O Matemático que Quer Proteger a Internet de Criminosos que Ainda Nem Existem

Há um futuro nem tão longe daqui em que mentes como Aaron Swartz estarão ao lado de grandes mártires da ciência, como Alan Turing e Nicolau Copérnico. Aaron, que se suicidou em 2013, foi acusado, processado e condenado seguidas vezes pelo governo americano por suas atividades no mundo da computação. Criador do Reddit e importante ativista dos direitos online, o rapaz também era fã incontestável de Daniel Julius Bernstein – com quem conversamos durante sua passagem pelo Brasil.

Matemático, cientista da computação e criptógrafo, o professor Bernstein teve seus trabalhos comparados a poesia ou dança por Swartz, tamanha perfeição e simplicidade dos códigos que usa. Ele prefere ser chamado por djb, codinome com o qual assina seus trabalhos, cujo destaque fica para o djbdns. A grosso modo, o sistema traduz os números que identificam cada domínio da internet. Sem ele, você teria de memorizar sequências parecida com um RG para cada site que quisesse acessar. E a plataforma do djb é a segunda mais usada no mundo.

"A motivação para criar esse sistema foi muito pessoal. Não gosto de ter programas no meu computador que permitam que ele seja atacado por hackers", me disse ele enquanto conversávamos no saguão do hotel onde ele acabara de palestrar numa manhã de sábado. Sua apresentação tinha passado por um tema muito distante do ano de 2001, quando seu principal software estreou, e além de preocupações atuais para a maioria dos especialistas em segurança digital.

"Daqui a dez anos haverá a computação quântica. E esses computadores poderão quebrar qualquer código que existe hoje na internet." O djb luta uma luta que ainda nem existe, mas que pode ser uma batalha ferrenha entre sistemas de defesa da rede e criminosos com poder de fogo suficiente para utilizar máquinas cada vez mais potentes para seus fins. E isso também afeta a privacidade na rede, algo que, estamos cansados de saber, também tem dedo de governos e órgãos oficiais.

De bermuda e tênis de escalada, djb mantém a postura serena enquanto fala das tretas invisíveis para a maioria de nós, reles usuários de navegadores padronizados, redes sociais gigantescas e serviços de email questionáveis. Ele anda preocupado com o presente dos nossos dados online, o futuro da privacidade, recomenda que usemos o navegador Tor e segue na busca de um sistema criptográfico a prova de ladrões virtuais que apontam no horizonte. "A criptografia precisa sobreviver aos computadores quânticos."

Motherboard: Aaron Swartz foi um dos seus maiores fãs. Em um de seus textos, ele exalta o seu sistema de DNS. Você sabia disso?

Daniel J. Bernstein: Ele estava falando do software de DNS que eu criei, o djbdns. A motivação para criar esse sistema foi muito pessoal. Não gosto de ter programas no meu computador que permitam que ele seja atacado por hackers. Eu uso alguns servidores que precisam, por exemplo, enviar email. Para fazer isso você precisa encontrar o endereço para o qual está enviando e-mail. Isso significar realizar buscas por dns. O principal programa disponível para isso há 15 anos era o Bind, o Buggy Internet Daemon! Na verdade, acho que tem um nome oficial para esse programa, mas ele tem muitos bugs e problemas de segurança. A qualidade do código naquela época era muito, muito, muito ruim. Hoje em dia acho que é um pouco melhor, mas naquela época era muito fácil quebrar o código. Bem, em vez de tentar arrumar isso eu resolvi criar meu próprio software. A maneira mais fácil de saber se o sistema de defesa de um programa é eficiente é deixar outras pessoas usarem ele. Eu poderia testá-lo, ver o que eu não gostava e deixá-lo melhor, mas se eu colocasse ele online, outras pessoas poderiam me dizer o que eu deveria melhorar antes que eu tivesse qualquer tipo de problema.

E até hoje você está melhorando esse software?

Eu estou escrevendo um software novo de DNS, mas agora estou mais focado em fazer um software criptográfico, especialmente para os níveis mais básicos da computação.

Você acha que os usuários comuns usam muitos programas falhos e vulneráveis hoje em dia, assim como o DNS que você encontrou?

Acho que atualmente a situação é até pior que antes. Há 15 anos você ainda podia encontrar se sentar e escrever um novo sistema completamente novo, fazendo coisas certas desde o começo. Hoje existem tantos softwares em que confiamos que são, na média e em termos de segurança, tão ruins quanto os softwares que utilizávamos há 15 anos, às vezes até piores. E as pessoas realmente precisam desses programas. Você não pode dizer pra alguém: ok, desencana do seu navegador, mesmo que seu navegador tenha sido construído de uma maneira incrivelmente ruim. As pessoas precisam do navegador. Eu preciso do navegador.

Então estamos expostos a vulnerabilidades todos os dias por causa desses softwares?

Sim. Os softwares são a principal fonte de vulnerabilidades em sistemas de computadores. Claro que as pessoas podem usar vulnerabilidades de hardware, mas isso é menos frequente, menos óbvio.

E nossos dados pessoais que estão na rede: eles também estão expostos?

A maior parte das coisas que você faz na internet hoje em dia não são criptografadas ou são criptografadas por empresas como o Google. Poucas coisas que as pessoas fazem hoje em dia são criptografadas porque os usuários querem que assim sejam. Por exemplo: quando você visita um site via HTTP ou HTTPS, mas nos dois casos o site sabe que você está lá. E no HTTP qualquer um pode descobrir isso. No HTTPS tem um pouco mais de privacidade, mas também tem problemas. Nos dois casos, o site que você está visitando sabe da sua presença. Se você estiver no Google sua informação estará disponível a qualquer um que pressione ou invada os sistemas do Google.

Você acredita que é perigoso navegar na internet hoje em dia?

Depende do que você entende por perigoso. A maioria das pessoas a maior parte do tempo não enxerga falhas de seguranças óbvias. Se um hacker invadir e atacar computadores destruindo todos os dados certamente isso será manchete em algum jornal ou portal de notícias e as pessoas vão se tocar. Se um hacker quiser acessar um recurso específico de um computador para mandar spam ou pra colher dados ele vai fazer isso de uma maneira que não é óbvia, ele vai se manter invisível. Isso não será óbvio para um usuário comum. Qual o perigo? Bem, depende exatamente de como você mantém seus dados. Se eles estão disponíveis apenas para quem precisa.

É fácil para hackers mal intencionados fazerem isso…

Um exemplo típico acontece no seu provedor de internet. Dependendo do país, pode ser legal ou ilegal, mas seu provedor pode se interessar em vender seus dados de navegação. Você pode acessar algum site sobre diabetes e seu provedor venderá essas informações para uma companhia farmacêutica que queira te vender remédios para diabetes. Pode ser que sua seguradora de saúde também queira ter essas informações. Vamos supor que você vá a uma livraria e tem alguém te olhando o tempo todo. É assim que você deveria se sentir enquanto navega na internet: como se você estivesse numa livraria com uma câmera te seguindo o tempo todo para que suas informações fossem vendidas. Você vê isso o tempo todo com as propagandas na internet.

Como saímos dessa? Devemos todos nos tornar programadores como você?

Soluções boas tem de ser tão simples que ninguém nota que elas estão lá o tempo todo. Há algumas coisas a se fazer também. Você pode usar o Tor. Não é a solução perfeita, mas é muito melhor que navegadores comuns e é razoavelmente rápido.

Mas tem muita gente que tem medo do Tor. Pessoas que relacionam ele exclusivamente a deep web, atividades criminosas, coisas desse tipo.

Sim, tem umas pessoas assustadoras usando o Tor, mas também há outros usos para ele. Por exemplo: grupos envolvidos com direitos humanos na Arábia Saudita, já que o governo de lá não gosta da atividade desses grupos; a polícia de alguns países também usa o Tor para verificar a origem de alguns sites. Existem pessoas que usam o Tor para comprar drogas na Slik Road e você pode dizer que tem gente lá interessada em coisas ilegais, mas eu estou muito mais preocupado em manter a privacidade a pessoas que não possam tê-la de outras maneiras. Se você pensar em criminosos de verdade eles certamente farão da comunicação dele algo seguro. Não é como se os Estados Unidos conseguissem invadir o sistema de comunicação do ISIS. Criminosos se esforçam para manter tudo seguro. O resto de nós que não somos criminoso estamos sendo vigiados o tempo todo e precisamos de algo para uma comunicação segura.

Além do Tor você recomenda alguma outra coisa?

O Tails, um sistema operacional, mas é preciso muito comprometimento para usar. O PGP, Pretty Good Privacy, é um programa que uso algumas vezes, mas ele também não é tão fácil de usar. Ele não é muito bom. Glenn Greenwald, o jornalista envolvido no caso WikiLeaks, reclamou algumas vezes sobre quão irritante e complicado pode ser o PGP. Ele está certo. Precisamos de ferramentas mais simples. Por isso eu acho que existem falhas na criptografias.

Por fim, você acredita que existe privacidade na internet?

Talvez um pouco. Pense na livraria. Você está lá lendo um livro e alguém está te vigiando e inserindo informações sobre você num catálogo. Você tem privacidade? Livreiros dizem que se preocupam com a privacidade, ao menos nos Estados Unidos. Eles dizem que se preocupam que as pessoas leiam o que queiram sem que o governo enfie o nariz onde não é chamado. Isso é um liberdade de pensamento muito importante que eu também penso pra internet. Mas na internet existem muitas outras maneiras de que suas informações sejam acessadas.

O seu desenvolvimento de programas de criptografia seria uma saída para esse problema de privacidade?

Acredito que isso é a ferramenta mais importante que temos, mas ela precisa funcionar junto de outros aplicativos de uma maneira que seja simples para nós usarmos. Precisa ser tão fácil que tem de ser o padrão e atualmente estamos bem longe disso. Uma vez que se torne padrão, as pessoas usarão o tempo todo sem notar e isso trará segurança. Ainda não estamos nisso.

A que você tem se dedicado no momento?

Tenho me esforçado principalmente em finalizar um sistema de camada criptográfica a ponto de ninguém mais ter de pensar nela. Falta pouco para alcançarmos esse sistema com algoritmos de cifra muito cuidadosos, mas daqui a dez anos haverá a computação quântica. E esses computadores poderão quebrar qualquer código que existe hoje na internet. Já existem algumas soluções para isso, mas ainda não são eficientes. Isso se chama criptografia pós-quântica. A criptografia precisa sobreviver aos computadores quânticos. Precisamos de algo que substituía a criptografia por RSA e curvas elípticas [dois modelos utilizados na computação]. Existem algumas ideias atualmente, mas elas não são eficientes. Precisamos de algo rápido e eficiente.

Seu trabalho olha daqui a 15 anos?

Sim. Imagine que você está enviando dados pela internet e isso não está criptografado. Os hackers podem armazenar os dados e, quando tiverem um computador quântico, eles podem quebrar o código. Isso é que chamamos de Forward Secrecy. Pessoas pensam que isso serve apenas para computação quântica num futuro, mas isso não é verdade. Forward Secrecy significa proteger seu computador contra roubos de dados.

Quem devemos temer mais: o governo ou os criminosos?

Eu acho que a gente tem que temer mais os criminosos que tem motivações financeiras. Eles estão invadindo sistemas sem nenhuma aprovação governamental. Acredito que haja muito mais desses que vigilantes do estado, mas não estou muito certo disso. O que me motiva são esses criminosos aleatórios por aí. Proteger usuários contra esses caras, bem, é um trabalho difícil. Se eu conseguir finalizar essa camada criptográfica ainda haverá trabalho por fazer.

Você pretende criar um sistema tão perfeito quanto o djbdns?

É claro que ele não pode ter bugs, mas ele tem muito mais exigências que um sistema de DNS. Ele é difícil de testas. É uma combinação engraçada de funcionalidade e segurança. Se você quer ter certeza que seu sistema criptografico está funcionando, não é possível imaginar toda e qualquer entrada para ele. Você tem que imaginar o que o criminoso vai procurar no sistema. Em segurança de software basicamente é possível ter muita certeza se um programa é seguro se ele for construído de determinada maneira. Não é tão fácil ter essa certeza com criptgorafia. É sempre possível que haja um novo ataque e precisamos ter uma criptografia capaz de resistir a isso. É bem mais difícil que segurança de software.

E cada vez mais difícil em se tratando de computação quântica…

Sim, quando você adiciona isso, a situação é mais difícil. Há algumas semanas foi feito um anúncio no Post-Quantum Cryptography Summer School, um evento que aconteceu na Inglaterra, sobre alguém que estava trabalhando em um supercomputador quântico. Ele disse que poderia fazer uma máquina dessas com US$ 1 bilhão em 15 anos. E era alguém disposto a fazer um anúncio público, em frente de toda a comunidade científica.