Nos últimos meses, fomos tomados de assalto pelas notícias sobre o monitoramento eletrônico feito pela NSA, de acordo com as denúncias feitas por Edward Snowden. O Brasil foi veemente em seus protestos, e agora outros países, como o México, a Alemanha e a Espanha estão seguindo o mesmo caminho.Porém, nem todas as notícias divulgadas são verdadeiras ou procedentes, e tenho lido uma profusão de besteiras escritas a respeito do assunto. Por isso, como profissional de TI com experiência em segurança de redes e de aplicações, me senti na obrigação de escrever a respeito, para tentar clarear um pouco as coisas. Como o assunto é um pouco extenso, vou dividir os textos e tentar publicar pelo menos um artigo por semana.
Todo o problema começou, é claro, no 11 de Setembro e na “caçada” ao terrorismo iniciada pelo governo americano. Mas houve ainda um sério agravante, o USA PATRIOT Act (abreviação de "Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001"). Essa foi uma lei aprovada pelo congresso americano em 2001, no governo de George W. Bush, na esteira da comoção causada pelo atentado às torres gêmeas.
Entre as ações permitidas pelo Patriot Act estão a invasão de lares, a espionagem de cidadãos, interrogatórios e torturas de possíveis suspeitos de espionagem ou terrorismo, sem direito a defesa ou julgamento. Na prática, o ato suprime as liberdades civis. É o instrumento legal que permite ao governo dos Estados Unidos obter qualquer informação sobre qualquer pessoa, como também adotar medidas de vigilância e espionagem. Tudo o que antes era condenado pelos EUA quando ocorria em outros países, passou a ser permitido, dependendo somente de algum órgão de inteligência suspeitar que a pessoa está envolvida em alguma atividade terrorista. Tecnicamente, eles precisam fazer uma solicitação à “Foreign Intelligence Surveillance Court”, porém, todo o processo de solicitação e aprovação de mandados é interno e secreto, e a corte praticamente não precisa prestar contas a ninguém sobre as suas decisões, e nem poderia, pois tudo gira em torno da tal segurança nacional.
Além de permitir a investigação quase irrestrita dos suspeitos, a nova lei também define a obrigatoriedade de colaboração e o sigilo absoluto. Então, qualquer executivo de uma empresa que receba uma solicitação de informações sobre alguém é obrigado a fornecer essas informações, e proibido de divulgar qualquer coisa sobre o assunto. Caso não obedeça, passa a ser considerado como colaborador de um terrorista, enquadrado na lei de segurança nacional, e está sujeito a condenações como prisão perpétua ou mesmo à pena capital. Como esse “incentivo”, dá para imaginar que o governo tenha tido alguma facilidade em obter as informações que precisa, junto a todas as principais empresas que prestam serviços na Internet.
Porém, com a divulgação da espionagem, essas empresas ficaram em uma tremenda saia justa, pois parece que colaboraram espontaneamente, quando na realidade não tiveram outra opção. Não quero defender as empresas, e não faço ideia se elas concordam com a lei, ou se fariam mesmo que não fossem obrigadas, mas neste caso, não podem ser culpadas por isso, pois a colaboração não era opcional. Se olharmos com cuidado o modelo de negócios das empresas, elas normalmente prestam serviços muito baratos ou gratuitos, e sua remuneração é feita através da propaganda embutida nas páginas, ou usando as suas informações para marketing dirigido. Porém, se você parar de acessar e publicar informações, o modelo de negócio deixa de ser viável. Então você pode ter certeza de que todas estão absolutamente apavoradas com o efeito dessas denúncias, pois se pelo menos uma parte das pessoas se sentir ofendida com a quebra da privacidade e deixar de usar os serviços, as empresas simplesmente deixam de existir.
