terça-feira, 10 de setembro de 2013

Alfredo Lopez: Como agência dos EUA entra no túnel para te espionar


A Agência de Segurança Nacional destruiu de fato a privacidade na internet

por ALFREDO LOPEZ*

As revelações esta semana de Edward Snowden (através de documentos oferecidos ao Guardian, New York Times e ProPublica) provam que a Agência de Segurança Nacional, trabalhando com sua congênere britânica, o Quartel General de Comunicações do Governo (GCHQ), conduziu uma campanha intencional e bem sucedida para destruir toda a privacidade na internet.

Estas são as acusações mais danosos contra a espionagem do governo federal [dos Estados Unidos], demonstrando que seus esforços não são apenas inconstitucionais e destrutivos, mas criminosos e fraudulentos.

De acordo com um artigo da ProPublica, referindo-se à NSA: “A agência driblou ou quebrou a criptografia, ou codificação digital, que guarda os sistemas globais bancários e de comércio, que protege dados sensíveis como segredos comerciais e dados médicos e automaticamente dá segurança aos e-mails, buscas na internet, chats e conversas telefônicas de norte-americanos e outros em todo o mundo, de acordo com os documentos”.

As reportagens das três publicações descrevem um programa caro, amplo e multifacetado desenhado para quebrar toda a “criptografia” das comunicações online. A informação colhida é em seguida armanezada e, usando métodos de busca e análise sobre os quais se reportou anteriormente, é classificada e algumas vezes lida.

Dois dos aspectos mais assustadores da política demandam atenção e explicação particulares porque atacam diretamente proteções que a maioria dos usuários da internet consideram dadas.

Numa tentativa consciente de circunscrever as Secure Socket Layers e os protocolos de criptografia, o governo atacou a fundação básica da comunicação na internet. Nós passamos a acreditar na privacidade e na segurança da internet quando nos foram oferecidas, em parte por terem sido oferecidas. Agora, descobrimos que não existem.

O que isso significa é que os formulários que você usa para compras com cartão de crédito, informação bancária, cadastros e e-mail de sites — os formulários que você usa acreditando que sua informação está protegida — podem estar carregando código que vai permitir à NSA coletar sua informação.

Além disso, os programas de criptografia que muitos usuários da internet empregam para manter suas comunicações — inclusive e-mail — sigilosas podem carregar código de “back door” [porta dos fundos], que permitirá leitura a qualquer pessoa que tiver o programa de decodificação adequado.

Os programas do governo não atacam apenas o funcionamento da privacidade mas destroem completamente qualquer confiança racional das pessoas de que podem ter privacidade em suas comunicações do dia a dia. Elas também destroem a confiança no governo e nas corporações que oferecem estas proteções, já que a certeza da privacidade foi oferecida aparentemente com o completo conhecimento destas companhias de que não existe tal certeza.

As mais recentes revelações foram resultado de cerca de 50 mil documentos que Snowden revelou à mídia esta semana. Se os documentos ampliam a informação que ele deu ao mundo sobre a espionagem do governo, acrescentam uma pincelada sombria ao desenho.

Até agora, as informações de Snowden demonstram como o governo e corporações obedientes facilitaram a captura, o armazenamento e a análise das comunicações na internet. Nosso governo respondeu a estas acusações com uma coreografia de relações públicas desenhada para desviar atenção da real questão em jogo: a privacidade e a Constituição. O governo diz, o tempo todo, que seu objetivo não é um assalto à nossa privacidade, mas capturar pessoas que poderiam nos fazer mal.

Estas revelações demonstram que a intenção da espionagem do governo não foi apenas um assalto à privacidade, mas torná-la algo impossível de conseguir. O governo arrancou todos os cadeados das portas da privacidade na internet e tornou impossível a aplicação dos direitos constitucionais.

Nada deixa isso mais claro que o ataque ao protocolo do Secure Socket Layer.

Quando você vai a um site para comprar alguma coisa ou preencher um formulário com informações pessoais, vai notar um tipo diferente de endereço. Em vez de “http:” com o qual os endereços normalmente começam, você vai ver “https:”.

Isso significa que a página é segura e que, se cumprir com os padrões da internet, instalou um certificado que prova que o site é propriedade das pessoas que dizem ser donas dele.

Qualquer codificação de dados entre o site e o navegador agora é confiável ["trusted"].

Assim, é dito implicitamente a você que você pode colocar seu número de cartão de crédito e ninguém mais será capaz de ler.

Foi codificado no momento em que você escreveu e apertou o botão “submeta” e a informação que você trocou com o site é totalmente protegida num “túnel seguro” (o que significa que ninguém pode ver de forma alguma): os responsáveis pelo site garantem isso.

A internet oferece isso ao manter padrões para esta transação. Cerca de 40 companhias em todo o mundo oferecem certificados (pedaços idiosincráticos de código que são instalados num servidor) e é padrão que os navegadores reconheçam os certificados destas companhias. Este é o padrão.

Quando você visita uma página assim, seu navegador e o servidor conduzem uma série de comunicações complicadas — chamadas “aperto de mão” — que verificam o certificado, a identidade de seu dono e a companhia que escreveu o certificado em uso.

Este é um dos acordos mais sagrados da tecnologia da internet. Se o certificado não for autêntico ou não estiver atualizado, o servidor retorna uma mensagem de erro.

Por alguns anos há dados sugerindo que a NSA tem trabalhado com algumas destas companhias de certificação para permitir que “pose” como uma autoridade confiável e possa responder ao seu aperto de mão.

Quando seu computador pede por um certificado SSL, o código da NSA oferece prova de que o site é seguro e propriedade do dono do certificado.

A esta altura, a NSA pode capturar todos os dados que você coloca na página quando eles atravessam o túnel, ao qual a NSA agora tem acesso. Isso é chamado de ataque do “homem no meio”.

Os dados são armazenados — por alguns dias, de acordo com os documentos — e em seguida decodificados com um dos programas nos quais a NSA gastou milhões de dólares para desenvolver.

A agência pode fazer uma busca nos dados (provavelmente em todos os dados da internet) por frases e termos “suspeitos”, de forma a escolher os arquivos que vai investigar mais cuidadosamente.

Proteção SSL (ou TLS, como agora é conhecida) também é oferecida em muitas formas de e-mail e outros protocolos online, como SSH: um protocolo que dá a seus usuários, a maior parte de tecnólogos e administradores de servidores, a capacidade de conduzir comunicação direta e segura com um serrvidor através de programas “command line”.

Esse tipo de segurança é essencial para as operações, por administradores, de toda a internet. Nenhum administrador decente usaria um programa do tipo sem SSH porque, se alguém espionar o que o administrador está escrevendo, pode ter acesso às senhas do administrador, entrar no servidor e fazer o que quiser com o que está armazenado lá.

Todo usuário da internet usa comunicação segura em algum momento. É tão presente que a maioria das pessoas nem nota. É uma funcionalidade central da internet. Mas, para todos os efeitos, não existe mais.

Para demonstrar como são amplas as instrusões: quando o governo ouviu detalhes sobre o que Snowden estava para revelar, autoridades da NSA imediatamente contataram tanto o Times como a ProPublicapara pedir que não publicassem. Depois de fazer algumas mudanças para proteger o que era, para eles, questão de segurança, as publicações foram adiante e cumpriram seu dever. Mas o fato de que o contato foi feito reflete tanto a profundidade quanto a seriedade das informações divulgadas por Snowden.

Mas é pior que isso. Argumentar que você tem de mentir sobre comunicações seguras para capturar uma pessoa cometendo um crime é absurdamente orwelliano e é isso o que o governo tem feito. Mas não tem argumento para defender uma segunda atrocidade que está cometendo.

Nosso governo e o britânico tem “cooperado” com empresas que produzem programas de criptografia para inserir código que permitiria a autoridades decodificar todas as comunicações.

“De acordo com um documento do orçamento vazado pelo sr. Snowden”, noticiou o New York Times, “a NSA gasta mais de U$ 250 milhões por ano em seu Sigint Enabling Project, o qual ‘ativamente engaja as indústrias de Tecnologia de Informação dos Estados Unidos e estrangeiras para clandestinamente influenciar e/ou abertamente fazer com que os designs de seus produtos comerciais sejam ‘exploráveis’. Sigint é o acrônimo para signals intelligence, o termo técnico para espionagem eletrônica”.

Aqui não sabemos quais “indústrias de TI” estão envolvidas mas existem poucas dúvidas de que elas incluem os principais produtores de programas de segurança.

Na verdade, todo o sistema da internet para o desenvolvimento de criptografia e padrões de segurança foi infiltrado pela NSA desde pelo menos 2006.

Durante reuniões de duas autoridades que definem padrões — o U.S. National Institute of Standards and Technology e mais tarde a International Organization for Standardization — a NSA defendeu padrões que incluiam vulnerabilidades.

Em outras palavras, furtivamente enganou agências cuja existência se justifica pela proteção da privacidade a autorizar códigos de privacidade que tinham buracos através dos quais a NSA poderia espionar.

“Mesmo programas da agencia ostensivamente destinados a proteger as comunicações dos Estados Unidos são algumas vezes usados para enfraquecer a proteção”, diz o texto do New York Times.

“O Centro de Soluções Comerciais da NSA, por exemplo, convida fabricantes de tecnologias de criptografia a apresentarem seus produtos à agência com o objetivo de melhorar a ciberssegurança dos Estados Unidos. Mas um documento top-secret da NSA sugere que a divisão de hackeamento da agência usa o mesmo programa para desenvolver ‘relações de cooperação com parceiros específicos da indústria’ com o objeto de inserir vulnerabilidades em seus produtos de segurança da internet”.

Isso é fraude criminal pura em sua forma mais desprezível.

É importante ter em mente que um dos objetivos deste ataque à criptografia é fazer com que deixemos de usá-la e isso seria um grande erro. Por um lado, se tudo está sendo capturado, não é necessariamente o caso de que toda sua informação está sendo lida. Além disso, o fato de que alguém está escutando nunca nos deveria fazer parar de falar. Precisamos conversar se queremos encontrar uma forma de fazer com que eles deixem de nos ouvir.

Mais importante é o lembrete de Snowden de que uma boa criptografia pode e ainda funciona. Por exemplo, se você usa programas de criptografia que adotam o protocolo aberto PGP (gratuito e de fonte aberta, uma resposta mais popular ao protocolo proprietário Pretty Good Privacy) seu e-mail está muito mais protegido — o Open PGP não é de propriedade ou controlado por qualquer companhia e, assim, o governo não pode fazer “acordos”.

O uso de Free and Open Source Software ajuda a nos livrar do controle corporativo que é básico para esta estratégia de espionagem do governo. O uso de boas senhas e a insistência com os fornecedores de que a criptografia deve ser sólida é também uma necessidade.

O ataque à privacidade promovida pelo governo é ilegal e inconstitucional. Não há necessidade de mandados judiciais porque a intrusão é tão básica que afeta a todos os usuários da internet.

Mas também é fraudulenta porque somos informados pelos fornecedores de segurança para sites e e-mail de que seus protocolos tornam as comunicações na rede seguras e privadas.

Você é informado pelos fabricantes de programas de criptografia que o uso de seus produtos assegura a privacidade.

Algumas destas pessoas mentem; cometem uma fraude ultrajante e destrutiva.

As vítimas do governo são a privacidade que nos é garantida pela Constituição (vitalmente importante para qualquer democracia) mas também a confiança que todos temos na internet: a crença de que podemos proteger nossa privacidade usando as ferramentas que nos são dadas com este objetivo.

Nosso governo, em conluio com outros governos e corporações, esmagou aquela confiança e, dada a importância da internet em nossas vidas de ativistas, este é o pior dos crimes.

*Alfredo Lopez escreve sobre questões tecnológicas para This Can’t Be Happening!