domingo, 19 de fevereiro de 2012

Vigilância extrema na internet

Texto publicado em: Le Mond Diplomatique Brasil -

Quando uma ditadura entra em colapso, é difícil entender como ela conseguia se manter. Na Líbia, no Egito ou na Tunísia, a resposta se encontra, em termos, na fiscalização sistemática das comunicações. Esse trabalho é feito graças a produtos de transnacionais que encontram nesses países um lugar p/ testar suas técnicas

Por Antoine Champagne*


Com a vitória da revolução líbia e a queda de Trípoli, várias zonas ocultas do regime ditatorial passaram a ser conhecidas. É o caso de um centro de escuta da população, no qual a jornalista do Wall Street Journal, Margaret Cocker, pôde constatar que tudo era monitorado: internet, telefones celulares, GSM e conexões (de internet e telefone) por satélite. Nas pastas encontravam-se, entre outras coisas, e-mails ou resumos de conversas on-line de opositores ao regime de Muamar Kadafi. Nas paredes do centro, cartazes da empresa que fez as instalações, a Amesys, uma filial da companhia francesa Bull.1 O jornal Le Canard Enchaînérevelou posteriormente que a Direção de Inteligência Militar (DRM) francesa foi convidada a ajudar na formação de “vigilantes” líbios.2

Já na Síria, o equipamento é norte-americano e permite ao regime de Bashar al-Assad censurar a internet e recuperar como bem lhe aprouver a identificação e as senhas dos cidadãos. O objetivo é acessar suas mensagens eletrônicas ou páginas nas redes sociais Facebook e Twitter − um instrumento particularmente eficaz para monitorar um opositor com apoios internos ou externos. As tecnologias utilizadas carregam o doce nome de Deep Packet Inspection (DPI – em português, “inspeção profunda de pacotes”).
Normalmente, assim que um e-mail é enviado, dezenas de máquinas se encadeiam para enviá-lo ao destinatário, contentando-se apenas em observar o endereço de destino. Nenhuma delas vê o conteúdo da mensagem, restringindo-se a transmiti-la diretamente à próxima máquina. De uma em uma, o e-mail chega a seu destino.

Como explica Jonathan Zittrain, especialista em direito da internet, “é mais ou menos como em uma festa de gente educada. Se você está muito longe do bar e há muita gente tentando se aproximar, você pede que seu vizinho lhe passe uma cerveja. Ele então pede ao sujeito ao lado, que está um pouco mais perto do bar, e assim por diante. No final, seu pedido chega ao bar e a cerveja volta pelo mesmo caminho. Como todo mundo é educado, ninguém bebe sua cerveja durante a operação”.3

Com as tecnologias DPI, estabelece-se outra visão da internet, menos educada. Que tal se o vizinho resolvesse analisar seu pedido e começasse a lhe dar um sermão? Ou decidisse mudar o conteúdo de seu copo, colocando água, por exemplo, ou uma bebida mais forte? É isso que permitem as técnicas DPI: ler o conteúdo das conversas, editá-las, enviá-las a outras pessoas...
Nesse mercado, a Amesys não está sozinha.

A Qosmos, outra companhia francesa, acaba de ser denunciada pela Bloomberg. A agência de notícias norte-americana revelou que a empresa fornecia sondas DPI a um consórcio encarregado de equipar a Síria segundo o mesmo modelo da Líbia de Kadafi.4 Na China, as tecnologias DPI são o coração do grande firewall que permite ao governo censurar conversas e espionar cidadãos.

Saber quem baixa o quê

Na verdade, como mostra a recente publicação de diversos documentos internos dessas empresas feita pelo site WikiLeaks, a vigilância das redes de comunicação é “uma nova indústria secreta que cobre 25 países. [...] Nas histórias de espionagem tradicionais, agências de segurança como o MI5 britânico grampeiam o telefone de uma ou duas personalidades interessantes. Na última década, sistemas de vigilância maciça e indiscriminada tornaram-se a regra”.5
Um pouco antes, o Wall Street Journal já havia publicado mais de duzentos documentos de marketing de 36 empresas que ofereciam às autoridades antiterroristas norte-americanas ferramentas de vigilância e invasão.6

