sábado, 11 de fevereiro de 2012

Antissegurança - AntiSec: Mais que “Merdas & Risadinhas”


8/2/2012, Anonymous, AnonNep
Traduzido pelo pessoal da Vila Vudu

Para ler mais artigos sobre os Anonymous na redecastorphoto basta inserir o termo Anonymous na barra  Pesquisar este blog e clicar Enter. Todos os artigos com esta etiqueta aparecerão na tela.


@OxbloodRuffin, autodescrito “hackerativista, escritor, flaneur, membro do grupo pioneiro de ativistas de internet “Cult Of The Dead Cow” [Culto da Vaca Morta], não é muito grande fã do movimento Anonymous, mas volta e meia oferece conteúdo (ou comentário) interessante sobre eles pelo Twitter.

Um link recente para artigo da revista Forbes article foi tipicamente negativo, mas incluía citação intrigante de Michael Moran, diretor assistente para segurança cibernética da Interpol:

“… a multidão de ativistas de “merdas-e-risadinhas” que se escondem sob a marca LulzSec de hackers, de fato vivem provocando a lei. São difíceis de rastrear. Não é fácil localizar sua presença física. E as unidades policiais, de Moscou a São Paulo e a Mountain View, Califórnia, não têm recursos suficientes para derrotá-los.”

E continua:

“Não conheço uma única unidade policial que não esteja dedicando 110% de sua capacidade a esse caso (...). Estão sobrecarregadas. Não sei de uma que tenha os recursos necessários. E é coisa muito complexa. É preciso recorrer a empresas de segurança privada, como a Symantec. Não é fácil para a lei, pôr a mão nesses pirados cabeludos. A segurança online é a coisa mais importante. Lutamos por isso. A internet foi criada como rede confiável. Estamos tentando preservar essa confiabilidade, remendar o que, afinal de contas, é uma rede confiável que está fora de controle”.

Moran de fato deveria dizer que Lulzsec, AntiSec e grupos relacionados não poderiam operar, se a internet, a “rede confiável”, já não tivesse sido destroçada pelas empresas privadas de “segurança” como Symantec, à qual Moran recorre em busca de socorro.

Primeiro, porque não há como evitar vulnerabilidades a serem exploradas. Qualquer rápida gugleada de “AntiSec” mostrará exemplos e mais exemplos de informações que jamais teriam sido obtidas, se as ‘empresas privadas de segurança’ fizessem o trabalho que são pagas para fazer. Moran parece sugerir, isso sim, é que estão “tentando preservar” que “empresas privadas de segurança como Symantec” continuem a falhar; e que os consumidores, sejam indivíduos ou empresas, continuem a ser otários. E isso por acaso seria uma internet “como rede confiável”?

Além disso, como o velho papo conservador dos anos 1950s idealizados, que só existiram em anúncios de publicidade, Moran dizer que a internet “está fora de controle” implica que, em algum ponto indefinido do tempo, ela esteve sob controle. Ou, pelo menos, sob controle de um ponto de vista policial.


Dia 27/12/2011, a revista New Scientist publicou Dot-dash-diss: The gentleman hacker’s 1903 lulz. Como o título já diz, a primeira “multidão de ativistas de “merdas-e-risadinhas” que se esconde sob a marca LulzSec de hackers” já estava ativamente distribuindo o lulz  [1], há mais de um século. 


Aconteceu durante uma demonstração pública encenada pelo inventor Guglielmo Marconi, do telégrafo sem fio. Marconi, na Cornualha, devia enviar mensagens em código Morse para o médico John Ambrose Fleming, posto ante um público ansioso na sala de conferências do Royal Institute em Londres. A demonstração foi montada para divulgar a tecnologia e provar que podia ser usada para enviar mensagens a longas distâncias, sem fios (nesse exemplo, uns 400 km). Mas antes de o evento começar oficialmente, um hacker enviou suas próprias mensagens:

“…só se ouvia uma mesma palavra, repetida e repetida: “Ratos”. Conferiram-se os sinais numa impressora de sinais em Morse, e a palavra foi confirmada. Depois, a mensagem ficou mais pessoal, zombando de Marconi: “Há um jovem italiano, que está enganando direitinho o público” – zombava alguém. Depois, algumas citações pertinentes, mas rudes, de frases de Shakespeare.

A mensagem calou-se momentos antes da chegada dos sinais de Marconi, de Poldhu. A demonstração continuou, mas o dano estava feito: se alguém podia intrometer-se na frequência do telégrafo sem fio, daquele modo, evidentemente a coisa não era, nem de longe, tão segura como Marconi dizia. E provavelmente era também possível ouvir mensagens supostamente privadas.”

A reação de John Ambrose Fleming, com traços do mesmo ultraje hiperbólico usados até hoje pelos que se opõem ao lulz, ou que apenas estão no polo receptor do lulz, foi descrita no momento em que acontecia:

“O professor, furibundo, escreveu imediatamente aos jornais, denunciando os invasores malfeitores como “hooligans científicos”, pedindo ao mundo em geral que encontrasse os culpados e lhe entregassem os nomes, e ele, o professor, em pessoa – faria alguma coisa horrível contra os bandidos”.

