'Segurança Digital: profissionalização no longo prazo não significa amadorismo no curto prazo' (M.S.)

Cada CR terá a competência de escolher os softwares de comunicação instantânea que desejam? Se sim, é razoável que seja justamente o Whatsapp, nesse caso? Comunicação não deveria ser centralizada a nível nacional?

'Segurança Digital: profissionalização no longo prazo não significa amadorismo no curto prazo' (M.S.)
"Na estratégia de longo prazo para a comunicação, faço coro com os camaradas que dizem que precisamos desenvolver algo independente das empresas de comunicação. Sim, esse é o ideal, e para chegamos lá, acho muito difícil que tais ferramentas saiam de dentro do Partido, sem a contribuição de outras organizações comunistas."

Por M.S. para a Tribuna de Debates Preparatória do XVII Congresso Extraordinário.

Para iniciar essa tribuna, acho necessário a diferenciação entre os termos privacidade e segurança, quando se referem à area da Segurança da Informação. Privacidade refere-se, resumidamente, a como seus dados serão coletados e usados, na maioria das vezes com sua autorização (ao concordar com a política de privacidade de um aplicativo, por exemplo). Enquanto que segurança está relacionada à proteção de seus dados contra acessos não autorizados (um hacker, por exemplo).

Para exemplificar o que foi dito acima, podemos falar que tanto o Whatsapp quanto o Signal são, em teoria, seguros, uma vez que ambos tem criptografia de ponta-a-ponta, autenticação em duas etapas, entre outros mecanismos de segurança. Mas não podemos afirmar que a política de privacidade do primeiro é tão robusta quanto a do segundo, já que o Signal não guarda mensagens em servidores, coleta pouquíssimos metadados, não registra IP do usuário entre outras medidas que daria para continuar citando [1]. Por sua vez, o Whatsapp reúne uma quantidade enorme de dados do usuário, que vão desde o endereço IP até o histórico de localização, sempre com a possibilidade dessas informações serem entregues a agências governamentais. Outra informação que vale mencionar é que o Signal tem todo seu código aberto, passando por auditorias frequentes e sempre publicando relatórios de transparência. O mesmo não podemos dizer sobre o Whatsapp, havendo a possibilidade das nossas mensagens serem guardadas em seus servidores, assim como as chaves criptográficas. Várias das medidas de segurança mencionadas acima para o Signal, podem ser estendidas ao ProtonMail, com as devidas adequações ao tipo de serviço oferecido.

Esses conceitos são importantes para embasar nossas decisões sobre quais escolhas iremos fazer para centralizar a comunicação em nossa militância. Já ouvi diversas vezes de camaradas que “não faria diferença entre nos comunicarmos usando o Whatsapp ou o Signal, pois ambos são desenvolvidos em países centrais do capitalismo” ou que “ambos usam o mesmo modelo de criptografia ponta-a-ponta”. Para responder a essas afirmações, focarei apenas no âmbito da segurança e privacidade digitais, não entrando na seara sobre a poluição de informações que o Whatsapp gera no dia-a-dia, nem como esse aplicativo geralmente seria o primeiro lugar onde uma terceira pessoa vasculharia caso tivesse acesso indevido ao dispositivo de um militante. Primeiramente, sobre a questão da origem do desenvolvimento de cada software: aplicações como Gmail e Whatsapp tem sede nos EUA, país que faz parte da FIVE EYES [2], aliança de países para cooperação de inteligência, além da facilidade do governo em ter acesso às informações coletadas por meio desses softwares. O Signal, até onde pude averiguar, não possui um local determinado para o seu servidor, pois o mesmo estaria na nuvem. Enquanto que o ProtonMail é sediado na Suíça, que possui uma legislação que dificulta mais o acesso de dados dos usuário, assim como não faz parte da aliança de inteligência mencionada acima.

Em relação à questão de ambos usarem a mesma tecnologia para criptografia (ponta-a-ponta): esse seria o motivo de eu ter falado “em teoria” no início do segundo parágrafo desta tribuna, pois não haveria garantias de que uma empresa, cujo software é fechado e não passa por auditorias de terceiros, realmente não esteja armazenando informações e chaves criptográficas dos usuários em seus servidores, ainda mais quando essa empresa é a Meta. Mesmo se considerarmos que as chaves são de fato armazenadas apenas nos dispositivos dos usuários, as mensagens ainda são armazenadas nos servidores, o que não ocorre com o Signal, onde as mesmas estão apenas nos dispositivos (por isso a dificuldade de sincronização entre os aplicativos do celular e do computador). Como o ProtonMail utiliza a mesma tecnologia, caso autoridades governamentais tenham acesso aos emails de uma pessoa, apenas conseguiriam ler o campo Assunto, pois este é o único que não é criptografado pelo serviço (por isso não conseguimos buscar por nada que esteja no corpo do email quando estamos usando o ProtonMail).

Direciono-me, agora, aos efeitos práticos das informações passadas acima. Na estratégia de longo prazo para a comunicação, faço coro com os camaradas que dizem que precisamos desenvolver algo independente das empresas de comunicação. Sim, esse é o ideal, e para chegamos lá, acho muito difícil que tais ferramentas saiam de dentro do Partido, sem a contribuição de outras organizações comunistas. Inclusive, acho que essa seria a minha primeira proposta nessa tribuna: nos unirmos com outras forças para o desenvolvimento de softwares de comunicação para o longo prazo. Termos uma visão no longo prazo não significa que não haja mitigações no curto e longo prazo. Não podemos trabalhar apenas olhando para o ideal e esquecendo do que temos no momento. Pelos motivos expostos acima, acho uma prática totalmente equivocada colocar o Whatsapp e o Signal, assim como o Gmail e o ProtonMail, no mesmo patamar de segurança e/ou privacidade como vejo camaradas fazendo, algumas vezes por desconhecimento da área, outras por não querer sair da zona de conforto e usar “apps feios”. Tenho minhas dúvidas se uma primeira versão do software do Partido seria mais bonito do que os que temos atualmente, e desejaria sorte à direção no trabalho de convencimento da militância para usá-los, caso essa cultura persista.

Outra questão que me preocupa: por que as ferramentas de comunicação não são escolhidas a partir do CN (ou CNTI)? Mais recentemente desceu uma circular de um CRP falando da reorganização das instâncias no Whatsapp. Cada CR terá a competência de escolher os softwares de comunicação instantânea que desejam? Se sim, é razoável que seja justamente o Whatsapp, nesse caso? Comunicação não deveria ser centralizada a nível nacional? Na comunicação por email não utilizamos o Gmail, por motivos de segurança, gostaria de acreditar. Então qual sentido faria em usarmos o Whatsapp? Os critérios de segurança que levaram a escolher um email seguro deixam de valer para mensagens instantâneas? Deixo então minha segunda proposta: ferramentas de comunicação devem ser escolhidas por instâncias nacionais, por motivos tanto organizacionais quanto de segurança. Claro que, em algum nível, dá pra ocorrer uma certa flexibilização das ferramentas utilizadas, como, por exemplo, na redação do jornal, onde a maior parte das informações que estão lá, tem a intenção de serem tornadas públicas.

Daria para puxar alguns outros assuntos nessa tribuna, mas para evitar que esta fique mais longa, encerrarei por aqui.


Referências:

[1] https://restoreprivacy.com/secure-encrypted-messaging-apps/signal/

[2] https://pt.wikipedia.org/wiki/Aliança_Cinco_Olhos