Legalmente, FBI

O site Property of the People, graças a um pedido de Direito à Informação, publicou nos Estados Unidos, no final de novembro, uma lista que mostra quais dados os órgãos policiais podem obter – legalmente – de qual aplicativo de mensagens. O documento com o título “Acesso legal” data de 7 de janeiro de 2021.

Imagem: Pexels.com

O documento não contém nenhuma notícia interessante, mas fornece uma boa visão geral das diferenças entre WhatsApp, Signal, Threema & Cia. no relacionamento com o que os americanos chamam de Agências de Aplicação da Lei. Um total de nove aplicativos são listados – com a ausência do Meta Messenger. Graças ao uso generalizado de criptografia ponta a ponta, a maioria dos agentes do FBI e outras instituições policiais não têm acesso aos conteúdos, mas há exceções.

As informações mais importantes do documento, resumidas:

IMessage da Apple: Os dados básicos do usuário podem ser solicitados com uma intimação (“Subpoena“), e os dados sobre o uso nos últimos 25 dias também podem ser solicitados de acordo com outras leis. Se a “pessoa de interesse” for usuária da iCloud da Apple, as mensagens podem ser acessadas, bastando para isso um mandado de busca e apreensão.

Line: Outra grande fonte de informação para os agentes da lei, especialmente informações pessoais do usuário e informação de suporte ao cliente. Com um mandado de busca, o conteúdo das mensagens pode ser obtido, se a pessoa alvo não ativou a criptografia ponta a ponta. O provedor não libera apenas mídia enviada.

Signal: Este aplicativo libera apenas a data e a hora da última utilização. A criptografia de ponta a ponta não vem como configuração padrão, e precisa ser ativada pelo usuário.

Telegram: Em investigações de terrorismo este provedor poderá fornecer endereços IP e números de telefone às autoridades responsáveis – nada mais. Aqui também a criptografia precisa ser ativada pelo usuário.

Threema: O provedor suíço apenas fornece um número de telefone e o hash [um número hexadecimal] do endereço de e-mail, se isso tiver sido especificado no mandado. Além disso, pode fornecer também a chave de criptografia pública e um token para mensagens “push”, bem como os dados de configuração da conta e o último login.

Viber: Aqui há apenas dados para registro (incluindo o endereço IP usado) e uma linha do tempo das mensagens enviadas e recebidas – mas nenhum conteúdo.

WeChat: O provedor chinês só fornece dados sobre contas de pessoas não chinesas, incluindo nomes, números de telefone, endereços de e-mail e endereços IP.

Clique/toque para uma versão maior. Imagem: Property of the People

WhatsApp: Dependendo da jurisdição da solicitação de fornecimento de dados, o mensageiro mais popular do mundo pode fornecer desde dados básicos do usuário, informações sobre contas bloqueadas, catálogos de endereços e possivelmente até a origem e o destino de cada mensagem. Se a “pessoa de interesse” usa um iPhone e ativou backups no iCloud, mais dados poderão ser obtidos, incluindo o conteúdo das mensagens.

Wickr: Este app não fornece o conteúdo das mensagens, mas, fora isso, disponibiliza uma série de dados incomuns. É possível determinar quando as contas foram configuradas, em quantos dispositivos uma conta foi usada e quando foi a última conexão. O número de mensagens, bem como o número de contas ligadas a elas [mas não sua identidade]. A imagem de avatar também poderá ser fornecida, bem como uma quantidade limitada de informações sobre as configurações do dispositivo.

Criptografia de ponta a ponta

A lista demonstra mais uma vez, para a alegria dos evangelistas da segurança, o quão difundida está a criptografia ponta a ponta [end-to-end encryption – E2E] e como é difícil para os policiais – nos EUA – obterem o conteúdo das contas dos usuários. A criptografia E2E introduzida recentemente para backups do WhatsApp deve restringir ainda mais o acesso dos órgãos policiais.

No entanto, o conteúdo da comunicação rigorosamente não é protegido em nenhum deles. A razão é que os provedores dos serviços estão espalhados por várias jurisdições, operando sob valores culturais diferentes. Por exemplo, o conteúdo do Telegram não é criptografado por padrão. Além disso, a lista trata apenas dos dados para os quais os investigadores dos EUA estão em contato direto com os provedores dos serviços.

O escândalo da NSA trouxe à mente o fato de que os serviços secretos têm muitas opções diferentes para seu trabalho. As revelações de Edward Snowden sobre as capacidades e procedimentos da NSA, no entanto, desempenharam um papel fundamental na ampla mudança em direção à criptografia de ponta a ponta como a que está disponível hoje em dia.

É no comportamento do usuário que o elo fraco da segurança está localizado. Mas isso é assunto para um outro post.

Sua impressão digital pode ser hackeada por R$ 10

A autenticação por impressão digital é, sem dúvida, uma alternativa conveniente para senhas e códigos PIN. Quem quer gastar tempo digitando uma longa sequência de números, letras e caracteres quando um simples toque é suficiente?

Imagem: pexels.com

Infelizmente, essa conveniência tem um custo. Porque, ao contrário de uma senha normal, sua impressão digital é pública – você deixa sua impressão digital nos corrimãos das escadas, na maçaneta da porta, nas portas dos táxis, telas do Smartphone iPhone, taças de vinho no seu restaurante preferido. e em muitos outros lugares.

Neste artigo, a equipe da empresa Kraken Security Labs demonstra como é fácil para os agentes mal-intencionados contornar esse método de login que está se tornando o favorito dos usuários.

Roubando a impressão digital

Para comprometer seu dispositivo, ou conta, não é preciso nem mesmo o acesso direto à sua impressão digital. Uma foto de uma superfície que você tocou (de uma mesa na biblioteca ao equipamento de sua academia de ginástica) é o suficiente.

Uma foto da impressão digital de uma vítima na tela do computador – Imagem: Kraken Labs

Com esta imagem disponível, uma hora de trabalho no Photoshop rende um negativo bem decente:

Imagem em negativo da foto anterior – Imagem: Kraken Labs

Em seguida, a imagem foi impressa em uma folha de acetato, usando uma impressora a laser – o toner cria na folha uma estrutura 3D da impressão digital.

A folha de acetato com a nossa nova impressão – Imagem: Kraken Labs

Na etapa final, adiciona-se um pouco de cola de madeira por cima da impressão para dar uma textura macia e vívida à impressão digital fake, para que ela possa ser usada em um scanner.

Construindo a impressão digital sintética – Imagem: Kraken Labs

Lançando o Ataque

De posse da impressão digital, tudo o que o agente precisa fazer é colocá-la no scanner.

A impressão digital fake funcionando em um MacBook Pro – Imagem: Kraken Labs

O laboratório foi capaz de reproduzir esse (conhecido) ataque na maioria dos dispositivos que foi disponibilizada para teste. Se este fosse um ataque real, o atacante teria acesso a uma vasta gama de informações confidenciais.

Protegendo-se do Ataque

Segundo Kraken Labs, uma impressão digital não deve ser considerada uma alternativa segura a uma senha forte. Esse método deixa suas informações – e, potencialmente, seus ativos digitais – vulneráveis ​​até mesmo ao menos sofisticado dos invasores.

Deve estar claro agora que, embora sua impressão digital seja exclusivamente sua, ela ainda pode ser explorada com relativa facilidade. Na melhor das hipóteses, você deve considerar usá-lo apenas como um elemento de autenticação de segundo fator (2FA).

Fonte: Kraken Security Labs

OnlyFans: ex-Empregados Mantinham Acesso às Informações de Usuários

Alguns ex-funcionários da equipe de suporte do OnlyFans ainda continuavam com acesso aos dados dos usuários – incluindo informações pessoais e financeiras confidenciais, mesmo depois de serem demitidos da empresa – usada por profissionais do sexo para vender nus e vídeos pornôs.

Photo by Valeria Boltneva from Pexels

De acordo com um ex-funcionário do OnlyFans – que pediu para permanecer anônimo por temer retaliação, alguns ex-funcionários ainda tinham acesso ao Zendesk, um software de atendimento ao cliente usado por muitas empresas, incluindo o OnlyFans, para rastrear e responder a tíquetes de suporte ao cliente, muito tempo depois de sair da empresa. OnlyFans usa o Zendesk para se relacionar tanto com os usuários que postam conteúdo quanto com os usuários pagantes, consumidores de conteúdo. A revista Motherboard conseguiu confirmar essas informações com mais de um ex-funcionário.

De acordo com a fonte e os usuários do OnlyFans que falaram com a Motherboard, dependendo do assunto para o qual o usuário abre o chamado de suporte, os tíquetes podem conter informações de cartão de crédito, carteiras de motorista, passaportes, nomes completos, endereços, extratos bancários, quanto eles ganharam ou gastaram no OnlyFans, selfies do serviço Know Your Customer (KYC), em que o performer fotografa uma carteira de identificação ao lado do rosto para verificação, além de formulários de licenciamento do material produzido.

Nossa fonte demonstrou à Motherboard como eles faziam para acessar as informações muito depois de terem parado de trabalhar para o OnlyFans.

Em profundidade em motherboard.vice.com

Thoughts.page: um Micro Blog para Ideias Rápidas

Em minhas interações diárias com a Internet geralmente frequento grupos de desenvolvedores de software, de veneráveis pesquisadores de segurança e de fundadores de startups. Não é surpresa que eu, portanto, às vezes tenha a sorte de conhecer coisas em primeira mão. Foi o que aconteceu na semana passada ao conhecer o thoughts.page, um site para ‘microblogging’ muito ágil e inovador.

Ilustração: Vox Leone

À primeira vista ele parece um blog com um tema gráfico muito simples, como os blogs de forma longa, comuns em serviços como Medium e Substack – assim como muitos no WordPress. Desfeita a primeira impressão visual, emerge então um site muito parecido com o Twitter.

Mas sem limites estritos de caracteres. Também sem títulos de postagens. Sem comentários, sem respostas nem @menções. Sem foto de perfil ou avatar. Sem notificações. Com interface apenas em inglês. Fácil de descobrir na plataforma. Fácil de se inscrever. Rápido para ler. Pensamentos controversos permitidos, mas protegidos pela própria arquitetura do sistema, tanto contra ataques dos haters quanto contra o abuso de bots e propaganda. Monetização não suportada. Sem algoritmo, sem cancelamentos.

Para coroar o inusitado, a rigor não é uma plataforma grátis. O preço proposto é de US$ 5 mensais para quem ganha mais de US$ 40,000 por ano [não sei como eles vão verificar – presumo que para os brasileiros será eternamente grátis]. Essa é a grande novidade do Thoughts, que se contrapõe à regra quase universal dos serviços “grátis”, que são oferecidos ao usuário em troca de seus dados comportamentais na rede – o que se tornou a fonte de todos os males na web.

Como há apenas a versão Web, para acessá-lo é necessário usar o “protocolo do dedo”, como nos primeiros dias da web: “aqui está o endereço dos meus status/pensamentos/sentimentos – digite em seu navegador e adicione aos seus favoritos”. Para divulgar o site é preciso propagar o link entre os seus contatos. Ou esperar que ele entre no índice do Google e outros.

No que diz respeito à segurança e privacidade, observo que, pelas suas características, ele é menos propenso a ‘stalking’ ou ‘bullying’ do que Twitter, Instagram, FB, etc. É uma forma de comunicação um-para-muitos sem as interações tóxicas.

Ilustração: Vox Leone

O fato de a plataforma não ter um feed RSS aumenta o nível de esforço necessário para seguir alguém. Mas tem suas compensações. Eu não uso o Twitter, mas há um punhado de pessoas que ocasionalmente checo usando o velho Firefox para ver sua página [que favoritei]. Isso tem a vantagem de manter o número de pessoas que eu sigo a um mínimo absoluto e limitar a frequência com que leio seus tweets, independentemente da frequência com que me lembro de verificar se elas disseram algo novo.

Difícil de descobrir

Com o Thoughts é mais difícil seguir um número muito grande de pessoas [mas esse parece ser o ponto!]. Depois de criado seu blog se torna um subdomínio da plataforma, como por exemplo, leone.thoughts.page. Na prática, não é diferente de visitar um site por meio de um item favorito do navegador [eu com certeza visitaria uma página de pensamentos de uma banda local, de um comediante ou qualquer outra pessoa que tivesse ideias interessantes]. O Twitter começou recentemente a desencorajar esse tipo de visualização passiva [sem login]. Apenas navegar para o perfil do Twitter de alguém [Ex: https://twitter.com/mr-nice-guy] agora resulta em um pop-up me pedindo para fazer o login, e tentar seguir qualquer link resulta em um pop-up semelhante que não pode ser fechado.

Isso pode representar uma oportunidade para esta nova plataforma. Os ventos da web estão para mudar, com a Web 2.0 mostrando sinais de fadiga. A princípio parece que sua configuração que não permite que as pessoas enviem mensagens ou sigam umas às outras (e na qual você não precisa usar seu nome verdadeiro) não pode ser usada para interações sociais. Mas em um segundo pensamento lembro que o mundo está repleto de comunicações unidirecionais [ou bi ou multi-unidirecionais] e portanto sempre haverá casos de uso computacionais para elas. Dois efeitos colaterais positivos dessas comunicações são que, no mínimo, esse esquema neutraliza as interações nocivas e o efeito “bolha de opinião”.

Ilustração: Vox Leone

Eu me pergunto se a falta de ferramentas de interação entre os pares fará com que os eventuais usuários do Thoughts tentem criar soluções alternativas para interagir de outras maneiras. Por exemplo, no início do Twitter as pessoas usavam RT e outras técnicas para divulgar e/ou responder a tweets, embora a própria plataforma não tivesse essas funções. Eu pessoalmente adoraria ver um concorrente para o Twitter [o que é a própria motivação deste post]. Será interessante observar.

Para um leitor, Thoughts desarticula a ideia de ir a um único site específico [como o Twitter], escolher um tópico e ver imediatamente nele um fluxo de pensamentos de muitas pessoas diferentes. Para um escritor, porém, acredito que um micro blog como esse pode ser combinado a um full blog WordPress para complementar e estender pensamentos iniciados nos grandes blogposts e criar uma retroalimentação positiva para ambos os sites.

Como tudo na vida, é preciso conhecer sua audiência. Quem é o público para seus pensamentos? Presumivelmente, não o seu círculo de amigos – que têm suas próprias vidas e não vão atualizar sua página várias vezes ao dia para te ver. As únicas possibilidades que vejo para quem pretende usar a plataforma como um fim em si mesmo são a) que nenhuma outra alma jamais chegue a ler seus escritos lá – caso em que você pode muito bem escrever suas ideias em um arquivo de texto em seu disco rígido, ou b) que atraia a atenção de um tipo que você prefere não receber: um seguidor obsessivo com assustadoramente muito tempo livre em suas mãos ou então enxames de robôs russos visando os vulneráveis e os propensos a compartilhar demais suas emoções.

Mas se você tem uma visão estratégica do que pretende atingir, como blogger ou no relacionamento com clientes, Thoughts parece ser uma grande ferramenta para complementar seu Blog ou para fazer backlinks para aumentar o pagerank de seu(s) site(s). Os seguidores do seu blog principal provavelmente sempre darão uma olhada em seu micro blog.

