Ofuscação – Cap. 1.10 Baralhamento de cartões SIM

1.10 Baralhamento de cartões SIM: como tornar incerta a busca de celulares

Como revelaram relatórios recentes e algumas das revelações de Edward Snowden, os analistas que trabalham para a Agência Nacional de Segurança (EUA) utilizam uma combinação de fontes de sinais de inteligência – especialmente metadados de telefones celulares e dados de sistemas de geolocalização – para identificar e rastrear alvos para eliminação.1 Os metadados (mostrando quais números foram chamados e quando foram chamados) produzem um modelo de rede social que torna possível identificar números de telefone particulares como pertencentes a pessoas de interesse; as propriedades de geolocalização dos telefones celulares garantem que esses números podem ser situados, com diferentes graus de precisão, em lugares particulares, e então poderem ser alvo de drones. Em outras palavras, este sistema pode proceder da identificação, passando pela localização, até o assassinato sem nunca ter uma identificação visual cara a cara de uma pessoa. O mais próximo que um operador de drone pode chegar a colocar os olhos em alguém pode ser o exterior de um edifício, ou uma silhueta entrando em um carro. Tendo em vista os registros irregulares sobre o programa de metadados de telefones celulares da NSA e os ataques com drones, há, é claro, sérias preocupações sobre a precisão. Quer se esteja preocupado com as ameaças à segurança nacional permanecendo seguro e ativo, com as vidas de pessoas inocentes tomadas injustamente, ou com ambas, é fácil ver as possíveis falhas nesta abordagem.

Mudemos a situação e a consideremos mais abstratamente da perspectiva dos alvos. A maioria dos alvos da NSA é obrigada a ter sempre, seja com eles ou perto deles, um dispositivo de rastreamento (somente as figuras mais altas nas organizações terroristas são capazes de se livrar da tecnologia geradora de sinais), assim como praticamente todas as pessoas com as quais estão em contato. As chamadas e conversas que sustentam suas organizações também fornecem os meios de sua identificação; a estrutura que torna seu trabalho possível também os aprisiona. Em vez de tentar coordenar armas antiaéreas para encontrar um alvo em algum lugar no céu, o adversário tem total superioridade aérea, capaz de acertar um míssil em um carro, uma esquina de rua, ou uma casa. Entretanto, o adversário também tem um conjunto intimamente relacionado de limitações sistêmicas. Este sistema, por mais notável que seja seu escopo e capacidades, em última análise, depende de cartões SIM (módulo de identidade do assinante de celular) e da posse física de telefones celulares – um tipo de espectro estreito que pode ser explorado. Um antigo operador de aeronaves do Comando Conjunto de Operações Especiais informou que os alvos, sabendo disso, tomam medidas para misturar e confundir sinais genuínos. Alguns indivíduos têm muitos cartões SIM em circulação associados à sua identidade e os cartões são redistribuídos aleatoriamente. Uma abordagem usada é realizar reuniões nas quais todos os participantes colocam seus cartões SIM em uma bolsa, depois pegam os cartões da bolsa aleatoriamente, para que não fique claro quem está realmente conectado a cada dispositivo. (Esta é uma abordagem de tempo limitado: se a análise de metadados for suficientemente sofisticada, um analista deverá eventualmente ser capaz de classificar os indivíduos novamente com base em padrões de chamadas passadas, mas o re-baralhamento irregular torna isso mais difícil). O re-baralhamento pode também acontecer involuntariamente, pois os alvos que não sabem que estão sendo rastreados vendem seus telefones ou os emprestam a amigos ou parentes. O resultado final é um sistema com enorme precisão técnica e uma taxa muito incerta de sucesso real, seja medido em termos de indivíduos perigosos eliminados ou em termos de inocentes não-combatentes mortos por engano. Mesmo quando não se pode evitar o rastreamento razoavelmente exato de localização e a análise sociográfica, usar a ofuscação para recombinar e misturar sinais genuínos, em vez de gerar sinais falsos, pode oferecer uma medida de defesa e controle.

Ofuscação – Cap. 1.9 Documentação em excesso

1.9 Documentação em excesso: como tornar a análise ineficiente

Continuando nosso olhar para o tipo de ofuscação que opera acrescentando sinais genuínos mas enganosos, consideremos agora a superprodução de documentos como uma forma de ofuscação, como no caso de uma divulgação excessiva de material em uma ação judicial. Esta foi a estratégia de Augustin Lejeune, chefe do Departamento Geral de Polícia no Comitê de Segurança Pública, um instrumento importante na fase do Terror da Revolução Francesa. Lejeune e seus funcionários produziram os relatórios que lançaram as bases para prisões, internações e execuções. Mais tarde, num esforço para desculpar seu papel no Terror, Lejeune argumentou que a qualidade exigente e esmagadoramente detalhada dos relatórios de seu escritório havia sido deliberada: ele havia instruído seus funcionários a produzir material em excesso, e a relatar “os mais pequenos detalhes”, a fim de retardar a produção de inteligência para o Comitê sem parecer uma rebelião. É duvidoso que as reivindicações de Lejeune sejam inteiramente precisas (os números que ele cita para a produção de relatórios não são confiáveis), mas, como aponta Ben Kafka, ele tinha inventado uma estratégia burocrática para criar lentidão através do excesso de oferta: “Ele parece ter reconhecido, ainda que tardiamente, que a proliferação de documentos e detalhes apresentava oportunidades de resistência, bem como de conformidade”.1 Em situações onde não se pode dizer “não”, há oportunidades para um coro de “sim” inúteis – por exemplo, não envie uma pasta em resposta a uma solicitação; envie um armário de pastas contendo papéis potencialmente relevantes.

Ofuscação – Cap 1.8 Aliados e objetos idênticos

1.8 Aliados e objetos idênticos: muitas pessoas vestidas da mesma forma

Há muitos exemplos de ofuscação realizada por membros de um grupo que trabalham em conjunto para produzir sinais genuínos, mas enganosos, dentro dos quais o sinal genuíno e importante é ocultado. Um exemplo memorável da cultura popular é a cena do remake do filme de 1999 The Thomas Crown Affair, no qual o protagonista, vestindo um traje distinto inspirado em Magritte, de repente está numa massa cuidadosamente orquestrada de outros homens, vestidos com o mesmo traje, circulando pelo museu e trocando suas pastas idênticas.1 O esquema de roubo de bancos no filme Inside Man, de 2006, baseia-se no fato de todos os ladrões usarem macacões, luvas e máscaras de pintores e vestirem seus reféns da mesma maneira.2 Finalmente, considere o pensamento rápido de Roger Thornhill, o protagonista do filme North By Northwest de 1959 de Alfred Hitchcock, que, para fugir da polícia quando seu trem chega a Chicago, suborna um carregador de bagagens para lhe emprestar seu uniforme distinto, sabendo que a multidão de carregadores na estação dará à polícia muito de algo específico para procurar.3

Objetos idênticos como modos de ofuscação são bastante comuns e suficientemente conhecidos para que se repitam na imaginação e na realidade. A ancilia da Roma antiga exemplifica isso. Um escudo (ancile) caiu do céu – assim diz a lenda – durante o reinado de Numa Pompílio, o segundo rei de Roma (753-673 a.C.), e foi interpretado como um sinal de favor divino, uma relíquia sagrada cuja propriedade garantiria a continuação do império de Roma.4 O escudo foi pendurado no Templo de Marte junto com onze duplicatas exatas, portanto, os ladrões não saberiam qual levar. Os seis bustos de gesso de Napoleão, dos quais a história de Sherlock Holmes recebe seu título, oferecem outro exemplo. O vilão enfia uma pérola preta no gesso molhado de um objeto que não só tem cinco duplicatas, mas também é um de uma classe maior de objetos (bustos brancos baratos de Napoleão) que são onipresentes o suficiente para serem invisíveis.5

Uma instância do mundo real é fornecida pelo chamado ladrão da Craigslist. Às 11 horas da manhã de terça-feira, 30 de setembro de 2008, um homem vestido de dedetizador (de camisa azul, óculos de proteção e máscara de poeira), carregando uma bomba de spray, aproximou-se de um carro blindado estacionado do lado de fora de um banco em Monroe, Washington (EUA), incapacitou o guarda com spray de pimenta, e fugiu com o dinheiro.6 Quando a polícia chegou, encontraram treze homens na área usando camisas azuis, óculos de proteção e máscaras de poeira – um uniforme que eles estavam usando sob as instruções de um anúncio da Craigslist que prometia um bom salário para o trabalho de manutenção, que deveria começar às 11h15 da manhã no endereço do banco. Deve ter levado apenas alguns minutos para descobrir que nenhum dos trabalhadores ali era o ladrão, mas alguns minutos era todo o tempo que o ladrão precisava para escapar.

Depois há a poderosa história, muitas vezes recontada embora factualmente imprecisa, do rei da Dinamarca e de um grande número de não-judeus dinamarqueses usando a Estrela Amarela para que os alemães ocupantes não pudessem distinguir e deportar os judeus dinamarqueses. Embora os dinamarqueses tenham protegido corajosamente sua população judia de outras formas, a Estrela Amarela não foi usada pelos nazistas na Dinamarca ocupada, por medo de despertar um sentimento mais antialemão. Entretanto, “houve casos documentados de não-judeus usando estrelas amarelas para protestar contra o antissemitismo nazista na Bélgica, França, Holanda, Polônia e até mesmo na própria Alemanha”.7 Esta lenda oferece um exemplo perfeito de ofuscação cooperativa: não-judeus usando a Estrela Amarela como um ato de protesto, gerando uma população na qual judeus individuais poderiam se misturar.8

Ofuscação – Cap 1.7 Identidade do grupo

1.7 Identidade do grupo: muitas pessoas sob apenas um nome

Um dos exemplos mais simples e memoráveis de ofuscação, e que introduz o trabalho do grupo em ofuscação, é a cena do filme Spartacus em que os escravos rebeldes são solicitados pelos soldados romanos a identificar seu líder, que os soldados pretendem crucificar.1 Como Spartacus (interpretado por Kirk Douglas) está prestes a falar, um a um os outros ao seu redor dizem “Eu sou Spartacus!” até que toda a multidão reivindica essa identidade.

Muitas pessoas assumindo a mesma identidade para a proteção de grupos (por exemplo, o Capitão Swing na revolta agrícola inglesa de 1830, o onipresente “Jacques” adotado pelos radicais em A Tale of Two Cities de Dickens, ou a máscara de Guy Fawkes no romance gráfico V de Vendetta, agora associado ao grupo hacktivista conhecido como Anonymous) é, neste ponto, quase um clichê.2 Marco Deseriis estudou o uso de “nomes impróprios” e identidades coletivas na eliminação da responsabilidade individual e na proliferação de ações.3 Algumas formas de ofuscação podem ser conduzidas sozinho; outras dependem de grupos, equipes, comunidades e confederados.

Ofuscação – Cap 1.6 Falsos indícios

1.6 Falsos indícios: criar padrões para enganar um observador treinado

Considere como o mesmo padrão básico de ofuscação pode ser usado ao serviço em um contexto mais leve do que ocultar o trabalho dos denunciantes: o pôquer.

Muito do prazer e muito do desafio do pôquer está em aprender a inferir a partir de expressões, gestos e linguagem corporal se alguém está blefando (isto é, fingindo segurar uma mão mais fraca do que a pessoa realmente segura) na esperança de fazer uma aposta. O ponto central para o trabalho de estudar os adversários é o “indício” – algum hábito inconsciente ou tique que um adversário exibe em resposta a uma mão forte ou fraca, como suar, olhar com preocupação ou inclinar-se para frente. Os “indícios” são tão importantes na economia informacional do pôquer que os jogadores às vezes usam indícios falsos – ou seja, criam maneirismos que podem parecer parte de um padrão maior.1 Na estratégia comum do pôquer, o uso de um indício falso é geralmente reservado para um momento crucial em um torneio, para que os outros jogadores não percebam que ele é impreciso e o usem contra você. Uma análise paciente de múltiplos jogos poderia separar um indício verdadeiro dos falsos, mas no contexto de um jogo de apostas altas, o momento da falsidade pode ser altamente eficaz. Técnicas similares são usadas em muitos esportes que envolvem comunicação visível. Um exemplo é a sinalização no basebol – como explicou um treinador a um repórter de jornal: “Às vezes você está dando um sinal, mas isso nem quer dizer nada”.2

Ofuscação – Cap 1.5 Uploads para sites de vazamento

1.5 Uploads para sites de vazamento: enterrar arquivos significativos

O WikiLeaks utilizou uma variedade de sistemas para resguardar as identidades tanto dos visitantes quanto dos colaboradores. No entanto, havia um ponto que poderia diminuir a segurança do site: os uploads de arquivos. Se os bisbilhoteiros pudessem monitorar o tráfego no WikiLeaks, eles poderiam identificar atos de envio de material para o servidor seguro do WikiLeaks. Especialmente se eles construíssem palpites fundamentados sobre os tamanhos comprimidos de várias coleções de dados posteriormente liberados, eles poderiam retroativamente inferir sobre o que foi transmitido, quando foi transmitido e (em vista de falhas em outras áreas de segurança técnica e operacional) quem transmitiu. Diante deste tipo de desafio muito particular, o WikiLeaks desenvolveu um roteiro para produzir sinais falsos. Ao ser acessado pelos navegadores dos visitantes, o site gerava atividades que pareciam uploads para o servidor seguro.1 Dessa forma, um bisbilhoteiro veria uma enorme multidão de aparentes denunciadores (a grande maioria dos quais, na realidade, estavam apenas lendo ou vasculhando documentos já disponibilizados), e quem sabe alguns poderiam ser verdadeiros. O site não buscava fornecer dados particulares para interferir na mineração de dados ou na publicidade; simplesmente procurou imitar e ocultar os movimentos de alguns de seus usuários.

Mesmo os dados criptografados e comprimidos contêm metadados pertinentes, no entanto, e a proposta para o projeto OpenLeaks – uma variante sem sucesso no WikiLeaks, desenvolvida por alguns dos participantes descontentes no sistema original do WikiLeaks – incluiu um refinamento adicional.2 Após uma análise estatística das submissões do WikiLeaks, o OpenLeaks desenvolveu um modelo de uploads falsos que manteria as mesmas proporções de tamanhos de arquivos que normalmente aparecem no tráfego de upload de um site de vazamentos. A maioria dos arquivos variava em tamanho de 1,5 a 2 megabytes, apesar de alguns exemplares ultrapassarem os 700 megabytes. Se um adversário pode monitorar o tráfego de upload, a forma pode ser tão reveladora quanto o conteúdo, e tão útil na separação de sinais reais de falsos. Como este exemplo sugere, os mecanismos de ofuscação podem ganhar muito ao descobrir todos os parâmetros que podem ser manipulados – e ao descobrir o que o adversário está procurando, de modo a dar a ele uma versão fabricada.

Ofuscação – Cap 1.4 TrackMeNot

1.4 TrackMeNot: mistura de consultas de busca genuína e artificial

O TrackMeNot (não-me-rastreie), desenvolvido em 2006 por Daniel Howe, Helen Nissenbaum e Vincent Toubiana, exemplifica uma estratégia de software para ocultar a atividade com sinais imitativos.1 O objetivo do TrackMeNot é enganar o perfilamento dos usuários feito através de suas buscas. Ele foi projetado em resposta ao pedido do Departamento de Justiça dos EUA para lidar com os registros (logs) de busca do Google e em resposta à descoberta surpreendente por um repórter do New York Times de que algumas identidades e perfis poderiam ser inferidos mesmo a partir de registros de busca anônimos publicados pela AOL Inc.2

Nossas buscas na internet são como listas de locais, nomes, interesses e problemas. Quer nossos endereços IP completos estejam ou não incluídos, nossas identidades podem ser inferidas a partir dessas listas e padrões sobre nossos interesses podem se tornar aparentes. Respondendo a pedidos de responsabilização, as empresas de busca têm oferecido maneiras de atender às preocupações das pessoas com relação à coleta e armazenamento das informações das consultas de busca, embora continuem a coletar e analisar os registros de tais consultas.3 Impedir que qualquer fluxo de consultas seja inadequadamente revelador dos interesses e atividades de uma determinada pessoa continua sendo um desafio.4

A solução que o TrackMeNot oferece não é esconder as consultas dos usuários feitas nos motores de busca (um método impraticável, tendo em vista a necessidade de satisfação da consulta), mas ofuscar, gerando automaticamente consultas a partir de uma “lista de sementes” de termos. Inicialmente escolhidos de feeds RSS, estes termos evoluem de modo que diferentes usuários desenvolvem diferentes listas de sementes. A precisão da imitação é continuamente refinada através de preenchimentos subsequentes da lista de sementes com novos termos gerados a partir de retornos para consultas de busca. O TrackMeNot envia as consultas de uma forma que tenta imitar os comportamentos de busca dos usuários reais. Por exemplo, um usuário que tenha pesquisado por “bom café wi-fi chelsea” também pode ter pesquisado por “canis de savana”, “suco natural miami”, “empresa de propriedade asiática”, “exercício para retardar demência” e “luz halógena telescópica”. As atividades dos indivíduos são mascaradas pelas de muitos fantasmas, tornando o padrão mais difícil de discernir, de modo que se torna muito mais difícil dizer de qualquer consulta o que foi produto da intenção humana ou uma saída automática do TrackMeNot. Desta forma, o TrackMeNot estende o papel de ofuscação, em algumas situações, para incluir a negação plausível*.

*Negação plausível é a habilidade de uma pessoa, geralmente oficiais superiores numa cadeia formal ou informal de comando, para negar conhecimento ou responsabilidade sobre quaisquer ações condenáveis realizadas por outras pessoas dentro da hierarquia da organização devido à falta ou ausência de evidências que confirmem a sua participação, mesmo se ela estivesse pessoalmente envolvida ou, ao menos, fosse deliberadamente ignorante sobre tais ações. (wikipedia.org)

Ofuscação – Cap 1.3 CacheCloak

1.3 CacheCloak: serviços de localização sem rastreamento de localização

A tática da CacheCloak adota uma abordagem de ofuscação adequada aos serviços baseados em localização (location-based services, LBSs).1 Ela ilustra duas reviravoltas no uso de ecos falsos e imitações na ofuscação. A primeira delas é garantir que os dados relevantes ainda possam ser extraídos pelo usuário; a segunda é tentar encontrar uma abordagem que possa funcionar indefinidamente em vez de como uma estratégia temporária de compra de tempo.

Os serviços baseados em localização aproveitam as capacidades de localização de dispositivos móveis para criar vários serviços, alguns deles sociais (por exemplo, o FourSquare, que transforma a ida a lugares em um jogo competitivo), alguns lucrativos (por exemplo, publicidade de localização) e alguns totalmente úteis (por exemplo, mapas e buscas de objetos mais próximos). A retórica clássica do equilíbrio entre privacidade e utilidade, na qual a utilidade é frequentemente apresentada como prejudicial à privacidade, é evidente aqui. Se você quer aproveitar um LBS – por exemplo, se você quer estar na rede em que seus amigos estão para que você possa se encontrar com um deles se você e essa pessoa estiverem próximos – então terá que sacrificar alguma privacidade e você terá que se acostumar a ter o prestador de serviços sabendo onde você está. A CacheCloak sugere uma outra maneira de fazer essa troca.

“Onde outros métodos tentam obscurecer o caminho do usuário escondendo partes dele”, os criadores da CacheCloak escrevem, “nós obscurecemos a localização do usuário ao cercá-lo com os caminhos de outros usuários”2 – isto é, através da propagação de dados ambíguos. No modelo padrão, seu telefone envia sua localização para o serviço e recebe as informações solicitadas em troca. No modelo CacheCloak, seu telefone prevê seus possíveis caminhos e depois busca os resultados para várias rotas prováveis. Conforme você se movimenta, você recebe os benefícios de saberem a sua localização – acesso ao que você está procurando, na forma de dados em cache (temporários) antes de possíveis solicitações – e um adversário fica com muitos caminhos possíveis, incapaz de distinguir o início do fim de um caminho e incapaz de determinar de onde você veio, para onde você pretende ir ou mesmo onde você está. Da perspectiva de um observador, os dados salientes – os dados que desejamos guardar para nós mesmos – estão enterrados dentro de um espaço de outros dados, igualmente prováveis.

Ofuscação – Cap 1.2 Bots do Twitter

1.2 Bots do Twitter: enchendo um canal com ruído

Os dois exemplos que estamos prestes a discutir são um estudo em contrastes. Embora a produção de imitações seja seu modo de ofuscação, eles nos levam da Segunda Guerra Mundial às circunstâncias atuais, e do radar às redes sociais. Eles também introduzem um tema importante.

No capítulo 3, argumentamos que a ofuscação é uma ferramenta particularmente adequada para os “fracos” – os que se encontram em situação de desvantagem, os que estão no extremo errado das relações de poder assimétricas. Afinal, é um método que você tem motivos para adotar se não puder ser invisível – se não puder recusar ser rastreado ou vigiado, se não puder simplesmente optar por sair ou operar dentro de redes profissionalmente seguras. Isto não significa que não seja adotado também pelos poderosos. As forças opressivas ou coercivas geralmente têm melhores meios do que a ofuscação à sua disposição. Algumas vezes, porém, a ofuscação torna-se útil para os poderosos – como aconteceu em duas eleições, uma na Rússia e outra no México. A compreensão das escolhas enfrentadas pelos grupos que estão em disputa esclarecerá como a ofuscação deste tipo pode ser empregada.

Durante os protestos relacionados aos problemas que haviam surgido nas eleições parlamentares russas de 2011, grande parte da conversa sobre o enchimento das urnas e outras irregularidades ocorreu inicialmente no LiveJournal, uma plataforma de blogs que se originou nos Estados Unidos, mas atingiu sua maior popularidade na Rússia – mais da metade de sua base de usuários é russa.1 Embora o LiveJournal seja bastante popular, sua base de usuários é muito pequena em relação aos vários sistemas sociais do Facebook e da Google; ele tem menos de 2 milhões de contas ativas.2 Assim, o LiveJournal é comparativamente fácil para os atacantes fecharem por meio de ataque distribuído de negação de serviço (DDoS) – ou seja, usar computadores espalhados pelo mundo para emitir pedidos para o site em tal volume que os servidores que disponibilizam o site são sobrecarregados e os usuários legítimos não podem acessá-lo. Tal ataque ao LiveJournal, em conjunto com as prisões de blogueiros ativistas em um protesto em Moscou, foi evidentemente um ato de censura.3 Quando e por que, então, a ofuscação se tornou necessária?

A conversa sobre o protesto russo migrou para o Twitter, e os poderes interessados em interrompê-la enfrentaram então um novo desafio. O Twitter tem uma enorme base de usuários, com infraestrutura e experiência em segurança a enfrentar. Ele não poderia ser derrubado tão facilmente como o LiveJournal. Com sede nos Estados Unidos, o Twitter estava em uma posição muito melhor para resistir à manipulação política do que a empresa matriz do LiveJournal. (Embora o serviço LiveJournal seja fornecido por uma empresa estabelecida nos EUA para esse fim, a empresa que o possui, a SUP Media, está sediada em Moscou.4) Para bloquear completamente o Twitter, seria necessária a intervenção direta do governo. O ataque ao LiveJournal foi feito independentemente, por hackers nacionalistas que podem ou não ter a aprovação e a assistência da administração Putin/Medvedev.5 As partes interessadas em interromper a conversa política no Twitter enfrentaram, portanto, um desafio que se tornará familiar à medida que explorarmos os usos da ofuscação: o tempo era curto e os mecanismos tradicionais de ação não estavam disponíveis. Uma aprovação técnica direta – seja bloqueando o Twitter dentro de um país ou lançando um ataque mundial de negação de serviço – não era possível e os ângulos políticos e legais de ataque não podiam ser utilizados. Em vez de interromper uma conversa no Twitter, os atacantes podem sobrecarregá-lo com ruído.

Durante os protestos russos, a ofuscação tomou a forma de milhares de contas no Twitter que pipocaram de repente e esses usuários postaram tweets usando as mesmas hashtags usadas pelos manifestantes.6 Hashtags são um mecanismo para agrupar tweets; por exemplo, se eu adicionar #ofuscação a um tweet, o símbolo # transforma a palavra em um link ativo – clicando nela, todos os outros tweets marcados com #ofuscação serão mostrados. As hashtags são úteis para organizar a enchente de tweets em conversas coerentes sobre tópicos específicos, e #триумфальная (referindo-se a Triumfalnaya, a localização de um protesto) tornou-se uma das várias tags que as pessoas poderiam usar para descarregar sua raiva, expressar suas opiniões e organizar outras ações. (Hashtags também desempenham um papel na forma como o Twitter determina as “tendências” e tópicos significativos no site, que podem então chamar mais atenção para o que está sendo discutido sob essa tag – a lista de Tópicos de Tendências do site frequentemente atrai a cobertura de notícias.7)

Se você estivesse seguindo #триумфальная, você teria visto vários tweet de ativistas russos espalhando links para notícias e fazendo planos. Mas esses tweets começaram a ser intercalados com tweets sobre a grandeza russa, ou tweets que pareciam ser ruído, tagarelice ou palavras e frases aleatórias. Eventualmente, esses tweets dominaram o fluxo para #триумфальная e aqueles para outros tópicos relacionados aos protestos, a tal ponto que os tweets relevantes ao tópico se perderam, essencialmente, no ruído, incapazes de obter qualquer atenção ou de iniciar uma troca coerente com outros usuários. Essa enchente de novos tweets veio de contas que haviam estado inativas durante grande parte de sua existência. Embora tivessem postado muito pouco desde o momento de sua criação até o momento dos protestos, agora cada uma delas postou dezenas de vezes por hora. Alguns dos supostos usuários das contas tinham nomes sem sentido, como imelixyvyq, wyqufahij e hihexiq; outros tinham nomes mais convencionais, todos construídos sobre um modelo de primeiro nome, por exemplo, latifah_xander.8

Obviamente, estas contas no Twitter eram programas robôs, “Twitter bots”, que buscam se passar por pessoas e geram mensagens automáticas e direcionadas. Muitas das contas haviam sido criadas por volta da mesma época. Em números e frequência, tais mensagens podem facilmente dominar uma discussão, arruinando efetivamente a plataforma para um público específico através do uso excessivo – ou seja, ofuscando através da produção de sinais falsos e sem sentido.

O uso de bots está se tornando uma técnica confiável para abafar a discussão no Twitter. As altamente controversas eleições mexicanas de 2012 fornecem outro exemplo desta estratégia na prática, só que ainda mais refinada.9 Os manifestantes contrários ao candidato favorito, Enrique Peña Nieto, e ao Partido Revolucionario Institucional (PRI), usaram o #marchaAntiEPN como uma hashtag organizadora para agregar conversas, estruturar chamadas para ação e organizar eventos de protesto. Grupos que desejavam interferir nos esforços de organização dos manifestantes enfrentaram desafios similares aos do caso russo. Em vez de milhares de bots, no entanto, centenas de bots teriam feito o mesmo – na verdade, quando este caso foi investigado pela rede de TV estadunidense Univision, de língua espanhola, apenas cerca de trinta desses bots estavam ativos. Sua abordagem foi tanto para interferir no trabalho que estava sendo feito para avançar o #marchaAntiEPN quanto para usar em demasia essa hashtag. Muitos dos tweets consistiam inteiramente de variantes de “#marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN”. Tal repetição, particularmente por contas que já mostram um comportamento suspeito como bot, aciona sistemas dentro do Twitter que identificam tentativas de manipular o sistema de hashtagging e depois removem as hashtags em questão da lista de Tópicos de Tendências. Em outras palavras, porque os itens nos Tópicos de Tendências se tornam notícia e atraem a atenção, os spammers e anunciantes tentarão empurrar os hashtags para cima através da repetição, então o Twitter desenvolveu mecanismos para detectar e bloquear tal atividade.10

Os bots da eleição mexicana no Twitter estavam deliberadamente se engajando em mau comportamento a fim de acionar um cancelamento automático, mantendo assim o impacto do #marchaAntiEPN “fora do radar” da mídia maior. Eles estavam tornando a hashtag inutilizável e removendo seu significado potencial para a mídia. Isto foi ofuscação como um ato destrutivo. Embora tais esforços usem a mesma tática básica do chaff no radar (ou seja, produzir muitas imitações destinadas a esconder o real), eles têm objetivos muito diferentes: em vez de apenas ganhar tempo (por exemplo, no período que antecede uma eleição e durante o período de agitação depois), eles tornam certos termos inutilizáveis – até mesmo, da perspectiva de um algoritmo de classificação, tóxicos – manipulando as propriedades dos dados através do uso de sinais falsos.

Ofuscação – Cap1 Casos principais, Chaff

1 Casos Principais

1.1 Chaff: derrotar o radar militar

Durante a Segunda Guerra Mundial, um operador de radar rastreia um avião sobre Hamburgo, guiando holofotes e armas antiaéreas em relação a um ponto verde no visor cuja posição é atualizada a cada varredura da antena. Abruptamente, os pontos que parecem representar aviões começam a se multiplicar, inundando rapidamente o visor. O avião real está ali em algum lugar, impossível de ser localizado devido à presença de “ecos falsos”1.

O avião liberou chaff* – tiras de papel preto com fundo de alumínio e cortou para metade do comprimento de onda do radar alvo. Lançados aos milhares e depois flutuando pelo ar, eles enchem a tela do radar com sinais. A tática chaff satisfez exatamente as condições de dados que o radar está configurado para procurar e lhe deu mais “aviões”, espalhados por todo o céu, do que ele pode lidar.

Este pode muito bem ser o exemplo mais puro e simples da abordagem de ofuscação. Como a descoberta de um avião real era inevitável (não havia, na época, uma maneira de tornar um avião invisível ao radar), a chaff causou perdas em termos de tempo e colocou restrições de largura de banda ao sistema de descoberta, criando demasiados alvos potenciais. O fato de que a chaff funcionava apenas por um curto período de tempo, pois flutuava até o solo e não era uma solução permanente, não era relevante dadas as circunstâncias. Só tinha que funcionar bem e por tempo suficiente para que o avião ultrapassasse o alcance do radar.

Como discutiremos na parte II, muitas formas de ofuscação funcionam melhor como movimentos “descartáveis” para comprar de tempo. Eles podem lhe dar apenas alguns minutos, mas às vezes alguns minutos é todo o tempo que você precisa.

O exemplo da chaff também nos ajuda a distinguir, no nível mais básico, entre as abordagens de ofuscação. A tática chaff depende da produção de ecos – imitações da coisa real – que exploram o escopo limitado do observador. (Fred Cohen chama isso de “estratégia do engodo”.2) Como veremos, algumas formas de ofuscação geram sinais genuínos, mas enganosos – como você protegeria o conteúdo de um veículo enviando-o acompanhado por vários outros veículos idênticos, ou defenderia um determinado avião enchendo o céu com outros aviões – enquanto outras formas baralham sinais genuínos, misturando dados num esforço para tornar a extração de padrões mais difícil. Dado que as pessoas que espalham chaff têm conhecimento exato de seu adversário, a chaff não tem que fazer nenhuma destas duas coisas.

Se os projetistas de um sistema de ofuscação têm conhecimento específico e detalhado dos limites do observador, o sistema que eles desenvolvem tem que funcionar por apenas um comprimento de onda e por apenas 45 minutos. Se o sistema que seu adversário usa para observação for mais paciente, ou se tiver um conjunto mais abrangente de capacidades de observação, eles têm que fazer uso do que sabem sobre os objetivos do adversário – isto é, de quais informações úteis o adversário espera extrair dos dados obtidos através da vigilância – e minar esses objetivos através da manipulação de sinais genuínos.

Antes de passarmos à manipulação de sinais genuínos, vejamos um exemplo muito diferente de inundação de um canal com ecos.

*Daria pra traduzir chaff como palha, mas não sei o termo técnico militar.