Passei o dia de ontem em Brasília, no evento "Advocacia e Processo Eletrônico" promovido pelo Conselho Federal da OAB. Pela manhã, painéis, com exposição de membros do Poder Judiciário. À tarde, os representantes das Comissões de tecnologia das Seccionais da Ordem (eu estava lá por SP) debateram questões relevantes para a cidadania e para a defesa das prerrogativas, diante da informatização do processo.
Um dos temas de intenso debate foi a falta de publicidade nos atuais modelos de "processo eletrônico" (felizmente, não de todos, e a lenta informatização do TJSP merece elogios, ao menos por isso...).
A publicidade é princípio constitucional, havido como garantia fundamental, mas tem sido informalmente "revogada" por sistemas informáticos que insistem em só dar acesso aos autos aos advogados da causa, devidamente cadastrados. Em minha opinião, é evidente que isso é muito irregular. É oportuno lembrar o sentido político da publicidade processual: é um potencial freio ao abuso de poder, é instrumento destinado a dar transparência ao exercício do poder pelo Judiciário.
Há preocupações legítimas com o potencial foco de ataque à privacidade que autos eletrônicos online podem causar. Mas princípios constitucionais não podem ser revogados dessa maneira, ainda que boas sejam as intenções. Se a defesa da privacidade fosse incompatível com o chamado "processo eletrônico", então o processo não poderia ser "eletrônico" (não é o que penso, dá para conciliar as coisas sem vedar a publicidade, mas isso fica para outra ocasião). Se o Judiciário optou por eliminar autos físicos e transformá-los em digitais, até que outra ordem jurídica se instale esses autos digitais devem ser públicos.
Mas essa é apenas a introdução do que eu queria dizer aqui. A privacidade é muito maltratada neste nosso país e não apenas por fatos à margem da lei: estão em curso mecanismos patrocinados pelo Estado que lhe afrontam mortalmente... mas poucos ou quase ninguém os confronta ou combate.
Quando, porém, a privacidade serve como um "curinga" que permite questionar a publicidade processual e a necessária exposição do Poder Judiciário (como a de qualquer outro órgão público) aos olhos de toda a sociedade, os problemas são supervalorizados e a bandeira de defesa da privacidade ganha um fôlego renovado (mas só para esse fim...). É algo no mínimo curioso...
Estimulado com a polêmica, resolvi brevemente enumerar o que está em curso no país para implodir a privacidade individual, de maneira muitíssimo mais danosa do que a exposição em autos online:
a) lá vem o RIC (o famigerado número único de identificação, sob forma de um documento civil único e nacional de identificação)
b) o CPF é corriqueiramente usado como número único de identificação (e irregularmente usado, porque o CPF não é documento de identificação civil: é número de cadastro de contribuinte, para quem não mais se lembra de onde ele surgiu); até para estudantes se cadastrarem no ENEM foi exigido o CPF (e muitos sequer são contribuintes...)
c) o CPF é usado em notas fiscais gerando bases de dados com padrões de gastos e consumo (e qual o controle sobre o uso disso?)
d) a ICP-Brasil (estrutura fortemente controlada pela Casa Civil da Presidência da República) criou o certificado digital único e estão pouco a pouco obrigando o seu uso por todos os brasileiros (e querem embuti-lo no RIC)
e) Juízes e procuradores públicos têm acesso direto a bases de dados com informações pessoais e privadas
f) a excessiva coleta de dados pela Receita Federal, pelo sistema denominado SPED - Sistema Público de Escrituração Digital (desnecessário lembrar que, além dos recentes escândalos, declarações de IR volta e meia estão à venda pelos camelôs do centro de SP)
g) a recente implantação de biometria nas urnas eleitorais exige cadastramento dos DEZ dedos do eleitor, mediante sistema de imagem de alta definição (cedido ao TSE pelo FBI)
h) implantação compulsória de GPS nos veículos
i) crescimento de câmeras de vigilância do trânsito ou para fins de segurança pública (sem regras claras sobre o uso, guarda e destruição dessas imagens)
E não é preciso lembrar que não há controle no país sobre a criação e uso de bases de dados com informações pessoais, que fatalmente terminam à venda por aí.
Deve haver mais, muito mais, mas é o que lembrei nos últimos minutos...
quinta-feira, 16 de setembro de 2010
sexta-feira, 10 de setembro de 2010
A Advocacia e o Processo Eletrônico no STJ – Parte II - SEGURANÇA
À parte o desrespeito à CF, diante da supressão da publicidade, como apontado na primeira parte deste comentário, como sou advogado e tenho certificado digital,ao menos o meu acesso aos processos é possível. E como precisava ver esses autos, segui em frente.
E aí me deparei com um outro problema. Ao clicar em “advogado” apareceu na minha tela uma mensagem informando que um Javascript estava tentando executar alguma função, que o meu sistema operacional alertava como sendo potencialmente perigoso, dando-me a opção de bloquear o sistema ou deixá-lo rodar.
Testei, primeiro, bloquear o sistema, e descobri que o javascrip era do site do próprio STJ. Ao bloqueá-lo, contudo, não consegui visualizar o processo. Não sei o que o Javascript do STJ faz. Não tenho a obrigação de sabê-lo e mesmo que eu quisesse, não conseguiria.
