Year Zero

Hoje de manhã o WikiLeaks começou a publicar a maior série de vazamentos da CIA da história, “Vault 7”.

A primeira parte, publicada hoje, se chama “Year Zero” e tem 8761 documentos da divisão hacker da CIA: mais páginas do que todos os vazamentos de Snowden sobre a NSA publicados desde 2013.

Como diz o release para a imprensa:

“Recently, the CIA lost control of the majority of its hacking arsenal including malware, viruses, trojans, weaponized “zero day” exploits, malware remote control systems and associated documentation. This extraordinary collection, which amounts to more than several hundred million lines of code, gives its possessor the entire hacking capacity of the CIA. The archive appears to have been circulated among former U.S. government hackers and contractors in an unauthorized manner, one of whom has provided WikiLeaks with portions of the archive. “Year Zero” introduces the scope and direction of the CIA’s global covert hacking program, its malware arsenal and dozens of “zero day” weaponized exploits against a wide range of U.S. and European company products, include Apple’s iPhone, Google’s Android and Microsoft’s Windows and even Samsung TVs, which are turned into covert microphones.”

[Em engenharia de software, uma vulnerabilidade “zero day” é uma vulnerabilidade desconhecida pelos desenvolvedores de software]

Os documentos vazados têm vários manuais de operação da CIA (organizados num tipo de wiki interno) e explicações de como vários sistemas funcionam, que falhas eles têm e como explorá-las.

A imagem é um quadro com os exploits que eles usam para invadir diferentes versões do iOS (sistema operacional usado pelo iPhone). É um screenshot dessa página.

A consequência do vazamento é, por um lado, uma democratização das ciberarmas da CIA. Por outro, a obsolescência delas e, consequentemente, enfraquecimento da agência. De um lado um extenso arsenal de armas da CIA pode estar sendo usado por outros agentes para invadir nossos computadores e celulares. De outro a CIA perde a vantagem que tinha e a médio prazo essas falhas tendem a ser corrigidas por atualizações dos sistemas.

“Still working through the publication, but what @Wikileaks has here is genuinely a big deal. Looks authentic.”

(Edward Snowden sobre o vazamento)


Update (15h52):

Um dos documentos da CIA vazados pelo WikiLeaks é uma lista de coisas que os desenvolvedores de malware devem fazer e não fazer. Tem dicas como:

  • DO NOT leave dates/times such as compile timestamps, linker timestamps, build times, access times, etc. that correlate to general US core working hours (i.e. 8am-6pm Eastern time)
  • DO NOT use US-centric timestamp formats such as MM-DD-YYYY. YYYYMMDD is generally preferred.

(entre muitas outras)

Se os caras se preocupam com isso, “evidências” podem apontar que um software escrito pela CIA tenha sido feito, sei lá, por russos…


Update (17h43):

A nota da Open Whisper Systems sobre o #Vault7 é otimista e mostra como, contraditoriamente, estamos avançando em segurança digital:

“A reportagem CIA/WikiLeaks de hoje é sobre colocar malware nos telefones; nenhum dos exploits é no Signal ou quebra a criptografia do protocolo do Signal. A reportagem não é sobre Signal ou WhatsApp, mas na medida em que ela é, nós a vemos como a confirmação de que o que estamos fazendo está funcionando. Criptografia de ponta a ponta em toda parte está empurrando as agências de inteligência da vigilância em massa não detectável para ataques caros, de alto risco e direcionados.”

Discussão sobre notícias falsas

As eleições municipais no Brasil foram repletas de boatos contra as candidaturas do PSOL.

Luciana Genro foi atacada o tempo todo por compartilhamentos de notícias falsas que a acusavam de todo tipo de absurdo. Marcelo Freixo chegou até a ter que lançar um site “A Verdade sobre Freixo” devido à enorme quantidade de farsas.

É necessário pensarmos em formas de combater essa boataria.

Por um lado me parece interessante que a mídia americana, chocada com a vitória de Trump contra Clinton, esteja refletindo sobre isso e pressione o Facebook para combater esse tipo de desinformação.

Por outro, é necessário ter as ressalvas de que soluções como subir no ranking os sites da mídia tradicional pode ser nefasto para movimentos e mídia alternativa, e que uma abordagem anti-abuso baseada em feedback na própria plataforma tem que ser bem planejada para não possibilitar coisas como um grande número de robôs da direita censurar um conteúdo legítimo nosso denunciando como fake, por exemplo.

Update (16/11/2016, 19h47): Facebook e Google declaram guerra aos sites de notícias falsas

Publicado originalmente no Facebook.

Luciana Genro é a mais citada pelas redes sociais durante o debate da Rádio Gaúcha

Grafo montado a partir de interações (respostas e retuítes) entre usuários no Twitter durante o debate da Rádio Gaúcha.
Grafo montado a partir de interações (respostas e retuítes) entre usuários no Twitter durante o debate da Rádio Gaúcha.

Luciana Genro venceu o primeiro debate no rádio e nas redes. Foi a candidata mais eloquente, mostrou algumas propostas concretas como a ampliação da Guarda Municipal, corte de 70% dos CCs, falou sobre um novo modelo de gestão na Carris. Mostrou que está segura e preparada para governar Porto Alegre.

No Twitter, foram publicados 2.871 tuítes com a hashtag #DebateNaGaúcha e 2.052 com a hashtag #LucianaPrefeita. Chegamos aos trending topics de Porto Alegre e do Brasil! Os dados publicados no site expressam a vitória da nossa mobilização. É a vez da mudança: Vamos com tudo para eleger Luciana prefeita!

Publicado originalmente no Facebook.

A decisão da juíza que bloqueou o acesso de todo país ao WhatsApp é uma ameaça à nossa segurança.

Segundo o G1, ela pede que o Facebook implemente um backdoor para que mensagens sejam passadas para a justiça em tempo real ou que use algoritmos mais fracos que possam ser quebrados.

Argumenta que “se as decisões judiciais não podem ser efetivamente cumpridas, o serviço não poderá ser mais prestado, sob pena de privilegiar inúmeros indivíduos que se utilizam impunemente do aplicativo WhatsApp para prática de crimes diversos.”

Esse discurso é raso e desconsidera fundamentos de segurança digital e criptografia. Uma das melhores respostas a ele foi dada por Tim Cook quando o FBI pediu que a Apple hackeasse o iPhone de um suspeito no atentado de San Bernardino.

Abrir brechas de segurança num aplicativo usado por mais de 1 bilhão de pessoas coloca a segurança de todos nós em risco. Já os criminosos podem simplesmente usar outras ferramentas não tão populares para garantir a privacidade deles.

(E espero que esteja fora de questão proibir pessoas de rodarem os programas que quiserem para se comunicar)

Publicado originalmente no Facebook.

Hoje completa 62 anos a morte de Alan Turing, personagem fundamental da história da computação e um dos maiores gênios do século XX.

Turing formalizou os conceitos de “algoritmo” e “computação” ao criar a máquina universal abstrata que serve de modelo para nossos computadores digitais.

Além disso, inaugurou a inteligência artificial através de um famoso artigo, “As máquinas podem pensar?”, que propõe um teste que tentamos vencer até hoje.

Não bastasse as contribuições mais teóricas, historiadores estimam que a Segunda Guerra Mundial foi encurtada em dois anos devido aos aliados conseguirem decodificar mensagens criptografadas pela Enigma, operação na qual Turing teve papel determinante.

Porém, apesar da vitória contra os nazistas, da criação do computador e da inteligência artificial, Turing foi submetido à castração química porque a sociedade não aceitava sua orientação sexual. Se envenenou aos 42.

As lutas da população LGBT são necessárias. Todo apoio!

Publicado originalmente no Facebook.

A grande imprensa começou a circular que o Marco Civil da Internet é o responsável pelo bloqueio do WhatsApp e que a CPI dos Crimes Cibernéticos quer impedir juízes de bloquear o WhatsApp.

Essa narrativa mentirosa, a um dia da votação do relatório da #CPICiber, sugere um propósito preocupante para esse bloqueio arbitrário do mensageiro mais usado no nosso país: aprovar uma legislação retrógrada para a Internet no Brasil. Sobre o relatório, recomendo:

Publicado originalmente no Facebook.

WhatsApp anuncia criptografia de ponta a ponta

A criptografia de ponta-a-ponta do WhatsApp, muito aguardada por mais de um ano, é uma ótima notícia para a nossa privacidade. Ser de ponta-a-ponta significa que, a partir de agora, nenhum intermediário consegue ler ou ouvir nossas conversas, nem mesmo o próprio WhatsApp.