Apesar de normalmente lembramos somente das mídias sociais, existe uma outra categoria de empresa que está na berlinda: os provedores de serviços corporativos em nuvem. Até aparecerem essas denúncias, eles eram a bola da vez da TI, para reduzir custos em infraestrutura. Neste caso, as implicações da violação de privacidade são ainda mais graves, pois ao armazenar dados na nuvem, dados estratégicos de sua empresa podem estar sendo acessados pelo governo dos EUA, incluindo dados de clientes que foram confiados a você, e o cliente pode acabar sabendo da violação e processar a sua empresa pelo vazamento. Então a empresa pode acabar tendo que indenizar os clientes pela bisbilhotice do governo americano. Esse é um mercado que estava em crescimento vertiginosos, e só vamos saber qual foi o efeito real sobre ele, e se os investimentos feitos terão o retorno esperado ou não, daqui há alguns anos.
Normalmente as pessoas pensam somente nas empresas de Internet, e esquecem que o Patriotic Act abrange todas as empresas, então precisamos lembrar das empresas de cartão de crédito e investimentos, seguradoras, empresas aéreas, fornecedores de comunicação por satélite e cabos submarinos, serviços de GPS, empresas de telefonia, etc. Todas as vezes em que você fornecer alguma informação a uma empresa americana, mesmo que ela não esteja sediada nos EUA, essas informações podem estar sendo fornecidas para a NSA.
Mas quem é monitorado, e que informações são coletadas? A princípio, todos e tudo. Quando um ataque terrorista é cometido, ou mesmo que seja evitado, é importante saber todos os passos dos suspeitos, inclusive no passado, para poder identificar outros participantes, e desmontar toda a organização. Isso significa que monitorar alguém a partir de sua identificação como suspeito não adianta muito. Então do ponto de vista de segurança, faz sentido que todos sejam monitorados o tempo todo, para poder cruzar informações em caso de necessidade. Essa é a principal desculpa do governo americano: eles monitoram a todos, mas somente acessam os dados dos que são suspeitos, ou seja, seus dados estão lá, mas inacessíveis e misturados aos dados de bilhões de outras pessoas, então não causam nenhum mal.
Eu até acredito que o programa tenha começado com essa intenção, mas manter um programa desse porte, mesmo com boas intenções, já é uma ação extremamente perigosa. Imagine a situação: você é um senador americano, e sua campanha foi financiada por uma grande empresa que vai participar de uma licitação internacional, e fica sabendo que o governo possui informações que poderiam dar à empresa uma posição de vantagem. A pressão para dar só uma olhadinha rápida nos dados é difícil de aguentar, e acaba virando moeda de negociação política. Não sei se foi isso o que aconteceu quanto à Petrobras, mas é possível que aconteça a qualquer momento.
Outro problema sério é a segurança: como o próprio Snowden deixou bem claro, ele teve acesso quase irrestrito aos dados, e não era um analista especial. Ao contrário, era um analista comum, terceirizado, como centenas de outros que trabalham lá. Então a segurança é precária, o que significa que o banco de dados pode estar sendo acessado por analistas para vender informações ao mercado, ou mesmo a outros países e organizações terroristas. Então nesse caso o tiro pode sair pela culatra. Acredito que esse seja um problema que já deve estar sendo tratado após o vazamento, mas vai continuar sendo sempre um risco.
Agora você já tem uma noção do que está sendo feito pelo governo americano, e porquê. Então é melhor acostumar-se com isso, pois não acredito que esse programa de monitoramento seja revisto, pelos menos em um futuro próximo. Para um país que acredita que pode enviar um avião robô para qualquer lugar do mundo e explodir quem considere culpado, sem julgamento, violando a soberania dos países e matando familiares e vizinhos sem remorsos, não chega ser um ameaça séria. Afinal, como dizem alguns defensores, se você entregou suas informações a outra pessoa, não pode alegar direito à privacidade.
No próximo artigo, vou falar sobre como funciona a comunicação pela Internet, e outras formas de obter informações que também estão sendo utilizadas pela NSA.
Referências:
http://pt.wikipedia.org/wiki/USA_PATRIOT_Act
http://www.justice.gov/archive/ll/highlights.htm
http://www.fastcompany.com/section/the-code-war
Fonte: Luis Nassif online
