segunda-feira, 25 de maio de 2015

Janela Indiscreta

Boa parte dos temas hoje em discussão sobre a Internet ganharam muita ênfase após as revelações de Edward Snowden sobre espionagem. E à Internet coube o papel de vilã principal no processo. Uma reflexão mais calma poderia nos levar a outra avaliação.

Espionar os outros é uma tendência imemorial em governos e órgãos de segurança. A tecnologia apenas deu ferramental mais eficiente à realização dos desígnios daqueles que querem saber de tudo e de todos.

Onde seria mais eficiente espionar? Claro que é onde a maioria frequenta ou passa. Colocam-se bem mais câmeras em estações de metrô e saguões movimentados, que em becos e vielas. A engenharia, que define o traçado das grandes rotas a partir dos interesses de tráfego, gera, necessariamente, pontos de concentração. Se quisermos ir de Bauru a Verona provavelmente passaremos por São Paulo e Roma. Um mapa de cabos submarinos mostra que praticamente toda a conectividade da America Latina vai aos Estados Unidos, antes de seguir para Europa, África ou Ásia.

Se alguém quer monitorar dados na infraestrutura de telecomunicações, o mais eficiente é fazê-lo num ponto de concentração e estará vendo tudo, de telefonia a TV além da Internet. Eis a primeira (e maior em volume) fonte explorável de informações. Se, ainda, uma lei local, der respaldo a esse tipo de "monitoramento" em nome de "prevenção a atividades terroristas", o cenário está armado. O pretexto para monitorar algo serve para monitorar tudo.

Outro ponto vulnerável é usar um meio coletivo. Equipamentos sem-fio, como celulares, falam pelo "ar": é como dois indivíduos conversarem numa sala em que há muito mais gente.

A menos que conversemos "em javanês", é provável que o diálogo seja monitorável. Claro que há meios de diminuir os riscos de terceiros interceptarem essa comunicação, mas ela é intrinsecamente aberta. Celulares são passíveis de monitoramento pelo simples fato de que sua conversa se dá pelo ar. Snowden também nos confirmou isso.

Os casos acima independem da Internet, mas ela também pode ser usada para violar a privacidade dos indivíduos. Redes sociais, correio eletrônico, dados armazenados em lugares indefinidos e inseguros na própria rede, são fragilidades que podem deixar nossas informações expostas e à revelia.

Há, por fim, formas capciosas, maliciosas, e mais difíceis de neutralizar. Nada nos garante que equipamentos e programas, que usamos diariamente, não se aproveitem do que sabem para alimentar bases de dados e interesses desconhecidos. Equipamentos há em que foram identificadas "portas ocultas" ou "janelas indiscretas" por onde alguém pode copiar dados. A desculpa canônica é que pode haver emergências que justifiquem um acesso privilegiado pelo fabricante ao equipamento. Apenas pelo fabricante? Ora, se há uma porta, alguém a abrirá, por mais guardada (ou não) que esteja a sua chave.

Criptografia para todos é o que parte da comunidade defende. Sim, mas, de novo, caberá ao usuário proteger-se de algo que sequer deveria ocorrer. Carregar mais um fardo para que, ao menos, lhe sobre alguma privacidade.

segunda-feira, 11 de maio de 2015

Presentes de Grego

Em novembro de 1988 um estudante da universidade de Cornell, nos EUA, Robert Morris, teve uma “ideia”: criar uma ferramenta para medir o tamanho da Internet, à época uma rede ainda pequena. Escreveu um programa que fazia duas coisas: descobria que outras máquinas estavam ligadas à sua, para ver se conseguia entrar nelas. Uma vez lá dentro, replicava-se em diversas cópias que seguiam o mesmo método de tentar entrar nas máquinas ligadas à recém-infectada.

Não sei se foi bem-sucedido em medir o tamanho da Internet de então, mas conseguiu sobrecarregar muitas máquinas (que não conseguiram rodar todos os clones do invasor) e entupiu de tal forma o “backbone” (“espinha dorsal” da rede) que causou uma “negação de serviço” geral. Três dias depois, finalmente o problema estava resolvido. O programa de Morris ficou conhecido como “o verme da Internet” e é o antepassado dos vermes da rede de hoje.

O que caracteriza um “verme” é que, por analogia aos que nos parasitam, é ser um programa auto-suficiente, um “ser vivo”. Ele se multiplica e tenta se propagar usando o que conhece da rede e de suas fraquezas. Não é a única (nem a mais comum) ameaça que temos hoje. Além dos vermes, há outros delinquentes à espreita na rede. Entre os mais comuns temos os vírus. Ao contrário dos vermes, os vírus não tem “vida autônoma”: precisam estar hospedados em outra estrutura que lhes dê suporte. Assim como os vírus da vida infectam os animais, os vírus da rede infectam programas, estruturas lógicas de apoio, memórias auxiliares, discos, etc.

É a gripe da rede. E se entramos em contato com alguém gripado, podemos ficar contaminados também.


Se o verme da Internet não tinha objetivos maldosos, o cenário piorou muito desde então: os atacantes de hoje visam destruir coisas, apagar informações, roubar dados, escravizar máquinas, derrubar sistemas. No caso dos vermes, a prevenção é a higiene que consiste em senhas mais fortes, programas sem vulnerabilidades. Quando se trata de viroses, o jeito é usar “vacinas anti-viróticas”. O virtual espelha o real.

Mas isso está longe de ser tudo. Homero também foi fonte de inspiração. Troia resistiu bravamente ao cerco dos gregos, mas caiu frente ao estratagema de Ulisses: um belo “presente” na forma de um cavalo, deixado às portas de Ílion. Os felizes troianos o levaram, ingenuamente, para dentro das defesas da cidade. Lá dentro e sem a proteções das muralhas, seu conteúdo, gregos, foi funesto à cidade.

Os que saíram do cavalo abriram as portas aos colegas que espreitavam de fora e Troia acabou saqueada e incendiada. Eis aí outra ideia “do mal”. Ora, que tal “embrulhar” num joguinho interessante, numa imagem atraente, numa tabela eletrônica, um programinha malicioso que, uma vez dentro de nossa máquina, “faz a festa” da forma como foi programado?

Todos esses são “presentes”, sejam de “grego” ou não. E a segurança é resultado da constante vigilância. Ao verme seguiu-se a criação do CERT/CC “pessoas a chamar quando coisas ruins acontecem” e temos nossa valente versão: http://cert.br. Mantenhamos nossa higiene, as vacinas em dia e não aceitemos presentes de estranhos. Pode sair caro.