maio 09, 2017

[Segurança] Precisamos reconquistar nossa privacidade

Preocupado se algum dia conseguiremos conquistar a nossa privacidade online, eu apresentei na última CryptoRave uma nova versão da minha palestra sobre "A NSA e o fim da privacidade".




Fruto da hiperconectividade dos dias atuais, nós desenvolvemos uma dependência e um forte hábito de se expor exageradamente nas redes sociais. Ou seja, as nossas informações pessoais podem ser facilmente encontradas online, por qualquer pessoa, a qualquer momento.

Sabendo disso, governos e ciber criminosos exploram facilmente essa grande quantidade de informações online para identificar e rastrear pessoas. Frequentemente temos novas revelações sobre as capacidades quase ilimitadas de espionagem e vigilantismo da NSA e da CIA. O governo americano, em particular, tem como estratégia fazer uma captura irrestrita e indiscriminada de dados: para eles, é mais fácil capturar todas as comunicações e, conforme a necessidade, posteriormente procurar dados sobre pessoas específicas no meio dessa massa de dados capturada. Quer achar uma agulha num palheiro? Então leve o palheiro para casa.


Além disso, novos mega-vazamentos de dados pessoais são notícia comum e fazem a festa dos ciber criminosos, que tem dados pessoais de bilhões de pessoas a sua disposição para cometer fraude.

Nesse cenário, como poderíamos conseguir proteger a nossa identidade e nossa privacidade?


Há diversas tecnologias que nos ajudam a proteger nossa privacidade, desde ferramentas que utilizam criptografia para proteger a nossa navegação (TOR, SSL), nossos e-mails (GnuPG) e nossos arquivos, como ferramentas e plugins específicos para proteger nossa navegação online.

Entretanto, os usuários finais, leigos, raramente utilizam estas ferramentas. As vezes não basta criar ferramentas com melhor usabilidade, nem tentar educar os usuários, pois acredito que há uma mistura entre a dificuldade tecnológica (comum entre os usuários com mais idade), associada a necessidade de se super expor online (comum entre os jovens). Além disso há o "efeito manada": muitas das tecnologias para proteger a nossa privacidade exigem seu uso por todas as pessoas envolvidas no seu uso. Precisamos de uma adoção massiva para algumas ferramentas serem utilizadas. Não adianta, por exemplo, enviar um e-mail criptografado para uma pessoa que não tenha a mesma ferramenta para desencriptar a mensagem. Não adianta utilizar uma rede social ou um aplicativo de comunicação supostamente mais segura, se todos os seus amigos utilizam apenas o Facebook e Whatsapp.

Uma alternativa talvez seja criarmos identidades distintas, de acordo com a necessidade e uso - e evitar qualquer associação entre elas. Ou seja, dependendo do site ou serviço que utilizamos, poderíamos optar por colocar dados pessoais mais incompletos ou imprecisos. Poderíamos criar contas de e-mail distintas, uma principal e algumas secundárias ara uilizar em cadastros menos importantes. E ter uma conta de e-mail única e excusivamente para utilizar para recuperação de senha.

Na maioria dos sites e serviços que utilizamos, não há necessidade de nos cadastrarmos com nosso nome completo. Talvez só o primeiro nome e um sobrenome seria mais do que suficiente. Em alguns serviços, poderíamos nos cadastrar usando apenas um pseudônimo. Poderíamos evitar de fornecer nossos dados pessoais, como data de nascimento, RG e CPF, fornecendo números falsos ou errados. Por exemplo, ao utilizar um site que usamos muito esporadicamente, poderíamos nos cadastrar com um e-mail secundário e fornecer nosso nome incompleto.

Estas medidas acima são fáceis de serem adotadas e ajudam a proteger um pouquinho mais a nossa privacidade. Há uma pequena linha tênue entre proteger a nossa identidade e cometer um crime de falsidade ideológica (artigo 299 do Código Penal). Se o objetivo não é causar dano a ninguém, apenas proteger nossa identidade, não há crime.
Falsidade ideológica
Art. 299 - Omitir, em documento público ou particular, declaração que dele devia constar, ou nele inserir ou fazer inserir declaração falsa ou diversa da que devia ser escrita, com o fim de prejudicar direito, criar obrigação ou alterar a verdade sobre fato juridicamente relevante:
Embora ocultar parcialmente nossas informações pessoais podem não ser suficientes para nos proteger contra uma organização profissional e aparelhada como os governos, ao menos elas podem nos ajudar muito contra o roubo criminoso de identidade. É muito comum que ciber criminosos usem informações encontradas online para tentar acessar outros sistemas que possam ser usadas por suas vítimas. Usam informações para tentar obter acesso usando, por exemplo, ataque de "password guessing" uma vez que vários usuários usam o mesmo e-mail e senha para vários cadastros. Ou usam nossas informações em golpes de engenharia social, como phishing sofisticados, tentar se passar pela vítima junto ao call center de uma empresa, etc.

Minimizando nossas informações online, dificultamos a vida dos governos e, principalmente, dos ciber criminosos.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.