08/09/2011

Manipulando as redes sociais

Jillian York. Notícia tirada de Esquerda.net (aqui).


Imagem de andrelemos.info

Pela constante ameaça da vigilância e até por saber que publicar a foto errada no Facebook pode levar à prisão de alguém – ou a coisa pior –, durante muito tempo os activistas adoptaram medidas para minimizar os riscos, se autocensurar, usar ferramentas especiais como Tor (que permite comunicações anónimas na internet), ou ficar fora de determinadas redes.

Lamentavelmente, não ocorre apenas com alguns activistas que carecem da habilidade técnica necessária, mas, inclusive, os melhores podem ser vítimas de regimes mais hábeis. Por exemplo, em Dezembro, tão logo começou a gestação do levantamento na Tunísia, os activistas notaram que as suas contas no Facebook estavam em perigo. Alguns perceberam que faltava informação nas suas contas, o que levou os responsáveis pela rede social a investigar e, finalmente, redirigir os usuários para uma versão mais segura do site (https).

O incidente pode ter animado o Facebook a tomar a decisão de passar todos os seus utentes para essa versão segura. No final de Fevereiro, cada um dos registados nessa rede pôde optar por uma segurança maior. Contudo, como ilustram dois incidentes ocorridos nos últimos dias, a sua sensação de segurança pode ter sido prematura. Os dois últimos episódios mostram que há um jogo de gato e rato aparentemente perpétuo entre os utentes de redes sociais que vivem sob regimes autoritários e esses mesmos governos.

O regime sírio e os seus partidários planearam e implantaram durante meses novas formas de ter como alvo os utentes de redes sociais que se expressavam a favor da oposição. A campanha incluiu desde inundar os hashtags (grupos de mensagens sobre o mesmo tema) do Twitter com vínculos não relacionados até alterar sites da oposição. Embora tenham sido informados vários incidentes de manipulação de sites no Facebook, nenhum se confirmou.

O Information Warfare Monitor informa sobre uma nova tentativa de montar um ataque contra opositores sírios. Embora se desconheça os responsáveis, os ataques foram lançados em Twitter contra utentes do Facebook. Segundo o informe, os culpados divulgaram pelo Twitter um link numa tentativa de atrair seguidores para um vídeo no Facebook que, na realidade, conduzia a uma página falsa desta rede social. Depois, se o usuário se registasse, os seus dados eram capturados e a informação da sua conta ficava em perigo.

Este tipo de ataque, seja lançado pelo regime ou por outros actores, é básico quanto ao seu alcance, mas pode ser devastador para um usuário que nunca resguardou os seus dados no Facebook e muito devastador para um activista cuja conta contenha informação privada ou contactos delicados. De todo modo, este tipo de ataque é ínfimo se comparado com um que foi descoberto no Irão.

Em consequência da Primavera Árabe e do desenvolvimento de ferramentas para tornar a rede mais segura, a escalada de riscos fez aumentar a pressão sobre as plataformas das redes sociais para que oferecessem conexões criptadas, proporcionando aos usuários um modo menos vulnerável de terem acesso a elas.

Após o ataque tunisino, o Facebook estendeu serviços criptados optativos aos seus usuários, enquanto o Twitter começou a oferecê-los e já estão disponíveis como opção. A maior parte dos programas de correio electrónico baseados na web também oferece uma navegação segura.

Quando um usuário visita esses sites, confia nas Autoridades de Certificação, centenas de empresas que assinam os certificados que supostamente garantem a navegação segura. Porém, o que ocorre se apenas uma dessas autoridades é usada para emitir um certificado fraudulento? Esse certificado pode ser usado para comprometer sites que o público considera seguros.

Em 29 de agosto, um usuário iraniano do Gmail (do Google) informou sobre um alerta do navegador Chrome (também do Google) que indicava a presença de um certificado falso. Um comunicado do Google reconheceu que os principais afectados foram usuários iranianos, e que o certificado fraudulento fora emitido em 10 de Julho por uma Autoridade de Certificação chamada DigiNotar. Embora por muito tempo os críticos do sistema de certificação temessem a possibilidade desse tipo de ataque, esta é a primeira vez que se regista.

Nos últimos dois meses, os iranianos que tentaram aceder sites criptados do Google, entre eles o Gmail, podem ter sido vigiados, ficando os seus dados (incluindo senhas e qualquer actividade realizada e registada num site) disponíveis para o atacante. Por sua vez, o Google divulgou um comunicado recordando aos usuários a importância de manterem os seus programas actualizados e prestaram atenção aos alertas dos navegadores. A Mozilla, que produz o navegador Firefox, e a Microsoft também comunicaram a situação aos seus usuários.

Embora o ataque iraniano tenha sido muito mais sofisticado do que o cometido contra os usuários sírios do Facebook, ambos tiveram o mesmo objectivo: apoderar-se de dados de usuários numa tentativa de silenciar ou colocar em perigo aqueles que discordam dos atacantes.

As autoridades sírias utilizaram contas do Facebook de pessoas detidas, por exemplo, para rastrear outros activistas. Outro tanto aconteceu no Bahrein, enquanto no Irão foram informadas Inspeções Profundas de Pacotes, utilizadas para esmiuçar em e-mails, chamadas pela internet e outras actividades online. Activistas dos três países foram detidos, presos e, nalguns casos, torturados.

Críticos do sistema criptografado e de certificação se centraram por muito tempo nas ameaças aos usuários médios. A Electronic Frontier Foundation (para a qual trabalho) mostrou-se preocupada com o facto desses incidentes poderem generalizar-se, indicando que o sistema de certificação criado há décadas, “numa era em que se pensava que a maior preocupação quanto à segurança na rede era proteger os usuários da interceptação do número do seu cartão de crédito”.

Estes últimos ataques lançaram luz sobre o quanto podem ser sérias as ramificações para os usuários em países como Irão e Síria, onde as autoridades costumam usar os meios sociais para silenciar os opositores. Quando um regime adquire a capacidade de controlar grandes sectores de usuários, não precisa usar os caros métodos tradicionais para identificar e espiar pessoas.

Portanto, é imperativo que a comunidade da segurança e as Autoridades de Certificação, em particular, se consciencializem quanto às implicações mundiais das suas tecnologias: há vidas em jogo.

Nenhum comentário: