Arte vs Privacidade – Uma Discussão Aberta

Pense sobre como isso te afeta. Você se sente ansioso ou violado, com a câmera de segurança de seu vizinho apontada para sua casa? Ou se pergunta se seu vizinho está amparado pela lei ao registrar sua imagem no recesso de sua propriedade?

Imagem: Pexels.com

Com a popularidade das câmeras de segurança residencial, e o potencial de disputa entre os proprietários das câmeras e seus vizinhos, a todo momento surgem questões sobre a privacidade.

Esta é uma discussão aberta, em que fatos aparentemente contraditórios são apresentados, mas nenhuma conclusão é derivada. Como já escrevemos neste espaço, vivemos em uma era em que centenas de câmeras de vigilância gravam cada passo que damos – na calçada, no metrô, dentro de lojas, hotéis, elevadores, restaurantes – literalmente em todos os lugares.

Há drones circulando no céu, câmeras nos telefones de todas as pessoas e até óculos ‘inteligentes’ capazes de tirar fotos e gravar vídeos. Eis que, no final de 2021, ao sair de casa eu assumo que eu não só posso ser, mas de fato serei fotografado ou filmado por alguém, ou algo.

Estar em público automaticamente traz um grau inevitável de conflito entre meus desejos individuais e os do resto do mundo. Não importa a minha opinião a respeito, o espaço público exige um certo contrato onde permitimos que algumas de nossas preferências de privacidade sejam provisoriamente suspensas.

A tal Privacidade

A privacidade tem um valor fundamental para a sociedade em geral. Almejamos aparecer em público sabendo que nossas fraquezas não estão à vista de todos, nos permitindo assim uma interação social confiante. Quando votamos, o fazemos acreditando que ninguém pode ver nossa decisão para depois buscar vendettas com base no modo como votamos.

Imagem: Pexels.com

A privacidade é, portanto [e naturalmente], importante no contexto social da democracia. Em muitos casos, não queremos saber tudo sobre todos ao nosso redor. Às vezes não queremos saber nada, sobre ninguém. A privacidade pode, assim, também proteger-nos a todos de sermos expostos à toxidade de uma dose desmesurada de informação.

Graças ao anonimato [possibilitado pelas escolhas e posturas pessoais e por certas tecnologias, embora vedado no ordenamento jurídico brasileiro – o que merece um post próprio], também posso me sentir encorajado a falar publicamente contra a corrupção ou a injustiça; ou simplesmente ser mais criativo [e até subversivo] na auto-expressão.

Muitas de nossas proteções legais à confidencialidade podem ser analisadas em contraste com os estados que empregam altos níveis de vigilância, como a China ou a ex-República Democrática Alemã. Aqui, a vigilância realizada pelo Ministerium für Staatssicherheit (Stasi) foi fundamental para reprimir a dissidência aberta e reforçar a uniformidade comportamental prevista por George Orwell.

Arte

Mas como fica a arte [alô meu amigo Pedro Romualdo!]? Como conciliar no âmbito da privacidade formas de arte – falo aqui da fotografia de rua – que dependem da candura e da espontaneidade – e, nesse caso, do implícito não consentimento pelo sujeito sendo fotografado?

É forçoso admitir que há uma diferença vital entre uma estúpida câmera de vigilância e uma imagem deliberada tirada por um fotógrafo: a intenção, por óbvio. Se uma foto tem o objetivo de ridicularizar ou expor um indivíduo específico, isso pode se aproximar perigosamente do território antiético – ou pode ser apenas arte ruim. Reconhecidamente, existem algumas formas nefastas que a fotografia [estática ou ‘movie’] pode assumir, como câmeras secretas em banheiros ou as infames filmagens por debaixo de saias, ambas violações grosseiras e óbvias.

Contudo, me parece imprudente confundir esses casos (felizmente) raros com a prática geral da fotografia de rua. A comparação intempestiva entre essas duas categorias também tem o potencial para criar o notório efeito paralisante [‘the chilling effect‘] sobre a liberdade de expressão artística, condicionando o público a considerar qualquer pessoa com uma câmera um predador assustador.

Existe um cabo de guerra constante entre a liberdade de expressão e as preocupações com a privacidade. Contudo esse não deveria ser um jogo de soma zero, em que um ‘player‘ supera inevitavelmente o outro. Embora fotografar em espaço público seja legal [não há expectativa de privacidade na rua], ninguém nos estados democráticos é sacrificado pela arte [ainda]. Há o recurso à lei. Somos, como sociedade, protegidos contra o fotógrafo fazer o que quiser com a imagem.

Espiar no espaço privado de alguém com equipamento especializado ou um drone é ilegal. Um fotógrafo pode ser processado por difamação se assediar intencionalmente um indivíduo. Sem um documento de consentimento formal nenhuma imagem pode ser usada para fins comerciais, como anunciar um produto. No estado de direito a lei tem o devido zelo na salvaguarda do sujeito, destacando as más intenções que possam expor ou prejudicar o fotografado.

A questão do consentimento na fotografia de rua se torna então, como vemos, complicada porque o sujeito a ser protegido é aparentemente um tanto indefinido – na verdade, muitas vezes talvez nem se trate de uma questão de consentimento de forma alguma, mas de outras figuras legais. O que, no fim, realmente se resume ao valor da arte versus privacidade em nossa sociedade.

Exigir consentimento praticamente elimina a fotografia de rua, e também a maioria dos documentários cinematográficos, como formas artísticas viáveis. Para algumas pessoas, esse seria um preço absolutamente justo a pagar. Para muitos outros seria um mundo muito infeliz de se viver. Por meu turno, reconheço a fotografia de rua e seu lugar importante em nossa cultura, refletindo nossa frágil realidade de volta para nós mesmos.

Escreverei mais sobre a função da fotografia de rua como forma de arte em uma postagem futura, abrindo espaço tanto para suas deficiências conceituais quanto para sua importância, na tentativa de encontrar um terreno comum que seja a ‘fonte da verdade’.


Nota: neste site usamos material fotográfico de repositórios reconhecidos e trabalhamos na suposição de que modelos humanos eventualmente apresentados deram seu consentimento para a publicação.

Sua impressão digital pode ser hackeada por R$ 10

A autenticação por impressão digital é, sem dúvida, uma alternativa conveniente para senhas e códigos PIN. Quem quer gastar tempo digitando uma longa sequência de números, letras e caracteres quando um simples toque é suficiente?

Imagem: pexels.com

Infelizmente, essa conveniência tem um custo. Porque, ao contrário de uma senha normal, sua impressão digital é pública – você deixa sua impressão digital nos corrimãos das escadas, na maçaneta da porta, nas portas dos táxis, telas do Smartphone iPhone, taças de vinho no seu restaurante preferido. e em muitos outros lugares.

Neste artigo, a equipe da empresa Kraken Security Labs demonstra como é fácil para os agentes mal-intencionados contornar esse método de login que está se tornando o favorito dos usuários.

Roubando a impressão digital

Para comprometer seu dispositivo, ou conta, não é preciso nem mesmo o acesso direto à sua impressão digital. Uma foto de uma superfície que você tocou (de uma mesa na biblioteca ao equipamento de sua academia de ginástica) é o suficiente.

Uma foto da impressão digital de uma vítima na tela do computador – Imagem: Kraken Labs

Com esta imagem disponível, uma hora de trabalho no Photoshop rende um negativo bem decente:

Imagem em negativo da foto anterior – Imagem: Kraken Labs

Em seguida, a imagem foi impressa em uma folha de acetato, usando uma impressora a laser – o toner cria na folha uma estrutura 3D da impressão digital.

A folha de acetato com a nossa nova impressão – Imagem: Kraken Labs

Na etapa final, adiciona-se um pouco de cola de madeira por cima da impressão para dar uma textura macia e vívida à impressão digital fake, para que ela possa ser usada em um scanner.

Construindo a impressão digital sintética – Imagem: Kraken Labs

Lançando o Ataque

De posse da impressão digital, tudo o que o agente precisa fazer é colocá-la no scanner.

A impressão digital fake funcionando em um MacBook Pro – Imagem: Kraken Labs

O laboratório foi capaz de reproduzir esse (conhecido) ataque na maioria dos dispositivos que foi disponibilizada para teste. Se este fosse um ataque real, o atacante teria acesso a uma vasta gama de informações confidenciais.

Protegendo-se do Ataque

Segundo Kraken Labs, uma impressão digital não deve ser considerada uma alternativa segura a uma senha forte. Esse método deixa suas informações – e, potencialmente, seus ativos digitais – vulneráveis ​​até mesmo ao menos sofisticado dos invasores.

Deve estar claro agora que, embora sua impressão digital seja exclusivamente sua, ela ainda pode ser explorada com relativa facilidade. Na melhor das hipóteses, você deve considerar usá-lo apenas como um elemento de autenticação de segundo fator (2FA).

Fonte: Kraken Security Labs

Tire sua Câmera da Minha Cara

A tecnologia de vigilância biométrica, como o reconhecimento facial, é uma tecnologia que permite que você seja identificado, analisado e rastreado em espaços públicos. Ela se alastra fora de controle.

Imagem: Pexels

O que está acontecendo?

A vigilância biométrica está aumentando assustadoramente. Vemos câmeras de reconhecimento facial em cada vez mais lugares. Pense, por exemplo, no posto de gasolina, no supermercado, nos estádios de futebol. Pense nas casas, nas ruas e nas câmeras voltadas diretamente para o seu rosto enquanto você caminha pela calçada. E então pense no uso de toda essa informação pelos aparelhos de repressão policial local e nacional. É sabido que a polícia aplica o reconhecimento facial a imagens de câmeras comuns, de baixa tecnologia. Mas sabemos também que eles estão fazendo experimentos com aplicações de reconhecimento facial de maior alcance e tecnologia mais especializada.

O reconhecimento facial é muito intrusivo. Mas isso não impede os legisladores, nas cidades e no Congresso, de apresentar cada vez mais projetos para sua implantação. Poucos parlamentares se importam com as garantias constitucionais, e de seus gabinetes saem projetos de lei cada vez mais penetrantes.

Não conheço nenhum vereador ou deputado que defenda a regulamentação da vigilância urbana ou que cobre maior responsabilidade das empresas de tecnologia. Mas conheço muitos que defendem mais e mais vigilância. Então você sabe que algo está realmente errado. Além do reconhecimento facial, também vemos outras maneiras pelas quais nossos corpos são rastreados, analisados ​​e controlados [os passaportes de imunidade são apenas a iteração mais recente desse controle].

Por que estou preocupado?

O espaço público desempenha um papel importante em uma sociedade livre e aberta. É o lugar onde a vida pública e o debate público acontecem e onde exercemos nossos direitos democráticos. É importante que todos se sintam livres nesses espaços. Livres para se reunir, expressar sua opinião e se movimentar. Os custos sociais associados ao uso da vigilância biométrica no espaço público são inaceitáveis.

Devido à aplicação não direcionada de vigilância biométrica, os transeuntes são capturados indiscriminadamente. Isso permite que os indivíduos sejam identificados, analisados, rastreados, traçados e controlados em grande escala. Essa tecnologia cria uma sociedade de desconfiança, de controle e de discriminação na qual você não pode mais participar de forma anônima da vida pública. Isso tem um efeito limitador [“the chilling effect“] sobre o quão livre você se sente para exercer seus direitos.

A biometria significa que as características do seu corpo são reduzidas a unidades mensuráveis. A vigilância biométrica transforma as pessoas em códigos de barras ambulantes que podem ser digitalizados e combinados com os dados já coletados anteriormente sobre elas. É muito importante lembrar que você só tem um rosto, cujas características não pode mudar e que não pode deixar em casa. Depois que um código de barras for vinculado ao seu rosto, você sempre poderá ser rastreado com ele. Uma vez capturado, você perde o controle dos dados e não há como escapar da vigilância.

O sistema de crédito social da China

A vigilância biométrica está tornando realidade o pesadelo burocrático descrito por George Orwell em seu 1984. O estado chinês está estabelecendo um vasto sistema que irá monitorar o comportamento de sua enorme população e classificá-los todos com base em seu “crédito social”. O Sistema de Crédito Social [SCS] na China não é apenas destinado a punir quem critica o governo e o Estado, como é o caso na maioria dos regimes totalitários. O SCS pode acusar até mesmo a menor infração, como fumar em uma zona de não fumantes.

Esse sistema, anunciado pela primeira vez em 2014, visa reforçar a ideia de que “manter a confiança é glorioso e quebrar a confiança é vergonhoso”, de acordo com um documento do governo chinês. O programa já está totalmente operacional em todo o país, mas ainda está em fase de testes. O esquema será obrigatório. No momento, o sistema é fragmentado – alguns são administrados por prefeituras, outros são avaliados por plataformas tecnológicas privadas que armazenam dados pessoais.

Como nas pontuações de milhas ou crédito privado que conhecemos, a pontuação social de uma pessoa pode subir e descer dependendo de seu comportamento. A metodologia exata é um segredo – mas exemplos de infrações incluem dirigir mal, fumar em zonas não fumantes, comprar muitos videogames e postar notícias falsas online. Violar o “código social” pode resultar em proibição de voar ou usar o trem, usar a internet, ter uma escolaridade decente, conseguir um emprego, se hospedar em hotéis e até mesmo de ter um animal de estimação.

A China obviamente está tirando proveito da mentalidade de rebanho, ao rotular os violadores de “maus cidadãos” [observo aqui que mentalidade de rebanho é algo que não falta em nossa sociedade desconfiada da ciência]. Alguém duvida que esses mesmos argumentos poderão ser e serão adotados pelos governos do ocidente, especialmente em uma época de radicalização política e ameaças à ordem publica?

Como toda tecnologia de criação e monitoramento de perfis, a vigilância por câmeras é construída, em sua essência mais íntima, para diferenciar e classificar as pessoas. Isso reforça as desigualdades existentes na sociedade, bem como o desequilíbrio de poder entre governos, empresas de tecnologia e cidadãos.

Acredito que essa tecnologia é uma violação brutal de nossos direitos e liberdades e uma ameaça à nossa sociedade livre e aberta. Com as tecnologias de reconhecimento facial sendo crescentemente aplicadas ao redor, é hora de lutar por nossa liberdade na rua. Os reguladores nacionais parecem não estar suficientemente equipados [ou com vontade] para fazer cumprir a Constituição; para impedir o uso desta tecnologia nefasta.

Claramente, a maioria das pessoas está completamente no escuro sobre esses programas subterrâneos e suas implicações perigosas. Portanto, a missão para aqueles que estão “por dentro” deve ser espalhar a palavra e alertar o maior número possível de pessoas. É preciso também que cada um assuma responsabilidade pessoal pela quantidade de dados que compartilha voluntariamente com sites de mídia social, aplicativos e a Internet em geral. A única defesa contra a erosão total da privacidade – e, portanto, da liberdade – é um público educado que defende seus próprios direitos.

Não há lugar para a tecnologia de vigilância biométrica em uma sociedade livre. É por isso que eu acredito que essas tecnologias deveriam ser efetivamente banidas da vida pública. Como bem disse Winston Churchill, uma sociedade que troca a liberdade por segurança não merece nem liberdade e nem segurança.

OnlyFans: ex-Empregados Mantinham Acesso às Informações de Usuários

Alguns ex-funcionários da equipe de suporte do OnlyFans ainda continuavam com acesso aos dados dos usuários – incluindo informações pessoais e financeiras confidenciais, mesmo depois de serem demitidos da empresa – usada por profissionais do sexo para vender nus e vídeos pornôs.

Photo by Valeria Boltneva from Pexels

De acordo com um ex-funcionário do OnlyFans – que pediu para permanecer anônimo por temer retaliação, alguns ex-funcionários ainda tinham acesso ao Zendesk, um software de atendimento ao cliente usado por muitas empresas, incluindo o OnlyFans, para rastrear e responder a tíquetes de suporte ao cliente, muito tempo depois de sair da empresa. OnlyFans usa o Zendesk para se relacionar tanto com os usuários que postam conteúdo quanto com os usuários pagantes, consumidores de conteúdo. A revista Motherboard conseguiu confirmar essas informações com mais de um ex-funcionário.

