Onde foi que o WhatsApp errou?

Tradução do artigo de 26/01/2017 da EFF Where WhatsApp Went Wrong: EFF’s Four Biggest Security Concerns.

Onde foi que o WhatsApp errou?

Nenhuma tecnologia é 100% segura para todos os usuários, e sempre existem perdas e ganhos em relação à segurança, facilidade de uso e outras considerações. No manual de Autodefesa contra Vigilância (Surveillance Self Defense – SSD), nosso objetivo é destacar tecnologias confiáveis e ao mesmo tempo explicar e chamar atenção para como seus pontos fortes e fracos afetam a privacidade e a segurança do usuário. No caso do WhatsApp, está ficando cada vez mais difícil de explicar adequadamente suas armadilhas de forma clara, compreensível e prática. Tem sido assim especialmente desde o aviso do WhatsApp de que a empresa mudaria seu acordo com os usuários com respeito ao compartilhamento de dados com os outros serviços do Facebook.

Isso é uma pena precisamente por causa dos pontos fortes de segurança do WhatsApp. No fundo, o WhatsApp usa o que há de melhor em troca de mensagens encriptadas: o Protocolo Signal. Isso confere uma ótima garantia de que as mensagens entre você e seus contatos são encriptadas de forma que mesmo o WhatsApp não pode lê-las, que a identidade de seus contatos pode ser verificada e que mesmo se alguém roubar suas chaves de encriptação e for capaz de “grampear” a sua conexão, ele não conseguirá desencriptar as mensagens que você enviou no passado. Na linguagem de criptografia, essas garantias são chamadas de encriptação de ponta a ponta, autenticidade, e sigilo encaminhado (forward secrecy).

Não temos nenhum problema em como essa encriptação é feita. Na verdade, esperamos que o protocolo que o WhatsApp usa se torne amplamente difundido no futuro. Entretanto, estamos preocupados com a segurança do WhatsApp apesar dos melhores esforços do Protocolo Signal. Todo aplicativo é feito de vários componentes: a interface do usuário, o código que interage com o sistema operacional, o modelo de negócios por trás de toda a operação – e os aplicativos de mensagem não são uma exceção. Mudanças nessas funcionalidades circundantes são onde identificamos que um usuário pode superestimar, a ponto de se arriscar, a segurança do WhatsApp.

Abaixo, descrevemos nossas quatro principais preocupações em mais detalhes.

Backups não encriptados

O WhatsApp fornece um mecanismo de salvaguardar mensagens na nuvem. Para fazer isso de forma que as mensagens possam ser restauradas sem uma frase secreta no futuro, esses backups precisam ser armazenados sem encriptação. Na primeira instalação, o WhatsApp te pede para escolher com que frequência você gostaria de salvaguardar suas mensagens: diariamente, semanalmente, mensalmente ou nunca. Em nosso manual, avisamos os usuários para nunca salvaguardarem suas mensagens na nuvem, já que isso entregaria cópias não encriptadas de suas mensagens ao provedor da nuvem. Para que sua comunicação seja de fato segura, todas as pessoas com quem você se comunica devem fazer o mesmo.

Notificações de mudança de chave

Se a chave de encriptação de um contato muda, um aplicativo de mensagens seguro deveria enviar uma notificação e perguntar se você aceita essa mudança. No WhatsApp, entretanto, se um contato muda suas chaves, este fato fica escondido por padrão. Para ser avisado, os usuários têm que procurar pela configuração “Notificações de Segurança” (encontrada em “Segurança” na seção “Conta” das suas configurações) e ativá-la manualmente.

Note que mesmo que você ative esta configuração, você somente será notificado de mudanças de chave após a mensagem em questão ter sido enviada. Se o seu modelo de ameaças tolera ser notificado após um potencial incidente de segurança acontecer, então ativar essa opção pode ser suficiente. Porém, se você é um usuário em alto risco cuja segurança pode ser comprometida por uma única mensagem reveladora, então receber um aviso após o ocorrido é um perigo.

A verificação de chaves é muito importante para prevenir um ataque de Homem no Meio (Man in the Middle attack), no qual uma terceira pessoa se faz passar por um contato seu. Neste tipo de ataque, essa terceira pessoa se coloca no meio da sua comunicação e convence o seu aparelho a enviar mensagens a ele ao invés de para o seu contato, ao mesmo tempo decriptando essas mensagens, possivelmente modificando-as e enviando-as a diante para o seu destinatário original. Se as chaves de um contato mudam repentinamente, isso pode ser a indicação de que você está sofrendo esse tipo de ataque (embora tipicamente isso aconteça simplesmente porque o seu contato comprou um novo telefone e reinstalou o aplicativo).

Aplicativo Web

O WhatsApp fornece uma interface web protegida por HTTPS para seus usuários enviarem e receberem mensagens. Como acontece com todos os websites, os recursos necessários para carregar a aplicação são entregues cada e toda vez que você visita aquele site. Assim, mesmo que o seu navegador suporte criptografia, o aplicativo web pode facilmente ser modificado para uma versão maliciosa a qualquer momento, o que poderia fazer com que suas mensagens fossem entregues a terceiros. Uma opção melhor e mais segura seria fornecer um cliente desktop através de extensões (do navegador) ao invés de uma interface na web.

Compartilhamento de dados com o Facebook

A atualização recente da política de privacidade do WhatsApp anunciou planos de compartilhar dados com a companhia que o possui, o Facebook, assinalando uma mudança significativa nas atitudes do WhatsApp com respeito à privacidade do usuário. Em particular, a linguagem vaga e aberta da atualização da política de privacidade levanta questões sobre exatamente quais informações de usuário o WhatsApp está ou não compartilhando com o Facebook. O WhatsApp anunciou publicamente seus planos para compartilhar os números de telefones dos usuários e dados de uso com o Facebook com o propósito de fornecer aos usuários recomendações mais relevantes de amigos e propaganda. Embora aos atuais usuários do WhatsApp é dado 30 dias para optar por não aderir a essa mudança na sua experiência de usuário do Facebook, eles não podem optar pelo não compartilhamento de dados em si. Isso dá ao Facebook uma capacidade alarmantemente aumentada de olhar a comunicação dos usuários online com respeito a atividades, afiliações e hábitos.

Próximos passos

O WhatsApp e o Facebook poderiam dar alguns passos simples para restaurar nossa confiança nos seus produtos.

  • Simplificar a interface de usuário do WhatsApp para fortalecer a privacidade. Uma configuração que ativasse todas as opções de proteção – tais como desabilitar backups, habilitar notificações de mudança de chave e optar por estar fora do compartilhamento de dados – tornaria muito mais fácil para os usuários ter o controle sobre sua segurança.
  • Fazer uma declaração pública sobre exatamente quais tipos de dados serão compartilhados entre WhatsApp e facebook e como eles serão usados. O WhatsApps precisa decidir certos usos futuros de seus dados através da definição do irá fazer – e, tão importante quanto, o que não irá fazer – com as informações de usuário que coleta.

Até que tais mudanças aconteçam, temos que avisar os usuários para que tomem cuidados extras quando decidirem se e quando se comunicarão usando o WhatsApp. Se você decidir usar o WhatsApp, veja nosso guia para Android e iOS para mais informações sobre como mudar suas configurações para proteger a sua segurança e privacidade.

[livro] Ofuscação

Saiu em 2015 um livro em inglês chamado “Obfuscation“, de Finn Btunton e Helen Nissenbaum.

O conteúdo trata de como se mover de forma mais segura no meio da vigilância. Exemplos de técnicas seriam despistar ou criar ruído, se “camuflar” digitalmente, ou então fazer umas pequenas sabotagens. A primeira parte trata de casos reais de ofuscação, não apenas digital, mas de várias áreas como radares, poker ou grampo.

Já a segunda parte vai tentar responder às seguintes perguntas: Por que a ofuscação é necessária? Podemos justificá-la? A ofuscação funciona?

Tudo isso levando em conta o contexto onde esta técnica está sendo usada: se você está agindo individualmente ou em grupo, quais são os meios de vigilância do seu adversário, sua ação é pública ou secreta ou anônima, sua escala de tempo é de curto ou médio prazo, etc.

Ainda não terminei de ler, mas já posso dizer que minha percepção sobre cultura de segurança se ampliou: ao lado da criptografia, a ofuscação parece trazer meios viáveis para as pessoas que não querem deixar de usar os serviços digitais comuns se protegerem melhor e resguardarem mais a sua privacidade.

baixe o PDF.

Obfuscation_

Facebook tem a capacidade de ler suas msg encriptadas de WhatsApp

tirado da Folha.

Brecha do WhatsApp permite espionar mensagens criptografadas, diz jornal

Um pesquisador da Universidade da Califórnia descobriu uma brecha de segurança do WhatsApp que pode ser usada pelo Facebook e por outras instituições para interceptar e ler mensagens criptografadas enviadas no aplicativo.

De acordo com o jornal “Guardian”, Tobias Boelter, especialista em criptografia e segurança, encontrou o atalho. “Se agências do governo solicitarem ao WhatsApp o registro de mensagens, a empresa pode conceder esse acesso devido a uma mudança de chaves [de segurança]”, disse ele à publicação britânica.

O Facebook, que controla o WhatsApp, afirma que ninguém pode interceptar essas mensagens —nem mesmo a empresa e sua equipe—, o que garante a privacidade dos usuários.

O sistema de segurança gera chaves de segurança exclusivas, por meio do protocolo Signal, desenvolvido pela Open Whisper Systems.

A criptografia “end to end” é um sistema utilizado pelo aplicativo para que a mensagem saia com uma espécie de “cadeado invisível” do dispositivo que a envia e só seja decodificada quando chega ao aparelho do receptor. Nos servidores da empresa, não são retidos nenhum vestígio do conteúdo dessas mensagens.

A segurança do WhatsApp baseia-se na geração de chaves de segurança exclusivas, usando o aclamado protocolo Signal, desenvolvido pela Open Whisper Systems, que é negociado e verificado entre usuários para garantir que as comunicações são seguras e não podem ser interceptadas por um intermediário.

No entanto, o WhatsApp tem a capacidade de forçar a geração de novas chaves de cifração para usuários off-line, sem que remetente e destinatário da mensagem original tenham ciência disso, e pode forçar o remetente a recifrar mensagens com novas chaves e enviá-las de novo, em caso de mensagens que não tenham sido marcadas como entregues.

O destinatário não é informado dessa alteração na criptografia, enquanto o remetente é notificado somente se eles tiverem optado por avisos de criptografia nas configurações e somente após as mensagens terem sido reenviadas. Esta re-criptografia e retransmissão efetivamente permite que o WhatsApp intercepte e leia as mensagens dos usuários.

Segundo o “Guardian”, Boelter relatou a vulnerabilidade ao Facebook em abril de 2016. A resposta foi que a empresa estava ciente do problema, que era um “comportamento esperado” e não estava sendo trabalhado.

Um porta-voz da WhatsApp disse ao “Guardian” que “mais de 1 bilhão de pessoas usam o WhatsApp hoje porque é simples, rápido, confiável e seguro. Sempre acreditamos que as conversas das pessoas devem ser seguras e privadas. No ano passado, demos a todos os nossos usuários um nível de segurança melhor, fazendo com que cada mensagem, foto, vídeo, arquivo e chamada de ponta a ponta sejam criptografados por padrão. À medida que introduzimos recursos como criptografia de ponta a ponta, nos concentramos em manter o produto simples e levar em consideração como ele é usado todos os dias em todo o mundo.”

“Na implementação do protocolo Signal adotada pelo WhatsApp”, acrescentou o porta-voz ao “Guardian”, “temos uma opção de configuração que permite exibir notificações de segurança, e ela notifica usuários sobre alterações em seu código de segurança. Sabemos que o principal motivo para que isso aconteça é que as pessoas troquem de celular ou reinstalem o WhatsApp. Isso acontece porque, em muitas partes do mundo, as pessoas frequentemente trocam de aparelho e de chip. Nessas situações, queremos garantir que as mensagens enviadas a elas sejam entregues e não fiquem perdidas no caminho”.

Steffen Tor Jensen, vice-presidente de segurança da informação e de combate à vigilância digital na Organização Europeia-Bahraini para os Direitos Humanos, verificou as descobertas de Boelter. “O WhatsApp pode efetivamente continuar lançando as chaves de segurança quando os dispositivos estão offline e reenviando a mensagem, sem deixar os usuários saberem da mudança até que ela tenha sido feita, fornecendo uma plataforma extremamente insegura”, disse ele ao jornal.

A professora Kirstie Ball, fundadora do Centro de Pesquisa em Informação, Vigilância e Privacidade, chamou a existência de atalho dentro da criptografia do WhatsApp “uma mina de ouro para agências de segurança” e “uma enorme traição à confiança do usuário”.

“É uma enorme ameaça à liberdade de expressão. Os consumidores dirão, eu não tenho nada a esconder, mas você não sabe que informação é procurada e que conexões estão sendo feitas”, completa.

Ativistas de privacidade disseram que essa vulnerabilidade é uma “enorme ameaça à liberdade de expressão” e advertiram que ela pode ser usada por agências governamentais para espionar as pessoas, que acreditam que suas mensagens são seguras.

Atenção: nova versão do Tor Browser

O que segue é um resumo. A postagem completa está no blog do tor project.

O Tor Browser 6.0.7 está disponível na página do Tor Browser Project e também no distribution directory.

Este lançamento realiza uma importante atualização de segurança no Firefox e contém, adicionalmente, uma atualização do NoScript (2.9.5.2).

A falha de segurança responsável por este lançamento urgente é altamente explorada hoje em sistemas Windows. Até onde se sabe, o tal bug não afeta usuários de OS X ou Linux. Mesmo assim, recomendamos fortemente que todos os usuários atualizem seu Tor Browser imediatamente. É preciso reiniciá-lo para que a mudança seja efetiva.

Boas Práticas: Lista de Emails

Seguidas vezes nos deparamos com nossos grupos tentando se comunicar por meios digitais e criando a maior bagunça. As pessoas se atravessam, não leem as mensagens e já comentam, saem postando absolutamente tudo que lhes vem na cabeça. O mal uso de um canal coletivo de comunicação é um dos principais fatores para o desgaste das relações de um grupo. Com o tempo, além das coisas não saírem com a rapidez que era esperada, as pessoas vão deixando de colaborar e lentamente vão se afastando, seja por falta de paciência ou por cansaço.

O que segue abaixo são orientações quanto ao uso das listas de discussão de um movimento social do qual participei. Tentamos resumir as principais boas práticas em quatro frases com alguns exemplos e breves propostas relacionadas a cada uma.

Estas recomendações foram produzidas pensando numa lista de emails. Porém, atualmente os grupos estão usando cada vez mais grupos de mensagens instantâneas. Mesmo assim, a partir deste material é possível derivar boas práticas para as comunicações que não passam por email.

Um acordo de boas práticas em grupo é MUITO importante e tem por objetivo obtermos mais eficiência na comunicação e manter a harmonia das discussões.

Sempre que precisar, o grupo deve revisar seus acordos.

Mote: Organize um movimento social e seja feliz – utilizando a lista! 🙂

O canal Público e o Fechado

Se o seu grupo tiver atuação pública, em geral é bastante comum e útil ter dois canais de comunicação coletiva. Um para informar pessoas interessadas sobre as ações públicas do grupo. Este canal é composto pelas pessoas que apoiam e que não necessariamente participam das reuniões. Por questões de segurança, recomenda-se não expor assuntos delicados nele pois qualquer pessoa pode estar ali.

O outro canal é aquele composto pelas pessoas mais orgânicas do grupo. É usado para tratar assuntos de organização interna, incluindo aqueles que exigem maior sigilo. Revise periodicamente quem participa deste canal e mantenha a lista segura.

Boas Práticas

1- Seja coerente com o assunto do email.

Preencha o campo assunto com poucas palavras, para resumir a mensagem. Exemplo de mau uso: [fechô galera] para falar que uma atividade está confirmada (o assunto não diz sobre o que se trata o email).

Inclua [fora de tópico] antes do assunto de uma mensagem que não tenha relação direta com a organização do grupo.

Mude o campo assunto sempre que mudar o que está sendo tratado no email. Caso você queira falar de várias coisas, mande vários emails. Será lindo!

2- Seja precis@ e diret@ ao escrever suas mensagens.

Exponha sua ideia e proponha em seguida. Lembre-se que ter ideias é bacana, mas elas sempre precisam de pessoas para encaminhá-las.

No caso de repassar à lista uma publicação ou notícia, mande o link e um trecho que sirva de resumo.

Responda um email somente depois de ler as respostas anteriores.

Envie mídias (fotos, áudios, vídeos, etc.) utilizando as ferramentas: postimage.org, dropbox, google drive, ou melhor, o blog do grupo!

3- A lista Fechada trata da organização GERAL do grupo

Exemplos do que pode interessar a todo mundo: propostas gerais, repasses de GTs, notícias relacionadas ao grupo, decisões que necessitem consenso, etc.

Resolva os assuntos do seu GT através das ferramentas de comunicação próprias do GT (celular, FB, email para algumas pessoas, telepatia, etc.)

Envie recados individuais apenas para a pessoa interessada ou GT. Exemplo de mau uso: “você é uma fofa, amiga!”.

4- Casos raros

Evite registrar por escrito qualquer atividade que possa criminalizar membros do grupo.

Caso queira sair da lista, fale com a moderadora.

Quando quiser mostrar a um contato de fora da lista um e-mail interno, copie especificamente o trecho e faça uma nova mensagem. Ao encaminhar diretamente uma mensagem, você estará expondo contatos e informações internas do grupo.

Outras infos:

* Guia de sobrevivência em listas de discussão

Dicas:

* Se você tem dificuldades para acompanhar todos os e-mails da lista, tente criar filtros e marcações. Procure num buscador como fazer isto no seu cliente de email (Thunderbird, Iceweasel, Gmail, Hotmail, Yahoo, Outlook, Ig, etc.)

Tecnota: Pequenas descobertas sobre smartphone 1

Esta é uma breve compilação das descobertas que fiz para smartphone e android. Até hoje tenho um pé atrás com smartphones. Não há dúvida de que são as ferramentas mais poderosas e pervasivas de vigilância jamais inventadas. Como lidar com isso é um dos problemas mais ignorados da tecnopolítica. As pessoas simplesmente foram engolidas e usam porque têm que usar.

Repositórios e APKs

A primeira pergunta que me veio quando pensei num espertofone foi “mas pra quê diabos um software obrigatoriamente (mesmo os gratuitos/free e/ou de código aberto) tem que passar por uma das stores das grandes corporações? Primeiro, rebatizar um software para “app” já me soou estranho. E é justamente essa a diferença: um app necessariamente gera receita. Obviamente, não pra mim, nem pra ti, mas para uma empresa que já ganha MUITO dinheiro.

Além disso, tu precisas estar devidamente cadastrado nessa corporação. Não só o teu nome e email, como sempre aconteceu na internet livre, mas hoje tens que colocar teu número telefone também. Isso significa ter seu nome real completo, RG, CPF e na maioria das vezes o teu endereço. De “eu só queria instalar um software e saber mais sobre tal assunto” a internet virou “aqui está a sua conta; e lembre-se que sabemos tudo sobre você”.

Na minha mentalidade primitiva de software, eu ficava pensando: “que coisa ridícula, cadê os instaladores? Quero só baixar anonimamente e instalar a parada”. Foi então que descobri que os apps para android são programas geralmente escritos em java e compactados em um arquivo .APK. Instalar um apk é basicamente criar uma pasta e um atalho na janelinha do “telefone”. Ou seja, muito mais simples que a instalação de um software em linux, por exemplo.

Foi aí que descobri o site www.apkpure.com , que contém apks de tudo quanto é repositório de android. Ali é possível baixar sem se cadastrar. Tem também o repositório f-droid com vários app de código aberto.

cropped-header-resp1

Mas e como fica a segurança? Como vou saber que o software, na verdade o app, está igual ao que o desenvolvedor lançou? Como vou saber se não colocaram uma backdoor ou outro tipo de código malicioso? Boa pergunta. Como você que usa g-play ou i-store pode garantir isso? Que garantia de privacidade você tem do gugou? Pois é, nenhuma. Prefiro tentar aprender mais sobre segurança e trazer esse poder pra mim do que confiar numa empresa que sabidamente negocia os dados de seus clientes.

Navegador Orfox

Ao instalar o orbot (pra usar a rede TOR no smartphone), descobri que o Guardian Project tinha lançado há pouco um novo navegador para telefone que substituiria o orweb. O orfox procura manter os mesmos objetivos de projeto do Tor Browser ao mesmo tempo que incorpora várias funcionalidades do firefox para android. Seu código é aberto e pode ser revisado aqui. As diferenças entre o orfox e o tor browser e o orweb estão descritas aqui.

orfox-feature-graphic

SSH Droid

Outra pergunta que me vinha era: “como posso acessar TODOS os arquivos que estão no meu espertofone?” Eu olhava aquela interface do android sobre meus apps e ficava totalmente insatisfeito. Não sou nenhum hacker e não entendo quase nada de programação, mas não saber o que tá ali era muito frustrante.

Foi então que descobri uma forma de acessar o diretório raiz do telefone!

O que fiz foi basicamente o seguinte: instalei o sshdroid, criei um ponto de acesso sem fio no meu notebook, rodei o sshdroid para criar um servidor SSH no telefone e me conectei a ele via file explorer no linux. Segue abaixo o tutorial.

  1. No celular, baixe o SSHDroid pelo repositório f-droid.
  2. No notebook com debian, ubuntu ou linux mint, vá nas suas configurações de rede e simplesmente aperto o botão “criar um ponto de acesso sem fio”. Isso faz com que outros computadores possam se conectar remotamente ao seu computador. Na janela seguinte aparecerá o nome da rede e a senha.
  3. no celular, habilite o adaptador de rede wi-fi e conecte-se a rede criada no notebook.
  4. no celular, rode o SSHdroid. Automaticamente ele criará um servidor ssh no seu celular. Seu endereço será algo como “root@192.168.1.101”. A senha padrão é “admin”.
  5. no notebook, vá no file explorer, arquivo->conectar-se a um servidor. Escolha o protocolo SSH e digite o endereço IP. Coloque “root” como usuário e “admin” como senha.

Pronto! Divirta-se explorando o sistema de arquivos do seu espertofone desde a raiz. O tutorial completo em inglês está aqui.

Mesmo assim, não me dei por satisfeito pois dependo do celular estar ligado e funcionando para poder fazer todo esse malabarismo. Gostaria mesmo de poder acessar a memória do telefone direto do meu notebook. Isso aprenderei assim que conseguir trocar o sistema operacional do telefone (de android para securegen ou replicant). (É bem desagradável não ter uma única boa opção de sistema operacional para telefone!)

Shashlik

Esse é um software que roda programas de android no ambiente linux. Infelizmente só tem para arquiteturas de 64bits. Site.

A segurança não é um crime, a menos que…

16 de janeiro de 2015

Por Dia Kayyali e Katitza Rodriguez – artigo do portal EFF.org

A segurança não é um crime, a menos que você seja anarquista

Riseup, um coletivo de tecnologia que fornece serviços de comunicação voltados para segurança para ativistas do mundo todo, soou o alarme no último mês quando um juiz na Espanha afirmou que o uso do seu serviço de e-mail era uma prática, a seu ver, associada ao terrorismo.
Javier Gómez Bermúdez é um juiz da Audiência Nacional, um tribunal superior especial na Espanha especializado em crimes graves como terrorismo e genocídio. De acordo com relatórios da imprensa, em 16 de dezembro, o juiz ordenou a prisão de pressupostos membros de um grupo anarquista. As prisões faziam parte da Operação Pandora, uma campanha coordenada contra “atividades anarquistas” que foi considerada uma tentativa de “criminalizar os movimentos sociais anarquistas”. A polícia confiscou livros, telefones celulares e computadores, e prendeu 11 ativistas. Quase não se sabe detalhes da situação, pois o juiz declarou o caso secreto.

 

Pelo menos um legislador, David Companyon, especulou que as incursões policiais são “uma artimanha para reunir apoio para a recém aprovada ‘lei da mordaça’ espanhola.” A nova lei restringe severamente manifestações, coloca grandes multas para atividades como insultar um policial (600 euros), queimar a bandeira nacional (mais de 3.000 euros), ou fazer uma manifestação em frente aos prédios do parlamento ou outras construções chave (até 600.000 euros). Considerando o que a lei estabelece, não surpreende que muitas pessoas vinculem-na às incursões conduzidas contra um grupo com ideias políticas que aparentemente o governo considera ameaçadoras.

 

Em um comunicado, Riseup apontou:

Quatro pessoas entre as detidas foram soltas, mas sete estão na cadeia esperando julgamento. As razões dadas pelo juiz para mantê-los detidos incluem a posse de certos livros, “a produção de publicações e formas de comunicação”, e o fato de que os acusados “usam e-mails com medidas extremas de segurança, tais como o servidor Riseup.

 

Não está claro o que o juiz quer dizer com “medidas extremas de segurança”. Como afirma Riseup, “muitas das ‘medidas extremas de segurança’ usadas por Riseup são boas práticas comuns para segurança online.” Parece que a suposição por trás da decisão do juiz é que usar serviços que sigam boas práticas para segurança online deve ser considerado suspeito. Isso claramente vai contra o princípio de pressuposição de inocência, um requisito central da lei internacional de direitos humanos. E mais, usar serviços com forte segurança é a forma que os indivíduos têm para exercer seu direito à privacidade e liberdade de expressão na era digital ao mesmo tempo em que se mantêm seguros. Cada nova violação de bases de datos e desastres de segurança informática nos lembra disso.

 

Chamar o desejo de estar seguro online de “extremo” é algo incrivelmente perturbador. Entretanto, pouco surpreendente. Durante a “guerra contra a criptografia” [“Crypto wars”] dos anos 1990, o governo dos Estados Unidos propagaram a ideia de que uma encriptação forte deveria ser tratada como armamento. Isso pode ser devido ao fato de que uma segurança forte torna muito mais difícil para uma agência como a NSA vigiar descaradamente todo mundo e torna difícil reprimir grupos com ideias políticas que ameacem o status quo. Não há dúvidas que anarquistas caem nessa categoria, e provavelmente é por isso que o governo espanhol está preocupado.
No seu comunicado, Riseup explica que o coletivo “tem a obrigação de proteger a privacidade de seus usuários” e “não está disposto a permitir backdoors ilegais ou vender informações de nossos usuários para terceiros”.

 

Existem fortes evidências de que a NSA se assegurou de que houvessem backdoors integradas em diversos produtos e serviços. Companhias e grupos como Riseup querem proporcionar serviços de rede confiáveis e seguros mesmo ao lidar – na verdade, especialmente neste caso – com policiais e advogados que solicitem informações pessoais de usuários e seus registros. Riseup desenvolveu políticas de privacidade robustas para proteger-se da responsabilidade legal, mas mais acima de tudo, para proteger a segurança e a privacidade de seus usuários.

 

A necessidade de privacidade e segurança não pode ser subestimada. Em seu histórico relatório para a 23ª seção do Concelho de Direitos Humanos, o ex-relator da liberdade de expressão da ONU, Frank La Rue deixou claro que a segurança da comunicação é fundamental para uma sociedade aberta. Ele afirmou:

Os indivíduos devem ser livres para usar qualquer tecnologia que escolham para garantir a segurança de suas comunicações, e os Estados não devem interferir no uso de tecnologias de encriptação. (…) Sem uma proteção adequada à privacidade, à segurança e ao anonimato das comunicações, ninguém pode garantir que suas comunicações privadas não estejam sob o escrutínio do Estado.

A privacidade é uma característica essencial de toda sociedade livre. Junto com a “lei da mordaça”, ao reprimir usuários que usem comunicações privadas e seguras, o governo espanhol manda um preocupante sinal a respeito de suas intenções. Mas ainda há tempo para o tribunal corrigir esta decisão. Se a razão para manter esses ativistas presos é sua perfeitamente razoável e corriqueira decisão de manter seguras suas próprias comunicações, então eles devem ser liberados imediatamente.

A figura do hacker

Excerto do livro “Aos nossos amigos e amigas“, capítulo Fuck off Google:

“A figura do hacker se opõe, ponto por ponto, à figura do engenheiro, quaisquer que sejam as tentativas artísticas, policiais ou empresariais de a neutralizar. Enquanto o engenheiro captura tudo o que funciona, e isso para que tudo funcione melhor a serviço do sistema, o hacker se pergunta “como é que isso funciona?” para encontrar as falhas, mas também para inventar outras utilizações, para experimentar. Experimentar significa, então, viver o que implica eticamente esta ou aquela técnica. O hacker vem arrancar as técnicas do sistema tecnológico, libertando-as. Se somos escravos da tecnologia, é justamente porque há todo um conjunto de artefatos de nossa existência cotidiana que temos como especificamente “técnicos” e que consideramos sempre como meras caixas-pretas das quais somos inocentes usuários. O uso de computadores para atacar a CIA comprova de modo suficiente que a cibernética não é a ciência dos computadores, da mesma forma como a astronomia não é a ciência dos telescópios. Compreender como funciona qualquer um dos aparelhos que nos rodeia significa um aumento de poder imediato, um poder que nos dá controle sobre aquilo que a partir de então já não surge mais como o ambiente que nos cerca, mas como um mundo disposto de certa maneira e sobre o qual podemos intervir. É este o ponto de vista hacker sobre o mundo.”