terça-feira, 19 de setembro de 2017

Pecó-pedi-pego

Eu era muito ruim na “língua do pê”, artimanha usada no primário quando uma mensagem “secreta” deveria ser passada agilmente de um colega a outro. Eles eram bons nisso! Se um não iniciado ouvisse a torrencial sequência de sílabas com os “pê” intercalados, não entenderia: estava “criptografada”, acessível apenas ao destinatário. No delicioso conto de Lima Barreto, “O Homem que Sabia Javanês”, um malandro, para ganhar a vida, inventa tornar-se professor e único tradutor de uma língua fictícia. Na semana que passou, notícias na Internet informavam que dois famosos códigos teriam sido decifrados: o misterioso manuscrito Voynich, com mais de 600 anos, e uma “carta de Lúcifer” que teria sido enviada a uma monja na Itália há 360 anos. Mesmo que a notícia sobre o Voynich seja um trote (ou uma “pós-verdade”), revive-se a atração e a necessidade que temos do sigilo, do segredo, da manutenção de nossa privacidade.O uso da criptografia forte é agora acessível a todos, com diversas implementações abertas e à prova de testes. Uma das razões de sua popularidade reside no incômodo fato de que nossas comunicações privadas talvez estejam sendo monitoradas por alguém. Empresas, para preservar segredos industriais, e governos, por óbvios motivos, sempre esforçaram-se por usar criptografia em suas comunicações. Para nós, prosaicos usuários, em velhos e bons tempos uma carta era considerada suficientemente protegida pelo seu envelope. Hoje sabe-se que nossas cartas podem ser lidas ocultamente. Mas, já que temos formas novas, simples e gratuitas de usar criptografia... que tal aderir?

De forma geral, um efeito parece claro: sempre que se abusa do monitoramento de nossas ações na rede, surge uma reação em sentido contrário. Guardam informação sobre os sítios que acessamos? Que tal, então, usar o TOR, navegador que apaga traços? Querem saber o que buscamos na rede? Há o DuckDuckGo, buscador que não retem informações sobre quem e o quê busca. Quase tudo está na rede, mas há conteúdos que todos gostaríamos de ver protegidos, não localizáveis pelas ferramentas de busca usuais. É o caso das bases de dados de informações pessoais, como imposto de renda, exames de saúde, etc. Ao invés de visibilidade e popularidade, são conjuntos de informações, presentes sim, mas não abertas aos buscadores usuais. Esse conjunto dos “não encontráveis” faz parte da chamada “Web profunda”.

Há outros habitantes da “Web profunda”. A junção de criptografia, navegação anônima e conteúdos não facilmente encontráveis torna-se também um atrativo para os que pretendem montar negócios escusos. E as transações monetárias nesses negócios subterrâneos podem valer-se de pagamentos em moedas digitais. É a “Web escura”, mais um risco que surge. Sua existência deve ser vista como um efeito colateral, não um argumento contra o uso de criptografia, Thor e coisas do tipo. Valores importantes como nossa privacidade devem ser preservados, permitindo-nos o uso das medidas de que dispomos. Investigar ilícitos é fundamental e importante, porém sem invadir direitos. Afinal não se proíbem cadeados ou fechaduras pelo fato de que podem ser mal usados, protegendo produtos ilegais. E também nunca se proibiu a língua do “pê”.

Pea-peté pemais!

terça-feira, 5 de setembro de 2017

Construindo Confiança

Na Internet é cada vez mais importante poder confiar em algo. Em sua origem, entre acadêmicos, acreditava-se sempre na declaração dos colegas. Muitos dos protocolos como o do “correio eletrônico” por exemplo, foram escritos em analogia a serviços tradicionais. “Cartas” são encaminhadas ao destinatário sem que se viole o conteúdo ou, sequer, se verifique se o remetente é quem diz ser. A rede trabalha sem questionamentos ao transportar e entregar “cartas”. O que era nobre e elegante, entretanto, passou a ser abusado e o “spam” tornou-se praga. Uma eficiente forma de combater pragas trazidas pela tecnologia é adotar anti-pragas também tecnológicas, e assim, por exemplo, conseguiu-se atenuar os efeitos do “spam” sobre todos nós.

O mesmo ocorre em endereçamento de máquinas e serviços. Para chegar a algum lugar na rede precisamos do “endereço IP” daquele lugar. Uma poderosa estrutura distribuida e hierárquica chamada DNS (Domain Name System) traduz o nome do destino para um endereço, e também aí confiança era pressuposto: “Ei, eu quero ligar para o João. Qual é mesmo o telefone dele? - 99991111 - Ah, obrigado”. Claro que pode aparecer algum “espírito deletério” que, ouvindo a pergunta sobre o João, forja uma resposta falsa: 99992222. Acabaríamos ligando para o João errado e, pior, se houvesse má intenção, é bem capaz que um pseudo-João atendesse e acabássemos passando a ele informações que só deveriam ser dadas ao verdadeiro João. É uma das formas de desviar incautos para páginas falsas, implementando o “phishing”, “pescaria em águas turvas”.

A saída é recorrer de novo à tecnologia: o DNS ganha uma extensão chamada DNSSEC (“SEC” de “seguro”). Agora a resposta à pergunta sobre o “telefone do João” virá com uma assinatura verificável, garantindo assim ser verdadeira. Com DNSSEC quem realmente conhece o telefone do João assina a resposta, dando ao usuário a certeza de estar ligando ao João real. Funciona em cadeia hierárquica: o domínio .br, assinado pela raíz da Internet, garante por sua vez a existência de seu segundo nível. No segundo nível há subdomínios obrigatoriamente assinados, como o b.br (bancos) e jus.br (judiciário), enquanto em outros a decisão de assinar ou não é de quem opera o domínio. E o .br acaba de atingir 1 milhão de domínios assinados com DNSSEC, ficando entre os cinco maiores usários de DNSSEC do mundo. Bom pra nós!

A tendência clara é, paulatinamente, embutir “confiança” na própria estrutura da rede. Se antes usava-se um terceiro para “reconhecer nossa firma”, cada vez mais a própria rede cria mecanismos automáticos que proveem formas seguras de autenticação. Estamos ainda longe de dispensar cartórios, certificados e carimbos, mas DNSSEC é um exemplo de círculo virtuoso na segurança. Outro caso atual que pode tornar-se comum em breve é a tecnologia “blockchain”, aquela por trás de moedas virtuais. O “blockchain” se propõe a manter na rede uma estrutura disseminada de confiança não fraudável. Mostra que eventualmente poderemos prescidir do aval de alguém confirmando o que possuimos, seja um valor ou outro bem qualquer. São tempos interessantes...