Techbros se unem para atacar Signal e sua liderança feminina. Por quê?
No Telegram, Pavel Durov, fundador e CEO do Telegram, compartilhou um post no X de Jack Dorsey, co-fundador e ex-CEO do Twitter, questionando a integridade da chairwoman do Signal, Katherine Maher, e da CEO, Meredith Whittaker.
O texto linkado por Dorsey foi escrito por Christopher Rufo, ativista conservador estadunidense. Nele, Rufo menciona que David Heinemeier Hansson, da 37Signals, desconfia da Fundação Signal e disse confiar mais em Mark Zuckerberg do que em Maher.
Nas respostas do post de Dorsey, Elon Musk respondeu “sim, preocupante” e, em outro momento, acusou (sem provas) o Signal de conter vulnerabilidades conhecidas e não corrigidas, o que seria “estranho”.
É meio que um “Vingadores” de techbros bilionários atacando duas mulheres à frente de um dos poucos aplicativos não corrompidos por caras como eles.
Meredith respondeu a acusação infundada de Musk no X, o que talvez tenha sido o único erro dela — esse tipo de ataque, com acusações sabidamente infundadas, é impossível de retrucar.
O que terá motivado esse ataque coordenado de caras tão poderosos ao Signal?
@feed E honestamente achei bem engraçado o jeito que ele terminou a mensagem dele, falando que o Telegram é mais seguro. Eu ri de deboche, porque o Telegram praticamente não oferece segurança e privacidade. Pavel forçou.E o pior é que ele não permite reações negativas e nem abre um grupo vinculado para as pessoas comentarem. Se ele fizesse isso, muita gente iria criticar.
@feed Eu vi a mensagem do Pavel no Telegram e também achei estranho, pois o protocolo Signal é um dos mais indicados nas comunidades de segurança no mundo. Mas ele argumenta que teve massivo investimento público e que o Estado está fomentando e indicando muito o protocolo.
Lendo a mensagem no Telegram não me pareceu nenhum ataque sexista.
@feed Será que é um ataque a feminilidade? Me parece ser ao protocolo.
@feed @eusouumcesar
Ad-hominem, não?
Os problemas do Signal:
centralizado - roda nos servidores da AWS - código open source nunca atualizado - problemas frequentes de XSS no cliente desktop
são riscos reais e independentes das líderes atuais, e suficientes pra me manter desconfiado de qualquer promessa.
Esses ataques contra a Maher parecem ter crescido bastante por causa da liderança dela na NPR.
Bingo! É isso mesmo. A Renee DiResta fez uma “linha do tempo” do ataque à Maher. Como a NPR não se dobrou ao ataque dos extremistas, partiram para a Wikimedia Foundation e o Signal.
O Jack Dorsey saiu do BSKY (ou foi saído?), deletou a conta dele e foi postar no X. Acho que, no fundo, não tem motivação externa ou interna, é apenas um bando de homem branco rico fazendo merda porque eles se acham superiores.
Durov mencionou a falta de clareza de reproduzir as builds, quantos ao restante não posso opinar, conspiração com o governo etc, mas falta de clareza em algo que se diz de código aberto é complicado. Como o Durov disse, nada garante que o código disponibilizado na web é o mesmo usado nos binários.
Isso não é possível no iOS. Builds reproduzíveis dependem e só podem rodar em iPhones desbloqueados -- o próprio Telegram menciona isso. Qual o sentido?
Acho irônico o Durov apontar dedos para esse tipo de coisa quando o código-fonte do lado servidor do Telegram é fechado.
Por mais que eu concorde que o código do servidor ser fechado seja ruim, eu como desenvolvedor entendo os riscos, isso porque o Telegram hospeda tudo na "nuvem" e um vazamento devido segurança poderia ser gravíssimo. Mas entendi o ponto.
Em meu entendimento quando se fala em builds reproduzíveis se fala sobre Android. Então há um ponto válido nessa questão.
