Durante o mês de agosto, o diretor do Núcleo de Informação e Coordenação do Ponto BR (NIC.br) e membro do Comitê Gestor da Internet no Brasil (CGI.br), Demi Getschko, conversou com a equipe do NDIS sobre a reação brasileira às recentes revelações que os Estados Unidos mantém programas de espionagem de cidadãos brasileiros (e de todo o mundo). Um dos pioneiros da internet no Brasil, Getschko debateu a viabilidade e as consequências das propostas e soluções que surgiram no debate público brasileiro. As perguntas formuladas foram construídas pela equipe do NDIS a partir de uma chamada de perguntas, postada no final de julho.
Vulnerabilidades e descentralização da rede
A denúncia do esquema de monitoramento da NSA (PRISM) causou alarde da opinião pública do mundo inteiro. Depois do escândalo, muito tem se argumentado que essa coleta de dados, especialmente no caso dos brasileiros, foi possível devido a “vulnerabilidades” na “defesa cibernética” nacional. Do ponto de vista técnico, isso faz sentido? Há áreas que carecem de maiores investimentos? Como o investimento nessas áreas poderia salvaguardar os direitos dos usuários?
Demi Getschko – Essa é uma questão da estrutura básica de telecomunicações mundial. E isso sempre foi assim – tanto na telefonia quanto na Internet – você é obrigado a passar por pontos de concentração, o que é tecnicamente razoável. Não faz sentido ter um cabo submarino direto, daqui até Nova Guiné, por exemplo. Você vai passar por algum lugar de concentração – possivelmente Washington, Miami ou Europa para então pegar outro cabo e assim por diante. A estrutura de telecomunicações, da telefonia, sempre teve pontos de concentração. E nesses pontos, o tráfego passa por atacado. Se esses pontos forem submetidos à uma análise, as informações que passam por lá são “bisbilhotáveis”. E isso não denota uma deficiência específica de alguém. Se você está falando com alguém, o tráfego vai para algum lugar e vai passar por diferentes pontos de concentração. Se você está se comunicando com alguém da Austrália por telefone, por exemplo, essa comunicação não vai sair da sua casa e vai até a Austrália nonstop. Portanto, não existe uma deficiência técnica que gere monitoramento – se houver uma deficiência, é uma deficiência ética ou política de quem faz o monitoramento. Da mesma forma, quando você se comunica através da Internet, o seu provedor tem acesso a tudo que passa por lá e ele que deveria tomar providências para não invadir esse conteúdo. Basta pensar que a lei condena o roubo, mas isso não quer dizer que quando houver roubo, vai ter havido uma falha da lei.
Mas também existem algumas sutilezas que podemos analisar quando pensamos nessa questão. Alguns equipamentos vem com “backdoors”. E existem vários argumentos para isso – o fabricante pode querer estatísticas sobre o uso do equipamento ou o governo pode querer ter a possibilidade de acessar alguma coisa em casos de emergências. O contrato de uso da versão 8 do Windows tem uma disposição que reserva à Microsoft o direito de monitorar o que acontece no seu computador para ter informações sobre o funcionamento técnico do software – claro que essa prerrogativa existe sob o argumento de que seja útil para “resolver problemas” mas, evidentemente, essas informações podem ser utilizadas para outros fins. Ou seja, existe a ferramenta. e ela pode ser usada para o bem ou para o mal. Recordo-me de um caso em que um fabricante de celulares, quando fez uma coleção entrega de celulares para a Europa, por exigência de um país, deixou um backdoor específico para caso o governo precisasse de uma via de acesso a esses aparelhos. E esse backdoor acabou sendo descoberto porhackers (ou crackers…), que se aproveitaram dessa brecha. A mesma coisa acontece em sistemas operacionais. Quando existe uma ferramenta dessas, ela pode ser explorada por alguém mesmo que tenha sido criada com a melhor das intenções. O backdoor pode ter sido criado para ser usado em um caso de ataque, ou de alguma emergência. Essa é uma segunda vulnerabilidade que também não é específica de brasileiros.
Antes de adquirir equipamentos, a Telebrás, por exemplo, costuma fazer uma análise de engenharia reversa para identificar possíveis backdoors. Quando eles são detectados, o ideal é que esses equipamentos não sejam adquiridos para que não fiquemos expostos a um monitoramento feito remotamente. Essa é uma vulnerabilidade que pode decorrer do equipamento ou do próprio software. O XKeyscore, programa que consta da apresentação referente a esse escândalo americano, é um software de monitoramento que provavelmente infectava a máquina do usuário para monitorar o que você teclava. Em suma, a gente vive imerso em um mundo em que somos vulneráveis. Mas não diria que há uma vulnerabilidade brasileira especifica; são vulnerabilidades de todo o sistema e nós temos que sempre tentar nos munir de ferramentas que não estejam tão expostas a serem mal usadas.
