Você está seguro? (02/2002)

Artigo publicado na revista do Linux em 02/2002, discutindo a questão da privacidade e segurança de dados digitais com ênfase especial em um assunto que teve sua repercussão na época, mas que não trouxe (será?) maiores impactos.

O Magic Lantern era uma espécie de keyloger e cracker que seria utilizado pelo FBI para ter acesso a dados confidenciais de usuários de computador.

---------
Você está seguro?

Não há certezas absolutas quando o assunto é segurança de dados digitais. A resposta adequada para a pergunta do título poderia ser “provavelmente sim” ou “provavelmente não”. O que muda é a medida abstrata da sua segurança, que você adquire a partir da análise dos processos envolvidos na geração, transmissão e armazenamento dos dados que vamos chamar de “grau de certeza”.

O mais curioso desta situação é que se exige do profissional envolvido em segurança digital a certeza absoluta quando esta é impraticável. Todos os processos existentes estão sujeitos a falhas por serem projetados, implementados, executados ou supervisionados por seres humanos. Alguém aqui acredita na perfeição do ser humano? Ótimo, acho que todos concordam comigo quando digo que “não se pode ter certeza absoluta da segurança de dados”, mas apenas uma idéia do “grau de certeza”.

Depois de analisar todos os seus processos e as formas com que se auditam o que as pessoas envolvidas estão fazendo, como você auditaria o que o seu computador está fazendo? Se todos os seus dados estão em um sistema operacional proprietário sendo processados, armazenados e transmitidos por programas proprietários, como você poderia adicionar este item ao seu grau de certeza? Você confia plenamente nos produtos proprietários que adquire?

Um dos maiores méritos da Internet é não impor fronteiras para a informação, mas países continuam tendo fronteiras e continuarão ainda por muito mais tempo do que qualquer animal terrestre seria capaz de esperar pra ver. E a maioria das empresas da qual você compra seu software proprietário está em outros países.

Os Estados Unidos estão muito empenhados em se assegurar de que podem ter acesso a informação que possa ser essencial para sua segurança e têm aparecido com sistemas como o Echelon para o monitoramento de telecomunicações, o Carnivore para monitoramento do tráfego de Internet e, agora, o Magic Lantern.

O Magic Lantern é um software que procura identificar e armazenar senhas usadas em criptografia, de modo que se possa decodificar mensagens secretas, armazenadas ou enviadas a partir de um computador.

O que mais causa espanto no Magic Lantern é o modo pouco ortodoxo com que ele poderia ser instalado. Em vários artigos se divulgou que ele usaria os mesmos truques comuns em vírus de internet e se propagaria por e-mail. Como se isto não bastasse, vários fabricantes de antivírus declararam que não detectariam a presença do Magic Lantern se ele fosse comprovadamente uma ferramenta oficial usada de acordo com a lei (de lá).

Qual o grau de confiabilidade do software antivírus, se somente o fabricante pode decidir o que ele detecta ou não? Se uma ferramenta da justiça (de lá) se utiliza de uma falha de um sistema operacional para poder ser instalada, qual será o interesse em se corrigir essa falha? Melhor, se é um uso legítimo e legal (lá), pra que usar uma falha do sistema operacional? Será que seria possível um acordo para incluir tal software diretamente em sistemas proprietários? Como você, ou qualquer outro (aqui), saberia?

Eu, quando tenho dúvida sobre algo que executo, vejo o código fonte do que estou executando ou peço para alguém com mais conhecimento olhar. E quem usa software proprietário, como procede? Como você pode ter certeza do que o computador está fazendo ou permite a alguém fazer?

Se você usa software livre, tem métodos para fazer seu “grau de certeza” tender para o sim, senão... “provavelmente”.

Para saber mais
Artigo na MSNBC
Artigo no The Register
Artigo no Slashdot

Eduardo Maçan
macan arroba debian.org

Comente de volta!