O escândalo da espionagem realizada no Brasil pela Agência de Segurança Nacional dos Estados Unidos (NSA) colocou em evidência a falta de proteção e sigilo de dados no País. Em meio às denúncias, que resultaram no cancelamento da visita de Estado da presidente Dilma Rousseff aos EUA, Julian Assange, do WikiLeaks, sugeriu ao governo brasileiro adotar criptografia com tecnologia nacional como proteção.
A criptografia é um recurso antigo e presente em quase todas as operações virtuais que exigem proteção de dados, como a realização de uma compra pela internet, por exemplo, para garantir o sigilo do número do cartão de crédito. O recurso embaralha as mensagens para torná-las ininteligíveis e evitar o entendimento por outra pessoa que não seja o destinatário.
Muito utilizada em tempos de guerra, a criptografia costuma ser associada a atividades clandestinas. Em alguns países, seu uso é restrito e só pode ser desenvolvida se o governo tiver meios de quebrá-la. No Brasil, não há qualquer determinação a respeito do assunto. “Como é algo incomum, os poucos que usam viram alvo de atencao”, diz Demi Getschko, do Comitê Gestor da Internet (CGI.br).
A recomendação de desenvolver a tecnologia nacionalmente tem motivo. Documentos vazados pelo ex-funcionário da NSA Edward Snowden mostram que a criptografia fornecida por empresas privadas norte-americanas é propositalmente falha e têm as chamadas “portas dos fundos”, para que a NSA possa driblar seus códigos e acessar os dados. “Não adianta colocar cadeado se todo mundo tiver a chave”, diz o ativista do movimento Software Livre, Anahuac de Paula Gil.
Atualmente, não existem empresas brasileiras de grande porte que desenvolvam criptografia. Essa tarefa fica a cargo de pequenos negócios que trabalham com software livre e criam sistemas customizados, mas nem sempre conseguem atender à demanda do mercado. Graça Foster, presidente da Petrobrás, companhia que foi alvo de espionagem dos EUA, declarou que a criptografia usada na estatal é de empresas americanas porque não existem companhias brasileiras que prestam esse tipo de serviço.
“Se houver demanda de criptografia para o País, seria necessário um esforço nacional para investir em uma melhor estratégia de formação e atração de programadores, já que os melhores profissionais normalmente são contratados pelas empresas estrangeiras e não temos mão de obra capacitada o suficiente”, diz Marcelo Marques, cofundador da 4Linux, desenvolvedora de sistemas com software livre.
Para ele, o governo poderia se proteger estimulando o mercado de sistemas auditáveis, com código aberto que, ao contrário de sistemas prontos, como o Windows, por exemplo, permite a análise do código-fonte para checagem de possíveis irregularidades e a prevenção contra espionagem.
Cenário complexo
Até agora, a resposta do governo ao escândalo foi apressar a votação do Marco Civil da Internet (veja abaixo) e anunciar para o ano que vem o lançamento de um serviço de e-mail criptografado dos Correios, o Mensageria Digital. “O serviço prevê alto grau de segurança quando remetente e destinatário usarem a solução. Quando apenas um deles usar, os benefícios serão a garantia da entrega e a informação da hora em que a mensagem foi lida”, diz o vice-presidente de Tecnologia e Infraestrutura dos Correios, Antonio Luiz Fuschino.
Para especialistas, mesmo criptografado, o serviço terá pouco impacto e só seria útil para o próprio governo. “A proteção só funciona se for entre usuários do mesmo sistema. Quantas pessoas você conhece dispostas a fechar suas contas em provedores famosos?”, questiona Paula Gil. “Não adianta ter um serviço criptografado se a primeira mensagem enviada for para o Gmail.”
Pioneiro no mercado de e-mail brasileiro, Aleksandar Mandic, fundador da Mandic, diz que a criptografia nunca foi um serviço “muito comercial”, mas que o governo poderia estimular a iniciativa privada a desenvolver soluções. “O que todo esse escândalo revela é que os Estados Unidos estão catalogando de onde um e-mail sai e para onde ele vai, um rastro que permanece mesmo quando a mensagem é criptografada”, diz. Ele já planeja desenvolver um protocolo de e-mail próprio, alternativo aos comumente usados smtp e imap, para tentar proteger os rastros que a criptografia não esconde.
O especialista em segurança digital da Alvarez & Marsa, William Beer, diz que outros cuidados devem ser associados ao investimento em tecnologia. “A criptografia é importante, mas não pode ser considerada a resposta definitiva, porque hoje usamos diversas plataformas diferentes”, diz. “Quando se fala de cibersegurança, se fala também de treinamento de pessoas e processos.”
Comparado ao americano, o orçamento brasileiro em cibersegurança é escasso. Segundo o Centro de Comunicação Social do Exército, o orçamento deste ano destinou R$ 90 milhões para defesa cibernética no Brasil, dos quais R$ 61 milhões foram autorizados a serem gastos. Já as agências de espionagem americanas tiveram um orçamento de US$ 52,6 bilhões para 2013.
Falhas estratégicas e em processos também ficam claras. Apesar da Agência Brasileira de Inteligência (Abin) ter um avançado centro de desenvolvimento de equipamentos criptográficos e a discussão do uso de sistemas auditáveis e com tecnologia nacional pelo governo ser antiga, porta-vozes do governo assumiram que a presidente e os ministros utilizam sistemas fechados e não auditáveis em seus computadores, como Windows, da Microsoft, parceiro da NSA, e-mails de empresas estrangeiras, como o Gmail, do Google, e telefones sem proteção contra grampos. Procurados pelo Link, a Abin e o Ministério das Comunicações não quiseram dar entrevista.
Para o usuário final, o cenário é mais complexo e exige a decisão de abrir mão do uso de produtos e serviços populares para garantir a privacidade. Paula Gil propõe o uso das chamadas redes federadas (que são descentralizadas e, portanto, de difícil monitoramento) como a rede social Diaspora, e a compra de domínios próprios para a criação de um endereço de e-mail.
***
ENTREVISTA / ANDY MULLER-MAGUHN
Blindagem de dados depende de ambiente seguro, diz especialista
Bruno Capelas
O alemão Andy Müller-Maguhn defende políticas de segurança para a internet desde os anos 80. Entre 2000 e 2003, foi ligado à Icann, entidade que regulamenta o uso da rede. Maguhn é coautor do livro Cypherpunks, de Julian Assange, que advoga o uso da criptografia. Ele falou ao “Link” por e-mail.
É possível ter um sistema de criptografia totalmente à prova de espionagem?
Andy Muller-Maguhn – A criptografia é o melhor método de proteção, entretanto ela depende de um ambiente seguro. O que sabemos dos esforços da NSA e de outras agências é que elas não “quebram” a encriptação, mas a driblam, usando softwares que roubam dados antes que sejam encriptados.
Muitos veem a criptografia como atividade clandestina ou ilegal. Mas é algo que é usada por todo tipo de negócios, certo?
A.M-M. – É a base para todo o comércio eletrônico, usada em atividades como compras e pagamentos seguros. É por isso que as revelações sobre um amplo ataque em sistemas de criptografia, autoridades de certificação e ferramentas criptográficas por parte da NSA têm impacto em muitas áreas.
Um cidadão comum pode usar criptografia?
A.M-M. – Há ferramentas para navegação anônima, como o Tor Browser Bundle; e encriptação de e-mail, como GPG, que são muito fáceis de usar. A utilização da criptografia é proibida apenas em alguns países autoritários.
******
Ligia Aguilhar e Bruno Capelas, do Estado de S.Paulo