O Sr. comentou que se eu estiver me comunicando com alguém da Austrália, essa comunicação precisa passar por algum lugar. É correto dizer que esse lugar é os Estados Unidos, na maioria das vezes? É nesse sentido que se fala em uma “centralização” da rede que precisa ser combatida?
D.G. – É verdade. Naturalmente, há uma centralização porque eles geram e consomem muito tráfego. Você pode ter cabos submarinos ligando os lugares diretamente – tem um cabo submarino que vai daqui até a África, por exemplo. Mas se você quiser ganhar tempo e economizar esforço, você vai querer passar por onde é mais rápido. Existem alguns pontos específicos de concentração, tais como Miami, Washington e Europa (região de Amsterdam). E sempre existem pontos de concentração de tráfego naturais. Pense nos pontos de baldeação do metro. Se você quiser monitorar muita gente que ande de metrô, é mais fácil fazer isso nesses pontos, como por exemplo a Praça na Sé.
Nesse sentido, seria viável “descentralizar” a rede ou tecnicamente isso não faz sentido? Essa centralização depende apenas do tráfego que é gerado?
D.G. – Não faz sentido na prática. Primeiro, você não vai poder passar um cabo submarino para ligar todos os lugares uns aos outros, como, por exemplo, você não vai construir um cabo de São Paulo até Papua Nova Guiné. Você vai ter que trabalhar no atacado. Segundo, se você usar um dispositivo como um satélite, você cai numa estrutura que é naturalmente universal. Você pode se utilizar do sinal de um satélite que não foi feito para aquela comunicação específica – quando você tiver visibilidade de footprint de determinado satélite, você simplesmente pega o sinal, então, qualquer comunicação por satélite é intrinsecamente aberta. Você pode usar criptografia mas você está recebendo o sinal. Então, na minha opinião, não há uma maneira de se contornar isso tecnicamente. Isso poderia ser contornado através da criptografia, por exemplo, para tentar de alguma forma tornar a comunicação mais segura. É natural, tecnicamente, que pontos de concentração existam e não haveria sentido econômico em se estabelecer ligações “n a n”, isto é, todas as cidades ligadas a todas as outras cidades. Isso não é viável.
Criptografia como solução
Alguns especialistas em tecnologia e sociedade sugeriram a criptografia ou “encriptação” como ferramenta para evitar a vigilância. O senhor acredita na eficácia e mesmo na viabilidade desse recurso em uma escala ampla e generalizada? Ou seja, a adoção desse novo comportamento por parte dos usuários “comuns” da rede seria possível e se constituiria como uma solução efetiva?
D.G. – Vou usar uma frase famosa do Vicente Mateus: “A criptografia é uma faca de dois legumes”. Se você olhar o que foi divulgado sobre o XKeyscore, uma das regras era a seguinte, se se descobrir que alguém está usando criptografia, monitore-o intensamente, porque deve existir alguma coisa de errado aí. Então, eu sou a favor do uso da criptografia nas comunicações, mas já aviso: você será colocado na lista dos mais visados. Você passa a ser suspeito em potencial. Como agora nos Estados Unidos são suspeitos todos os donos de panela de pressão…
Hospedagem de dados de brasileiros no Brasil
Outra proposta que tem sido alardeada diz respeito à obrigatoriedade de hospedagem de dados de brasileiros no Brasil, proposta essa que está em vias de ser incluída no texto do Marco Civil. Como o Sr. enxerga essa proposta?
D.G. – É uma proposta bastante complicada e até risível em alguns aspectos. Ela vai contra a ideia básica da Internet e não acredito que amenize nada os problemas de segurança (por exemplo, tudo o que eu comentei sobre backdoors continua valendo e poderia ser inclusive muito bem explorado a partir do Brasil também). Talvez seja até mais fácil para alguém que queira bisbilhotar dados de brasileiros e que more aqui que esses dados fiquem guardados aqui. Por exemplo, se eu tenho um blog hospedado na Austrália, pode ser ruim para quem queira verificar dados sobre mim na Austrália, mas se me obrigarem a coloca-los aqui, eu fico mais exposto. Não vejo isso como nenhuma proteção específica para o indivíduo, mas sim como mais uma abertura que pode gerar mais problemas. Além disso, pensando economicamente, isso pode desestabilizar muitos pequenos, que podem optar por se hospedar aqui ou fora, a depender de questões ligadas aos seus modelos de negócio.