De acordo com a fonte e os usuários do OnlyFans que falaram com a Motherboard, dependendo do assunto para o qual o usuário abre o chamado de suporte, os tíquetes podem conter informações de cartão de crédito, carteiras de motorista, passaportes, nomes completos, endereços, extratos bancários, quanto eles ganharam ou gastaram no OnlyFans, selfies do serviço Know Your Customer (KYC), em que o performer fotografa uma carteira de identificação ao lado do rosto para verificação, além de formulários de licenciamento do material produzido.

Nossa fonte demonstrou à Motherboard como eles faziam para acessar as informações muito depois de terem parado de trabalhar para o OnlyFans.

Em profundidade em motherboard.vice.com

Thoughts.page: um Micro Blog para Ideias Rápidas

Em minhas interações diárias com a Internet geralmente frequento grupos de desenvolvedores de software, de veneráveis pesquisadores de segurança e de fundadores de startups. Não é surpresa que eu, portanto, às vezes tenha a sorte de conhecer coisas em primeira mão. Foi o que aconteceu na semana passada ao conhecer o thoughts.page, um site para ‘microblogging’ muito ágil e inovador.

Ilustração: Vox Leone

À primeira vista ele parece um blog com um tema gráfico muito simples, como os blogs de forma longa, comuns em serviços como Medium e Substack – assim como muitos no WordPress. Desfeita a primeira impressão visual, emerge então um site muito parecido com o Twitter.

Mas sem limites estritos de caracteres. Também sem títulos de postagens. Sem comentários, sem respostas nem @menções. Sem foto de perfil ou avatar. Sem notificações. Com interface apenas em inglês. Fácil de descobrir na plataforma. Fácil de se inscrever. Rápido para ler. Pensamentos controversos permitidos, mas protegidos pela própria arquitetura do sistema, tanto contra ataques dos haters quanto contra o abuso de bots e propaganda. Monetização não suportada. Sem algoritmo, sem cancelamentos.

Para coroar o inusitado, a rigor não é uma plataforma grátis. O preço proposto é de US$ 5 mensais para quem ganha mais de US$ 40,000 por ano [não sei como eles vão verificar – presumo que para os brasileiros será eternamente grátis]. Essa é a grande novidade do Thoughts, que se contrapõe à regra quase universal dos serviços “grátis”, que são oferecidos ao usuário em troca de seus dados comportamentais na rede – o que se tornou a fonte de todos os males na web.

Como há apenas a versão Web, para acessá-lo é necessário usar o “protocolo do dedo”, como nos primeiros dias da web: “aqui está o endereço dos meus status/pensamentos/sentimentos – digite em seu navegador e adicione aos seus favoritos”. Para divulgar o site é preciso propagar o link entre os seus contatos. Ou esperar que ele entre no índice do Google e outros.

No que diz respeito à segurança e privacidade, observo que, pelas suas características, ele é menos propenso a ‘stalking’ ou ‘bullying’ do que Twitter, Instagram, FB, etc. É uma forma de comunicação um-para-muitos sem as interações tóxicas.

Ilustração: Vox Leone

O fato de a plataforma não ter um feed RSS aumenta o nível de esforço necessário para seguir alguém. Mas tem suas compensações. Eu não uso o Twitter, mas há um punhado de pessoas que ocasionalmente checo usando o velho Firefox para ver sua página [que favoritei]. Isso tem a vantagem de manter o número de pessoas que eu sigo a um mínimo absoluto e limitar a frequência com que leio seus tweets, independentemente da frequência com que me lembro de verificar se elas disseram algo novo.

Difícil de descobrir

Com o Thoughts é mais difícil seguir um número muito grande de pessoas [mas esse parece ser o ponto!]. Depois de criado seu blog se torna um subdomínio da plataforma, como por exemplo, leone.thoughts.page. Na prática, não é diferente de visitar um site por meio de um item favorito do navegador [eu com certeza visitaria uma página de pensamentos de uma banda local, de um comediante ou qualquer outra pessoa que tivesse ideias interessantes]. O Twitter começou recentemente a desencorajar esse tipo de visualização passiva [sem login]. Apenas navegar para o perfil do Twitter de alguém [Ex: https://twitter.com/mr-nice-guy] agora resulta em um pop-up me pedindo para fazer o login, e tentar seguir qualquer link resulta em um pop-up semelhante que não pode ser fechado.

Isso pode representar uma oportunidade para esta nova plataforma. Os ventos da web estão para mudar, com a Web 2.0 mostrando sinais de fadiga. A princípio parece que sua configuração que não permite que as pessoas enviem mensagens ou sigam umas às outras (e na qual você não precisa usar seu nome verdadeiro) não pode ser usada para interações sociais. Mas em um segundo pensamento lembro que o mundo está repleto de comunicações unidirecionais [ou bi ou multi-unidirecionais] e portanto sempre haverá casos de uso computacionais para elas. Dois efeitos colaterais positivos dessas comunicações são que, no mínimo, esse esquema neutraliza as interações nocivas e o efeito “bolha de opinião”.

Ilustração: Vox Leone

Eu me pergunto se a falta de ferramentas de interação entre os pares fará com que os eventuais usuários do Thoughts tentem criar soluções alternativas para interagir de outras maneiras. Por exemplo, no início do Twitter as pessoas usavam RT e outras técnicas para divulgar e/ou responder a tweets, embora a própria plataforma não tivesse essas funções. Eu pessoalmente adoraria ver um concorrente para o Twitter [o que é a própria motivação deste post]. Será interessante observar.

Para um leitor, Thoughts desarticula a ideia de ir a um único site específico [como o Twitter], escolher um tópico e ver imediatamente nele um fluxo de pensamentos de muitas pessoas diferentes. Para um escritor, porém, acredito que um micro blog como esse pode ser combinado a um full blog WordPress para complementar e estender pensamentos iniciados nos grandes blogposts e criar uma retroalimentação positiva para ambos os sites.

Como tudo na vida, é preciso conhecer sua audiência. Quem é o público para seus pensamentos? Presumivelmente, não o seu círculo de amigos – que têm suas próprias vidas e não vão atualizar sua página várias vezes ao dia para te ver. As únicas possibilidades que vejo para quem pretende usar a plataforma como um fim em si mesmo são a) que nenhuma outra alma jamais chegue a ler seus escritos lá – caso em que você pode muito bem escrever suas ideias em um arquivo de texto em seu disco rígido, ou b) que atraia a atenção de um tipo que você prefere não receber: um seguidor obsessivo com assustadoramente muito tempo livre em suas mãos ou então enxames de robôs russos visando os vulneráveis e os propensos a compartilhar demais suas emoções.

Mas se você tem uma visão estratégica do que pretende atingir, como blogger ou no relacionamento com clientes, Thoughts parece ser uma grande ferramenta para complementar seu Blog ou para fazer backlinks para aumentar o pagerank de seu(s) site(s). Os seguidores do seu blog principal provavelmente sempre darão uma olhada em seu micro blog.

Ilustração: Vox Leone

E se você é do tipo social ou ‘early adopter’ também sabe que é sempre bom reservar seu nome ou marca em uma nova plataforma que surge [ok, não precisa me agradecer]. A propósito, criei uma conta, e meus pensamentos estão [ou estarão] em leone.thoughts.page [ainda testando]. Salve entre seus favoritos, please. 🙂

* * *

Termo de Isenção de Responsabilidade:

  • Não tenho nenhum tipo de relação com esse site/domínio. Conheci a ferramenta durante a exposição que seu fundador fez no site Hacker News.
  • É bem possível que em breve eu me arrependa de ter postado isto, se o serviço não decolar.
  • E como evangelista da Segurança digital, aproveito para avisar do risco sempre existente de ataques do tipo Cross-Site Scripting neste tipo de site [como é corriqueiro no FB, Twitter et al]. Sempre navegue com consciência.

Abuso Psicológico nas Redes: da AOL ao Facebook

Era uma vez, há cerca de trinta anos, uma rede de computadores chamada America Online. Já existia uma Internet, mas a maioria das pessoas não sabia de sua existência ou sobre como usá-la. A AOL e alguns concorrentes, Compuserve e Prodigy, ofereciam às pessoas atividades simples que elas podiam fazer online, como conversar com outras pessoas. Os serviços tinham apenas uma desvantagem: eram limitados.

Imagem: iStock

As pessoas não podiam fazer o que queriam, só podiam escolher o que havia em um pequeno menu de funções que os serviços disponibilizavam.

À medida que crescia e crescia, a World Wide Web se tornava um lugar incrível, em contraste com a AOL. As pessoas estavam tão empolgadas com a World Wide Web que nunca mais quiseram voltar para a AOL, Compuserve ou Prodigy. Os três serviços definharam.

Entra na história o Facebook

As pessoas ficaram entusiasmadas com o Facebook porque era um lugar onde podiam encontrar pessoas reais que elas conheciam, assim como o MySpace, mas também porque tinha alguns recursos também comuns a AOL, como o jogo Farmville. As empresas ficavam cada vez mais entusiasmadas porque o Facebook começou a gerar muita receita de publicidade.

Os anunciantes gostavam do Facebook porque ele não apenas sabia quem estava falando com quem, mas também sabia bastante sobre os hobbies e interesses das pessoas. Os anunciantes gostaram disso porque podiam agora usar as informações para “direcionar” seus anúncios como nunca antes. Acadêmicos e pundits diziam que o Facebook tinha o que é conhecido como “efeito de rede”. Ele se tornava mais poderoso quanto mais pessoas se juntavam a ele.

Acontece que havia alguns problemas com o Facebook. O Facebook era muito parecido com a AOL. Limitava as pessoas, dizendo-lhes com quem podiam se comunicar. Depois de um tempo, as pessoas não tinham mais controle. Elas haviam fornecido tantas informações íntimas para o Facebook e seus concorrentes que era como se essas empresas fossem donas das pessoas quando elas estavam no ciberespaço. Esses serviços também não pareciam fazer um bom trabalho com as informações que acumulavam sobre os usuários.

Por causa de seu notório sigilo, é difícil saber o quão consciente o Facebook está a respeito dos danos que ele causa a seus “usuários”. Por exemplo, em setembro de 2019, a Insider Magazine publicou um artigo que analisava dados do CDC [Centro de Controle de Doenças dos EUA] a respeito do suicídio de adolescentes nos Estados Unidos.

Eu me pergunto quantos desses adolescentes foram empurrados para o abismo graças a comentários descuidados no Facebook? Quantas outras Michelles Carters [link em inglês] existem por aí?

O problema mais amplo que enfrentamos como sociedade é que simplesmente não sabemos o quão nocivas as redes sociais podem ser. Esse problema das redes sociais é muito parecido com a luta que enfrentamos com as empresas de tabaco – que sempre souberam o quão prejudicial o tabaco era, mas se esforçavam para esconder a pesquisa que eles mesmos realizavam comprovando os fatos. As empresas petroquímicas também se encaixam nesse perfil, com seus próprios cientistas alertando sobre a ligação entre combustíveis fósseis e o aquecimento global.

Há um crescente corpo de evidências a nos indicar que o que o Facebook faz não é apenas algo “inofensivo” como “publicidade direcionada”. Seria muito mais preciso descrever seu modus operandi como “manipulação psicológica”. Essas evidências sugerem que, no contexto amplo da sociedade, a dinâmica entre o Facebook e seus usuários é uma forma de abuso psicológico.

Combater o problema

Talvez seja hora de reunirmos algum tipo de Comissão Parlamentar de Inquérito [sob os auspícios da OMS] e fazer com que se exija, para o bem da saúde pública, que todas as grandes redes sociais sejam obrigadas a entregar detalhes de todas as “análises internas” que possuem sobre os efeitos de sua plataforma em sua base de usuários. Essa CPI idealmente deve ter autoridade para forçar o testemunho de todos profissionais de psicologia empregados por essas empresas.

Na verdade, talvez seja hora de determinar que todas essas empresas [acima de um determinado tamanho de base de usuários] devem, por lei, ter psicólogos clínicos na equipe e exigir que esse pessoal esteja envolvido na supervisão das decisões estratégicas em relação ao design e implementação dos recursos da plataforma.

Há uma expressão comumente usada em sistemas legais do Ocidente: “Ignorância da lei não é defesa”. No Brasil, o artigo 3 da Introdução ao Código Civil dispõe: “Ninguém se escusa de cumprir a lei alegando que não a conhece” Por uma linha de pensamento semelhante, ocultar atos de dano criminoso ou negligência parece, à primeira vista, tornar uma corporação cúmplice, se o ato original atingir o nível de comportamento criminoso.

Infelizmente, as coisas começam a ficar muito obscuras quando você explora o desafio de definir “dano mental” em termos de um ato criminoso. Pelo que li antes de postar este comentário, o problema fica quase intratável quando combinamos o desafio de estabelecer o grau de dano que um indivíduo pode sofrer, com o desafio de demonstrar que o dano veio como resultado direto das ações das corporações. Perguntas complexas surgem: o usuário/paciente era predisposto? Era vulnerável, emocional ou mentalmente?

Em outras palavras, parece ser bastante possível que uma empresa estabeleça um modelo de negócios nocivo ao bem-estar emocional e/ou mental de usuários e ainda assim opere impunemente, escondendo-se atrás da dificuldade de se provar que a empresa foi a causadora do dano.

É o que provavelmente pode estar acontecendo agora: estamos bloqueados nas nossas ações – cientes de que há um dano sendo causado pelas redes sociais, mas incapazes de fazer qualquer coisa a respeito.

A Apple Entrega os Pontos

A blogosfera está em polvorosa após o anúncio dos novos planos da Apple para monitorar o conteúdo que seus produtos usuários levantam para a iCloud. Nosso blog não pode ficar fora dessa conversa. Assim, buscamos com este post inaugurar essa discussão em português [uma vez que não tenho visto esse assunto alhures na mídia lusófona].

Eu sei que ninguém gosta de falar sobre de segurança na rede e o preço a pagar pela insistência nesse assunto pode ser a alienação dos leitores. Mas quis o destino que eu fosse a pessoa a falar dos assuntos desagradáveis – mas necessários. Sempre tentou-se aqui ilustrar por que os modelos de negócio do Google ou do Facebook [assim como os de todas as redes sociais] representam uma ameaça à privacidade e segurança das pessoas. É muito difícil explicar por que o novo mecanismo da Apple é ainda pior.

Na verdade, enquanto eu rascunhava esta postagem, Matthew Green e Alex Stamos publicaram um artigo no New York Times em que fazem uma boa tentativa de explicar, de forma concisa, essa questão para um público não técnico. Parece que há esperança. Não é minha intenção dar aqui uma explicação exaustiva do que exatamente a Apple planeja fazer, mesmo porque muitos outros artigos excelentes já foram escritos sobre isto na última semana.

Em essência, o iOS 15 introduzirá um mecanismo que permite comparar as fotos do telefone do usuário com um banco de dados de conteúdo CSAM [Child Sexual Abuse Materials – Material de Abuso Sexual de Crianças], e essa comparação começará no dispositivo do usuário. Essa é a grande diferença entre a abordagem da Apple e a de quase todas as outras empresas que hospedam grandes bibliotecas de fotos online. Um parágrafo do artigo de Ben Thompson publicado ontem resume muito bem:

Em vez de limitar a varredura CSAM ao iCloud Photos – a ‘nuvem’ que eles possuem e operam – a Apple resolveu comprometer o telefone de propriedade dos usuários, sem que nenhum deles tenha uma palavra a dizer sobre o assunto. Sim, você ainda pode desligar o iCloud Photos para desabilitar o monitoramento da Apple individualmente. Mas o que está em jogo é uma questão política: a capacidade de penetrar o telefone de um usuário agora existe e não há nada que um usuário de iPhone possa fazer para se livrar dela.

É claro que você poderia dizer que este é um tipo de argumento falacioso do tipo “ladeira escorregadia” [a ideia de que uma vez que algo é permitido não há mais caminho de volta] e que não deveríamos ficar tão preocupados. Talvez você dissesse que de fato devemos confiar que a Apple não usará essa funcionalidade para nenhuma outra finalidade.

