Bitcoin, papagaio-mor do reino, Azeredo Lopes, Hillary Clinton e Edward Snowden, na terra do monstro de “cinco olhos”.

Num blog anterior (aqui) referi a importância que os procedimentos de privacidade têm numa utilização segura do bitcoin. Como uma utilização descuidada permite que seja do conhecimento público, onde se gasta o dinheiro, o que se ganha e o quanto se possui. E o perigo que decorre de sermos identificados como um apetecível alvo de roubo.

Edward Snowden serve para expor as práticas de segurança que efetivamente resultam.

A utilidade do Papagaio-mor do reino, Azeredo Lopes, Hillary Clinton já é mais subjetiva. A ideia é que sirvam de contraponto às boas práticas de Eric Snowden, mas não sei se ilustram ignorância, incompetência, desleixo ou se mesmo estupidez. Retenhamos os factos e deixemos a qualificação para o juízo de cada um.

O monstro dos “cinco olhos” serve para descrever o mundo moderno em que sofremos cibervigilância quer de malfeitores quer dos governos. A designação dos “cinco olhos” surge com os esforços desenvolvidos, por cinco países, Austrália, Canadá, Nova Zelândia, Reino Unido e Estados Unidos (Agência Nacional de Segurança norte-americana,NSA) no sentido de sabotarem os sistemas de encriptação adotados mundialmente e realizarem programas de cibervigilância e espionagem (Echelon). Embora tenham tido notoriedade publica os casos de espionagem sobre a Angela Merkel e a Petrobras, Obama deu continuidade ao programa alegando que é uma ferramenta fundamental para proteger os EUA de ameaças terroristas.

Um mundo em que as comunicações são intercetadas pelas melhores razões, mas que no final, tal como no tempo das confissões sob tortura o individuo se autoincrimina. Desta vez a autoincriminação acontece não sob tortura, mas como resultado da sua ignorância, ingenuidade e confiança no direito do uso da palavra.

Esta interceção de comunicações (por Estados e malfeitores, “legal” e ilegal), é aqui referida como o monstro de cinco olhos. Também se poderia chamar gigante Huawei, mas nesse caso seria bem mais dramático. Fiquemos pela versão mais benevolente de monstro de cinco olhos.

Em 2013, Edward Snowden, um informático a trabalhar para a NSA, decidiu desistir do seu emprego e divulgar milhares de documentos com informação sobre programas de espionagem e cibervigilância em larga escala levados a cabo pelos EUA. Essa divulgação incluiu os já referidos casos Angela Merkel, Dilma Rousseff, e Petrobras.

O que aqui se sublinha é o facto de Edward Snowden ter demonstrado que os dispositivos de segurança que usava são suficientemente eficazes para evitar intrusões da NSA.

Edward Snowden recorre ao seguinte software:

– Tails, um sistema operativo (gratuito e open source, que pode ser usado num qualquer computador a partir de uma memória USB ou de um DVD) que tem por objetivo preservar a privacidade e o anonimato de quem o utiliza. Tem 3 grandes componentes:

        • Tor, que garante o anonimato dos utilizadores enquanto estes navegam na Internet, não deixando rasto.
        • Pidgin Instant Messenger, com OTR que é um protocolo de encriptação de conversas de mensagens instantâneas, chat.
        • Persistence, os ficheiros colocados na área persistence são encriptados, servindo para proteger informação confidencial.

– Signal é uma solução segura para chat em telemóvel ou desktop. É uma alternativa à falta de privacidade do Whatsapp. Signal faz encriptação ponto a ponto e tem automatismo de apagamento de mensagens.

Para além destas, para transação de criptomoedas, como o bitcoins, as medidas de segurança devem, ainda, incluir:

– Carteira bitcoin Mycelium incluída no Tails, ou uma carteira de hardware

– Carteira “multisig”, assinatura múltipla, em que os movimentos de dinheiro só podem ser realizados com várias assinaturas o que possibilita segurança redobrada para um utilizador ou funcionalidade semelhante à de uma conta bancária coletiva em que são necessárias as assinaturas de vários titulares da conta, como é o caso da quase generalidade das contas bancárias das empresas.

Existe abundante informação sobre estes temas na internet, e atendendo à enorme importância que têm para profissionais como jornalistas, advogados, políticos e financeiros sugiro vivamente um aprofundamento. Aliás, parece-me de elementar prudência que o desenho de um sistema seguro conte com a ajuda de um profissional.

Com o exposto, o que pretendo afirmar é que há soluções que permitem privacidade e que estão ao alcance de qualquer utilizador. O exemplo Edward Snowden é educativo e de resultado comprovado pela prática.

O que me parece extraordinário é:

– Trinta mil emails enviados por Hillary Clinton a partir de um servidor pessoal enquanto Secretária de Estado. Como é possível alguém com as responsabilidades da Hillary Clinton tratar assuntos de Estado sem seguir procedimentos de segurança minimamente aceitáveis.

– A comprometedora troca de SMS entre Azeredo Lopes e o deputado socialista Tiago Barbosa Ribeiro sobre o caso do furto de armas em Tancos e que é um insulto à inteligência e profissionalismo dos dois políticos. Que tal trocar mensagens usando Signal? Com apagamento automático de mensagem?

– O major Vasco Brazão, da polícia judiciária militar ser apanhado numa escuta telefónica. Bizarro ver um profissional de investigação judicial ser apanhado com as ferramentas que ele tão bem conhece. Em telefonema para a irmã, o major Vasco Brazão referindo-se ao furto de armas em Tancos, disse que “o papagaio-mor do Reino” estava a par do que se tinha passado. Um mínimo de profissionalismo não aconselharia a uma chamada telefónica usando o Signal ou mensagens por Pidgin ou Signal?  

Que pensar do LuandaLeaks (ver aqui) e do facto do advogado da Isabel dos Santos, Jorge Brito Pereira, sócio da PLMJ desde 1998 e que estava na sociedade quando o hacker Rui Pinto entrou nos computadores da empresa para apurar dados sobre o Benfica. Em que local foi Rui Pinto encontrar tanta informação sobre os negócios de Isabel dos Santos? Na PLMJ? Que auditoria tranquilizou a Ordem dos Advogados sobre as medidas de segurança adotadas pela PLMJ. Que diretivas de segurança a Ordem dos Advogados impõe às sociedades de advogados?

Há muitos mais casos. Evitemos referir o caso Sócrates que é de uma infantilidade assustadora. É frustrante pensar que a cabecinha que governou Portugal durante tantos anos não tinha inteligência para melhor.

Os clubes de futebol pagam pelas infrações dos seus adeptos, os partidos políticos não assumem responsabilidade pelas pessoas que referenciam como de confiança e propõem a eleições. É estranho.

Não creio que seja preciso ilustrar com mais exemplos, para concluirmos que há imensos casos de inadequadas medidas de proteção e segurança que são injustificáveis e imperdoáveis.

É irritante a iliteracia informática de muitas pessoas com elevadas responsabilidades, que têm o dever de proteger informação relevante e não têm a humildade de pedir ajuda a um profissional.

Isto num ambiente dominado pelo “monstro dos cinco olhos”, é motivo de séria preocupação.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, former Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)

Leave a Reply