Abuso Psicológico nas Redes: da AOL ao Facebook

Era uma vez, há cerca de trinta anos, uma rede de computadores chamada America Online. Já existia uma Internet, mas a maioria das pessoas não sabia de sua existência ou sobre como usá-la. A AOL e alguns concorrentes, Compuserve e Prodigy, ofereciam às pessoas atividades simples que elas podiam fazer online, como conversar com outras pessoas. Os serviços tinham apenas uma desvantagem: eram limitados.

Imagem: iStock

As pessoas não podiam fazer o que queriam, só podiam escolher o que havia em um pequeno menu de funções que os serviços disponibilizavam.

À medida que crescia e crescia, a World Wide Web se tornava um lugar incrível, em contraste com a AOL. As pessoas estavam tão empolgadas com a World Wide Web que nunca mais quiseram voltar para a AOL, Compuserve ou Prodigy. Os três serviços definharam.

Entra na história o Facebook

As pessoas ficaram entusiasmadas com o Facebook porque era um lugar onde podiam encontrar pessoas reais que elas conheciam, assim como o MySpace, mas também porque tinha alguns recursos também comuns a AOL, como o jogo Farmville. As empresas ficavam cada vez mais entusiasmadas porque o Facebook começou a gerar muita receita de publicidade.

Os anunciantes gostavam do Facebook porque ele não apenas sabia quem estava falando com quem, mas também sabia bastante sobre os hobbies e interesses das pessoas. Os anunciantes gostaram disso porque podiam agora usar as informações para “direcionar” seus anúncios como nunca antes. Acadêmicos e pundits diziam que o Facebook tinha o que é conhecido como “efeito de rede”. Ele se tornava mais poderoso quanto mais pessoas se juntavam a ele.

Acontece que havia alguns problemas com o Facebook. O Facebook era muito parecido com a AOL. Limitava as pessoas, dizendo-lhes com quem podiam se comunicar. Depois de um tempo, as pessoas não tinham mais controle. Elas haviam fornecido tantas informações íntimas para o Facebook e seus concorrentes que era como se essas empresas fossem donas das pessoas quando elas estavam no ciberespaço. Esses serviços também não pareciam fazer um bom trabalho com as informações que acumulavam sobre os usuários.

Por causa de seu notório sigilo, é difícil saber o quão consciente o Facebook está a respeito dos danos que ele causa a seus “usuários”. Por exemplo, em setembro de 2019, a Insider Magazine publicou um artigo que analisava dados do CDC [Centro de Controle de Doenças dos EUA] a respeito do suicídio de adolescentes nos Estados Unidos.

Eu me pergunto quantos desses adolescentes foram empurrados para o abismo graças a comentários descuidados no Facebook? Quantas outras Michelles Carters [link em inglês] existem por aí?

O problema mais amplo que enfrentamos como sociedade é que simplesmente não sabemos o quão nocivas as redes sociais podem ser. Esse problema das redes sociais é muito parecido com a luta que enfrentamos com as empresas de tabaco – que sempre souberam o quão prejudicial o tabaco era, mas se esforçavam para esconder a pesquisa que eles mesmos realizavam comprovando os fatos. As empresas petroquímicas também se encaixam nesse perfil, com seus próprios cientistas alertando sobre a ligação entre combustíveis fósseis e o aquecimento global.

Há um crescente corpo de evidências a nos indicar que o que o Facebook faz não é apenas algo “inofensivo” como “publicidade direcionada”. Seria muito mais preciso descrever seu modus operandi como “manipulação psicológica”. Essas evidências sugerem que, no contexto amplo da sociedade, a dinâmica entre o Facebook e seus usuários é uma forma de abuso psicológico.

Combater o problema

Talvez seja hora de reunirmos algum tipo de Comissão Parlamentar de Inquérito [sob os auspícios da OMS] e fazer com que se exija, para o bem da saúde pública, que todas as grandes redes sociais sejam obrigadas a entregar detalhes de todas as “análises internas” que possuem sobre os efeitos de sua plataforma em sua base de usuários. Essa CPI idealmente deve ter autoridade para forçar o testemunho de todos profissionais de psicologia empregados por essas empresas.

Na verdade, talvez seja hora de determinar que todas essas empresas [acima de um determinado tamanho de base de usuários] devem, por lei, ter psicólogos clínicos na equipe e exigir que esse pessoal esteja envolvido na supervisão das decisões estratégicas em relação ao design e implementação dos recursos da plataforma.

Há uma expressão comumente usada em sistemas legais do Ocidente: “Ignorância da lei não é defesa”. No Brasil, o artigo 3 da Introdução ao Código Civil dispõe: “Ninguém se escusa de cumprir a lei alegando que não a conhece” Por uma linha de pensamento semelhante, ocultar atos de dano criminoso ou negligência parece, à primeira vista, tornar uma corporação cúmplice, se o ato original atingir o nível de comportamento criminoso.

Infelizmente, as coisas começam a ficar muito obscuras quando você explora o desafio de definir “dano mental” em termos de um ato criminoso. Pelo que li antes de postar este comentário, o problema fica quase intratável quando combinamos o desafio de estabelecer o grau de dano que um indivíduo pode sofrer, com o desafio de demonstrar que o dano veio como resultado direto das ações das corporações. Perguntas complexas surgem: o usuário/paciente era predisposto? Era vulnerável, emocional ou mentalmente?

