As falhas dos chips produzidos pela Intel, conhecidas pelos nomes de Meltdown e Spectre, são graves porque “permitem o acesso à totalidade dos dados que temos nos nossos espaços privados indevidamente, sem o nosso consentimento, por pessoas e corporações ou agências de espionagens governamentais”, diz Marcelo Branco à IHU On-Line.
Para ele, a solução adequada diante da divulgação das falhas nos chips produzidos pela Intel “seria um recall, mas isso é quase impossível, porque teriam que recolher praticamente todas as máquinas de uso doméstico, de uso nas empresas, de uso nos governos e as próprias máquinas que fazem a internet funcionar nos últimos dez anos”. Segundo ele, isso implicaria em “bilhões de equipamentos que teriam que ser recolhidos e devolvidos”. Uma solução mais factível, defende, é que as empresas passem a produzir chips que possam ser auditados por especialistas.
Na entrevista a seguir, concedida por telefone, Branco explica como as espionagens digitais são feitas atualmente e pontua que o caso da Intel evidencia que vivemos na era da vigilância. “Somos espionados diariamente pelos aplicativos que instalamos nas nossas máquinas. Cada vez que o usuário aceita instalar aplicativos do Facebook ou do WhatsApp, ele aceita que o aplicativo acesse seus dados”. E adverte: “É importante termos consciência de que a vigilância em massa é o grande problema deste nosso momento histórico”.
Marcelo D’Elia Branco foi por três anos diretor da Campus Party Brasil. Consultor para sociedade da informação, ele é fundador e membro do projeto Software Livre Brasil e atualmente atua na INFOLIBERO Consultoria estratégica para Internet.
Confira a entrevista.
IHU On-Line – O que são as falhas na gestão interna de processadores para PCs, tablets e smartphones, chamadas Meltdown e Spectre e por que há preocupações com elas?
Marcelo Branco – Até a denúncia do Edward Joseph Snowden, se tinha uma avaliação de que a única forma de proteger os equipamentos e os nossos dados pessoais contra invasões externas era o uso de software livre, porque nos softwares fechados não há possibilidade de fazer auditoria. Além disso, a maioria das companhias de softwares colocam “portas traseiras”, isto é, espaços de invasão externa para coleta de dados pessoais sem que os usuários percebam ou tenham dado consentimento.
E como não há como auditar o código fonte, porque ele não está disponível, temos que confiar no vendedor do software e no que ele diz sobre a segurança do software. Então, tínhamos uma avaliação de que a forma de garantir a privacidade era o uso de software livre de código aberto, porque isso permitiria que qualquer analista de segurança pudesse fazer uma análise desse código para identificar se havia ou não “portas traseiras” que permitiam invasões indevidas.
E como não há como auditar o código fonte, porque ele não está disponível, temos que confiar no vendedor do software e no que ele diz sobre a segurança do software. Então, tínhamos uma avaliação de que a forma de garantir a privacidade era o uso de software livre de código aberto, porque isso permitiria que qualquer analista de segurança pudesse fazer uma análise desse código para identificar se havia ou não “portas traseiras” que permitiam invasões indevidas.
A partir das denúncias do Snowden, percebemos que o problema era maior ainda, porque os rotadores que fazem os computadores funcionar e vários servidores de conteúdo e serviços da internet continham na máquina “portas traseiras” programadas, ou seja, a fábrica já deixava aberta a possibilidade de a Agência de Espionagem Digital Americana bisbilhotar os conteúdos privados de qualquer cidadão do planeta. Vimos naquela oportunidade que mesmo usando software livre, tínhamos um novo problema a ser resolvido. O que se percebeu, então, é que a partir do hard também era possível fazer espionagens externas.
Quando houve a invasão da privacidade da presidente Dilma e dos diretores da Petrobras pela Agência de Espionagem Digital Americana, recomendamos publicamente – embora ninguém nos ouviu – que a presidente não usasse mais Microsoft, porque era impossível fazer auditoria nos softwares. Recomendamos ainda que as máquinas utilizadas por órgãos de governo fossem certificadas e produzidas de modo que fosse possível garantir que não tivessem “portas dos fundos”, porque as máquinas comerciais têm.
Movimento cripto-punk
A maioria das companhias de softwares colocam “portas traseiras”, isto é, espaços de invasão externa para coleta de dados pessoais sem que os usuários percebam ou tenham dado consentimento
As várias comunidades que defendem os direitos dos cidadãos na internet passaram a defender que a única saída para esse problema seria a criptografia de ponta a ponta das mensagens. Nessa ocasião surgiu o movimento cripto-punk como uma defesa dos ativistas da privacidade no cenário digital. A criptografia de ponta a ponta pode ser decifrada por uma máquina potente, mas isso leva um tempo e tem um custo de recursos e dinheiro, e dificilmente a Agência Americana vai querer gastar um bilhão de dólares para descriptografar uma mensagem de um usuário comum, porque todo esse processo leva uns seis meses.
Chips da Intel
Agora surgiu esse fato novo, ou seja, a denúncia de que há dez anos os chips da Intel são produzidos com uma falha que permite o acesso externo ao núcleo do sistema operacional, que é o Kernel. Um computador ou um smartphone sem um software é um monte de silício, não serve para nada, ou seja, é o software que dá a inteligência e a capacidade de nos comunicarmos com a máquina.
No entanto, em cima desse sistema operacional rodam os aplicativos, editores de textos, Facebook, Twitter. Essa falha grave nos chips permite uma invasão externa que consegue acessar todo o conteúdo de um computador ou de um smartphone a partir do Kernel, o núcleo do sistema operacional, que é a parte que faz a comunicação do sistema operacional com os dispositivos, que são o teclado, a tela, com as portas USB, ou seja, todas as partes em que o usuário se relaciona com a máquina.
Há dez anos existe essa falha e a Intel é quase um monopólio dos chips de processadores no mundo inteiro, porque a parceria Intel e Microsoft foi hegemônica desde o surgimento dos computadores, nos anos 70, e se mantém assim até hoje. Existem outros concorrentes e outros fabricantes, mas a maioria das máquinas que usamos tem o chip da Intel, que tem essa falha e que permite com que hackers, agências de espionagens ou empresas possam, via essa falha, acessar nossos dados. Essa falha é grave porque ela permite o acesso à totalidade dos dados que temos nos nossos espaços privados indevidamente, sem o nosso consentimento, por pessoas e corporações ou agências de espionagens governamentais.
IHU On-Line – Esse tipo de falha é inevitável ou ela é proposital?
Marcelo Branco – Essa falha foi descoberta por um pesquisador, que divulgou essa informação publicamente. A Intel admitiu a existência da falha e isso gerou uma corrida das principais empresas que usam o chip da Intel, como Apple e a Microsoft, para dizer que iriam resolver esse problema.
A maioria das máquinas que usamos tem o chip da Intel, que tem essa falha e que permite com que hackers, agências de espionagens ou empresas possam, via essa falha, acessar nossos dados
A forma como as empresas podem resolver esse problema é criar no software uma proteção a essa falha do hardware. O que isso implica? Obviamente muda a configuração inicial para a qual a máquina foi criada e vendida. Ou seja, isso certamente causará um problema de desempenho na máquina. Além disso, teremos que confiar num software criado por uma empresa e que tem um código fonte fechado e não nos permite ver se a correção feita de fato foi corrigida – não há como garantir que as soluções implementadas e anunciadas pelas empresas de tecnologia da informação para resolver ou minimizar essa falha serão eficazes.
IHU On-Line - Alguns especialistas estão discutindo qual é a responsabilidade dos fabricantes diante dessas falhas, e têm sugerido que essas empresas deveriam atuar como as montadoras de automóveis, quando fazem um recall. Como a responsabilidade dessas empresas deveria ser tratada nesses casos de falhas?
Marcelo Branco – Na verdade a única solução mais adequada seria um recall, mas isso é quase impossível, porque teriam que recolher praticamente todas as máquinas de uso doméstico, de uso nas empresas, de uso nos governos e as próprias máquinas que fazem a internet funcionar nos últimos dez anos. Eu não tenho nem como calcular isso, porque seriam bilhões de equipamentos que teriam que ser recolhidos e devolvidos.
Essa seria a única solução para resolver o problema criado pela falha da Intel, mas isso seria praticamente impossível de se realizar. Mas acredito que essas falhas demandarão ações judiciais que poderão ter resultados de indenização. O correto seria – mesmo que seja inviável – a Intel devolver novas máquinas para os usuários dos últimos dez anos. De todo modo, seria importante ainda que o novo chip pudesse ser auditado por especialistas, porque isso não foi feito até hoje.
Essa seria a única solução para resolver o problema criado pela falha da Intel, mas isso seria praticamente impossível de se realizar. Mas acredito que essas falhas demandarão ações judiciais que poderão ter resultados de indenização. O correto seria – mesmo que seja inviável – a Intel devolver novas máquinas para os usuários dos últimos dez anos. De todo modo, seria importante ainda que o novo chip pudesse ser auditado por especialistas, porque isso não foi feito até hoje.
Software livre
A lógica do software livre do código aberto também é muito importante para que se tenha hardware livres, porque se eles forem fechados, é impossível auditá-los. Além disso, não é possível desenvolver rapidamente soluções para a falha. O sistema Linux também tem falhas, mas as falhas dele são resolvidas rapidamente, porque qualquer pessoa do mundo pode resolvê-la, ou seja, não dependemos das licenças dos criadores de software para fazer a correção. Quando a Microsoft encontra uma falha, ela demora às vezes mais de seis meses para resolvê-la.
Existe um movimento de hardware livre para que o desenvolvimento das máquinas também seja aberto, para que qualquer um possa desenvolvê-las, e para que as empresas permitam que suas arquiteturas de desenvolvimento possam ser auditadas externamente e não só por elas. As empresas argumentam que isso faria com que elas revelassem seus segredos industriais, mas não adianta a Intel dizer que os chips não terão problemas de segurança, porque ao longo desses dez anos ela sempre disse que eles não tinham problemas. É óbvio que elas têm responsabilidades civis e quem sabe até criminais nesses casos que possibilitam o acesso a conteúdos privados.
O fato é que nós somos espionados
diariamente pelos aplicativos que
instalamos nas nossas máquinas
diariamente pelos aplicativos que
instalamos nas nossas máquinas
O fato é que nós somos espionados diariamente pelos aplicativos que instalamos nas nossas máquinas. Cada vez que o usuário aceita instalar aplicativos do Facebook ou do WhatsApp, ele aceita que o aplicativo acesse seus dados, seus textos, ou seja, o aplicativo permite acesso externo não só dos dados que são publicados no Facebook, mas o Facebook acessa inclusive os dados que não são publicados, como as fotos que o usuário tem no seu celular, os textos que escreve etc, ou seja, o Facebook e os aplicativos em geral têm acesso completo dos dados dos usuários e nós autorizamos isso quando instalamos esses aplicativos.
Então, somos vigiados principalmente pelas corporações e vivemos na sociedade da vigilância. As corporações nos vigiam para vender nossos dados pessoais para o mercado de Big Data. Esse é o grande mercado da indústria de tecnologia de informação. Não estou falando dos dados públicos, mas de dados privados, daquilo que os usuários escrevem nos seus e-mails, ou seja, esses dados hoje são vendidos para abastecer o mercado publicitário. A publicidade de que o Google e o Twitter e o Facebook vivem não é a publicidade dos anúncios, mas da venda dos nossos dados pessoais para abastecer esse mercado.
Acordo entre Google e governo brasileiro
Um exemplo sobre a venda de dados privados é o acordo recente do governo Temer com o Google. Segundo esse acordo, sempre que alguém procurar no Google por “Reforma da Previdência”, a primeira opção de resultado na busca será a versão do governo do que é a Reforma, em detrimento de outros contraditórios feitos por jornalistas ou pesquisadores.
Isso é gravíssimo porque ataca a liberdade de expressão, porque a plataforma não oferece os contraditórios, mas sempre a versão do governo sobre a Reforma da Previdência. Estou citando esse caso porque o mercado de dados privados é emergente e porque todas as nossas ações são mediadas por softwares e hardwares.
Isso é gravíssimo porque ataca a liberdade de expressão, porque a plataforma não oferece os contraditórios, mas sempre a versão do governo sobre a Reforma da Previdência. Estou citando esse caso porque o mercado de dados privados é emergente e porque todas as nossas ações são mediadas por softwares e hardwares.
Já existem denúncias de que se você ligar o dispositivo que faz a TV funcionar por comando de voz, habilitando o microfone, esse microfone fica ligado através de um comando para escutar o que você fala na sua casa, inclusive com a TV desligada. As empresas fabricantes argumentam que com isso querem oferecer novos produtos para o cliente, porque se ele diz que gosta de comer peixe, o sistema vai oferecer peixe para a pessoa. Da mesma forma, as câmaras dos smartphone e das smart TV também podem ser ativadas mesmo com os aparelhos desligados.
IHU On-Line – O que seria uma alternativa a essas situações, porque há uma adesão da população tanto às redes sociais quanto às novas tecnologias?
Marcelo Branco – Acho que a resolução disso é bastante difícil, porque há interesses comerciais e políticos envolvidos – aquilo que o Castells chama de “os burocratas da vigilância” que trabalham coordenados entre si, ou seja, agências de espionagens de governos têm interesse em bisbilhotar a vida dos cidadãos. Então, quem somos nós diante desses governos? Temos que começar a defender um movimento público de que os dados privados não podem ser utilizados, e alternativas técnicas para isso já existem. A mais eficiente neste momento é a criptografia, mas outra alternativa seria também não usarmos mais o Facebook, nem o Twitter, nem aplicativos.
Politicamente essa é uma questão que temos que levantar como um problema, porque a maioria das pessoas não se importa com isso e diz que não tem nada para esconder. Mas o fato é que legalmente só se pode ouvir e gravar uma conversa sem autorização com uma ação judicial. Foi isso que no Marco Civil da Internet – uma das legislações mais avançadas do mundo – garantiu: a privacidade dos cidadãos, mas ele já está sofrendo tentativas de ser derrubado pelo Congresso.
A cada aplicativos que instalamos, estamos autorizando as empresas a acessarem todos os nossos dados
IHU On-Line – Que tipo de preocupação os cidadãos comuns devem ter com essas falhas?
Marcelo Branco – Não deixar no PC ou no iMac ou nos dispositivos móveis informações que julguem que não podem ser acessadas publicamente. Mas a solução é difícil, porque parece que as soluções que se apresentam são pré-históricas, como o sujeito ter que gravar informações num pen drive e não acessá-las por um bom tempo. A cada aplicativos que instalamos, estamos autorizando as empresas a acessarem todos os nossos dados.
IHU On-Line – No âmbito estatal, o que seria uma alternativa para romper com essa lógica da vigilância?
Marcelo Branco – Isso seria possível através do uso de hardware livre certificado, ou seja, por meio de uma indústria nacional que pudesse ter uma certificação de segurança dos hardwares dos governos. Além disso, o governo brasileiro poderia usar software livre. É um absurdo que os governos usem o sistema operacional Windows. No governo Lula houve inciativas de usar software livre, mas desde o governo Dilma isso foi caindo e depois do golpe isso foi para o buraco. Na época do governo Lula foi desenvolvido o Projeto João de Barro, o qual permitia que a chave da criptografia do Brasil pudesse ser auditada.
Somos controlados e vigiados e parece que a humanidade está se conformando com isso
Mas também houve avanços na Espanha, onde os governos migraram para software livre. O governo americano e suas agências usam software livre e a própria Microsoft usa o Linux em seus servidores de segurança, que é muito mais seguro. Na camada de hardware, “a dificuldade é mais embaixo”, porque é preciso de uma máquina livre.
Então, a solução não é muito fácil. De todo modo, é importante termos consciência de que a vigilância em massa é o grande problema deste nosso momento histórico. O cenário do filme 1984 é a realidade do nosso cotidiano: somos controlados e vigiados e parece que a humanidade está se conformando com isso. Para mudar essa realidade, em primeiro lugar temos que ter consciência de que isso está errado, mas a maioria das pessoas não acham que isso está errado.
Então, a solução não é muito fácil. De todo modo, é importante termos consciência de que a vigilância em massa é o grande problema deste nosso momento histórico. O cenário do filme 1984 é a realidade do nosso cotidiano: somos controlados e vigiados e parece que a humanidade está se conformando com isso. Para mudar essa realidade, em primeiro lugar temos que ter consciência de que isso está errado, mas a maioria das pessoas não acham que isso está errado.
(Com o IHU)
Comentários