À medida que ficamos sabendo de cada vez mais detalhes acerca da espionagem do governo, parece cada vez mais temerário confiar nossa segurança a terceiros empresariais.

O estado requer que a informação acerca de seus súditos seja útil para os resultados desejados. Desde o primeiro censo no Egito, há mais de 5.000 anos, os estados buscaram informação pessoal acerca de seus cidadãos, especialmente em estados tirânicos, onde informantes e polícia secreta coletam informação acerca de qualquer e toda atividade potencialmente subversiva. Na era da Internet e do estado espreitador, agências de espionagem coletam informações acerca de nós que fariam a NKVD de Stalin morrer de inveja — muito dela ingenuamente entregue via mídia social. Quando o estado espreitador será extinto depende do palpite de cada um mas, enquanto isso, quanto menos úteis forem os dados coletados a nosso respeito, menos eficaz será o controle do estado sobre nós. Para ativistas, o uso de comunicação privada ou anônima em países do primeiro mundo poderá ser a chave para evitar prisão preventiva. Em lugares como Síria, torna-se questão de vida e morte.

Inicialmente eu tive a esperança de que empresas como a Google acorreriam em socorro, por meio da implementação de poderosos sistemas de criptografia; infelizmente parece cada vez mais improvável que corporações comprometidas com acionistas e envolvidas com o governo possam criar, eficazmente, serviços da espécie. Embora essas grandes empresas, com seus alentados lucros e seus orçamentos para lobby, estejam provavelmente na melhor posição para revidar ao estado espreitador, são também as que mais têm a perder se não cooperarem ou fingirem cooperar.

A Lavabit, de Ladar Levison, era serviço de email semisseguro. Em agosto, Levison fechou a Lavabit citando ameaças e interferência do governo. Observadores especularam que Levison havia recebido uma Carta de Segurança Nacional exigindo dados de cliente, provavelmente do denunciante da Agência de Segurança Nacional – NSA Edward Snowden. Recentemente deslacrado documento de tribunal mostra ter sido expedido mandado para obtenção da chave do protocolo de segurança SSL do serviço Lavabit. Tal chave permite conexão segura criptografada entre usuário e servidor. Ter acesso a essa chave daria ao governo acesso em tempo real a informações enviadas ao site pelos usuários. Isso, por sua vez, permitiria ao governo coletar credenciais de login e ter acesso a emails criptografados dos 400.000 clientes da Lavabit.

Muito louvavelmente, Ladar Levison resolveu fechar a Lavabit — negando acesso às comunicações privadamente armazenadas dos clientes da empresa. Esse tipo de postura baseada em princípios éticos não é a regra. Levison não tinha acionistas aos quais prestar contas. Ele respondia a si próprio e a seus clientes. Não podemos esperar que grandes corporações tecnológicas como a Google, que projeta imagem pública de estar do nosso lado e em verdade tenta dar divulgação ao intrometimento do governo, efetivamente enfrente o governo quando compelidas por lei. Outras empresas, como a Microsoft, parecem entusiasmadas com colaborar com a NSA e outros órgãos governamentais de espionagem.

Ora bem, o que significa tudo isso para nós? Está tudo contra nós? Não! Temos que tomar o problema em nossas próprias mãos. Há uma multidão de projetos livres e de fonte aberta e padrões abertos para criptografia. Do que entendemos, a NSA tem quebrado criptografia por meio de coerção e subversão, não por meio de tentativas de atacar cruamente os números e decifrar os códigos. Muito provavelmente, ainda podemos confiar na matemática.

Quando um projeto é de fonte aberta, seu código fica aberto para escrutínio. Ele pode ser examinado pormenorizadamente e podemos saber exatamente como faz o que faz. Embora a maioria de nós não tenha conhecimento técnico para examinar o código de programa específico para esquadrinhá-lo antes de compilá-lo, pesquisadores e acadêmicos fidedignos podem fazê-lo e esquadrinhá-los para nós. Portanto, podemos estar cientes de vulnerabilidades em potencial do software de criptografia e saber os limites de suas aptidões. Quando nos comunicamos usando PGP, por exemplo, estamos usando padrão aberto. Não precisamos confiar nossa comunicação a uma empresa que poderá ter sido coagida pelo governo a comprometer nossa privacidade. Com PGP, estamos de posse de nossachave privada e ninguém outro poderá ser forçado a entregá-la. O projeto Tor, por causa de sua complexidade, não é tão claro. Por causa de sua natureza distribuída, há mais oportunidades de vulnerabilidade, mas o projeto é de fonte aberta e suas fraquezas em termos de exploração que dele tire proveito estão documentadas e, portanto, temos como entender seus limites.

As conclusões a que temos de chegar são no sentido de que estamos nisso juntos. Se resolvermos usar serviço de empresa que afirme ser tal serviço seguro, teremos de estar cientes de que o serviço poderá ser comprometido a qualquer momento — não por meio de força bruta, mas mediante força coercitiva. Com software de criptografia de fonte fechada não há como avaliar ou confiar nas afirmações do desenvolvedor. Quando usamos software de criptografia de fonte aberta, podemos tornar-nos conhecedores de suas limitações e usá-lo acordemente.

Segurança na Internet é responsabilidade nossa.

Artigo original afixado por William Sheppard em 26 de outubro de 2013.

Traduzido do inglês por Murilo Otávio Rodrigues Paes Leme.