Tecnicamente, o celular A encripta cada uma das mensagens que envia diretamente com a chave pública do celular B; ou seja, é como se a mensagem fosse protegida por um cadeado que apenas o celular B pode abrir. A segurança de que só B pode abrir é garantida pela dificuldade de problemas matemáticos antigos que a humanidade não sabe como resolver de forma eficiente, como fatorar um número composto grande em primos ou encontrar o logaritmo discreto sobre um grupo bem escolhido.

A implementação do WhatsApp foi desenvolvida em conjunto com a Open Whisper Systems, empresa muito respeitada e conhecida pelo Signal, aplicativo que é recomendado por Edward Snowden, Laura Poitras e Bruce Schneier, entre outros especialistas em privacidade e criptografia. Alguns detalhes dessa parceria e da implementação foram explicados no blog da Open Whisper Systems e na página de segurança do WhatsApp.

Diferentemente da implementação do Telegram, a do WhatsApp suporta criptografia de ponta a ponta em chats em grupo, anexos, mensagens de voz e chamadas de voz nas várias plataformas nas quais ele está disponível (incluindo até o Nokia S40). Além disso, as conversas são automaticamente encriptadas, i.e., não é preciso fazer nada para usar criptografia de ponta a ponta (como se faz no Telegram com a criação de secure chats).

Dessa forma, para quem se preocupa com grampo, não existe motivo de segurança para se preferir o aplicativo russo, ainda que possam existir vários outros motivos ignorando-se a questão da segurança (suporte a grupos com até 5000 pessoas, stickers, links para pessoas se adicionarem a grupos, nicknames etc).

A única questão ainda não resolvida pela qual eu acho que alguns poderiam preferir Telegram é a trivial auto-destruição de mensagens. Esse simples recurso ajuda os usuários a não guardarem as mensagens recebidas nos seus próprios celulares, protegendo-os no caso em que seus celulares são invadidos tempos depois de mensagens terem sido recebidas (seja por meios virtuais — tipo uma falha no Android — ou físicos — tipo a polícia). Acho esse recurso legal, mas não suficiente para preferir o Telegram sobre a implementação de criptografia ponta-a-ponta mais confiável e completa lançada pelo WhatsApp.

Publicado originalmente no Facebook.

E o Oscar vai para… Edward Snowden!

citizenfour Citizenfour, o filme de Laura Poitras sobre Edward Snowden, ganhou o Oscar de melhor documentário de 2014. O filme é um registro cuidadoso de tudo o que aconteceu desde que Laura recebeu um e-mail anônimo pedindo que ela usasse criptografia, passando pela viagem a Hong Kong para encontrar seu interlocutor junto com o jornalista Glenn Greenwald, até a repercussão dos vazamentos nos jornais de todo o mundo.

O documentário não economiza críticas sobre a política de vigilância global na qual as agências de inteligência dos EUA e do Reino Unido, NSA e GCHQ, tem papel destacado. Por isso, produzí-lo não foi um processo fácil.

Laura, que é americana, teve que se exilar em Berlim para escapar de ser censurada. David Miranda, brasileiro e marido de Glenn, foi detido e interrogado por nove horas no aeroporto de Heathrow em Londres quando voltava de Berlim onde a encontrou.

Esse e outros acontecimentos aparecem no filme, no qual também estrelam Julian Assange, Jacob Appelbaum e o Juntos. Nos orgulhamos de fazer parte dessa história defendendo a liberdade de Snowden e o direito à privacidade na Internet.

1622553_10202982212175072_1296402295_o-1 O rechaço à vigilância e ao controle digital tem caráter anti-imperialista e democrático em defesa das nossas organizações. A Internet, com seu poder de conexão e distribuição de informação, foi fundamental para a revolução árabe, para o movimento dos indignados espanhóis e para os protestos de junho de 2013 no Brasil. Junho, aliás, que foi o mês no qual Snowden, Glenn e Laura se encontraram pela primeira vez.

Em declaração divulgada pela ACLU (American Civil Liberties Union) sobre o Oscar conquistado pelo documentário, Snowden afirma que sua esperança é que esse prêmio encoraje mais pessoas a verem o filme e sejam inspiradas pela sua mensagem de que cidadãos comuns, trabalhando juntos, podem mudar o mundo.

O Juntos parabeniza Laura, Glenn, David e Snowden pelo prêmio mais que merecido. Citizenfour estreia no mês que vem no Brasil. Divulgaremos datas e locais nas nossas redes assim que houver mais informações.

Publicado originalmente no Juntos.