"A Privacidade Morreu"

O especialista em segurança Mikko Hyppönen trava uma luta contra a vigilância de governos sobre nossas informações.

|
ago 27 2014, 2:00pm

Prometi que enviaria essa matéria a Mikko Hyppönen assim que ela fosse ao ar. Até brinquei com ele, já que provavelmente não conseguiria ler o texto em português. Sugeri que usasse o Google Tradutor.  "É, eu não odeio tanto o Google", lamentou ele, com um muxoxo na boca, para em seguida lembrar, triunfante, de um serviço alternativo à gigante corporação.

Um dos maiores especialistas em segurança digital do mundo, Mikko acredita que empresas como Google ou Facebook mataram a privacidade enquanto governos e suas agências de inteligência jogaram a pá de cal na cova. Se no primeiro caso permitimos o acesso a nossas informações, no outro somos reféns do Estado que tudo vê e nada fala – especialmente o norte-americano.

"Eles estão numa posição única da qual podem vigiar o mundo inteiro porque utilizamos serviços norte-americanos e nossas conexões passam através dos Estados Unidos", diz ele, pintando um cenário que junta, num único quadro, o Grande Irmão orwelliano aliado a megacorporações supranacionais de Neuromancer. E não há porque duvidar desse cara que mais lembra um fã de doom metal escandinavo com rabo de cavalo.

Pela quinta vez no Brasil, Mikko está no país como principal palestrante do SecureBrasil, maior evento na área de segurança digital. Ele é um dos cabeças da F-Secure, empresa finlandesa dedicada a proteção online, e há pelo menos 20 anos peregrina pelo mundo desvendando armadilhas que estão ocultas pela internet para leigos e nerds. "Hoje é mais provável que você se torne vítima de um crime online do que no mundo real."

No seu início de carreira, Mikko desenvolvia sistemas de defesa contra arquivos maliciosos, como vírus e keyloggers, que até hoje são a maior causa de crimes virtuais. De uns tempos pra cá, no entanto, os casos NSA e Wikileaks colocaram gente de colarinho branco na lista de vilões. "Nos últimos anos, o foco tem sido em governos por causa dessas revelações, coisas que nunca tínhamos visto antes", diz ele.

Hoje é mais provável que você se torne vítima de um crime online do que no mundo real

O finlandês não esquece que, assim como seu país, o Brasil negou asilo a Snowden. "Somos covardes pra caralho!" Ele vê com bons olhos algumas medidas tomadas pelo governo brasileiro após a revelação da espionagem norte-americana em documentos e mensagens da presidenta Dilma Roussef, mas sabe que técnicas de criptografia ou lideranças isoladas não vão adiantar. O buraco é mais embaixo.

"Nós não construímos a internet para ser usada como uma arma de vigilância do Estado", diz ele. Na sua cruzada pela privacidade, algo inalienável segundo a Declaração Universal de Direitos Humanos, o finlandês parece bem decidido a retomar a vocação livre da rede. Mikko acredita em uma saída, mas, se falasse português, talvez dissesse: se correr, o bicho pega, se ficar, o bicho come.

MOTHERBOARD: Você disse uma vez que George Orwell era um otimista. Por quê?
Mikko Hyppönen: Se você ler 1984, a pior coisa que ele imaginava para os cidadãos era uma televisão de via dupla: você assiste TV e ela te assiste. Isso soa muito mal e, quando você pensa, isso já é realidade hoje em dia. A maioria das SmarTVs tem uma câmera, se você tem um Xbox com Kinect é fácil de ele te assistir. Mas hoje em dia nós vamos além disso. Hoje, a tecnologia permite que governos e outros poderes vejam não só o que fazemos, mas onde estamos, o que dizemos e até o que pensamos. Isso se torna claro quando você pensa no Google. Quando você vai a um serviço de busca como esse, você é honesto. Você digita exatamente o que quer, o que pensa. Você é mais honesto com ele que com membros da sua família. Quem quer que esteja na posição de coletar essas informações e salvar essas informações saberá das nossas vidas e poderá nos pressionar para qualquer coisa. Isso me preocupa. Não nos resta mais privacidade.

Você acredita que não temos mais privacidade?
Eu acho que a privacidade morreu.

Por quê? Por causa de softwares e programas como o PRISM ou o Xkeyscore, usados pela NSA para espionagem?
Esses são exemplos. Existem outras causas para essa morte. O negócio de algumas empresas é romper nossa privacidade. É assim que o Google faz dinheiro. Nós não pagamos eles, nós damos nossas informações.

Somos os produtos.
Exatamente. Mas eles não estão fazendo nada de ilegal. Nós demos permissão a eles para fazer isso. A informação que eles coletam às vezes é pública como, por exemplo, em uma postagem do Facebook. O fato de ela ser indexada não muda esse fato. Eu estou mais preocupado com a vigilância feita por governos, como nas revelações de Edward Snowden, em que os Estados Unidos estavam coletando informações de uma quantidade vasta de população do mundo. Eles têm o direito legal de monitorar sua comunicação, a minha comunicação, porque nós utilizamos serviços norte-americanos e somos estrangeiros. Quando você me passa um email ele vai para os Estados Unidos. Imagine que países como a China ou a Rússia estejam em uma posição similar e talvez a situação fosse pior. O que eles estão fazendo é errado, mas acho que, entre todas as opções, se fosse outro país ele teria feito um uso tão errôneo quanto outras superpotências.

Somos estrangeiros, não temos privacidade, não temos direitos

Mesmo depois dos vazamentos feitos por Snowden, agências como a NSA e a GCHQ, do Reino Unido, ainda estão funcionando como antes?
Algumas coisas mudaram. Empresas norte-americanas perderam negócios de clientes de outros países por causa dessas revelações. Microsoft, Google, Apple, Amazon, Dropbox e outras empresas têm enfrentado dificuldades para oferecer seus serviços fora dos Estados Unidos porque nós sabemos o que acontece com os dados. Nenhuma lei foi violada porque o governo norte-americano tem direitos legais de vasculhar seus dados se você os envia para os Estados Unidos, e por isso essas empresas estão perdendo negócios. E eles devem perder negócios. É razoável. Não é culpa das empresas, mas do governo norte-americano. Se o Estado está fazendo isso com suas próprias empresas, bem, elas têm de pagar. Elas estão tentando lutar contra essa perda, mas as agências de inteligência não mudaram muita coisa pra valer. Obama dá várias declarações a esse respeito, sobre como ele está mudando os serviços de inteligência. E ele fez mudanças quanto à privacidade, e isso é bom, mas quando você lê exatamente o que ele prometeu, todas as mudanças valem para cidadãos norte-americanos. Eu não vi nenhuma mudança que tenha afetado a mim ou a você porque nos Estados Unidos não temos direitos. Somos estrangeiros, não temos privacidade, não temos direitos.

E nossos dados estão sob a vigilância deles.
Porque somos estúpidos o bastante para usar o serviço deles. E porque vivemos uma falta de alternativas crucial. Onde estão os serviços de busca brasileiros? Onde estão as redes sociais brasileiras? Onde estão os serviços brasileiros de hospedagem na nuvem? Isso é parte do problema. Eu tentei evitar o Google e é difícil. Vou te contar, é difícil porque os serviços são excelentes! Eu preferia muito mais pagar o Google em dinheiro que pagar com minhas informações, mas eles não oferecem isso. Em alguns casos você até consegue evitar a busca do Google, por exemplo, com o DuckDuckGo. Só que e quanto ao YouTube? Se tem um vídeo e você quer assistir, você tem que usar o YouTube. Não há nada que você possa fazer.

Se eu usar o Vimeo é outro serviço norte-americano.
E o vídeo que você está procurando não está lá. Você tem que ir ao YouTube. E o Google está espalhado em toda a rede. É difícil lutar contra ele. Uma maneira interessante de ver como isso funciona é ver as finanças do Google. Por cima, a receita do Google no ano passado foi de US$ 30 bilhões e o lucro foi de US$ 9 bilhões. Se você dividir isso entre os usuários, num mínimo de 1 bilhão de usuários, você conclui que cada usuário fez mais ou menos US$ 10 pro Google no ano passado sem pagar nada. É isso o quanto ele ganha por pessoa. Eu preferiria pagar do que ter minhas informações reveladas, mas isso não é uma opção.

