A galera do blog Saltamontes começou uma nova tradução. Segue abaixo a postagem de anúncio.
…
A ofuscação é a adição deliberada de informações ambíguas, confusas ou enganosas para interferir na vigilância e na coleta de dados. É uma coisa simples, com muitas aplicações e usos diferentes e complexos.
Começamos a tradução do livro “Ofuscação, Um Guia do Usuário para Privacidade e Protesto” de Finn Brunton e Helen Nissenbaum, publicado em 2015.
A tática da ofuscação nos parece adequada e justificável como forma de sabotar o capitalismo de vigilância. Dentro do campo da segurança da informação e dos movimentos pela privacidade, esse livro parece o único a apontar nessa direção. Como disse James Scott, no artigo “Formas cotidianas de resistência camponesa“, a maioria das táticas de enfrentamento dos camponeses, ao contrário dos espetaculares movimentos operários das cidades, eram informais, dispersas, sem liderança, clandestinas. Ações como “furtos de arroz, a debulha incompleta, deixando grãos no caule para outros membros da família respigarem, boicotes aos agricultores que pagavam pouco ou, no início, que usavam as máquinas de ceifar e debulhar, a matança de animais dos ricos que invadiam hortas, e todo tipo de boatos, difamações, e ameaças veladas” compunham essa resistência do dia a dia. A ofuscação funciona nesse sentido: areia escorrendo lentamente para dentro da máquina.
Foram 10 anos difíceis em cibersegurança – e só está piorando.
Na última década, hackear tornou-se menos uma novidade e mais um fato da vida de bilhões de pessoas em todo o mundo. Pessoas comuns perderam o controle de seus dados, enfrentaram vigilância invasiva de regimes repressivos, tiveram suas identidades roubadas, perceberam que um estranho estava à espreita em sua conta Netflix, lidaram com blecautes da Internet impostos pelo governo ou, pela primeira vez, literalmente se viram pegos no meio de uma guerra cibernética destrutiva.
Há décadas era previsível que um mundo cada vez mais informatizado inevitavelmente convidaria ameaças digitais constantes. Mas a evolução real do hackeamento – com todos os seus golpes, mercados negros criminosos e forças patrocinadas pelo Estado – tem sido caracteristicamente humana, não um artefato estéril e desapaixonado de um futuro desconhecido. Aqui em ordem cronológica estão as violações de dados e ataques digitais que ajudaram a moldar a década. Dê um passeio cheio de ansiedade pela estrada da memória – e se cuide lá fora.
Stuxnet
O Stuxnet foi o primeiro malware a causar danos físicos a equipamentos, cruzando uma linha muito temida. Criado pelo governo dos Estados Unidos e Israel, o worm foi usado em 2010 para destruir centrífugas em uma instalação iraniana de enriquecimento nuclear. O Stuxnet interconectou quatro chamadas vulnerabilidades de dia zero (zero-day exploits) juntas para primeiro atingir o Microsoft Windows e, em seguida, procurar um software de controle industrial chamado Siemens Step7 na rede comprometida. A partir daí, o Stuxnet manipulou os controladores lógicos programáveis que automatizam os processos industriais. Embora o Stuxnet tenha atingido o programa nuclear iraniano, ele também poderia ter sido usado em outros ambientes industriais.
Shamoon
Shamoon é um “limpador” para Windows que indexa e carrega os arquivos de um computador-alvo para o do atacante, depois limpa os dados e destrói o “registro mestre de inicialização” do computador-alvo, que o primeiro setor fundamental do disco rígido de um computador. O Shamoon pode se espalhar através de uma rede e foi famoso em um ataque destrutivo em agosto de 2012 contra a companhia de petróleo da Arábia Saudita Saudi Aramco. Basicamente destruiu 30.000 computadores. Alguns dias depois, Shamoon atingiu a empresa RasGas, do Catar.
O Shamoon foi desenvolvido por hackers iranianos apoiados pelo Estado, aparentemente inspirando-se em ferramentas ofensivas de hackers criadas pela Agência de Segurança Nacional (EUA), incluindo o Stuxnet e as ferramentas de espionagem Flame e Duqu. Uma versão evoluída do Shamoon ressurgiu em uma série de ataques durante 2017 e 2018. O worm é significativo por ser um dos primeiros usados em ataques de Estados nacionais que foram criados para destruição de dados e para tornar inoperantes os dispositivos infectados.
Sony Hack
Em 24 de novembro de 2014, um esqueleto vermelho apareceu nas telas dos computadores nas operações da Sony Pictures Entertainment nos Estados Unidos. Os hackers que se autodenominavam “Guardiões da Paz” haviam se infiltrado nas redes da empresa e alegavam ter roubado 100 terabytes de dados. Mais tarde, eles jogaram centenas de gigabytes, incluindo filmes inéditos da Sony, e-mails, e-mails internos, detalhes sobre remuneração de atores e informações sobre funcionários, como salários, avaliações de desempenho, dados médicos sensíveis e números de Seguro Social. Os atacantes causaram estragos nos sistemas da Sony, não apenas roubando dados, mas liberando um malware limpador para excluir arquivos e configurações, para que a Sony tivesse que reconstruir grandes partes de sua infraestrutura digital do zero. O hackeamento acabou sendo revelado como obra do governo norte-coreano, provavelmente em retaliação pelo lançamento de The Interview, uma comédia sobre o assassinato de Kim Jong-un.
Violação do Escritório de Gestão de Pessoas (EUA)
Uma das violações de dados mais insidiosas e importantes da década é a violação do Office of Personnel Management, que era realmente uma série de violações e infecções orquestradas pela China durante 2013 e 2014. O OPM é o departamento administrativo e de recursos humanos dos funcionários do governo dos EUA e armazena uma grande quantidade de dados muito confidenciais, porque gerencia liberações de segurança, realiza verificações de antecedentes e mantém registros de todos os funcionários federais anteriores e atuais. Para hackers que buscam informações sobre o governo federal dos EUA, esse é um tesouro inigualável.
Os hackers vinculados ao governo chinês entraram na rede da OPM duas vezes, primeiro roubando os projetos técnicos da rede em 2013 e iniciando um segundo ataque logo depois, no qual obtiveram o controle do servidor administrativo que gerenciava a autenticação para todos os outros logins do servidor. Em outras palavras, quando o OPM percebeu o que de fato havia acontecido e agiu para remover os invasores em 2015, os hackers já haviam conseguido roubar dezenas de milhões de registros detalhados sobre todos os aspectos da vida dos funcionários federais, incluindo 21,5 milhões de números do Seguro Social e 5,6 milhões de registros de impressões digitais. Em alguns casos, as vítimas não eram nem funcionários federais, mas estavam simplesmente ligadas de alguma forma a funcionários do governo que haviam sido submetidos a verificações de antecedentes. (Essas verificações incluem todos os tipos de informações extremamente específicas, como mapas da família, amigos, associados e filhos de uma pessoa.)
Os dados roubados do OPM nunca circularam online ou apareceram no mercado negro, provavelmente porque foram roubados por seu valor de inteligência e não por seu valor criminal. Os relatórios indicaram que os operadores chineses podem ter usado as informações para complementar um banco de dados catalogando os cidadãos dos EUA e a atividade do governo.
Blecautes Ucranianos
Dois momentos cruciais da década ocorreram em dezembro de 2015 e 2016, quando a Rússia, já em guerra física com a Ucrânia, lançou dois ataques digitais contra a rede elétrica que causou dois apagões muito sérios. Ambos os ataques foram orquestrados pelo grupo de hackers do governo russo Sandworm, conhecido por suas campanhas agressivas. O primeiro apagão foi causado por um conjunto de malware, incluindo uma ferramenta chamada BlackEnergy, que permitia aos hackers roubar credenciais e obter acesso para desativar manualmente os disjuntores. O segundo visava uma única estação de transmissão com um malware mais evoluído, conhecido como Crash Override ou Industroyer. Nesse ataque, os hackers poderiam manipular diretamente os sistemas que controlam os fluxos de energia, em vez de ter que usar artimanhas como no primeiro ataque à rede. O segundo ataque que causou blecaute foi planejado para destruir fisicamente equipamentos, resultando em danos duradouros se tivesse ocorrido conforme planejado. Um pequeno erro técnico, no entanto, resultou que o apagão durou apenas cerca de uma hora.
Embora os blecautes induzidos por hackers tenham sido um pesadelos imaginado há décadas, o Sandworm foi o primeiro grupo de hackers a realmente lançar ataques de rede disruptivos no mundo físico. Ao fazer isso, a Rússia também demonstrou que não estava apenas travando uma guerra cinética com a Ucrânia, mas uma guerra cibernética avançada.
The backbone of America — banks, oil and gas suppliers, the energy grid — is under constant attack by hackers. But the biggest cyberattacks, the ones that can blow up chemical tanks and burst dams, are kept secret by a law that shields U.S. corporations.
Shadow Brokers
Um grupo que se autodenominava Shadow Brokers apareceu pela primeira vez em agosto de 2016, publicando uma amostra de ferramentas de espionagem que alegou terem sido roubadas do Equation Group da Agência de Segurança Nacional (EUA), um grupo de elite de hackers focado em espionagem internacional. Mas em abril de 2017, o grupo lançou outro conjunto mais extenso de ferramentas da NSA que incluíam uma exploração do Microsoft Windows conhecida como “EternalBlue”.
Essa ferramenta tira proveito de uma vulnerabilidade no protocolo de compartilhamento de arquivos Server Message Block da Microsoft, presente em praticamente todos os sistemas operacionais Windows da época. A Microsoft lançou um patch para a falha, a pedido da NSA, apenas algumas semanas antes dos Shadow Brokers tornarem o EternalBlue público, mas os usuários do Windows – incluindo grandes instituições – demoraram a adotá-lo. Isso abriu as portas para um ataque de hackers relacionados ao Eternal Blue em todo o mundo.
O primeiro exemplo de destaque é o ransomware malformado conhecido como WannaCry, que usou o EternalBlue para varrer o mundo em 12 de maio de 2017. Construído por hackers norte-coreanos patrocinados pelo Estado aparentemente para gerar receita e causar algum caos, o ransomware atingiu serviços públicos e grandes empresas, principalmente na Europa e no Reino Unido. Por exemplo, o WannaCry atrapalhou hospitais e instalações do Serviço Nacional de Saúde no Reino Unido, impactando as salas de emergência, procedimentos médicos e atendimento geral ao paciente.
Os pesquisadores suspeitam que o WannaCry foi um tipo de experimento que escapou do laboratório – um malware que os hackers norte-coreanos ainda estavam desenvolvendo quando perderam o controle. Isso ocorre porque o ransomware possui grandes falhas de design, incluindo um mecanismo que especialistas em segurança foram capazes de usar como um interruptor para impedir a disseminação do WannaCry. O ransomware gerou apenas cerca de 52 bitcoins para os norte-coreanos, que valiam menos de US $ 100.000 na época e cerca de US $ 369.000 atualmente.
O vazamento do Eternal Blue e sua subsequente exploração em massa alimentaram o debate sobre se as agências de inteligência e as forças armadas dos EUA deveriam acumular conhecimento das principais vulnerabilidades de software e como explorá-las, para fins de espionagem e ataques ofensivos. Atualmente, a comunidade de inteligência usa uma estrutura chamada “Processo de Equidades de vulnerabilidade” (Vulnerability Equities Process) para avaliar quais bugs são de importância suficientemente grande para a segurança nacional e devem permanecer secretos e sem patches. Mas alguns argumentam que esse mecanismo de supervisão não é adequado, dado o péssimo histórico do governo dos EUA em garantir a segurança dessas ferramentas e a ameaça de outro incidente do tipo WannaCry.
Hackeamento das eleições presidenciais de 2016 nos EUA
Os hackers russos não passaram a última década apenas aterrorizando a Ucrânia. Eles também lançaram uma série de campanhas de desinformação e vazamento de dados desestabilizadores contra os Estados Unidos durante a temporada de campanha das eleições presidenciais de 2016. Dois grupos de hackers russos conhecidos como APT 28 ou Fancy Bear e APT 29 ou Cozy Bear realizaram campanhas maciças de desinformação de mídia social, usaram ataques de phishing por email para violar o Comitê Nacional Democrata e vazaram publicamente a correspondência embaraçosa da organização e se infiltraram na conta de email de John Podesta, chefe da campanha de Hillary Clinton. Operadores russos vazaram os dados roubados através da plataforma anônima WikiLeaks, alimentando controvérsia no momento em que os eleitores dos Estados Unidos formavam suas opiniões sobre em quem poderiam votar no dia da eleição. Os hackers russos também se intrometeram nas eleições presidenciais francesas em 2017.
A Rússia está longe de ser o único país a tentar promover seus interesses por meio de interferência eleitoral. Mas o país foi talvez o mais descarado de todos os tempos e escolheu um alvo de alto nível, concentrando-se nos EUA em 2016.
NotPetya
Em 27 de junho de 2017, uma onda do que parecia ser um ransomware se espalhou pelo mundo. Porém, o NotPetya, como seria chamado, não foi um ataque de ransomware – foi um malware destrutivo criado para bloquear computadores, devastar redes e criar o caos. O NotPetya foi desenvolvido pelo grupo russo de hackers Sandworm, aparentemente para atingir a Ucrânia. Os danos na Ucrânia foram extensos, mas o malware se mostrou muito virulento e se espalhou pelo mundo, atingindo empresas multinacionais, inclusive na Rússia. No total, o governo dos EUA estima que o NotPetya resultou em pelo menos US $ 10 bilhões em danos, interrompendo empresas farmacêuticas, transporte marítimo, empresas de energia, aeroportos, transporte público e até serviços médicos na Ucrânia e em todo o mundo. Foi o ataque cibernético mais caro de todos os tempos.
NotPetya foi o que pode ser chamado de ataque à cadeia de suprimentos. Os hackers espalharam o malware pelo mundo comprometendo as atualizações do sistema do onipresente software de contabilidade ucraniano MeDoc. Quando usuários regulares do MeDoc executavam uma atualização de software, eles inadvertidamente baixavam o NotPetya também. Além de tornar visível o perigo crítico de danos colaterais na guerra cibernética, o NotPetya também ressaltou a ameaça real de ataques à cadeia de suprimentos, especialmente em software.
Equifax
Embora tenha chegado relativamente tarde na década, a enorme violação de 2017 da empresa de monitoramento de crédito Equifax é a mãe de todas as violações de dados corporativos, tanto por sua escala e gravidade, quanto porque a Equifax lidou com a situação tão mal. O incidente expôs as informações pessoais de 147,9 milhões de pessoas – os dados incluíam datas de nascimento, endereços, alguns números de carteira de motorista, cerca de 209.000 números de cartão de crédito e números de Seguro Social – o que significa que quase metade da população dos EUA teve potencialmente exposto seu identificador secreto crucial.
A Equifax divulgou a violação no início de setembro de 2017 e, ao fazê-lo, desencadeou outra série de eventos infelizes. O site informativo que a empresa montou para as vítimas era vulnerável a ataques e solicitou que os últimos seis dígitos dos números de previdência social das pessoas para verificar se seus dados foram afetados pela violação. Isso significava que a Equifax estava pedindo aos estadunidenses que confiassem neles com seus dados novamente. A Equifax também transformou sua página de resposta a violações em um site independente, em vez de fazer parte de seu domínio corporativo principal – uma decisão que convidava a cosntrução de sites de impostores e tentativas agressivas de phishing. A conta oficial do Equifax no Twitter twittou por engano um link de phishing em particular quatro vezes. Quatro vezes! Felizmente, o link era uma página de pesquisa de prova de conceito, não um site malicioso real. Desde então, houve inúmeras indicações de que a Equifax possuía uma cultura de segurança perigosamente negligente e falta de procedimentos resposta preparados.
Embora tenha sido notavelmente grave, a violação do Equifax é apenas uma de uma longa linha de violações problemáticas de dados corporativos que assolaram os últimos 10 anos. A violação da Target no final de 2013 que comprometia os dados de 40 milhões de clientes agora parece um ponto de virada na conscientização geral sobre dados em risco. Logo depois, as empresas Neiman Marcus e Michaels anunciaram grandes violações de dados de clientes em 2014. Em setembro do mesmo ano, a Home Depot também foi violada, expondo informações de aproximadamente 56 milhões de cartões de crédito e débito de clientes.
E, em julho de 2015, os hackers violaram o Ashley Madison, um site que existe especificamente para facilitar casos e encontros extraconjugais. Em um mês, os hackers haviam postado quase 10 gigabytes de dados roubados no site, que continham detalhes do cartão de pagamento e da conta de aproximadamente 32 milhões de usuários da Ashley Madison. Essa informação incluía detalhes sobre preferências e orientações sexuais. Para os usuários que digitaram seu nome real – ou um pseudônimo reconhecível – no site, o conjunto de dados simplesmente revelou o fato de que eles tinham uma conta na Ashley Madison, além de vincular informações pessoais a eles. Embora a violação tenha gerado muitas manchetes durante o verão de 2015, também teve grandes consequências para os usuários do site.
Aadhaar
O banco de dados de identificação governamental Aadhaar armazena informações pessoais, biometria e um número de identificação de 12 dígitos para mais de 1,1 bilhão de cidadãos indianos. O Aadhaar é usado em tudo, desde a abertura de uma conta bancária até a inscrição em serviços públicos ou para cadastrar uma conta de telefone celular. E as empresas de tecnologia podem se conectar à Aadhaar para rastrear os clientes. Todas essas interconexões, no entanto, levaram a numerosas exposições importantes aos dados do Aadhaar quando terceiros, ou o próprio governo indiano, armazenam as informações de maneira inadequada. Como resultado, os pesquisadores estimam que todos os 1,1 bilhão de números de Aadhaar e grande parte dos dados associados foram violados apenas durante o ano de 2018. Há um mercado negro em expansão para esses dados.
Pouquíssimas instituições têm dados de um bilhão de pessoas a perder. Por outro lado, há o Yahoo, que sofreu duas violações de dados separadas. Uma delas, que ocorreu no final de 2014 e foi divulgada em setembro de 2016, expôs 500 milhões de contas do Yahoo. Outra, que ocorreu em agosto de 2013 e foi originalmente divulgada em dezembro de 2016, revelou em outubro de 2017 que expôs todas as contas do Yahoo existentes em 2013, totalizando três bilhões.
Violações de dados como OPM e Equifax são complicadas, porque aparentemente são o resultado da espionagem do Estado nacional e os dados nunca vazam publicamente ou mesmo em fóruns criminais. Isso significa que é difícil avaliar o risco diário das pessoas comuns representadas por essas violações. Mas com exposições como Aadhaar, Yahoo, Target e muitas outras em que os dados vazam publicamente e começam a circular na dark web, há uma conexão muito clara com fraudes generalizadas, comprometimentos de contas digitais e os golpes que se seguem.
Na primeira vez que ouvi falar de engenharia social, tentei adivinhar: seria uma forma mais eficiente de organizar pessoas, ou um termo politicamente correto da área de RH, ou ainda uma forma de programação comportamental das massas?
Apesar da wikipedia-inglês dizer que esta última opção seria válida para o campo da política (onde o Estado ou a mídia tentariam direcionar a vontade das pessoas), o que nos interessa aqui é a sua conotação no campo da segurança. Ou seja, simplesmente, engenharia social é sinônimo de manipulação.
Tá, vamos a uma definição mais formal. Segundo a wikipedia, “no contexto da segurança da informação, engenharia social é a manipulação psicológica de uma pessoa para fazê-la realizar certas ações ou revelar informações confidenciais. Ela difere de um simples golpe ao geralmente envolver vários passos complexos para montar o esquema”.
Como normalmente esse tipo de tática é usado contra grandes empresas (corporações, bancos, etc) e órgãos do governo (ministérios, aeroportos, usinas, etc.), os coletivos e organizações que visam transformação social quase nunca ouviram falar de engenharia social. Por outro lado, nesses casos, a infiltração parece ser o mais comum. Quem sabe falamos sobre isso em outra postagem.
Mas quais seriam esses “passos complexos para montar o esquema”?
Antes de apresentar um passo a passo, é preciso dizer que a engenharia social explora o ponto mais fraco de um sistema informático: o ser humano. Seja por erro técnico, ingenuidade ou percepção equivocada, uma pessoa é muito mais facilmente enrolada do que software ou uma fechadura.
O lendário hacker Kevin Mitnick escreveu um livro sobre o assunto, chamado A arte de enganar: controlando o fator humano na segurança da informação. Aqui está o PDF do livro em português. Ele define:
A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.
A paranoia tá subindo? Pois é. Vamos levantá-la mais um pouco.
Niall Merrigan, na sua palestra “Psychology of Social Engineering“, aponta algumas das fraquezas humanas exploradas na engenharia social e dá diversos exemplos, principalmente da área de marketing. Na verdade, certos padrões de comportamento humano não são necessariamente fraquezas em si, mas como são previsíveis, Merrigan afirma, você vai usá-los a seu favor.
Um padrão segundo o qual todas nós operamos é chamado de viés cognitivo. Vejamos a wikipedia:
Um viés cognitivo (ou tendência cognitiva) é um padrão de distorção de julgamento que ocorre em situações particulares, levando à distorção perceptual, julgamento pouco acurado, interpretação ilógica.
Esse viés, somado à nossa experiência cotidiana, possivelmente gera o senso comum e os preconceitos. O primeiro é aquilo esperado de qualquer pessoa numa determinada sociedade (como formas de cortesia, cumprimentos, subentendidos, etc). Alguns preconceitos também podem fazer parte do senso comum, mas se, além disso, você descobre aqueles que são particulares da pessoa na sua frente, então é como fazer micro-targeting: modular os assuntos e as maneiras de falar sobre eles para causar um efeito esperado. Fascistas têm preconceitos e obviamente anarquistas também! O processo mental é o mesmo, logo, dá para explorar da mesma forma em qualquer pessoa.
A wikipedia fornece os seguintes exemplos de vieses cognitivos:
Enquadramento: É se usar uma abordagem bastante ortodoxa na descrição de uma situação ou problema. Viés de retrospecto às vezes chamado de “eu-sabia-de-tudo”: É a inclinação para ver os eventos do passado como sendo previsíveis. Viés de confirmação: É a tendência para procurar ou interpretar informações de uma maneira que confirme preconceitos próprios. Viés da autoconveniência: É a tendência de reivindicar mais responsabilidade pelos sucessos do que pelas falhas. Este viés também pode se manifestar como a tendência de avaliar informações ambíguas de uma forma benéfica a interesses próprios.
Sabendo disso e com um pouco de dissimulação e preparo, é possível conseguir se passar por uma autoridade simplesmente vestindo uma roupa e um crachá adequados ou imitando um site oficial. Dar o que as pessoas esperam é metade do caminho.
E então, como é que faz?
Chris Pritchard lista uma série de dicas na sua palestra “The basics of social engineering” sobre como realizar um “ataque”. Vou colocar aqui um resumo do resumo, ou seja, muita coisa vai se perder, mas acho que vale.
Fazer reconhecimento
Pesquisar as informações que estão públicas (open source intelligence, OSINT – isso merece uma postagem também!)
Ir ao local (se você vai precisar entrar num prédio, terreno, etc.)
Como as pessoas se vestem ali?
Entenda os padrões de horários (intervalos, horário de maior movimento, etc)
Como as pessoas se identificam? (crachás, uniformes, etc)
Construa seu pretexto (por que você está ali?)
Use sempre o que você já conhece
Use a verdade
Vista-se adequadamente
Carregue e use coisas adequadas ao seu pretexto (equipamentos)
Portões
Conheça as entradas
Conseguiu entrar! E agora?
Mantenha a calma (a adrenalina sempre aumenta)
Lembre-se das infos que você coletou previamente sobre o lugar
Observe o local por dentro: onde estão as saídas, os banheiros
Não tenha medo de pedir ajuda.Na verdade, peça ajuda: é uma forma rápida de criar um laço de confiança
Sempre use o tom formal ao iniciar uma conversa
Fale de modo positivo (ex.: “vim aqui para…”, o contrário seria “não vim aqui para roubar nada, viu?”)
Outras coisas:
O medo está sempre presente
Esconda-se no banheiro para se acalmar
Resolva os problemas éticos da sua ação antes de ir para o campo
Esse é um trabalho muito exaustivo
Uma forma simplificada de descrever o ciclo da engenharia social é:
Coleta de informações
Interação com a vítima
Ataque
Fechamento da interação
Além do viés cognitivo, ou desdobrando-se dele, a engenharia social usa seis pressupostos ou princípios sobre a interação humana:
Reciprocidade: as pessoas tendem a retornar um favor
Comprometimento: se uma pessoa se compromete a fazer algo, é bem provável que ela irá fazê-lo em nome da sua honra/autoimagem.
Adequação social: as pessoas tendem a fazer o que as outras fazem.
Autoridade: as pessoas tendem a obedecer a figuras de autoridade.
Preferência: as pessoas são facilmente persuadidas pelas pessoas que elas gostam.
Escassez: a escassez gera demanda.
A maioria das pessoas querem parecer legais.
Provavelmente o seu viés cognitivo está lhe dizendo: “isso só acontece com as outras, eu não caio nessa”. Ãham.
Agora que você sabe como a coisa funciona e que a galera que faz isso não tá de brincadeira, segue abaixo algumas formas simples de evitar ser vítima de engenharia social.
Nunca entregue a sua senha para ninguém (ninguém!)
Verifique a fonte (link, pendrive, site) ou a origem (pessoa, organização, solução etc.) por outros meios
Diminua a velocidade da interação: o estresse de ter que tomar uma decisão rapidamente pode turvar o seu discernimento
Quando a esmola é demais, o santo desconfia (veja se o atacante não está tocando na sua corda sensível, te dando o que você quer: aprovação, reconhecimento, carinho, etc.)
Defina dentro da organização os níveis de confidencialidade das informações que vocês utilizam e armazenam: o que dá para falar por aí?
Faça um teste de segurança sem aviso
Simule situações de engenharia social
Cuide da forma como vocês descartam informação (documento ou bilhetes no lixo, etc.)
Responder “não” é sempre uma opção (“Não vou lhe passar meu CPF, mas teria alguma outra coisa em que eu poderia lhe ajudar?”
Para fechar, existem várias formas de atacar. Pode ser presencialmente, por telefone, por email ou mandando sms. Mas também existem diferentes escalas. Niall Merrigan dá o exemplo da fraude tipo phishing. Essa palavra é uma corruptela de fishing, pescaria, com o ph de phone, telefone. Antigamente, o comum era usar o telefone para conseguir informações sem se expor. Há algumas décadas, se usa o email. Enfim, phishing é o famoso “esquema”: chega um email com uma história comovente ou ameaçadora e no fim te pede alguma informação pessoal, documento, conta do banco, senha. Ou te pede para entrar num site falso e aí colocar documento, senha, etc. Ou pede pra você abrir um arquivo extremamente importante.
Bom, Merrigan afirma que phishing é caro, dá muito trabalho para pouco resultado. Seria tipo uma pesca de arrastão com uma rede de malha muito grande. Joga prum lado, joga pro outro, varre metade dos mares e quem sabe pega alguma pessoa desavisada. É a escala macro.
A escala micro seria o que ele chama de pesca de arpão (spear phishing). Nessa situação, o atacante usa informações pessoais públicas (OSINT) e manda uma mensagem direcionada. Por ser uma conversa pensada para o alvo, ela tem muito mais chance de ter sucesso do que uma mensagem genérica daquelas que rolaram pelo zap “tô precisando de uma grana” ou um email “entrei no seu computador por uma falha de segurança do windows”.
Agora, dentro da escala micro ainda pode haver um refinamento. Na “pesca de arpão”, o alvo pode ser um simples funcionário ou um terceiro que vai indiretamente levar ao objetivo. Se o alvo é a pessoa mais importante da organização, então Merrigan usa o termo “caça de baleia” (whaling).
Resumindo, as pessoas são o elo mais fraco da corrente da segurança. Tem gente especializada em testar esse elo usando conhecimento psicológico e técnicas de manipulação para fazer uma pessoa de dentro da organização dar o que ela quer (com ou sem o uso de tecnologia!). Transforme a segurança em pauta ordinária e nunca entregue sua senha.
Lembra a primeira vez que um email apareceu piscando, tocando midi, cheio de cor e com palavas em destaque? Pois é, não foi uma amizade sua que enviou, né? Muito provavelmente foi uma empresa querendo te oferecer alguma tranqueira.
Essa formatação arrojada que aparece num email é graças à HTML, uma linguagem de programação originalmente desenvolvida para criar páginas na web. Ela permite pegar um texto simples e deixá-lo “bonito”, “atraente”, misturá-lo com logos e links. Mas afinal, a quem interessa todo esse desáine?
