Sergio Moro com a mão no rosto.

A configuração padrão é tudo o que importa


14/6/19 às 14h17

Nota do editor: Este texto foi publicado originalmente na newsletter do blog. Cadastre-se gratuitamente para receber reflexões e indicações de leitura toda sexta-feira no seu e-mail.


As reportagens bombásticas publicadas pelo The Intercept Brasil no último domingo (9) deflagraram uma guerra entre entusiastas de tecnologia. De um lado, defensores do Telegram; do outro, seus detratores. (É meio maluco, mas a tecnologia de consumo é cheia dessas histórias de brigas entre “fãs” de marcas: Intel vs. AMD, iPhone vs. Android, Windows vs. macOS… agora parece que até banco tem fãs.)

A hipótese que levantei neste Manual do Usuário de como o vazamento das conversas teria ocorrido foi se confirmando ao longo da semana com as investigações da Polícia Federal. A essa altura, parece bastante provável que o modelo de funcionamento do Telegram, sem criptografia de ponta a ponta por padrão, foi imprescindível para viabilizar o vazamento da torrente de diálogos, áudios, imagens e vídeos de integrantes da força-tarefa da Lava Jato.

Aventar esta hipótese agitou alguns defensores do Telegram. Em resposta, eles argumentaram que se os envolvidos tivessem ativado a autenticação em duas etapas, nada teria acontecido. Ou que se tivessem usado o “chat secreto”, que é opcional e criptografa as mensagens de ponta a ponta, ou seja, sem deixar cópia na nuvem, Dallagnol, Moro e companhia não teriam suas conversas de compadres vazadas à imprensa.

É muito se em se tratando de segurança digital e privacidade. No mundo real, o que importa é a configuração padrão, aquilo que as pessoas encontram quando abrem o aplicativo pela primeira vez. O que esses defensores do Telegram parecem não conseguir enxergar é que a maioria das pessoas não acompanha sites de tecnologia, anúncios do Pavel Durov, nem se enfurnam em menus de configurações mesmo que para seu próprio bem. Temos coisas mais importantes para fazer.

Isso não significa que as pessoas não se importem com privacidade. Na última edição da newsletter do The Privacy Project, do New York Times, Charlie Warzel comentou um instrutivo estudo conduzido pelo pesquisador Dan Svirsky. Ele pediu a voluntários para que preenchessem um formulário e, antes enviá-lo, deu-lhes a opção de compartilhar as respostas com o Facebook em troca de um pequeno bônus de US$ 0,50. Nesta troca direta e transparente, 64% dos participantes se recusaram a ceder os dados ao Facebook e mais da metade manteve este posicionamento mesmo quando o valor do bônus foi quintuplicado. Em seguida, Svirsky acrescentou um ponto de atrito: os voluntários tinham que clicar em um botão para saber se a pesquisa seria enviada sem compartilhar os dados com o Facebook ou se eles ganhariam o bônus monetário e cederiam seus dados à rede social. A maioria, 58%, sequer clicou neste botão para saber o destino das suas respostas. Nesta segunda fase, apenas 40% dos voluntários se recusaram a ganhar o bônus em troca de repassar seus dados ao Facebook.

A Mozilla resume com uma frase o que se observou na pesquisa acima: quando é sobre privacidade, configurações padrões são tudo que importa. A declaração vem na esteira de uma mudança importante no Firefox: agora, novas instalações do navegador bloqueiam o rastreamento cruzado de cookies por padrão. Esta é uma das táticas mais recorrentes e danosas à privacidade criadas pela indústria da publicidade online, mas aposto que seus pais, muitos dos seus colegas, talvez você mesmo não soubesse disso.

