Tudo começou com a revelação - através do vazamento de documentação secreta - de que a empresa de telecomunicações Verizon repassava para a NSA (National Security Agency) e o FBI (Federal Bureau of Investigation) informações referentes a ligações telefônicas de milhões de clientes. Autoridades responderam que a vigilância tem seu foco apenas nos números de cada aparelho e na duração das chamadas, não no conteúdo das conversas. Sei.
E aí descobriram que prestadores de serviços de tecnologia/internet também estavam na jogada. Microsoft, Yahoo!, Google, Facebook, Paltalk, AOL, Skype, YouTube, Apple. E Dropbox na mira. De acordo com o combinado, agentes da inteligência americana poderiam acessar e-mails, áudios, vídeos, fotos e arquivos transferidos dos usuários. Apareceram notas oficiais dessas companhias sobre o assunto e, para variar, aconteceu como naquela frase da abertura do Arquivo X, só que mudando o sujeito: "Corporações negam ter conhecimento."
Infelizmente, ponto para a equipe dos paranoicos e conspiracionistas.
Mr. Obozo, 44º chefão da Casa Branca, saiu-se com esta: "We have to make choices as a society. It's important to recognize that you can't have 100% security and also then have 100% privacy and zero inconvenience." Até que faz sentido. Mas seria uma boa hora para pensar nos limites dessa política e recordar o célebre dito atribuído a Benjamin Franklin, o vovô da pipa: "Those who sacrifice liberty for security deserve neither."
Houve um senador democrata de uma sinceridade cavalar: "Everyone should just calm down... this isn't anything that is brand new." Desde a época do desastrado George W. Bush que a terra das estrelas & listras vem sendo submetida a controversos procedimentos de monitoração, reações provocadas pelos ataques de 11 de setembro de 2001. Tais medidas tiveram que passar por votação no Congresso e foram postas em prática após aprovação da maioria dos parlamentares. Defensores creditam a essa espionagem sistemática a façanha de ter desmantelado em 2009 os planos de um atentado a bomba ao metrô de Nova York.
Simpatizo com vários momentos da história dos EUA. Mas esse novo escândalo de abuso de confiança remete-nos a episódios tão feios e vexaminosos quanto a crise de Watergate e o programa MK Ultra.
Registrou-se um disparo nas vendas do popular romance 1984, de George Orwell. É uma ficção científica distópica famosa por criações sinistramente plausíveis como o onisciente déspota Big Brother e o invasivo equipamento teletela. O enredo mostra os perigos de um aparato de olhos e ouvidos do rei que se volta contra as pessoas que ele em tese deveria proteger.
* * *
Com essa polêmica toda, lembrei o tempo em que eu cursava a disciplina de Redes na faculdade (4º semestre). Em certa aula no laboratório de informática, fomos apresentados ao interessante programinha Wireshark, o qual rapidamente apelidamos de "o barbatana". Colocamos a mão na massa e aplicamos conceitos do modelo OSI de camadas hierárquicas. Na ocasião, utilizamos o software para observar as mensagens de protocolos que são trocadas durante uma comunicação cliente-servidor. Ali vimos como era assustadoramente fácil hackear dados e bisbilhotar máquinas conectadas entre si. Porque malandragem as técnicas do inimigo a gente aprende na escola. O texto relacionado a uma das séries de exercícios dizia:
Vamos tentar visitar um local na web que é protegido por senha e examinar a seqüência de mensagens HTTP trocadas com este local. O URL http://gaia.cs.umass.edu/ethereal-labs/protected_pages/HTTP-ethereal-file5.html é protegido por senha. O usuário é "eth-students" (sem as aspas), e a senha é "network" (novamente, sem as aspas). Então vamos acessar o local protegido por senha. Faça o seguinte:
- inicie o navegador web, certifique-se de que o cache seja apagado
- inicie o Wireshark
- inicie a captura de pacotes (Ctrl+I, depois clique no botão Start)
- copie e cole o URL no navegador: http://gaia.cs.umass.edu/ethereal-labs/protected_pages/HTTP-ethereal-file5.html
- pare a captura de pacotes (Ctrl+E), e digite "http" na caixa de texto de especificação de filtro, para que apenas as mensagens HTTP seja exibidas
Vinham umas questões a respeito da experiência. E a seguir:
O nome de usuário (eth-students) e a senha (network) que você digitou foram codificados na cadeia de caracteres (ZXRoLXN0dWRlbnRzOm5ldHdvcms=) após o cabeçalho "Authorization: Basic" na mensagem HTTP GET. Parece que o nome e senha estão criptografados, mas na verdade estão simplesmente codificados em um formato denominado Base64. O nome do usuário e a senha não estão criptografados. Para ver isso, vá para http://www.hcidata.info/base64.htm, copie e cole o texto ZXRoLXN0dWRlbnRzOm5ldHdvcms= e pressione Convert to ASCII. Você traduziu de Base64 para ASCII, e desta forma consegue ver o nome de usuário e a senha. Sabendo que alguém pode baixar o Wireshark e capturar pacotes (não somente os próprios), e alguém pode traduzir de Base64 para ASCII, deve estar claro para você que o uso de senhas apenas em locais na web não garantem segurança, a não ser que medidas adicionais sejam tomadas.
Não tema! Como veremos no capítulo 7, há meios de fazer o acesso WWW ser mais seguro. Contudo, nós claramente precisamos de algo que vá além do framework básico de autenticação HTTP.