Ilustração: Vox Leone

E se você é do tipo social ou ‘early adopter’ também sabe que é sempre bom reservar seu nome ou marca em uma nova plataforma que surge [ok, não precisa me agradecer]. A propósito, criei uma conta, e meus pensamentos estão [ou estarão] em leone.thoughts.page [ainda testando]. Salve entre seus favoritos, please. 🙂

* * *

Termo de Isenção de Responsabilidade:

  • Não tenho nenhum tipo de relação com esse site/domínio. Conheci a ferramenta durante a exposição que seu fundador fez no site Hacker News.
  • É bem possível que em breve eu me arrependa de ter postado isto, se o serviço não decolar.
  • E como evangelista da Segurança digital, aproveito para avisar do risco sempre existente de ataques do tipo Cross-Site Scripting neste tipo de site [como é corriqueiro no FB, Twitter et al]. Sempre navegue com consciência.

Fugindo da Internet Comum

Devo primeiro definir meus termos. Usarei a expressão “Internet comum” para distinguir a nossa velha conhecida “rede mundial de computadores” das redes alternativas, que tecnicamente são chamadas de redes de sobreposição de Internet [‘overlay networks’] – algumas das quais são comumente rotuladas como “dark nets“. A maioria das pessoas hoje em dia se refere à Internet comum como “a web”, embora o significado desse termo tenha mudado ao longo dos anos.

Imagem: iStock

Originalmente, a web consistia apenas dos sites da Internet cujos URLs começavam com “www”. Agora, para a maioria das pessoas, a web significa toda a Internet. Costumo usar a expressão “mainstream Internet” para me referir aos sites mais conhecidos e movimentadas na Internet comum, especialmente os sites dos gigantes da mídia social como Facebook, Twitter e Reddit.

Há um indicador recente detectado nos países avançados: muitas pessoas estão decidindo dar uma pausa na Internet comum ou, pelo menos, diminuir o tempo dedicado às interações online. Muitas dessas pessoas estão procurando [e muitas vezes encontrando] alternativas para as principais mídias sociais e sites corporativos em geral. Uma dessas alternativas é a rede descentralizada Diaspora – também chamada “rede federada” [link para um servidor Diáspora em português]. Alguns estão indo ainda mais longe, distanciando-se até mesmo do protocolo de hipertexto [HTTP] e gravitando em direção a protocolos de rede mais amigáveis ​​e de ritmo mais lento, como Gopher e Gemini.

Quanto aos motivos, alguns reclamam que os usuários da Internet têm se mostrado cada vez mais intolerantes e mesquinhos desde a década de 1990. Outros desejam dar uma pausa nas redes sociais mais propensas a criar dependência. Alguns consideram que a Internet como um todo aumenta o volume de distração que os leva à procrastinação. Muitos estão incomodados com o comercialismo galopante que suplantou algo que foi concebido para facilitar a transferência de informações úteis e promover o crescimento do conhecimento.

Grande parte está simplesmente cansada ​​de ser rastreada e espionada. Milhões desses usuários querem recuperar a capacidade de falar livremente, algo que foi tirado deles por políticas corporativas e governamentais que limitam os tipos de conteúdo que podem ser postados nas redes sociais.

Não acho, porém, que o desencanto dos usuários com grande parte da Internet seja uma nova tendência, nem vejo uma migração em massa ocorrendo tão cedo. Mas, dados os aspectos cada vez mais desagradáveis ​​da mídia social convencional, acredito que o desencanto é agora particularmente pronunciado.

À medida que a Internet comum se torna mais centralizada, a emergência de redes alternativas atraindo consistentemente mais usuários tem o efeito oposto. Dessa forma, a Internet está se tornando mais centralizada em uma dimensão e mais distribuída em outra – ao mesmo tempo. Isso oferece oportunidades para aqueles que estão cientes desse fenômeno e desejam aproveitá-lo. Ao mesmo tempo, aqueles que estão alheios ficam cada vez mais encurralados nos jardins murados franqueados pelo Facebook, Google e outras corporações gigantes.

Talvez isso seja a evolução inevitável de uma tecnologia como a Internet, que oferece uma interface ilimitada, possibilitada por um número astronômico de protocolos de comunicação e endereços de rede. Talvez a Internet tenha se tornado a ‘fronteira final’ que há 60 anos pensávamos que o espaço seria.

Um tipo diferente de site

Na década de 1970, os varejistas americanos descobriram que adolescentes indisciplinados podiam ser expulsos de suas lojas sem alienar os clientes adultos. O método que eles usaram foi tocar música clássica e ‘muzak‘. Adolescentes rebeldes naturalmente achavam que a música clássica era “música de gente velha” e mostravam sua desaprovação abandonando os estabelecimentos que a tocavam – para a alegria dos proprietários. Outra prática era colocar iluminação rosa suave, especialmente em banheiros. Supostamente, isso tornava a acne dos adolescentes mais pronunciada, fazendo com que eles se sentissem desconfortáveis ​​e com vontade de ir embora.

Gigantes da mídia social como Facebook, YouTube, TikTok e Pinterest sabem que – como mariposas pela chama – a grande maioria dos usuários da Internet é atraída por sites chamativos, repletos de imagens, animações e vídeos de qualidade variada [e, o melhor de tudo, grátis]. Exatamente por esse motivo, alguns geeks descontentes criaram blogs e sites não comerciais que não possuem nenhuma dessas miçangas e espelhos. Eles querem que seus sites sejam menos atraentes para os usuários mais extrovertidos, menos intelectuais, como também para os assediadores de qualquer um que exiba o menor vestígio de individualidade ou pensamento original [trolls]. Muitos dos que criaram sites em redes alternativas também querem evitar a invasão de empreendimentos comerciais que acabem por atrair esses usuários ‘indesejáveis’. Outros criadores querem apenas sites simples e eficientes. Esses não estão tão preocupados com quem os frequenta.

Usuários avançados e mais tecnologicamente capazes estão preferindo redes descentralizadas e distribuídas (diagramas ao centro e à direita) para sua presença na Internet. Essas redes propiciam maior controle e privacidade, uma vez que a comunicação entre os nós (membros) não precisa passar por um centro. As redes sociais como Facebook e Instagram adotam uma topologia rigidamente centralizada, onde todas as interações passam pelo servidor central (à esquerda).

Aqueles que optam por filtrar os indesejáveis ​​geralmente seguem uma ou mais das abordagens citadas acima. Alguns criam sites baseados apenas em texto, para afugentar aqueles usuários que são facilmente atraídos pelo brilho fútil. Alguns desses administradores de site consideram um certo nível de dificuldade na interface gráfica como algo desejável. Eles querem que os “normies” com déficit de atenção nem sequer tentem aprender a usar seus sites. A atitude extrema que esses criadores adotam é isolar-se da multidão convencional, mudando para redes alternativas que só podem ser acessadas por meio de software esotérico, como o TOR.

Pessoalmente, dada a dificuldade de atrair usuários para qualquer novo site ou rede, não vejo necessidade de desencorajar ativamente os recém-chegados. Aqui ninguém é considerado menos desejável a priori. Acredito que fornecer uma plataforma que incentive a liberdade de expressão é mais importante do que se proteger de alguém que possa discordar ou ser rude.

Por outro lado, não posso criticar um desenvolvedor por querer criar uma plataforma para pessoas afins. De fato, eu acho que esse problema geralmente se resolve sozinho. Posso entender o ponto de vista daqueles que temem que o site que eles construiram com carinho – e aprenderam a amar – acabe se tornando mais um paraíso para defensores do voto impresso e negacionistas da pandemia.

A linha que adotei com o Vox Leone foi apenas criar um site simples e eficiente. Todos são convidados a ler e comentar como quiserem (sempre mantendo a civilidade, please). O nosso fórum está aberto a todos. Os únicos comentários ou postagens que já removi foram aqueles que eram completamente fora do tópico ou ininteligíveis. Geralmente, escrever tão diplomaticamente quanto sou capaz (embora muitas vezes eu falhe) parece funcionar para que tenhamos aqui um ambiente civil e criativo, frequentado por pessoas inteligentes e cordatas – apesar de muitos terem opiniões divergentes das minhas. Eu não me importo com discordâncias. Comentários contrários de pessoas bem informadas geralmente são esclarecedores.