Ao rodar no meu micro um aplicativo vindo de uma terceira pessoa, ainda que essa terceira pessoa seja o STJ, coloco em risco meu computador, meus sistemas e as minhas informações pessoais e de clientes, inclusive sigilosas. Deve competir a mim aceitar ou não que um sistema rode no meu micro. Mas, no caso, fui obrigado a aceitar essas condições impostas, pois realmente precisava ver aquele processo.
Mesmo autorizado a acessar meu micro, o javascript do STJ não funcionou.
Liguei para Brasília e fui transferido ao setor de informática do STJ, sendo atendido por um funcionário muito educado e solícito, que me explicou como fazer para resolver o problema.
Fui orientado por aquele funcionário a entrar no “Painel de Controle” do meu Windows, Clicar em “Java”, entrar em “Advanced”, “Security”, “Mixe cod (sandboxed VS trusted) security verification”, desabilitar a opção “Enable – show warning if needed” e habilitar a opção “Enable – hide warning and run with protections)"; depois disso, abrir meu browser na opção de “Executar como Administrador” e.... funcionou! Finalmente pude ver meu processo.
Só que ao fazer isso, eu simplesmente desabilitei uma função de segurança do meu browser, que me alerta, quando entrar em qualquer outro site (e não apenas do STJ), que algum javascript pode ter alguma função maliciosa, eliminando meu direito de decidir se quero ou não autorizar sua execução em meu micro.
Tenho repetido à exaustão que os Tribunais estão tratando a informatização dos processos judiciais de forma equivocada. Primeiro, por esquecerem que não apenas magistrados estarão sujeitos aos sistemas que eles implantarem, mas também advogados, promotores e serventuários. Em 6 anos como presidente da Comissão de Informática Jurídica da OABSP e 3 anos, como da Comissão de Informática do Conselho Federal, e apesar de muitas e muitas tentativas, pedidos, reclamações, etc, nunca vi a advocacia ser chamada para acompanhar o desenvolvimento de sistemas envolvidos no processo eletrônico. Apenas somos chamados a participar do lançamento desses sistemas, e sempre tendo que ouvir o alerta, pelos Tribunais, de que, "se não der certo, será culpa dos advogados" ...
E aí me deparei com um outro problema. Ao clicar em “advogado” apareceu na minha tela uma mensagem informando que um Javascript estava tentando executar alguma função, que o meu sistema operacional alertava como sendo potencialmente perigoso, dando-me a opção de bloquear o sistema ou deixá-lo rodar.
Testei, primeiro, bloquear o sistema, e descobri que o javascrip era do site do próprio STJ. Ao bloqueá-lo, contudo, não consegui visualizar o processo. Não sei o que o Javascript do STJ faz. Não tenho a obrigação de sabê-lo e mesmo que eu quisesse, não conseguiria.
Ao rodar no meu micro um aplicativo vindo de uma terceira pessoa, ainda que essa terceira pessoa seja o STJ, coloco em risco meu computador, meus sistemas e as minhas informações pessoais e de clientes, inclusive sigilosas. Deve competir a mim aceitar ou não que um sistema rode no meu micro. Mas, no caso, fui obrigado a aceitar essas condições impostas, pois realmente precisava ver aquele processo.
Mesmo autorizado a acessar meu micro, o javascript do STJ não funcionou.
Liguei para Brasília e fui transferido ao setor de informática do STJ, sendo atendido por um funcionário muito educado e solícito, que me explicou como fazer para resolver o problema.
Fui orientado por aquele funcionário a entrar no “Painel de Controle” do meu Windows, Clicar em “Java”, entrar em “Advanced”, “Security”, “Mixe cod (sandboxed VS trusted) security verification”, desabilitar a opção “Enable – show warning if needed” e habilitar a opção “Enable – hide warning and run with protections)"; depois disso, abrir meu browser na opção de “Executar como Administrador” e.... funcionou! Finalmente pude ver meu processo.
Só que ao fazer isso, eu simplesmente desabilitei uma função de segurança do meu browser, que me alerta, quando entrar em qualquer outro site (e não apenas do STJ), que algum javascript pode ter alguma função maliciosa, eliminando meu direito de decidir se quero ou não autorizar sua execução em meu micro.
Tenho repetido à exaustão que os Tribunais estão tratando a informatização dos processos judiciais de forma equivocada. Primeiro, por esquecerem que não apenas magistrados estarão sujeitos aos sistemas que eles implantarem, mas também advogados, promotores e serventuários. Em 6 anos como presidente da Comissão de Informática Jurídica da OABSP e 3 anos, como da Comissão de Informática do Conselho Federal, e apesar de muitas e muitas tentativas, pedidos, reclamações, etc, nunca vi a advocacia ser chamada para acompanhar o desenvolvimento de sistemas envolvidos no processo eletrônico. Apenas somos chamados a participar do lançamento desses sistemas, e sempre tendo que ouvir o alerta, pelos Tribunais, de que, "se não der certo, será culpa dos advogados" ...
A Advocacia e o Processo Eletrônico no STJ – Parte I - PUBLICIDADE
A cada dia que passa, mais me surpreendo com os equívocos que os Tribunais têm cometido com a informatização dos processos judiciais.
Acompanho um recurso especial que tramita no STJ e que havia sido encaminhado ao Ministério Público Federal em abril, para parecer. No andamento processual do STJ, aparece que, no início deste mês, foi protocolada uma petição, que ou é da outra parte, ou do próprio MPF.
Tentei visualizar esse recurso especial no STJ, que, aliás, havia sido processado em papel, e quando os autos chegaram na Corte Superior, foram digitalizados e devolvidos os originais ao TJSP.
Para visualizar aquele recurso, o site do STJ exige que eu seja advogado ou "ente público" e que tenha certificado digital.
O processo é PÚBLICO! Ou deveria ser, segundo a Constituição! Não pode haver limitação de acesso aos autos, salvo, evidentemente, quando o processo correr em segredo de justiça, o que não é o caso daquele Recurso Especial. Mesmo se eu não fosse advogado, teria direito a ver os autos.
Mas, além disso, mesmo sendo um advogado, para apenas visualizar um processo, não faz sentido exigir-se certificado digital. Para peticionar eletronicamente, a exigência pode ser cabível, posto que assegura a identidade do signatário e a integridade da petição eletrônica. Mas apenas para ver um processo, não há sentido.
Nenhuma razão justificaria a limitação imposta pelo STJ, nem mesmo se fosse exigência da tecnologia, o que, diga-se, não existe.
Acompanho um recurso especial que tramita no STJ e que havia sido encaminhado ao Ministério Público Federal em abril, para parecer. No andamento processual do STJ, aparece que, no início deste mês, foi protocolada uma petição, que ou é da outra parte, ou do próprio MPF.
Tentei visualizar esse recurso especial no STJ, que, aliás, havia sido processado em papel, e quando os autos chegaram na Corte Superior, foram digitalizados e devolvidos os originais ao TJSP.
Para visualizar aquele recurso, o site do STJ exige que eu seja advogado ou "ente público" e que tenha certificado digital.
O processo é PÚBLICO! Ou deveria ser, segundo a Constituição! Não pode haver limitação de acesso aos autos, salvo, evidentemente, quando o processo correr em segredo de justiça, o que não é o caso daquele Recurso Especial. Mesmo se eu não fosse advogado, teria direito a ver os autos.
Mas, além disso, mesmo sendo um advogado, para apenas visualizar um processo, não faz sentido exigir-se certificado digital. Para peticionar eletronicamente, a exigência pode ser cabível, posto que assegura a identidade do signatário e a integridade da petição eletrônica. Mas apenas para ver um processo, não há sentido.
Nenhuma razão justificaria a limitação imposta pelo STJ, nem mesmo se fosse exigência da tecnologia, o que, diga-se, não existe.
quinta-feira, 9 de setembro de 2010
Senhas "socializadas"
“Testemunhando perante o Congresso há pouco tempo atrás, expliquei que eu frequentemente conseguia obter senhas e outras informações sensíveis de empresas fingindo ser outra pessoa e simplesmente pedindo por elas” - Kevin Mitnick, The Art of Deception.
Para quem não se lembra dele, Kevin Mitnick foi um dos crackers mais procurados dos EUA e, preso em 1995, regenerou-se e narrou nesse seu livro parte de suas peripécias. Embora hábil em informática, muitas vezes a fraude social lhe era suficiente para aplicar um golpe, como ele resume na frase acima.
No Brasil, a carreira criminosa de Mitnick certamente teria sido mais longa e produtiva. É de se duvidar que tivesse sido preso. E teria se fartado em atacar serviços públicos, onde a cultura de segurança da informação aparentemente inexiste. Se em um órgão depositário de sigilos cobertos por lei e que guarda informações muito sensíveis de toda a população, como é a Receita Federal, funcionários que têm acesso a essas informações afirmam candidamente que suas senhas eram “socializadas”, o que se pode esperar do restante dos serviços informatizados dos Governos?
A expansão da informatização de serviços públicos é sempre apresentada aos cidadãos como motivo de avanços e melhorias. Espalham-se sistemas e computadores pelas repartições públicas mas... e a política de segurança disso tudo? Qual é, se é que existe? Qual é o treinamento de segurança dado aos funcionários? E qual é o rigor no cumprimento de recomendações tão básicas, como não compartilhar senhas de acesso?
E quais são as políticas de segurança do próprio órgão? Como se viu, basta um papelucho com carimbos falsos e se consegue a declaração de renda de qualquer brasileiro, em qualquer posto fiscal do país.
Uma máxima bastante comum nos ambientes de segurança nos diz que quanto mais um segredo for compartilhado, menos ele será sigiloso. Pois, pelo que parece, qualquer funcionário da Receita, lotado em qualquer lugar do país, tem acesso às declarações de todos os brasileiros. Isso não parece nada seguro. Se segurança perfeita inexiste, ao menos seria recomendável reduzir riscos, dividindo poderes de acesso a esses sistemas. Por exemplo, se o contribuinte é domiciliado em São Paulo, por que funcionários lotados fora de sua jurisdição teriam permissão de acesso a seus dados? Se a Receita tem os endereços dos contribuintes, por que, diante de um pedido de vista da própria declaração, ela não é remetida pelo correio a esse endereço, ao invés de ser entregue a qualquer um que se apresente no balcão? Essas são duas medidas e contramedidas de segurança que parecem muito básicas e que se pode apontar apenas a partir das notícias recentemente publicadas nos jornais. Será que há mais furos de segurança?
