Há cerca de dez anos, a aparição dos smartphones, dos telemóveis com “apps”, revolucionou a forma como interagimos com a Internet e entre nós. Tarefas tão diferentes como chegarmos a determinado lugar de carro, ler um jornal ou um livro, ouvir música, ou comunicar com a família, nunca mais foram como antes. A “cloud”, ou nuvem, permite-nos guardar listas de contactos em computadores que não são os nossos (na Google Drive, por exemplo), e até trabalhar em equipa (em ficheiros de texto online). Tanto os nossos dados como toda a informação ficam não se sabe bem onde (na tal nuvem), em sistemas que não controlamos. O backup das fotografias dos nossos telemóveis, por exemplo, passou a ser tão automático que nem nos lembramos de o fazer.

E está a dar-se uma outra revolução, com a multiplicação de dispositivos “inteligentes” e com ligação à Internet: televisões, eletrodomésticos, impressoras, relógios, automóveis, lâmpadas, frigoríficos, e um enorme etc. Só a título de exemplo, uma estimativa recente apontava para um quarto dos lares americanos já terem dispositivos “inteligentes” como os da linha Alexa/Echo da Amazon, Home da Google e HomePod da Apple, mesmo sem contar com os computadores portáteis, tablets e telemóveis. Estes dispositivos permitem ouvir música e pesquisar informação, como todos já fazemos, mas também avisar-nos se o leite está a acabar e ajudar-nos a encomendar mais, com apenas um clique. E acrescentar à lista de compras uma lâmpada que se está quase a fundir. O termo Internet of Things (IoT), usado para designar esta nova Internet formada por uma miríade de dispositivos com tamanhos e funções variados, está cada vez mais presente no nosso dia-a-dia. Estes tanto podem incluir sensores que medem o nível de poluição atmosférica como os relógios que contam os nossos passos, como descrito num artigo anterior desta série [1].

Apesar das vantagens e conforto que estas tecnologias trazem, o seu uso está longe de estar isento de riscos para a segurança dos dados e para a privacidade dos utilizadores, e as razões são fundamentalmente três.

Em primeiro lugar, a complexidade dos sistemas informáticos – provavelmente das mais complexas criações da humanidade – torna virtualmente impossível remover todas as vulnerabilidades que permitem aos adversários atacá-los. Por exemplo, em 2017, um software malicioso (“malware”) conhecido como WannaCry deixou inacessíveis computadores e serviços em inúmeros países, incluindo hospitais, devido a um erro num componente de software desconhecido para os não informáticos, o SMB. Outro caso famoso, que aproveitou a já descrita IoT, foi o de outro malware conhecido como Mirai – ainda muito ativo em 2019. Este deixou grande parte da Internet em baixo durante umas horas em 2016, depois de invadir largos milhares de... câmaras de vigilância. Por estranho que pareça, essas câmaras também são computadores, que também estão ligados à Internet e que por isso podem não só ser atacados como também ser usados para lançar ataques [2].

Em segundo lugar, a própria Internet permite o acesso remoto a sistemas, ou seja, a possibilidade de pessoas numa ponta do mundo acederem a computadores na outra. Esta característica da Internet, que será porventura uma das suas maiores qualidades, é também uma das suas maiores fraquezas pois permite que um ataque a um sistema seja lançado de um qualquer local do mundo e possa ter um alcance global.

Finalmente, e como estas informações são bastante valiosas [3], verificou-se nos últimos anos o aparecimento de autênticas redes que procuram enriquecer – e enriquecem mesmo – com o crime organizado na Internet, bem como de empresas com interesses económicos ou práticas questionáveis – vem à memória o caso Cambridge Analytica que será abordado na próxima semana.

Por isso, na Internet e na mais recente IoT, há muitos potenciais “grandes irmãos”, já não apenas o solitário Big Brother orwelliano. A nossa informação privada constitui um alvo invejável para estes grandes parentes: moradas, telefones, endereços de correio eletrónico, fotografias, vídeos, números de cartões de crédito, dados financeiros e clínicos, trajetos diários, núcleos de amigos e núcleos profissionais, convicções religiosas e políticas, etc.

Os riscos para a segurança e a privacidade surgem a três níveis: a informação que expomos digitalmente na internet; a informação que possuímos digitalmente mas não expomos; e a informação que nem sequer digitalizamos.

No primeiro nível está a informação que colocamos – ou os nossos filhos e amigos colocam – nas redes sociais, como descrito na semana passada [4]. Essa informação, como as fotografias, pode parecer que será divulgada num âmbito limitado, por exemplo apenas para um grupo de amigos numa rede social, mas esse âmbito é facilmente ultrapassado e milhares ou milhões de pessoas podem vir a ter acesso a elas e por tempo indeterminado.

No segundo nível está a informação que possuímos digitalmente mas que não expomos publicamente. Já se perdeu a conta aos casos de “celebridades” que viram fotografias privadas serem expostas, vários deles envolvendo passwords fracas em sistemas de armazenamento de dados na cloud. Tanto neste como no caso anterior, é melhor considerar que tudo aquilo que é posto num computador ou dispositivo IoT pode acabar por ser exposto. Uma forma particular deste problema é a possibilidade de revelar a identidade de indivíduos em dados anónimos. Em 2007, dois investigadores mostraram como era possível identificar utilizadores do Netflix num conjunto de avaliações de filmes anónimas. Foi possível, por exemplo, descobrir a identidade de um utilizador que tinha opiniões (privadas) sobre filmes com temas homossexuais, ou de um certo quadrante político [5].

No terceiro nível temos dados que nem sequer digitalizamos, mas que são digitalizados sem o nosso consentimento. Existem, por exemplo, sítios na Internet que mostram ao vivo pessoas a serem filmadas pela câmara do seu computador sem o saberem. Em 2010 ficou conhecido o caso de uma escola nos EUA que instalou nos portáteis dos seus alunos software para ligar as respetivas câmaras à distância, quando o entendesse. Mesmo quando esta partilha não resulta de um acesso indevido, é muitas vezes consentida de uma forma genérica pelos utilizadores como descrevemos no artigo sobre legislação e o GDPR [6]. Em 2017 soube-se que as TV “inteligentes”, com o consentimento por vezes inadvertido dos seus utilizadores (aceitação automática dos termos de serviço), utilizavam tecnologias que capturavam os sons à sua volta, ou informação sobre os hábitos de visualização dos consumidores. Uma vez presentes, estas tecnologias também podem ser vulneráveis a ataques por agências de espionagem ou criminosos [7]. 

Existem riscos na Internet dos dias de hoje? Certamente que sim. São razão para deixarmos de usar a Internet, os smartphones ou outros dispositivos que vão aparecendo? Certamente que não. A Internet trouxe-nos uma nova realidade e temos de aprender novas regras. Tal como escolhemos a fechadura de nossa casa, como evitamos lugares escuros à noite, ou evitamos conversas privadas num banco de autocarro, também na Internet devemos adotar comportamentos semelhantes: não usar passwords simples, evitar sites desconhecidos, e não partilhar informação sensível de forma descuidada.

E, para lá da responsabilidade pessoal, cabe à sociedade discutir a criação de limites físicos e legais, ou apenas de convenção social, que tornem mais difícil a exploração de falhas de segurança ou a devassa da vida privada. Por exemplo, é relativamente fácil “atacar” a câmara de um computador ou tablet e filmar pessoas sem que estas o consintam ou se apercebam. Um mecanismo tão simples como um interruptor físico, sem possibilidade de o ligar apenas com software, está ausente de grande parte das câmaras e microfones nos nossos computadores e telemóveis [8], de tal forma que é um ponto de diferenciação para as poucas empresas que os fornecem [9]. Criar legislação que generalize estes interruptores seria uma forma de garantir mais segurança.

Em 2007, Bruce Schneier escreveu um ensaio sobre o Big Brother que terminava assim: “Estamos a construir uma infraestrutura informática que torna fácil a governos, empresas e até hackers adolescentes gravar tudo o que fazemos, e – sim – até mudar as nossas votações. E vamos continuar a fazê-lo a não ser que aprovemos leis que regulem a criação, utilização, proteção, revenda e eliminação de dados pessoais. É precisamente a atitude que trivializa o problema que o cria.” [10] Trivializámo-lo durante demasiado tempo, que urge agora recuperar.