Já o código fonte do servidor é considerado um problema menor quando o código fonte do cliente é livre (e quando se pode confirmar que o código que tá disponível é o mesmo que está compilado e entregue nas lojas) por que com isso se sabe exatamente como a comunicação entre o cliente e o servidor se dá. Esse é um problema grave pro Telegram já que se sabe que ele tem um calcanhar de aquiles quando a criptografia não é de ponta-a-ponta em tudo, somente em chats secretos. Todas as outras comunicações usam criptografia cliente-servidor, ou seja, na ponta do servidor as mensagens estão expostas o que abre brecha pra pensar o que acontece se um servidor desse é invadido e esses dados extraídos ou de como a empresa pode usar essa colossal base de dados pra coleta de informações pessoais e venda de datasets diretamente ou em forma de plataformas de anúncio...
Já o caso central do post, os ataques dos techbros a mulheres em posição de poder numa empresa concorrente, eu não tenho nenhuma dúvida de que há um componente misógino mas não acredito que seja só isso. A um alinhamento de ataque à integridade do Signal na forma dessas duas executivas na esteira de dois anúncios importantes feitos pela Signal. Um foi o da (finalmente) implementação de handles no Signal removendo a necessidade de compartilhar o número de telefone, e a informação tornada pública dos custos de operação da Signal.
Inclusive eu acredito que a saída de Moxie Marlinspike e nomeação de Meredith Whittaker como CEO do Signal traz pra Signal uma boa chance de limpar esses problemas de confiança que a empresa tinha sobre a liderança anterior trazendo mais transparência e acho que precisa trabalhar muito pra explicar como os movimentos de mimica do mercado com stories e pagamentos dentro do Signal funcionam a longo prazo. Alias, esse é um problema enorme pro Telegram que Durov nem tenta explicar, só sai pela tangente quando questionado, falando sobre outros temas.
Eu nunca entrei no Whatsapp e trouxe uma parte de minha família e amigos pro Telegram lá nos idos de 2015 e estou pensando seriamente nos últimos meses se não é a hora de subir um servidor Matrix ou XMPP, ou se vou fazer mais uma escala de migrações no Signal antes de desistir de qualquer aplicação centralizada de vez.
Também já passei por esse dilema de tentar migrar pessoas próximas a soluções mais saudáveis. Faz uns bons anos que estamos no Signal. O problema de aplicações descentralizadas é a complexidade. Matrix exige cuidar das suas chaves criptográficas, e a depender do cliente adotado, pode gerar perda de mensagens. (Aconteceu comigo 🥲)
Uma possível solução é usar apenas o Element X, que tem uma proposta mais “amigável” a usuários não-técnicos. Se as pessoas com quem você quer conversar não usam computadores, ou não usam apps de mensagens sincronizados no computador, pode funcionar.
Ah, o Signal para Android tem builds reproduzíveis desde 2016.
Esse post sobre build reproduzíveis é um bom exemplo de péssima comunicação. Olha o texto: "Reproducible builds for Java are simple, but the Signal Android codebase includes some native shared libraries that we employ for voice calls (WebRTC, etc). At the time this native code was added, there was no Gradle NDK support yet, so the shared libraries aren’t compiled with the project build.
Getting the Gradle NDK support set up and making its output reproducible will likely be more difficult."
Ou seja, não é de fato reproduzível.
~~~~~
Sobre migrar de redes. Element X é pré-alpha. Não tá pronto pra ser aplicativo de uso de massa ainda. Não o usaria pra propor pra família e amigos usarem. Dos demais pra dispositivos móveis eu só vejo alguma chance num FluffyChat ou Element (o tradicional). A complexidade das chaves e outras coisas, sinceramente, eu lido com educação e instrução. Migração não se faz por paridade de funcionalidade apenas, muito mais importante é objetivo a ser alcançado. Algumas funcionalidades são perdidas e outras são somadas.
Mas esse nem foi meu ponto. Meu ponto é se vai valer a pena ou não ter uma etapa no processo de migração no Sigal ou se eu vou direto subir meu próprio servidor Matrix ou XMPP. É uma reflexão.