Fomos especialmente críticos quando, ainda em trâmite, o projeto de lei de informatização do processo (que resultou na Lei nº 11.419/06) propunha dar senhas de acesso aos juízes, para que buscassem, pelas suas próprias mãos, informações em bancos de dados públicos ou privados. Para os bons juízes – a imensa maioria – o ônus de manter em sigilo tais senhas e realizar pessoalmente os acessos é um grande estorvo que lhes toma precioso tempo de trabalho. Uma ordem eletrônica, respondida também eletronicamente pelo detentor da informação, teria sido igualmente eficiente e preservaria os segredos, não só das poucas maçãs podres que existem no Judiciário, mas também do leigo sem treinamento e pouco afeito às práticas de segurança da informação, como deve ser a quase totalidade dos operadores do Direito. Além disso, a curiosidade é uma qualidade essencialmente humana. Não é irresistível, de posse de uma senhas dessas, e sem freios claros quanto ao seu uso, dar uma bisbilhotadinha nos segredos do cunhado, do vizinho, ou do inimigo?
Que os recentes eventos, tão dolorosos para a Democracia e para o Estado de Direito, sirvam para jogar novas luzes sobre esse grave e arraigado problema.
Para quem não se lembra dele, Kevin Mitnick foi um dos crackers mais procurados dos EUA e, preso em 1995, regenerou-se e narrou nesse seu livro parte de suas peripécias. Embora hábil em informática, muitas vezes a fraude social lhe era suficiente para aplicar um golpe, como ele resume na frase acima.
No Brasil, a carreira criminosa de Mitnick certamente teria sido mais longa e produtiva. É de se duvidar que tivesse sido preso. E teria se fartado em atacar serviços públicos, onde a cultura de segurança da informação aparentemente inexiste. Se em um órgão depositário de sigilos cobertos por lei e que guarda informações muito sensíveis de toda a população, como é a Receita Federal, funcionários que têm acesso a essas informações afirmam candidamente que suas senhas eram “socializadas”, o que se pode esperar do restante dos serviços informatizados dos Governos?
A expansão da informatização de serviços públicos é sempre apresentada aos cidadãos como motivo de avanços e melhorias. Espalham-se sistemas e computadores pelas repartições públicas mas... e a política de segurança disso tudo? Qual é, se é que existe? Qual é o treinamento de segurança dado aos funcionários? E qual é o rigor no cumprimento de recomendações tão básicas, como não compartilhar senhas de acesso?
E quais são as políticas de segurança do próprio órgão? Como se viu, basta um papelucho com carimbos falsos e se consegue a declaração de renda de qualquer brasileiro, em qualquer posto fiscal do país.
Uma máxima bastante comum nos ambientes de segurança nos diz que quanto mais um segredo for compartilhado, menos ele será sigiloso. Pois, pelo que parece, qualquer funcionário da Receita, lotado em qualquer lugar do país, tem acesso às declarações de todos os brasileiros. Isso não parece nada seguro. Se segurança perfeita inexiste, ao menos seria recomendável reduzir riscos, dividindo poderes de acesso a esses sistemas. Por exemplo, se o contribuinte é domiciliado em São Paulo, por que funcionários lotados fora de sua jurisdição teriam permissão de acesso a seus dados? Se a Receita tem os endereços dos contribuintes, por que, diante de um pedido de vista da própria declaração, ela não é remetida pelo correio a esse endereço, ao invés de ser entregue a qualquer um que se apresente no balcão? Essas são duas medidas e contramedidas de segurança que parecem muito básicas e que se pode apontar apenas a partir das notícias recentemente publicadas nos jornais. Será que há mais furos de segurança?
Fomos especialmente críticos quando, ainda em trâmite, o projeto de lei de informatização do processo (que resultou na Lei nº 11.419/06) propunha dar senhas de acesso aos juízes, para que buscassem, pelas suas próprias mãos, informações em bancos de dados públicos ou privados. Para os bons juízes – a imensa maioria – o ônus de manter em sigilo tais senhas e realizar pessoalmente os acessos é um grande estorvo que lhes toma precioso tempo de trabalho. Uma ordem eletrônica, respondida também eletronicamente pelo detentor da informação, teria sido igualmente eficiente e preservaria os segredos, não só das poucas maçãs podres que existem no Judiciário, mas também do leigo sem treinamento e pouco afeito às práticas de segurança da informação, como deve ser a quase totalidade dos operadores do Direito. Além disso, a curiosidade é uma qualidade essencialmente humana. Não é irresistível, de posse de uma senhas dessas, e sem freios claros quanto ao seu uso, dar uma bisbilhotadinha nos segredos do cunhado, do vizinho, ou do inimigo?
Que os recentes eventos, tão dolorosos para a Democracia e para o Estado de Direito, sirvam para jogar novas luzes sobre esse grave e arraigado problema.
segunda-feira, 6 de setembro de 2010
Quando a criptografia é boa...
Em um post de dezembro de 2008, comentei uma notícia acerca da investigação conduzida contra Daniel Dantas, em que se anunciava que o FBI iria ajudar a polícia brasileira a quebrar a criptografia de discos apreendidos em seu apartamento. Não havia notícia, até então, sobre o modo como tais arquivos haviam sido criptografados, se usando criptografia de boa ou má qualidade, ou qual produto. Mas, desde aquele momento, adiantei que, se usada boa criptografia, feita por produtos que não tenham "portas traseiras", os arquivos seriam potencialmente indecifráveis.
Em junho último, a imprensa noticiou (aqui ou aqui) que o FBI devolveu os HDs ao Brasil, sem sucesso. Segundo informado, os discos estão cifrados com o Truecrypt... hum... parece que é mesmo um osso duro de roer!
O Truecrypt é um software de criptografia de código aberto, qualidade que é normalmente incompatível com portas traseiras (pois poderiam ser descobertas por quem examinasse o código). Nem quem produz o programa tem condições de abrir arquivos cifrados com ele. Na verdade, qualquer um com conhecimento bastante em criptografia ou criptoanálise teria as mesmas possibilidades de quebrar o cifrado que o autor do software, já que todas as instruções do programa - sua maneira de operar, portanto - são públicas. E essa chance é próxima de zero. E só quem cifrou tem a senha, não há uma "chave-mestra" (o que seria uma das possíveis formas de "porta traseira").
Já experimentei o Truecrypt. Tenho-o instalado aqui... É um software bastante respeitado no universo de segurança da informação. Ele cria discos virtuais criptografados. Daí, "abre-se" o disco, salva-se o que quiser nele, como se fosse um disco comum, e uma vez fechado é um bloco intransponível a quem não tiver a senha de acesso.
Além disso, o Truecrypt fornece um recurso extremamente complicado para quem pretenda obrigar o "dono" do cifrado a abri-lo (seja por coação legal, supostamente "boa" se não estivermos falando de uma ditadura, seja por coação física ou moral feita por um criminoso): ele cria - ou não, pois isso é um recurso opcional - um disco virtual cifrado dentro de outro disco virtual cifrado, cada um com uma senha diferente. Como se fosse uma caixa dentro de uma caixa. Se usada a senha da "caixa" externa, ele a abre, sem dar indícios de que há uma "caixa" criptografada dentro dela (pois o disco interno, cifrado, é indistinguível de dados aleatórios do espaço não ocupado da "caixa" externa). É possível, então, deixar ali arquivos não tão importantes, como se esses fossem o objeto da proteção. Aparentemente, é impossível provar que há outro cifrado dentro do cifrado. É impossível provar se o usuário usou ou não usou esse recurso da "caixa dentro da caixa". Coagido - legal ou ilegalmente - a fornecer a senha, o usuário pode simplesmente entregar a senha do cifrado externo.
Por sua vez, se usada a senha da "caixa" interna, o Truecrypt a abre diretamente.
Conforme eu disse naquele post de 2008, se a criptografia fosse mesmo boa, como parece ser o caso, só restaria tentar um ataque de força bruta sobre a senha de acesso e tentar experimentar alguns zilhões de possibilidades. Pelo que dizem as reportagens, foi o que o FBI tentou fazer, sem sucesso, por meses a fio. Tentaram um ataque de "dicionário", isto é, de posse de um arquivo com algumas muitas e muitas palavras possíveis, experimentaram todas para ver se acertavam a senha. Se a senha fosse algo tolo, como um nome próprio, ou palavra regular de um idioma, possivelmente o FBI teria conseguido decifrar os arquivos após alguns meses de trabalho. De nada adianta a matemática ser boa se o usuário escolhe uma senha fraca...
Mas, se a senha for grande e formada por caracteres aleatórios, e memorizada pelo "dono" do cifrado, fica realmente muito difícil quebrar a proteção. Pelo visto, é o que acontece com os arquivos de Dantas...
Nessa altura dos acontecimentos, acho que o Governo deveria contratá-lo, como consultor de segurança da Receita Federal. Pelo visto, ele sabe bem como proteger um segredo!
Em junho último, a imprensa noticiou (aqui ou aqui) que o FBI devolveu os HDs ao Brasil, sem sucesso. Segundo informado, os discos estão cifrados com o Truecrypt... hum... parece que é mesmo um osso duro de roer!
O Truecrypt é um software de criptografia de código aberto, qualidade que é normalmente incompatível com portas traseiras (pois poderiam ser descobertas por quem examinasse o código). Nem quem produz o programa tem condições de abrir arquivos cifrados com ele. Na verdade, qualquer um com conhecimento bastante em criptografia ou criptoanálise teria as mesmas possibilidades de quebrar o cifrado que o autor do software, já que todas as instruções do programa - sua maneira de operar, portanto - são públicas. E essa chance é próxima de zero. E só quem cifrou tem a senha, não há uma "chave-mestra" (o que seria uma das possíveis formas de "porta traseira").
Já experimentei o Truecrypt. Tenho-o instalado aqui... É um software bastante respeitado no universo de segurança da informação. Ele cria discos virtuais criptografados. Daí, "abre-se" o disco, salva-se o que quiser nele, como se fosse um disco comum, e uma vez fechado é um bloco intransponível a quem não tiver a senha de acesso.
