O fim da privacidade e os desastres pós-modernos

É preciso encontrar novos meios de preservação da intimidade individual e do sigilo de dados na sociedade superconectada

Ao final dos anos 80, o teórico “pós-moderno” Paul Virilo assinalou que toda invenção tecnológica acarreta o surgimento de uma nova forma de desastre.  Com o advento do balão de passageiros, vieram as tragédias aéreas; o aquecimento a gás propiciou o surgimento da asfixia doméstica; o atropelamento começou com as carroças.

No universo da cultura digital, a radicalidade dos sinistros decorrentes de novas tecnologias atinge patamares insanos. E aí não falamos só de efeitos desastrosos pontuais, como o vírus que embaralha textos no computador ou o banditismo cibernético. O maior e mais profundo dos desastres da era cibernética é, na opinião de muitos, a destruição da privacidade. Uma tragédia que prejudica os indivíduos e oferece perigo a empresas e governos.

Hoje, bilhões de pessoas estão expostas pela hiperconexão e pelo compartilhamento da existência social em aplicações de relacionamento. Aplicações que, obviamente, embutem algum modelo de negócio baseado exatamente na inferência sobre dados (ou cacos de dados) que estas pessoas lançam ao navegar na rede.

Exemplos deste novo desastre não faltam no dia a dia. O cartão de fidelidade que usamos no supermercado permite ao comerciante saber que todo dia 10 o cliente X adquire uma garrafa de uísque Y. Juntando este dado a outros, é possível deduzir que quem compra esta marca de uísque pode também adquirir um apartamento de praia.

Em seu livro “O Poder do Hábito”, o jornalista norte-americano Charles Duhig relata o episódio em que o pai de uma adolescente procurou a empresa megavarejista “Target” para reclamar que seu departamento de marketing direto estava enviando conteúdos impróprios para sua filha menor de idade. Mensagens ligadas à maternidade e ofertas de produtos para bebês.

O gerente da loja se apressou a procurar o tal pai para contornar a queixa. Precisaria, para tanto, explicar que um sistema robótico de algoritmos, ligado ao big data da empresa, cruzava milhares de indícios desconexos e signos não estruturados para inferir o nível de propensão à gravidez de mulheres no mundo virtual.

O gerente iria contar ao pai que este modelo de big data já havia provado, na Target, um índice de assertividade beirando os 90%. As massas de informação disforme acionadas pelo tal “analytics”, iria argumentar o rapaz da loja, incluíam desde os ingênuos “likes” que a filha daquele senhor havia distribuído nas redes sociais, até seus mapas de navegação, suas preferências de compra, suas perguntas ao Google.

Mas ao ser procurado pelo gerente, o Pai, já bem mais resignado, em vez de ouvir as desculpas da Target foi logo, ele mesmo, se desculpando. É que, após ter reclamado à empresa, acabara de descobrir que a jovem filha de fato estava... grávida!

Muito mais radical que o “Grande Irmão”, profetizado pelo clássico de George Orwell de 1948, o fenômeno deste novo monstro que a tecnologia chama de “grandes dados”, tem a capacidade até de projetar, para cada um de nós, um novo tipo de futuro potencial.

Um futuro artificial, estatisticamente provável, e expresso através das inferências dos novos sistemas analíticos capazes de definir nossas “propensões futuras” e passar a direcionar o nosso enquadramento a elas.

Por outro lado, ninguém irá abrir mão da nova sociedade e seria ridículo esperar um retrocesso em função de antigos valores, com a individualidade “sagrada”. Mas reconhecer a fatalidade do fim da privacidade – tal como a conhecíamos até muito recentemente - não significa nos resignar a sermos vigiados e monitorados à nossa revelia e sem qualquer resistência possível.

Perdemos a velha e boa privacidade da sociedade analógica, das grandes multidões de pessoas anônimas, e agora precisamos inventar outra forma de privacidade, compatível com o novo modelo de tecnologia ubíqua e pervasiva e em que todos estão submersos.

Por mais difícil que seja conseguir alguma vida exclusivamente pessoal na rede, devemos rejeitar a ideia de um mundo sem direito à intimidade, assim como o setor aéreo rejeita abrir mão de uma remota possibilidade de sobrevivência diante dos seus mais terríveis desastres.

A cada voo comercial, em qualquer ponto do no planeta, a horda de passageiros é submetida a uma aula, sempre repetida e monótona, sobre como usar as máscaras de despressurização e os assentos que flutuam, em caso de mergulho da aeronave nas águas revoltas do oceano. O acidente é para lá de fatal e a solução ofertada é fraquíssima. Mas acima de tudo está o conceito, a ideia de uma contingência indispensável e lastreada na crença de que sempre haverá uma esperança se estivermos devidamente prevenidos.

O caso da privacidade cibernética e da integridade dos dados exige da indústria de TI um paradigma de perseverança semelhante. É desafio do setor de segurança da informação não apenas criar as criptografias (os algoritmos de barreira que, teoricamente, devem evitar a queda livre do “avião da privacidade” pelo simples fato de ele estar suspenso no ar). Precisamos também fomentar condutas que tenham a intimidade e o sigilo como premissas vitais, e que sejam repetitivas e reproduzidas por todos.

Fomentar condutas, quer dizer, fazer que nossos sistemas “impeçam” o usuário de espalhar seus dados (ou os dados empresariais que eles acessam) de forma indiscriminada e ingênua.  Induzi-lo, através de requerimentos de software, ao comportamento digital responsável.

E ao lado dessa tecnologia impositiva, é nosso papel projetar estratégias abrangentes para todo o ciclo da segurança. O que inclui indicar às empresas que o funcionário deve assinar termos de adesão se comprometendo a algo equivalente a “atar cintos” e a “não fumar” quando navegando na rede da companhia. 

Resulta de tudo isto que combater na luta pela privacidade exige, em alguma medida, o ato paradoxal de se monitorar os hábitos de navegação das pessoas e disciplinar o modo como os indivíduos (e aqui falamos mais especialmente dos internautas empresariais) se relacionam com as redes.

Conscientizar funcionários de que seus passos são acompanhados por um sistema lícito de controle que quase tudo vê é, por incrível que pareça, uma medida essencial para se mitigar a exposição involuntária de informações pessoais que possam ser empregadas contra a intimidade destas próprias pessoas ou contra o sigilo e integridade dos dados corporativos.

Aspectos Aborrecidos da Segurança da Informação

O homem de segurança  da informação precisará, fatalmente, incomodar seus colegas com aspectos “desconfortáveis” da segurança de TI e do comportamento das equipes.

Apesar de toda a resistência interna nos diversos departamentos empresariais, a segurança da informação está cada vez mais deixando de ser um assunto exclusivo do CIO, ou do profissional especialista da área, para ser também um típico problema de gestão de pessoas que tem impacto sobre a organização inteira.

A propósito dessa tendência, a literatura especializada oferece uma gama de frameworks e referências para tentar auxiliar os gestores. Merece atenção, em especial, a série de normas NBR ISO/IEC 27000, que não deixa dúvidas sobre a necessidade de controle do RH como aspecto imprescindível para minimizar o risco de vazamento de informação, bem como sobre a importância de se atentar para a questão do ambiente cibernético.

A ISO 27002 contempla de forma detalhada uma lista de recomendações que abrangem desde os cuidados na contratação de funcionários até a descrição de alguns processos disciplinares que se tornam imprescindíveis para a segurança da informação no ambiente corporativo.

Daí que, de um jeito ou de outro, os responsáveis pela TI e demais envolvidos diretos em políticas de segurança terão que, cedo ou tarde, acionar seus colegas - gerentes, diretores, presidentes, coordenadores de equipe - para tratar da conscientização para a segurança da informação e da importância das normas de conduta no uso da informação e dos recursos eletrônicos na empresa.

Assunto para muitos "cansativo" e de ROI nem sempre muito considerado, a conscientização (ou, como alguns preferem, a imposição de regras rigorosas) para a segurança da informação costuma ser também considerada uma "chateação" para o ambiente de concordância que sempre se busca nas empresas. Além de também "tomar o tempo de pessoas que poderiam estar vendendo e fazendo a roda girar". Daí a sua difícil aceitação em certo âmbito nas empresas.

Mas, como eu dizia mais acima, a consciência desse fato - de que a gestão de pessoas é crucial para a segurança - começa a assumir novos contornos para cúpula empresarial à medida em que alguns fatos conjugados vão se tornando mais nítidos aos olhos do dono do negócio:

1. As normas para garantir conformidade estão cada vez mais endereçando as vulnerabilidades decorrentes da ação de usuários, internos ou externos, e cuja ocorrência certamente acarretará prejuízo.
2. Com a enorme abundância de meios de acesso à rede, praticamente todos os funcionários, clientes remotos e usuários externos acessam bases de informação que podem conter informações críticas de negócio. E certamente tais conexões facilitam a ação de um agente mal-intencionado.
3. Esta mesma abundância de acesso, com excelentes taxas de velocidade de navegação, e toda uma infraestrutura tecnológica para negócio tende a transformar, na cabeça do colaborador, a estrutura digital da empresa em um "jeito melhor" de acessar o Facebook ou o WhatsApp. Então, a linha que separa o lazer e o trabalho pode às vezes ficar muito tênue, um fato que faz acender aquele brilhante cifrão interrogatório nos olhos do empresário.
4. Não bastasse a banalização do acesso, através dos computadores da empresa, há ainda o fenômeno dos smartphones e tablets pessoais consumindo de forma considerável o canal Wi-Fi empresarial e potencializando a situação de descontrole e exposição ao risco.
5. Sem querer completar a lista de problemas - que seria realmente muito grande - vale lembrar que a superexposição dos funcionários em seus perfis de redes sociais acrescenta um nível de vulnerabilidade até recentemente impensável para a segurança dos negócios. E isto, especialmente nesses tempos em que o cibercrime já detém domínios que vão da engenharia social a sofisticadas técnicas de espionagem.

Portanto, a necessidade de solução para o fator "gente" como um dos elos mais vulneráveis e mais críticos da política de segurança já não é exatamente uma novidade.

Em fóruns de discussão, seminários e encontros do setor, já é comum encontrarmos especialistas em segurança (e em direito digital) que recomendam a criação de "manuais de segurança" que são, em grande medida, documentos de prévia e explícita advertência para que o funcionário tenha - e ateste ter - ciência sobre seus limites de uso dos recursos de rede e de TI da empresa e sobre suas responsabilidades - incluindo ônus judiciais - para os casos de uso inadequado.

Para a advogada Patrícia Peck, especialista na área do direito digital, toda segurança jurídica da empresa está em risco se ela não tiver documentos de "ciência", assinados pelos funcionários, que as ajude em futuras querelas sobre o monitoramento defensivo do e-mail corporativo e outras informações sobre navegação na Internet utilizando os recursos da empresa.

Acontece também que, embora ainda haja muitos embates sobre este tipo de monitoramento, a prática de mercado já pacificou que eles são legítimos nos canais estritamente institucionais do negócio e que as empresas necessitam fazê-lo em defesa de seus dados e até de dados de terceiros que estejam sob sua custódia.

Mas, uma vez definida esta prática como um padrão atinente aos costumes e aos marcos regulatórios (sejam eles do direito ou da indústria) retornamos a questão novamente ao CIO, ou ao homem da segurança, ao qual caberá não só o papel de coordenar esta mudança comportamental no ambiente das corporações, mas também promovê-la.

É que, para que tais mudanças se efetivem, será preciso que os sistemas de controle também estejam adequados, por exemplo, para avisar o funcionário (e também alertar o controlador) que ele deixe de acessar aquela rede social em que está navegando, e na qual nada existe de pertinente ao seu trabalho.

Sem uma central de controle unificado (normalmente sintetizada através de um Firewall UTM), é inviável a uma empresa estabelecer o monitoramento necessário para a implementação de políticas de tráfego, acesso à informação e uso de recursos de rede.

Da mesma forma, a análise posterior dos logs e da ação de cada usuário, para o caso de elucidação de incidentes envolvendo a segurança ou privacidade do negócio, irá depender de rastreamentos somente viáveis a partir de recursos disponíveis em uma central de monitoramento deste tipo.

A grande maioria das empresas, entretanto - e aí  se incluem algumas de porte até razoável - ainda credita a segurança à ação de providências bem mais simples, como a instalação de "poderosos antivírus", o bloqueio de sites recreativos e o envio de e-mails genéricos de advertência para que as equipes não se dispersem no Instagram ou no Facebook.

Pois este é outro assunto "chato" a ser levado aos colegas pelo homem de segurança. Ativos estratégicos do negócio continuarão em alto risco enquanto as empresas não entenderem que o investimento em segurança é mais do que um gasto indesejável, mas uma proteção de todo o negócio em si. É preciso investir no melhor do controle de proteção até para se ter mais produtividade e sustentabilidade a longo prazo.

De preferência, não baixe ferramentas gratuitas da Internet para uso na segurança e controle do seu negócio. Também procure saber se o Firewall UTM que pretende instalar atende as exigências da norma ISO 27002 e, se possível, busque encontrar material referencial em universidades, órgãos governamentais de segurança e defesa ou empresas de pesquisa como o Gartner.

A moral da história, se é que existe uma, poderia ser a seguinte: investir em segurança é mesmo bem pouco excitante. Mas sem sombra de dúvida muito melhor é apostar em redução de riscos do que em contenção de danos.

Como será a nova estratégia nacional de segurança cibernética?

Documento do Comitê Gestor de Segurança da Informação traça o diagnóstico e as metas da segurança digital no Brasil entre 2015 e 2018

Se é verdade que o Brasil ainda está atrasado em termos de políticas integradas de segurança da informação e segurança cibernética, hoje podemos constatar que a sociedade já se deu conta desse fato e de sua extrema gravidade.

E por mais elementar que isto possa parecer, tal reconhecimento - claro, desde que devidamente secundado pela ação - já nos coloca em situação de superioridade frente a inúmeros outros países que ainda não dão a devida importância ao tema.

Ações concretas, aliás, já vinham sendo tomadas pelos nossos órgãos de Estado pelo menos desde 2000, quando se instituía o primeiro embrião do CGSI - Comitê Gestor de Segurança da Informação - órgão que veio sendo lentamente aperfeiçoado até os dias de hoje, e que ganhou feições muito mais bem definidas, além de maior proatividade, após os recentes casos internacionais de espionagem que são do conhecimento de todos.

Importante verificar que, desde a origem, o CGSI surgia atrelado ao Conselho de Defesa Nacional, percebendo-se daí a clara preocupação - já naquele momento - com a criação de uma doutrina militar brasileira para a questão da segurança cibernética. Uma discussão, por sinal, que hoje está na ordem do dia e que é, sem dúvida, um dos elementos norteadores do novo "Mapa Estratégico da Segurança da Informação e da Segurança Cibernética 2015-2018", lançado ao final de maio último pelo Gabinete de Segurança da Presidência da República, e cuja grande virtude é exatamente a de refletir o estado máximo da massa crítica do país nesta seara.

O documento é especialmente minucioso ao detalhar as atribuições específicas dos vários órgãos de Estado envolvidos na questão de segurança digital e ao descrever os mecanismos disponíveis para a participação da sociedade - empresas, universidades, cidadão e órgãos da comunidade - na elaboração dessas políticas.

Afora isto, merece destaque a sua afirmação da importância de se fortalecer no país o conhecimento acadêmico e o know-how industrial, inclusive referendando algumas políticas já em curso, como a de adoção pelo Estado de suas redes privativas de comunicação digital (como a do SERPRO) para as comunicações mais sensíveis, bem como no referendo ao fomento fiscal e aplicação do poder de compra do Governo em favor da pesquisa e desenvolvimento locais.

Portanto, o Mapa Estratégico é essencial para que lideranças da indústria nacional de segurança possam se localizar diante da complexidade da máquina de segurança e defesa que envolve os três poderes.

O Mapa Estratégico 2015 - 2018 deve ser comemorado também por refletir um avanço da nossa visão de gestão para o setor da segurança & defesa, mostrando que o Comitê Gestor está, de fato, abraçando com força a sua ideia fundadora.

Numa questão altamente complexa e abrangente como é a segurança cibernética e das informações de um modo geral, a gestão é talvez o primeiro nó a ser desatado para que as políticas corretas e integradas possam ser arquitetadas, de modo a efetivamente gerar um arcabouço de boas práticas que sejam disseminadas e assimiladas com objetividade ao longo de todos os níveis de organização da sociedade.

O poder público brasileiro demonstra, na publicação do Mapa Estratégico, a sua inserção rigorosa como força de liderança no desenvolvimento da questão o que, para nós cidadãos, deve servir como alento, já que somos nós os liderados.

Mas como o próprio documento nos mostra, o Brasil precisa correr e agilizar urgentemente seus esforços, para não ficar só na intenção e para realmente usar esta visão estruturante como um guia concreto para a ação.

Entre os indicadores empregados para a elaboração do Mapa, o CGSI utiliza dados preocupantes, coletados pelo TCU, segundo os quais nos órgãos da ADM pública e as empresas estatais, 80% das redes apresentam falhas em mecanismos de continuidade dos negócios. Nada menos que 70% têm falhas no controle de acesso e 75% têm falhas na gestão de incidentes, enquanto 85% têm falhas na gestão de riscos.

Das empresas e órgãos analisados - todos eles formando um núcleo institucional altamente estratégico - apenas 50% têm designado um responsável gestor pela segurança da informação e só 54% declararam dispor de normas internas para backup de dados.

Dessa forma, tão importante como termos iniciativas práticas do maior valor técnico-estratégico, como os incentivos ao desenvolvimento do algoritmo criptográfico proprietário, ou a identificação e certificação de uma população de Empresas Estratégicas de Defesa, cabe ao Estado brasileiro perseguir a criação e consolidação de uma agenda tática e de longo prazo para a questão da governança.


Um bom começo, para tanto, é reverter no prazo mais curto possível, os pontos de vulnerabilidade e frouxidão de gestão das empresas e órgãos públicos retratadas no Mapa Estratégico 2015-2018. Nossa proposta é que, nesse sentido, a indústria local de TI e as universidades sejam imediatamente convocadas a apresentar suas propostas junto ao governo, as forças armadas e todo o conjunto de organismos de segurança, defesa e inteligência.

Paraíso cibernético e o inferno sem lei

A expressão "paraíso cibernético" ainda não está indexada nos dicionários e enciclopédias eletrônicas, mas seu uso vai se consolidando nas reuniões do setor de segurança da informação.  Seu significado ainda carece de algum rigor, mas a compreensão do conceito, em linhas gerais, se torna fácil quando o associamos à ideia dos paraísos fiscais, já conhecida de todos.

De fato, há entre as duas expressões uma similaridade clara. Vejamos o que motiva a existência de uma e de outra. O que leva uma nação a se tornar um paraíso fiscal é o interesse em atrair para si uma parte do capital global através de dois atrativos básicos: o primeiro é a oferta de uma depreciação de taxas governamentais sobre o capital, algo que os técnicos financeiros classificam como "dumping tributário". O outro atrativo fatal é o sigilo total que esses refúgios oferecem quanto ao proprietário dos valores ali depositados, incluindo-se aí a possibilidade de criar empresas offshore praticamente anônimas em sua composição.

A motivação para que um país decida se posicionar como um paraíso cibernético pode envolver complexas questões de ordem econômica e geopolítica, mas uma das principais é, sem dúvida, o interesse estratégico em transformar seu território em polo privilegiado para a instalação de data centers, fábricas de softwares, empresas globais de e-commerce e todo o tipo de investimentos da economia web.

Tal como o paraíso fiscal, o paraíso cibernético oferece ao operador de negócios digitais uma excelente trincheira para se defender contra as legislações "incômodas". Enquanto o refúgio fiscal provê o chamado dumping tributário, o paraíso cibernético oferece um verdadeiro apagão legal, livrando os proprietários de sites e negócios do mundo digital de terem de se curvar diante de restrições, muitas vezes, consideradas maléficas aos negócios. A outra oferta irresistível, no âmbito do refúgio digital, é o ponto extremo desse referido apagão: trata-se do anonimato garantido para ações praticadas na web, o que reforça as salvaguardas antijudiciais que estão no espírito da coisa.

Descritas dessa maneira, essas duas visões do paraíso (a fiscal e a cibernética), já chegam a suscitar sérias dúvidas sobre as janelas de oportunidade que ambas abrem para o crime ou para práticas desleais nos negócios.

Para uma e para outra, porém, há também argumentos favoráveis que, no caso dos paraísos fiscais estão frequentemente associados à liberdade individual, ao "sagrado" direito de autoproteção da propriedade e da privacidade financeira, bem como ao direito "legítimo" que o capital privado tem de se proteger diante da voracidade tributária do Estado.

Contas offshore

No caso dos paraísos cibernéticos, eles são quase sempre justificados por razões de soberania e desenvolvimento dos países.  As ilhas Maurício, por exemplo, um pequeno país da África com a economia ancorada na cana, turismo e tabaco, iniciou há uma década, um trabalho de atração de empresas do mundo digital a partir da oferta de benefícios fiscais agressivos associados a uma legislação bastante liberal. Com isto, o país conseguiu alguns saltos importantes que, ao final, contribuíram para que as Ilhas Mauricio tenham hoje um dos melhores IDHs da África.

Para os paraísos cibernéticos, outro argumento favorável está no serviço que prestam à luta pela liberdade de internet por parte de cidadãos que vivem sob ditaduras e usam estes refúgios como locais protegidos para uma militância que, afinal, é vista com muito bons olhos pela comunidade global de índole democrática.

Entretanto, verdade seja dita, a existência de paraísos cibernéticos é uma ameaça à segurança global muito mais significativa do que os paraísos financeiros o são para a economia. Primeiro, porque o mundo financeiro já aprendeu a manter seus paraísos em limites tidos como operacionalmente razoáveis. Exemplos recentes, aliás, atestam que o anonimato dos paraísos fiscais vem sendo frequentemente quebrado quando há indícios suficientes de uma lista de crimes hediondos envolvendo as contas offshore.

Mas quanto ao paraíso cibernético, a situação prossegue – ao menos aparentemente – sem qualquer sinal de controle. E não são apenas terroristas, gangues do crime organizado, pedófilos ou traficantes que se classificam entre as ameaças ancoradas nesses biombos extra lei.

Há casos de milhares de empresas de e-commerce que transferem para tais locais a sua base institucional e assim se livram de inconvenientes, por exemplo, como o código brasileiro do consumidor e ou as normas de proteção mais avançadas dos dados individuais contra o abuso de práticas invasivas de e-marketing e comercialização de cadastros.

Os desafios de enfrentar estas contradições do direito ainda estão longe de serem resolvidos, e a prova disto é a lentidão com que o ainda reduzido número de nações adere à Convenção sobre os Crimes Cibernéticos de 2001 (também conhecida como Convenção de Budapeste), embora seja este o mais antigo e mais disseminado marco legal sobre o assunto.

Deep web

A situação nos leva a pensar naquela espécie de limbo a que nos remete  a sobreposição por camadas da grande rede global, na qual a internet que usamos no dia a dia é apenas a "surface web", o que dá ensejo à existência de uma "internet profunda", um espaço não rigorosamente indexado e quase fora de controle legal. Tal como acontece com a "deep web", contra a qual há pouca coisa a se fazer, a existência dos paraísos cibernéticos vai sendo assimilada como um dado da realidade.  Uma realidade "natural", com a qual as pessoas, os Estados Nacionais e as Empresas precisarão conviver utilizando, se precisarem, os instrumentos de legítima defesa que estiverem ao seu alcance.

Entre tais instrumentos, muitas vezes, observa-se a aplicação do velho preceito de justiça do talião ("olho por olho dente por dente"). Em tempos recentes, um provedor da Malásia se recusou a revelar a identidade de criminosos que mantinham um site racista e faziam ameaças de morte contra estudantes cotistas de Brasília. Sem apoio das instituições daquele país, a Polícia Federal Brasileira teve acesso a grampos realizados em roteadores internacionais que a levaram à rápida identificação e prisão dos envolvidos.  Teria sido esta uma investigação ancorada pelo direito internacional? Bem, o que sabemos a respeito é que a Justiça da Malásia – ou o seu governo central – não emitiu qualquer tipo de protesto.

Há casos, porém, em que a situação é mais difícil. A partir de um site em Tokelau, uma ilha da Polinésia, estelionatários brasileiros clonaram o portal do Tribunal de Justiça do RS e enviaram mensagens para milhares de viúvas pensionistas com a cobrança de falsas taxas. Por usar a Internet profunda para controlar suas operações (e, portanto, sem deixar as digitais do seu IP de acesso ao site) tais criminosos permanecem não identificados e a única medida possível é a protetiva, pelo menos até a feitura deste artigo.

É possível que os paraísos cibernéticos só tenham seu pleno controle, em bases razoáveis,a partir do acirramento da chamada guerra digital e de um maior empenho das grandes potências em impor uma normativa global que impeça o anonimato de criminosos e dê celeridade às investigações, em se tratando de delitos praticados no ciberespaço.

Enquanto isto não acontece, um bom conselho para o cidadão é o cuidado máximo ao estabelecer transações digitais com marcas e remetentes de desconhecidos. Verificar a origem dos sites (inclusive com pesquisa no buscador) é um cuidado essencial. Outra medida de cautela – esta bem mais difícil de seguir – é ler com a máxima atenção os termos de adesão a serviços digitais, sejam eles pagos ou gratuitos. Ao clicar "aceito" ou "avance", sem a chata leitura desses termos, o usuário está, muitas vezes, autorizando que seus dados cadastrais se tornem públicos, ou passem a integrar, gentilmente, o acervo de informações que este site irá vender ou utilizar mediante, exclusivamente, os marcos legais do país de hospedagem, não raro um paraíso cibernético.

O interesse brasileiro e as “backdoors” importadas

Nunca antes nesse país uma palavra-chave ficou tão em voga na mídia – e provavelmente nos mecanismos de pesquisa – quanto a expressão “porta dos fundos”. E aqui não nos referimos à trupe humorística do momento, mas ao correspondente em português para a expressão “backdoor”, e isto exclusivamente quando esta palavra aparece relacionada a incidentes computacionais ou telemáticos.

Um dado curioso, no entanto, é que enquanto se banaliza a questão em tudo quanto é tipo de foro, e até mesmo nas mesas de jantar, ainda não se nota no Congresso Nacional nem nos órgãos de segurança alguma proposta clara de regulação sobre este tema.

Sem ter a pretensão de ser o introdutor de uma, peço licença, pelo menos, para opinar pela pertinência de se refletir sobre a necessidade ou não de uma legislação específica.

A questão é bastante complexa. Foi por meio de backdoors – segundo a empresa de segurança SafenSoft  – que, em 2014, agentes do cibercrime conseguiram inocular o “Ploutus”, um malware adaptado como dispensador de dinheiro, em centenas de caixas eletrônicos do México, utilizando-se apenas de uma inocente porta de CD-Rom que – pasmem – ainda existia e ficava exposta em inúmeros equipamentos desse tipo usados naquele país.