Em outras palavras, parece ser bastante possível que uma empresa estabeleça um modelo de negócios nocivo ao bem-estar emocional e/ou mental de usuários e ainda assim opere impunemente, escondendo-se atrás da dificuldade de se provar que a empresa foi a causadora do dano.

É o que provavelmente pode estar acontecendo agora: estamos bloqueados nas nossas ações – cientes de que há um dano sendo causado pelas redes sociais, mas incapazes de fazer qualquer coisa a respeito.

A Apple Entrega os Pontos

A blogosfera está em polvorosa após o anúncio dos novos planos da Apple para monitorar o conteúdo que seus produtos usuários levantam para a iCloud. Nosso blog não pode ficar fora dessa conversa. Assim, buscamos com este post inaugurar essa discussão em português [uma vez que não tenho visto esse assunto alhures na mídia lusófona].

Eu sei que ninguém gosta de falar sobre de segurança na rede e o preço a pagar pela insistência nesse assunto pode ser a alienação dos leitores. Mas quis o destino que eu fosse a pessoa a falar dos assuntos desagradáveis – mas necessários. Sempre tentou-se aqui ilustrar por que os modelos de negócio do Google ou do Facebook [assim como os de todas as redes sociais] representam uma ameaça à privacidade e segurança das pessoas. É muito difícil explicar por que o novo mecanismo da Apple é ainda pior.

Na verdade, enquanto eu rascunhava esta postagem, Matthew Green e Alex Stamos publicaram um artigo no New York Times em que fazem uma boa tentativa de explicar, de forma concisa, essa questão para um público não técnico. Parece que há esperança. Não é minha intenção dar aqui uma explicação exaustiva do que exatamente a Apple planeja fazer, mesmo porque muitos outros artigos excelentes já foram escritos sobre isto na última semana.

Em essência, o iOS 15 introduzirá um mecanismo que permite comparar as fotos do telefone do usuário com um banco de dados de conteúdo CSAM [Child Sexual Abuse Materials – Material de Abuso Sexual de Crianças], e essa comparação começará no dispositivo do usuário. Essa é a grande diferença entre a abordagem da Apple e a de quase todas as outras empresas que hospedam grandes bibliotecas de fotos online. Um parágrafo do artigo de Ben Thompson publicado ontem resume muito bem:

Em vez de limitar a varredura CSAM ao iCloud Photos – a ‘nuvem’ que eles possuem e operam – a Apple resolveu comprometer o telefone de propriedade dos usuários, sem que nenhum deles tenha uma palavra a dizer sobre o assunto. Sim, você ainda pode desligar o iCloud Photos para desabilitar o monitoramento da Apple individualmente. Mas o que está em jogo é uma questão política: a capacidade de penetrar o telefone de um usuário agora existe e não há nada que um usuário de iPhone possa fazer para se livrar dela.

É claro que você poderia dizer que este é um tipo de argumento falacioso do tipo “ladeira escorregadia” [a ideia de que uma vez que algo é permitido não há mais caminho de volta] e que não deveríamos ficar tão preocupados. Talvez você dissesse que de fato devemos confiar que a Apple não usará essa funcionalidade para nenhuma outra finalidade.

Deixando de lado o absurdo de confiar em uma corporação gigante com fins lucrativos [em vez de um governo eleito democraticamente], devemos ter em mente que o histórico de privacidade da Apple até aqui tem sido muito menos estelar do que eles gostariam que pensássemos. A empresa coopera com o governo chinês, por exemplo, armazenando dados pessoais de cidadãos chineses apenas em servidores administrados por uma empresa chinesa, e já cancelou seus planos de disponibilizar a criptografia de backups no iCloud – sob pressão do FBI.

A Apple divulgou uma FAQ na terça-feira na qual tentou esclarecer e resolver os questionamentos, mas se alguma coisa aconteceu foi apenas a confirmação do que todos nós já presumiamos ser verdade: a política interna da Apple é agora a única coisa que impede qualquer agência governamental ou outro agente malicioso de inserir certos arquivos de imagem [por exemplo, fotografias de casais homossexuais em países onde a homossexualidade é ilegal] no registro CSAM.

Porta dos fundos sempre aberta

No mundo da segurança de computadores, essa tecnologia tem um nome: é chamada de “backdoor”. Uma porta dos fundos [para acesso remoto ao aparelho], neste caso bem documentada e bem intencionada, mas ainda assim uma porta dos fundos – instalada e ativada por padrão em milhões de dispositivos em todo o mundo.

Por que diabos a Apple, uma empresa que vem construindo uma imagem de proteção à privacidade nos últimos anos, escolheria tal solução? E por que agora?

A hipótese que muitos analistas de segurança consideram é que a Apple deseja se distanciar do trabalho tóxico e ingrato de verificar os dados dos usuários. Ela têm lutado com o FBI e o governo federal americano há anos. Ela também tem resistido a relatar o conteúdo CSAM que ela encontra nos iPhones ao Centro Nacional para Crianças Desaparecidas e Exploradas [National Center for Missing & Exploited Children – NCMEC].

Mas o fato é que parece que eles não querem mais se envolver em nada disso. Eles querem criar uma situação em que possam oferecer criptografia de ponta a ponta para seus produtos [iMessage, iCloud Drive, etc] e, ao mesmo tempo, manter perante o ‘establishment’ a postura de conformidade com a lei e os costumes. Essa pode ser a única maneira de a Apple ter ‘dois pássaros na mão’.

E ainda mais: devido à forma como o mecanismo é implementado, a Apple não precisa ver os dados reais do usuário. A foto do usuário é convertida em um hash [assinatura digital]. Esse hash é comparado aos hashes de imagens armazenadas em um banco de dados de fotos ‘manjadas’ – mantido pelo FBI em um servidor. A Apple, portanto, não verá o conteúdo das imagens. Só saberá se há uma correspondência entre os hashes do telefone e dos dados do servidor.

Fluxo de trabalho do monitoramento de imagens suspeitas nos produtos Apple. As assinaturas das imagens no celular do usuário são comparadas com as assinaturas das imagens de um banco de dados de referência. Se houver correspondência a Apple avalia o material e, se for o caso, encaminha às autoridades competentes. Gráfico: Vox Leone.

Dessa forma, em suas campanhas de marketing ela ainda poderá alegar que respeita a privacidade do usuário. E se esse mecanismo for usado para qualquer outra coisa, eles sempre podem alegar que estão simplesmente cumprindo as regulamentações locais e que eles próprios não censuram nem olham os dados nos telefones de seus usuários.

Infelizmente, devido à natureza intrinsecamente técnica do problema, acredito que o público geral não será capaz notar essas maquinações [ou mesmo se importar] e continuará a usar os produtos da Apple normalmente. E certamente veremos, durante o próximo evento público da Apple, Tim Cook, o CEO, anunciando triunfantemente alguns recursos de melhoria da privacidade no iOS, como a proteção dos dados pessoais contra rastreamento entre aplicativos ou oferecendo conexão anônima semelhante a VPN para Safari ou Apple Mail. Tudo isso enquanto mantém um backdoor instalado no seu telefone, sobre o qual você nada pode fazer.

É doloroso ver a Apple dando um passo em uma direção tão perigosa. Só posso esperar que a reação causada pela voz estridente da minoria faça a Apple reconsiderar, e talvez mudar a implementação em versões futuras do iOS.

O Zoom e o Voyeurismo Corporativo

Fatos assim não são mais novidade, mas o Zoom vai pagar US$ 85 milhões – aos advogados de uma ação coletiva e aos usuários representados – por mentir sobre criptografia de ponta a ponta e por fornecer dados do usuário ao Facebook e ao Google sem consentimento. O acordo proposto daria aos usuários reclamantes US$ 15 a US$ 25 cada e foi apresentado no último sábado (31/07) no Tribunal Distrital dos Estados Unidos para o Distrito Norte da Califórnia.

Imagem: iStock

Isso aconteceu nove meses depois que o Zoom concordou com um ajustamento de conduta que incluía melhorias de segurança e uma “proibição de declarações falsas sobre privacidade”, em um acordo com a Federal Trade Commission – embora o acordo não inclua compensação para os usuários.

Está correto quem disser que isso é estupro. Sinto-me tão vulnerável em meio aos meus dispositivos como me sentiria se saísse para caminhar depois da meia-noite, pelado, por uma rua escura de qualquer periferia. Eu posso dizer também que o que fazem conosco não é diferente de “stalkear”.

Estar sujeito ao voyeurismo das corporações me faz sentir miserável. Se fosse [apenas] meu governo nacional – legítimo – fazendo isso na suposta intenção de resguardar minha segurança, seria possível começar a entender. Mas saber que essa coleta de dados está sendo realizada por milhares de empresas e indivíduos pelo mudo afora, com o objetivo de nos mercantilizar e desumanizar é inaceitável, e nos torna todos vítimas.

O objetivo final de toda coleta de dados é sempre a exclusão de pessoas [do trabalho, do transporte aéreo, das oportunidades, do crédito, etc]. Os dados do Zoom são valiosos para o Facebook e o Google, não apenas por seu IP. Não apenas pelas conversas íntimas e segredos empresariais. Como consta do processo legal, o material também contém consultas médicas remotas e muitos outros detalhes das vidas privadas dos usuários.

Isso é um tipo de voyeurismo contínuo. Seria um pesadelo na vida real. Quando você é perseguido fisicamente na vida real, você ainda é capaz de esboçar alguma reação e tomar alguma providência legal. Mas, com o estupro de dados não há como impedir, ou mesmo saber quem está te estuprando – ou até que ponto sua vida está sendo destruída.

O teatro das multas

O voyeurismo é geralmente definido como um distúrbio psico-sexual [criminalizado]. Mas quantas pessoas se matam ou experimentam a ruína financeira por causa do voyeurismo corporativo facilitado pelo estupro de dados? Nos Estados Unidos, as corporações têm personalidade. É isso que lhes dá o direito de financiar eleições [ver Citizens United]. Portanto, se as empresas são pessoas, por que não são acusadas também de comportamento criminoso?

Benjamin Lawsky é o papa das leis de segurança cibernética de Nova York, com brilhante passagem pela Superintendência de Serviços Financeiros do governo estadual. Mesmo sendo um regulador experiente, ele nunca acreditou em multas. Segundo sua lógica, multar empresas parece ser um exercício em futilidade. Ele afirma que “as corporações são apenas uma abstração jurídica. É preciso impedir a real má conduta individual dentro das empresas. As pessoas de carne e osso têm que ser responsabilizadas. ”

O comportamento negligente intencional precisa ser criminalizado [quando um hospital ou empresa de energia é hackeado, pessoas podem morrer], se quisermos de fato combater os problemas de cyber-segurança. Para o direito romano, esse é um problema teórico não trivial, uma vez que, no nosso ordenamento jurídico, a negligência é um elemento da culpa e não do dolo [um amigo jurista me alerta sobre a figura do “dolo eventual” no direito brasileiro – obrigado, Dr. Celso]. Já na Common Law [nos EUA] existe a figura da “gross negligence”, que poderia talvez ser aplicada nesses casos. De qualquer forma, é um abacaxi conceitual para um jurista descascar.