Além disso, o Truecrypt fornece um recurso extremamente complicado para quem pretenda obrigar o "dono" do cifrado a abri-lo (seja por coação legal, supostamente "boa" se não estivermos falando de uma ditadura, seja por coação física ou moral feita por um criminoso): ele cria - ou não, pois isso é um recurso opcional - um disco virtual cifrado dentro de outro disco virtual cifrado, cada um com uma senha diferente. Como se fosse uma caixa dentro de uma caixa. Se usada a senha da "caixa" externa, ele a abre, sem dar indícios de que há uma "caixa" criptografada dentro dela (pois o disco interno, cifrado, é indistinguível de dados aleatórios do espaço não ocupado da "caixa" externa). É possível, então, deixar ali arquivos não tão importantes, como se esses fossem o objeto da proteção. Aparentemente, é impossível provar que há outro cifrado dentro do cifrado. É impossível provar se o usuário usou ou não usou esse recurso da "caixa dentro da caixa". Coagido - legal ou ilegalmente - a fornecer a senha, o usuário pode simplesmente entregar a senha do cifrado externo.
Por sua vez, se usada a senha da "caixa" interna, o Truecrypt a abre diretamente.
Conforme eu disse naquele post de 2008, se a criptografia fosse mesmo boa, como parece ser o caso, só restaria tentar um ataque de força bruta sobre a senha de acesso e tentar experimentar alguns zilhões de possibilidades. Pelo que dizem as reportagens, foi o que o FBI tentou fazer, sem sucesso, por meses a fio. Tentaram um ataque de "dicionário", isto é, de posse de um arquivo com algumas muitas e muitas palavras possíveis, experimentaram todas para ver se acertavam a senha. Se a senha fosse algo tolo, como um nome próprio, ou palavra regular de um idioma, possivelmente o FBI teria conseguido decifrar os arquivos após alguns meses de trabalho. De nada adianta a matemática ser boa se o usuário escolhe uma senha fraca...
Mas, se a senha for grande e formada por caracteres aleatórios, e memorizada pelo "dono" do cifrado, fica realmente muito difícil quebrar a proteção. Pelo visto, é o que acontece com os arquivos de Dantas...
Nessa altura dos acontecimentos, acho que o Governo deveria contratá-lo, como consultor de segurança da Receita Federal. Pelo visto, ele sabe bem como proteger um segredo!
sábado, 4 de setembro de 2010
Segurança tecnológica ou perfumaria?
Há uma tendência em nossos dias de supor que, usando alguma tecnologia moderna qualquer (e quanto mais moderna, melhor), é possível incrementar a segurança de qualquer coisa. Às vezes, isso mais parece fruto da intervenção de interesses econômicos, para desovar no mercado tecnologias interessantíssimas que ninguém parece disposto a comprar espontaneamente. Meu lema nesse assunto é a imbatível frase de Bruce Schneier: "se você pensa que a tecnologia pode resolver seus problemas de segurança, você não entende nem de tecnologia, nem de seus problemas". E, como ele costuma dizer, segurança é um processo, é uma corrente, não é um produto. Sendo uma corrente, é tão resistente quanto seu elo mais fraco.
Pois leio nos jornais online que os vereadores de Campinas aprovaram o uso de pulseiras eletrônicas nas maternidades para, segundo se diz, "evitar sequestros ou desaparecimentos de recém-nascidos". Há algo de equivocado nesse raciocínio, pois o argumento, lustroso à primeira vista, evidentemente não fecha. Diante de situações tão dolorosas, sempre se pergunta com indignação: quem pode ser contra evitar o sequestro de indefesos recém-nascidos? É o primeiro passo para demonizar a crítica.
Se a pulseira pretende evitar o sequestro, estou a me perguntar de que material é feita. Aço? Fibras de carbono? Porque se for feita de qualquer coisa que possa ser quebrada com um bom alicate, parece claro que um sequestrador não será suficientemente idiota para deixar a pulseira no sequestrado. Mas, claro, já tive nenezinhos e sei que tais materiais não parecem muito apropriados para o seu corpo e pele delicados.
Até pode ser que, no início, alguns desavisados sejam pegos pelo "eficiente" sistema, mas assim que se souber que há uma pulseira eletrônica nos bebês, quem quer que tente sequestrar um saberá desde logo que é necessário neutralizá-la.
Mas, mais do que isso, para levar um bebê que não é seu para fora da maternidade, suponho que seja necessário concorrer uma porção de falhas de segurança: alguém consegue acesso ao berçário, sai com um nenê pelos corredores e, pior, consegue passar por uma portaria e levá-lo porta afora do hospital. Se fosse para usar tecnologia, câmeras internas de vigilância (claro, com um vigilante 24 horas na outra ponta) que impedissem o acesso indevido ao berçário (onde, supõe-se, já deveria ter alguém trabalhando permanentemente porque nenês não podem ficar sós), além de um controle eficiente nas portarias talvez sejam muitíssimo mais úteis do que - sem fazer nada disso - acreditar que bugigangas eletrônicas no pulso ou tornozelo das crianças resolvam o problema por si sós.
Se é para evitar a troca de nenês... bem, já se coloca neles uma pulseira "analógica". Se erros grosseiros de funcionários ocasionam a troca dessas, não há porque supor que a eletrônica não será também trocada.
