontraram.

Os ucranianos devem evitar o pânico! Os ataques com mísseis são para intimidação, os russos os disparam aleatoriamente para atingir “acidentalmente” edifícios residenciais para fazer o ataque parecer maior do que realmente é. A Ucrânia deve permanecer forte e devemos fornecer assistência!”

Meu Problema com Smartphones

Eu estou abandonando os smartphones como dispositivos de uso pessoal. Desde o começo do ano o meu jaz morto, em uma caixa metálica. Não consigo viver com os muitos problemas dessa infortunada tecnologia.

Imagem: Pexels

O principal problema é que os celulares não podem funcionar se não souberem onde o usuário está. Essa característica fundamental de design é explorada sem qualquer limite por indivíduos mal-intencionados, por corporações internacionais e pelos agentes de aplicação da lei e inteligência. Não que eu tenha algo a esconder – na verdade todos temos.

Ah, os prazeres da vida de volta! Sem um celular é possível dedicar meu tempo inteiro à atividades realmente úteis. É libertador poder evitar os lunáticos do WhatsApp; ou o mau gosto e a indigência mental de certos influencers; poder evitar aquele meme do Big Brother [socorro!]. Evitar ver as pessoas tirando selfies diante do espelho, olhando apatetadas para o celular. Ou evitar os golpes do Pix.

Sem o smartphone é muito fácil evitar os robóticos e intoleráveis operadores de telemarketing. É possível evitar também que as companhias de seguros definam o prêmio a pagar pelo seguro do carro, por conta do histórico de localização e informações de acelerômetro extraídos do smartphone [“você fez Campinas-São Paulo em 25 minutos, faz manobras bruscas e freia muito forte“]. Ou ser incluído em um cadastro fantasma de crédito, como os que pululam no mercado e definem os valores que pagamos pelos diversos serviços que usamos.

Evitar ser atropelado. Ou levar um tiro de um sniper do Mossad.

Vou deixar as torturadamente óbvias questões de segurança de lado nesta postagem, para focar em outros atributos igualmente preocupantes e pouco discutidos dos smartphones. Allez.

São dispositivos voltados ao consumo ostensivo

Os smartphones são apenas dispositivos de consumo insano e irrefreável. Nesse aspecto, eles diferem criticamente dos PCs, porque os PCs são dispositivos igualitários, no sentido de que o mesmo dispositivo pode ser usado para tanto para criação quanto consumo de conteúdo. Isso significa que qualquer pessoa com um PC pode criar e consumir, se assim o desejar. Essa igualdade cultural, estabelecida no começo da era da Web [minha referência é o Eterno Setembro de 1993] foi diminuída pelo êxodo dos usuários para os dispositivos móveis – que só podem ser usados ​​para consumo.

Eles não são verdadeiros clientes de rede

Os smartphones têm CPUs poderosas e conexões de rede rápidas, exceto que você é impedido de usar esses recursos de forma significativa, porque seu uso consome a carga da bateria – e as pessoas não querem que a preciosa vida útil da bateria de seus telefones seja drenada desnecessariamente.

Portanto, há uma enorme quantidade de poder de computação e conectividade de rede que, na prática, você não pode usar. Isso leva a uma consequência ainda mais infeliz e ridícula: por causa dessas limitações, em um smartphone você não pode implementar a maioria dos protocolos de rede existentes [ou você pode, mas não sem esgotar a bateria]. O que é um paradoxo para um equipamento voltado à conectividade .

Eles arruinaram o web design

Mas eu provavelmente deverei escrever um artigo inteiro sobre isso.

As tecnologias são opacas

São produtos e serviços com alinhamentos empresariais nebulosos, ou de clara malevolência. Supostamente, com o Android, por exemplo, você é livre para instalar software de fontes arbitrárias e substituir o sistema operacional. Exceto que esses recursos são frequentemente restritos pelos próprios fabricantes, ou pelas telecoms.

Promovem a discriminação

A discriminação contra pessoas que exercem controle sobre seus dispositivos é comum, e qualquer aplicativo de análise vai revelar isso. Há uma expectativa predominante das empresas de tecnologia, de que as pessoas vão sempre abrir mão do controle sobre seus dispositivos, a ponto de aqueles que o fizerem serem minoria suficiente para serem discriminados e terem a funcionalidade de seus dispositivos reduzida por isso. A vida bancária é hoje uma tortura sem smartphones. Mas isso não deveria ser encarado de forma normal. É um abuso terrível e – por motivos óbvios – não deveria acontecer.

Ademais, prevalência de fontes de ransomware operados na Rússia, que vendem contas de celular roubadas da Internet, sugere que o uso de verificação por telefone como estratégia anti-spam não tem sido muito eficaz.

São responsáveis por uma centralização maciça

Um número desproporcional de aplicativos para, digamos, Android, depende de um servidor central operado pelo fabricante do software, com algum protocolo proprietário entre o cliente e esse servidor. De fato, essa é a própria premissa dos sistemas de notificação por push usados ​​pelo Android e iOS.

Eles levaram a uma centralização maciça. Parte do movimento dos ativos de Internet em direção à “nuvem” provavelmente é impulsionado pelo fato de que, embora os smartphones tenham recursos computacionais substanciais, você não pode usá-los por causa da curta duração da bateria. Isso faz com que a computação seja transferida para a nuvem, criando uma dependência de uma entidade centralizada. Quantos aplicativos para smartphones vendidos ainda funcionariam se seus fabricantes falissem ou saíssem do negócio?

Provavelmente o exemplo mais risível da centralidade desempenhada pelo telefone é quando, em um momento de loucura [ou de bebedeira] eu tento criar, em um desktop, uma conta numa rede social qualquer. Após o envio do formulário de registro, o site sempre diz para eu me inscrever através do aplicativo de smartphone, o que é um non sequitur realmente bizarro, já que eu não forneço nenhuma evidência de que eu tenha um smartphone. O que é hilário, no entanto, é que é possível criar uma conta do Twitter de dentro de uma máquina virtual no Android (obviamente sem número de telefone), provando essencialmente que a coisa toda é apenas teatro de segurança.

O que realmente me irrita nessas exigências por números de telefone [que são formatados no infame padrão E.164 – the international public telecommunication numbering planplano numérico da comunicação pública internacional], no entanto, é a maneira como eles me obrigam a abandonar meus orgulhosos princípios de pioneiro independente da Internet, sem documento e sem telefone.

Quando o Google exige um número E.164, eles não fazem isso apesar do fato de o E.164 ser um padrão técnico um tanto opaco e fechado, mas exatamente por causa disso. Basicamente, tudo de ruim sobre o namespace E.164 e suas organizações constituintes é precisamente o que o torna atraente para fins nebulosos em organizações como o Google et caterva.

Os gigantes da conectividade e seus operadores sustentam uma rede opaca, mantendo-a assim, porque no íntimo consideram problemática a própria abertura da internet. Isso representa essencialmente a retirada intencional do papel da Internet original como a raiz de todas as redes, orquestrada por uma organização que está ironicamente associada à própria internet. É um movimento deprimente de se ver.

(*) Editado por questões de estilo

O Conflito na Ucrânia e a Internet

A maioria dos veículos da mídia tradicional tem insistido que a Rússia vai invadir a Ucrânia amanhã (16/02). A data pode estar errada, mas, como disse uma das minhas fontes, “se você der brinquedos a uma criança, ela acabará brincando com eles”.

Imagem: Pexels

Faço a seguir, com minhas palavras, um rápido apanhado do que pude levantar sobre esse tema, nos últimos três dias, junto a alguns dos meus contatos estrangeiros na indústria da segurança e inteligência. Eu recorri à opinião deles eles na tentativa de estimar o potencial impacto dessa crise nas atividades na Internet, mais o que esperar agora, as consequências futuras, etc, tanto para meu consumo próprio e quanto para compartilhar com meus leitores.

Como não é difícil deduzir, todas as atividades relacionadas ao trinômio informação-comunicação-tecnologia [ICT] serão impactadas negativamente por qualquer potencial ação militar. Essa será uma questão não apenas das “partes em conflito”, mas um problema global, à medida que malware(*) de todos os tipos, extremamente viciosos, se espalharem para cada canto da internet. Não é possível precisar o caos que “guerra cibernética total” trará, mas evidências anteriores sugerem que, se começar, tomará conta de todo o mundo em menos de 24 horas.

Cyber Warfare

A Rússia até agora não usou tropas ou armas convencionais para atacar a Ucrânia, mas isso não significa que não a tenha atacado. Ela faz isso incansavelmente há anos usando armas eletrônicas e psicológicas.

Os Estados Unidos também têm sido alvo de hostilidades semelhantes, principalmente no que diz respeito à desinformação e campanhas de influência em torno das eleições. Mas algo muito pior pode estar por vir. Agora as apostas são maiores. Em vez de continuar com intermináveis ​​guerras partidárias, os americanos deveriam se unir em um esforço para se preparar para o que pode ser um ataque sério à sua infraestrutura eletrônica. Isso deve receber o mesmo senso de urgência que um ataque militar iminente despertaria.

As consequências de uma guerra cibernética real [e absolutamente inédita] são algo que todos os americanos, e em larga medida o ocidente, deveriam considerar com especial seriedade.

Um exemplo vivo na memória é o ataque NotPetya de 2017 contra a Ucrânia, no qual alguns computadores pertencentes aos setores financeiro, comercial e de rede elétrica foram apagados. Pense também em ataques maciços de ransomware, e outros danos que colocariam os sistemas financeiros, a infraestrutura e o governo de joelhos. Um ataque como esse em escala global seria catastrófico.

Uma coisa é quase certa, nenhum sistema operacional ou aplicativo de consumidor/comercial atual tem qualquer resiliência à infinidade de ataques que serão liberados muito rapidamente em um ataque cibernético massivo. Atualizações de segurança não serão uma opção, pois seus repositórios de distribuição estarão também comprometidos.

É sabido que existe malware capaz de transformar chips da Intel em nada mais do que pequenas pastilhas de silício. Da mesma forma, todo Flash ROM [pendrive] deve hoje ser considerado portador de malware persistente, instalado por meio de ataques cirúrgicos à cadeia de suprimentos realizados previamente – nos últimos dez anos. Esses pequenos componentes eletrônicos constituem a base do sistema econômico ocidental.

Portanto, agora pode ser um bom momento para as organizações investigarem seriamente a opção de “puxar o plugue da conectividade” em tudo o que não seja essencial. Além disso, cercar/segregar rigidamente a conectividade essencial como se fosse Chernobyl.

Outra coisa a considerar, agora e para o futuro, especialmente se a guerra se materializar, é como proteger a segurança, a integridade e a disponibilidade de seus ativos na Nuvem no médio e longo prazos. Um cenário de guerra cibernética semipermanente traz muitos obstáculos – alguns intransponíveis – a esse modelo de negócio.

Se você é um investidor semi profissional ou amador, este é o momento de checar seu portfólio e (re)considerar onde seu dinheiro é investido.

Um efeito colateral será o preço das cripto moedas, que [eu suspeito] se tornará ainda mais volátil. Espere muita especulação e fraude/roubo à medida que novas moedas e sistemas de contrato surgem procurando por dinheiro fácil e grandes quantidades de energia para impulsionar os esquemas.

Qualquer aumento na especulação de cripto moedas causará um aumento exponencial nos ataques à ICT.

Conclusão

A guerra cibernética é uma incógnita, mas a história sugere que será ruim para os vulneráveis ​​e despreparados. A maioria dos sistemas de negócios está muito exposta e não tem capacidade de parar o tipo de malware que espera nos arsenais de guerra cibernética. Portanto, esses sistemas serão cooptados, destruídos, ou ambos, em uma guerra cibernética “total”.

(*)Nota: A palavra Malware [assim como hardware, software e qualquer outro ware] não tem plural em inglês. Essa é a convenção que adotamos neste blog.

O Merecido Inferno Astral do Facebook

A empresa-mãe do Facebook, Meta, vive uma sequência sem precedentes de dias ruins. Em uma teleconferência de resultados no início do mês, os executivos relataram que, pela primeira vez em sua história, o Facebook havia perdido usuários ativos diários no trimestre anterior – cerca de um milhão deles, para ser exato.

O Facebook transforma empreendedores em mendigosImagem: Pexels

A Meta também gastou bilhões em seus projetos de realidade virtual, que o CEO Mark Zuckerberg apresentou como o futuro da empresa. Na esteira da divulgação sombria, a Meta caiu mais de US$ 237 bilhões em valor no dia 3/2, a maior perda de um dia no mercado de ações dos EUA (isso é mais do que o valor de mercado da Netflix ou do Twitter.) O patrimônio líquido de Zuckerberg também caiu US$ 31 bilhões. Foi uma notícia chocante para uma empresa que declarou números sólidos a fantásticos no passado, mesmo durante períodos de escândalo e ira pública.

Reformar a Big Tech (especificamente o Facebook) parece ser a única coisa com a qual ambos os lados do espectro político concordam em todo o mundo. Os políticos mais sensatos querem proteger os cidadãos dos danos que essas plataformas causam, enquanto políticos controversos de direita, como Ted Cruz [e muitos outros no Brasil], querem se intrometer no Facebook porque acham que a plataforma censura injustamente os pontos de vista conservadores.

A falta de consenso sempre foi o obstáculo para uma reforma significativa. Felizmente, há alguns sinais de encorajamento do lado direito da cena política (nos Estados Unidos), como o senador republicano Dan Sullivan, dizendo que o mundo um dia olhará para este para esse período e perguntará: “O que diabos estávamos pensando?”

Não estávamos pensando

Comparações entre Big Tech e Big Tabacco vêm borbulhando há anos. Mas agora, graças aos Facebook Files do Wall Street Journal, há evidências que mostram claramente os danos causados ​​pelo Facebook e Instagram. Pior ainda, os executivos do Facebook parecem saber exatamente o quão ruim é o problema, porque muitas das evidências são de primeira mão e eles ainda não tomaram nenhuma atitude à altura do problema.

É particularmente preocupante como a chefe de gerenciamento de políticas globais do Facebook, Monika Bickert, tentou distorcer as descobertas, afirmando que “a maioria dos jovens no Instagram está tendo uma boa experiência”.

Bickert estava dobrando a aposta em uma linha de argumento do Facebook, que quer forçar a todo custo a versão de que os resultados de uma pesquisa realizada no mês passado – mostrando que oito em cada 10 usuários adolescentes do Instagram nos EUA disseram que a plataforma os fez se sentir melhor – provou seus méritos.

O que acontece a seguir permanece um mistério. Mas esta semana, eu acho, marca um momento significativo no debate sobre o que fazer com o Facebook.

Pela integridade das pessoas e independência do mercado

Minha relação pessoal com o Facebook não pode ser pior. Para começar, fui um dos primeiros a aderir a plataforma, quando o Orkut era o lugar onde todos estavam. Foi difícil convencer meus amigos a experimentar o Facebook – para que eu tivesse com quem conversar no novo boulevard – que eu considerava menos cafona do que o Orkut com sua interface dantesca. Só muito depois a plataforma finalmente emplacou no Brasil. Eu ainda não sabia, mas naqueles dias minha vida de entrepreneur da web 2.0 iria se chocar contra um zuker-berg.

O Facebook é uma abominação que consumiu toda a Web no Brasil e em outros países do 3º mundo. Para muitos, não ter acesso ao Facebook significa perder a conexão com tudo, incluindo serviços essenciais para a vida offline. Mas nem sempre foi assim

Primeiro, tínhamos aplicativos de desktop (que sempre podiam comunicar dados para servidores de rede). Em seguida, envolvemos os aplicativos no navegador (que é essencialmente um sistema operacional em um sistema operacional), mas tínhamos nossas páginas e sites em servidores independentes, assim como temos nossos blogs em nossos servidores. Trabalhadores da área [eu!] tinham uma vida relativamente boa, construindo sites para empresas de todos os tamanhos, que assim eram donas de seus narizes na web. Eram completamente independentes, retendo com elas todos o valor de seus negócios.

Então inventamos as “redes sociais” e estamos colocando tudo lá.

Poderíamos apenas ter melhorado a tecnologia de aplicativos de desktop (incluindo descoberta, entrega, interoperabilidade, portabilidade e flexibilidade de design de interface do usuário), mas escolhemos os navegadores. Poderíamos parar por aqui, usar a Web padrão e melhorar a experiência de uso de RSS/Atom/RDF/XMPP/etc.

Mas não. Seguimos uma toada enfadonha e insana em direção ao imobilismo e à falta de agência. Rendemos nossas páginas, contatos, assinaturas para o Facebook. Praticamente todas as empresas do mundo agora dependem desse elemento tóxico em suas relações com os consumidores.

No campo da inteligência de negócios as empresas estão prostradas, compartilhando passivamente com os Mestres do Universo o valor principal de seu negócio [que são os bens imateriais proporcionados pelas interações]. O Facebook efetivamente transforma os empreendedores em mendigos a implorar migalhas da economia da atenção.

Os pequenos e médios estúdios e desenvolvedores independentes de software para infraestrutura web, que eram milhões em 2003, estavam aniquilados em 2015. Mesmo em um país da UE muito desenvolvido, as pessoas enfrentam o problema frequente de que algum item está disponível apenas via Facebook. Isso é surreal. Porque as empresas não mais se preocupam em ter seus próprios sites/e-mails/telefones. Isso representa um problema sério – e perturbadoramente óbvio – para a cadeia de suprimentos no médio e longo prazos [para não falar de empregos para a mão de obra qualificada].

Redes sociais precisam de regulamentação anti monopólio

É incrível que tenhamos chegado a um momento na história em que instituições empresariais e pessoas importantes – aparentemente bem sucedidas e inteligentes, voluntariamente contribuem para a hipercentralização da informação [portanto dos negócios] nas mãos de apenas uma corporação, que pode facilmente falhar – intencionalmente ou não. O Facebook está se tornando uma espécie de sistema chinês, em que há apenas uma rede. Os usuários usam aplicativos dentro dessa rede, e para eles, essa é a Internet. Isso é um sonho de controle social para um governo.

Olhando de forma mais ampla, as redes sociais são uma camada desnecessária dentro da arquitetura da web – embora a tendência maliciosa seja envolver as estruturas de comunicação dentro de mais e mais camadas. Este blog é uma prova viva disso [neste momento você não está em uma rede social].

Imagem: Pexels

Por mais liberal que eu possa ser, sou um homem sensato. Eu reconheço o primado do contrato social, que está danificado quase além de possibilidade de reparo, em grande parte por causa apenas dessa empresa de tecnologia. Isso precisa de severa reflexão. Eu esperaria que os governos reconhecessem a gravidade do problema [do monopólio] das redes sociais para a sustentabilidade econômica, para as relações internacionais, para a saúde mental de seus usuários e para a democracia.

Alguns governos já começam a levar as mudanças climáticas cada vez mais a sério. Este problema das redes sociais é o mais recente que enfrentamos e potencialmente pior: são as redes sociais que fomentarão a discórdia e o abandono da razão, que potencialmente nos levarão ao colapso da civilização.

Espero que ao testemunhar os recentes percalços muitas pessoas poderosas tenham se convencido de que o Facebook está, de fato, fora de controle.

Ômicron: a Vacina que não Soubemos Fazer?

A medida que a Ômicron avança, eu começo a ver argumentos surpreendentes (e um pouco perturbadores) sobre como proceder daqui em diante em face da… epidemia?

Imagem: Pexels

O fluxo de informação na genética é muito mais complexo do que pode parecer em uma análise superficial, um ponto ilustrado de forma travessa por um pequeno factóide: pesquisadores descobriram que, cortando a cabeça e a cauda de um verme e aplicando uma corrente elétrica – o que interrompe o fluxo de informações no crescimento celular – você pode obter um verme com cabeça em ambas as extremidades. Se você cortar esse novo verme ao meio, você terá dois novos vermes de duas cabeças, mesmo que tenham exatamente o mesmo DNA do verme original de uma cabeça.

Tudo isso demonstra que há algo mais do que o DNA se escondendo nas leis da genética. É a chamada epigenética. Na biologia, a epigenética é o estudo das mudanças hereditárias do fenótipo que não envolvem alterações na sequência de DNA.

A evolução leva tempo, mas é brutal em sua seletividade. O indivíduo de uma espécie, seja qual for, dos humanos aos vírus, sempre surge como um “ponto ideal” entre variáveis independentes e caóticas. Tanto a otimização excessiva quanto a sub-otimização são prejudiciais a esses sistemas compostos de partes menores, embora cada parte tenha otimizações diferentes e pareça surgir de fundamentos muito básicos através do caminho da “complexidade”.

Como sabemos, a maioria dos sistemas biológicos podem, acima de um certo nível de complexidade, copiar a si mesmos. Qualquer erro nesse processo de cópia – se não for corrigido – vai resultar em uma variante genética. Se essa mudança aleatória causar um aumento marginal na longevidade ou na capacidade de reprodução do indivíduo, ela será favorecida e passada adiante. Daí a noção de “evolução” ser fundamental para o que acontece nas mutações genéticas.

O resultado é sempre uma especialização que dá vantagem ao organismo que, por isso, acaba se tornando predominante. Até que a mutação se torne menos vantajosa ou outra variante ganhe uma vantagem diferente.

Podemos ver isso em ação em “tempo real” atualmente com as variantes do SarsCov: a Delta foi substituída pela Ômicron, que por sua vez está sendo substituída por outra variante da Ômicron. No final do atual processo, portanto, presume-se que um sistema simbiótico eficaz se desenvolverá e o SarsCov2 se tornará, como os outros vírus Corona que infectam humanos [como o resfriado comum], um oportunista de fundo.

Os jovens vão contaminar todo o mundo

Então, o resumo de tudo é que, vendo o desenrolar dos fatos, em minha situação eu tenho pouca escolha. Vou me infectar, assim como todos os outros que não vivem em uma bolha isolada.

Na verdade, minhas escolhas se limitam a:

  • 1. Continuar empurrando a pedra ladeira acima – que no fim vai acabar rolando de volta.
  • 2. Facilitar o contágio inevitável – relativamente benigno para uma pessoa totalmente vacinada.

Tão pouca escolha se torna uma escolha real. Os itens 1 e 2 se traduzem da seguinte forma:

  • 1. Viver em uma bolha que eventualmente irá estourar, sabendo que a cada dia que passa minha imunidade está diminuindo. Então, quanto mais eu evitar, pior será nos meses à frente. Poderá ainda haver uma variante consideravelmente mais patogênica.
  • 2. Aceitar o inevitável, enquanto eu ainda tenho alguma proteção vacinal – e a variante atual é relativamente benigna para uma pessoa com esquema vacinal completo.

A Dinamarca suspendeu todas as restrições com base no que parece ser uma evidência científica sensata. Somam-se a isso profissionais de saúde com expertise na área dizendo, a “Ômicron é a vacina que não pudemos fazer ou distribuir”.

Você tem que perguntar o que isso realmente significa, não apenas em um nível social, mas individual.

Sem escolha

Nenhuma ação que as pessoas tomem é isenta de riscos – mesmo ficar na cama tem riscos significativos para a saúde. Assim, surge a questão não apenas do “risco comparado”, mas também do “risco nominal”.

No momento tenho alguma imunidade da vacina, mas isso está diminuindo. Essa imunidade pode não estar presente em algumas semanas, quando uma nova variante inevitavelmente surgir.

A auto-contaminação é um risco calculado que eu não assumiria em nenhuma outra circunstância. Mas está claro que os políticos querem qualquer desculpa para “abrir tudo de cambulhada”. Então a minha escolha foi removida, já há algum tempo.

Eu serei infectado, não porque eu deseje/queira, mas porque minha escolha foi tirada de mim. Evitar todos que possam estar infectados é impraticável, então em algum momento eu – provavelmente – ficarei infectado e sintomático – mas espero que não no nível que exija internação hospitalar.

Imitando o fraseado do pérfido Bolsonaro, no tocante (argh!) à patogenicidade, ela está no nível mais baixo em dois anos.

A próxima variante será menos patogênica? Eu não tenho ideia. Mas é mais provável ser mais para cima do que para baixo do que está sendo dito. Vou deixar os outros lutarem com essa questão.

O que eu sei é que minha imunidade, como a de todo mundo, está em contagem regressiva…

Congresso Americano também Ameaça a Privacidade de Apps de Mensagens

Depois do Reino Unido, agora os legisladores americanos também começam a buscar meios para reprimir o uso da criptografia ponto a ponto. Nos dois lados do Atlântico, a mentira, a ignorância e a mistificação desinformam esse debate de importância vital.

Imagem: Pexels

Em um artigo perturbador publicado ontem (3/2), a Eletronic Frontier Foundation [uma das principais instituições civis dedicadas à privacidade e segurança digitais em todo o mundo] dá conta de que um grupo de legisladores liderados pelo senador Richard Blumenthal (D-CT) e pelo senador Lindsey Graham (R-SC) reintroduziu o EARN IT Act, um projeto incrivelmente impopular de 2020 que havia sido descartado diante de uma oposição esmagadora.

Escreve a EFF: sejamos claros, o EARN IT Act abriria o caminho para um novo e massivo sistema de vigilância, administrado por empresas privadas, que reverteria, em todo o mundo, alguns dos recursos de privacidade e segurança mais importantes da tecnologia. É uma estrutura montada para atores privados revistarem todas as mensagens enviadas online e relatarem supostas infrações às autoridades. E isso não é tudo. O EARN IT Act pode vir a garantir que qualquer coisa hospedada online — backups, sites, fotos na nuvem e muito mais — seja verificada por terceiros a serviço do estado.

Novas regras da Internet, do Alasca à Florida

O projeto de lei autoriza todos os estados ou territórios dos EUA a criar novas e abrangentes regulamentações da Internet, eliminando as proteções legais críticas para sites e aplicativos que atualmente impedem a farra da bisbilhotagem – especificamente a Seção 230 da Lei de Decência nas Comunicações – Communications Decency Act]. Os estados poderão aprovar qualquer tipo de lei que lhes aprouver para responsabilizar empresas privadas, que de alguma forma [real ou imaginária] estejam envolvidas no abuso infantil online.

O objetivo é fazer com que os estados aprovem leis que punam as empresas por implantarem criptografia de ponta a ponta ou oferecerem qualquer tipo de serviços criptografados. Isso inclui serviços de mensagens como WhatsApp, Signal e iMessage, bem como provedores de hospedagem na web como Amazon Web Services.

Sabemos que a EARN IT visa difundir o uso de ferramentas de varredura indiscriminada em bancos de dados da Internet apenas porque os patrocinadores do projeto de lei anunciaram. Em um documento chamado de “Mitos e Fatos”, os proponentes chegam ao detalhe de até nomear um software específico que deveria ser aprovado pelo governo para essa missão: o PhotoDNA, um programa da Microsoft [portanto de código proprietário] com uma API que se reporta diretamente às instituições policiais.

O documento também ataca a Amazon por não escanear o seu conteúdo adequadamente. Como a Amazon é o lar da Amazon Web Services, que hospeda um grande número de sites, isso implica que o objetivo do projeto é garantir que qualquer coisa hospedada online seja digitalizada.

Imagem: Pexels

Separadamente, o projeto de lei cria uma comissão federal [dominada por instituições policiais] de 19 pessoas, que estabelecerá as “melhores práticas voluntárias” para atacar o problema do abuso infantil online. Independentemente de as legislaturas estaduais seguirem a liderança dessa comissão, sabemos onde o caminho terminará. Os provedores de serviços online, mesmo os menores, serão obrigados a escanear o conteúdo do usuário, com software aprovado pelo governo, como o PhotoDNA.

Se os apoiadores da EARN IT conseguirem fazer a varredura de grandes plataformas como Cloudflare e Amazon Web Services, talvez nem precisem obrigar sites menores – o governo já terá acesso aos dados do usuário dessas plataformas, usando ferramentas fornecidas pelas próprias plataformas.

Uma disposição do projeto, que tenta pateticamente proteger os serviços que usam criptografia [em sua Seção 5, página 16] fica muito aquém do que seria necessário. Promotores estaduais ou advogados particulares ainda teriam o poder de arrastar um provedor de serviços ao tribunal sob a acusação de que seus usuários cometeram crimes, e então usar o fato de que o serviço disponibilizou a criptografia como agravante – uma estratégia especificamente permitida pela EARN IT.

É difícil imaginar um provedor de serviços online se atrevendo a usar essa brecha no dispositivo. Tudo indica que, em vez disso, eles simplesmente farão o que os patrocinadores do projeto estão exigindo – violar a criptografia de ponta a ponta e usar o software de digitalização aprovado pelo governo. Igualmente ruim, os provedores de serviços como backup e armazenamento em nuvem – que normalmente não oferecem criptografia, ficarão ainda menos propensos a introduzir novos recursos de segurança para proteger seus usuários, porque correm o risco de serem responsabilizados criminalmente pela EARN IT.

Muita digitalização, pouca proteção

Os senadores que apoiam o EARN IT Act dizem que precisam de novas ferramentas para processar casos referentes a material de abuso sexual infantil [ou CSAM – Child Sexual Abuse Material]. Mas os métodos propostos pela EARN IT na verdade ameaçam a segurança e privacidade de tudo o que está hospedado na Internet.

Possuir, visualizar ou distribuir CSAM já está inscrito na lei como um crime extremamente grave, com um amplo quadro de leis existentes que buscam erradicá-lo. Os provedores de serviços online que tenham conhecimento real de uma violação aparente ou iminente das leis atuais em torno do CSAM são obrigados a fazer um relatório ao Centro Nacional para Crianças Desaparecidas e Exploradas (NCMEC), uma entidade governamental que encaminha relatórios para agências de repressão ao crime.

A referida Seção 230 já não protege os provedores de serviços online de processos por CSAM – na verdade, ela não protege os serviços online de processos sob nenhuma lei criminal federal.

Imagem: Pexels

As empresas de Internet atualmente já estão obrigadas a denunciar as suspeitas de CSAM que elas encontrarem em suas redes – e têm denunciado em grande escala. E os erros também têm se manifestado em igualmente larga escala. Em particular, as novas técnicas de varredura usadas pelo Facebook produziram milhões de relatórios para as autoridades, a maioria deles imprecisos.

A aplicação da lei federal fez uso do grande número de relatórios produzidos por essa varredura de baixa qualidade para sugerir que houve um grande aumento nas imagens CSAM. Então, armados com estatísticas enganosas, os mesmos grupos fazem novas demandas para quebrar a criptografia ou, como no EARN IT, responsabilizar as empresas que não verificarem o conteúdo dos usuários.

Os especialistas independentes em proteção infantil não estão a pedir que os sistemas leiam as mensagens privadas dos usuários. Em vez disso, eles reconhecem que as crianças – principalmente crianças em vulnerabilidade – precisam de mensagens criptografadas e privadas tanto quanto, se não mais, do que o resto de nós. Ninguém, incluindo os mais vulneráveis ​​entre nós, pode ter privacidade ou segurança online sem criptografia forte.

Os senadores que apoiam o projeto de lei disseram que seus planos de vigilância em massa são de alguma forma magicamente compatíveis com a criptografia de ponta a ponta. Essa informação é completamente falsa, não importando se é chamada de “varredura do lado do cliente” ou alguma outra nova frase enganosa.

O EARN IT Act não visa a Big Tech. Ele tem como alvo todos nós, os usuários individuais da Internet, tratando-nos a todos como criminosos em potencial que merecem ter cada mensagem, fotografia e documento digitalizados e comparados com um banco de dados do governo.

Como a vigilância direta do governo seria flagrantemente inconstitucional e certamente provocaria indignação pública, a EARN IT usa empresas de tecnologia – das maiores às menores – como suas ferramentas. A estratégia é fazer com que as empresas privadas façam o trabalho sujo da vigilância em massa. Essa é a mesma tática que o governo dos EUA usou no ano passado, quando as agências de aplicação da lei tentaram convencer a Apple a subverter sua própria criptografia e digitalizar as fotos dos usuários – esse plano estagnou após uma oposição esmagadora.

É a mesma estratégia que a polícia do Reino Unido está usando para convencer o público britânico a desistir de sua privacidade [como comentamos aqui no blog na semana passada], tendo gasto dinheiro público em uma campanha publicitária risível na tentativa de demonizar as empresas que usam criptografia.

Não vacilaremos em nosso apoio à privacidade e segurança para todos, bem como às ferramentas de criptografia que suportam esses valores. Esse projeto de lei pode ser votado pelo Comitê Judiciário do Senado em apenas alguns dias. Dissemos ao Senado dos EUA que não vamos recuar em nossa oposição à EARN IT.

Precisamos que você fale também.

Por Joe Mullin [adaptado] | Eletronic Frontier Foundation – Licença Creative Commons (CC BY 4.0)

Governo Britânico Quer o Fim da Privacidade em Apps de Mensagens

Uma reportagem recente da revista Rolling Stone lançou luz sobre o patético plano do governo Britânico de seguir em sua cruzada contra a encriptação ponto a ponto – e iniciou uma grande polêmica.

Imagem: iStock

“Contratamos a M&C Saatchi para reunir as muitas organizações que compartilham nossas preocupações sobre o impacto que a criptografia de ponta a ponta teria em nossa capacidade de manter as crianças seguras”. Esse é o teor do comunicado do Porta-voz do Ministério do Interior britânico. Quem acompanha os reiterados esforços do governo britânico no sentido do banimento da encriptação não ficou surpreso.

Defensores da privacidade online criticaram os planos do governo do Reino Unido como “alarmismo” que, ao minar a privacidade online, poderia potencializar os riscos e colocar em perigo crianças e adultos vulneráveis.

A campanha alarmista do Home Office é tão falsa quanto perigosa”, disse Robin Wilton, diretor de Internet Trust da Internet Society. “Sem criptografia forte, as crianças estão mais vulneráveis online do que nunca. A criptografia protege a segurança pessoal e a segurança nacional… o que o governo está propondo coloca todos em risco.

A Volta dos Velhos Argumentos

Começa assim uma nova e cansativa rodada de discussões inúteis, sobre questões há muito estabelecidas, refletindo a ‘vibe’ anticiência que anda a correr o mundo. É interessante notar, do meu ponto de visada, que quem defende o banimento da encriptação geralmente parece pertencer ao mesmo estrato demográfico que os negacionistas da Covid [não, não posso afirmar isso com certeza; é apenas um ‘feeling’].

É claro que já desbancamos anteriormente a retórica ingênua dos governos tecnicamente analfabetos a respeito da instalação, por padrão, de backdoors [porta dos fundos] nos dispositivos eletrônicos, para contornar a criptografia de ponta a ponta em determinadas situações.

Também já apontamos a total futilidade de proibir qualquer aplicativo de usar criptografia de ponta a ponta quando há muitas outras opções, legais e ilegais, para escolher – bem como métodos de criptografia que podem se esconder à vista de todos, como a esteganografia – em que mensagens criptografadas são incorporados a imagens de aparência comum.

Por fim, já destacamos que a criptografia de ponta a ponta não é diferente de instalar portas em nossos banheiros e cortinas em nossas janelas.

Portanto, infelizmente para o governo do Reino Unido e outros governos autoritários, não há muito que se possa fazer tecnicamente para fazer a criptografia desaparecer.

É possível concluir, então, que o plano agora é fazer disso uma “questão social”. Fomenta-se o pânico moral utilizando-se como pretexto a proteção das crianças, introduzindo-se no discurso público um viés cognitivo permanente – como os cultos mais perigosos fazem. Sem surpresa, e exatamente pela mesma razão dos cultos, certas elites da burocracia aspiram um poder desmedido sobre aqueles que eles veem como inferiores e inconsequentes, ou seja, os cidadãos votantes e seus descendentes. Em duas palavras: você e eu.

O problema é que nenhuma tecnologia conhecida pode deter a encriptação ponto a ponto [doravante EPaP], supondo-se que as comunicações com qualquer grau de liberdade continuem permitidas. Portanto, embora possam aprovar legislação, isso não impedirá aqueles que estão determinados a manter sua privacidade a qualquer custo.

O Mito do Combate ao Crime

É opinião unânime entre os pesquisadores de segurança, que nas circunstâncias em que, como hoje, é possível obter informações através dos metadados, a polícia não se incomoda tanto com a “criptografia”. A realidade é que a criptografia não é algo que pertença ao mundo dos policiais em suas operações cotidianas; eles quase nunca lidam com cripto, mesmo quando se trata de crimes mais graves e organizados.

Onde a criptografia cruza o caminho das forças da lei é no crime muito especializado, que dispõe de pessoal igualmente muito especializado, contra instituições policiais nacionais especializadas. E apesar de os números relacionados a esse tipo de crime parecerem grandes – e os crimes muito assustadores, a realidade é que, no fim, tudo é menos dramático do que parece. Geralmente a exploração das dissidências e das lutas internas nos grupos criminosos, em investigações convencionais, é suficiente para evitar a necessidade de envolvimento com a criptografia.

Os verdadeiros vigaristas encriptados, são, de longe, os tipos de colarinho branco do setor financeiro e outros grandes atores – aparentemente circunspectos – de várias indústrias [Group 4, Serco, Capita, etc.], grande parte da indústria da construção [civil, aeronáutica e naval] e o complexo industrial-militar. Os nomes podem ser encontrados nos registros de financiamento político e nas listas de honra anuais – onde os crimes são “corporativos” e pagos com multas dedutíveis.

A realidade para a polícia e unidades especializadas é que o conteúdo da mensagem é menos importante do que quem está falando com quem, quando e onde. Isso é o que se chama de “metadados” e o processo de extração de informações deles “análise de tráfego”. Nenhuma criptografia é envolvida.

Quando você ouve falar que Facebook, Google e outras grandes empresas de tecnologia estão a incentivar o uso da EPaP [mas também as correspondentes “salvaguardas”], eles estão se referindo a duas tecnologias muito relacionadas,

  • Gerenciamento de Relações com o Consumidor (conheça seu cliente).
  • Análise de Tráfego.

Essas coisas são tão poderosas que eles nem precisam ver o conteúdo das mensagens. Na verdade, a EPaP é até desejável para eles porque assim se livram das ordens judiciais, fardo muito significativo que nunca diminui. Para as empresas de tecnologia, a EPaP acaba com todos os negócios confusos e deixa apenas “registros de negócios de terceiros”, que não são contenciosos per se.

O que pretende o Ministério do Interior Reino Unido não tem nada a ver com lidar com crimes reais. É tudo sobre lançar a pedra fundamental de um estado policial por meio de um processo orwelliano de “controle de pensamento”, projetado para manter certos grupos, em certas posições, atacando todos os outros. No ritmo em que estão mudando as coisas, a sociedade do Reino Unido será como a da antiga Alemanha Oriental e estados semelhantes.

O que nos leva à pergunta composta: é possível construir um sistema inquebrável de criptografia?

Sim, é perfeitamente possível e tem sido feito há milênios: o one-time pad, ou sistema de cifra única, que não pode ser quebrada se utilizada corretamente.

A pergunta que precisa ser respondida é: seria possível construir um sistema que fosse prático, além de seguro, para a maioria das pessoas conectadas à internet [especialmente em ditaduras como a China]?

Para responder, é preciso dividir o problema em vários cenários e perceber que:

A privacidade de “um para um” é uma possibilidade realista que sabemos fazer há séculos, usando derivações do já citado one-time pad.

A privacidade “um para muitos” é um pouco mais complicada e precisa de um sistema de “difusão/transmissão” das chaves criptográficas, o que traz complexidades.

Quanto a privacidade de “muitos para muitos”, ela é ou a) um problema N2; ou b) um problema de topologia de rede. É preciso resolver ambos os problemas para que haja comunicações interativas.

As circunstâncias da experiência humana, nossas crenças e falsas certezas, nos tornam o elo fraco da cadeia de segurança e tornam impossível desenhar um sistema que seja, além de seguro, antes de tudo prático para uso em um ambiente como a Web.

Enfim

Os governos sabem que os cidadãos não gostam de ser incomodados com apelos à adoção de posturas de privacidade e segurança, e manipulam esse sentimento. A experiência profissional nos mostra que o público considera a segurança algo “inconveniente” e irritante. Portanto, é seguro dizer que a criptografia continuará sendo o reino dos “cripto-geeks” – e dos criminosos que sabem usar a cabeça.

Depois dessa legislação, o que vai acontecer com os sistemas de encriptação baseados apenas em “software” [em oposição aos dispositivos como tokens USB] será uma extensão do que vemos atualmente com os “Secure Messaging Apps”. Como a chave do usuário está no dispositivo de comunicação [noto aqui que todos os smartphones violam a regra de ouro da segurança, segundo a qual a chave criptográfica não pode ficar no mesmo dispositivo que faz a comunicação], será fácil para os governos contornarem a segurança do aplicativo. Eles precisam apenas fazer um pequeno “end run attack” para chegar à interface do usuário.

Apesar da pintura sombria, sou da opinião de que os governos laboram em erro, e que já não é mais possível banir a criptografia. Teria sido possível até 2005, talvez, durante o período da Web 1.0. Vejo que as autoridades executivas e legisladores têm uma enorme incapacidade de entender o caos que se instalaria, começando pelo sistema econômico/financeiro. Seria uma boa oportunidade para aprendizado através da dor. Vamos acompanhar os desenvolvimentos, na esperança de que a razão finalmente se imponha.

Post Scriptum

Embora seja tecnicamente muito fácil afastar o nariz do governo de nossos negócios, não é algo “conveniente” para a maioria dos usuários: senhas longas, práticas seguras de navegação, higiene digital, seleção cuidadosa dos contatos, atenção para links suspeitos, gerenciamento dos dispositivos… Ó vida, que horror!

Como já foi observado em muitas ocasiões, as pessoas podem ser seu próprio pior inimigo.