É por esse mesmo motivo que os discursos pró-privacidade do Google e do Facebook são em grande medida inúteis e, diriam alguns, dissimulados. Ao serem pressionadas pela opinião pública devido às suas práticas condenáveis em relação à privacidade dos usuários, essas empresas se defendem dizendo que dão “escolhas”, “opções” a eles. Isto não importa. Navegar pelas telas de segurança e privacidade do Google e do Facebook é um tormento: são muitas, com configurações espalhadas, pouco intuitivas e difíceis de entender. Em um caso, quando precisou do consentimento dos europeus para se adequar ao GDPR, foi comprovada a atuação deliberada do Facebook para confundir aqueles que não queriam ceder seus dados à empresa. Se a privacidade fosse mesmo uma prioridade, as melhores configurações seriam padrão em vez de estarem enterradas em camadas de telas confusas. (Esta história me lembra outra falácia da tecnologia, a do design “neutro”.)

A gente se importa com coisas importantes como a privacidade, mas nosso cérebro tem questões mais imediatas para lidar e, por isso, aceita situações que, fossem analisadas atentamente e com mais informações à mão, consideraríamos inaceitáveis. A Mozilla usa o dilema da aposentadoria — infligir uma “perda” imediata, a da poupança, para ter mais tranquilidade no futuro — como analogia ao da privacidade, o mesmo exemplo que o prêmio Nobel em economia Daniel Kahneman usa no final do seu livro Rápido e devagar: Duas formas de pensar. Ambos recordam a mudança nos planos de aposentadoria vinculados ao emprego nos Estados Unidos, ocorrida em 2003, que os tornaram “opt-out” — ou seja, padrão —, melhorando os índices de poupança de milhões de trabalhadores norte-americanos.

Por mais questionável que o WhatsApp seja sob as asas do Facebook, virar a chave da criptografia de ponta a ponta obrigatória em 2016 foi uma atitude louvável. É seguro afirmar que a maioria dos 1,5 bilhão de usuários não tem a mínima ideia do que é isso, mas todos se beneficiam daquela decisão mesmo assim. Trata-se do bom projeto por padrão, “by default”. O Telegram já oferecia o recurso, mas opcionalmente, via chat secreto, uma alternativa que nem mesmo membros da Justiça brasileira, que deveriam ter todo o cuidado ao tratarem de informações sigilosas via internet, conheciam ou, se sim, se davam ao trabalho de ativar. Eles são humanos, afinal. O padrão é o que importa e se ele é ruim, a experiência da maioria será ruim.

Foto do topo: Lula Marques/Agência PT.

Colabore
Assine o Manual

Privacidade online é possível e este blog prova: aqui, você não é monitorado. A cobertura de tecnologia mais crítica do Brasil precisa do seu apoio.

Assine
a partir de R$ 9/mês

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

22 comentários

  1. O que mais me surpreende nessa história toda, sem considerar o conteúdo do material vazado em si, é o fato do governo disponibilizar aparelhos funcionais a funcionários públicos sem quaisquer políticas de segurança e configurações que as garantam.

    Considerando a natureza das mensagens trocadas, é de se questionar o uso de um sistema geridos por terceiros cujos dados são armazenados fora do país e garantias de segurança são apenas promessas. Qual a garantia que o código-fonte disponibilizado é exatamente o mesmo implementado?

    Se o governo não dispõe de tecnologia pra ter uma solução para troca de mensagens com as funcionalidades desejadas, como exposto hoje pelo UOL (“Chat secreto” e envio de arquivos levaram procuradores a adotar Telegram: https://noticias.uol.com.br/politica/ultimas-noticias/2019/06/16/seguranca-e-envio-de-arquivos-levaram-procuradores-a-adotarem-telegram.htm), que se use o código open-source do Signal ou mesmo do Telegram.

    Não se trata de ufanismos baratos ou loucuras conspiratórias, mas de bom senso para garantir a integridade da comunicação e assegurar que seu conteúdo seja gerido por aqueles que tem o dever de resguardá-lo.

    1. O governo tem aparelhos criptografados e apps de mensagens internas próprio. O problema é que ele só disponibiliza, não obriga o uso.