A Câmara de São Paulo aprovou medida semelhante, vetada - com razão, em minha opinião - pelo Prefeito. Diz a matéria que, "no veto, o prefeito relata que, consultada, a Anvisa informou não haver no mercado produto testado e registrado". Pois é... vejam vocês que nem sequer existe produto suficientemente testado no mercado. Apaixonados pelo problema, aprovaram por lei o que nem existe.
A experiência tem me demonstrado que nossos legisladores por vezes aprovam o uso de tecnologia apenas movidos pela relevância da questão em tese e pelos bons motivos declarados no projeto, mas sem minimamente especular se e como a coisa funciona e se a tecnologia empregada é mesmo capaz de resolver o problema, ou se não vai criar outros novos problemas. É uma pena. O Legislativo deveria ser o foro mais adequado para esses juízos de conveniência e para um debate mais amplo.
Outro exemplo desse tipo de pseudo-segurança é a instalação obrigatória de GPS nos automóveis. Como medida de segurança, assim como as pulseiras nos nenês, servirá para pegar alguns punguistas desavisados enquanto o produto ainda for novidade. Sabendo que todos os carros terão um localizador, o antenado puxador de veículos também fará um "investimento" em tecnologia para sua "profissão" e comprará por 50 reais um bloqueador de sinal.
O equipamento, então, só servirá para rastrear pessoas honestas que circulam nos seus próprios veículos, deixando uma sombria margem de manobra para pensamentos totalitários, ou para bandidos em geral se infiltrarem nos serviços de rastreamento e localizarem suas vítimas com a ajuda do satélite. Sim, porque a primeira preocupação que me vem à mente, quando penso em um serviço desses é: quem é o funcionário dessas empresas que tem acesso à minha localização? Quanto ganham por mês? Em que condições foram selecionados e contratados?
Não dá para encerrar esse texto sem falar de outra tolice tecnológica, ainda mais cara e inútil: a tão propalada biometria que o TSE está instalando nas urnas eletrônicas. Contra o que isso pretende atuar? Segundo se diz, foi implantada para evitar que mesários desonestos, ao final do dia, votem pelos ausentes, ou que alguém consiga se fazer passar por outrem e votar duas vezes.
Há um problema nesse modelo. O primeiro é que sistemas de controle biométrico têm uma margem razoável de falhas e a eleição só acontece naquele dia. Não parece muito democrático que um falso negativo impeça o eleitor de votar no dia da eleição e o TSE sabe bem disso. Por isso, o sistema prevê que o mesário - excepcionalmente, claro!!! - autorize o eleitor a votar, se ele for mesmo ele (!?) mas o leitor biométrico disser o contrário... Parece inútil, não parece?
Em contrapartida, nossas digitais estarão digitalizadas (se permitem a expressão) em alta resolução e armazenadas em uma dessas bases de dados que o Estado brasileiro é incapaz de proteger. Daqui a alguns anos, será possível adquirir as digitais de todos os brasileiros em algum disco blue-ray vendido pelos camelôs do centro de São Paulo.
Considerando que em uma eleição o voto é anônimo e, no fundo, importa menos saber quem é quem do que impedir o eleitor de votar duas vezes, alguns países adotam solução bem mais barata: tinta indelével. E, claro, não há democracia sem participação popular e FISCALIZAÇÃO.
Há anos, desde a implantação das urnas eletrônicas, querem convencer os brasileiros que a tecnologia, por si só, vai resolver todas as fraudes eleitorais. Mas é claro que a tecnologia não é capaz disso! Em contrapartida, tornaram inútil e desinteressante a fiscalização eleitoral pelo povo e pelos partidos, provocando uma indesejada desmobilização, em prejuízo dos valores democráticos. Parece ser mais importante votar em dois minutos, sem filas, e voltar correndo para a praia do que PARTICIPAR do processo eleitoral! É a pasteurização da democracia.
Contra mesários desonestos, a presença do povo e dos fiscais partidários é a melhor solução, ou, se for para adotar tecnologia, uma pequena câmera que registrasse a movimentação na sala de votação os inibiria de entrar novamente atrás do biombo. O uso de biometria nas urnas é mais uma ilusão, a se somar à pseudo-segurança da própria urna.
Pois leio nos jornais online que os vereadores de Campinas aprovaram o uso de pulseiras eletrônicas nas maternidades para, segundo se diz, "evitar sequestros ou desaparecimentos de recém-nascidos". Há algo de equivocado nesse raciocínio, pois o argumento, lustroso à primeira vista, evidentemente não fecha. Diante de situações tão dolorosas, sempre se pergunta com indignação: quem pode ser contra evitar o sequestro de indefesos recém-nascidos? É o primeiro passo para demonizar a crítica.
Se a pulseira pretende evitar o sequestro, estou a me perguntar de que material é feita. Aço? Fibras de carbono? Porque se for feita de qualquer coisa que possa ser quebrada com um bom alicate, parece claro que um sequestrador não será suficientemente idiota para deixar a pulseira no sequestrado. Mas, claro, já tive nenezinhos e sei que tais materiais não parecem muito apropriados para o seu corpo e pele delicados.
Até pode ser que, no início, alguns desavisados sejam pegos pelo "eficiente" sistema, mas assim que se souber que há uma pulseira eletrônica nos bebês, quem quer que tente sequestrar um saberá desde logo que é necessário neutralizá-la.
Mas, mais do que isso, para levar um bebê que não é seu para fora da maternidade, suponho que seja necessário concorrer uma porção de falhas de segurança: alguém consegue acesso ao berçário, sai com um nenê pelos corredores e, pior, consegue passar por uma portaria e levá-lo porta afora do hospital. Se fosse para usar tecnologia, câmeras internas de vigilância (claro, com um vigilante 24 horas na outra ponta) que impedissem o acesso indevido ao berçário (onde, supõe-se, já deveria ter alguém trabalhando permanentemente porque nenês não podem ficar sós), além de um controle eficiente nas portarias talvez sejam muitíssimo mais úteis do que - sem fazer nada disso - acreditar que bugigangas eletrônicas no pulso ou tornozelo das crianças resolvam o problema por si sós.
Se é para evitar a troca de nenês... bem, já se coloca neles uma pulseira "analógica". Se erros grosseiros de funcionários ocasionam a troca dessas, não há porque supor que a eletrônica não será também trocada.
A Câmara de São Paulo aprovou medida semelhante, vetada - com razão, em minha opinião - pelo Prefeito. Diz a matéria que, "no veto, o prefeito relata que, consultada, a Anvisa informou não haver no mercado produto testado e registrado". Pois é... vejam vocês que nem sequer existe produto suficientemente testado no mercado. Apaixonados pelo problema, aprovaram por lei o que nem existe.
A experiência tem me demonstrado que nossos legisladores por vezes aprovam o uso de tecnologia apenas movidos pela relevância da questão em tese e pelos bons motivos declarados no projeto, mas sem minimamente especular se e como a coisa funciona e se a tecnologia empregada é mesmo capaz de resolver o problema, ou se não vai criar outros novos problemas. É uma pena. O Legislativo deveria ser o foro mais adequado para esses juízos de conveniência e para um debate mais amplo.
Outro exemplo desse tipo de pseudo-segurança é a instalação obrigatória de GPS nos automóveis. Como medida de segurança, assim como as pulseiras nos nenês, servirá para pegar alguns punguistas desavisados enquanto o produto ainda for novidade. Sabendo que todos os carros terão um localizador, o antenado puxador de veículos também fará um "investimento" em tecnologia para sua "profissão" e comprará por 50 reais um bloqueador de sinal.
O equipamento, então, só servirá para rastrear pessoas honestas que circulam nos seus próprios veículos, deixando uma sombria margem de manobra para pensamentos totalitários, ou para bandidos em geral se infiltrarem nos serviços de rastreamento e localizarem suas vítimas com a ajuda do satélite. Sim, porque a primeira preocupação que me vem à mente, quando penso em um serviço desses é: quem é o funcionário dessas empresas que tem acesso à minha localização? Quanto ganham por mês? Em que condições foram selecionados e contratados?
Não dá para encerrar esse texto sem falar de outra tolice tecnológica, ainda mais cara e inútil: a tão propalada biometria que o TSE está instalando nas urnas eletrônicas. Contra o que isso pretende atuar? Segundo se diz, foi implantada para evitar que mesários desonestos, ao final do dia, votem pelos ausentes, ou que alguém consiga se fazer passar por outrem e votar duas vezes.
Há um problema nesse modelo. O primeiro é que sistemas de controle biométrico têm uma margem razoável de falhas e a eleição só acontece naquele dia. Não parece muito democrático que um falso negativo impeça o eleitor de votar no dia da eleição e o TSE sabe bem disso. Por isso, o sistema prevê que o mesário - excepcionalmente, claro!!! - autorize o eleitor a votar, se ele for mesmo ele (!?) mas o leitor biométrico disser o contrário... Parece inútil, não parece?
Em contrapartida, nossas digitais estarão digitalizadas (se permitem a expressão) em alta resolução e armazenadas em uma dessas bases de dados que o Estado brasileiro é incapaz de proteger. Daqui a alguns anos, será possível adquirir as digitais de todos os brasileiros em algum disco blue-ray vendido pelos camelôs do centro de São Paulo.
Considerando que em uma eleição o voto é anônimo e, no fundo, importa menos saber quem é quem do que impedir o eleitor de votar duas vezes, alguns países adotam solução bem mais barata: tinta indelével. E, claro, não há democracia sem participação popular e FISCALIZAÇÃO.
Há anos, desde a implantação das urnas eletrônicas, querem convencer os brasileiros que a tecnologia, por si só, vai resolver todas as fraudes eleitorais. Mas é claro que a tecnologia não é capaz disso! Em contrapartida, tornaram inútil e desinteressante a fiscalização eleitoral pelo povo e pelos partidos, provocando uma indesejada desmobilização, em prejuízo dos valores democráticos. Parece ser mais importante votar em dois minutos, sem filas, e voltar correndo para a praia do que PARTICIPAR do processo eleitoral! É a pasteurização da democracia.
Contra mesários desonestos, a presença do povo e dos fiscais partidários é a melhor solução, ou, se for para adotar tecnologia, uma pequena câmera que registrasse a movimentação na sala de votação os inibiria de entrar novamente atrás do biombo. O uso de biometria nas urnas é mais uma ilusão, a se somar à pseudo-segurança da própria urna.
Assinar:
Postagens (Atom)