[ANSOL-geral] Re: Da cedência voluntária

[J M Cerqueira Esteves]

On 2016-01-30 13:31, J M Cerqueira Esteves wrote:
> On 2016-01-29 22:47, Graham Seaman wrote:
>> Eu nao quero um sistema resistente a ataques de governos (alias nao acho
>> possivel);
> 
> Eu quero. Todos o devemos querer. Certamento os governos querem-nos
> também (aparentemente em ilusão de conseguirem exclusividade).

Esqueci-me de referir outro ponto, que devia interessar também a
governos --- pelo menos na visão idealizaada de governo como legítmo e
bem-intencionado apêndice protector de uma sociedade.

O ponto é o de agências estatais normalmente invocadas como entidades
que nos "defendem" darem prioridade a capacidades ofensivas, em
detrimento de capacidades defensivas.  Com o que tem transparecido nos
últimos anos, parece atitude dominante e muito difícil de inverter.
Várias agências têm aparecido como excelentes clientes de mercadores de
malware e informação sobre vulnerabilidades.  Não são só maçãs podres
excepcionais, não é só a gigante NSA: é um frenesim planetário que
parece moda entre agências policiais.   E a retórica de "ciber-guerra"
reforça essa mentalidade de 'corrida às armas' a la José Magalhães ("não
ficar desarmado").

Não será surpreendente este modelo encorajar agências a ficarem em
segredo sentadas em cima do maior número de vulnerabilidades, tanto mais
quanto mais 'potentes' forem.  Na hipótese mais benévola, tal sugere uma
esperança bizarra de outros (estados ou criminosos comuns variados) não
descobrirem independentemente os mesmos mecanismos --- ou os comprarem
aos mesmos íntegros fornecedores --- e os usem contra sistemas assim
mantidos vulneráveis no próprio país.

Isto sugere também uma visão muito ingénua de segurança: como que de
bastar construir muros altíssimos à volta de instituições estatais "de
alta segurança".  Mas os muros são atravessados todos os dias por
milhares de humanos, muitos com famílias e amigos.  Quão difícil é
imaginar árvores de ataque a explorar contra uma nação as mesmas
vulnerabilidades açambarcadas pelas agências ditas de "segurança" dessa
nação?

Escrevi "hipótese mais benévola" porque, por mais integridade que
esperemos, mesmo antes de pensar em risco de corrupção sistémica há que
recordar que nem essas agências são sistemas monolíticos nem os alegados
"checks & balances" garantem a integridade sugerida por livros infantis
(e pelas as séries de TV que educam os nossos políticos e jornalistas).
  Um aspecto que tem transparecido de vários testemunhos de
'whistleblowers', desde há vários anos, é o recurso a meios das agências
para, explorando dados obtidos em sistemas de vigilância (quer em
operações bem delimitadas, quer em recolha por atacado), coagir acções
de terceiros, incuindo por chantagem.
Podem dizer-me "venha então chantagem sobre o ditador X, é bem vinda",
até perceberem que nem sempre ela é exercida pela vossa segurança, nem
sempre contra entidades estrangeiras ou criminosos vários, nem sequer
sempre por entidades nacionais ou amigas. [1]

No caso português, é fascinante ver como a nossa lei de "ciber-crime",
criminalizadora de ferramentas e conhecimento, que Manuel David Masseno
alegava ser assim por preocupação contra produtores do software mais
malévolo, terá afinal sido um subtil cavalo de Tróia para satisfazer o
pedido de Fernando Negrão [2] na AR: facilitar às polícias
o recurso a malware
http://sas-space.sas.ac.uk/5718/1/2125-3115-1-SM.pdf
["The use of malware as a means of obtaining evidence in Portuguese
criminal proceedings"]

À luz da revelação de contactos da PJ com a empresa Hacking Team,
e.g.
https://wikileaks.org/hackingteam/emails/?q=Portugal&mfrom=&mto=&title=&notitle=&date=&nofrom=&noto=&count=50&sort=0#searchresult
peço que a brigada "quem não deve não teme" me explique como encontrar
integridade na reacção da PJ:
http://www.computerworld.com.pt/2015/07/10/pj-quis-intercepcao-de-enderecos-ip-da-hacking-team/
«O objectivo de uma plataforma destas "não é para interceptação" de
comunicações – que só podem ser efectuadas com autorização judicial –
mas para análise de fontes abertas, como as redes sociais. O facto da
solução da empresa italiana contornar a encriptação de dados ou
comunicações tem por resposta que há redes sociais que cifram essas
interligações, como a WhatsApp, do Facebook.»

Bastaria a desonestidade que cabe no próprio parágrafo: não é para
interceptar... mas é necessário contornar cifra.  Mas há também a outra,
que naturalmente encaixa nesse "contornar": a de a Hacking Team ser
negociante de vulnerabilidades e malware.  "Fontes abertas"?

É neste quadro de privilegiar capacidades ofensivas que vemos alguém
bastante contido como o Schneier fazer esta afirmação, face a um caso de
cumplicidade academia-estado:
https://www.schneier.com/blog/archives/2015/11/did_carnegie-me.html
«The behavior of the researchers is reprehensible, but the real issue is
that CERT Coordination Center (CERT/CC) has lost its credibility as an
honest broker. The researchers discovered this vulnerability and
submitted it to CERT. Neither the researchers nor CERT disclosed this
vulnerability to the Tor Project. Instead, the researchers apparently
used this vulnerability to deanonymize a large number of hidden service
visitors and provide the information to the FBI.
Does anyone still trust CERT to behave in the Internet's best interests?»

Confiemos pois em pesadas hierarquias de raíz estatal, do MAI até
polícias e CERT, como integridade inabalável a não "temer", e que
trabalha sempre para nós.  Quem não aprende não teme.

jmce

[1] Exemplo: fala-se muito de podridão do FBI nos tempos de Hoover, mas
muito pouco de como modalidades de funcionamento parecidas persistiram
ou regressaram ao próprio FBI.  A quem tiver curiosidade sobre isso,
sugiro espreitar testemunhos de Sibel Edmonds sobre actividades
envolvendo o American-Turkish Council (e muito mais...) e sobre o que
alguns agentes, tentando manter integridade, tiveram de enfrentar até
acabar por saír.

[2]
http://www.dn.pt/portugal/interior/cibercrime-com-penas-desajustadas-1304162.html
Fernando Negrão, durante tantos anos a liderar a Comissão de Assuntos
Constitucionais, Direitos, Liberdades e Garantias.