Alguns dias depois, o próprio culpado decidiu apresentar-se – chamava-se Nevil Maskelyne, mágico por profissão e entusiasta da tecnologia sem fio, e um amigo seu, não identificado. E Maskelyne explicou suas ações, em termos que ainda hoje fazem perfeito sentido:


Jornal da época publicou: “Não explicaram como conseguiram interferir na transmissão, mas aparentemente se tratou de mandar correntes de alta tensão para a terra, o que rapidamente mostrou aos “malfeitores” que, se quisessem, “poderiam ter arruinado completamente a demonstração do Prof. Fleming”, o que, ao que parece não era seu objetivo.

O Sr. Maskelyne argumenta que o que fez foi justa manifestação de “fairplay”. “Todos devem lembrar”, diz o Sr. Maskelyne, “que o Prof. Fleming é consultor especialista empregado da empresa Marconi, e que outros sistemas de telegrafia sem fio estarão sendo severamente prejudicados pelo que nos está sendo mostrado como grande feito e feito exclusivo da empresa Marconi. Talvez as autoridades do governo reajam com ideias mais abertas do que os propagandistas da empresa Marconi gostariam que todos nós víssemos.”

De 1903 até hoje. A conversa de Moran da Interpol sobre “empresas privadas de segurança como Symantec”. 

Enquanto eu escrevia aqui, @AnonymouSabu, de AntiSec, tuitou sobre a recente publicação do código fonte da Symantec PCAnywhere, na página The Pirate Bay:

[Box] De: anonumouSabu The Real Sabu / resposta para @777productions:

Vejam o grande quadro: uma empresa de segurança vem mentindo aos seus consumidores nos últimos 8 anos, e foram descobertos.

Em quase 112 anos, mudaram, de fato, os argumentos de fundo da multidão de ativistas de “merdas-e-risadinhas” que se escondem sob a marca LulzSec de hackers? 

A internet como “rede confiável” de Moran jamais existiu. O que temos – o que sempre tivemos – são as empresas Marconi Company e sua turma, até hoje, todas alegando os feitos e realizações mais incríveis, as “alegações mais extravagantes”, e, ao mesmo tempo, simultaneamente, escondendo, ou ignorando, vulnerabilidades potencialmente incapacitantes.
E, dito mais uma vez: para que se explorem vulnerabilidades, é preciso que, antes, as vulnerabilidades existam.

Ou, como Paul Marks escreve na revista New Scientist:

“Nos nossos dias, muitos hackers acabam por expor tecnologias cheias de falhas e lapsos de segurança, exatamente como Maskelyne fez. Um pouco de transgressão sempre teve suas virtudes”.

No pouco mais de um século, entre Maskelyne e hoje, aconteceram mudanças. Não há menção, nas matérias de 1903, de a Polícia ter invadido a casa de Maskelyne, ou de ter apreendido seu transmissor de telégrafo sem fio; ele não foi preso nem impedido de usar o código Morse enquanto aguardava julgamento.

Segundo a linha do tempo do Washington Post sobre o governo dos EUA e a ciber-segurança, The U.S. Government and Cybersecurity, a lei pioneira da moderna legislação sobre “cybercrimes” foi proposta pelo senador Democrata de Connecticut, Abraham A. Ribicoff, em 1977. Ele apresentou a Lei Federal para Proteção dos Sistemas de Computadores [Federal Computer Systems Protection Act], “que visa a definir os “crimes de computador” e recomenda penas para esses crimes. O projeto de lei não foi aprovado”.

Depois disso, a legislação que tenta regular a internet e seus usuários multiplicou-se em todo o mundo. Políticos, encorajados por lobbyistas trabalhando em causa própria, engoliram versões da “rede confiável que está fora de controle”, de Moran. Mas a legislação que eles propõem só fará aumentar cada vez mais a desconfiança, exigindo que se conservem arquivos de atividade, movimento que pressupõe que um usuário da internet, mais dia menos dia, acabará fazendo algo de ilegal.

O pensamento simplório de muitos que se identificam como “Chapéus brancos” [orig. “White hats”] ou “ProSec” [pró segurança] é eco do conceito de Moran, de “uma rede confiável”. Implica que, se a multidão de ativistas de “merdas-e-risadinhas” que se escondem sob a marca LulzSec de hackers parar de criar o problema, não será preciso ampliar a legislação.

Postado recente de @krypt3ia - Game Theory, Anonymous Causality, and 2012 [Teoria dos jogos, Anonymous e 2012] – ilustra o risco desse tipo de mentalidade:

Tenho assistido a essa tragédia grega que se viu ao longo do ano passado e, francamente, não vejo qualquer resultado que interesse a alguém. Dá sempre nos mesmos resultados, e nenhum, me parece, é bom resultado:
·        
·        AntiSec vai ficando cada vez mais ousado, atacando cada vez mais frequentemente, à medida em que ganha mais poder/sinergia com mais seguidores e mais gente querendo ajudar.
·        
·        O governo continua a tentar prender os jogadores. Alguns serão presos, e haverá julgamentos.
·        
·        Os julgamentos farão aumentar a indignação, e o pessoal de AntiSec atacará alvos cada vez mais selecionados para humilhar e comprometer os argumentos da acusação das autoridades contra os hackers.
·        
·        Serão aprovadas leis que restringirão cada vez mais a internet e a privacidade que todos temos o direito de ter.

Mas @krypt3ia, e outros, nessas análises redutoras de “causas e efeitos”, não conseguem explicar adequadamente o aumento exponencial desse tipo de legislação em todo o mundo.  

AntiSec (e LulzSec, antes), até muito recentemente, foi movimento apoiado predominantemente por, e constituído em, um número relativamente pequeno de países. Embora sempre tenha havido grande número de participantes, a maioria das ações eram, basicamente, contra alvos nos EUA e na Grã-Bretanha, com algumas ações também dirigidas para o norte da Europa, Austrália, Itália, Turquia e Espanha. 

O crescimento no número de Anonymous e de ações de hacking nas últimas semanas, em vários países, só aconteceu em resposta a propostas de leis (como a ACTA) ou a ações policiais pelo mundo (como os ataques e as prisões de pessoas ligadas à página MegaUpload). A ideia de legislar cada vez mais difundiu-se por causa de uma posição ideológica adotada, primariamente, pelos EUA, e difundida por causa da influência que os EUA exercem sobre seus parceiros comerciais.

É também difícil de entender como violações da liberdade de expressão nos termos das leis ainda vigentes – como a situação, na Grã-Bretanha, de Paul Chambers, que luta para não ser condenado à prisão por ter escrito, numa mensagem pelo Twitter, de brincadeira, que “vou explodir esse aeroporto coberto de neve, se não reabrir logo”, porque queria viajar para ver a namorada – possam ser atribuídas a hack-ativistas. 

A decisão de começar a usar nessa direção a Lei de Comunicações de 2003 [Communications Act] é, outra vez, decisão ideológica e – pode-se argumentar, se se considera a quantidade de tuites semelhantes que não levaram ninguém à cadeia na Grã-Bretanha – completamente arbitrária. (Chambers espera o resultado da apelação que encaminhou à Suprema Corte, contra sua condenação. Acompanhe nossas publicações. Daremos notícias.) 

Se AntiSec tiver efeito significativo sobre a legislação, é possível que seja efeito muito distante do que muitos “Chapéus Brancos” da pró-segurança esperam. Molly Sauter, pesquisadora do Centro de Mídias Sociais do MIT [Center for Civic Media at the Massachusetts Institute of Technology], é citada num artigo publicado em CBC Canadá hoje:

Várias pessoas nos EUA e Grã-Bretanha foram presas, acusadas de participar nos ataques DDoS relacionados a WikiLeaks, contra a empresa PayPal e empresas de cartões de crédito, o que pode levar à discussão sobre leis para computadores que muitos observadores, inclusive Sauter, consideram claramente repressivas.

Sauter observou que manifestantes presos em protestos nos EUA, como nos movimentos Occupy, raramente são acusados formalmente. Mas um ataque DDoS politicamente motivado é tratado como crime grave, como se fosse crime de chantagem, para efeitos de extorsão.

Sauter culpa a linguagem vaga em que está redigida a Lei contra Fraudes e Abusos por Computador [orig. Computer Fraud and Abuse Act], a qual, diz ela, levou os acusadores a “excessos” nos casos de ataques DDoS.

“Estamos vendo atos de ativismo digital, tratados e processados como se fossem crimes de computador, não como atos de manifestação de discurso político. É assustador e, na minha opinião, erro inacreditável de interpretação” – disse ela.

A pesquisadora disse também que a Alemanha já reconheceu, no seu sistema judiciário, que ataques DDoS podem ser forma válida de protesto político.

“Mas ainda não vimos essa jurisprudência fixada nos EUA” – disse ela. “Tenho alguma esperança de que venha a acontecer, mas pouca esperança, e nada de imediato”.

Também não espero nada para já, mas quando se recorda a longa história, de mais de um século, da multidão de ativistas hackers de “merdas-e-risadinhas”, acho que o melhor ainda está por acontecer.

Links Citados:





Nota dos tradutores
[1] Sobre “lulz”, ver 2/1/2012, “Anonymous 101: Introdução ao “Lulz, Quinn Norton, Wired (em português) 

Nenhum comentário:

Postar um comentário

Registre seus comentários com seu nome ou apelido. Não utilize o anonimato. Não serão permitidos comentários com "links" ou que contenham o símbolo @.