1.10 Baralhamento de cartões SIM: como tornar incerta a busca de celulares

Como revelaram relatórios recentes e algumas das revelações de Edward Snowden, os analistas que trabalham para a Agência Nacional de Segurança (EUA) utilizam uma combinação de fontes de sinais de inteligência – especialmente metadados de telefones celulares e dados de sistemas de geolocalização – para identificar e rastrear alvos para eliminação.¹ Os metadados (mostrando quais números foram chamados e quando foram chamados) produzem um modelo de rede social que torna possível identificar números de telefone particulares como pertencentes a pessoas de interesse; as propriedades de geolocalização dos telefones celulares garantem que esses números podem ser situados, com diferentes graus de precisão, em lugares particulares, e então poderem ser alvo de drones. Em outras palavras, este sistema pode proceder da identificação, passando pela localização, até o assassinato sem nunca ter uma identificação visual cara a cara de uma pessoa. O mais próximo que um operador de drone pode chegar a colocar os olhos em alguém pode ser o exterior de um edifício, ou uma silhueta entrando em um carro. Tendo em vista os registros irregulares sobre o programa de metadados de telefones celulares da NSA e os ataques com drones, há, é claro, sérias preocupações sobre a precisão. Quer se esteja preocupado com as ameaças à segurança nacional permanecendo seguro e ativo, com as vidas de pessoas inocentes tomadas injustamente, ou com ambas, é fácil ver as possíveis falhas nesta abordagem.

Mudemos a situação e a consideremos mais abstratamente da perspectiva dos alvos. A maioria dos alvos da NSA é obrigada a ter sempre, seja com eles ou perto deles, um dispositivo de rastreamento (somente as figuras mais altas nas organizações terroristas são capazes de se livrar da tecnologia geradora de sinais), assim como praticamente todas as pessoas com as quais estão em contato. As chamadas e conversas que sustentam suas organizações também fornecem os meios de sua identificação; a estrutura que torna seu trabalho possível também os aprisiona. Em vez de tentar coordenar armas antiaéreas para encontrar um alvo em algum lugar no céu, o adversário tem total superioridade aérea, capaz de acertar um míssil em um carro, uma esquina de rua, ou uma casa. Entretanto, o adversário também tem um conjunto intimamente relacionado de limitações sistêmicas. Este sistema, por mais notável que seja seu escopo e capacidades, em última análise, depende de cartões SIM (módulo de identidade do assinante de celular) e da posse física de telefones celulares – um tipo de espectro estreito que pode ser explorado. Um antigo operador de aeronaves do Comando Conjunto de Operações Especiais informou que os alvos, sabendo disso, tomam medidas para misturar e confundir sinais genuínos. Alguns indivíduos têm muitos cartões SIM em circulação associados à sua identidade e os cartões são redistribuídos aleatoriamente. Uma abordagem usada é realizar reuniões nas quais todos os participantes colocam seus cartões SIM em uma bolsa, depois pegam os cartões da bolsa aleatoriamente, para que não fique claro quem está realmente conectado a cada dispositivo. (Esta é uma abordagem de tempo limitado: se a análise de metadados for suficientemente sofisticada, um analista deverá eventualmente ser capaz de classificar os indivíduos novamente com base em padrões de chamadas passadas, mas o re-baralhamento irregular torna isso mais difícil). O re-baralhamento pode também acontecer involuntariamente, pois os alvos que não sabem que estão sendo rastreados vendem seus telefones ou os emprestam a amigos ou parentes. O resultado final é um sistema com enorme precisão técnica e uma taxa muito incerta de sucesso real, seja medido em termos de indivíduos perigosos eliminados ou em termos de inocentes não-combatentes mortos por engano. Mesmo quando não se pode evitar o rastreamento razoavelmente exato de localização e a análise sociográfica, usar a ofuscação para recombinar e misturar sinais genuínos, em vez de gerar sinais falsos, pode oferecer uma medida de defesa e controle.

1.9 Documentação em excesso: como tornar a análise ineficiente

Continuando nosso olhar para o tipo de ofuscação que opera acrescentando sinais genuínos mas enganosos, consideremos agora a superprodução de documentos como uma forma de ofuscação, como no caso de uma divulgação excessiva de material em uma ação judicial. Esta foi a estratégia de Augustin Lejeune, chefe do Departamento Geral de Polícia no Comitê de Segurança Pública, um instrumento importante na fase do Terror da Revolução Francesa. Lejeune e seus funcionários produziram os relatórios que lançaram as bases para prisões, internações e execuções. Mais tarde, num esforço para desculpar seu papel no Terror, Lejeune argumentou que a qualidade exigente e esmagadoramente detalhada dos relatórios de seu escritório havia sido deliberada: ele havia instruído seus funcionários a produzir material em excesso, e a relatar “os mais pequenos detalhes”, a fim de retardar a produção de inteligência para o Comitê sem parecer uma rebelião. É duvidoso que as reivindicações de Lejeune sejam inteiramente precisas (os números que ele cita para a produção de relatórios não são confiáveis), mas, como aponta Ben Kafka, ele tinha inventado uma estratégia burocrática para criar lentidão através do excesso de oferta: “Ele parece ter reconhecido, ainda que tardiamente, que a proliferação de documentos e detalhes apresentava oportunidades de resistência, bem como de conformidade”.¹ Em situações onde não se pode dizer “não”, há oportunidades para um coro de “sim” inúteis – por exemplo, não envie uma pasta em resposta a uma solicitação; envie um armário de pastas contendo papéis potencialmente relevantes.

1.8 Aliados e objetos idênticos: muitas pessoas vestidas da mesma forma

Há muitos exemplos de ofuscação realizada por membros de um grupo que trabalham em conjunto para produzir sinais genuínos, mas enganosos, dentro dos quais o sinal genuíno e importante é ocultado. Um exemplo memorável da cultura popular é a cena do remake do filme de 1999 The Thomas Crown Affair, no qual o protagonista, vestindo um traje distinto inspirado em Magritte, de repente está numa massa cuidadosamente orquestrada de outros homens, vestidos com o mesmo traje, circulando pelo museu e trocando suas pastas idênticas.¹ O esquema de roubo de bancos no filme Inside Man, de 2006, baseia-se no fato de todos os ladrões usarem macacões, luvas e máscaras de pintores e vestirem seus reféns da mesma maneira.² Finalmente, considere o pensamento rápido de Roger Thornhill, o protagonista do filme North By Northwest de 1959 de Alfred Hitchcock, que, para fugir da polícia quando seu trem chega a Chicago, suborna um carregador de bagagens para lhe emprestar seu uniforme distinto, sabendo que a multidão de carregadores na estação dará à polícia muito de algo específico para procurar.³

Objetos idênticos como modos de ofuscação são bastante comuns e suficientemente conhecidos para que se repitam na imaginação e na realidade. A ancilia da Roma antiga exemplifica isso. Um escudo (ancile) caiu do céu – assim diz a lenda – durante o reinado de Numa Pompílio, o segundo rei de Roma (753-673 a.C.), e foi interpretado como um sinal de favor divino, uma relíquia sagrada cuja propriedade garantiria a continuação do império de Roma.⁴ O escudo foi pendurado no Templo de Marte junto com onze duplicatas exatas, portanto, os ladrões não saberiam qual levar. Os seis bustos de gesso de Napoleão, dos quais a história de Sherlock Holmes recebe seu título, oferecem outro exemplo. O vilão enfia uma pérola preta no gesso molhado de um objeto que não só tem cinco duplicatas, mas também é um de uma classe maior de objetos (bustos brancos baratos de Napoleão) que são onipresentes o suficiente para serem invisíveis.⁵

Uma instância do mundo real é fornecida pelo chamado ladrão da Craigslist. Às 11 horas da manhã de terça-feira, 30 de setembro de 2008, um homem vestido de dedetizador (de camisa azul, óculos de proteção e máscara de poeira), carregando uma bomba de spray, aproximou-se de um carro blindado estacionado do lado de fora de um banco em Monroe, Washington (EUA), incapacitou o guarda com spray de pimenta, e fugiu com o dinheiro.⁶ Quando a polícia chegou, encontraram treze homens na área usando camisas azuis, óculos de proteção e máscaras de poeira – um uniforme que eles estavam usando sob as instruções de um anúncio da Craigslist que prometia um bom salário para o trabalho de manutenção, que deveria começar às 11h15 da manhã no endereço do banco. Deve ter levado apenas alguns minutos para descobrir que nenhum dos trabalhadores ali era o ladrão, mas alguns minutos era todo o tempo que o ladrão precisava para escapar.

Depois há a poderosa história, muitas vezes recontada embora factualmente imprecisa, do rei da Dinamarca e de um grande número de não-judeus dinamarqueses usando a Estrela Amarela para que os alemães ocupantes não pudessem distinguir e deportar os judeus dinamarqueses. Embora os dinamarqueses tenham protegido corajosamente sua população judia de outras formas, a Estrela Amarela não foi usada pelos nazistas na Dinamarca ocupada, por medo de despertar um sentimento mais antialemão. Entretanto, “houve casos documentados de não-judeus usando estrelas amarelas para protestar contra o antissemitismo nazista na Bélgica, França, Holanda, Polônia e até mesmo na própria Alemanha”.⁷ Esta lenda oferece um exemplo perfeito de ofuscação cooperativa: não-judeus usando a Estrela Amarela como um ato de protesto, gerando uma população na qual judeus individuais poderiam se misturar.⁸

1.7 Identidade do grupo: muitas pessoas sob apenas um nome

Um dos exemplos mais simples e memoráveis de ofuscação, e que introduz o trabalho do grupo em ofuscação, é a cena do filme Spartacus em que os escravos rebeldes são solicitados pelos soldados romanos a identificar seu líder, que os soldados pretendem crucificar.¹ Como Spartacus (interpretado por Kirk Douglas) está prestes a falar, um a um os outros ao seu redor dizem “Eu sou Spartacus!” até que toda a multidão reivindica essa identidade.

Muitas pessoas assumindo a mesma identidade para a proteção de grupos (por exemplo, o Capitão Swing na revolta agrícola inglesa de 1830, o onipresente “Jacques” adotado pelos radicais em A Tale of Two Cities de Dickens, ou a máscara de Guy Fawkes no romance gráfico V de Vendetta, agora associado ao grupo hacktivista conhecido como Anonymous) é, neste ponto, quase um clichê.² Marco Deseriis estudou o uso de “nomes impróprios” e identidades coletivas na eliminação da responsabilidade individual e na proliferação de ações.³ Algumas formas de ofuscação podem ser conduzidas sozinho; outras dependem de grupos, equipes, comunidades e confederados.

1.6 Falsos indícios: criar padrões para enganar um observador treinado

Considere como o mesmo padrão básico de ofuscação pode ser usado ao serviço em um contexto mais leve do que ocultar o trabalho dos denunciantes: o pôquer.

Muito do prazer e muito do desafio do pôquer está em aprender a inferir a partir de expressões, gestos e linguagem corporal se alguém está blefando (isto é, fingindo segurar uma mão mais fraca do que a pessoa realmente segura) na esperança de fazer uma aposta. O ponto central para o trabalho de estudar os adversários é o “indício” – algum hábito inconsciente ou tique que um adversário exibe em resposta a uma mão forte ou fraca, como suar, olhar com preocupação ou inclinar-se para frente. Os “indícios” são tão importantes na economia informacional do pôquer que os jogadores às vezes usam indícios falsos – ou seja, criam maneirismos que podem parecer parte de um padrão maior.¹ Na estratégia comum do pôquer, o uso de um indício falso é geralmente reservado para um momento crucial em um torneio, para que os outros jogadores não percebam que ele é impreciso e o usem contra você. Uma análise paciente de múltiplos jogos poderia separar um indício verdadeiro dos falsos, mas no contexto de um jogo de apostas altas, o momento da falsidade pode ser altamente eficaz. Técnicas similares são usadas em muitos esportes que envolvem comunicação visível. Um exemplo é a sinalização no basebol – como explicou um treinador a um repórter de jornal: “Às vezes você está dando um sinal, mas isso nem quer dizer nada”.²

1.5 Uploads para sites de vazamento: enterrar arquivos significativos

O WikiLeaks utilizou uma variedade de sistemas para resguardar as identidades tanto dos visitantes quanto dos colaboradores. No entanto, havia um ponto que poderia diminuir a segurança do site: os uploads de arquivos. Se os bisbilhoteiros pudessem monitorar o tráfego no WikiLeaks, eles poderiam identificar atos de envio de material para o servidor seguro do WikiLeaks. Especialmente se eles construíssem palpites fundamentados sobre os tamanhos comprimidos de várias coleções de dados posteriormente liberados, eles poderiam retroativamente inferir sobre o que foi transmitido, quando foi transmitido e (em vista de falhas em outras áreas de segurança técnica e operacional) quem transmitiu. Diante deste tipo de desafio muito particular, o WikiLeaks desenvolveu um roteiro para produzir sinais falsos. Ao ser acessado pelos navegadores dos visitantes, o site gerava atividades que pareciam uploads para o servidor seguro.¹ Dessa forma, um bisbilhoteiro veria uma enorme multidão de aparentes denunciadores (a grande maioria dos quais, na realidade, estavam apenas lendo ou vasculhando documentos já disponibilizados), e quem sabe alguns poderiam ser verdadeiros. O site não buscava fornecer dados particulares para interferir na mineração de dados ou na publicidade; simplesmente procurou imitar e ocultar os movimentos de alguns de seus usuários.

Mesmo os dados criptografados e comprimidos contêm metadados pertinentes, no entanto, e a proposta para o projeto OpenLeaks – uma variante sem sucesso no WikiLeaks, desenvolvida por alguns dos participantes descontentes no sistema original do WikiLeaks – incluiu um refinamento adicional.² Após uma análise estatística das submissões do WikiLeaks, o OpenLeaks desenvolveu um modelo de uploads falsos que manteria as mesmas proporções de tamanhos de arquivos que normalmente aparecem no tráfego de upload de um site de vazamentos. A maioria dos arquivos variava em tamanho de 1,5 a 2 megabytes, apesar de alguns exemplares ultrapassarem os 700 megabytes. Se um adversário pode monitorar o tráfego de upload, a forma pode ser tão reveladora quanto o conteúdo, e tão útil na separação de sinais reais de falsos. Como este exemplo sugere, os mecanismos de ofuscação podem ganhar muito ao descobrir todos os parâmetros que podem ser manipulados – e ao descobrir o que o adversário está procurando, de modo a dar a ele uma versão fabricada.

1.4 TrackMeNot: mistura de consultas de busca genuína e artificial

O TrackMeNot (não-me-rastreie), desenvolvido em 2006 por Daniel Howe, Helen Nissenbaum e Vincent Toubiana, exemplifica uma estratégia de software para ocultar a atividade com sinais imitativos.¹ O objetivo do TrackMeNot é enganar o perfilamento dos usuários feito através de suas buscas. Ele foi projetado em resposta ao pedido do Departamento de Justiça dos EUA para lidar com os registros (logs) de busca do Google e em resposta à descoberta surpreendente por um repórter do New York Times de que algumas identidades e perfis poderiam ser inferidos mesmo a partir de registros de busca anônimos publicados pela AOL Inc.²

Nossas buscas na internet são como listas de locais, nomes, interesses e problemas. Quer nossos endereços IP completos estejam ou não incluídos, nossas identidades podem ser inferidas a partir dessas listas e padrões sobre nossos interesses podem se tornar aparentes. Respondendo a pedidos de responsabilização, as empresas de busca têm oferecido maneiras de atender às preocupações das pessoas com relação à coleta e armazenamento das informações das consultas de busca, embora continuem a coletar e analisar os registros de tais consultas.³ Impedir que qualquer fluxo de consultas seja inadequadamente revelador dos interesses e atividades de uma determinada pessoa continua sendo um desafio.⁴

A solução que o TrackMeNot oferece não é esconder as consultas dos usuários feitas nos motores de busca (um método impraticável, tendo em vista a necessidade de satisfação da consulta), mas ofuscar, gerando automaticamente consultas a partir de uma “lista de sementes” de termos. Inicialmente escolhidos de feeds RSS, estes termos evoluem de modo que diferentes usuários desenvolvem diferentes listas de sementes. A precisão da imitação é continuamente refinada através de preenchimentos subsequentes da lista de sementes com novos termos gerados a partir de retornos para consultas de busca. O TrackMeNot envia as consultas de uma forma que tenta imitar os comportamentos de busca dos usuários reais. Por exemplo, um usuário que tenha pesquisado por “bom café wi-fi chelsea” também pode ter pesquisado por “canis de savana”, “suco natural miami”, “empresa de propriedade asiática”, “exercício para retardar demência” e “luz halógena telescópica”. As atividades dos indivíduos são mascaradas pelas de muitos fantasmas, tornando o padrão mais difícil de discernir, de modo que se torna muito mais difícil dizer de qualquer consulta o que foi produto da intenção humana ou uma saída automática do TrackMeNot. Desta forma, o TrackMeNot estende o papel de ofuscação, em algumas situações, para incluir a negação plausível^*.

1.3 CacheCloak: serviços de localização sem rastreamento de localização

A tática da CacheCloak adota uma abordagem de ofuscação adequada aos serviços baseados em localização (location-based services, LBSs).¹ Ela ilustra duas reviravoltas no uso de ecos falsos e imitações na ofuscação. A primeira delas é garantir que os dados relevantes ainda possam ser extraídos pelo usuário; a segunda é tentar encontrar uma abordagem que possa funcionar indefinidamente em vez de como uma estratégia temporária de compra de tempo.

Os serviços baseados em localização aproveitam as capacidades de localização de dispositivos móveis para criar vários serviços, alguns deles sociais (por exemplo, o FourSquare, que transforma a ida a lugares em um jogo competitivo), alguns lucrativos (por exemplo, publicidade de localização) e alguns totalmente úteis (por exemplo, mapas e buscas de objetos mais próximos). A retórica clássica do equilíbrio entre privacidade e utilidade, na qual a utilidade é frequentemente apresentada como prejudicial à privacidade, é evidente aqui. Se você quer aproveitar um LBS – por exemplo, se você quer estar na rede em que seus amigos estão para que você possa se encontrar com um deles se você e essa pessoa estiverem próximos – então terá que sacrificar alguma privacidade e você terá que se acostumar a ter o prestador de serviços sabendo onde você está. A CacheCloak sugere uma outra maneira de fazer essa troca.

“Onde outros métodos tentam obscurecer o caminho do usuário escondendo partes dele”, os criadores da CacheCloak escrevem, “nós obscurecemos a localização do usuário ao cercá-lo com os caminhos de outros usuários”² – isto é, através da propagação de dados ambíguos. No modelo padrão, seu telefone envia sua localização para o serviço e recebe as informações solicitadas em troca. No modelo CacheCloak, seu telefone prevê seus possíveis caminhos e depois busca os resultados para várias rotas prováveis. Conforme você se movimenta, você recebe os benefícios de saberem a sua localização – acesso ao que você está procurando, na forma de dados em cache (temporários) antes de possíveis solicitações – e um adversário fica com muitos caminhos possíveis, incapaz de distinguir o início do fim de um caminho e incapaz de determinar de onde você veio, para onde você pretende ir ou mesmo onde você está. Da perspectiva de um observador, os dados salientes – os dados que desejamos guardar para nós mesmos – estão enterrados dentro de um espaço de outros dados, igualmente prováveis.