      Olha o caso dos 3 últimos presidentes, chefes de estado que definem o futuro de um país, mas se recusaram a usar o teletrampo da firma. Dilma que o diga.

      Resumindo a moral da história: Usuário só vai se preocupar com segurança digital quando ela entrar goela abaixo dele.

  2. Um ponto que não vi ninguém discutindo é que o chat secreto do Telegram só permite a comunicação entre dois contatos. Ainda não existe a opção de “grupo secreto”.

    Sem a autenticação de dois fatores, as mensagens dos grupos teriam vazado de qualquer maneira.

    Neste caso, a conveniência (acessá-lo em múltiplos dispositivos) sobrepõe os possíveis problemas de segurança.

  3. enqto o telegram tiver sticker, pra mim, tá tudo certo.
    uso a autenticação em duas etapas desde qdo comecei a usá-lo.
    sugiro o mesmo procedimento (com qualquer serviço online com esse recurso disponível) a conhecidos e a maioria, infelizmente, declina e deixa como está, no padrão.
    seria legal q tudo fosse o mais seguro possível por padrão e, por escolha, a pessoa vai lá e relaxa a segurança até um certo limite.

    1. o chato do TOTP é que vc tem que pesquisar os sites que tem, gostaria de um serviço (até os gerenciadores de senhas não tem) que vc colocasse os sites que usa e ele avisa se tem, existem uns, mas são manuais, vc tem que procurar um por um, deveria ser automático.

    2. Concordo plenamente, especialmente com a parte de stickers

      E se acabar esse barulho todo da impressa acabar com o cloud-based da massa em nome de privacidade eu serei obrigado a ir pra rua e pegar em armas

  4. Telegram não é pra amadores. Por isso muitos se complicam nas configurações e voltam pro WA. Tirando aqueles que instalam quando o whatsapp cai ou que usam o cliente ZapZap menssenger, Telegram é feito justamente pra quem quer mais privacidade contra a influência de governos e empresas, (principalmente Facebook), de quebra tem mais Recursos que outros apps de troca de mensagens (já testei vários Whatsapp, messenger, signal, viber, line, skype, kakao talk, wire, wickr me, hangouts). Bom a criptografia de ponta a ponta pode até ser MAIS SEGURA, mas não quer dizer que a criptografia dos chats comuns (servidor-cliente) também não seja, pelo menos até agora ela não foi quebrada, por isso é segura sim.
    Mas de fato, o padrão é que importa, espero que o Telegram numa atualização futura, obrigue os novos usuários que criem da senha de 2FA ou oriente (advertindo sobre os riscos de não criá-la, assim como são os termos de serviço), afinal a GRAM está chegando e o app precisa ter credibilidade para poder fazer transações financeiras.
    **Só fico triste de ver alguns meios de comunicação dizendo que os chats do Telegram não criptografados**

  5. Um mal comum de nós, “geeks” por assim dizer, é taxar os demais de preguiçosos/burros por não conseguirem entender o que é óbvio para nós. Acredito que seja comum em outras áreas especializadas, mas como tecnologia se tornou pervasivo e inescapável na vida das pessoas, essa questão acaba aparecendo mais do que, sei lá, encanadores e pessoas comuns. Para lidar com esse costume, procuro pensar quando estou do outro lado da moeda.

    Mas divago do assunto, concordo com o texto, gostaria de saber o quanto do público usa 2FA no Telegram.

    Se a maioria não usa, não é seguro de fato (especialmente considerando que basta um vazar a conversa). Se as features serão alteradas para focar nisso em detrimento a praticidade, é uma decisão do Telegram como empresa, que espero estar sendo avaliada. Ou eles acham um jeito de convencer a maioria da userbase deles focar nesses aspectos (com defaults, notificações, etc…) ou acho complicado eles continuarem se vendendo como opção mais segura.

    1. Bom, todo mundo precisa ter algum conhecimento sobre leis, culinária, nutrição, farmácia, e as leis básicas da física pra conseguir viver basicamente. Até pra levar o carro no mecânico é útil entender do assunto para não ser enganado. Não acho que a informática é diferente.

      1. Mas onde é o corte de “básico” dessas coisas? Na minha opinião, 2FA e diferentes tipos de criptografia, não é algo que entra nesse categoria. Até concordo que um procurador/juiz deveria pensar nisso, mas não espero que uma pessoa comum de fato entenda bem esses conceitos.

        Mas indiferente da minha opinião ou a sua sobre o que as pessoas deveriam saber ou não, acho que em termos do produto o Telegram precisa refletir sobre esse caso.

        1. O básico, ao meu ver, seria a pessoa ter noção do que significam seus dados e a importância de protegê-los.

          Por que sua casa tem muro? Porque você tem noção do valor dela e quer proteger seu bem. Com dados, devia ser a mesma coisa.

          1. Muros existem porque pessoas não respeitam espaços. Mas no entanto, pense no conceito de condomínio fechado: as casas não tem muros de terreno (geralmente), e o muro de proteção é o arredor do condomínio.

            Isso vale para bairros e cidades pequenas: conhecendo a vizinhança, o risco de ser alvo de crimes diminuí.

          2. O ponto é que entender a diferença de criptografia ponto-a-ponto e cliente-servidor não é simples igual entender um muro.

            Podemos continuar repetindo que as pessoas deveriam saber, mas o fato é que a maioria está mais vulnerável que usando ZapZap

  6. Respeitosamente, discordo totalmente.

    É importante termos ferramentas que trazem esse tipo de configuração por padrão! E já temos algumas: WhatsApp (que tem outros problemas), Signal, etc.

    O Telegram não se propõe a isso: ele se propõe a ser um ótimo mensageiro por conveniência, e de bônus traz uma criptografia segura, ainda não quebrada. Não é de ponta-a-ponta, pois isso quebraria um dos principais propósitos do software: o cloud sync. Ele é mais do que só conversar com outra pessoa, tem muito mais usos do que isso e todos dependem de ele funcionar desse jeito. E mesmo assim, não deixa de ser pró-privacidade. Ele apenas encontrou um meio-termo entre completa segurança e conveniência, mas continua sem ter tido seu protocolo de criptografia quebrado, se negando a compartilhar informações com governos, sem telemetria desnecessária, e código (parcialmente, infelizmente) aberto.

    O que você parece estar propondo é que ele se torne um mensageiro praticamente idêntico aos outros. Não precisa! Isso faria ele deixar de ser o Telegram.

    Isso me leva a outro ponto: parece que tudo hoje em dia tem a obrigação de não requerer que as pessoas pensem. A sua rede social tem que achar as coisas pra você; o seu e-mail tem que organizá-los pra você; seu celular precisa dizer que você tem que beber água; seu relógio tem que dizer que você tá sentado faz muito tempo. As pessoas têm que voltar a tomar decisões conscientemente. Se você aceita ter várias babás e não precisar mais pensar em nada, também aceita que as babás nem sempre acertam. Se uma pessoa atravessa a rua mexendo no celular e é atropelada, não é culpa do celular por não dizer pra ela parar!

    O cérebro é um músculo e atrofia. Tem muita coisa que é conveniência e acaba trazendo evoluções em outras áreas mais importantes – ótimo! Mas como tudo, deve-se evitar os extremos.

    Um povo NUNCA vai se conscientizar sobre mass-surveilance e privacidade se não tiver que pensar sobre isso ao menos uma vez. Um povo não vai evoluir enquanto continuar confiando cegamente em ferramentas centralizadas pra tomarem suas decisões por si próprio.