Você disse que não temos redes sociais, banco de dados, serviços brasileiros. Você acredita que se fizéssemos isso teríamos mais privacidade ou estaríamos nos isolando do resto do mundo?
Não vejo como vocês estariam se isolando do mundo se vocês usassem um sistema de busca no lugar do Google. Não vejo isso acontecendo. Entendo essa preocupação, uma suposta criação de ilhas, mas não vejo assim. Não acho que deveríamos dividir a internet em várias partes. O que eu gostaria de ver são as pessoas jovens aqui ou de qualquer outro país criando novos serviços. Um dos problemas que temos é: toda vez que algum jovem tem alguma boa ideia para algum produto, a primeira coisa que ele faz é se mudar para o Vale do Silício. E aí ele começa seu negócio. Acontece no Brasil, acontece na Finlândia. Acontece em todo o lugar do mundo. Nós deveríamos fazer um trabalho melhor como países para que nossos novos talentos ficassem nos nossos países para que não fornecessem informação a todo o momento para os Estados Unidos.

Eu preferia muito mais pagar o Google em dinheiro que pagar com minhas informações, mas eles não oferecem isso

Recentemente uma pesquisa feita no Reino Unido indicou que muitas pessoas preferiam ter serviços online de graça, mas com publicidade, a ter de pagar por eles para que não tivessem publicidade. Você acha que isso se aplica ao caso da privacidade? Tem muita gente que não acha que é um grande problema a falta de privacidade na rede.
Sim, já ouvi isso. E toda vez, ouço de alguém que ainda não pensou muito sobre isso. Alguém que vai direto ao final. "Ah, eu não faço nada de ilegal, não sou terrorista, não tenho nada pra esconder." Isso é bobagem! Se você pensar a qualquer momento você percebe que a privacidade é algo importante. Te dou um exemplo: a privacidade está prevista na Declaração Universal dos Direitos Humanos. A privacidade não está à venda. A privacidade deveria estar inexorável a esses serviços que usamos. Pessoas que acham que não há problema em serem monitoradas, bem, por exemplo: se você usa o Gmail, não é só você que está sendo monitorado, mas também os emails que outras pessoas trocam com você. Os emails delas também estão sob vigilância. É como o fumante e o fumante passivo: eu fumo e não ligo em pegar câncer, mas você vai pegar câncer porque você é um fumante passivo. O Gmail é como fumo passivo.

Você começou sua carreira trabalhando contra vírus e malwares. Hoje você acha que a gente tem que temer mais criminosos online ou o governo?
Essa é uma boa pergunta. Nos últimos anos, o foco tem sido em governos por causa dessas revelações, coisas que nunca tínhamos visto antes. Isso não é o maior problema, é um problema fundamental, mas não afeta a todos o tempo todo. Se você olhar os problemas do dia a dia, eles são causados por criminosos. 99% das amostras de programas maliciosos que recebemos todos os dias na nossa sede são feitas por criminosos. Isso é um problema, mas ele é compreensível. Por isso a discussão tem sido tomada por questões relacionadas ao governo nos últimos anos, por causa das revelações do Edward Snowden. A bem da verdade, é mais fácil que você seja alvo de um criminoso que do governo.

Dá pra dizer que usar a internet hoje em dia é como andar em alguma movimentada praia brasileira com um monte de jóias de ouro a mostra?
O que aconteceria num caso desses?

Provavelmente você seria roubado.
Hoje é mais provável que você se torne vítima de um crime online que no mundo real. Mesmo se você viver em São Paulo, onde as taxas de crime são altas em comparação a Helsinque, onde vivo. Independente disso, ainda é mais provável que você seja vítima de um criminoso online que no mundo real. Pra mim, é mais provável ainda porque as taxas de crime são baixas onde vivo, mas, online, são as mesmas para mim e para você. A geografia não te protege no mundo online. Você pode ir para a cidade mais segura do mundo e se tornar vítima de um crime online. São os mesmos riscos.

Por que as agências norte-americanas ou de outros países, como o Reino Unido, não sofreram nenhuma sanção mesmo após essas revelações? A presidenta Dilma Roussef fez declarações a respeito quando foi divulgado que ela fora vítima de espionagem, mas ainda usamos o Gmail e acredito que muitos órgãos do governo ainda fazem uso de serviços do Google, por exemplo.
Acho que algumas coisas aconteceram. Não houve nenhuma mudança imediata, mas elas estão em discussão. Uma noção maior sobre esse tema aumentou 1000%. Isso muda aos poucos. E quem dera outros governos demonstrassem tanto ultraje como seu governo demonstrou. Por exemplo, na Europa muitos países simplesmente se calaram, não trouxeram esse tema à tona, o que é inútil. Eles são um bando de covardes. Podemos dizer isso também sobre qualquer país que negou asilo a Edward Snowden. Ele pediu asilo ao Brasil e vocês não deram, pediram ao meu país e nós não demos. Somos covardes pra caralho.

Somos covardes em não encarar os Estados Unidos quanto a esse tema?
Existem muito poucos países no mundo que podem ficar contra os Estados Unidos. Rússia é um dos poucos, por isso eles fizeram o que fizeram: deram asilo a Snowden.

Nós não construímos a internet para ser usada como uma arma de vigilância do Estado

Bem, como nós, usuários comuns, podemos evitar tanta vigilância?
Há duas maneiras de olhar esse problema. Você pode lutar contra ele com tecnologia: tornar suas conexões seguras, usar TOR, usar serviços anônimos, usar VPN, criptografar seu email. Coisas técnicas que tornam o problema menor, mas que não acabam com o problema. E há uma maneira de acabar com ele, de realmente lutar contra ele. Para isso é preciso que as pessoas se levantem e digam "não". É isso o que estou tentando fazer: trazer essas questões para a discussão. Dizer em alto e bom som que as potências estão fazendo coisas erradas, que elas estão usando seu poder de maneira errada. Nós não construímos a internet para ser usada como uma arma de vigilância do Estado. São duas lutas a serem travadas. Na parte mais técnica, temos visto um aumento no número de usuários das ferramentas que desenvolvemos na F-Secure, como o Mobile VPN. A ideia é que todos os seus dados sejam redirecionados para alguns servidores nossos, como no TOR, mas ele também criptografa seus dados. Ele te protege contra vigilância do governo porque seus dados estão criptografados. A questão crucial nos VPNs é que todo o tráfego é direcionado a outro lugar. Tudo que você usa. Mas muitas das empresas que fazem isso são startups, você nunca ouviu falar delas. Nós estamos no mercado há 25 anos e viemos de um país cujas leis de privacidade são muito severas. Nosso serviço de VPN não salva nada da sua navegação. Não temos nada do que você faz. A maneira como as pessoas usam a internet está mudando, mas isso é metade da luta.

Aqui no Brasil, recentemente aprovamos o Marco Civil da Internet. Você acredita que medidas como essas podem ser uma solução contra a vigilância de países como os Estados Unidos?
Não sou jurista, mas te digo isso: as coisas têm ficado sérias e seu governo tem buscado soluções, mas soluções que fazem uso de novas leis reguladoras também podem ser um tiro pela culatra. Você pode sair de uma situação ruim para uma situação pior se você não souber que tipo de regulação está sendo aplicada.

Qual é a solução, então? Código aberto?
Código aberto é algo muito bom e eu exalto esse sistema frequentemente. Na F-Secure, a maioria dos projetos é em código fechado. Isso não é a situação ideal, mas muitas empresas com quem trabalhamos mantêm seus dados fechados, então fazemos assim também. Independente disso, vejo o código aberto como uma solução a longo prazo. É fácil pra mim ver os benefícios do código aberto porque Linus Toward costumava passar no nosso escritório nos anos 90 quando ele estava trabalhando no Linux kernel. Acredito que países que estejam lutando contra vigilância poderiam colaborar entre si para aumentar a segurança de projetos em código aberto, como Linux, Apache, Open SSL. Gastar esforços para verificar esses sistemas e ter certeza que eles não tem vulnerabilidades. Isso é algo que beneficia a todos ao mesmo tempo.

E a curto prazo, o que o governo poderia fazer para acabar com esse estado de vigilância?
Não há soluções simples. Mudanças políticas são imprescindíveis. É preciso dizer em alto e bom som: isso é errado. Seu país está fazendo isso, outros países também. É uma chamada global por uma reação. Tentamos deixar esse assunto na mesa. Estamos trabalhando num programa chamado Digital Freedom para que as pessoas pensem nisso e incomodem os políticos em seus países, mas não há uma maneira fácil de fazer isso. Criptografia, auditoria dos sistemas e armazenamento de dados são soluções, mas eu também falaria isso a qualquer outra empresa.

Não acho que vivemos uma Guerra Fria, mas, sim, estamos numa corrida armamentista

No começo desse ano, a Telebrás divulgou que fará dois novos cabos submarinos para transferência de dados entre o Brasil e a Europa e entre o Brasil e a África. Você acha que isso resolveria alguns dos problemas de privacidade?
Acho que isso é uma ótima ideia! Adoro essa ideia. Provavelmente não pelas razões pelas quais ela nasceu, mas ainda adoro essa ideia. A questão é se esse cabo vai passar pelos Estados Unidos. Se sim, isso não vai manter os norte-americanos longe. Eles vão romper a privacidade se eles acharem que alguma informação nesses cabos é importante, seja usando um dos seus submarinos nucleares no fundo do Oceano Atlântico, seja hackeando algum dos pontos pelos quais esses cabos passam. Contudo, se eles fizerem isso, será ilegal. O que eles fazem agora é legal. Essa é a grande diferença. Quanto maior for o número de pontos conectando continentes diferentes, mais segura e mais rápida a internet será pra todo mundo.

E caso os Estados Unidos fizessem algo desse tipo, certamente haveria questões diplomáticas envolvidas. Talvez houvesse motivo para uma guerra.
Espero que não aconteça isso!

Mas você acredita que vivemos uma situação de ciberguerra silenciosa?
Algo como a Guerra Fria?

Sim.
Não gosto de comparar coisas a guerras quando elas não são guerras pra valer. Não acho que vivemos uma Guerra Fria, mas, sim, estamos numa corrida armamentista. Assim como estivemos nos anos 50 e 60. Não chamaria de guerra, nem ciberguerra. O vírus stuxnet não foi parte de uma ciberguerra porque os Estados Unidos não estavam em guerra contra o Irã. Esse ataque foi uma cibersabotagem. Esse caso foi especial, mas, mesmo assim, não é guerra. Vamos usar ciberguerra quando isso acontecer de verdade. E isso só não aconteceu ainda. A maioria das coisas promovidas por governos atualmente são vigilância ou espionagem. E isso não é guerra. Espionagem acontece durante a paz.

Você já se sentiu ameaçado por causa da sua posição política?
Não vou responder a essa questão. Prefiro não responder a questões sobre segurança do mundo real.

O que devemos esperar para os próximos cinco anos quanto a questões de segurança online?
Algo que é único quanto a esses mecanismos de ataque virtual é que eles estão nas mãos de qualquer governo. Você pode traçar paralelos entre a corrida nuclear e a corrida de armas virtuais, e há analogias, mas a diferença é que as armas nucleares estão nas mãos das potências. Agora, existem dez países com armas nucleares e sabemos quais são. A capacidade digital, ao contrário, está nas mãos de todos os países. Você não precisa ser super desenvolvido para criar esse tipo de capacidade. E há outra diferença: nós só usamos armas nucleares duas vezes em guerras, no mais elas foram usadas como ameaça. As armas virtuais não têm essa capacidade porque não sabemos quem as detêm. Não temos ideia da capacidade digital do Vietnã ou da Suécia. Podemos adivinhar, mas não há como saber. Elas não funcionam como terroristas e isso causará problemas. Pode levar a um aumento de problemas. Nos próximos anos, haverá uma militarização da internet. Toda unidade militar de todo país construirá armas e escudos digitais para ser usado durante a crise. Ter não significa que serão usados, mas o risco está aí.