Neste episódio específico, fica patente que a backdoor nada mais é do que o resultado de uma vulnerabilidade tola, atribuída a um erro de projeto ou a uma avaliação ingênua do risco a que são submetidos os caixas automáticos.

Aliás, quando uma backdoor é descoberta, seja em um equipamento de marca comercial ou em um aplicativo de uso corrente, o mais comum é que esta seja imediatamente tratada como “um bug de desenvolvimento” e exposta desta forma para o público, o que nem sempre é verdade.  De fato, um bug aparentemente casual pode ter sido inserido de modo proposital exatamente para gerar uma backdoor, ficando o consumidor/usuário sem saber da real origem, acidental ou planejada.

Em outras palavras, as backdoors mais preocupantes são aquelas produzidas de maneira oposta ao que ocorreu com as mencionadas ATMs do México, ou seja, aquelas que são projetadas como parte essencial do produto de software ou hardware.

Sempre envolvido em polêmicas das mais acaloradas, este tipo de backdoor foi pivô de altíssimas discussões entre as duas maiores potências mundiais quando, no ano passado, o governo chinês trouxe a público uma parte de seu projeto de lei antiterror, que obriga os fabricantes nacionais ou estrangeiros a instalar backdoors em seus produtos de informática, de modo a dar acesso garantido a tais produtos, quando em uso, para os órgãos de segurança de estado.

Em sua veemente e moralmente justa reclamação, o governo norte-americano se esqueceu do básico. Isto é: de suas próprias e inúmeras disposições legais que, não apenas exigem backdoors para sistemas de hardware, mas também para aplicativos, sistemas de redes sociais e até – o que não é assumido abertamente, nem enfaticamente negado – para sistemas operacionais de máquinas pessoais ou de servidores de rede.

Aliás, já nos primórdios da Internet (que, diga-se de passagem, se desenvolveu inicialmente por interesse militar americano), a inteligência e defesa daquele país já projetavam o “Carnivore”, uma espécie de tarântula cibernética capaz de varrer todos os pontos de troca da rede global, escaneando palavras-chave trocadas em mensagens de e-mail ou publicações em sites e qualquer tipo de informação que circule na World Wide Web.

A fim de juridicamente respaldar o Carnivore e similares, em 1994 o governo americano aprovou a Lei de Auxílio das Comunicações para a Aplicação de Direito (CALEA, na sigla em Inglês), concedendo às autoridades legais não só o direito a acesso via backdoors (que obrigatoriamente devem ser instaladas em equipamentos de rede), mas também a manutenção de checkpoints, ao longo de toda a Internet, para monitoramento lógico, semântico e até fonético (vocal, para identificação de pessoas).

E há inúmeros outros aparatos, alguns até bem mais antigos que o já veterano Carnivore, como é o caso do Echelon. Gestado a partir dos acordos de inteligência entre EUA, Inglaterra e outros aliados ao final da Segunda Guerra, o Echelon foi posto para funcionar décadas depois, em 1980. Hoje, este é notoriamente um dos aparelhos centrais do grupo conhecido como “cinco olhos”, por envolver os serviços de inteligência dos EUA, Inglaterra, Canadá, Austrália e Nova Zelândia. O Echelon é nada mais nada menos que uma rede global explicitamente voltada para a vigilância ostensiva. Ele não escamoteia suas funções de espião na coleta de informações críticas que o grupo dos cinco olhos classifica como SGINT, ou “sinais sensíveis de inteligência”.

Mas, se como vimos, há backdoors acidentais – frutos de erro de projeto ou ingenuidade – e backdoors intrinsecamente indesejáveis (embora militarmente justificáveis), pois projetadas em função de interesses de estado e quase sempre afrontando a nossa privacidade, também é preciso ressaltar que há um tipo de backdoor “do bem”.

São, por exemplo, interfaces contidas em hardware ou programas que viabilizam ao fabricante ou mantenedor levar suporte, melhorias ou evoluções ao dispositivo remoto. É inclusive através de portas desse tipo que, muitas vezes, se faz a atualização de sistemas de proteção contra invasores virtuais. Tais portas dos fundos, no entanto, estão entre as preferências do cibercrime como caminho para atingir seus butins.

De modo que discutir uma regulação para os backdoors levanta ao menos três questões iniciais que, é claro, não pretendem exaurir o tema:

1 – É possível (e recomendado) proibir os backdoors?  Se sim, em que base tecnológica tal proibição se viabiliza sem causar prejuízos insuportáveis para a indústria, para a segurança de estado, ou para os usuários finais?

2 – É possível estabelecer controles legais sobre backdoors lícitas ou ilícitas; e, de novo, com que bases técnicas, além do escopo legal/político?

3 – Por onde iniciar o marco regulatório; quais são os modelos já vigentes em outros países que poderíamos buscar para efeito de discussão?

As únicas repostas a meu alcance, no momento, são que as backdoors não intencionais representam uma simples questão de engenharia de processos e estratégia de gestão. Cabe aos setores industriais relacionados à computação e à telemática aprimorar o design de produtos mediante mapeamento e avaliação dos riscos.

A indústria de segurança é um aliado essencial para o avanço da excelência na localização e combate às vulnerabilidades, bem como na automação dos sistemas de identificação, vigília e controle de acesso às backdoors.

Já as backdoors “de serviço”, que tem suas finalidades benignas, estas são objetos naturais do mundo cibernético e telemático e requerem os mesmos cuidados de engenharia de segurança acima descritos para os buracos acidentais. Mas elas nos dão, teoricamente, a vantagem de serem entidades conhecidas e tecnicamente descritas nos projetos do dispositivo e estão à disposição do usuário/gestor para que ele se previna contra intrusos.

Quanto às backdoors decorrentes de legislações de guerra ou imposições de estado em geral, a complexidade da resposta vai muito além da questão técnica e clama por uma discussão que abrange tópicos tais como a aplicabilidade geopolítica das legislações digitais dos países.

É uma áspera e difícil – mas urgente – questão para a sociedade como um todo e especialmente para o legislador e a comunidade de segurança e defesa.

O que temos de certo, por enquanto, é que qualquer que seja o rumo que ganhe esta discussão, o debate não irá avançar sem a indispensável contribuição da comunidade de tecnologia. É preciso, porém, que o Estado e as nossas instituições cidadãs confiram reconhecimento e confiabilidade a grupos nacionais acadêmicos, industriais e militares que se disponham, de fato, a debater o assunto à luz de interesses especificamente brasileiros. Exatamente como acontece em diversos outros países, em relação às suas organizações e empresas nacionais.

Segurança Cibernética para além do bem e do mal

Um equívoco bastante comum é o de se trazer o julgamento ético ou a preferência ideológica para a discussão relacionada à segurança cibernética das empresas, governos e sociedade. 

Julgamento equivocado e inócuo por dois motivos muito simples: primeiro, porque esse tipo de debate jamais conduzirá ao consenso e em nada ajudará na questão da segurança. E segundo, porque, ainda que por motivos eticamente generosos e louváveis, qualquer pessoa ou grupo organizado que se apodere de certas armas, e as leve ao espaço público para fazer valer a sua opinião, deverá ser prontamente desarmado em favor do real interesse coletivo.

Vejamos, a este propósito, o caso dos cada vez mais sofisticados ataques DDoS (ou de negação de serviços). Para muitos, eles correspondem apenas à metáfora de um piquete (cuja validade ética não entra em questão aqui), no qual um grupo de pessoas promove um cerco na porta de entrada do escritório ou da fábrica que se deseja paralisar em função de uma reivindicação ou protesto.

No imaginário que se constituiu sobre a estratégia de ataques DDoS, esta prática é opcionalmente atribuída a um hacker especialista “do bem” (também chamado ‘hacktivista’), que organiza um cerco massivo ao site da empresa “maldosa” (aquela que não respeita a privacidade alheia, por exemplo); ou ao contrário, é atribuída a um cibercriminoso comum, sem ética e sem piedade, que utiliza o mesmo estratagema para enfraquecer os mecanismos de guarda de um banco, ou de uma empresa de cartão, para assim invadir os seus tesouros.

Ao lado dos dois personagens, campeiam o ciberterrorismo (que também promove o sequestro de dados, a sabotagem, o roubo, a fraude etc. por motivos políticos ou ideológicos) e a guerra fria cibernética em si, que envolve o engajamento de países com suas forças estratégicas de inteligência, e que não será objeto deste artigo.

Mas se a prática hacktivista pode às vezes ser considerada “do bem” por sua finalidade altruística (em contraposição ao sempre condenável cibercrime), de que lado devemos ficar quando o grupo hacktivista “Anonymous” invade e faz profanação em inocentes sites islâmicos, em nome do protesto “je suis Charlie”? ou quando os hacktivistas islâmicos do “L’Apoca-Dz” derrubam sites cristãos em nome da suas crenças?

Se a pergunta se refere à preferência ideológica ou à religião, cada um que opte por seu lado. Mas se a discussão é de fato voltada à questão da segurança, o papel do debatedor é ignorar solenemente tais embates. Os responsáveis pela segurança devem fazer uma suspensão radical desses julgamentos ideológicos e entender que, em ambos os casos, o que está sendo violado é o bom funcionamento da Internet do qual depende, em última instância, a tranquilidade pública.

Não só a tranquilidade dos sites e instituições afetadas, mas a de todos os cidadãos, obrigados a conviver com o aumento progressivo do medo e da frustração em relação às salvaguardas de autointegridade no espaço público da Internet. Glamourizar ou não glamourizar o ativismo cibernético baseado em ferramentas hackers é uma questão que deve passar totalmente ao largo daqueles que precisam se preocupar com a segurança cibernética. 

Que partam de uma agremiação idealista, a favor do direto inegável de minorias injustiçadas; ou que partam de organizações voltadas para promover o tráfico de crianças, as táticas de ativismo ancoradas em ataques cibernéticos comungam em pelo menos dois aspectos básicos: 

1. Todas elas exploram as vulnerabilidades técnicas de terceiros inocentes (que quase nunca têm algo a ver com o alvo de seus ataques) e usam de expedientes igualmente espúrios, como phishing; roubo de identidade; clonagem de páginas web; interceptação ilegal; reedição de códigos fontes; invasão de propriedade; violação de privacidade e violação de inúmeros direitos.

2. Todos esses tipos de agentes acabam negociando entre si, ainda que inadvertidamente, seja no submundo ou em fóruns lícitos de interação, para a troca de experiências e para as operações de compra e venda de kits para a atividade hacker. E isto engloba não apenas o tráfico de códigos maliciosos utilizados nos ataques, mas também as listagens globais de verdadeiros parques computacionais zumbis, que são transformados em clusters, tanto para o ataque de pane (DDoS), quanto para o processamento de dados, necessário à decifração de senhas ou à quebra de algoritmos em geral.

Assim, é papel da comunidade de segurança acompanhar o cibercrime, o ciberterrorismo e o hacktivismo como facetas de um mesmo movimento de constante pressão em que vive a sociedade atual (suas pessoas, suas instituições de estado, suas empresas e agremiações), em função da vulnerabilidade sistêmica que existe na Internet. 

E cabe à indústria de software e dispositivos de segurança o esforço permanente de oferecer à sociedade os mecanismos de combate (prioritariamente, de proteção) contra toda a sorte de atacantes virtuais. Em outras palavras, a ordem é contribuir – de modo frio e agnóstico – para a mitigação dessas vulnerabilidades, que são cada dia maiores, mais complexas e mais desafiadoras.

A Guerra Fria Cibernética e a Posição Brasileira

O que o Brasil pode aprender com o recente conflito EUA-Coreia do Norte em torno do ataque à Sony.

A intensa onda de escaramuças cibernéticas, que fechou o ano de 2014, colocou em conflito aberto duas potências nucleares (EUA e Coréia do Norte) tendo como pivô um incidente aparentemente corriqueiro, que foi o vazamento de informações privadas da Sony a partir da ação de hackers.

Inicialmente, as duas partes passaram apenas a trocar acusações ruidosas de violação de princípios, mas logo o governo americano adotou medidas de retaliação no campo militar e, embora sem o assumir explicitamente, provocou uma pane geral de um dia na internet norte-coreana.

Além de demonstrar o alto potencial de risco que tal tipo de ciberataque apresenta para a sociedade global, o episódio Sony-Pyongyang aponta para dois fatos importantes e que nós brasileiros precisamos ter em mente para que possamos aprimorar nossa visão da segurança.

O primeiro fato a se considerar é que a guerra fria cibernética está efetivamente em curso e é cada vez mais intensa. O segundo é que, na lógica dessa nossa guerra, que é permanente, complexa e de difícil delimitação, não há uma clara distinção entre interesses estritamente privados e a segurança estratégica dos países.

De fato, ao responder ao ataque à Sony com retaliações explícitas e discurso bélico, o Governo Obama mostrou o seu alto nível de preocupação com segurança cibernética do País - e não apenas a do Estado.

Bastante ilustrativo quanto à importância global de uma segurança holística, o episódio serve para referendar a tese hoje em discussão no Brasil de que o Governo e as empresas necessitam procurar um "alfa" capaz de conciliar políticas de segurança cibernética e de defesa estratégica.

Uma dificuldade dessa discussão estava, até bem pouco tempo, na velha vocação "pacifista" da sociedade brasileira. E também numa forte aversão de boa parte das empresas em aderir a programas de estado, que poderiam carregar um viés de indesejável "dirigismo".

Felizmente, do lado do Governo, esta fase pueril começou a ser superada no início dos anos 2000 e especialmente a partir de 2011, quando o Exército Brasileiro passou a operar o CDCiber (Centro de Defesa Cibernética), um bem planejado instrumento de defesa que já mostrou bons serviços durante o Rio+20 e a Copa de 2014 e que considera estratégica também a defesa do setor privado.

Outro avanço considerável se deu a partir de 2013 quando o Ministério da Defesa se aliou às lideranças do setor privado, instituindo a credencial de 'Empresa Estratégica de Defesa' (EED), com grande ênfase para empresas nacionais ligadas à proteção cibernética, ao lado de indústrias de ponta, como a aeroespacial, de biotecnologia e a de química fina.

São arranjos de grande abrangência e longa visão de futuro que poderão proteger o estado brasileiro e suas empresas de um novo modelo de guerra que contém uma zona cinzenta onde se misturam, de forma difusa, os altos interesses de estado, a propriedade intelectual das empresas e a fúria inescrupulosa do crime cibernético.

Como não agir como agiu o Governo Obama, ao sinalizar que o ataque a uma rede privada com base no seu território é considerado um ato de guerra? E de que forma, sozinha, uma empresa comercial poderá se contrapor a organizações sem rosto, sem localização definida e com arsenais de poder à altura dos exércitos mais bem aparelhados?

E tudo isto sem falar na alta complexidade que vai caracterizando a própria indústria do crime cibernético. Mencione-se, a este respeito, que poucos dias após um poderoso ataque a redes da Xbox (Microsoft) e - novamente - da Sony, ainda ao final de dezembro último, o grupo hacker Lizard Squad passou a oferecer (via varejo, na internet e a preços baixos) o mesmo kit de ferramentas DDoS (de ataques direcionados) que utilizou para por de joelhos estas duas potências do setor privado global.

Ao fomentar a pesquisa de criptografias proprietárias de concepção autóctone, como é o caso da tecnologia brasileira CelAzul; ao incentivar o surgimento de uma indústria de dispositivos de proteção livres de backdoors" (que por vezes são armadilhas impostas por certos governos a seus exportadores de tecnologia, que são obrigados a embarcá-las nos produtos em função de interesses políticos ou militares), o estado Brasileiro dá um passo importante para se posicionar de forma soberana e competitiva no ambiente da guerra cibernética.

E a indústria local de tecnologia deve aplaudir e lutar pelo fortalecimento de disposições como as credenciais EED e CERTICS, que atesta a nacionalidade  de tecnologias no setor de TI.  Como um competidor brasileiro integralmente dedicado a este problema, a Aker vem apoiando e reivindicando sua participação em programas dessa natureza, já tendo obtido o CERTICS para suas soluções de firewall - hoje também reconhecidas pelo Gartner - e se aliando aos órgãos de segurança e parceiras congêneres. Só com a união de competências e recursos poderemos fazer frente ao forte avanço tecnológico do crime cibernético global e dos dispositivos formais (ou informais) da nova guerra fria.