Deixando de lado o absurdo de confiar em uma corporação gigante com fins lucrativos [em vez de um governo eleito democraticamente], devemos ter em mente que o histórico de privacidade da Apple até aqui tem sido muito menos estelar do que eles gostariam que pensássemos. A empresa coopera com o governo chinês, por exemplo, armazenando dados pessoais de cidadãos chineses apenas em servidores administrados por uma empresa chinesa, e já cancelou seus planos de disponibilizar a criptografia de backups no iCloud – sob pressão do FBI.

A Apple divulgou uma FAQ na terça-feira na qual tentou esclarecer e resolver os questionamentos, mas se alguma coisa aconteceu foi apenas a confirmação do que todos nós já presumiamos ser verdade: a política interna da Apple é agora a única coisa que impede qualquer agência governamental ou outro agente malicioso de inserir certos arquivos de imagem [por exemplo, fotografias de casais homossexuais em países onde a homossexualidade é ilegal] no registro CSAM.

Porta dos fundos sempre aberta

No mundo da segurança de computadores, essa tecnologia tem um nome: é chamada de “backdoor”. Uma porta dos fundos [para acesso remoto ao aparelho], neste caso bem documentada e bem intencionada, mas ainda assim uma porta dos fundos – instalada e ativada por padrão em milhões de dispositivos em todo o mundo.

Por que diabos a Apple, uma empresa que vem construindo uma imagem de proteção à privacidade nos últimos anos, escolheria tal solução? E por que agora?

A hipótese que muitos analistas de segurança consideram é que a Apple deseja se distanciar do trabalho tóxico e ingrato de verificar os dados dos usuários. Ela têm lutado com o FBI e o governo federal americano há anos. Ela também tem resistido a relatar o conteúdo CSAM que ela encontra nos iPhones ao Centro Nacional para Crianças Desaparecidas e Exploradas [National Center for Missing & Exploited Children – NCMEC].

Mas o fato é que parece que eles não querem mais se envolver em nada disso. Eles querem criar uma situação em que possam oferecer criptografia de ponta a ponta para seus produtos [iMessage, iCloud Drive, etc] e, ao mesmo tempo, manter perante o ‘establishment’ a postura de conformidade com a lei e os costumes. Essa pode ser a única maneira de a Apple ter ‘dois pássaros na mão’.

E ainda mais: devido à forma como o mecanismo é implementado, a Apple não precisa ver os dados reais do usuário. A foto do usuário é convertida em um hash [assinatura digital]. Esse hash é comparado aos hashes de imagens armazenadas em um banco de dados de fotos ‘manjadas’ – mantido pelo FBI em um servidor. A Apple, portanto, não verá o conteúdo das imagens. Só saberá se há uma correspondência entre os hashes do telefone e dos dados do servidor.

Fluxo de trabalho do monitoramento de imagens suspeitas nos produtos Apple. As assinaturas das imagens no celular do usuário são comparadas com as assinaturas das imagens de um banco de dados de referência. Se houver correspondência a Apple avalia o material e, se for o caso, encaminha às autoridades competentes. Gráfico: Vox Leone.

Dessa forma, em suas campanhas de marketing ela ainda poderá alegar que respeita a privacidade do usuário. E se esse mecanismo for usado para qualquer outra coisa, eles sempre podem alegar que estão simplesmente cumprindo as regulamentações locais e que eles próprios não censuram nem olham os dados nos telefones de seus usuários.

Infelizmente, devido à natureza intrinsecamente técnica do problema, acredito que o público geral não será capaz notar essas maquinações [ou mesmo se importar] e continuará a usar os produtos da Apple normalmente. E certamente veremos, durante o próximo evento público da Apple, Tim Cook, o CEO, anunciando triunfantemente alguns recursos de melhoria da privacidade no iOS, como a proteção dos dados pessoais contra rastreamento entre aplicativos ou oferecendo conexão anônima semelhante a VPN para Safari ou Apple Mail. Tudo isso enquanto mantém um backdoor instalado no seu telefone, sobre o qual você nada pode fazer.

É doloroso ver a Apple dando um passo em uma direção tão perigosa. Só posso esperar que a reação causada pela voz estridente da minoria faça a Apple reconsiderar, e talvez mudar a implementação em versões futuras do iOS.

O Que Torna uma Senha Forte

É obrigatório pela política das empresas. É uma boa prática recomendada por todos. E não é novidade para praticamente nenhum de nós: as senhas devem ser longas, variadas no uso de caracteres (maiúsculas, minúsculas, números, caracteres especiais) e não baseadas em palavras de dicionário. Bastante simples, certo? Mas deixe-me ir um pouco além e fazer uma pergunta não tão simples:

O que é mais forte, uma senha aleatória de 8 caracteres que potencialmente usa todo o conjunto de caracteres ASCII (maiúsculas, minúsculas, números, caracteres especiais (incluindo um espaço)) ou uma senha aleatória de 10 caracteres que usa apenas letras maiúsculas e minúsculas?

Desconsidere por um momento qualquer situação particular; essa não é a questão.

Como fazer uma comparação exata entre as duas senhas? Elas diferem de muitas maneiras. Na literatura especializada, um argumento afirma que uma senha mais longa, mesmo usando um conjunto de caracteres menor, é mais forte. Outro argumento pode afirmar que uma senha mais curta tem potencial de ser mais forte quando extraída de uma lista maior de caracteres potenciais. Um argumento é pela extensão, o outro é pela complexidade. Então, qual é o mais resistente a um ataque?

Esta questão se aplica diretamente a discussões de políticas dentro de uma organização. Como podemos avaliar a solidez de qualquer política de senhas proposta? Seus requisitos de política são arbitrários ou baseados em algum tipo de medida quantitativa? É simples dizer, “torne as senhas suficientemente longas, complexas e não baseadas em palavras do dicionário”, mas seria possivel quantificar o que é “suficiente” para uma determinada situação? Os cenários variam. Todos nós temos necessidades diferentes e os vários sistemas têm vários níveis de suporte de senha. Ainda cabem outras perguntas: existe um ponto de diminuição dos retornos sobre a complexidade da senha? Em que ponto elas se tornam tão longas e complexas que se tornam praticamente inutilizáveis? Existe uma resposta.

A resposta (ou parte dela, pelo menos) a essas perguntas está na quantidade de entropia informacional que a senha carrega. Volumes e mais volumes de discussão já foram impressos sobre os conceitos de entropia de informação e seus usos na comunicação, mas para nossos propósitos vamos apenas dizer que, no final, o conceito de entropia de senha nos fornece uma maneira de comparar empiricamente a força potencial de uma senha com base em seu comprimento e no universo de caracteres que ela pode conter. Para explicar o porquê, deixe-me começar com uma demonstração simples.

Selecione aleatoriamente uma letra de A – Z.

Agora vou tentar adivinhar. Quantas suposições você acha que vou precisar? Eu poderia adivinhar em apenas uma tentativa? Sim. Mas também posso precisar de 25 palpites, certo? Se eu simplesmente começasse a adivinhar aleatoriamente, meu sucesso também seria aleatório. Mas se eu aplicar os conceitos básicos da teoria da informação para a execução da tarefa, algo muito interessante acontece. Não importa qual letra você selecione, sempre precisarei de apenas quatro (4), e nunca mais do que cinco (5) perguntas para adivinhar sua letra. Em contraste, se eu fosse adivinhar ao acaso, precisaria, em média, de 13 tentativas para adivinhar sua letra. Mas quando conceitos de entropia de informação são aplicados, o número de perguntas / suposições cai para consistentes 4 ou 5. O motivo é bastante simples: eu não “adivinho” as letras; eu as elimino. Suponhamos que a letra que você selecionou seja “D”. Aqui está como minha cadeia de questionamento (o algoritmo) se comporta:

Pergunta 1: sua letra está entre N e Z? Resposta: Não.
    Se sim, sua letra está entre N-Z.
    Se não, sua letra é entre A-M.

Pergunta 2: sua letra está entre A e G? Resposta: sim.
    Se sim, sua letra é entre A-G.
    Se não, sua letra é entre H-M.

Pergunta 3: sua letra está entre A-D? Resposta: sim.
    Se sim, sua letra é entre A-D.
    Se não, sua letra é entre E-G.

Pergunta 4: sua letra está entre A-B? Resposta: Não.
    Se sim, sua letra é entre A-B.
    Se não, sua letra é entre C-D.

Pergunta 5: A sua letra é C? Resposta: Não.
    Se sim, sua letra é C.
    Se não, sua letra é D.

Resultado: sua letra é D. Estimativas: 5

Vamos fazer de novo. Desta vez, vamos supor que você escolheu aleatoriamente a letra “H”.

Pergunta 1: sua letra está entre N e Z? Resposta: Não.
    Se sim, sua letra está entre N-Z.
    Se não, sua letra é entre A-M.

Pergunta 2: sua letra está entre A e G? Resposta: Não.
    Se sim, sua letra é entre A-G.
    Se não, sua letra é entre H-M.

Pergunta 3: sua letra está entre H-I? Resposta: sim.
    Se sim, sua letra é entre H-I.
    Se não, sua letra é entre J-K.

Pergunta 4: A sua letra é H? Resposta: sim.
    Se sim, sua letra é H.
    Se não, sua letra é entre I-J.

Resultado: sua letra é H. Estimativas: 4

A imagem abaixo mostra a árvore de decisão usada. Cada ‘x’ laranja é uma pergunta. As letras destacadas em verde serão identificados em 4 questões e as letras destacadas em amarelo serão identificadas em 5. A árvore de decisão na imagem mostra apenas a metade esquerda do alfabeto (A-M). Você pode replicar o lado direito do alfabeto (N-Z) em uma árvore semelhante. Se você examinar o número de questões para todas as 26 letras do alfabeto, verá que seis (6) das letras podem ser identificadas em quatro (4) questões, enquanto as vinte (20) letras restantes serão identificadas em cinco (5) questões.

Árvore de decisão do problema

Então, se fôssemos jogar esse jogo de adivinhação indefinidamente, quantas perguntas, em média, eu precisaria para adivinhar a letra escolhida?

Para calcular o número médio de perguntas que terei que fazer para determinar sua letra, tenho que saber qual será a probabilidade de uma letra ser selecionada. Para este exemplo, estou supondo que cada uma das 26 letras do alfabeto tem uma chance estatisticamente igual de ser selecionada (mais sobre as nuances dessa suposição posteriormente). Um cálculo rápido mostra que 1/26 = 0,0384. Convertendo isso em porcentagem saberemos que cada letra tem 3,84% de chance de ser a letra selecionada aleatoriamente.

Como aqui não fugimos da matemática e valentemente a enfrentamos, há uma equação para essa pergunta. Vejamos:

Esta equação calcula H, que é o símbolo usado para entropia. Para o nosso alfabeto, a equação ficaria assim:

H = – [(0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) +
(0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) +
(0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) +
(0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) +
(0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) + (0,038log2 • 0,038) +
(0,038log2 • 0,038) + (0,038log2 • 0,038)] = 4,7004

E agora temos a resposta: terei que fazer uma MÉDIA de 4.7004 perguntas para determinar a letra selecionada aleatoriamente no alfabeto.

Mais formalmente, diríamos que existem 4.7004 ‘bits de entropia’.

Se você aplicar esta matemática a um único caractere selecionado aleatoriamente a partir dos diferentes conjuntos de caracteres que existem, você obterá o seguinte:

Binário (0, 1) -> H = 1 (1 bit de entropia)
Terei que fazer uma pergunta para determinar se o valor selecionado aleatoriamente é 1 ou 0.

Decimal (0-9) -> H = 3,32193 (3,2193 bits de entropia)
    Terei que fazer uma média de 3,32193 perguntas para determinar o número selecionado aleatoriamente (0-9).

Hexadecimal (0-9, A-F) -> H = 4.000
    Terei que fazer quatro (4) perguntas para determinar seu valor (a-f, 0-9)

Alfabeto maiúsculo e minúsculo (a-z, A-Z) -> H = 5,7004
    Terei que fazer uma média de 5.7004 perguntas para determinar sua letra selecionada aleatoriamente (a-z, A-Z).

Todos os caracteres ASCII imprimíveis (incluindo espaço) -> H = 6,5699
    Terei que fazer uma média de 6.5699 perguntas para determinar seu valor selecionado aleatoriamente.

Vamos desenvolver isso um pouco mais. Os números acima são para uma ÚNICA letra selecionada aleatoriamente. E se eu pedisse para você escolher duas (2) letras aleatoriamente? Agora, adivinhando uma letra de cada vez, quantas tentativas, em média, eu precisaria para descobrir as duas? A resposta é aditiva, o que significa que você só precisa adicionar a entropia para cada letra. Se a entropia de uma única letra minúscula é 4,7004, a entropia de duas letras selecionadas aleatoriamente é 4,7004 + 4,7004. Isso é 9.4008 perguntas para determinar as duas letras (assumindo a-z, como em nosso exemplo original). Se eu pedisse a você para selecionar uma seqüência de dez (10) caracteres aleatórios, seria necessária uma média de 47,004 perguntas (4,7004 * 10) para adivinhar todos eles.

Tudo bom, tudo bem, mas isso presume que sou capaz de adivinhar apenas um valor de cada vez. Se você escolhesse aleatoriamente 10 letras do alfabeto, eu poderia adivinhar a primeira em cerca de 4,7 tentativas, a segunda em 4,7 tentativas, a terceira em 4,7 tentativas e assim por diante. Mas no mundo real, não é assim que se adivinha senhas (um caractere por vez). Um invasor terá que adivinhar corretamente todos os dez valores de uma só vez para determinar as letras selecionadas aleatoriamente. Isso é, obviamente, uma coisa muito mais difícil de fazer. Mas quão difícil? Para descobrir, vamos voltar à pergunta original que fiz:

O que é mais forte, uma senha aleatória de 8 caracteres que potencialmente usa todo o conjunto de caracteres ASCII (maiúsculas, minúsculas, números, caracteres especiais ( incluindo um espaço)) ou uma senha aleatória de 10 caracteres que usa apenas letras maiúsculas e minúsculas?

Bem, se seu conjunto de caracteres tiver 26 letras minúsculas (az), 26 caracteres maiúsculos (AZ), e sua senha tiver 10 caracteres, haverá 5210 combinações possíveis de letras (26 caracteres (az) + 26 caracteres ( AZ) = 52 caracteres). Esse é um número grande. 144.555.105.949, 057.000 (144,5 quatrilhões), para ser exato ..

Então, para resumir esses valores:

Número de caracteres no conjunto de caracteres (a-z, A-Z): 52
Número de caracteres na senha: 10
Número total de combinações possíveis de sequências de 10 caracteres: = 52^10 = 144.555.105.949.057.000

É aqui que a magia entra em ação:

Qual é a entropia de um único caractere no conjunto completo de caracteres alfa (a-z, A-Z)? Já determinamos que é 5.7004.

Qual é o tamanho da sequência de caracteres selecionada aleatoriamente? 10 caracteres.

Qual é a entropia de uma string de 10 caracteres usando o conjunto de caracteres alfa maiúsculos / minúsculos? 5,7004 * 10 = 57,004

O que é 257,004 ? São 144.555.105.949.057.000 !!! Caramba!!! É o mesmo número que 5210 !!!

Sua string de 10 caracteres, maiúsculas / minúsculas (senha) tem 57,004 bits de entropia. Supondo que um invasor acertaria a string em 50% de todas as suposições possíveis, estimamos que ele / ela terá que fazer 72.277.552.974.528.300 suposições (sim, em média) antes de adivinhar sua string de 10 caracteres.

Para dizer isso de forma mais significativa: Uma senha de 10 caracteres maiúsculos / minúsculos tem 57,004 bits de entropia.

Então, quantos bits de entropia nossa senha concorrente tem? É uma senha de 8 caracteres que utiliza o conjunto completo de caracteres ASCII (incluindo um espaço). Se você voltar ao meio desta postagem, verá que um caractere selecionado aleatoriamente do conjunto completo de caracteres ASCII tem 6,5699 bits de entropia. Isso significa que uma senha de 8 caracteres selecionada aleatoriamente nesse intervalo terá 52.559 (8 * 6.5699) bits de entropia.