    Criptografia ponta-a-ponta por padrão é algo lindo. Mas também é algo que arruinaria a maneira como uso meu app de mensagens padrão. É o motivo de EU não ter o mínimo interesse em uma alternativa como o Signal. Note: não estou desmerecendo ele, pelo contrário, elogiei. Enxergo que o que EU considero mais importante não é o que você considera, e portanto não quero que o Signal mude a maneira como funciona. Exatamente o contrário do que este post deu a entender.

    Configurações padrões são muito importantes – nos salvam tempo, e fazem com que a plataforma possa ser usada da maneira que foi pensada mais facilmente. Querer que todas as configurações padrões sejam a mesma é anti-usuário, anti-liberdade e, de certa maneira, perigoso.

    Eu entendo a sua opinião, Ghedin, e sei que a intenção por trás dela é super nobre. Mas não acredito que os pontos levantados neste post são o caminho pra isso.

    1. Quanta formalidade! Não se preocupe com “respeitosamentes”, eu sempre parto da premissa de que nossas discussões aqui são respeitosas :)

      Você está correto ao dizer que o Telegram tem esse diferencial e que mudá-lo para que se torne igual ao WhatsApp e demais apps poderia ser ruim, mas não é isso o que argumento no texto. Meu maior problema com a atuação do Telegram é a maneira como ele se vende, ao afirmar que é mais seguro que outras soluções. No momento em que se opta por não empregar a criptografia de ponta a ponta como padrão, poxa… aí não é mais seguro. Você mesmo diz que é mais cômodo e, quase sempre, a comodidade é alcançada à custa da segurança. O caso do Telegram não foge a essa regra.

      Edit: sobre o “buscar conhecimento”, se a gente tivesse que pensar em tudo, não conseguiríamos viver. Parte do pacote que o Telegram e qualquer software entrega é o de tomar essas mini-decisões por você — por isso, entre outras coisas, que a ideia do “design neutro” é uma das grandes mentiras do setor de tecnologia. A situação do Telegram fica mais grave porque, novamente, ele se vende como mais seguro que outras soluções e, ao mesmo tempo, opta por um comportamento evidentemente menos seguro (não criptografar de ponta a ponta por padrão).

      1. Sobre o “se vender”… concordo. Se entrar no site da plataforma, na lista de features, as duas primeiras são:

        – Private: Telegram messages are heavily encrypted and can self-destruct.
        – Cloud based: Telegram lets you access your messages from multiple devices.

        As duas são verdadeiras, mas não ao mesmo tempo. O chat normal tem criptografia e essa até o momento nunca foi quebrada, mas abre a brecha que aconteceu.

        Nesse caso acredito que o melhor seria clarificar esse tipo de coisa ao invés de alterar o comportamento da plataforma, afetando toda a user base.

        Sobre o edit, vou colar o comentário que fiz logo acima. Acho que tem sua base de verdade, e continuo defendendo que as pessoas deviam pelo menos ter mais conhecimento sobre como defender a si mesmas:

        “Bom, todo mundo precisa ter algum conhecimento sobre leis, culinária, nutrição, farmácia, e as leis básicas da física pra conseguir viver basicamente. Até pra levar o carro no mecânico é útil entender do assunto para não ser enganado. Não acho que a informática é diferente.”

        1. Para fazer as pessoas aprenderem sobre algo, deve existir uma condição para tal.

          Eu tinha este pensamento que “é fácil e qualquer um aprende”, mas com o tempo vi que não é bem assim. Pessoas vivem suas vidas como podem, como condicionadas; não como seres livres plenos.

          Aprender algo diferente para se aprimorar e ter mais algo no arsenal da mente requer que tenha material para isso, condições para ter este material na mão, etc…

          Se todo mundo conhecesse as leis, não precisaríamos de advogados, policiais e juízes. Todos se resolveriam baseados nas leis e pronto. Aprendemos sobre leis conforme vamos vivendo e em algum momento nos deparamos com a necessidade de usar a regra escrita pela sociedade para corrigir algo que nos fez mal ou fez mal a outro.