O mercado livre e o catarse me mandam email em HTML. Obviamente, gmail, twitter, couchsurfing, greenpeace, wordpress também usam HTML. Mas não só empresas gostam de figurinhas e links mascarados. Veja os boletins que você assina, blogs, grupos com engajamento social ou político: a galera pira na HTML. Claro, pode ser apenas uma escolha automática, “todo mundo faz assim”, mas meu palpite é que, da mesma forma que as megatecs, os grupos que propagam ideias ou causas também querem nos rastrear: quem clicou em tal link, o que interessou tal pessoa, quantas pessoas nos apoiam, etc. Pois é…
Agora vou dar dois exemplos de grupos que se comunicam com milhares de pessoas e que usam texto simples em seus emails. Um é a Cryptorave de São Paulo e outro é o Tactical Tech Collective (TTC) de Berlim. Toda a divulgação, as convocatórias, as chamadas para financiamento coletivo da Cryptorave vêm num email plano, simples, direto. As ideias, referências de conteúdos, divulgação de oficinas e bolsas do TTC também não têm firulas. Todos os links estão escritos por inteiro, não tem pixels secretos nem logos. Viu só, tá tudo bem. E, na real, a gente agradece!
Abaixo tem uma tradução do site https://useplaintext.email, onde encontrei bem descritinho as razões para escolher formatar seus emails com texto simples ao invés de HTML.
Por que o texto simples é melhor que o HTML?
Os e-mails com formatação HTML são usados principalmente para marketing – ou seja, e-mails que, antes de mais nada, você provavelmente não quer ver. As poucas vantagens que oferecem aos usuários finais, como links, imagens em linha (no corpo da mensagem) e texto em negrito ou itálico, não valem a pena.
HTML como um vetor para phishing
Os e-mails HTML permitem mostrar links que escondem a URL por trás de algum texto com cara amigável. Entretanto, este é um vetor extremamente comum para ataques de phishing, onde um remetente malicioso cria um link enganoso que o leva a um website diferente do que você espera. Muitas vezes estes sites são modelados iguaizinos à página de login de um serviço que você usa, e aí está a armadilha para digitar a senha de sua conta. Em e-mails em texto simples, a URL é sempre visível, e você pode mais facilmente fazer uma escolha informada para clicar nela ou não.
Invasão de privacidade e rastreamento
Praticamente todos os e-mails HTML enviados pelos marqueteiros incluem identificadores em links e imagens inline que são projetados para extrair informações sobre você e enviá-las de volta para o remetente. Examine os URLs de perto – os números e letras estranhas são exclusivos para você e usados para identificá-lo. Estas informações são usadas para hackear seu cérebro, tentando encontrar anúncios que são mais suscetíveis de influenciar seus hábitos de compra. Os e-mails HTML são bons para os marqueteiros e maus para você.
Vulnerabilidades do cliente de e-mail
O HTML é um conjunto extremamente grande e complicado de especificações projetado sem ter em mente os e-mails. Ele foi projetado para navegar na rede mundial de computadores, na qual uma enorme variedade de documentos, aplicações e muito mais estão disponíveis. A implementação até mesmo de um subconjunto razoável destes padrões representa centenas de milhares de horas de trabalho, ou mesmo milhões. Um grande subconjunto (talvez a maioria) destas características não é desejável para e-mails, e se incluído numa mensagem pode ser aproveitado para vazar informações sobre você, seus contatos, seu calendário, outros e-mails em sua caixa de entrada, e assim por diante. No entanto, devido ao esforço hercúleo necessário para implementar um renderizador HTML, ninguém construiu um especializado para e-mails que seja garantidamente seguro. Ao invés disso, navegadores web de propósito geral, com muitas de suas características desabilitadas, são empregados na maioria dos clientes de e-mail. Esta é a fonte número um de vulnerabilidades em clientes de e-mail que resultam na divulgação de informações e até mesmo na execução de código malicioso arbitrário.
Esta é uma lista de 421 vulnerabilidades de execução de código remoto no Thunderbird. Se você estiver entediado, tente encontrar uma que não explore a tecnologia web.
Os e-mails HTML são menos acessíveis
Navegar na web é um grande desafio para os usuários que precisam de um leitor de tela ou outras ferramentas de assistência para usar seu computador. Os mesmos problemas se aplicam ao e-mail, só que é pior ainda – tornar um e-mail HTML acessível é ainda mais difícil do que tornar um site acessível devido às limitações impostas aos e-mails HTML pela maioria dos clientes de e-mail (que eles não têm outra escolha a não ser impor – pelas razões de segurança mencionadas acima). Em comparação, e-mails de texto simples são muito fáceis para os leitores de tela recitarem, especialmente para usuários com clientes de e-mail especializados projetados para este fim. Como você fala o texto em negrito em voz alta? Como seria uma imagem em linha?
Alguns clientes não podem exibir e-mails HTML de forma alguma
Alguns clientes de e-mail não suportam e-mails HTML de forma alguma. Muitos clientes de e-mail são projetados para funcionar em ambientes somente de texto, como um emulador de terminal, onde são úteis para pessoas que passam muito tempo trabalhando nesses ambientes. Em uma interface somente de texto não é possível renderizar um e-mail HTML e, em vez disso, o leitor verá apenas uma bagunça de texto em HTML bruto. Muitas pessoas simplesmente enviam e-mails HTML diretamente para spam por este motivo.
Texto rico não é tão bom assim, de qualquer forma
Os recursos de texto rico desejáveis para os usuários finais incluem coisas como imagens em linha, texto em negrito ou itálico, e assim por diante. No entanto, a troca não vale a pena. As imagens podem ser simplesmente anexadas ao seu e-mail, e você pode empregar coisas como *asteriscos*, /slashes/, _underscores_, ou UPPERCASE para ênfase. Você ainda pode comunicar seu ponto de vista efetivamente sem trazer consigo todas as coisas ruins que os e-mails HTML carregam consigo.
Em resumo, os e-mails HTML são um pesadelo de segurança, são usados principalmente para fazer publicidade e rastrear você, são menos acessíveis para muitos usuários e não oferecem nada que seja especialmente bom.
Há uns poucos dias, eu estava conversando com um amigo sobre email. Nós dois usamos email para nos comunicarmos tanto no trabalho quanto com nossas amizades todos os dias. No meu caso, os caras do trabalho preferem que eu mande tudo pelo zap (se fosse possível, eles me pediriam até os relatórios via áudio!). É um pesadelo em termos de organização: tanto as buscas quanto o armazenamento ficam prejudicados naquela mistureba de áudios, mensagens confusas, e cartões de natal e páscoa. Sem falar nas questões de criptografia, valores políticos do provedor, coleta de metadados, propaganda, privacidade, relações com o Estado, etc.
Essa conversa que tivemos foi motivada pelo bloqueio do IP do disroot.org que a Microsoft (outlook, hotmail, live, etc) tinha implementado. A galera do disroot pediu mais informações e a MS disse que não podia dizer a razão. Nesse momento, finalmente descobri porque os emails que eu enviava pelo disroot eram recusado pelo hotmail. E além disso, também havia tido problemas com arquivos que eu compartilhava através da nuvem do disroot. O cara na outra ponta recebia um aviso ao tentar baixar o arquivo: “o site a seguir contém apps prejudiciais”. E ele me disse com ares de refém: “O windows defender não me deixa abrir!”.
Pra vocês verem que o email tá vivinho da silva e sendo disputado! Às vezes, me sinto um velho chato falando dos usos e situações propícias ao email (obviamente ele não serve pra qualquer coisa). Mas não é coisa de velho, não. Inclusive esse meu amigo me surpreendeu ao dizer: “contratei um provedor para garantir que minha comunicação tenha as características que eu desejo”. Já pensou? Em pleno século XXI tem gente que paga pra ter uma conta de email? Pois é, se temos a mínima noção dos gastos envolvidos para o funcionamento da internet, então é de se estranhar que exista alguma empresa fornecendo serviço gratuito. Essa é um discussão difícil, raramente pautada; seja porque nós estamos aqui nessa américa latina com os pilas contados no bolso, seja porque a gente se acostumou, foi educado/formatado, com uma internet grátis. Mas eu também não vou puxar a conversa agora (ela parece mais complexa do que “você é a mercadoria”).
Voltando ao tema da postagem, o caráter federado do protocolo de comunicação do email, que permite que diferentes provedores consigam conversar entre si (como as empresas de telefonia, mas não como o zap, que só fala com zap, ou o signal, que só fala com o signal), está sendo minado com esse tipo de bloqueio. As pessoas que prestam atenção na hora de escolher um provedor de email hoje têm buscado alternativas fora das grandeteqs, como protonmail, tutanota, riseup, por exemplo. Porém, se as grandonas bloquearem as pequenas (mesmo que devagarzinho, sutilmente, sem dizer por quê), acabou-se a federação e segue-se o processo há décadas iniciado de monopólio dos serviços, de jardins murados, de fazendas de metadados.
Nas semanas seguintes pretendo falar mais sobre email: vantagens da formatação texto simples sobre HTML e o Deltachat.
A segunda edição da Criptofesta João pessoa atende por Criptoglitch e será realizada inteiramente de forma online. Glitch remete às falhas de funcionamento, no entanto, o que seria um glitch em um sistema todo corrompido? Identificar erros pode ser um convite para uma mudança.
Estamos com chamada aberta para atividades até o dia 21 de novembro de 2020.
https://bit.ly/Criptoglitch
Serão selecionadas até duas mesas redondas, duas oficinas e duas intervenções artísticas. Aceitamos propostas que abordem: modulação algorítmica e direitos humanos, cuidados integrais do corpo (digital, físico, psicossocial); anti vigilância; corpo, gênero, raça, favela, ativismo, quilombos, periferia e tecnologias.
As oficinas e mesas selecionadas serão realizadas entre os dias 14 e 15 de dezembro; já as intervenções serão entre os dias 11, 14, 15 e 18 de dezembro.
