Sciam


Clique e assine Sciam
Notícias

Encriptação e espionagem digital

Dados sem proteção em qualquer fase do percurso são vulneráveis a furtos ou modificações

Shutterstock_
NÃO HÁ ONDE SE ESCONDER: A encriptação fornece proteção contra espionagem, mas não é perfeita. 
Por Larry Greenemeier

Desde o surgimento da Web e de serviços de email grátis onipresentes nas últimas duas décadas, a necessidade de proteger informações pessoais online se tornou evidente mas frequentemente ignorada.

A exposição, no mês passado, do programa PRISM da Agência Nacional de Segurança das Estados Unidos, para coletar dados sobre indivíduos suspeitos de planejar ataques terroristas, espionar e praticar outros tipos de crimes ajudou a trazer os problemas de privacidade de volta aos holofotes.

De fato, as notícias sobre o PRISM até encorajaram alguns pioneiros de destaque da Internet a condenar a prática e pedir esforços renovados entre usuários da Internet e seus provedores de serviço para encriptar mais dados e assim protegê-los de olhos curiosos.

Vint Cerf, evangelista-chefe de Internet do Google e co-desenvolvedor do protocolo de comunicações TCP/IP que faz a Internet funcionar, recentemente contou ao The Times of London que cientistas da computação deveriam criar uma solução anti-espionagem para a Web usando comunicações encriptadas.

Cerf encorajou desenvolvedores a reexaminar como algumas das principais características da Internet – especialmente o Internet Protocol Security (IPsec) – foram projetadas para permitir criptografia end-to-end.

Infelizmente, a capacidade que a criptografia tem de frustrar a vigilância ou o furto online vem com várias limitações e qualificações.

Os comentários de Cerf destacam uma das principais dificuldades em usar encriptação para proteger dados enquanto eles viajam pela Internet até chegarem a um computador ou disco de armazenagem.

Dada a diversidade do terreno digital, dados raramente são encriptados do começo ao fim. Mesmo quando dados são encriptados em trânsito de um computador a outro em uma rede, eles frequentemente precisam ser desencriptados a cada ponto e depois reencriptados quando enviados ao computador seguinte.

Se qualquer uma dessas estações – seja um PC, um servidor, ou uma peça de equipamento de rede – não estiver bem protegida, dados desencriptados ficam vulneráveis a olhos curiosos.

Dados parados

Existem vários programas disponíveis para encriptar dados enquanto estão armazenados em um PC ou um laptop, por exemplo – incluindo o Microsoft BitLocker, o Apple FileVault, o PGPdisk, e o TrueCrypt. Esses programas tipicamente criam um volume encriptado no disco rígido, ou encriptam o disco inteiro usando uma chave derivada a partir de uma senha que você digita como parte do processo de inicialização.

O problema é que usuários têm que configurar esses programas ativamente. Eles não funcionam automaticamente, e muitas pessoas nem sabem que esses programas existem.

Em movimento

Dados em trânsito dentro da rede podem ser encriptados usando várias abordagens diferentes, explica o criptógrafo Pawul Kocher, presidente e cientista-chefe da Cryptography Research, uma empresa que projeta sistema de segurança para dados, computadores e redes.

Um exemplo muito usado é uma rede wi-fi protegida por senha, onde a senha é essencialmente usada como chave de encriptação, ou para derivar chaves de encriptação para que os dados indo de sua máquina para o router só sejam acessíveis a pessoas que sabem a senha.

A Pretty Good Privacy (PGP) e a Secure/Multipurpose Internet Mail Extensions (S/MIME) são duas outras tecnologias comuns de encriptação, mas ficam limitadas principalmente a transações por email.

O protocolo Secure Sockets Layer (SSL) oferece um exemplo mais amplo de como dados podem ser encriptados em trânsito.

Kocher ajudou a desenvolver o SSL, um protocolo criptográfico usado para codificar comunicações em redes TCP/IP, para o Netscape como forma de transmitir documentos particulares pela Internet em meados da década de 90. O SSL usa um sistema criptográfico com duas chaves – uma chave pública para encriptar os dados e uma chave privada, que só é conhecida pelo recebedor da mensagem, para decifrá-la. 

Se usado de maneira adequada, o SSL encripta os dados de um usuário de seu navegador para o servidor da Web. O navegador pode usar SSL, por exemplo, para autenticar que seu computador está realmente se comunicando com um website, e não com um impostor que vai roubar dados ou disseminar malwares. (Note que endereços que exigem uma conexão SSL começam com “https”, e não “http”).

Ataque surpresa

A principal limitação de protocolos como o SSL é que a segurança depende das máquinas de cada lado. Se qualquer um dos dispositivos tiver sido infectado com um virus ou algum outro malware, chaves de desencriptação podem ser roubadas da máquina em questão, deixando dados em trânsito vulneráveis a roubo ou modificações.

De acordo com Kocher, como os algoritmos de encriptação propriamente ditos tendem a ser muito fortes, é mais provável que um ladrão ou espião entre através de algo parecido com uma porta lateral, em vez de tentar quebrar o algoritmo e desencriptar os dados. “Os pontos de saída são inevitavelmente mais fracos que a matemática dos algoritmos”.

Outra ameaça ao SSL vem na forma dos ataques chamados de “man in the middle”, em que o agressor intercepta mensagens e depois as retransmite. Isso é feito de modo que as duas partes iniciais ainda pareçam estar se comunicando.

Kocher lembra que alertas pop-up normalmente  avisam usuários quando existe a chance de isso acontecer, mas usuários normalmente ignoram esses alertas sem perceber as consequências. (Um desses alertas informa aos usuários da Web: “Essa conexão não é confiável”, e oferece as opções “Me tire daqui!” para encerrar a conexão ou “Eu compreendo os riscos”, para prosseguir). 

A maioria dos programas de email suporta a encriptação SSL quando mensagens são enviadas da máquina do usuário para o provedor. Mas enquanto mensagens se movem pelo núcleo da Internet, elas normalmente ficam desencriptadas. “A menos que alguém esteja fazendo algo intencional para encriptar as mensagens, as mensagens são desencriptadas a cada ponto do caminho, onde ficam visíveis ”, explica Kocher. 

 Decididamente anti-social

A encriptação usada em outras formas de mensagens online – especialmente redes sociais – também é 8 ou 80.

Kocher lembra que em grande parte, quando você tem um desses servidores baseados na nuvem, onde a nuvem tem a capacidade de acessar todos os dados, toda a sua segurança depende das máquinas que estão abrigando suas informações.

Em uma declaração publicada após Edward Snowden revelar o programa PRISM da NSA, a Apple alegou que conversas usando seus serviços iMessage e FaceTime “são protegidas por encriptação end-to-end, então ninguém além do emissor e do receptor podem vê-las ou lê-las”.

A empresa também disse que “não pode desencriptar dados. De maneira semelhante, nós não armazenamos dados relacionados à localização de clientes, buscas de mapa ou pesquisas com a Siri de qualquer forma identificável”.

A alegação da Apple sobre encriptação end-to-end significa que qualquer pessoa tentando comprometer comunicações em seus serviços deve comprometer um ponto de saída para capturá-las.

Mas Kocher lembra que isso não é necessariamente difícil de fazer, especialmente para uma agência de inteligência ou para um agressor experiente. “Isso significa que eles têm que visar um ponto de saída específico em vez de ligar o aspirador de pó e sugar todas as mensagens automaticamente”.

O Skype costumava alegar ter esse tipo de encriptação. “De acordo com algumas avaliações que conheço, esse realmente parecia ser o caso no passado”, declara Kocher.

Mais recentemente, porém, a Microsoft (que comprou o Skype em 2011) modificou os protocolos para que os dados sejam desencriptados no servidor e depois reencriptados antes de serem enviados para a outra parte da conversa. “Então parece que eles saíram de um modelo mais forte e foram para um mais fraco e mais suscetível à vigilância”, adiciona ele.

Notícias recentes indicam que a Microsoft na verdade ajudou o governo dos Estados Unidos a burlar a encriptação da própria empresa, dando às agências federais acesso a chamadas de vídeo do Skype, além de bate-papos e emails do Outlook, e também informações armazenadas por meio do software de backup e armazenagem de dados SkyDrive, da Microsoft.     

Se mais pessoas usassem encriptação, seria mais difícil – senão impossível – para ladrões digitais e agências governamentais as espionarem.

Mas mesmo que pessoas se esforçassem proteger seus emails e dados armazenados em seus dispositivos, elas precisariam monitorar seu uso de redes sociais e outros websites visíveis ao público geral. Quem precisa de uma ordem judicial ou de um vírus de computador quando tantas informações são oferecidas por sites como o Facebook e o Twitter?

sciam16jul2013