Para resumir os valores das senhas de 8 caracteres:

Número de caracteres no conjunto de caracteres (a-z, A-Z, 0-9, todos os caracteres especiais, incluindo espaço): 95
Número de caracteres na senha: 8
Número total de combinações possíveis de sequências de 8 caracteres: = 958 = 6.634.204.312.890.620 (6,63 quatrilhões)

E vemos que a magia é real:

Qual é a entropia de um único caractere no conjunto de caracteres ASCII completo (incluindo espaço)? Já determinamos que é 6,5699.

Qual é o tamanho da sequência de caracteres selecionada aleatoriamente? 8 caracteres.

Qual é a entropia de uma string de 8 caracteres usando o conjunto de caracteres alfa maiúsculos e minúsculos? 6,5699 * 8 = 52,559

O que é 252.559? É 6.634.204.312.890.620 !!! Caramba, de novo !!! É o mesmo número que 958 !!!

Nossa senha de 10 caracteres em maiúsculas / minúsculas tem 57,004 bits de entropia.
Nossa senha de conjunto de caracteres ASCII completa de 8 caracteres tem 52.559 bits de entropia.

Quanto mais bits de entropia uma senha possui, mais forte ela é. E, isso é importante, pois um único bit de entropia representa um aumento EXPONENCIAL na resistencia da senha. Há uma grande diferença entre a força de nossas duas senhas (4,445 ordens de magnitude); isso não é trivial. É algo enorme.

Então, por que usar a entropia como a expressão da força (resistência) da senha? Os gurus da teoria da informação podem certamente dar palestras por dias sobre essas questões, mas há uma resposta simples: os humanos são realmente péssimos para lidar com grandes números. Basta ver como lembramos números de telefone, endereços IP, números de cartão de crédito e números de CPF para evidenciar nossa repulsa por grandes números. Se houver uma maneira de simplificar a expressão de um valor, sempre optaremos por ela. Afinal, o que é mais fácil de dizer e entender ?:

Minha senha tem 5210 possibilidades vs 958 possibilidades.
ou;
Minha senha tem 57,004 bits de entropia vs 52,559 bits de entropia.

Com certeza você achará esta última forma mais agradável.

Quanto maior o número de bits de entropia de uma senha, mais forte ela tem o potencial de ser. Eu uso a palavra “potencial” aqui porque há muitas nuances nessa discussão que podem tornar esses números um reflexo impreciso da força da senha. A principal delas é o fato de que a maioria das senhas são geradas por humanos, não por geradores de números aleatórios. Os humanos são muito, muito ruins em gerar aleatoriedade. Somos terrivelmente péssimos nisso. Isso significa que a equação usada acima, que assume que cada caracter tem uma probabilidade igual de ser selecionado, não é tão precisa quando é uma pessoa que está escolhendo as letras. Quando invasores, com auxilio do poder de computação, começam a fazer suposições realmente boas sobre como as senhas estão sendo criadas (permitindo que eles excluam certos valores, por exemplo), a entropia pode cair muito rapidamente. Isso é não é bom.

É frequente acontecer que um dos sistemas de uma organização pode suportar o uso do conjunto de caracteres ASCII completo ao definir senhas, enquanto outro pode suportar apenas senhas alfanuméricas. Quantos bits de entropia uma senha deve ter para ser adequadamente segura? Quão longa uma senha alfanumérica deve ser para ser tão forte quanto uma senha que usa o conjunto completo de caracteres? Essas são perguntas muito importantes, especialmente quando se trata de uma política corporativa de senhas. Especificar o comprimento da senha pode ser uma medida inadequada de resistencia; especificar requisitos de entropia de senha tem o potencial de ser uma expressão muito mais consistente dos requisitos de segurança. Não tenho uma citação aqui, mas muitas organizações gostam de ter 80 bits de entropia ou mais. Nos dias de hoje, isso é muita entropia. Cheque novamente em alguns anos e certamente veremos que essa declaração se tornou falsa (pela Lei de Moore).

Uma observação final: há muitas variáveis ​​que devem ser discutidas ao explorar o assunto “senhas”. Complexidade, comprimento e entropia são todos ótimos itens para se entender, mas outros fatores podem ser tão importantes quanto. Por exemplo, quais mecanismos subjacentes suas senhas empregam? Qual algoritmo de hash? As senhas são “salgadas”? Há algum tipo de mecanismo de compatibilidade com versões anteriores habilitado (NTLM, etc.)? Essas coisas influenciam a discussão tanto quanto a entropia e podem ter um grande impacto em quanto esforço um invasor terá de fazer para adivinhar a senha. É um grande tópico, digno de muita reflexão e reflexão cuidadosa. A entropia é um ótimo lugar para começar… mas não é a única coisa a se considerar.

Morte à Economia de Vigilância!

Neste exato momento, enquanto você lê este post, algoritmos estão tomando decisões sobre sua vida, com base em seus dados, sem o seu conhecimento e sem o seu consentimento. Algoritmos que muitas vezes não foram testados completamente, muito menos auditados periodicamente. Talvez você seja um dos milhões de negros americanos visados ​​pela Cambridge Analytica na tentativa de impedi-los de votar nas eleições de 2016. Talvez tenham negado a você um empréstimo, um emprego ou um apartamento recentemente.

Imagem: iStock

Se isso aconteceu, é quase certo que seus dados tenham algo a ver com isso. Esses dados pessoais na maioria das vezes são imprecisos, mas você não pode corrigi-los porque não tem acesso a eles. Você pode perder seu emprego devido a um algoritmo com defeito. E como disse o Cardeal Richelieu, “dê-me seis linhas escritas pelo mais honesto dos homens e eu encontarei nelas um motivo para mandá-lo para a forca”.

À medida que as empresas de tecnologia moldam nossas percepções, o preconceito e a discriminação – tão miseravelmente humanos – são incorporados naturalmente a seus produtos e serviços em vários níveis e de várias formas.

A economia de vigilância afronta a igualdade e a justiça. Você e seu vizinho não são mais tratados como cidadãos iguais. Você não tem oportunidades iguais a ele porque é tratado de maneira diferente com base em seus dados. Os anúncios e o conteúdo a que você tem acesso, os preços que paga pelos mesmos serviços e até o tempo que você espera no telefone para falar com o serviço de atendimento ao cliente dependem dos seus dados e de seu “score”.

Somos muito mais competentes para coletar dados pessoais do que para mantê-los seguros. Os dados pessoais são uma ameaça séria e não deveríamos coletá-los se não somos capazes de mantê-los seguros. Usando dados de localização de smartphones adquiridos de um “corretor de dados”, é possível rastrear oficiais militares com acesso a dados sigilosos, advogados poderosos e seus clientes, e até mesmo o presidente de um país (através do telefone de alguém que se considera e é pago para ser um agente do serviço secreto).

Nossa atual economia de dados é baseada na coleta de tantos dados pessoais quanto possível, armazenando-os indefinidamente e vendendo-os a quem pagar mais. Ter tantos dados confidenciais circulando livremente é, no mínimo, imprudente. Ao projetar nossa economia em torno da vigilância, estamos construindo uma perigosa estrutura de controle social, estrutura essa que está em conflito aberto com a liberdade. Na sociedade de vigilância que estamos construindo, não existe nada invisível ao radar. Não deveria ser nossa responsabilidade, como querem as grandes companhias, optar pela não coleta de dados nos navegadores. A não-coleta deveria vir como padrão em todo e qualquer software dedicado à comunicação na Internet.

É hora de acabar com a economia de vigilância. Não permitimos a compra e venda de votos (porque isso prejudica a democracia). Por que então devemos permitir a comercialização de dados pessoais? Não devemos permitir anúncios personalizados. Se os anúncios fossem transparentes sobre o que sabem sobre nós, talvez não fôssemos tão indiferentes ao modo como somos direcionados. As vantagens dos anúncios personalizados para os usuários são mínimas, na melhor das hipóteses, e podem ser alcançadas por meio de publicidade contextualizada. Por exemplo, exibir anúncios de equipamentos esportivos apenas quando o usuário procura equipamentos esportivos.

