Como escolher um mensageiro “seguro”

Este texto é uma tradução levemente modificada do que saiu aqui, escrito por blacklight447.


Outro dia, uma pessoa perguntou no nosso fórum sobre as diferenças entre os mensageiros seguros (os programas de bate-papo).  Em vez de listar uma cacetada de diferentes softwares e suas características, resolvi começar definindo “seguro” e outros termos chave no contexto dos mensageiros instantâneos (chats). Isso porque um mensageiro que é “seguro” para mim não vira automaticamente “seguro” para outra pessoa.

Primeiro, precisamos desconstruir o significado de segurança. Que tal começar com os conceitos confidencialidade, integridade e disponibilidade?

  • Confidencialidade significa que somente as partes desejadas podem ler as mensagens.
  • Integridade significa ter certeza de que sua mensagem não foi alterada antes de chegar no destino, o que muita gente não da muita importância.
  • Disponibilidade significa garantir que todas as partes tenham acesso adequado às suas mensagens.

Se te interessar, leia mais sobre isso aqui.

Então, se a gente quer um mensageiro “seguro”, no que será que devemos ficar ligadas?

A resposta são quatro coisas: segurança, privacidade, anonimato e usabilidade.

  • Segurança: Em resumo, segurança significa que apenas os destinatários receberam sua mensagem, que eles conseguem acessá-la adequadamente e que a mensagem não foi modificada por terceiros.
  • Privacidade: é ter o conteúdo de suas comunicações protegido de terceiros, mas não necessariamente as identidades de quem está se comunicando. Por exemplo, duas colegas no espaço de trabalho vão para uma outra sala para conversar entre si: você sabe quem está lá e que elas estão conversando, mas não sabe o que estão dizendo. Essa conversa é privada.
  • Anonimato: significa proteger as identidades das partes em comunicação, mas não necessariamente o conteúdo. Por exemplo, um delator anônimo vaza um documento para o público; o centeúdo do vazamento deixou de ser privado e passou para o conhecimento público, mas não sabemos quem o vazou; o delator é anônimo.
  • Usabilidade: diz respeito à facilidade de usar alguma coisa; geralmente é o elemento mais menosprezado da mensageria segura. Se um aplicativo é muito difícil ou frustrante de usar, muitas pessoas simplesmente optarão por alternativas menos seguras, porém mais fáceis. A baixa usabilidade é a razão pela qual a criptografia PGP de email nunca foi adotada pelas massas: é um saco usá-la. Roger Dingledine, do Projeto Tor, escreveu um artigo bem legal sobre por que a usabilidade é tão importante em sistemas seguros.

Agora que já entendemos as facetas mais importantes da mensageria segura, temos que falar sobre modelo de ameaças.

Modelo de ameaças é algo que você tem que fazer antes de escolher seu mensageiro, porque não existe nenhum mensageiro glorioso que funcionará universalmente para todo mundo. Parece que poucas pessoas entendem qual é o seu modelo de ameaças. Para começar, aqui vão algumas perguntas que você pode fazer a si mesma:

  • O que estou protegendo? Vocês está protegendo o conteúdo da mensagem? Sua identidade? Os metadados? Sua localização? Talvez uma combinação de tudo isso?
  • De quem estou me protegendo? Você está se protegendo das companhias de propaganda? de governos? De um parceiro abusador? Hackers? Cada um desses oponentes possui suas próprias fraquezas e potências; um governo tem muita grana, mas uma hacker pode quebrar a lei.
  • Qual será o impacto caso a coisa que estou protegendo caia nas mãos do meu adversário? Os mesageiros que melhor protegem o conteúdo e os metadados costumam ser os menos conveniente de usar. Então, considere quanta usabilidade você está disposta a sacrificar para proteger essas coisas. Você está protegendo suas paixões secretas ou é uma situação de vida ou morte?

Beleza, já pensei no meu modelo de ameaças. E agora?

Tendo construído seu modelo de ameaças, e sabendo o que você está protegendo e de quem, podemos começar a dar uma olhada nos mensageiros que estão por aí. Vejamos dois exemplos:

Signal: é um mensageiro de código aberto, criptografado de ponta a ponta e privado. É bem fácil de usar e não exige que o usuário saiba nada sobre criptografia ou segurança em geral. Ele fornece privacidade em mensagens e chamadas através da criptografia de ponta a ponta, e porque ele é tão ridículo de usar, você terá menos trabalho em migrar seus contatos de aplicativo. Entretanto, já que o Signal necessita de um número de telefone para registrar-se ele não é , e nunca disse que era, anônimo.

Briar: é um mensageiro com criptografia de ponta a ponta que utiliza a rede Tor para se manter anônimo. Por funcionar como um mensageiro de par a par (ou seja, não existem servidores entre os usuários distribuindo suas mensagens) dentro da rede Tor, seus metadados e o conteúdo de suas mensagens estão protegidos. O problema da natureza par a par do Briar é que ambas as partes devem estar online ao mesmo tempo para mandar mensagens, o que diminui a usabilidade.

Agora, se você ou um contato seu acredita que é alvo das agências de inteligência do governo, o Briar seria uma opção melhor para manter sua identidade segura. Isso acontece porque, mesmo que o Briar não seja o serviço mais fácil, ele não irá expor os metadados que poderão revelar quem, quando ou mesmo se você alguma vez interagiu com outro usuário.

Entretanto, se você é um cidadão comum conversando com amizades ou com a família sobre assuntos tranquilos, o Signal provavelmente seria mais apropriado. As conversas no Signal são criptografadas de ponta a ponta e privadas, mas dado que ele usa seu número de telefone é possível identificar os contatos do usuário e outros metadados. O principal benefício do Signal é que ele é extremamente fácil de usar, é essencialmente a mesma experiência do WhatsApp. Assim, usuários menos preocupados com privacidade/segurança tem mais chance de adotá-lo.

Tá, então temos um modelo de ameaças e sabemos a diferença entre segurança, privacidade, anonimato e usabilidade. Como vou saber qual mensageiro fornece o quê?

Boa pergunta! Existem algumas coisas que se pode ficar de olho quando for escolher um mensageiro:

  • Criptografia de ponta a ponta: isso significa que somente a pessoa para quem você enviou a mensagem pode ler o conteúdo da mensagem.
  • Código aberto: isso significa que o código fonte do programa está disponível para ser lido, permitindo àquelas pessoas com tempo e conhecimento verificarem se ele é tão seguro quanto se diz. (Bonus points if reproducible builds are available. This means you can copy the source code, follow the build instructions and end up with an exact copy of the application distributed by the developers. This allows us to ensure that the app in use is actually the same as the source code.)
  • Par a par: em inglês P2P ou peer-to-peer significa que suas mensagens vão diretamente para o dispositivo dos seus contatos e que não existem terceiros envolvidos no tráfico de dados. Cuidado: embora isso signifique que nenhuma entidade central esteja coletando seus metadados e mensagens num servidor, se você não proteger seu IP qualquer pessoa que estiver olhando sua conexão poderá ver com quem você conversa e por quanto tempo, potencialmente quebrando seu anonimato. Como foi mencionado acima, o Briar consegue resolver isso usando a rede Tor.
  • Metadados: são todas as informações sobre uma mensagem exceto o seu conteúdo. Alguns exemplos de metadados são: remetente, destinatário, hora de envio e localização de quem enviou. Daria pra descrever os metadados como “registros de atividade“. Dependendo do seu modelo de ameaças, pode ser importante garantir que certos metadados não estejam disponíveis para o seu adversário.
  • Informações de registro: quais informações são pedidas a você antes de usar um serviço? Quando o número de telefone é requisitado, como no Signal, será difícil manter o anonimato porque o número geralmente está associado com a sua identidade real. Se o anonimato é parte do seu modelo de ameaças, procure um mensageiro com o mínimo possível de informações de registro.

Lembre-se que às vezes é melhor usar uma solução não tão perfeita caso ela ofereça uma usabiliade melhor, pois isso te ajudará a manter teus contatos longe de alternativas menos seguras. Por exemplo, levar a sua família para o Signal, ou mesmo para o WhatsApp é um passo enorme em relação a SMS, pois as mensagens de telefone são enviadas em texto puro. Claro, as mensagens enviadas pelo zap não são anônimas, os metadados estarão disponíveis, porém essa mudança já um grande passo em termos de segurança, e você estará melhor com ela do que tentando migrar todo mundo para o mensageiro mega-ultra-seguro-anônimo, que é um pé no saco de usar, e que ao ver que é difícil as pessoas acabarão voltando para a SMS. Como disse Voltaire:

O perfeito é inimigo do bom.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *