Nota do editor: Vez ou outra alguém sugere criar exceções à criptografia de ponta a ponta de aplicativos como Signal e WhatsApp a fim de combater a criminalidade. É uma ideia bem ruim. O texto abaixo é a resposta de Tim Bray a mais um desses pedidos inócuos. Mesmo parte de um debate norte-americano, achei-a bem embasada e válida no nosso contexto, por isso a trouxe para cá.
Detesto escrever um artigo apenas para dizer que Alguém Está Errado na Internet, mas o de Reid Blackman, “Signal e o perigo da privacidade a todo custo” (em inglês, no New York Times), não está apenas errado: ele é, também, perigosamente enganoso. Ainda não vi uma explicação breve do porquê, então aqui vai uma.
A descrição de Blackman do que o Signal faz é precisa: oferece um meio de comunicação extremamente privado entre indivíduos e grupos; privado na medida em que o Signal.org (uma organização sem fins lucrativos) sequer sabe quem está falando com quem, muito menos o que eles estão conversando.
Blackman argumenta que isso é perigoso porque pessoas ruins poderiam usá-lo para planejar atividades nefastas e as autoridades não seriam capazes de espioná-las e detê-las. De fato, pessoas ruins podem e (tenho certeza) usam criptografia para escapar da vigilância.
É pacífico que o Sinal oferece um lado positivo e um lado negativo. Positivo: sua privacidade é protegida de bisbilhoteiros, sejam eles governos maléficos ou criminosos comuns. Negativo: é difícil grampear os bandidos.
Sendo assim, é possível remover o lado negativo sem causar danos? Blackman diz pouco sobre isso, exceto a frase “se as autoridades deveriam grampear nossos telefones com a condição de obterem um mandado…”
Lamento ser o portador de más notícias, mas não é possível lidar com o lado negativo sem destruir completamente o lado positivo. Eis três razões para isso:
-
Quando você fala em “autoridades”, a quem se refere exatamente? Os funcionários dos Estados Unidos? Do estado do Oregon? Da cidade de Crow Wing County, MN? Da Itália? Da China? Como você vai resolver as disputas jurisdicionais e como você vai garantir que somente as “boas” autoridades possam espionar?
-
Um grampo no Signal se tornaria o Santo Graal de todas as organizações criminosas globais, agências de segurança nacional e hackers adolescentes da Bielorrússia. Existem pessoas muito espertas no Signal, mas elas não são muitas e, em uma batalha contra um exército mundial de atacantes, eu sei em quem apostaria.
-
Obviamente, os funcionários do Signal poderiam espionar qualquer um, caso contrário não seriam capazes de responder aos mandados para grampear contas. Quanto você acha que os muitos tipos de inimigos e bandidos estariam dispostos a pagar por esse acesso?
Mesmo assumindo que todo mundo que trabalha no Signal seja irrepreensível e eternamente incorruptível, suponha que um funcionário tenha um ente querido na jurisdição de um governo estrangeiro hostil. Como você acha que ele reagiria ao vídeo daquele ente querido sendo torturado, com o preço para acabar com a tortura sendo ajudar o tal governo a grampear contas?
Blackman diz: “O posicionamento da empresa, de que se alguém tem acesso aos dados, então muitas pessoas não autorizadas provavelmente terão acesso a esses dados, é falsa.” De onde ele tirou essa ideia?!
Não se preocupe
Embora eu reconheça que em um mundo ideal seríamos capazes de espionar pessoas ruins sem quebrar a privacidade das demais, esse não é o mundo em que vivemos. E não acho que isso seja um problema tão grande assim. Por exemplo, Blackman observa que no decorrer da investigação da insurreição de 6 de janeiro de 2021, nos Estados Unidos, a polícia teve acesso às conversas no Signal dos golpistas. Como? Obviamente, acessando seus computadores ou celulares, onde essas conversas são armazenadas.
Profissionais sérios de segurança prefeririam esconder uma câmera na parede de seu escritório ou um “keylogger” em seu PC do que tentar quebrar o código. Ou, ainda melhor, obter um mandado para revistar seu computador com consequências realmente sérias para uma eventual recusa.
Além disso, atividades criminosas tendem a gerar efeitos no mundo real, por exemplo, vídeos de pessoas com bonés “MAGA” invadindo o Capitólio, ou (muito mais frequentemente) dinheiro sendo movimentado. As boas agências de inteligência são bem-sucedidas em seguir o rastro do dinheiro sujo.
Portanto, reconheçamos que às vezes uma privacidade forte retarda a aplicação da lei, mas, de alguma maneira, ela parece capaz de funcionar mesmo assim.
Ideologia?
Blackman faz todo tipo de alegações sobre a “ideologia” do Signal, o que é irrelevante, porque a realidade é mais simples. Funciona assim: os matemáticos inventaram uma maneira de se comunicar com extrema privacidade. (É irrelevante se isto é bom ou ruim aqui, a matemática não se importa.)
A privacidade é uma coisa boa, um dos benefícios de ser parte de uma civilização. As pessoas a querem e têm razão em querê-la. Agora elas podem tê-la. Não existem propostas confiáveis para tirar a privacidade apenas das pessoas ruins, e ficarei surpreso se algum dia houver.
O Signal não é a única forma de se comunicar com criptografia de ponta a ponta, especialmente porque eles disponibilizam sua tecnologia para outras organizações, incluindo o WhatsApp.
Mas, enquanto ainda tenho a sua atenção, eu recomendo o Signal. Eu e minha família e a maioria de meus amigos e alguns de meus colegas mais ou menos vivemos no Signal. É um ótimo software, de verdade. E a privacidade é boa.
Tim Bray é um desenvolvedor de software canadense, ambientalista, ativista político e um dos co-autores da especificação XML original.
Publicado originalmente no blog do Tim em 29/12/2022.
verdade
Talvez não compreendi por completo… desde sempre as autoridades podem grampear telefones aqui no .br. Desde sempre sabemos disso, e desde sempre a sociedade não entrou em ruínas devido a isso.
Porque o mesmo não serviria em plataformas digitais?
O fato do telefone ser grampeável não é um “recurso” do telefone, mas sim o aproveitamento de uma brecha da tecnologia. O Signal não tem essa brecha, o que é benéfico — ele garante uma comunicação verdadeiramente privada aos usuários.
O benefício em deteriorar esse recurso do Signal é marginal ante o benefício que a maioria desfruta de tê-lo à disposição para se comunicar com privacidade. Fora que, como Tim argumenta no texto, existem inúmeras outras linhas investigativas antes do grampo de aplicativos criptografados.
(Até parece que grampos telefônicos nunca foram feitos fora de investigações criminais em situações de abuso ou flagrantemente ilegais. Reitero: essa característica do telefone não é um recurso, é uma brecha da tecnologia.)
Cara, acho uma questão de ser pratico e realista, não pensando em 0.1% dos casos mas sim em 99.9% das aplicações reais:
* Bitcoin é usado para lavagem de dinheiro e transações ilícitas (e nesse um me incluo no 0.1% quando efetuo doação para um site fechado de pirataria que participo!!)
* Darkweb é usado para o pior lixo da raça humana.
* Anonimato em ponta a ponta é necessário apenas para quem necessita desse anonimato por “algum motivo” …
Técnicos fazem um escândalo sobre anonimato quando normalmente não precisam. Fala sério, whatsapp não fosse anonimo mudaria a sua vida, mesmo de uma forma infima?
Falar “anonimato é importante” é como falar que “open source é mais confiável”. Bonito. Mas irrelevante na vida real.
Discordamos em pontos importantes aí, André. Acho a privacidade importante, mesmo sem “dever nada” nem ter qualquer “motivo”. Ou melhor, eu tenho um motivo: o que eu falo reservadamente com as pessoas é do interesse apenas meu e delas, e de mais ninguém. Se existe uma tecnologia que me garanta isso, por que não usá-la? Por que destruí-la?
Privacidade me parece aquele tipo de coisa a que só damos valor (nós, pessoas em geral) quando se perde. O que é uma pena, porque depois que se perde, é osso reconquistá-la.
> Anonimato em ponta a ponta é necessário apenas para quem necessita desse anonimato por “algum motivo”
Sim, por exemplo, ativistas em países com governo tirano. Coisa que por pouco não aconteceu aqui mesmo no Brasil. Só aí acho que já vale, hein?
Cara o que coloco online em qualquer plataforma é publico. O que escrevo no whats também, pois a mensagem que te passei pode ser facilmente removida do teu telefone quando apontarem uma arma para tua cabeça.
Em um governo tirano eu nunca iria me iludir estar seguro em uma plataforma dessas. E seria isso, uma bela segurança até falhar apenas.
@Andre bom, se esse fosse o raciocínio não existiriam ativistas, já que não tem uma maneira de se comunicarem 100% a prova de falhas.
Com e2ee ao menos não tem ninguém entregando seus dados de bandeja para seus algozes
Vamos partir de um princípio básico: no que interessa eu saber de seus interesses e atividades? Ou vice-versa?
Eu só conheço seu nick que está aqui, não sua pessoa em si. Talvez se eu tivesse conhecimentos técnicos suficientes poderia tentar saber mais de você. Note que escrevi tentar com uma ênfase.
Mesmo em um governo tirano que apontaria uma arma na sua cabeça, tal como você exemplificou, o “apontar uma arma” geralmente é uma atitude extrema (se a pessoa suspeita que ela é parte de algo “opositor” ao grupo) ou um signo de temor/terror (tal como em comunidades violentas). Não se aponta uma arma a toa e todo tipo de criminoso sabe bem disto, apenas psicopatas puros o fazem.
Aí volta a questão inicial: eu não sou nada – nem político, nem polícia, nem “mercado”, nem nada. No que eu teria interesse em suas informações? Para doxxing ou ameaças? Para fazer uma amizade?
Nisso cabe a privacidade Teoricamente usando o nick que uso hoje não sou bem um “anônimo”, isso aqui é um pseudônimo e com algum esforço você encontra alguma informação sobre mim. A priori o único que tem uma informação primordial aqui é o Ghedin, e a nele “confio” esta informação. E ok. Este é um nível de privacidade aceitável aqui. Se eu faço algo de errado, tal informação o Ghedin pode usar para o que for necessário – me contatar para me dar uma bronca, ou identificar se fiz algo mais grave. Mas é só ele e ok. É nisso que conta a privacidade – a confiança da informação.
Claro, hoje as informações pessoais que vazaram anteriormente em invasões circulam por aí em pacotes que podem ser usados para golpes (ou para te tirar um dinheiro para evitar um golpe, o que também seria um golpe?).
E a privacidade teoricamente evita abusos maiores com as nossas informações. A informação vazada pode em seguida ser modificada por quem o detém. Senhas, logins, e-mails, códigos de acesso.
E claro, nada é perfeito. Alguém pode monitorar, ou aí “apontar uma arma” para a cabeça. E nisso cabem as leis (ou deveriam caber). A lei é feita para justamente o cara não lhe apontar uma arma na cabeça a toa – o cara que porta uma arma hoje só pode se for policial ou profissional de segurança – lembrando que está revogado o porte de transporte para CACs.
Se não é a privacidade existente, talvez mais gente ainda bateria na porta da sua casa com seus dados fazendo de tudo para lhe forçar a comprar algo. Ou talvez sua vida seria um incomodo com tamanha abertura de informação.
Vide: no que me interessa por exemplo saber alguns aspectos privados da vida do Lula por exemplo? Eu não quero saber o que ele usa de shampoo por exemplo. Ou o que ele come no café da manhã. Como um político, prefiro saber a agenda dele, se ele vai se encontrar com quais pessoas, etc… Ele não é um ser privado – apesar de que alguns aspectos da vida dele são irrelevantes a ponto de não se preocupar neste tipo de privacidade. Como ser público, o básico de informação pública ele fornece – e está fornecendo. E ok.
Um empresário de bitcoins, no que me interessa a vida privada dele? Em partes o mesmo aspecto do que falei do Lula cabe aqui, com exceção de que como ente privado, é mais difícil ter informações dele. Ele não é exatamente obrigado – como pessoa física – a expor alguns tipos de informações – gastos ou ganhos pessoais. Mas como empresário, obviamente, ele expõe o que é relevante ao que ele presta como empresa – os ganhos e perdas da empresa.
A privacidade aqui termina quando ele – como empresário – pratica alguma atividade que prejudica seus clientes. E como exemplifiquei o caso dos bitcoins, só este fato é um grande prejuízo :p . Nisso a privacidade – pela via legal, dado que um bitcoin teoricamente é convertido em dinheiro oriundo de um governo – se esvaí, pois precisa ser investigado se o dinheiro da empresa virou dinheiro pessoal.
Enfim, divaguei demais e sei lá se isso vai ajudar no debate. Só realmente tentando provocar um pouco para chegarmos em um raciocínio comum e aberto, não privado. :p