Performance sofrível

Outro dia, o governo dos Estados Unidos divulgou um boletim de avaliação de segurança cibernética feito por uma agência governamental [o Departamento de Segurança Interna – Department of Homeland Security].
A maior parte do governo americano foi graduada com nota D [Neste ponto, realmente não quero sequer pensar a respeito do estado de coisas no Brasil].

O próprio DHS, que é o regulador de segurança cibernética dos EUA, também obteve uma classificação ruim. E eis aqui outra dificuldade com multas e investigações regulatórias no campo da informação: as empresas devem seguir o exemplo do governo, mas se o governo tem uma postura de segurança pior do que o setor privado, de onde vem a moral para julgar o setor privado?

O governo precisa seguir suas próprias leis e dar o exemplo. Se o governo continuar a falhar na cibernética, o setor privado não vai cooperar para resolver o problema, pois verá essa cooperação como uma ameaça potencial à sua própria segurança. Por que você deixaria um governo inepto, com limitado conhecimento tecnológico, espiar por trás de sua cortina? Isso cria todo um espectro de vulnerabilidades estruturais.

Portanto, esses passos em falso dos gigantes da Internet têm que ser tipificados como atos criminosos e não apenas passíveis de multa – porque as agências reguladoras simplesmente não têm como impedi-los. Isso está destruindo o tecido da sociedade, criando divisões e disparidades econômicas. Como fazer para enfrentar o problema será um questionamento muito válido no contexto das próximas eleições presidenciais.

Fugindo da Internet Comum

Devo primeiro definir meus termos. Usarei a expressão “Internet comum” para distinguir a nossa velha conhecida “rede mundial de computadores” das redes alternativas, que tecnicamente são chamadas de redes de sobreposição de Internet [‘overlay networks’] – algumas das quais são comumente rotuladas como “dark nets“. A maioria das pessoas hoje em dia se refere à Internet comum como “a web”, embora o significado desse termo tenha mudado ao longo dos anos.

Imagem: iStock

Originalmente, a web consistia apenas dos sites da Internet cujos URLs começavam com “www”. Agora, para a maioria das pessoas, a web significa toda a Internet. Costumo usar a expressão “mainstream Internet” para me referir aos sites mais conhecidos e movimentadas na Internet comum, especialmente os sites dos gigantes da mídia social como Facebook, Twitter e Reddit.

Há um indicador recente detectado nos países avançados: muitas pessoas estão decidindo dar uma pausa na Internet comum ou, pelo menos, diminuir o tempo dedicado às interações online. Muitas dessas pessoas estão procurando [e muitas vezes encontrando] alternativas para as principais mídias sociais e sites corporativos em geral. Uma dessas alternativas é a rede descentralizada Diaspora – também chamada “rede federada” [link para um servidor Diáspora em português]. Alguns estão indo ainda mais longe, distanciando-se até mesmo do protocolo de hipertexto [HTTP] e gravitando em direção a protocolos de rede mais amigáveis ​​e de ritmo mais lento, como Gopher e Gemini.

Quanto aos motivos, alguns reclamam que os usuários da Internet têm se mostrado cada vez mais intolerantes e mesquinhos desde a década de 1990. Outros desejam dar uma pausa nas redes sociais mais propensas a criar dependência. Alguns consideram que a Internet como um todo aumenta o volume de distração que os leva à procrastinação. Muitos estão incomodados com o comercialismo galopante que suplantou algo que foi concebido para facilitar a transferência de informações úteis e promover o crescimento do conhecimento.

Grande parte está simplesmente cansada ​​de ser rastreada e espionada. Milhões desses usuários querem recuperar a capacidade de falar livremente, algo que foi tirado deles por políticas corporativas e governamentais que limitam os tipos de conteúdo que podem ser postados nas redes sociais.

Não acho, porém, que o desencanto dos usuários com grande parte da Internet seja uma nova tendência, nem vejo uma migração em massa ocorrendo tão cedo. Mas, dados os aspectos cada vez mais desagradáveis ​​da mídia social convencional, acredito que o desencanto é agora particularmente pronunciado.

À medida que a Internet comum se torna mais centralizada, a emergência de redes alternativas atraindo consistentemente mais usuários tem o efeito oposto. Dessa forma, a Internet está se tornando mais centralizada em uma dimensão e mais distribuída em outra – ao mesmo tempo. Isso oferece oportunidades para aqueles que estão cientes desse fenômeno e desejam aproveitá-lo. Ao mesmo tempo, aqueles que estão alheios ficam cada vez mais encurralados nos jardins murados franqueados pelo Facebook, Google e outras corporações gigantes.

Talvez isso seja a evolução inevitável de uma tecnologia como a Internet, que oferece uma interface ilimitada, possibilitada por um número astronômico de protocolos de comunicação e endereços de rede. Talvez a Internet tenha se tornado a ‘fronteira final’ que há 60 anos pensávamos que o espaço seria.

Um tipo diferente de site

Na década de 1970, os varejistas americanos descobriram que adolescentes indisciplinados podiam ser expulsos de suas lojas sem alienar os clientes adultos. O método que eles usaram foi tocar música clássica e ‘muzak‘. Adolescentes rebeldes naturalmente achavam que a música clássica era “música de gente velha” e mostravam sua desaprovação abandonando os estabelecimentos que a tocavam – para a alegria dos proprietários. Outra prática era colocar iluminação rosa suave, especialmente em banheiros. Supostamente, isso tornava a acne dos adolescentes mais pronunciada, fazendo com que eles se sentissem desconfortáveis ​​e com vontade de ir embora.

Gigantes da mídia social como Facebook, YouTube, TikTok e Pinterest sabem que – como mariposas pela chama – a grande maioria dos usuários da Internet é atraída por sites chamativos, repletos de imagens, animações e vídeos de qualidade variada [e, o melhor de tudo, grátis]. Exatamente por esse motivo, alguns geeks descontentes criaram blogs e sites não comerciais que não possuem nenhuma dessas miçangas e espelhos. Eles querem que seus sites sejam menos atraentes para os usuários mais extrovertidos, menos intelectuais, como também para os assediadores de qualquer um que exiba o menor vestígio de individualidade ou pensamento original [trolls]. Muitos dos que criaram sites em redes alternativas também querem evitar a invasão de empreendimentos comerciais que acabem por atrair esses usuários ‘indesejáveis’. Outros criadores querem apenas sites simples e eficientes. Esses não estão tão preocupados com quem os frequenta.

Usuários avançados e mais tecnologicamente capazes estão preferindo redes descentralizadas e distribuídas (diagramas ao centro e à direita) para sua presença na Internet. Essas redes propiciam maior controle e privacidade, uma vez que a comunicação entre os nós (membros) não precisa passar por um centro. As redes sociais como Facebook e Instagram adotam uma topologia rigidamente centralizada, onde todas as interações passam pelo servidor central (à esquerda).

Aqueles que optam por filtrar os indesejáveis ​​geralmente seguem uma ou mais das abordagens citadas acima. Alguns criam sites baseados apenas em texto, para afugentar aqueles usuários que são facilmente atraídos pelo brilho fútil. Alguns desses administradores de site consideram um certo nível de dificuldade na interface gráfica como algo desejável. Eles querem que os “normies” com déficit de atenção nem sequer tentem aprender a usar seus sites. A atitude extrema que esses criadores adotam é isolar-se da multidão convencional, mudando para redes alternativas que só podem ser acessadas por meio de software esotérico, como o TOR.

Pessoalmente, dada a dificuldade de atrair usuários para qualquer novo site ou rede, não vejo necessidade de desencorajar ativamente os recém-chegados. Aqui ninguém é considerado menos desejável a priori. Acredito que fornecer uma plataforma que incentive a liberdade de expressão é mais importante do que se proteger de alguém que possa discordar ou ser rude.

Por outro lado, não posso criticar um desenvolvedor por querer criar uma plataforma para pessoas afins. De fato, eu acho que esse problema geralmente se resolve sozinho. Posso entender o ponto de vista daqueles que temem que o site que eles construiram com carinho – e aprenderam a amar – acabe se tornando mais um paraíso para defensores do voto impresso e negacionistas da pandemia.

A linha que adotei com o Vox Leone foi apenas criar um site simples e eficiente. Todos são convidados a ler e comentar como quiserem (sempre mantendo a civilidade, please). O nosso fórum está aberto a todos. Os únicos comentários ou postagens que já removi foram aqueles que eram completamente fora do tópico ou ininteligíveis. Geralmente, escrever tão diplomaticamente quanto sou capaz (embora muitas vezes eu falhe) parece funcionar para que tenhamos aqui um ambiente civil e criativo, frequentado por pessoas inteligentes e cordatas – apesar de muitos terem opiniões divergentes das minhas. Eu não me importo com discordâncias. Comentários contrários de pessoas bem informadas geralmente são esclarecedores.

Morte à Economia de Vigilância!

Neste exato momento, enquanto você lê este post, algoritmos estão tomando decisões sobre sua vida, com base em seus dados, sem o seu conhecimento e sem o seu consentimento. Algoritmos que muitas vezes não foram testados completamente, muito menos auditados periodicamente. Talvez você seja um dos milhões de negros americanos visados ​​pela Cambridge Analytica na tentativa de impedi-los de votar nas eleições de 2016. Talvez tenham negado a você um empréstimo, um emprego ou um apartamento recentemente.

Imagem: iStock

Se isso aconteceu, é quase certo que seus dados tenham algo a ver com isso. Esses dados pessoais na maioria das vezes são imprecisos, mas você não pode corrigi-los porque não tem acesso a eles. Você pode perder seu emprego devido a um algoritmo com defeito. E como disse o Cardeal Richelieu, “dê-me seis linhas escritas pelo mais honesto dos homens e eu encontarei nelas um motivo para mandá-lo para a forca”.

À medida que as empresas de tecnologia moldam nossas percepções, o preconceito e a discriminação – tão miseravelmente humanos – são incorporados naturalmente a seus produtos e serviços em vários níveis e de várias formas.

A economia de vigilância afronta a igualdade e a justiça. Você e seu vizinho não são mais tratados como cidadãos iguais. Você não tem oportunidades iguais a ele porque é tratado de maneira diferente com base em seus dados. Os anúncios e o conteúdo a que você tem acesso, os preços que paga pelos mesmos serviços e até o tempo que você espera no telefone para falar com o serviço de atendimento ao cliente dependem dos seus dados e de seu “score”.