Nos Estados Unidos, a DPI teve seu momento de glória em maio de 2006: Mark Klein, ex-técnico da AT&T (grande provedor de acesso à internet norte-americano), saiu do silêncio. Ele denunciou a instalação, na companhia em que trabalhava, portanto, no coração da rede de internet norte-americana, de produtos da empresa Narus. O lema da Narus: “See clearly. Act swiftly” (Ver com clareza. Agir com rapidez). Fundado em 1997, esse editor de tecnologia DPI, com seus 150 funcionários, ganhou US$ 30 milhões em 2006, sendo comprado pela Boeing em 2010. Seus produtos teriam sido instalados no Egito na época de Hosni Mubarak.7

Entre o fluxo de informações que transita pela internet, os operadores de telecomunicações veem passar páginas eletrônicas, mensagens de e-mail, discussões em tempo real, mensagens de voz, vídeos, discussões assíncronas, dados brutos etc. A maior parte desse fluxo é feito às claras, sem criptografia. Portanto, é fácil, tanto para o hacker de domingo como para os serviços de segurança estatais, grampeá-lo.
Mas também há atores privados interessados em tais tecnologias.

Operadoras de telecomunicações como a Free, a SFR e a Orange estão começando a reclamar, porque em suas redes passam massas de dados provenientes de quem não paga pelo transporte. Por exemplo, os provedores de acesso à internet (ISP) não gostam da ideia de pagar pelo tráfego dos vídeos do YouTube que são obrigados a oferecer a seus assinantes. Daí a ideia de cobrar um adicional do emissor dos dados ou do usuário final, ou então desacelerar seletivamente certos fluxos e priorizar outros. Mas, para isso, é indispensável medir com precisão o que passa pelos cabos. Da mesma forma, as operadoras de telefonia móvel decidiram, para tentar limitar custos de infraestrutura, fornecer aos usuários um acesso limitado à internet.

Assim, impedem que os usuários de telefones “inteligentes” compartilhem arquivos P2P ou utilizem ferramentas de comunicação de voz ou vídeo, como o Skype. Também nesse ponto é a tecnologia DPI que permite monitorar e gerir os fluxos, alocar uma “largura de banda” superior para alguns serviços (por exemplo, os que eles editam...). Tudo isso em contradição com o conceito de “neutralidade da rede”, o qual afirma que o papel do provedor de acesso é fazer transitar indiscriminadamente todos os dados solicitados. Aplicada à navegação na web, a tecnologia DPI possibilita criar um rastro de tudo o que se faz.

Os profissionais de marketing esfregam as mãos sonhando com a exploração dessas informações. A Orange chegou a lançar recentemente um pacote fidelidade, baseado no DPI, que propõe, com o consentimento do assinante, analisar os sites que ele visita para lhe enviar ofertas comerciais personalizadas, o que permite que os ISP tornem-se tão rentáveis como o Facebook ou o Google, desde que tais programas de fidelização-vigilância atraiam assinantes – mas basta afirmar que os dados são anônimos para tornar um produto perfeitamente comercializável.

O leitor curioso pode consultar a página Data Privacy do site GFK, grupo internacional de pesquisa de marketingque éacionista da Qosmos. Embora o site mencione, de maneira banal, os cookies dos navegadores de internet, o grupo omite a explicação de que também utiliza, para fazer o “perfil” dos visitantes de sites, uma DPI, “guardando o anonimato” graças a uma receita que só ele conhece. O GFK está presente em mais de 150 países, e não apenas nas grandes democracias...

As DPI também atraem empresas detentoras de direitos de copyright que querem lutar contra o compartilhamento de arquivos “ilegais” nas redes P2P (BitTorrent) ou contra sites de download direto, como o Megaupload. Saber precisamente que internauta tenta baixar um filme ou uma música e conseguir bloquear seu acesso são coisas que só podem ser feitas com uma infraestrutura de vigilância “profunda” e difundida em todo o conjunto de pontos de troca de dados que são os ISP.

Outro mercado natural para o DPI relaciona-se à vigilância legal. A polícia às vezes precisa grampear um indivíduo específico em uma investigação judicial, sob a supervisão de um juiz e, na França, de uma “comissão de controle de interceptações de segurança”. Mas esse é um mercado pequeno, que só toca uma parte ínfima da população. A menos que se espere um aumento drástico dos orçamentos de combate ao terrorismo, parece sensato as empresas do setor procurarem outras oportunidades de negócios.

DPI e, depois, tortura


É aí que intervêm os governos de Estados policialescos, desejosos de colocar a população inteira sob vigilância. Graças a eles, os softwares de vigilância podem ser testados em sua plenitude. Assim, a Tunísia de Zine al-Abidine ben Ali podia contar com descontos para sistemas onde ainda havia bugs,ou problemas no sistema que podem paralisar a transmissão de dados. Para a Amesys, a Líbia foi sem dúvida uma experiência do que pode (ou não) fazer seu software Eagle.8 A Alcatel opera do mesmo modo na Birmânia.9 A exploração dos dados coletados pela DPI facilita as prisões. A tortura faz o resto, com os carrascos utilizando as boas e velhas técnicas que já conhecem e sabem que dão resultado.

Preocupado com a presença maciça de empresas europeias nesse tipo de mercado, o Parlamento Europeu aprovou uma resolução que proíbe a venda no exterior de sistemas de vigilância de telefonemas e mensagens SMS ou de vigilância orientada da internet, nos casos em que eles sejam utilizados para violar os princípios democráticos, cometer abusos contra os direitos humanos ou contra a liberdade de expressão.10

No dia 1º de dezembro de 2011, o Conselho da União Europeia, endurecendo as medidas restritivas contra o regime sírio, proibiu “a exportação de equipamentos e softwares de vigilância de internet e comunicações telefônicas”.

Mas a exportação de produtos de vigilância continua mal enquadrada no plano jurídico. Ainda é muito fácil para os produtores atravessar as malhas da rede, principalmente com a diversidade de legislações. As autorizações concedidas pelo governo não são publicadas, e os softwares desse tipo não são considerados armas stricto sensu.

*Antoine Champagne
Jornalista ( www.reflects.info )

Ilustração: Alves

1 Paul Sonne; Margaret Cocker, “Firms aided Libyan spies” [Empresas ajudaram espiões líbios], The Wall Street Journal, Nova York, 30 ago. 2011.

2 “Des experts des services secrets français ont aidé Kadhafi à espionner les Libyens” [Especialistas do serviço secreto francês ajudaram Kadafi a espionar os líbios], Le Canard enchaîné, Paris, 7 set. 2011; e “Secret militaire sur le soutien à Kadhafi” [Segredo militar sobre o apoio a Kadafi], 12 out. 2011.

3 Jonathan Zittrain, “The Web as random acts of kindness” [A web como uma sequência de atos educados],conferência da Fundação TED, jul. 2009.

4 “Syria crackdown gets Italy firm’s aid with U.S.-Europe spy gear” [Repressão síria ganha ajuda de empresa italiana com equipamento de espionagem norte-americano-europeu], Bloomberg, 3 nov. 2011.

5 WikiLeaks, “The spy files” [Os arquivos espiões], 1º dez. 2011.

6 Jennifer Valentino-Devries; Julia Angwin; Steve Stecklow, “Document trove exposes surveillance methods” [Documento expõe métodos de vigilância], The Wall Street Journal, 19 nov. 2011.

7 Timothy Karr, “One U.S. corporation’s role in Egypt’s brutal crackdown” [O papel de uma companhia norte-americana na brutal repressão no Egito], The Huffington Post, 28 jan. 2011.

8 Ver o dossiê sobre a Amesys no site Reflets.info.

9 Diane Lisarelli; Géraldine de Margerie, “Comment Alcatel se connecte à la junte birmane” [Como a Alcatel se conecta ao governo militar da Birmânia], Les Inrockuptibles, Paris, 26 mar. 2010.

10 “Le Parlement européen interdit la vente de technologies de surveillance aux dictatures” [Parlamento Europeu proíbe a venda de tecnologias de vigilância a ditaduras], Fhimt.com, 11 out. 2011.

Nenhum comentário: