A
ampla divulgação de que o governo americano espiona e terceiriza o trabalho de
monitoramento de usuários da internet a empresas mostrou que qualquer agente de
órgãos de segurança ou qualquer hacker com o equipamento apropriado e o
software certo pode interceptar comunicações pela internet, seja por meio de
conexão a cabo ou sem fio. Para a população em geral, isso é grampo. Para a
comunidade da computação, isso é "packet sniffing" (farejamento de
pacotes) ou "traffic sniffing" (farejamento de tráfego). Seja o que
for, a melhor maneira de proteger comunicações confidenciais contra
bisbilhoteiros de todas as laias é a criptografia.
É
claro que não existe sistema de criptografia que não possa ser quebrado. Foi
sempre assim com qualquer tipo de código. Entretanto, os sistemas de
criptografia modernos são muito difíceis de ser decifrados. Eles envolvem
matemática muito complexa e a posse da chave certa. Decifrá-los exige muito
esforço técnico e financeiro. Ou seja, comunicações criptografadas não são
inexpugnáveis, mas o custo para capturá-las é alto.
Criptografar
é dificultar o roubo de informações ou a quebra do sigilo das comunicações.
Mesmo que um governo ou um hacker consiga interceptar suas comunicações, é
impossível visualizá-las, estejam elas percorrendo o tráfego da internet ou
armazenadas no servidor da provedora de serviços.
Mas
criptografar nem sempre é uma tarefa fácil. Por isso, é necessário pesar a
inconveniência da criptografia com os benefícios de segurança que ela traz para
as comunicações e documentos confidenciais, para saber se vale a pena se dar ao
trabalho. Porém, há sistemas fáceis de configurar e usar, como o de
criptografia OTR para mensagens instantâneas, o Tor, o protocolo HTTPS e
algumas ferramentas de criptografia de e-mails.
O
site Surveillance Self-Defense, da "Electronic Frontier Foundation
(EFF)", fundação dedicada a educar o público sobre as tecnologias e leis
relacionadas aos programas de espionagem do governo, apresenta algumas
recomendações para os usuários reduzirem suas vulnerabilidades na internet:
WI-FI
Comunicações
feitas via sistemas sem fio (wireless) são particularmente vulneráveis. São
comparáveis a transmissões por rádio: vão ao ar. Para interceptá-las, basta ter
um software de sniffing. Sequer é preciso algum equipamento especial. A única
maneira de protegê-las é com criptografia. Sem isso, não se pode supor que as
comunicações estejam protegidas.
A
maioria dos pontos de acesso de sistemas wireless já vem com um software de
criptografia instalado, o WEP (Wired Equivalent Privacy) ou o WPA (Wi-Fi Protected
Access). Ele criptografa as comunicações apenas no percurso do computador ao
ponto de acesso. O WEP não é grande coisa. É facilmente vencido por hackers.
Mas, pelo menos, pode-se alegar que as comunicações são protegidas. O WAP é bem
melhor, mas também só cobre o primeiro passo das comunicações.
Rede privada Virtual (VPN – virtual private network)
A
VPN é uma extensão de uma rede privada, como a de uma firma ou grupo de firmas,
para uma rede pública, como a internet. VPNs usam protocolos de criptografia
por "tunelamento". Isto é, suas comunicações trafegam pelas vias
públicas da internet por uma espécie de "túnel", que lhes garante
confidencialidade, autenticação e integridade.
A
VPN pode ser uma ferramenta eficaz de criptografia para comunicações entre
escritórios de uma mesma banca de advocacia, ou entre computadores de um mesmo
escritório. Mas os clientes não são conectados a ela. Portanto, não há garantia
de privacidade nas comunicações entre a banca e seus clientes, só com o uso de
uma VPN. Todos os computadores conectados à rede devem usar o mesmo software e
devem ser configurados corretamente para se comunicarem com segurança entre si.
Isso significa que a rede exige administração constante do sistema. Os clientes
não estão conectados à VPN do escritório.
Navegadores da Internet
Algumas
comunicações por meio de navegadores da internet podem ser criptografadas, para
proteção contra invasores. Sem proteção, qualquer coisa que você faça na
internet, com o uso do navegador, é registrada em seu computador, nos
servidores da web com os quais se conecta e é obtida com certa facilidade por
bisbilhoteiros que monitoram sua conexão pela rede.
Algumas
configurações podem ser feitas em "opções da internet" no navegador,
para aumentar a segurança. Uma delas é bloquear os cookies que os sites enviam
para seu navegador. Se você os aceita, eles são reenviados ao site toda vez que
você acessa uma página, uma imagem ou um script. Mas não é possível bloquear
cookies de todos os sites se você quer acessar lojas virtuais e suas contas
bancárias, por exemplo. Uma ideia é usar dois navegadores: um que você bloqueia
cookies com exceções para os sites em que faz operações bancárias, pagamento de
contas, gestão do cartão de crédito etc., e outro que você bloqueia tudo e usa
para entrar em todos os sites que quiser.
Geralmente
os bancos e operadoras de cartão utilizam sites com protocolo HTTPS, em vez de
HTTP, o que é uma boa medida. O protocolo HTTP não é criptografado e é sujeito
a invasões. O HTTPS é uma alternativa mais segura. Ele criptografa páginas e
tenta assegurar três coisas: 1) terceiros não podem ver o conteúdo da página;
2) a página não pode ser modificada por terceiros; 3) a página é realmente
enviada pelo servidor da web listado na barra da URL. Mas o servidor da web tem
de ser configurado para dar suporte a HTTPS.
Para
enviar informações confidenciais — ou "sensíveis" — é preciso se
certificar de que se está usando HTTPS. Caso contrário, não envie. Cheque três
indicadores de que a página é HTTPS: 1) a URL começa com https://; 2) há um
ícone (às vezes de um cadeado) antes do https://; 3) a barra da URL/localização
é colorida. Se você receber uma advertência sobre certificados ou vê um ícone
quebrado, pode assumir que qualquer das propriedades de segurança da página
pode estar quebrada.
E-mail
São
ferramentas básicas para criptografia de e-mails o Pretty Good Privacy (PGP),
pago, com alguns recursos gratuitos; e o GNU Privacy Guard (GnuPG), gratuito.
Ambos oferecem proteção aos e-mails em trânsito e também a dados armazenados
contra interceptação e também contra acesso a cópias de seus conteúdos em seu
computador e nos computadores de terceiros. A maioria dos programas de e-mail
podem ser configurados para funcionar bem com softwares de criptografia,
tornando a operação apenas uma questão de clicar em um botão para assinar,
verificar, criptografar e descriptografar as mensagens de e-mail.
Há
dois problemas naturais com a dupla GnuPG/PGP. O primeiro é que esses programas
só são úteis se forem usados pelas duas partes que se comunicam. Qualquer deles
pode ser instalado em toda o escritório, mas se o cliente não o usar, as
comunicações não podem ser criptografadas. É preciso convencer o cliente a
instalá-lo. O segundo é que você precisa encontrar e verificar chaves públicas
para assegurar que bisbilhoteiros não o induzam a usar a chave errada. Esse
artifício é conhecido como ataque "man in the middle" (MITM).
Mensagens instantâneas
É
mais fácil proteger uma mensagem instantânea do que um e-mail — embora um
telefonema bata os dois. A maneira mais fácil de interceptar comunicações é
obtê-las de você mesmo, da pessoa com a qual você se comunica ou de sua
provedora de serviços, se qualquer dessas partes armazena as mensagens. A
maneira mais difícil é obtê-las quando estão trafegando pela internet. Se as
duas pessoas que se comunicam usam criptografia, a provedora de serviços não
conseguirá arquivar as mensagens.
Um
bom sistema popular para criptografar mensagens instantâneas é o chamado OTR
(Off The Record). O Google tem um sistema também chamado "Off the
Record", mas é diferente do OTR. Por isso, há quem chame um sistema de
"OTR encryption" e o outro de "Gooble OTR". Ambos podem ser
usados ao mesmo tempo.
A
maneira mais fácil de usar criptografia OTR é com os programas Pidgin ou Adium
X para mensagens instantâneas. Com o Pidgen, o usuário pode criptografar
mensagens enviadas por redes MSN, Yahoo!, Google, Jabber e AIM. O Adam X é
específico para o Mac OS X e faz praticamente a mesma coisa. Se você vai usar o
Pidgin, tem de instalar o plugin de criptografia OTR. No Adium X, o OTR já vem
embutido.
Projeto Tor
Esse
software de criptografia é gratuito, eficaz e ajuda você a proteger seu
anonimato na internet. É uma ferramenta fácil de usar, que criptografa as
comunicações para protegê-las contra bisbilhoteiros, quando trafegam pela
internet.
Com
o Tor, as transmissões de informações são mais seguras porque saltam de um
servidor para outro de uma rede distribuída, os chamados "roteadores
cebola" (onion routers). Isso garante o anonimato porque o computador com
o qual você está se comunicando nunca irá ver seu endereço de IP, só irá ver o
endereço de IP do último roteador, pelo qual as comunicações passaram. Esse procedimento,
impede que intermediários descubram a origem, o destino e o conteúdo da
mensagem.
O
Tor ajuda a defender as comunicações contra análises de tráfego, ao
criptografá-las diversas vezes, ao roteá-las por um conjunto aleatoriamente
selecionado de roteadores intermediários. A ideia é a mesma de uma pessoa
seguida que despista o perseguidor, fazendo-se um caminho improvável e, de vez
em quando, apagando os rastros.
Cada
servidor-roteador no circuito sabe apenas que servidor lhe enviou os dados e para
qual servidor deverá enviá-los a seguir. Nenhum servidor consegue registrar
todo o percurso das comunicações ou o conjunto de chaves de criptografia
empregadas. Se algum bisbilhoteiro conseguir entrar em um dos servidores, irá
ver apenas uma mensagem criptografada e será difícil saber de onde veio e para
onde vai.
No
entanto, o Tor não é um salvador do mundo. Ele não pode defender o usuário, por
exemplo, contra malwares. Se invasores conseguirem operar programas em seu
computador, provavelmente podem ver onde você está e como você o está usando.
Se você instalou o Tor em seu computador, mas está usando aplicativos que não
sabem como usá-lo ou não foram configurados para usá-lo, você não terá proteção
quando usar esses aplicativos.