Nunca houve vedação a isso. Na verdade, até um portal oficial brasileiro durante um tempo esteve hospedado no Vale do Silício. Eu não sou a favor disso. Acho que dados do governo brasileiro devem ficar no país. Mas eu não acho útil obrigar que dados de brasileiros em geral sejam trazidos pra cá. Isso é contra a ideia da rede! Você não vai poder trazer a contribuição de alguém de um blog hospedado lá fora. Ou ainda se eu tuitar algo no Twitter, não faz o menor sentido obrigar que isso fique aqui. Muito menos tecnicamente.
E na minha opinião, também não acho que ajude na proteção à privacidade. Pelo contrário, cria mais uma brecha. O Brasil sempre se notabilizou por ser um dos países com maior número de pedidos de quebra de sigilo de dados (para o Google ou outras redes sociais). Se esses dados estiverem aqui, isso fica mais fácil de ser obtido. Lembro do caso de um pedido que o STJ julgou procedente para se quebrar o sigilo das comunicações de um político de Rondônia cujos dados estavam nos servidores do Google dos Estados Unidos – ele estava usando o Gmail – e a justiça deu provimento a isso. Certamente é mais difícil executar isso lá do que se esses dados estivessem aqui.
Essa tentativa de obrigar que os dados de brasileiros sejam hospedados aqui tem aparecido como alternativa para viabilizar uma suposta “descentralização” da rede…
D.G. – Você está na verdade centralizando a rede.
Exatamente. O argumento é de descentralização mas você não parece estar pensando no tráfego da rede mas sim em onde os dados estão armazenados. É isso?
D.G. – Os dados naturalmente tenderão a estar onde são consumidos. Existe um outro argumento nessa história que é o seguinte: que erros de topologia aumentem a sua exposição ao risco (o que é uma bobagem e sempre fomos contra). Então, se eu mandar um email pra você, e você está no Rio e eu em Rondônia, não é razoável que esse email passeie pelo mundo antes de chegar em Rondônia; é razoável que um email que nasce no Brasil e morre no Brasil mantenha o seu trânsito dentro do país. Às vezes isso não é possível. Digamos que em Rondônia a única saída é via satélite. E digamos que seu satélite tenha um foco em Homestead (Flórida), então você vai baixar o dado que saiu de Rondonia na Flórida e ele virá por um cabo submarino até o Rio. Às vezes tecnicamente você não tem fibra chegando até o lugar e você recorre então a um trecho via satélite. Atualmente, os satélites são todos internacionais. Mas não é bom que uma comunicação que comece dentro do país e se destine a outro ponto dentro do país, saia para fora do país. Uma das formas de se impedir isso é construir pontos de troca de tráfego cada vez maiores intensos e ativos dentro do país. Temos batalhado muito pra ter isso e sejamos talvez o 4º ou 5º melhor país em pontos de tráfego no mundo.
Outra coisa que é importante é o chamado balanço de tráfego. O Brasil paga a comunicação internacional porque traz 3 vezes mais tráfego do que sai, então existe um desbalanceamento e as companhias brasileiras tem que pagar uma quantia às companhias estrangeiras por esse déficit. Mas isso é absolutamente esperado. Isso porque o Brasil é parte do mundo e naturalmente tem mais coisas no mundo do que no Brasil. Vai ter sempre um desbalanceamento que é contra qualquer país específico. O balanceamento é sempre contra o país individualmente tomado porque fora dele existe o conteúdo do resto do mundo. Isso pode ser racionalizado. Os grandes provedores de informação criam caches ou espelhos, que são repositórios parciais das coisas mais usadas no país dentro do próprio país. Essas empresas naturalmente querem estar perto dos usuários, não por benevolência, mas por racionalidade. Naturalmente essas empresas – não por generosidade ou boas intenções – trazem esse conteúdo para cá. Não é preciso obrigá-las a fazer isso porque elas farão isso naturalmente. É uma questão estratégica trazer o conteúdo para perto dos consumidores.
Supondo que o MCI obrigue o Google, por exemplo, a sediar os dados de brasileiros aqui, se você usar o Gmail pra enviar um email à Austrália, o tráfego vai passar fora do país, certo? Isso então não resolve a questão de se impedir que exista alguma ingerência em dados de brasileiros, correto?
D.G. – Sim. Se todos os países quisessem que o Google deixasse os dados de cada país em cada um, isso seria inviável tecnicamente. É mais ou menos como exigir que todas as companhias telefônicas tenham uma central telefônica internacional em cada cidade, não teria como. É o mesmo caso da ligação direta de todos os pontos, que já comentamos. O que se deve garantir – e aí é uma questão do usuário – é se o provedor de fato tem ética, se o provedor cede à primeira pressão para entregar dados ou se resiste (claro que, quando houver uma ordem judicial, estamos sujeitos a isso). Nesse ponto, acho que o usuário tem algum poder e ele não é desprezível. Quando o Facebook mudou uma política que teoricamente violava a privacidade, todo mundo reclamou e voltaram rapidamente atrás.
No caso do PRISM especificamente, seria muito bom saber especificamente até que ponto houve colaboração e de quem. Dizem que parte dos dados do PRISM vieram diretamente de provedores de serviço de internet. Todos alegaram inocência e que só entregaram aquilo que a Justiça mandou entregar. Se foi isso, é um fato da vida. Agora se, de fato, houve colaboração e se eles têm um mecanismo automático de deixar o governo bisbilhotar, aí a questão é muito mais grave e devíamos ser contra.
Voltando para a questão da defesa cibernética e do papel do CGI. O decreto que estabeleceu a chamada Estratégia Nacional de Defesa não menciona o CGI.br, listando atribuições a ministérios e às forças armadas. O senhor acredita que o CGI.br, como uma entidade de grande participação da sociedade civil, deveria ter papel ativo na elaboração desse tipo de política pública?
D.G. – O CGI.br não é ativo nessa área e nem pode ser ativo, ele é recomendador. O CGI é um órgão de aconselhamento; ele não é um órgão regulador. Então, ele não poderia agir na defesa cibernética mas ele poderia participar dando “boas normas” e ele tem feito isso. O CGI ajudou, por exemplo, na Rio+20 (2012). Ele não participou da defesa da feira mas sim das reuniões sobre isso. O CGI é um modelo internacionalmente aplaudido como multiparticipativo, tem gerado boas resoluções, foi a origem do Marco Civil da Internet. Estranhamente, no Brasil, o CGI tem sido ultimamente muito pouco referenciado. Veja a posição brasileira na reunião da UIT (Uniao Internacional de Telecomunicacoes), basicamente a posição da ANATEL, que é quem fala sobre telecomunicações, mas o tema envolveu Internet e eu não me lembro de o CGI ter sido consultado sobre a posição que o Brasil levou (apoio a uma centralização multigovernos e que teve oposição de praticamente toda a Europa e de vários países da América Latina). Sem entrar no mérito desse posicionamento, foi uma posição do órgão regulador de telecomunicações sobre o tema Internet e sem uma consulta maior. No caso do Marco Civil, por exemplo, apesar da origem dele ter sido aqui, hoje a discussão está muito mais centrada na área de governo. Espero que o CGI continue a ser sempre consultado e ouvido.
Qual é a postura do CGI.br em relação ao uso dos recursos de deep packet inspection (DPI), especialmente diante da Recomendação UIT-T Y.2770?
D.G. – O Brasil assinou em Dubai um padrão da UIT sobre como fazer DPI. É claro que o padrão técnico é uma coisa e o uso do padrão técnico é outra – mas para que fazer isso se nós somos a favor de uma atitude que proteja mais a privacidade? O CGI tem uma resolução contrária a isso, por exemplo, no caso de isso ser explorado por provedores de acesso. O MCI trata disso e bem quando diz que privacidade é muito ligada ao contexto. Então quando você transporta um indivíduo, você não tem que saber o que ele vai fazer lá, você não tem que entrar no mérito de quais são as URLs. Sua função é só jogar ele na rede. As teles podem ter interesse em ter conhecimento dessas informações para eventualmente fazer marketing em cima disso, o que é inadequado. É diferente de um vendedor de livros que tem que saber qual é o seu endereço, tem que saber o que você compra porque ele tem transação comercial com você. Esse não é o caso do provedor de conexão. Ele é apenas o “motorista”; ele tem que te levar até a loja mas não tem que perguntar o que você vai comprar lá ou o qual o prato que você vai pedir no restaurante. Nada disso diz respeito a quem provê seu acesso à rede…
Por fim, como a aprovação do MCI poderia ter contribuído nesse caso? Teria feito alguma diferença se o MCI já estivesse em vigor?
D.G. – Pouca diferença do ponto de vista prático. Mas teria feito diferença do ponto de vista principiológico: você teria uma clara noção do que está sendo violado em relação a você. Como eu disse, a lei que criminaliza o roubo, não impede o roubo; quem impede o roubo é a polícia, que fiscaliza se está havendo roubo ou não. Mas você precisa de uma lei dizendo que aquilo é um roubo. O MCI daria um pano de fundo muito importante além de estabelecer esses limites na área de privacidade, que estão muito difusos e todo mundo quer avançar o sinal. É importante estabelecer limites para impedir que o sinal não seja avançado na calada da noite. Por enquanto, isso só tem sido feito de forma pontual. O MCI seria a consolidação desse tratamento não-pontual. Isso não pode ser feito caso a caso.