Monthly Archives: março 2021

Ofuscação – Cap. 1.13 Operação Vula

1.13 Operação Vula: ofuscação na luta contra o Apartheid

Encerramos este capítulo com um exemplo narrativo detalhado da ofuscação empregada em um contexto complexo por um grupo que procurava obter a libertação de Nelson Mandela da prisão na África do Sul durante a luta contra o Apartheid. Chamada Operação Vula (abreviação de Vul’indlela, que significa Abrir o Caminho), foi concebida por líderes do Congresso Nacional Africano (ANC) dentro da África do Sul que estavam em contato com Mandela e estavam coordenando seus esforços com os de agentes do ANC, simpatizantes e generais em todo o mundo.

O último projeto desta escala que o ANC havia conduzido havia resultado na catástrofe do início dos anos 1960, na qual Mandela e praticamente todos os principais líderes do ANC haviam sido presos e os documentos da Fazenda Liliesleaf haviam sido capturados e usados contra eles em tribunal. Isto significava que a Operação Vula tinha que ser executada com práticas de segurança e privacidade absolutamente herméticas. De fato, quando o escopo total da operação foi revelado na década de 1990, foi uma surpresa não apenas para o governo sul-africano e para os serviços de inteligência internacional, mas também para muitas figuras proeminentes da liderança dentro do ANC. Pessoas que supostamente receberam transplantes de rins ou se recuperavam de acidentes de motocicleta tinham na verdade caído na clandestinidade, passaram a usar novas identidades e depois retornaram à África do Sul, “abrindo a estrada” para a libertação de Mandela. Dada a vigilância dentro e fora da África do Sul, o possível comprometimento dos canais de comunicação do ANC preexistentes e o interesse de espiões e polícias em todo o mundo, a Operação Vula tinha que ter formas seguras de compartilhar e coordenar informações.

A extraordinária história da Operação Vula foi contada por um de seus principais arquitetos, Tim Jenkin, nas páginas do jornal do ANC Mayibuye.1 Ela representa um excelente exemplo de segurança de operações, negociação e gerenciamento de uma rede segura.

Entender quando e como a ofuscação veio a ser empregada na Operação Vula requer a compreensão de alguns dos desafios que seus arquitetos enfrentaram. O uso de linhas telefônicas fixas na África do Sul, cada uma ligada a um endereço e um nome, não era uma opção. O menor deslize poderia levar a escutas telefônicas e ao que agora chamaríamos de análise de metadados, e assim, uma imagem da rede de ativistas poderia ser obtida a partir de registros telefônicos nacionais e internacionais. Os agentes da Vula tinham vários sistemas de codificação, cada um deles dificultado pela complicação e tédio de fazer a codificação à mão. Havia sempre a tentação de voltar a “falar em sussurros por telefone novamente”, especialmente quando as crises aconteciam e as coisas começavam a se mover rapidamente. A operação tinha que ser perfeitamente coordenada entre a África do Sul (principalmente Durban e Joanesburgo) e Lusaka, Londres, Amsterdã e outras localidades ao redor do mundo enquanto os agentes circulavam. O serviço postal era lento e vulnerável, a criptografia consumia muito tempo e muitas vezes era propensa a desleixo, o uso de telefones domésticos era proibido e a coordenação entre vários fusos horários ao redor do mundo parecia impossível.

Jenkin estava ciente das possibilidades de usar computadores pessoais para tornar a criptografia mais rápida e mais eficiente. Sediado em Londres após sua fuga da Prisão Central de Pretória, ele passou a metade dos anos 1980 trabalhando no sistema de comunicação necessário para a Operação Vula, que, no final das contas, se transformou numa rede impressionante. A criptografia acontecia em um computador pessoal e a mensagem cifrada era então expressa como uma série rápida de tons gravados em um toca-fitas portátil. Um agente ia a uma cabine telefônica pública e discava um número de Londres, que era captado por uma secretária eletrônica que Jenkin havia modificado para gravar por até cinco minutos. O agente tocaria o cassete no bocal do telefone. Os tons, gravados pela máquina, poderiam ser tocados para um modem acústico, que os enviaria para um computador e depois seriam descriptografados. (Havia também uma secretária eletrônica “de saída”. Agentes remotos podiam ligar de uma cabine telefônica, gravar os tons para suas mensagens e descriptografá-los em qualquer lugar que tivessem acesso a um computador que pudesse executar os sistemas de cifragem que Jenkin havia inventado).

Esta era realmente uma rede impressionante – sem falar que grandes partes de seu lado digital (incluindo uma forma de implementar códigos de manipulação de erros para lidar com o barulho de reproduzir mensagens através de linhas telefônicas internacionais a partir de cabines barulhentas) tiveram que ser inventadas do zero. Entretanto, como a Operação Vula continuou a crescer e a rede de operadores a se expandir, a enorme quantidade de tráfego ameaçou sobrecarregar a rede. Os operadores estavam preparando a África do Sul para a ação e esse trabalho não deixava muito tempo para encontrar telefones públicos que aceitassem cartões de crédito (o som de moedas caindo poderia interferir no sinal) ond desse para ficar ali de pé com toca-fitas. Jenkin e seus colaboradores ficavam acordados até tarde, trocando fitas nas máquinas à medida que as mensagens chegavam. Tinha chegado o momento de mudar para e-mails criptografados, mas todo o sistema tinha sido desenvolvido para evitar o uso de linhas telefônicas particulares, conhecidas pela repressão, dentro da África do Sul.

A Operação Vula precisava ser capaz de enviar mensagens criptografadas de e para computadores na África do Sul, em Lukasa e em Londres, sem levantar suspeitas. Durante os anos 1980, enquanto a rede que descrevemos estava tomando forma, o ambiente de negócios internacionais estava produzindo exatamente o tipo de pano de fundo contra o qual este subterfúgio poderia se esconder. A pergunta era, como Jenkin disse, “O inimigo tinha a capacidade de determinar qual das milhares de mensagens que saíam do país todos os dias era ‘suspeita’”? Os ativistas precisavam de um usuário típico de e-mail criptografado – um sem filiação política clara – para descobrir se suas mensagens criptografadas poderiam passar despercebidas no fluxo de correio eletrônico. Eles precisavam, Jenkin lembrou mais tarde, “encontrar alguém que normalmente usaria um computador para se comunicar com o exterior e fazer com que essa pessoa lidasse com as comunicações”.

Eles tinham um agente que podia experimentar este sistema antes de mudar suas comunicações para o novo formato: um sul-africano nativo que estava prestes a retornar à sua terra natal depois de trabalhar no exterior por muitos anos como programador para empresas britânicas de telecomunicações. Seu agente se comportaria como um cidadão típico enviando muitas mensagens de e-mail todos os dias, usando um provedor de e-mail comercial em vez de um servidor personalizado e confiando no fato de que muitas empresas usavam criptografia em suas comunicações. “Isto era uma coisa muito normal para uma pessoa em sua posição fazer”, lembrou Jenkin. O sistema funcionou: as mensagens do agente se misturavam com o tráfego comum, fornecendo uma plataforma para comunicações abertas, porém secretas que poderiam ser expandidas rapidamente.

Se fazendo passar por consultores de informática, Tim Jenkin e Ronnie Press (outro membro importante do Comitê Técnico do ANC) foram capazes de se manter a par dos novos dispositivos e tecnologias de armazenamento e de providenciar sua compra e entrega onde fossem necessários. Usando uma combinação de provedores de e-mail comercial e serviços de quadro de avisos (bulletin-board) que funcionavam com computadores pessoais e de bolso, eles foram capazes de fazer circular mensagens dentro da África do Sul e ao redor do mundo, e também de preparar textos do ANC para distribuição. (O sistema chegou a transportar mensagens de Mandela, contrabandeadas por seu advogado em compartimentos secretos em livros para serem publicadas no sistema). A atividade ordinária de usuários comuns com endereços comerciais pouco claros tornou-se um canal de informação de alto valor, movendo enormes volumes de dados criptografados de Londres para Lukasa e depois para a África do Sul e entre as células Vula naquele país. O sucesso deste sistema se deveu em parte às circunstâncias históricas – computadores pessoais e e-mail (incluindo e-mail criptografado) tinham se tornado comuns o suficiente para evitar levantar suspeitas, mas não tão comuns a ponto de inspirar a construção de novos sistemas de vigilância digital mais abrangentes como os que os governos têm hoje.

A rede Vula, em seu estágio final, não era ingênua quanto à segurança das mensagens digitais; ela mantinha tudo protegido por um sofisticado sistema de criptografia cheio de detalhes inventivos e encorajava seus usuários a mudarem suas chaves de criptografia e a praticarem uma boa segurança operacional. Dentro deste contexto, no entanto, a operação oferece um excelente exemplo do papel que a ofuscação pode desempenhar na construção de um sistema de comunicação seguro e secreto. Ilustra os benefícios de encontrar a situação correta existente e misturar-se nela, perder-se no burburinho do comércio comum, escondido pela multidão.

Ofuscação – Cap. 1.12 Fitas de vozes sobrepostas

1.12 Fitas de vozes sobrepostas: escondendo uma fala nas falas

Imagine um velho clichê sobre mafiosos sob ameaça do FBI. Sempre envolve muita conversa nos banheiros: os respingos e gorgulhos da água e o zumbido do ventilador, assim contava a história, tornou as conversas difíceis de ouvir se a casa tinha uma escuta ou se alguém na sala estava usando um microfone. Hoje existem técnicas refinadas (e muito mais eficazes) para derrotar a vigilância por áudio que se inspiram mais diretamente na ofuscação. Uma delas é o uso das chamadas fitas de vozes sobrepostas.1 Paradoxalmente, essas fitas têm sido usadas menos por mafiosos do que por advogados preocupados que o vazamento de informações possa violar o sigilo advogado-cliente.

Uma fita de vozes sobrepostas é um arquivo digital de áudio destinado a ser reproduzido em segundo plano durante as conversas. O arquivo é complexo. Quarenta faixas de voz soam simultaneamente (trinta e duas em inglês, oito em outros idiomas) e cada faixa é comprimida em frequência e tempo de tal maneira que produzam “vozes” adicionais para assim preencher todo o espectro de frequência. Há também vários ruídos mecânicos não humanos e uma explosão supersônica periódica (inaudível para ouvintes adultos) projetada especificamente para interferir no sistema automático de controle de ganho de um dispositivo de escuta (esse sistema visa captar melhor um sinal de áudio). No caso deste exemplo, as vozes em uma fita de vozes sobrepostas usada por um advogado vai incluir as do cliente e do advogado também. A densa mistura de vozes aumenta a dificuldade de discernir uma única voz.

Ofuscação – Cap. 1.11 Retransmissores Tor

1.11 Retransmissores Tor: requisições feitas em nome de outras pessoas para ocultar o tráfego pessoal

Tor é um sistema projetado para facilitar o uso anônimo da Internet através de uma combinação de criptografia e passagem da mensagens através de muitos “nós” independentes diferentes. Em uma estratégia híbrida de ofuscação, Tor pode ser usado em combinação com outros mecanismos mais poderosos de ocultação de dados. Tal estratégia consegue a ofuscação parcialmente através da mistura e intercalação de atividades genuínas (criptografadas). Imagine uma mensagem passada sub-repticiamente através de uma enorme multidão para você. A mensagem é uma pergunta sem nenhuma informação de identificação; até onde você sabe, ela foi escrita pela última pessoa a segurá-la, ou seja, a pessoa que a entregou a você. A resposta que você escreve e passa de volta desaparece na multidão, seguindo um caminho imprevisível. Em algum lugar nessa multidão, o remetente inicial recebe sua resposta. Nem você nem ninguém sabe exatamente quem foi que a escreveu.

Se você solicitar uma página da Web enquanto trabalha através da rede Tor, sua solicitação não terá marcado o seu endereço IP; ela virá de um “nó de saída” (análogo à última pessoa que entrega a mensagem a seu destinatário), juntamente com as solicitações de muitos outros usuários dessa rede. Os dados entram no sistema Tor e passam por um labirinto de retransmissores, ou seja, computadores na rede Tor (análogos às pessoas na multidão) que oferecem um tanto de sua largura de banda com o propósito de lidar com o tráfego Tor de outras pessoas, concordando em passar mensagens não vistas. Quanto mais retransmissores houver, mais rápido será o sistema como um todo. Se você já está usando Tor para proteger seu tráfego de Internet, é possível transformar seu computador em um retransmissor para o bem coletivo maior. Tanto o desempenho da rede Tor quanto a ofuscação de indivíduos na rede melhoram à medida que mais pessoas fazem uso da rede.

A ofuscação, destacam os designers da rede Tor, aumenta seu considerável poder de proteção. Em troca de rodar um retransmissor Tor, “você melhora seu anonimato contra alguns ataques. O exemplo mais simples é um atacante que controla um pequeno número de retransmissores Tor. Ele verá uma conexão sua, mas não poderá saber se a conexão teve origem em seu computador ou se foi retransmitida por outra pessoa”.1 Se alguém tem agentes infiltrados na multidão – isto é, se alguém está executando os retransmissores Tor para fins de vigilância – os agentes não podem ler uma mensagem que eles passam adiante, mas podem saber quem a passou para eles. Se você estiver na rede Tor e não estiver rodando um retransmissor, eles sabem que você escreveu a mensagem que você lhes deu. Mas se você está rodando um retransmissor do seu computador, a mensagem pode ser sua ou pode ser apenas uma entre muitas que você está passando para outras pessoas. Essa mensagem começou com você ou não? As informações agora são ambíguas e as mensagens que você escreveu estão seguras em um bando de outras mensagens que você passa. Em resumo, esta é uma forma significativamente mais sofisticada e eficiente de tornar ambíguas determinadas transações de dados e de frustrar a análise do tráfego, fazendo uso do volume de comunicações. Ela não se limita a misturar sinais genuínos (como seria sortear cartões SIM de uma bolsa, com todos os consequentes problemas de coordenação); ela leva cada mensagem a seu destino. Entretanto, cada mensagem pode servir para tornar incertas as fontes de outras mensagens.