Precisamos ter certeza de que os algoritmos que afetam nossas vidas são confiáveis. Precisamos saber como os algoritmos estão nos julgando e com base em quais dados. Devemos implementar deveres de depositário fiel de dados: qualquer pessoa que deseje coletar ou gerenciar seus dados pessoais deve se comprometer legalmente a usá-los apenas em seu benefício e nunca contra você. Quem gerencia dados pessoais de terceiros é responsável ​​por eles. Temos que melhorar muito nossos padrões de segurança cibernética, através de lei. E é necessário também excluir periodicamente os dados de que não precisamos mais.

Enquanto a solução definitiva não aparece, escolha produtos compatíveis com a privacidade. Por exemplo, ao invés de usar a pesquisa do Google, use DuckDuckGo; em vez de usar o WhatsApp, use o Telegram; no lugar do Gmail, use ProtonMail. Essas escolhas simples podem ter um impacto muito significativo em nossas vidas. Ao escolher produtos éticos sinalizamos às empresas de Internet que nos preocupamos com a nossa privacidade.

Acabar com a economia de dados pode parecer uma proposta radical. Contudo, é ainda mais extremo ter um modelo de negócios cuja existência depende da violação de nosso direito à privacidade em grande escala.

Na verdade, isso é inaceitável.

Blockchain e o Voto

De vez em quando sou questionado sobre ideias envolvendo sistemas de votação eletrônicos, remotos e blockchains. Este post fala sobre as propriedades mínimas de segurança que um sistema de votação precisa ter, e sobre onde as blockchains ajudam e onde não ajudam. Usamos como exemplo o sistema criptografado de votação STAR-vote. Pode ser um pouco árido para os usuários não técnicos, mas também pode ser interessante para quem gosta de se envolver mais profundamente no tema.

Uma interface digital abstrata, mostrando pastas com chave pública e dados de hash escritos em código.

A comunidade de computação concorda que sistemas votação rodando em máquinas de votar modernas têm ao seu dispor processadores muito rápidos e uma quantidade enorme de armazenamento. Esse hardware moderno torna menos árdua a tarefa de implementar redes que exigem computação de alta-performance, como a Blockchain. Vamos então usar esse dado estrutural para um experimento mental:

Usando o work-flow da Blockchain, vamos colocar as máquinas de votação em rede, dentro da Blockchain. Assim, voilà, temos uma estrutura descentralizada, com uma cópia de cada voto em cada máquina de votação; podemos até usar o emaranhamento da linha do tempo, para que o histórico de cada máquina seja protegido por hashes armazenados em todas as outras máquinas. O problema da votação eletrônica está resolvido.

Em um sistema eleitoral implementado na Blockchain, todas as máquinas do sistema possuem todos os registros de votos, tornando impossível a fraude. É o mesmo esquema que legitima transações financeiras. Neste caso, a transação é o voto.

Mas qual é o ponto forte de uma blockchain? No aspecto mais fundamental, trata-se de ter um registro histórico inviolável sobre eventos. No contexto de um sistema de votação, significa que uma blockchain é um lugar perfeito para armazenar cédulas e proteger sua integridade. O STAR-Vote e muitos outros sistemas de votação criptografados “ponta a ponta” adota o conceito de “quadro público de avisos” para onde os votos criptografados são enviados para armazenagem até a contagem. Blockchain é a maneira óbvia de implementar o quadro público de avisos.

Cada eleitor do STAR-Vote sai do local de votação com um “recibo” que é apenas o hash de sua cédula criptografada, que por sua vez tem o hash da cédula do eleitor anterior. Em outras palavras, todos os eleitores do STAR-Vote deixam o local de votação com um ponteiro para a blockchain que pode ser verificado de forma independente.

Acontece que mesmo os sistemas de votação baseados em blockchain precisam de muitas propriedades de segurança adicionais antes que possam ser efetivamente confiáveis. Aqui está uma lista simplificada, empregando algum vocabulário típico desta área de estudos para referenciar essas propriedades.

Propriedade “Votado como pretendido”.

Um eleitor está olhando para uma tela de algum tipo e escolhe em um botão: “Alice para presidente”. A máquina de votação prontamente indica isso com um pop-up, ou algum texto destacado, ou sons. Contudo, é totalmente possível que algum malware dentro da máquina possa registrar silenciosamente o voto como “Bernie para presidente”. Portanto, qualquer sistema de votação precisa de um mecanismo para derrotar malware que ameace comprometer a integridade da votação.

Nota: Uma abordagem interessante aqui [e já consagrada pelo costume americano] é ter cédulas de papel impressas (e/ou cédulas de papel marcadas à mão) que podem ser comparadas estatisticamente às cédulas eletrônicas. Outra abordagem é ter um processo pelo qual a máquina pode ser “desafiada” a provar que criptografou corretamente a cédula.

Propriedade “Votado em privacidade”.

É importante que não seja possível identificar um eleitor em particular pela forma como ele votou. A votação moderna deve garantir que os votos sejam secretos, com várias medidas tomadas para tornar difícil ou impossível para os eleitores violarem esse sigilo.

Quando se deseja manter a propriedade de privacidade eleitoral nas máquinas da votação, significa que deve-se evitar que a máquina retenha o estado interno (ou seja, mantenha em seus circuitos uma lista dos votos em texto aberto, na ordem de votação) e também deve garantir que o texto cifrado dos votos, publicado na blockchain, não está vazando silenciosamente, por meio de canais subliminares, informações sobre o texto aberto que o gerou.

Propriedade “Contado como votado”.

Se temos eleitores levando para casa um recibo de algum tipo que identifica seu voto de texto cifrado na blockchain, então eles também podem querer ter algum tipo de prova criptográfica de que a contagem final do voto inclui seu voto específico. Isso acaba sendo uma aplicação direta de primitivos criptográficas homomórficos.

Se olharmos para essas três propriedades, é possível notar que a blockchain não ajuda muito com as duas primeiras, embora seja muito útil para a terceira.

Atingir a propriedade “votado como pretendido” requer uma variedade de mecanismos que vão de cédulas de papel a desafios pontuais para máquinas. A blockchain protege a integridade do voto registrado, mas nada tem a dizer sobre sua fidelidade à intenção do eleitor.

Para alcançar uma propriedade “votado em privacidade”, é necessário bloquear o software na plataforma de votação e, nesse caso, bloquear a máquina de votar. E como essa propriedade de bloqueio pode ser verificada? Precisamos de garantias fortes que possam ser verificadas de forma independente. Também precisamos garantir que o usuário não possa ser enganado e levado a executar um aplicativo de votação falso. Podemos conseguir isso no contexto das urnas eletrônicas comuns, que são utilizadas exclusivamente para fins de votação. Podemos implantar centralmente uma infraestrutura de chave criptográfica e colocar controles físicos sobre o movimento das máquinas.

Mas, se estendermos este experimento mental para incluir o voto pela Internet, um desejo comumente expresso pelo público de alguns países [que talvez aconteça], veremos que não temos infraestrutura hoje para fazer isso usando telefones celulares e computadores pessoais – e provavelmente não a teremos nos próximos anos. O voto remoto [em casa, no escritório, na rua] também torna excepcionalmente fácil para um cônjuge, um chefe ou um vizinho vigiar por cima do seu ombro e “ajudá-lo” a votar da maneira que eles querem que você vote.

As blockchains acabam sendo incrivelmente úteis para verificar a propriedade “contado como votado”, porque obriga todas as máquinas do sistema a concordar com o conjunto exato de cédulas que está sendo tabulado. Se um funcionário eleitoral precisar desqualificar uma cédula por qualquer motivo, esse fato precisa ser público e todos precisam saber que uma cédula específica, ali na blockchain, precisa ser descontada, caso contrário, a matemática criptográfica não vai fechar.

Concluindo, é fácil ver como as blockchains fornecem elementos primitivos excepcionalmente úteis, que podem ajudar a construir sistemas de votação em que a contagem final é consistente com os registros de votos lançados. No entanto, um bom sistema de votação precisa satisfazer muitas propriedades adicionais que uma blockchain não pode fornecer. Embora haja uma certa sedução intelectual em fingir que votar não é diferente do que mover criptomoedas em uma blockchain, a realidade do problema é um pouco mais complicada.