Somos muito mais competentes para coletar dados pessoais do que para mantê-los seguros. Os dados pessoais são uma ameaça séria e não deveríamos coletá-los se não somos capazes de mantê-los seguros. Usando dados de localização de smartphones adquiridos de um “corretor de dados”, é possível rastrear oficiais militares com acesso a dados sigilosos, advogados poderosos e seus clientes, e até mesmo o presidente de um país (através do telefone de alguém que se considera e é pago para ser um agente do serviço secreto).

Nossa atual economia de dados é baseada na coleta de tantos dados pessoais quanto possível, armazenando-os indefinidamente e vendendo-os a quem pagar mais. Ter tantos dados confidenciais circulando livremente é, no mínimo, imprudente. Ao projetar nossa economia em torno da vigilância, estamos construindo uma perigosa estrutura de controle social, estrutura essa que está em conflito aberto com a liberdade. Na sociedade de vigilância que estamos construindo, não existe nada invisível ao radar. Não deveria ser nossa responsabilidade, como querem as grandes companhias, optar pela não coleta de dados nos navegadores. A não-coleta deveria vir como padrão em todo e qualquer software dedicado à comunicação na Internet.

É hora de acabar com a economia de vigilância. Não permitimos a compra e venda de votos (porque isso prejudica a democracia). Por que então devemos permitir a comercialização de dados pessoais? Não devemos permitir anúncios personalizados. Se os anúncios fossem transparentes sobre o que sabem sobre nós, talvez não fôssemos tão indiferentes ao modo como somos direcionados. As vantagens dos anúncios personalizados para os usuários são mínimas, na melhor das hipóteses, e podem ser alcançadas por meio de publicidade contextualizada. Por exemplo, exibir anúncios de equipamentos esportivos apenas quando o usuário procura equipamentos esportivos.

Precisamos ter certeza de que os algoritmos que afetam nossas vidas são confiáveis. Precisamos saber como os algoritmos estão nos julgando e com base em quais dados. Devemos implementar deveres de depositário fiel de dados: qualquer pessoa que deseje coletar ou gerenciar seus dados pessoais deve se comprometer legalmente a usá-los apenas em seu benefício e nunca contra você. Quem gerencia dados pessoais de terceiros é responsável ​​por eles. Temos que melhorar muito nossos padrões de segurança cibernética, através de lei. E é necessário também excluir periodicamente os dados de que não precisamos mais.

Enquanto a solução definitiva não aparece, escolha produtos compatíveis com a privacidade. Por exemplo, ao invés de usar a pesquisa do Google, use DuckDuckGo; em vez de usar o WhatsApp, use o Telegram; no lugar do Gmail, use ProtonMail. Essas escolhas simples podem ter um impacto muito significativo em nossas vidas. Ao escolher produtos éticos sinalizamos às empresas de Internet que nos preocupamos com a nossa privacidade.

Acabar com a economia de dados pode parecer uma proposta radical. Contudo, é ainda mais extremo ter um modelo de negócios cuja existência depende da violação de nosso direito à privacidade em grande escala.

Na verdade, isso é inaceitável.

Facebook Pede Que Usuários do iOS Permitam Rastreamento (para permanecer grátis)

Em uma tentativa de combater o novo recurso de privacidade App Tracking Transparency da Apple, o Facebook está insistindo para que os usuários continuem a permitir que o gigante da tecnologia rastreie o uso do aplicativo, alertando que essa é a única maneira de manter os serviços “gratuitos”.

O site MacRumors dá conta de que o Facebook e o Instagram começaram a enviar mensagens notificando usuários do iOS 14.5 de que eles devem obrigatoriamente ativar o rastreamento no dispositivo, se quiserem ajudar a manter o Facebook e o Instagram “gratuitos”.

A Apple lançou recentemente seu novo recurso de privacidade, a ATT – App Tracking Transparency [Transparência no Rastreamento de Applicativo], como parte da atualização mais recente do iOS 14.5 para iPhones e iPads. A atualização agora exigirá que os aplicativos mostrem aos usuários um prompt solicitando seu consentimento para rastreá-los em outros aplicativos e sites.

Uma grande parte do modelo de negócios do Facebook é baseada na venda de anúncios em seus aplicativos e serviços. Os clientes pagantes podem usar as ferramentas de publicidade fornecidas pelo Facebook para alcançar pessoas ou obter dados demográficos específicos. No entanto, com o lançamento do iOS 14.5, os usuários podem optar por cancelar o rastreamento de suas atividades. Consequentemente, o Facebook terá acesso a menos dados para usar na segmentação de seus anúncios personalizados.

A atualização do iOS foi lançada ao público na semana passada e, desde então, mais aplicativos estão começando a exibir o prompt da ATT aos usuários. Um usuário do Twitter, Ashkan Soltani, foi o primeiro a observar que o Facebook atualizou seu prompt para incluir um aviso dizendo “Ajude a manter o Facebook gratuito”. Isso muda radicalmente a posição clássica do Facebook (“sempre será gratuito”). Muitos observadores na Internet vêem o movimento como uma “tática do medo” por parte da rede social. Ao mesmo tempo, fornece uma indicação indireta de que a política de privacidade da Apple é de fato a mais robusta do mercado, já que incomoda tanto o conglomerado de Zuckerberg.

Em uma postagem de blog atualizada recentemente, o Facebook chama o prompt de “tela educacional” que “ajudará as pessoas a tomar uma decisão informada sobre como suas informações são usadas”. O Instagram, que é propriedade do Facebook, também mostrará um aviso semelhante aos usuários.

A postagem do blog do Facebook diz:

Como a Apple afirmou que é permitido fornecer contexto adicional [aos usuários], mostraremos uma tela educacional antes de apresentar a solicitação da Apple, para ajudar as pessoas a tomar uma decisão informada sobre como suas informações serão usadas. Essa tela fornece detalhes adicionais sobre como usamos os dados para anúncios personalizados, bem como as maneiras como limitamos o uso de atividades que outros aplicativos e sites nos enviam se as pessoas não ativarem esta configuração do dispositivo. Nossa tela também permite que as pessoas saibam que estão vendo o prompt da Apple devido aos requisitos da Apple para iOS 14.5.

O Facebook planeja lançar o prompt com a notificação para mais usuários nos próximos dias e semanas.

Dispositivos Wi-Fi em Breve se Tornarão Sensores de Objetos

Em aproximadamente três anos, a especificação Wi-Fi está programada para sofrer uma atualização que transformará dispositivos sem fio em sensores capazes de coletar dados sobre as pessoas e os objetos banhados por seus sinais.

“Quando a 802.11bf estiver finalizada e introduzida como padrão IEEE em setembro de 2024, o Wi-Fi deixará de ser um padrão somente de comunicação e legitimamente se tornará um protocolo de sensoriamento completo”, explica Francesco Restuccia, Professor Assistente de Engenharia e Computação na Northeastern University, em um artigo resumindo o estado do projeto Sensing do Wi-Fi (SENS), atualmente sendo desenvolvido pelo Instituto de Engenheiros Eletricistas e Eletrônicos (IEEE).

Perturbações no campo eletromagnético tornam pessoas e objetos visiveis através de paredes na nova especificação Wi-Fi

O SENS é previsto como uma maneira de fazer dispositivos Wi-Fi usarem diferenças de interferência de sinal para medir o intervalo, velocidade, direção, movimento, presença e proximidade de pessoas e objetos.

*Segurança e controle de privacidade ainda estão sendo avaliados, o que significa que provavelmente não haverá nada disso [o que me tira o sono à noite!]

Mais no The Register (em Inglês)

Funcionalidade de VPN usando Túnel SSH

Este não é um blog novidadeiro ou de breaking news. Também não é um site de dicas. Meu compromisso é ter um canto na Web para discussão, em formato longo, de assuntos que não são contemplados em outras mídias e sites de língua portuguesa, mas que são importantes no debate internacional no campo da Tecnologia da Informação (de acordo com o que eu vejo). Assim, sempre haverá lugar aqui para sugestão de algumas técnicas rápidas e diretas, principalmente quando ligadas à Segurança e Privacidade Se este texto parece uma dica, que assim seja.

Alguns recursos na Internet podem ser acessados apenas a partir de clientes [*clientes são programas que rodam em seu computador local] com endereços IP específicos. Por exemplo, suponha que você queira baixar um documento da sua universidade publicado em uma revista científica. Nesse caso, normalmente você precisa se conectar ao site da revista a partir de um computador com um endereço IP que pertença à sua universidade. Se você estiver trabalhando em casa, é possível se conectar à VPN da universidade, de forma a que seu endereço IP de casa seja disfarçado como endereço IP do campus.

Contudo, nem sempre é possível usar a VPN fornecida pela sua universidade. Por exemplo, algumas VPNs requerem um software cliente especial, que pode não suportar certos sistemas operacionais, como o Linux. Existiria então alguma solução alternativa simples para VPN? A resposta é sim, se você puder estabelecer uma conexão SSH para um servidor com o endereço IP de sua universidade – por exemplo, para a estação de trabalho em execução no seu departamento. Essa conexão é chamada Túnel SSH e é implementada através de protoclos como o Socks.

Socks Proxy

Para contornar/resolver o problema do acesso à revista científica , podemos executar o seguinte comando, que cria uma listagem do servidor Socks na porta 12345 do seu localhost.


A opção -D especifica um encaminhamento “dinâmico” de porta em nível de aplicativo local. Isso funciona alocando opcionalmente um soquete para ouvir a porta no lado local. Sempre que uma conexão for feita a esta porta, a conexão é encaminhada sobre o canal seguro e o protocolo do aplicativo é então usado para determinar onde se conectar a partir da máquina remota. Atualmente, os protocolos Socks4 e Socks5 são suportados; o SSH atuará como um servidor Socks.

Se você quiser pará-lo, basta pressionar [Control] – [C]

Firefox via Socks proxy

A próxima etapa é a configuração de proxy no seu navegador. Usarei o Firefox como exemplo. A configuração está em preferências> Configuração de rede> Configurações …

Configuração de um Socks proxy no Firefox

Depois de fazer isso, você pode logar, procurar os papers que precisa e começar a baixá-los.

Para testar essa funcionalidade VPN improvisada, pesquise “Qual é o meu IP” no duckduckgo.com (ou Google) usando o navegador com proxy. Você vai reparar que ele exibe agora o IP de ssh_remote_host_ip em vez do IP de sua máquina local.

Ransomware: Cada Vez Pior

Poucas coisas provocam um calafrio tão desconfortável quanto logar em um computador e visualizar uma mensagem dando conta de que todos os seus arquivos e dados estão bloqueados e indisponíveis para acessar. No entanto, como a sociedade depende cada vez mais da tecnologia digital, esse é um cenário cada vez mais comum. Ransomware, uma aplicação que criptografa os dados para que os cibercriminosos possam extrair um pagamento pelo seu retorno seguro, tornou-se cada vez mais comum – e caro. Um relatório de 2019 da empresa de segurança Emisoft projetou o custo anual de ransomware em mais de US $ 7,5 bilhões, apenas nos EUA.

Uma pop up de ransomware

“Indivíduos, empresas, hospitais, universidades e governo, todos já caíram vítimas de ataques”, diz Chris Hinkley, chefe da equipe de pesquisa da unidade de resistência a ameaças (TRU) da firma de segurança Armour. Em um cenário de pior caso, os resgates exigidos podem ser da ordem de dezenas de milhões de dólares, capazes de fechar inteiramente as operações de uma organização. Ransomware já forçou hospitais a redirecionar pacientes a outras instalações, interrompeu serviços de emergência e destruiu negócios.

O problema só vai piorar, apesar do desenvolvimento de novas e mais avançadas maneiras de combatê-lo, incluindo o uso de análise comportamental e inteligência artificial. “As Cybergangs usam diferentes algoritmos criptográficos e distribuem software notavelmente sofisticado e difícil de detectar”, diz Hinkley. “Hoje, quase não há barreiras para a entrada no negócio de ramsonware, e o dano infligido é enorme”.

Na íntegra em Comunication of the ACM (em inglês).

Tesla Motors Mostra um Caminho para a Privacidade Online

Em meio às intrusões de privacidade da vida digital moderna, poucas são tão onipresentes e alarmantes quanto as perpetradas pelos profissionais de marketing. A economia de toda uma indústria é construída com ferramentas obtidas nos cantos sombrios da Internet e nos espreita com olhos de aço enquanto nos envolvemos com informação, produtos, amigos e até amantes online, coletando dados em todos os lugares nos quais nossos celulares e navegadores ousarem estar.

Photo by Craig Adderley on Pexels.com

Esse modelo de marketing digital – desenvolvido há três décadas e premissado na ideia de que é ok para terceiros reunir nossos dados privados e usá-los de qualquer maneira que quiserem – vai crescer ao status de uma indústria de US $ 77 bilhões nos EUA este ano, de acordo com a Research Forrester.

Nuvens de tempestade estão se formando em torno do setor, no entanto, e há novas questões sendo levantadas sobre a viabilidade da coleta de dados sub-reptícios como modelo de negócios sustentável. Dois fatores são tipicamente citados: a) os reguladores na Europa já começaram, e b) aqueles nos EUA também estão prontos para começar a cercar as mais intrusivas dessas práticas de marketing. Adicionalmente, o crescimento da Internet móvel e a dependência em aplicativos em vez de navegadores (para 85% da nossa atividade on-line), tornaram mais difícil coletar dados do usuário.

E há, então, a Tesla Motors e seu modelo de marketing avesso à publicidade, que não usa dados de terceiros para aumentar a conscientização e o interesse por sua marca, impulsionar o desejo por seus produtos ou estimular ações por seus clientes. Em vez disso, a montadora elétrica depende do “cultural branding” para fazer o trabalho pesado de marketing que levou a marca ao topo do mercado de veículos elétricos. E embora a Tesla não seja a única marca se engajando na cultura digital da multidão e evitando a coleta de dados de terceiros, seu sucesso está causando a maior consternação dentro das fileiras dos marqueteiros de intrusão.

Os formuladores de políticas na Europa e nos EUA, procurando responder à preocupação do setor de que a regulamentação da privacidade sufocaria o marketing digital, deveriam observar o recente sucesso da Tesla no marketing de seu modelo 3. O veículo, que pretende ser um primo do luxuoso Tesla S para as massas , atraiu 500.000 clientes nas semanas após sua apresentação em 2016. Cada um daqueles clientes fez um depósito de US $ 1.000 para garantir um lugar na fila para adquirir um carro em algum momento nos próximos 24 meses.

Para atingir este triunfo de marketing, a Tesla não comprou anúncios digitais de mercados on-line que usam dados de terceiros para identificar clientes em potencial. Ela não se intrometeu, de nenhuma forma aparente, na privacidade de seus potenciais clientes, coletando sub-repticiamente informações sobre suas atividades on-line. O que ela fez foi demonstrar persuasivamente que as marcas podem alcançar um grande sucesso sem usar métodos abusivos ao cliente na coleta de dados.

Modelos de marketing baseados em dados de terceiros, utilizam informações detalhadas sobre clientes em potencial para direcionar a sua futura publicidade online. Esse conceito de mercado foi aprimorado pelo Google em 2008, quando comprou a DoubleClick e combinou a tecnologia de anúncios da empresa com seu próprio conhecimento do comportamento online do consumidor. Outros grandes “players”, como o OpenX, o Microsoft AD Exchange e o Netketplace AppNEXUS, também usam informações profundas e temporâneas sobre as atividades online dos usuários para vender anúncios digitais para marcas. O Facebook também adaptou esse modelo dentro de seu ambiente cativo. Neste momento, o Google e o Facebook controlam 64% dos dólares publicitários digitais gastos nos EUA.

Em contraste, o modelo de cultura digital das multidões não requer resposta a anúncios on-line em forma de click. Ele absorve energia não do acúmulo de dados digitais privados, mas sim da autenticidade das informações recebidas de membros confiáveis ​​da multidão digital, em forma de cultura (como este blog).

Uma marca que atinge sucesso dessa maneira tem o potencial para criar um fenômeno cultural poderoso e democrático e tem também o direito adicional de se gabar por ser um cidadão corporativo responsável que não viola a privacidade do cliente.