          No caso de informática e trânsito, ambos requerem que para o básico, sabia-se os princípios (operar, limites e condições de uso). No entanto, dado nossa qualidade de ensino (e de quem deveria ofertar ensino – inclusive geeks, no caso de tecnologia e informática), o usuário básico sofre para operar e fica no básico mesmo.

          Trabalho para usuários básicos há anos e sei que tenho alguma mínima responsabilidade quanto na hora de tentar repassar ao mesmo sobre limites de uso e situações que podem ser prejudiciais ao mesmo. No entanto, sei também que o usuário tem outras preocupações e ele certamente esquecerá condições de uso que serão prejudiciais a mesma.

          Quando se desenvolve um sistema voltado ao usuário comum, noto que para o programador, o que importa é que apenas funcione, ignorando o design de uso e as condições possíveis que sejam prejudiciais a mesma. Isso vale também para ignorada EULA.

          Então jogar nas costas do usuário comum ignora que muitas vezes quem cria a condição, no final quer se aproveitar da ingenuidade do mesmo usuário.

    2. Acho que o ponto-chave aqui não é a criptografia de ponta-a-ponta e sim a autenticação dupla (seja por SMS ou por um gerador como o Authy ou por uma senha como o Telegram faz) que pode ser ligada e tornada padrão sem prejuízo ao modelo de negócios e de uso do Telegram. NO mundo ideal sequer deveríamos nos preocupar com esse tipo de coisa, mas, não estamos nem perto de um mundo ideal e, nesse sentido, empresas e governos que joguem à favor das pessoas e dos seus direitos devem ser elogiados e aqueles que jogam contra ou se omitem devem ser apontados por quem tem conhecimento.

      Jogar a culpa do comportamento para as pessoas é a saída fácil da sociedade de consumo hiper-individualizada que ignora fatores sociais, de marketing, mecanismos psicológicos de tomada de decisões etc. Um prejuízo voltado para uma pessoa é um prejuízo para toda a sociedade. Uma corrente é tão fraca quanto o sei elo mais fraco.

      Devemos, outrossim, pressionar empresas para que essas ofereçam “by design” soluções seguras e que respeitem-nos como indivíduos. Isso deveria ser o mínimo socialmente aceito e qualquer coisa fora desse padrão não deveria ser aceita pela sociedade e a empresa deveria ser pressionada a mudar isso.

  7. Por padrão, Whatsapp deixa o números de todos expostos e a quaisquer um, e isso não me parece seguro e privado. O que piorou muito, quando eles copiaram os convites por link para grupos, onde o aumento de vazamentos de áudios, videos, mensagens e prints passou a ser gisgantesco, tendo casos praticamente todos os dias, envolvendo autoridades ou não!
    Quem buscou o aplicativo para ter mais segurança nas conversas, deveria sim, saber o que está usando e como se proteger ao máximo, ainda.mais sendo pessoas esclarecidas, fora que os “especialistas” não conseguem enxergar que o Telegram não é apenas um mensageiro limitado, tem N funções. Então não pode impor um padrão de uso as pessoas, que muitas das vezes só querem acompanhar um canal que lhes interessa no aplicativo!
    BR é phoda, quer sempre procurar uma desculpa para seus erros…

    Padrão muda a todo momento em todos os seguimentos, produtos e serviços, a pessoa tem que se informar!

    1. Marcelo, você concluiu sozinho que o WhatsApp é mais seguro/melhor. No texto, limito-me a dizer que ele tem uma vantagem na segurança por oferecer criptografia de ponta a ponta por padrão. Apenas isso.

      Sobre o “as pessoas deveriam saber o que estão usando”, peço que leia a resposta acima, que dei ao Matheus.

      E qual o motivo dessa síndrome de vira-lata (“BR é phoda”)? Estamos debatendo um assunto sério e que transcende nacionalidades. Pode ter certeza que em outros lugares do mundo essa questão é igualmente importante e preocupante.