Haverá uma ajuda de custo de R$250 para cada oficina e intervenção artística selecionadas.
A programação completa será divulgada no dia 26 de novembro de 2020.
Em maio de 2020, saiu em espanhol o manual Seguridad Digital: Conceptos y Herramientas Básicas, da Conexo. Segundo seu site, ela se define como “una organización de alcance latinoamericano que busca conectar mejores prácticas y soluciones técnicas con activistas y periodistas en zonas de riesgo que constantemente están luchando por adoptar nuevas tecnologías para asegurarse y desarrollar un mejor trabajo.”
O mar1sc0tron recebeu o convite para traduzir este manual e aqui está!
Este guia foi escrito pensando em jornalistas, defensores e defensoras de direitos humanos, ativistas e pessoas que, independentemente da sua área de atuação profissional, desejam iniciar-se no caminho da segurança digital e da privacidade. A adoção total ou parcial das recomendações oferecidas aqui dependerá dos riscos que está enfrentando a pessoa ou organização interessada em implementá-las. É por isso que antes de começar, recomendamos que se realize uma avaliação de riscos.
Sempre existem boas intenções por trás das escolhas feitas no projeto de um software, e o inferno está cheio delas também. Mas antes de entrar nos detalhes técnicos, vou contar uma história.
Era uma vez um bagre usando um notebook com Linux (na era digital, ninguém sabe que você é um bagre atrás da tela!). A distribuição linux que está rodando é o Debian, o mais livre dos softwares livres: por padrão, nada de código proprietário, como mp3 ou drivers de placa de vídeo ou impressora.
(A linguagem é incrível, né? Quando a gente diz ou escuta a palavra “livre” parece que o mundo faz sentido e a gente relaxa, pois tá tudo bem, nada vai te fazer mal.)
Eis que o bagre tá lá conversando com a galera pelo Tox, baixando filmes em bittorrent, escrevendo num noblogs.org, subindo anonimamente um meme que ridiculariza o presidente. Tudo tranqx.
Como o bagre terminou de diagramar um zine que conta sua experiência numa okupa, ele quer imprimi-lo na impressora da galera, mas acabou o toner. Pesquisa as lojas da cidade (já que não está com as ferramentas para fazer a recarga em casa) e encontra um endereço central.
O bagre abre o gnome-maps, um navegador de mapas que usa o openstreetmap.org e já vem instalado no seu ambiente de trabalho Gnome. Antes de encontrar o local da loja, dá uma olhada naquele software que nunca tinha aberto. Tá bonito, simples, tem tudo. Aí, por curiosidade, o bagre clica num ícone estranho: uma folha de documento com uma ampulheta no canto inferior direito. O que será isso?
Depois de clicar, o mouse ficou em cima e a descrição do botão apareceu “vai para a localização atual”. Eita porra, disse o bagre, meio indignado com o espalhamento inadvertido da criptografia, que está afetando até os desenhinhos dos botões, mas também com curiosidade.
– Humm, tô usando uma VPN, disse o peixe. Onde será que esse mapa vai me jogar?
Ainda bem que o bagre estava sentado. O Gnome-maps indicou a sua localização com uma precisão de centímetros!
Acabou a historinha. Nesse momento, eu fiquei muito indignado. Como assim tem um software rodando no meu PC que consegue dizer EXATAMENTE onde eu estou? Só faltou aparecer desenhados os móveis da sala onde eu estava, o número do andar e a temperatura ambiente interna.
Lembra do poder das palavras? Pois é. Vou tentar descrever um pouco mais a minha situação para mostrar que, no final das contas, não havia nada de tão surpreendente assim. A única coisa que aconteceu foi que todo esse falatório sobre segurança digital dos últimos anos havia – mais uma vez – embotado minha capacidade de distinguir as coisas. Da mesma forma que a palavra “livre” mexe com o nosso bem estar, palavras como segurança, risco, criptografia, vírus, censura, democracia e o escambau também acabam se passando por engodo. A gente vê a sombra (do jeito que a gente quer) e não vê a coisa.
Primeiro, eu estava usando um linux, dos mais cricris, para não ter que quebrar tanto a cabeça lendo sobre softwares e bibliotecas maliciosas (tipo Ubuntu). Tá, então, nada de sacanagem embutida.
Segundo, eu tava acessando a Internet, e não apenas navegando na web, através de uma VPN. Claro, uma VPN mascara meu IP, só isso. Tudo aquilo que o meu computador pede para a rede global de computadores passa primeiro por um servidor lá na gringa para depois chegar ao seu destino. Isso faz com que localmente, aqui no brasil, meu provedor de internet (tipo, claro, oi, etc) só consegue ver que eu tô acessando esse servidor-lá-na-gringa mas não vê o que eu tô pedindo (seja um site, uma msg de chat, baixar um repositório git, etc.) Como a VPN é um intermediário, o serviço que eu estou requisitando não sabe que sou eu que estou fazendo o pedido, mas acha que é o servidor-lá-na-gringa.
Resumindo, meu endereço IP fica escondido do mundo lá fora, tirando a VPN com quem me conecto diretamente (ela tem que saber pra onde devolver a informação). Se eu tivesse usando o navegador Tor, a coisa seria mais ou menos (eu disse “mais ou menos) assim, só que com três intermediários em vez de apenas um e somente esconderia meu IP durante a navegação na web.
Terceiro, usar a internet a partir de um PC (de gabinete ou notebook) faz com que não seja possível a localização feita por GPS ou por triangulação de antenas de celular, como é o caso dos espertofones.
Então, como diabos foi possível dar, com tamanha precisão, minha localização?!
Procurei por mais detalhes do software gnome-maps. Descobri que ele usa uma biblioteca para fazer a localização chamada geoclue. Esse troço vem instalado por padrão no Debian, e em todas as distros que se baseiam nele, inclusive o Tails.
Geoclue is a D-Bus service that provides location information. The goal of the Geoclue project is to make creating location-aware applications as simple as possible.
(É uma biblioteca que fornece informações de localização. O objetivo do projeto é fazer com que a criação de softwares que usam localização seja o mais simples possível.)
Uma intenção legítima e cívica. E em seguida:
Geoclue é um software livre.
(e com essa frase a gente já fica tranquilo, como o cachorro do Pavlov.)
Para que tudo isso aconteça, a biblioteca “usa TODAS as fontes possíveis para melhor encontrar a geolocalização do usuário”. Eis então minha primeira surpresa de fato: a página enumera 5 fontes. Ip, sinal 3G e GPS do dispositivo, que são as mais óbvias, mas também:
GPS de outros dispositivos na mesma rede local
geolocalização dos roteadores WiFi (pontos de acesso)
QuÊ!?!@ Então eu me conecto num roteador e aquela caixinha tem um endereço fixo e único no mundo real? Como assim todos os roteadores do planeta possuem um endereço físico tipo coordenadas geográficas??
Tô passado!
A página do geoclue descreve também a precisão da localização de cada fonte: IP e 3G em quilômetros, WiFi em metros, GPS em centímetros.
Tá, então se cada ponto de acesso (roteador) tem um endereço, como que essa informação foi designada e quem armazena ela?
Segunda surpresa: quem coleta, designa, mantém e fornece a base de dados que o geoclue usa é a Fundação Mozilla através do mozilla location service. A página descreve o serviço da seguinte maneira:
The Mozilla Location Service (MLS) is an open service, which lets devices determine their location based on network infrastructure like Bluetooth beacons, cell towers and WiFi access points. This network based location service complements satellite based navigation systems like A-GPS.
(O MLS é um serviço aberto [palavra mágica!] que permite aos dispositivos determinarem sua localização com base nas infraestruturas de rede como repetidores de Bluetooth e pontos de acesso WiFi. O uso desses pontos da rede complementa os sistemas de navegação baseados em satélite como GPS)
Mais uma vez, muito boas intenções: assim podes melhor receber a previsão do tempo (que tem uma precisão de quilômetros!) na exata lajota onde tais pisando agora. Ou alterar o fuso horário do teu computador quando tu mudas de país.
Terceira surpresa: a coleta e atualização de informações sobre os pontos de acesso (vulgarmente chamados de roteadores) WiFi é feita automaticamente e (olha a cara de pau!) caso tu não queiras fazer parte dessa base de dados tens que mudar ANTES o nome do teu ponto de acesso (SSID) acrescentando ao fim as letras “_nomap_” (sem mapa).
Primeiro de tudo: quem, no mundo, sabe que essa informação está sendo coletada? Segundo: quem sabe mudar o nome do ponto de acesso? Porra, o troço se aproveita da ignorância das pessoas da mesma forma que o facebook ou a CIA. E é tudo software livre de código aberto, fundação legal que financia projeto massa!!
A mozilla tem a decência de dizer, no seu FAQ, que não coleta os identificadores únicos dos pontos de acesso (BSSID ou MAC do aparelho), que é tipo um número de série.
E como ela descreve a base de dados de geolocalização dos pontos de acesso?
… [the] data contains personally identifiable information from both the users uploading data to us and from the owners of WiFi devices. We cannot publicly share this data without consent from those users.
(os dados contêm informações que podem identificar as pessoas, tanto aquelas que sobem dados para nós, quanto as donas dos WiFis. Não podemos compartilhar publicamente esses dados sem o consentimento delas.)
Na página de download temos mais detalhes da sua benevolência:
While we do not store any individual user token with the observation data, the data itself contains plenty of unique characteristics, locations and timestamps that would allow someone to track the movements of the people contributing observations to this service.
(Embora não armazenamos qualquer marcador individual nos dados de observação, em si os dados contêm um monte de características, localizações e informações de data e hora únicas que poderiam permitir que alguém rastreasse os movimentos das pessoas que contribuem com observações a esse serviço.)
Por favor, por favor!! Tão de sacanagem mesmo. Não é preciso consentimento para coletar, óbvio. A gente só fala de consentimento depois que se apoderou das informações pessoais de todo mundo. Mais um vez, isso por acaso não se parece com a google ou a NSA? Na verdade, nenhuma surpresa: a internet nunca deixou de ser usada para isso e só aprofundou a prática com o capitalismo de vigilância.
Lembra do escândalo do carro da google street view que coletava essas MESMAS informações? Aqui tem uma matéria em inglês. (Uma curiosidade: o cara responsável pelo google street view trabalhava num projeto da CIA chamado Keyhole, que acabou virando o GoogleEarth e depois desenvolveu o pokemonGo, outro escândalo de privacidade.)
Lá em 2007, esse tipo de coleta era um ataque à privacidade das pessoas. Dava processo, multa e queimava o filme da empresa na mídia. Hoje, já virou banal, “é assim que funciona mesmo”.
Pois é, mas quando Mozilla, Debian/Tails e outros projetos queridinhos do movimento de segurança digital saem por aí pisando na jaca da mesma forma que as empresas malvadas fizeram há 10 anos atrás (e que a CIA faz desde sempre), então a gente tem que ficar esperta e parar de repetir frases bonitas só porque criam fantasias bonitas.
Insatisfação crescente com a liderança política. Restrições sociais e econômicas. Represálias contra medidas de austeridade. Assédio contra líderes comunitários e políticos. Todas essas são questões que, em diferentes combinações, levaram a protestos maciços e revoltas políticas nos últimos meses na América Latina. Elas deixaram uma marca em 2019 e, junto, uma série de obstáculos à liberdade de expressão e privacidade on-line.
Embora a tecnologia tenha sido usada para mobilizar cidadãos, denunciar violência e compartilhar conselhos legais e de segurança para manifestantes em lugares como Chile,Equador,Colômbia e Bolívia, medidas relacionadas à tecnologia foram empregadas para censurar, dissuadir manifestações e aumentar a vigilância.
Grupos de direitos humanos e digitais têm denunciado abusos e oferecido orientações críticas sobre como se manter seguro. O trabalho deles é crucial e compõem esta matéria, onde descreveremos alguns desses abusos e ameaças na interseção com a tecnologia.
Desligamentos da Internet: desconectando discursos e dissidências
Ter problemas para se comunicar e ficar on-line durante períodos de agitação social não é incomum. Isso pode ocorrer devido ao congestionamento da rede, especialmente nas zonas de protestos. Mas também pode resultar de ações deliberadas do governo para bloquear e interromper as conexões com a Internet. No Equador, os relatórios do NetBlocks permitem inferir algum nível de interferência do governo, embora ainda não haja evidências conclusivas sobre isso.
O primeiro relatório do NetBlocks mostra uma interrupção temporária que afeta os assinantes da empresa estatal Corporación Nacional de Telecomunicaciones (CNT) entre 6 e 7 de outubro. Isso impedia que os usuários se conectassem a servidores em que as redes sociais armazenam conteúdo multimídia. O relatório destaca que as medições de rede corroboram as queixas de muitos usuários ao tentar postar áudio, fotos e vídeos durante o período de interrupção. Ele também enfatiza uma jogada curiosa: as restrições começaram na mesma época em que os usuários começaram a postar sobre destacamentos militares nas ruas de Quito e a morte de um manifestante.
Alguns dias depois, um segundo relatório constatou que a operadora de telefonia móvel Claro havia sido afetada por uma interrupção de várias horas. Ela primeiro atingiu grande parte do país durante um curto período e depois continuou localizada em Quito por várias horas. Além disso, enquanto os protestos persistiam, a Telefónica Movistar divulgou um comunicado dizendo que parte de sua infraestrutura de telecomunicações foi afetada por atores desconhecidos, o que poderia levar a degradações no serviço. Um relatório elaborado pela Association for Progressive Communications (APC), juntamente com outras organizações, destaca que a interrupção no cabeamento de fibra óptica do Estado pode afetar outros operadores de telecomunicações, como a Movistar, que usam esses cabos para fornecer seus serviços.
Outros países da região, como Nicarágua e Venezuela, sofreram fortes crises políticas e protestos, com interrupções na Internet este ano. A interferência no acesso à Internet é um problema persistente na Venezuela. Em meados de novembro, o provedor de Internet estatal ABA CANTV restringiu o acesso ao Twitter, Facebook, Instagram e Youtube na manhã de manifestações políticas planejadas contra o governo.
Obstáculos ao Protesto Online e, é claro, Nas Ruas
Dissuasão, assédio e vigilância fazem parte dos esforços para reduzir as manifestações. Na Colômbia, a Fundación Karisma destacou a campanha de comunicação que o governo realizou para desencorajar os protestos, usando as mídias sociais das instituições estatais e enviando mensagens SMS antes da massiva mobilização planejada para 21 de novembro. Alguns dias antes, o Centro Cibernético da Polícia do país enviou um pedido à Universidade de Los Andes para remover um manual de autodefesa contra as forças policiais que uma revista vinculada à instituição havia publicado on-line. O pedido requisitava que a universidade avaliasse a eliminação desse conteúdo, alegando que incitava a violência em protestos e continha informações ofensivas sobre a polícia.
Por outro lado, relatórios e registros de ações policiais justificam a necessidade de um manual de autoproteção. Os abusos incluem “paradas para revista” durante as manifestações, exigindo acesso a informações privadas nos telefones celulares dos manifestantes – relatados na Colômbia e na Bolívia -, bem como assédio contra aqueles que tentam registrar ações ilegais. No Chile, as forças policiais evitaram ser registradas ao mal informar manifestantes dizendo que aquilo era ilegais ou através de violência e detenção arbitrária. O relatório da Derechos Digitales destaca casos de confisco forçado e destruição de telefones celulares usados para registrar ações policiais. A InternetBolivia encontrou casos semelhantes durante manifestações em La Paz, realizadas pelas forças de segurança e também por manifestantes.
Por outro lado, os governos têm muitos dispositivos de registro. O município metropolitano de Santiago do Chile anunciou recentemente um aumento no número de câmeras de vigilância e a implementação de um sistema de reconhecimento facial na cidade. Paralelamente, o Senado chileno aprovou um projeto de lei que piora as penas para os manifestantes que cobrem o rosto durante as manifestações. Na Colômbia, as autoridades aproveitaram a oportunidade para anunciar o lançamento de câmeras com a capacidade de identificar, em tempo real, as características ao redor dos olhos e nariz das pessoas com o rosto coberto. Mais de 90 drones também foram usados para monitorar as manifestações de 21 de novembro em Bogotá.
As autoridades também parecem estar rastreando redes e dispositivos sociais. A Derechos Digitales recebeu denúncias de investigações policiais e intimidações com base em informações coletadas por meio do monitoramento de redes sociais. O mesmo relatório aponta o possível uso de software malicioso contra Daniel Urrutia, o juiz de um caso em andamento sobre alegações de tortura dentro de uma estação de metrô de Santiago. Urrutia também emitiu uma decisão para garantir que os defensores dos direitos humanos pudessem entrar em um centro médico que estava impedindo o acesso a pessoas feridas por tiros. Esses assuntos estão sendo investigados pelas autoridades chilenas e pela Derechos Digitales em um exame independente. Da mesma forma, pesquisas conduzidas pela APC, Digital Defenders Partnership, Taller de Comunicação Mujer e La Libre.net mostram que pelo menos um dos entrevistados sofreu um conjunto de incidentes anômalos em relação a seus dispositivos durante o período de manifestações no Equador.
A moderação do conteúdo falha, especialmente em contextos políticos problemáticos
A EFF relatou as complexidades da moderação de conteúdo nas plataformas de mídia social e como as formas atuais de abordar conteúdo violento e extremista geralmente erram o alvo e silenciam as comunidades marginalizadas. Estamos vendo esses mesmos problemas ocorrerem em contextos políticos problemáticos na América Latina. Surgiram queixas sobre restrição de conteúdo no Chile, Equador,Bolívia e Colômbia (reconsiderado aqui).
Uma pesquisa realizada pela Fundación Datos Protegidos no Chile nos dias 23 e 27 de outubro indica que problemas na publicação de conteúdo, remoção de contas e remoção de postagens específicas foram os três principais problemas relatados pelos usuários. Entre os casos envolvendo o Instagram, que está no topo da lista de denúncias de censura, as contas focadas em música e humor, algumas com vários milhares de seguidores, mudaram de abordagem durante o estado de emergência para denunciar as violações ocorridas. Muitas contas particularmente comprometidas com a denúncia de protestos desapareceram (Instagram) ou tiveram seu tráfego reduzido (Facebook). O Twitter registrou menos desses casos.
A restrição de conteúdo graficamente violento merece atenção especial em contextos de agitação social. Fotos e vídeos de pessoas feridas ou representando fortes cenas de conflito ou repressão podem ser essenciais para informar e documentar violações dos direitos humanos. Restringi-los pode prejudicar seriamente o trabalho de investigadores, jornalistas e advogados, como vimos antes. Além disso, o conteúdo sobre forte polarização política é propenso a abusos nos mecanismos de reclamação on-line das plataformas. Conforme observado no relatório da Derechos Digitales, os agressores podem tirar proveito das áreas cinzentas nas políticas da plataforma para atingir e silenciar os apoiadores de contas dedicadas à denúncia de manifestações e violência policial. Ambos os grupos de direitos digitais enfatizaram a falta de notificação adequada de quedas e processos para apelar das decisões de remoção de conteúdo, o que dificulta o papel crucial que as plataformas de mídia social ainda desempenham na conscientização, no fornecimento de informações e no compartilhamento de evidências de violações de direitos.
Em 1648, foi assinada uma série de tratados conhecidos em conjunto como Paz de Vestfália, encerrando 30 anos de guerra na Europa e levando ao surgimento dos Estados soberanos. O direito estatal de controlar e defender seu próprio território tornou-se a base fundamental de nossa ordem política global e permaneceu inconteste desde então.
Em 2010, uma delegação de países – incluindo a Síria e a Rússia – chegou a uma obscura agência das Nações Unidas com um pedido estranho: levar essas mesmas fronteiras soberanas ao mundo digital.
“Eles queriam permitir que os países atribuíssem endereços de internet fossem atribuídos país por país, da mesma forma que os códigos de país eram originalmente designados para números de telefone”, diz Hascall Sharp, consultor de política digital que era na época diretor de políticas da gigante de tecnologia Cisco.
Depois de um ano de negociações, o pedido não deu em nada: criar tais fronteiras teria permitido que as nações exercessem rígido controle sobre seus próprios cidadãos, contrariando o espírito aberto da internet como um espaço sem fronteiras, livre dos ditames de qualquer governo individual.
Quase uma década depois, esse espírito parece uma lembrança antiga. As nações que saíram da ONU de mãos vazias não desistiram da ideia de colocar uma parede ao redor do seu canto no ciberespaço. Elas simplesmente passaram a última década buscando formas melhores de tornar isso uma realidade.
A Rússia já explora uma nova abordagem para criar um muro de fronteira digital e aprovou dois projetos de lei que exigem medidas tecnológicas e legais para isolar a internet russa. O país faz parte de um número crescente de nações insatisfeitas com uma internet construída e controlada pelo Ocidente.
Embora os esforços russos dificilmente sejam a primeira tentativa de controlar quais informações podem e não podem entrar em um país, sua abordagem representa uma mudança em relação ao que foi feito no passado.
“As ambições da Rússia vão mais longe do que as de que qualquer outro país, com as possíveis exceções da Coreia do Norte e do Irã, no sentido de fraturar a internet global”, diz Robert Morgus, analista de segurança cibernética do centro de estudos americano New America Foundation.
A abordagem da Rússia é um vislumbre do futuro da soberania na internet. Hoje, os países que buscam o mesmo não são mais apenas os suspeitos autoritários de sempre – e estão fazendo isso em níveis mais profundos do que nunca.
Seu projeto é auxiliado tanto pelos avanços da tecnologia quanto pelas crescentes dúvidas sobre se a internet aberta e livre foi uma boa ideia. Os novos métodos abrem a possibilidade não apenas de países construírem suas próprias pontes levadiças, mas também de alianças entre países que pensam da mesma forma para criar uma internet paralela.
O que há de errado com a internet aberta?
É sabido que alguns países estão insatisfeitos com a coalizão ocidental que tradicionalmente dominou a governança da internet.
Não são apenas as filosofias defendidas pelo Ocidente que os incomodam, mas o modo como essas filosofias foram incorporadas na própria arquitetura da rede, que é famosa por garantir que ninguém possa impedir que alguém envie algo a outra pessoa.
Isso se deve ao protocolo-base que a delegação que foi à ONU em 2010 tentava contornar: o TCP/IP (protocolo de controle de transmissão/protocolo de internet) permite que as informações fluam sem nenhuma ressalva quanto a geografia ou conteúdo.
Não importa qual informação esteja sendo enviada, de que país ela esteja vindo ou as leis do país que vai recebê-la. Tudo o que importa é o endereço de internet ao final da comunicação. É por isso que, em vez de enviar dados por caminhos predeterminados, que podem ser desviados ou cortados, o TCP/IP envia pacotes de informações do ponto A ao ponto B por qualquer via necessária.
É fácil rejeitar objeções a essa configuração como os gritos agonizantes de regimes autoritários em face de uma força global de democratização – mas os problemas que surgem não afetam apenas eles. Qualquer governo pode se preocupar com códigos maliciosos como vírus chegando a instalações militares e redes de água e energia, ou com a influência de notícias falsas sobre o eleitorado.
“Rússia e China só entenderam um pouco mais cedo do que os demais o possível impacto que um ecossistema de informação massivo e aberto teria sobre os humanos e a tomada de decisões, especialmente no nível político”, diz Morgus.
A visão destes países é que cidadãos de um país são uma parte tão crítica de sua infraestrutura quanto usinas de energia e precisam ser “protegidos” de informações supostamente maliciosas – neste caso, notícias falsas, em vez de vírus.
Mas não se trata de proteger os cidadãos tanto quanto de controlá-los, diz Lincoln Pigman, pesquisador da Universidade de Oxford e do Centro de Política Externa, em Londres.
Uma internet soberana
Rússia e China começaram a falar publicamente sobre uma “internet soberana” por volta de 2011 ou 2012, quando uma onda de protestos começava a se consolidar em território russo e as revoluções nascidas abalavam regimes autoritários.
Convencidos de que essas revoltas haviam sido instigadas por Estados ocidentais, a Rússia buscou impedir que influências revolucionárias atingissem seus cidadãos – essencialmente criando postos de controle em suas fronteiras digitais.
Mas instaurar uma soberania na internet não é tão simples quanto se desligar da rede global. Isso pode parecer contraintuitivo, mas, para ilustrar como esse movimento seria contraproducente, não é preciso olhar além da Coreia do Norte.
Um único cabo conecta o país ao resto da internet global. Você pode desconectá-lo com o apertar de botão. Mas poucos países considerariam implementar uma infraestrutura semelhante. De uma perspectiva de hardware, é quase impossível.
“Em países com conexões ricas e diversificadas com o resto da internet, seria virtualmente impossível identificar todos os pontos de entrada e saída”, diz Paul Barford, cientista da computação da Universidade de Wisconsin, nos Estados Unidos, que mapeia a rede de tubos e cabos por trás da internet global.
Mesmo que a Rússia pudesse de alguma forma encontrar todos os pontos pelos quais as informações entram e saem do país, não seria muito interessante bloqueá-los, a menos que também quisessem se separar da economia mundial. A internet é agora uma parte vital do comércio no mundo, e a Rússia não pode se desconectar desse sistema sem prejudicar sua economia.
A solução parece ser manter alguns tipos de informação fluindo livremente enquanto se impede o fluxo de outras.
Mas como esse tipo de soberania na internet pode funcionar, dado a natureza do TCP/IP?
A China tem tradicionalmente liderado esse controle de conteúdo online e emprega filtros com o chamado “Grande Firewall” para bloquear certos endereços de internet, palavras, endereços de IP e assim por diante. Esta solução não é perfeita: é baseada em programas de computador, o que significa ser possível projetar formas de contorná-la, como as redes privadas virtuais e sistemas de prevenção de censura, como o navegador Tor.
Além disso, o sistema chinês não funcionaria para a Rússia. Por um lado, “depende muito das grandes empresas chinesas retirarem esse conteúdo de circulação”, diz Adam Segal, especialista em segurança cibernética do Conselho de Relações Exteriores dos Estados Unidos, enquanto a Rússia é “mais dependente de empresas de mídia social americanas”.
Grande parte da vantagem da China também se resume à estrutura física com a qual internet é construída. A China, desconfiada da nova tecnologia ocidental desde o início, só permitiu que pouquíssimos pontos de entrada e saída para a internet global fossem feitos em suas fronteiras, enquanto a Rússia foi inicialmente bastante receptiva e, hoje, está repleta destas conexões. A China simplesmente tem menos fronteiras digitais para ficar de olho.
Tentativa russa de isolamento
A Rússia está, portanto, trabalhando em um método híbrido que não depende inteiramente de equipamentos nem de programas – em vez disso, manipula o conjunto de processos e protocolos que determinam se o tráfego da internet pode se mover de sua origem para o destino pretendido.
Os protocolos da internet especificam como todas as informações devem ser tratadas por um computador para serem transmitidas e roteadas pelos cabos globais. “Um protocolo é uma combinação de diferentes coisas – como dados, algoritmos, endereços de IP”, diz Dominique Lazanski, que trabalha na governança da internet e presta consultoria sobre desenvolvimento de seus padrões.
Um dos mais fundamentais é o padrão DNS – o catálogo de endereços que informa à internet como traduzir um endereço de IP, por exemplo, 38.160.150.31, para um endereço de internet legível como o bbcbrasil.com, e aponta o caminho para o servidor que hospeda esse IP.
É no DNS que a Rússia está mirando. O país previa testar em abril uma forma de isolar o tráfego digital de todo o país, para que as comunicações via internet por seus cidadãos permanecessem dentro dos limites geográficos do país, em vez de percorrer o mundo.
O plano – que foi recebido com ceticismo por grande parte da comunidade de engenheiros – é criar uma cópia dos servidores de DNS da Rússia (a lista de endereços atualmente sediada na Califórnia) para que o tráfego dos cidadãos fosse dirigido exclusivamente para sites russos ou versões russas de sites externos. Isso enviaria os russos para o buscador Yandex se quisesse acessar o Google, ou a rede social VK em vez do Facebook.
Para estabelecer as bases para isso, a Rússia passou anos promulgando leis que forçam empresas internacionais a armazenar todos os dados dos cidadãos russos dentro do país – levando algumas empresas como a rede LinkedIn a serem bloqueadas ao se recusarem a cumprir isso.
“Se a Rússia tiver sucesso em seus planos de um DNS nacional, não haverá necessidade de filtrar informações internacionais. O tráfego de internet russo nunca precisá sair do país”, diz Morgus, analista da New America Foundation.
“Isso significa que a única coisa que os russos – ou qualquer um – poderiam acessar de dentro da Rússia seria a informação que está hospedada dentro da Rússia, em servidores fisicamente presentes no país. Isso também significaria que ninguém poderia acessar informações externas, seja isso dinheiro ou o site da Amazon para comprar um lenço.”
A maioria dos especialistas reconhece que o principal objetivo da Rússia é aumentar o controle sobre seus próprios cidadãos. Mas a ação também pode ter consequências globais.
As abordagens adotadas pela Rússia e pela China são muito caras para países menores, mas isso não significa que isso não os influencie. “A disseminação, particularmente de políticas repressivas ou da arquitetura iliberal da internet, é como um jogo de imitação”, diz Morgus.
Sua observação é confirmada por uma pesquisa feita por Jaclyn Kerr no Laboratório Nacional Lawrence Livermore, um centro de pesquisa federal dos Estados Unidos baseado na Universidade da Califórnia.
A extensão e alcance do controle da internet por regimes autoritários são determinados por três fatores. Primeiro, pelas soluções que estão disponíveis. Segundo, se o regime pode se dar ao luxo de implementar qualquer uma das opções disponíveis. A terceira variável – “as políticas selecionadas pelos Estados que são uma referência para este regime” – é o que explica por que isso é descrito como um jogo de imitação: quais recursos os parceiros endossaram ou escolheram? Isso muitas vezes depende da atitude destes países de referência ao controle da internet.
Em relação à primeira variável, os vizinhos da Rússia, como as repúblicas da Ásia Central, poderiam se conectar apenas à versão russa da internet. Isso expandiria as fronteiras desta rede para sua periferia, diz Morgus.
Os tomadores de decisão digitais
Em relação à terceira variável, a lista de países que se sentem atraídos por uma governança da internet mais autoritária parece estar crescendo.
Nem todos se enquadram perfeitamente entre os que defendem uma “internet aberta” e os “autoritários repressivos” quando se trata de como eles lidam com a internet.
Israel, por exemplo, encontra-se nitidamente entre os dois extremos, como Morgus destacou em um artigo publicado no ano passado. Esse estudo mostra que, nos últimos quatro anos, os países que são os “maiores tomadores de decisão digitais” – Israel, Cingapura, Brasil, Ucrânia, Índia, entre outros – têm se aproximado cada vez mais de uma abordagem mais soberana e fechada quanto à circulação de informação.
As razões para isso são variadas, mas vários desses países estão em situações semelhantes: Ucrânia, Israel e Coreia do Sul, que vivem em um estado perpétuo de conflito, dizem que seus adversários estão usando a internet contra eles.
Alguns especialistas acham que o uso estratégico da rede – em especial, das mídias sociais – se tornou como a guerra. Mesmo a Coreia do Sul, apesar de sua reputação de nação aberta e global, desenvolveu uma técnica inovadora para reprimir informações ilegais online.
Mas os tomadores de decisão podem realmente copiar o modelo da China ou da Rússia? Os meios tecnológicos da China para sua soberania são muito idiossincráticos para países menores seguirem. O método russo ainda não está totalmente testado. Ambos custam no mínimo centenas de milhões para serem criados.
Dois dos maiores países dentre estes, Brasil e Índia há muito tempo buscam uma maneira de lidar com a internet global de forma independente dos “valores de abertura” do Ocidente ou das redes nacionais fechadas.
“Sua internet e valores políticos estão no meio do caminho deste espectro”, diz Morgus. Durante a maior parte da última década, ambos tentaram encontrar uma alternativa viável para as duas versões opostas da internet que vemos hoje.
Essa inovação foi sugerida em 2017, quando o site de propaganda russo RT informou que Brasil e Índia se uniriam a Rússia, China e África do Sul para desenvolver uma alternativa que eles chamavam de internet dos Brics. A Rússia alegou que estava criando a infraestrutura para “protegê-los da influência externa”.
O plano fracassou. “Tanto a Rússia quanto a China estavam interessadas em promover os Brics, mas os demais estavam menos entusiasmados”, diz Lazanski. “Em especial, a mudança de liderança no Brasil fez isso sair dos trilhos.”
A internet que está sendo construída pela China
Alguns veem bases sendo lançadas para uma segunda tentativa sob o disfarce do projeto de “Rota da Seda do Século 21” da China para conectar a Ásia à Europa e à África com a construção de uma vasta rede de corredores terrestres, rotas marítimas e infraestrutura de telecomunicações em países como Tajiquistão, Djibuti e Zimbábue.
Segundo estimativas do Instituto Internacional de Estudos Estratégicos de Londres, a China está envolvida em cerca de 80 projetos de telecomunicações em todo o mundo – desde a instalação de cabos até a construção de redes centrais em outros países, contribuindo para uma rede global significativa e crescente de propriedade chinesa.
Uma possibilidade é que um número suficiente destes países se una à Rússia e à China para desenvolver uma infraestrutura semelhante a ponto de poderem se sustentar economicamente sem fazer negócios com o resto do mundo, o que significa que poderiam se isolar da internet ocidental.
Os países menores podem preferir uma internet construída em torno de um padrão não ocidental e uma infraestrutura econômica construída em torno da China pode ser a “terceira via” que permitiria aos países participar de uma economia semiglobal e controlar certos aspectos da experiência de internet de suas populações.
Sim Tack, analista do grupo de inteligência Stratfor, nos Estados Unidos, argumenta que uma economia da internet autossustentável, embora possível, é “extremamente improvável”.
Maria Farrell, da Open Rights Group, uma organização dedicada a promover a liberdade na internet, não acha que isso é exagero, embora uma internet isolada possa ter uma forma ligeiramente diferente.
A iniciativa da China, diz ela, oferece aos países “tomadores de decisão” pela primeira vez uma opção de acesso online que não depende da infraestrutura de internet ocidental.
“O que a China tem feito é criar não apenas um conjunto inteiro de tecnologias, mas sistemas de informação, treinamento de censura e leis para vigilância. É um kit completo para executar uma versão chinesa da internet”, diz ela.
É algo que está sendo vendido como uma alternativa crível a uma internet ocidental que cada vez mais é “aberta” apenas no nome.
“Nações como Zimbábue, Djibuti e Uganda não querem entrar em uma internet que é apenas uma porta de entrada para o Google e o Facebook” para colonizar seus espaços digitais, diz Farrell.
Esses países também não querem que a “abertura” oferecida pela internet ocidental seja uma forma de prejudicar seus governos por meio da espionagem.
Juntamente com todos os outros especialistas entrevistados para este artigo, Farrell reiterou como seria insensato subestimar as reverberações em curso das revelações feitas Edward Snowden sobre a coleta de informações feita pelo governo americano – especialmente porque elas minaram a confiança dos países “tomadores de decisão” em uma rede aberta.
“Os países mais pobres, especialmente, ficaram muito assustados”, diz ela. “Isso confirmou que tudo que nós suspeitávamos é verdade.”
Assim como a Rússia está trabalhando para reinventar o DNS, a internet autoritária da iniciativa chinesa oferece aos países acesso aos protocolos de internet da China. “O TCP/IP não é um padrão estático”, aponta David Conrad, diretor de tecnologia da Corporação da Internet para Atribuição de Nomes e Números, que emite e supervisiona os principais domínios de internet e administra o DNS. “Está sempre evoluindo. Nada na internet é imutável. ”
Mas a evolução da internet global é cuidadosa e lenta e baseada em consenso. Se isso mudar, o TCP/IP pode seguir por outros caminhos.
Por mais de uma década, China e Rússia têm pressionado a comunidade da internet a mudar o protocolo para permitir uma melhor identificação de emissores e destinatários, acrescenta Farrell, algo que não surpreenderá ninguém que esteja familiarizado com a adoção em massa do reconhecimento facial para rastrear cidadãos no mundo físico.
Contágio ocidental
Mas talvez os países autoritários tenham menos trabalho a fazer do que imaginam. “Cada vez mais países ocidentais são forçados a pensar sobre o que significa a soberania na internet”, diz Tack.
Na esteira da recente interferência eleitoral nos Estados Unidos e da prática bem documentada dos governos russos de semear discórdia nas mídias sociais ocidentais, os políticos ocidentais acordaram para a ideia de que uma internet livre e aberta pode realmente prejudicar a própria democracia, diz Morgus.
“A ascensão paralela do populismo nos Estados Unidos e em outros lugares, somada a preocupações com o colapso da ordem internacional liberal, fez muitos dos tradicionais defensores da internet aberta recuarem.”
“Não se trata de classificar países como ruins ou bons – isso diz respeito a qualquer país que queira controlar suas comunicações”, diz Milton Mueller, que dirige o Projeto de Governança da Internet na Universidade Georgia Tech, nos Estados Unidos.
“A pior coisa que vi ultimamente é a lei britânica de danos digitais.” Esta proposta inclui a criação de um órgão regulador independente, encarregado de estabelecer boas práticas para as plataformas de internet e punições caso elas não sejam cumpridas.
Essas “boas práticas” limitam tipos de informação – pornografia de vingança, crimes de ódio, assédio e perseguição, conteúdo carregado pelos prisioneiros e desinformação – de forma semelhantes às recentes leis russas sobre internet.
De fato, as próprias multinacionais temidas pelos países “tomadores de decisão” atualmente podem estar ansiosas por serem recrutadas para ajudá-los a alcançar suas metas de soberania da informação.
O Facebook recentemente capitulou diante de uma pressão crescente, exigindo regulamentação governamental para determinar, entre outras coisas, o que constitui conteúdo prejudicial, “discurso de ódio, propaganda terrorista e muito mais”.
O Google está trabalhando fornecer uma internet aberta no Ocidente e um mecanismo de busca com censura no Oriente. “Suspeito que sempre haverá uma tensão entre os desejos de limitar a comunicação, mas não limitar os benefícios que a comunicação pode trazer”, diz Conrad.
Sejam as fronteiras da informação elaboradas por países, coalizões ou plataformas globais de internet, uma coisa é clara: a internet aberta com a qual seus criadores sonharam já acabou. “A internet não tem sido uma rede global há muito tempo”, diz Lazanski.
