Author Archives: saltamontes

Ofuscação – Cap. 2.5 Cotações super-demandadas

2.5 Cotações super-demandadas: confundindo estratégias comerciais algorítmicas

O termo “quote stuffing” (cotações super-demandadas) tem sido aplicado a explosões de atividade anômala nas bolsas de valores que parecem ser dados comerciais enganosos gerados para ganhar vantagem sobre os concorrentes na bolsa. No campo rarefeito da negociação de alta frequência (high frequency trading, HFT), os algoritmos realizam grandes volumes de negócios muito mais rapidamente do que os humanos poderiam, aproveitando intervalos de tempo minuciosos e diferenças de preço que não atrairiam a atenção dos negociadores humanos. O tempo sempre foi crítico para a negociação, mas em HFT milésimos de segundo é o que separa lucro de perda, e complexas estratégias surgiram para acelerar suas negociações e retardar as de seus concorrentes. Os analistas do comportamento do mercado começaram a notar padrões incomuns de atividade de HFT durante o verão de 2010: explosões de pedidos de cotação para uma determinada ação financeira, às vezes milhares deles em um segundo. Tal atividade parecia não ter nenhuma razão econômica, mas uma das teorias mais interessantes e plausíveis é que estas explosões são uma tática de ofuscação. Um observador explica o fenômeno desta forma: “Se você pudesse gerar um grande número de cotações que seus concorrentes têm que processar, mas pode ignorar já que você as gerou, você ganha um tempo valioso de processamento”.1 Informações sem importância, na forma de cotações, são usadas para ocupar o campo de atividade relevante de forma que os geradores dessas informações sem importância possam avaliar com precisão o que está acontecendo, tornando mais difícil e demorado para que seus concorrentes o façam. Eles criam uma nuvem que só eles podem ver através. Nenhum dos padrões dessa informação enganaria ou mesmo distrairia um analista durante um período de tempo mais longo – seria óbvio que eles eram artificiais e insignificantes. Mas no mundo do sub-segundo do HFT, o tempo que leva apenas para observar e processar a atividade faz toda a diferença.

Se o uso do “cotações super-demandadas” se espalhasse, ele poderia ameaçar a própria integridade do mercado de ações como um sistema de trabalho ao sobrecarregar a infraestrutura física na qual as bolsas de valores dependem com centenas de milhares de cotações inúteis que consomem largura de banda. “Este é um acontecimento progressivo extremamente perturbador”, acrescenta o observador citado acima, “porque à medida que mais sistemas HFT começam a fazer isto, é apenas uma questão de tempo até que o enchimento de cotações desligue todo o mercado por congestionamento”2.

Ofuscação – Cap. 2.4 AdNauseam

2.4 AdNauseam: clicando em todos os anúncios

Em uma estratégia que se assemelha à dos chamarizes de pistolas de radar franceses, AdNauseam, um plug-in de navegador da web, resiste à vigilância on-line que visa publicidade comportamental. Ele faz isso ao clicar em todos os anúncios em todas as páginas da Web visitadas por seus usuários. Em conjunto com o Ad Block Plus, o AdNauseam funciona em segundo plano, clicando silenciosamente em todos os anúncios bloqueados enquanto grava, para o interesse do usuário, detalhes sobre os anúncios que foram ofertados e bloqueados.

A ideia do AdNauseam surgiu de uma sensação de impotência: não é possível parar o rastreamento onipresente das redes de anúncios, ou compreender as complexas complexidades institucionais e técnicas que constituem seu backend sócio-técnico (seu funcionamento fora da vista do usuário). Isso inclui web cookies e beacons, impressão digital do navegador (que utiliza combinações e configurações da tecnologia do visitante para identificar suas atividades), redes de anúncios e empresas de análise e perfilamento. Os esforços para encontrar algum meio-termo através de um padrão técnico tipo Do Not Track têm sido frustrados por poderosos atores na economia política da publicidade direcionada. Neste clima de ausência de alternativa, nasceu o AdNauseam. Seu design foi inspirado por uma percepção resumida do modelo de negócios predominante, que cobra dos possíveis anunciantes um prêmio pela entrega de observadores com interesse comprovado em seus produtos. Que evidência mais reveladora existe de interesse do que cliques em anúncios específicos? Os cliques também constituem às vezes a base de pagamento para uma rede de anúncios e para o site de hospedagem de anúncios. Os cliques em anúncios, em combinação com outros fluxos de dados, constroem os perfis dos usuários rastreados. Como os sistemas de chamarizes de radar franceses, AdNauseam não tem como objetivo destruir a capacidade de rastrear cliques; ao invés disso, ele funciona diminuindo o valor desses cliques ofuscando os cliques reais com cliques gerados automaticamente.

Ofuscação – Cap. 2.3 Falsos sinais de radares

2.3 Falsos sinais de radares: como derrotar os detectores de radar

A ofuscação faz parte da estratégia do governo francês contra os detectores de radar.1 Estes aparelhos bastante comuns alertam os motoristas quando a polícia está usando radares de detecção de velocidade nas proximidades. Alguns detectores de radar podem indicar a posição de uma pistola de radar em relação ao veículo do usuário e, portanto, são ainda mais eficazes para ajudar os motoristas a evitar multas por excesso de velocidade.

Em teoria, as multas são um desestímulo para a condução excessivamente rápida e perigosa; na prática, elas servem como uma fonte de renda para os departamentos de polícia e governos locais. Por ambas as razões, a polícia está altamente motivada para derrotar os detectores de radar.

A opção de regular ou mesmo proibir os detectores de radar é irrealista tendo em vista o fato de que se estima que 6 milhões de motoristas franceses sejam proprietários deles. Transformar muitos cidadãos comuns em criminosos parece ser imprudente. Sem o poder de parar a vigilância contra as pistolas de radar, o governo francês resolver usar a ofuscação para tornar essa detecção menos útil em zonas de alto tráfego, implantando conjuntos de dispositivos que acionam os sinais de alerta dos detectores de radar sem realmente medir a velocidade. Estes dispositivos espelham a estratégia da chaff, na medida em que os sons de alerta se multiplicam diversas vezes. Um deles pode, de fato, indicar um radar que detecta a velocidade real, mas qual deles? O sinal significativo é afogado em uma massa de outros sinais plausíveis. Ou os motoristas correm o risco de receber multas por excesso de velocidade ou eles diminuem a velocidade em resposta ao dilúvio de indívios de radar. E o objetivo cívico é alcançado. Não importa o que alguém possa achar dos policiais de trânsito ou dos motoristas em excesso de velocidade, o caso segue relevante como forma de ofuscação que alcança um objetivo sem destruir os dispositivos dos adversários, mas tornando-os funcionalmente irrelevantes.

Ofuscação – Cap. 2.2 Pedidos falsos

2.2 Pedidos falsos: ofuscação para atacar empresas rivais

O objetivo de tornar um canal mais ruidoso pode ser empregado não apenas para ocultar um tráfego significativo, mas também para aumentar os custos de organização através desse canal – e assim aumentar o custo de fazer negócios. A empresa Uber, que veio substituir os táxis, nos dá um exemplo desta abordagem na prática.

O mercado para empresas que fornecem algo semelhante aos táxis e serviços de automóveis está crescendo rapidamente, e a concorrência tanto para os clientes quanto para os motoristas é feroz. A Uber tem oferecido bônus para recrutar motoristas de serviços concorrentes e recompensas apenas por visitar a sede da empresa. Em Nova York, a Uber seguiu uma estratégia particularmente agressiva contra seu concorrente Gett, usando a ofuscação para recrutar os motoristas da Gett.1 No decorrer de alguns dias, vários funcionários da Uber encomendariam caronas à Gett e depois cancelariam essas encomendas pouco antes da chegada dos motoristas da Gett. Esta enxurrada de pedidos infrutíferos manteve os motoristas da Gett em movimento, não ganhando corridas e ficando incapazes de atender a muitos pedidos legítimos. Logo após receber uma ordem infrutífera, ou várias delas, um motorista da Gett receberia uma mensagem de texto da Uber oferecendo-lhe dinheiro para trocar de emprego. Pedidos reais de transporte eram efetivamente ofuscados pelos pedidos falsos de Uber, o que reduzia o valor de um emprego com a Gett. (Lyft, uma empresa de compartilhamento de transporte, alegou que Uber fez ataques semelhantes de ofuscação em seus motoristas).

Ofuscação – Cap 2.1 Araneidae: animais ofuscantes

2 Outros exemplos

2.1 Araneidae: animais ofuscantes

Alguns animais (e algumas plantas também) têm maneiras de se esconder ou de realizar truques visuais. Os insetos imitam a aparência de folhas ou galhos, os coelhos têm contra-sombreamento (barrigas brancas) para eliminar os sinais de forma que permitem a um falcão ver e atacar facilmente e as manchas nas asas das borboletas imitam os olhos dos animais predadores.

Um dos mais incríveis ofuscadores do mundo animal é a Cyclosa mulmeinensis, uma aranha tecedora de espirais circulares.1 Esta aranha enfrenta um problema particular para o qual a ofuscação é uma boa solução: sua teia deve ser exposta de forma a capturar a presa, mas isso torna a aranha muito mais vulnerável ao ataque de vespas. A solução da aranha é fazer um duplo de si mesma a partir de restos de sua presa, pedacinhos de folhas e teia, com (da perspectiva de uma vespa) o mesmo tamanho, cor e refletividade da própria aranha, e posicionar estas iscas ao redor da teia. Isto diminui as chances de uma vespa acertar o seu alvo e dá à Cyclosa mulmeinensis tempo para escapar rapidamente do perigo.

Ofuscação – Cap. 1.13 Operação Vula

1.13 Operação Vula: ofuscação na luta contra o Apartheid

Encerramos este capítulo com um exemplo narrativo detalhado da ofuscação empregada em um contexto complexo por um grupo que procurava obter a libertação de Nelson Mandela da prisão na África do Sul durante a luta contra o Apartheid. Chamada Operação Vula (abreviação de Vul’indlela, que significa Abrir o Caminho), foi concebida por líderes do Congresso Nacional Africano (ANC) dentro da África do Sul que estavam em contato com Mandela e estavam coordenando seus esforços com os de agentes do ANC, simpatizantes e generais em todo o mundo.

O último projeto desta escala que o ANC havia conduzido havia resultado na catástrofe do início dos anos 1960, na qual Mandela e praticamente todos os principais líderes do ANC haviam sido presos e os documentos da Fazenda Liliesleaf haviam sido capturados e usados contra eles em tribunal. Isto significava que a Operação Vula tinha que ser executada com práticas de segurança e privacidade absolutamente herméticas. De fato, quando o escopo total da operação foi revelado na década de 1990, foi uma surpresa não apenas para o governo sul-africano e para os serviços de inteligência internacional, mas também para muitas figuras proeminentes da liderança dentro do ANC. Pessoas que supostamente receberam transplantes de rins ou se recuperavam de acidentes de motocicleta tinham na verdade caído na clandestinidade, passaram a usar novas identidades e depois retornaram à África do Sul, “abrindo a estrada” para a libertação de Mandela. Dada a vigilância dentro e fora da África do Sul, o possível comprometimento dos canais de comunicação do ANC preexistentes e o interesse de espiões e polícias em todo o mundo, a Operação Vula tinha que ter formas seguras de compartilhar e coordenar informações.

A extraordinária história da Operação Vula foi contada por um de seus principais arquitetos, Tim Jenkin, nas páginas do jornal do ANC Mayibuye.1 Ela representa um excelente exemplo de segurança de operações, negociação e gerenciamento de uma rede segura.

Entender quando e como a ofuscação veio a ser empregada na Operação Vula requer a compreensão de alguns dos desafios que seus arquitetos enfrentaram. O uso de linhas telefônicas fixas na África do Sul, cada uma ligada a um endereço e um nome, não era uma opção. O menor deslize poderia levar a escutas telefônicas e ao que agora chamaríamos de análise de metadados, e assim, uma imagem da rede de ativistas poderia ser obtida a partir de registros telefônicos nacionais e internacionais. Os agentes da Vula tinham vários sistemas de codificação, cada um deles dificultado pela complicação e tédio de fazer a codificação à mão. Havia sempre a tentação de voltar a “falar em sussurros por telefone novamente”, especialmente quando as crises aconteciam e as coisas começavam a se mover rapidamente. A operação tinha que ser perfeitamente coordenada entre a África do Sul (principalmente Durban e Joanesburgo) e Lusaka, Londres, Amsterdã e outras localidades ao redor do mundo enquanto os agentes circulavam. O serviço postal era lento e vulnerável, a criptografia consumia muito tempo e muitas vezes era propensa a desleixo, o uso de telefones domésticos era proibido e a coordenação entre vários fusos horários ao redor do mundo parecia impossível.

Jenkin estava ciente das possibilidades de usar computadores pessoais para tornar a criptografia mais rápida e mais eficiente. Sediado em Londres após sua fuga da Prisão Central de Pretória, ele passou a metade dos anos 1980 trabalhando no sistema de comunicação necessário para a Operação Vula, que, no final das contas, se transformou numa rede impressionante. A criptografia acontecia em um computador pessoal e a mensagem cifrada era então expressa como uma série rápida de tons gravados em um toca-fitas portátil. Um agente ia a uma cabine telefônica pública e discava um número de Londres, que era captado por uma secretária eletrônica que Jenkin havia modificado para gravar por até cinco minutos. O agente tocaria o cassete no bocal do telefone. Os tons, gravados pela máquina, poderiam ser tocados para um modem acústico, que os enviaria para um computador e depois seriam descriptografados. (Havia também uma secretária eletrônica “de saída”. Agentes remotos podiam ligar de uma cabine telefônica, gravar os tons para suas mensagens e descriptografá-los em qualquer lugar que tivessem acesso a um computador que pudesse executar os sistemas de cifragem que Jenkin havia inventado).

Esta era realmente uma rede impressionante – sem falar que grandes partes de seu lado digital (incluindo uma forma de implementar códigos de manipulação de erros para lidar com o barulho de reproduzir mensagens através de linhas telefônicas internacionais a partir de cabines barulhentas) tiveram que ser inventadas do zero. Entretanto, como a Operação Vula continuou a crescer e a rede de operadores a se expandir, a enorme quantidade de tráfego ameaçou sobrecarregar a rede. Os operadores estavam preparando a África do Sul para a ação e esse trabalho não deixava muito tempo para encontrar telefones públicos que aceitassem cartões de crédito (o som de moedas caindo poderia interferir no sinal) ond desse para ficar ali de pé com toca-fitas. Jenkin e seus colaboradores ficavam acordados até tarde, trocando fitas nas máquinas à medida que as mensagens chegavam. Tinha chegado o momento de mudar para e-mails criptografados, mas todo o sistema tinha sido desenvolvido para evitar o uso de linhas telefônicas particulares, conhecidas pela repressão, dentro da África do Sul.

A Operação Vula precisava ser capaz de enviar mensagens criptografadas de e para computadores na África do Sul, em Lukasa e em Londres, sem levantar suspeitas. Durante os anos 1980, enquanto a rede que descrevemos estava tomando forma, o ambiente de negócios internacionais estava produzindo exatamente o tipo de pano de fundo contra o qual este subterfúgio poderia se esconder. A pergunta era, como Jenkin disse, “O inimigo tinha a capacidade de determinar qual das milhares de mensagens que saíam do país todos os dias era ‘suspeita’”? Os ativistas precisavam de um usuário típico de e-mail criptografado – um sem filiação política clara – para descobrir se suas mensagens criptografadas poderiam passar despercebidas no fluxo de correio eletrônico. Eles precisavam, Jenkin lembrou mais tarde, “encontrar alguém que normalmente usaria um computador para se comunicar com o exterior e fazer com que essa pessoa lidasse com as comunicações”.

Eles tinham um agente que podia experimentar este sistema antes de mudar suas comunicações para o novo formato: um sul-africano nativo que estava prestes a retornar à sua terra natal depois de trabalhar no exterior por muitos anos como programador para empresas britânicas de telecomunicações. Seu agente se comportaria como um cidadão típico enviando muitas mensagens de e-mail todos os dias, usando um provedor de e-mail comercial em vez de um servidor personalizado e confiando no fato de que muitas empresas usavam criptografia em suas comunicações. “Isto era uma coisa muito normal para uma pessoa em sua posição fazer”, lembrou Jenkin. O sistema funcionou: as mensagens do agente se misturavam com o tráfego comum, fornecendo uma plataforma para comunicações abertas, porém secretas que poderiam ser expandidas rapidamente.

Se fazendo passar por consultores de informática, Tim Jenkin e Ronnie Press (outro membro importante do Comitê Técnico do ANC) foram capazes de se manter a par dos novos dispositivos e tecnologias de armazenamento e de providenciar sua compra e entrega onde fossem necessários. Usando uma combinação de provedores de e-mail comercial e serviços de quadro de avisos (bulletin-board) que funcionavam com computadores pessoais e de bolso, eles foram capazes de fazer circular mensagens dentro da África do Sul e ao redor do mundo, e também de preparar textos do ANC para distribuição. (O sistema chegou a transportar mensagens de Mandela, contrabandeadas por seu advogado em compartimentos secretos em livros para serem publicadas no sistema). A atividade ordinária de usuários comuns com endereços comerciais pouco claros tornou-se um canal de informação de alto valor, movendo enormes volumes de dados criptografados de Londres para Lukasa e depois para a África do Sul e entre as células Vula naquele país. O sucesso deste sistema se deveu em parte às circunstâncias históricas – computadores pessoais e e-mail (incluindo e-mail criptografado) tinham se tornado comuns o suficiente para evitar levantar suspeitas, mas não tão comuns a ponto de inspirar a construção de novos sistemas de vigilância digital mais abrangentes como os que os governos têm hoje.

A rede Vula, em seu estágio final, não era ingênua quanto à segurança das mensagens digitais; ela mantinha tudo protegido por um sofisticado sistema de criptografia cheio de detalhes inventivos e encorajava seus usuários a mudarem suas chaves de criptografia e a praticarem uma boa segurança operacional. Dentro deste contexto, no entanto, a operação oferece um excelente exemplo do papel que a ofuscação pode desempenhar na construção de um sistema de comunicação seguro e secreto. Ilustra os benefícios de encontrar a situação correta existente e misturar-se nela, perder-se no burburinho do comércio comum, escondido pela multidão.

Ofuscação – Cap. 1.12 Fitas de vozes sobrepostas

1.12 Fitas de vozes sobrepostas: escondendo uma fala nas falas

Imagine um velho clichê sobre mafiosos sob ameaça do FBI. Sempre envolve muita conversa nos banheiros: os respingos e gorgulhos da água e o zumbido do ventilador, assim contava a história, tornou as conversas difíceis de ouvir se a casa tinha uma escuta ou se alguém na sala estava usando um microfone. Hoje existem técnicas refinadas (e muito mais eficazes) para derrotar a vigilância por áudio que se inspiram mais diretamente na ofuscação. Uma delas é o uso das chamadas fitas de vozes sobrepostas.1 Paradoxalmente, essas fitas têm sido usadas menos por mafiosos do que por advogados preocupados que o vazamento de informações possa violar o sigilo advogado-cliente.

Uma fita de vozes sobrepostas é um arquivo digital de áudio destinado a ser reproduzido em segundo plano durante as conversas. O arquivo é complexo. Quarenta faixas de voz soam simultaneamente (trinta e duas em inglês, oito em outros idiomas) e cada faixa é comprimida em frequência e tempo de tal maneira que produzam “vozes” adicionais para assim preencher todo o espectro de frequência. Há também vários ruídos mecânicos não humanos e uma explosão supersônica periódica (inaudível para ouvintes adultos) projetada especificamente para interferir no sistema automático de controle de ganho de um dispositivo de escuta (esse sistema visa captar melhor um sinal de áudio). No caso deste exemplo, as vozes em uma fita de vozes sobrepostas usada por um advogado vai incluir as do cliente e do advogado também. A densa mistura de vozes aumenta a dificuldade de discernir uma única voz.

Ofuscação – Cap. 1.11 Retransmissores Tor

1.11 Retransmissores Tor: requisições feitas em nome de outras pessoas para ocultar o tráfego pessoal

Tor é um sistema projetado para facilitar o uso anônimo da Internet através de uma combinação de criptografia e passagem da mensagens através de muitos “nós” independentes diferentes. Em uma estratégia híbrida de ofuscação, Tor pode ser usado em combinação com outros mecanismos mais poderosos de ocultação de dados. Tal estratégia consegue a ofuscação parcialmente através da mistura e intercalação de atividades genuínas (criptografadas). Imagine uma mensagem passada sub-repticiamente através de uma enorme multidão para você. A mensagem é uma pergunta sem nenhuma informação de identificação; até onde você sabe, ela foi escrita pela última pessoa a segurá-la, ou seja, a pessoa que a entregou a você. A resposta que você escreve e passa de volta desaparece na multidão, seguindo um caminho imprevisível. Em algum lugar nessa multidão, o remetente inicial recebe sua resposta. Nem você nem ninguém sabe exatamente quem foi que a escreveu.

Se você solicitar uma página da Web enquanto trabalha através da rede Tor, sua solicitação não terá marcado o seu endereço IP; ela virá de um “nó de saída” (análogo à última pessoa que entrega a mensagem a seu destinatário), juntamente com as solicitações de muitos outros usuários dessa rede. Os dados entram no sistema Tor e passam por um labirinto de retransmissores, ou seja, computadores na rede Tor (análogos às pessoas na multidão) que oferecem um tanto de sua largura de banda com o propósito de lidar com o tráfego Tor de outras pessoas, concordando em passar mensagens não vistas. Quanto mais retransmissores houver, mais rápido será o sistema como um todo. Se você já está usando Tor para proteger seu tráfego de Internet, é possível transformar seu computador em um retransmissor para o bem coletivo maior. Tanto o desempenho da rede Tor quanto a ofuscação de indivíduos na rede melhoram à medida que mais pessoas fazem uso da rede.

A ofuscação, destacam os designers da rede Tor, aumenta seu considerável poder de proteção. Em troca de rodar um retransmissor Tor, “você melhora seu anonimato contra alguns ataques. O exemplo mais simples é um atacante que controla um pequeno número de retransmissores Tor. Ele verá uma conexão sua, mas não poderá saber se a conexão teve origem em seu computador ou se foi retransmitida por outra pessoa”.1 Se alguém tem agentes infiltrados na multidão – isto é, se alguém está executando os retransmissores Tor para fins de vigilância – os agentes não podem ler uma mensagem que eles passam adiante, mas podem saber quem a passou para eles. Se você estiver na rede Tor e não estiver rodando um retransmissor, eles sabem que você escreveu a mensagem que você lhes deu. Mas se você está rodando um retransmissor do seu computador, a mensagem pode ser sua ou pode ser apenas uma entre muitas que você está passando para outras pessoas. Essa mensagem começou com você ou não? As informações agora são ambíguas e as mensagens que você escreveu estão seguras em um bando de outras mensagens que você passa. Em resumo, esta é uma forma significativamente mais sofisticada e eficiente de tornar ambíguas determinadas transações de dados e de frustrar a análise do tráfego, fazendo uso do volume de comunicações. Ela não se limita a misturar sinais genuínos (como seria sortear cartões SIM de uma bolsa, com todos os consequentes problemas de coordenação); ela leva cada mensagem a seu destino. Entretanto, cada mensagem pode servir para tornar incertas as fontes de outras mensagens.

Ofuscação – Cap. 1.10 Baralhamento de cartões SIM

1.10 Baralhamento de cartões SIM: como tornar incerta a busca de celulares

Como revelaram relatórios recentes e algumas das revelações de Edward Snowden, os analistas que trabalham para a Agência Nacional de Segurança (EUA) utilizam uma combinação de fontes de sinais de inteligência – especialmente metadados de telefones celulares e dados de sistemas de geolocalização – para identificar e rastrear alvos para eliminação.1 Os metadados (mostrando quais números foram chamados e quando foram chamados) produzem um modelo de rede social que torna possível identificar números de telefone particulares como pertencentes a pessoas de interesse; as propriedades de geolocalização dos telefones celulares garantem que esses números podem ser situados, com diferentes graus de precisão, em lugares particulares, e então poderem ser alvo de drones. Em outras palavras, este sistema pode proceder da identificação, passando pela localização, até o assassinato sem nunca ter uma identificação visual cara a cara de uma pessoa. O mais próximo que um operador de drone pode chegar a colocar os olhos em alguém pode ser o exterior de um edifício, ou uma silhueta entrando em um carro. Tendo em vista os registros irregulares sobre o programa de metadados de telefones celulares da NSA e os ataques com drones, há, é claro, sérias preocupações sobre a precisão. Quer se esteja preocupado com as ameaças à segurança nacional permanecendo seguro e ativo, com as vidas de pessoas inocentes tomadas injustamente, ou com ambas, é fácil ver as possíveis falhas nesta abordagem.

Mudemos a situação e a consideremos mais abstratamente da perspectiva dos alvos. A maioria dos alvos da NSA é obrigada a ter sempre, seja com eles ou perto deles, um dispositivo de rastreamento (somente as figuras mais altas nas organizações terroristas são capazes de se livrar da tecnologia geradora de sinais), assim como praticamente todas as pessoas com as quais estão em contato. As chamadas e conversas que sustentam suas organizações também fornecem os meios de sua identificação; a estrutura que torna seu trabalho possível também os aprisiona. Em vez de tentar coordenar armas antiaéreas para encontrar um alvo em algum lugar no céu, o adversário tem total superioridade aérea, capaz de acertar um míssil em um carro, uma esquina de rua, ou uma casa. Entretanto, o adversário também tem um conjunto intimamente relacionado de limitações sistêmicas. Este sistema, por mais notável que seja seu escopo e capacidades, em última análise, depende de cartões SIM (módulo de identidade do assinante de celular) e da posse física de telefones celulares – um tipo de espectro estreito que pode ser explorado. Um antigo operador de aeronaves do Comando Conjunto de Operações Especiais informou que os alvos, sabendo disso, tomam medidas para misturar e confundir sinais genuínos. Alguns indivíduos têm muitos cartões SIM em circulação associados à sua identidade e os cartões são redistribuídos aleatoriamente. Uma abordagem usada é realizar reuniões nas quais todos os participantes colocam seus cartões SIM em uma bolsa, depois pegam os cartões da bolsa aleatoriamente, para que não fique claro quem está realmente conectado a cada dispositivo. (Esta é uma abordagem de tempo limitado: se a análise de metadados for suficientemente sofisticada, um analista deverá eventualmente ser capaz de classificar os indivíduos novamente com base em padrões de chamadas passadas, mas o re-baralhamento irregular torna isso mais difícil). O re-baralhamento pode também acontecer involuntariamente, pois os alvos que não sabem que estão sendo rastreados vendem seus telefones ou os emprestam a amigos ou parentes. O resultado final é um sistema com enorme precisão técnica e uma taxa muito incerta de sucesso real, seja medido em termos de indivíduos perigosos eliminados ou em termos de inocentes não-combatentes mortos por engano. Mesmo quando não se pode evitar o rastreamento razoavelmente exato de localização e a análise sociográfica, usar a ofuscação para recombinar e misturar sinais genuínos, em vez de gerar sinais falsos, pode oferecer uma medida de defesa e controle.

Ofuscação – Cap. 1.9 Documentação em excesso

1.9 Documentação em excesso: como tornar a análise ineficiente

Continuando nosso olhar para o tipo de ofuscação que opera acrescentando sinais genuínos mas enganosos, consideremos agora a superprodução de documentos como uma forma de ofuscação, como no caso de uma divulgação excessiva de material em uma ação judicial. Esta foi a estratégia de Augustin Lejeune, chefe do Departamento Geral de Polícia no Comitê de Segurança Pública, um instrumento importante na fase do Terror da Revolução Francesa. Lejeune e seus funcionários produziram os relatórios que lançaram as bases para prisões, internações e execuções. Mais tarde, num esforço para desculpar seu papel no Terror, Lejeune argumentou que a qualidade exigente e esmagadoramente detalhada dos relatórios de seu escritório havia sido deliberada: ele havia instruído seus funcionários a produzir material em excesso, e a relatar “os mais pequenos detalhes”, a fim de retardar a produção de inteligência para o Comitê sem parecer uma rebelião. É duvidoso que as reivindicações de Lejeune sejam inteiramente precisas (os números que ele cita para a produção de relatórios não são confiáveis), mas, como aponta Ben Kafka, ele tinha inventado uma estratégia burocrática para criar lentidão através do excesso de oferta: “Ele parece ter reconhecido, ainda que tardiamente, que a proliferação de documentos e detalhes apresentava oportunidades de resistência, bem como de conformidade”.1 Em situações onde não se pode dizer “não”, há oportunidades para um coro de “sim” inúteis – por exemplo, não envie uma pasta em resposta a uma solicitação; envie um armário de pastas contendo papéis potencialmente relevantes.