Author Archives: saltamontes

Ofuscação – Cap 1.8 Aliados e objetos idênticos

1.8 Aliados e objetos idênticos: muitas pessoas vestidas da mesma forma

Há muitos exemplos de ofuscação realizada por membros de um grupo que trabalham em conjunto para produzir sinais genuínos, mas enganosos, dentro dos quais o sinal genuíno e importante é ocultado. Um exemplo memorável da cultura popular é a cena do remake do filme de 1999 The Thomas Crown Affair, no qual o protagonista, vestindo um traje distinto inspirado em Magritte, de repente está numa massa cuidadosamente orquestrada de outros homens, vestidos com o mesmo traje, circulando pelo museu e trocando suas pastas idênticas.1 O esquema de roubo de bancos no filme Inside Man, de 2006, baseia-se no fato de todos os ladrões usarem macacões, luvas e máscaras de pintores e vestirem seus reféns da mesma maneira.2 Finalmente, considere o pensamento rápido de Roger Thornhill, o protagonista do filme North By Northwest de 1959 de Alfred Hitchcock, que, para fugir da polícia quando seu trem chega a Chicago, suborna um carregador de bagagens para lhe emprestar seu uniforme distinto, sabendo que a multidão de carregadores na estação dará à polícia muito de algo específico para procurar.3

Objetos idênticos como modos de ofuscação são bastante comuns e suficientemente conhecidos para que se repitam na imaginação e na realidade. A ancilia da Roma antiga exemplifica isso. Um escudo (ancile) caiu do céu – assim diz a lenda – durante o reinado de Numa Pompílio, o segundo rei de Roma (753-673 a.C.), e foi interpretado como um sinal de favor divino, uma relíquia sagrada cuja propriedade garantiria a continuação do império de Roma.4 O escudo foi pendurado no Templo de Marte junto com onze duplicatas exatas, portanto, os ladrões não saberiam qual levar. Os seis bustos de gesso de Napoleão, dos quais a história de Sherlock Holmes recebe seu título, oferecem outro exemplo. O vilão enfia uma pérola preta no gesso molhado de um objeto que não só tem cinco duplicatas, mas também é um de uma classe maior de objetos (bustos brancos baratos de Napoleão) que são onipresentes o suficiente para serem invisíveis.5

Uma instância do mundo real é fornecida pelo chamado ladrão da Craigslist. Às 11 horas da manhã de terça-feira, 30 de setembro de 2008, um homem vestido de dedetizador (de camisa azul, óculos de proteção e máscara de poeira), carregando uma bomba de spray, aproximou-se de um carro blindado estacionado do lado de fora de um banco em Monroe, Washington (EUA), incapacitou o guarda com spray de pimenta, e fugiu com o dinheiro.6 Quando a polícia chegou, encontraram treze homens na área usando camisas azuis, óculos de proteção e máscaras de poeira – um uniforme que eles estavam usando sob as instruções de um anúncio da Craigslist que prometia um bom salário para o trabalho de manutenção, que deveria começar às 11h15 da manhã no endereço do banco. Deve ter levado apenas alguns minutos para descobrir que nenhum dos trabalhadores ali era o ladrão, mas alguns minutos era todo o tempo que o ladrão precisava para escapar.

Depois há a poderosa história, muitas vezes recontada embora factualmente imprecisa, do rei da Dinamarca e de um grande número de não-judeus dinamarqueses usando a Estrela Amarela para que os alemães ocupantes não pudessem distinguir e deportar os judeus dinamarqueses. Embora os dinamarqueses tenham protegido corajosamente sua população judia de outras formas, a Estrela Amarela não foi usada pelos nazistas na Dinamarca ocupada, por medo de despertar um sentimento mais antialemão. Entretanto, “houve casos documentados de não-judeus usando estrelas amarelas para protestar contra o antissemitismo nazista na Bélgica, França, Holanda, Polônia e até mesmo na própria Alemanha”.7 Esta lenda oferece um exemplo perfeito de ofuscação cooperativa: não-judeus usando a Estrela Amarela como um ato de protesto, gerando uma população na qual judeus individuais poderiam se misturar.8

Ofuscação – Cap 1.7 Identidade do grupo

1.7 Identidade do grupo: muitas pessoas sob apenas um nome

Um dos exemplos mais simples e memoráveis de ofuscação, e que introduz o trabalho do grupo em ofuscação, é a cena do filme Spartacus em que os escravos rebeldes são solicitados pelos soldados romanos a identificar seu líder, que os soldados pretendem crucificar.1 Como Spartacus (interpretado por Kirk Douglas) está prestes a falar, um a um os outros ao seu redor dizem “Eu sou Spartacus!” até que toda a multidão reivindica essa identidade.

Muitas pessoas assumindo a mesma identidade para a proteção de grupos (por exemplo, o Capitão Swing na revolta agrícola inglesa de 1830, o onipresente “Jacques” adotado pelos radicais em A Tale of Two Cities de Dickens, ou a máscara de Guy Fawkes no romance gráfico V de Vendetta, agora associado ao grupo hacktivista conhecido como Anonymous) é, neste ponto, quase um clichê.2 Marco Deseriis estudou o uso de “nomes impróprios” e identidades coletivas na eliminação da responsabilidade individual e na proliferação de ações.3 Algumas formas de ofuscação podem ser conduzidas sozinho; outras dependem de grupos, equipes, comunidades e confederados.

Ofuscação – Cap 1.6 Falsos indícios

1.6 Falsos indícios: criar padrões para enganar um observador treinado

Considere como o mesmo padrão básico de ofuscação pode ser usado ao serviço em um contexto mais leve do que ocultar o trabalho dos denunciantes: o pôquer.

Muito do prazer e muito do desafio do pôquer está em aprender a inferir a partir de expressões, gestos e linguagem corporal se alguém está blefando (isto é, fingindo segurar uma mão mais fraca do que a pessoa realmente segura) na esperança de fazer uma aposta. O ponto central para o trabalho de estudar os adversários é o “indício” – algum hábito inconsciente ou tique que um adversário exibe em resposta a uma mão forte ou fraca, como suar, olhar com preocupação ou inclinar-se para frente. Os “indícios” são tão importantes na economia informacional do pôquer que os jogadores às vezes usam indícios falsos – ou seja, criam maneirismos que podem parecer parte de um padrão maior.1 Na estratégia comum do pôquer, o uso de um indício falso é geralmente reservado para um momento crucial em um torneio, para que os outros jogadores não percebam que ele é impreciso e o usem contra você. Uma análise paciente de múltiplos jogos poderia separar um indício verdadeiro dos falsos, mas no contexto de um jogo de apostas altas, o momento da falsidade pode ser altamente eficaz. Técnicas similares são usadas em muitos esportes que envolvem comunicação visível. Um exemplo é a sinalização no basebol – como explicou um treinador a um repórter de jornal: “Às vezes você está dando um sinal, mas isso nem quer dizer nada”.2

Ofuscação – Cap 1.5 Uploads para sites de vazamento

1.5 Uploads para sites de vazamento: enterrar arquivos significativos

O WikiLeaks utilizou uma variedade de sistemas para resguardar as identidades tanto dos visitantes quanto dos colaboradores. No entanto, havia um ponto que poderia diminuir a segurança do site: os uploads de arquivos. Se os bisbilhoteiros pudessem monitorar o tráfego no WikiLeaks, eles poderiam identificar atos de envio de material para o servidor seguro do WikiLeaks. Especialmente se eles construíssem palpites fundamentados sobre os tamanhos comprimidos de várias coleções de dados posteriormente liberados, eles poderiam retroativamente inferir sobre o que foi transmitido, quando foi transmitido e (em vista de falhas em outras áreas de segurança técnica e operacional) quem transmitiu. Diante deste tipo de desafio muito particular, o WikiLeaks desenvolveu um roteiro para produzir sinais falsos. Ao ser acessado pelos navegadores dos visitantes, o site gerava atividades que pareciam uploads para o servidor seguro.1 Dessa forma, um bisbilhoteiro veria uma enorme multidão de aparentes denunciadores (a grande maioria dos quais, na realidade, estavam apenas lendo ou vasculhando documentos já disponibilizados), e quem sabe alguns poderiam ser verdadeiros. O site não buscava fornecer dados particulares para interferir na mineração de dados ou na publicidade; simplesmente procurou imitar e ocultar os movimentos de alguns de seus usuários.

Mesmo os dados criptografados e comprimidos contêm metadados pertinentes, no entanto, e a proposta para o projeto OpenLeaks – uma variante sem sucesso no WikiLeaks, desenvolvida por alguns dos participantes descontentes no sistema original do WikiLeaks – incluiu um refinamento adicional.2 Após uma análise estatística das submissões do WikiLeaks, o OpenLeaks desenvolveu um modelo de uploads falsos que manteria as mesmas proporções de tamanhos de arquivos que normalmente aparecem no tráfego de upload de um site de vazamentos. A maioria dos arquivos variava em tamanho de 1,5 a 2 megabytes, apesar de alguns exemplares ultrapassarem os 700 megabytes. Se um adversário pode monitorar o tráfego de upload, a forma pode ser tão reveladora quanto o conteúdo, e tão útil na separação de sinais reais de falsos. Como este exemplo sugere, os mecanismos de ofuscação podem ganhar muito ao descobrir todos os parâmetros que podem ser manipulados – e ao descobrir o que o adversário está procurando, de modo a dar a ele uma versão fabricada.

Ofuscação – Cap 1.4 TrackMeNot

1.4 TrackMeNot: mistura de consultas de busca genuína e artificial

O TrackMeNot (não-me-rastreie), desenvolvido em 2006 por Daniel Howe, Helen Nissenbaum e Vincent Toubiana, exemplifica uma estratégia de software para ocultar a atividade com sinais imitativos.1 O objetivo do TrackMeNot é enganar o perfilamento dos usuários feito através de suas buscas. Ele foi projetado em resposta ao pedido do Departamento de Justiça dos EUA para lidar com os registros (logs) de busca do Google e em resposta à descoberta surpreendente por um repórter do New York Times de que algumas identidades e perfis poderiam ser inferidos mesmo a partir de registros de busca anônimos publicados pela AOL Inc.2

Nossas buscas na internet são como listas de locais, nomes, interesses e problemas. Quer nossos endereços IP completos estejam ou não incluídos, nossas identidades podem ser inferidas a partir dessas listas e padrões sobre nossos interesses podem se tornar aparentes. Respondendo a pedidos de responsabilização, as empresas de busca têm oferecido maneiras de atender às preocupações das pessoas com relação à coleta e armazenamento das informações das consultas de busca, embora continuem a coletar e analisar os registros de tais consultas.3 Impedir que qualquer fluxo de consultas seja inadequadamente revelador dos interesses e atividades de uma determinada pessoa continua sendo um desafio.4

A solução que o TrackMeNot oferece não é esconder as consultas dos usuários feitas nos motores de busca (um método impraticável, tendo em vista a necessidade de satisfação da consulta), mas ofuscar, gerando automaticamente consultas a partir de uma “lista de sementes” de termos. Inicialmente escolhidos de feeds RSS, estes termos evoluem de modo que diferentes usuários desenvolvem diferentes listas de sementes. A precisão da imitação é continuamente refinada através de preenchimentos subsequentes da lista de sementes com novos termos gerados a partir de retornos para consultas de busca. O TrackMeNot envia as consultas de uma forma que tenta imitar os comportamentos de busca dos usuários reais. Por exemplo, um usuário que tenha pesquisado por “bom café wi-fi chelsea” também pode ter pesquisado por “canis de savana”, “suco natural miami”, “empresa de propriedade asiática”, “exercício para retardar demência” e “luz halógena telescópica”. As atividades dos indivíduos são mascaradas pelas de muitos fantasmas, tornando o padrão mais difícil de discernir, de modo que se torna muito mais difícil dizer de qualquer consulta o que foi produto da intenção humana ou uma saída automática do TrackMeNot. Desta forma, o TrackMeNot estende o papel de ofuscação, em algumas situações, para incluir a negação plausível*.

*Negação plausível é a habilidade de uma pessoa, geralmente oficiais superiores numa cadeia formal ou informal de comando, para negar conhecimento ou responsabilidade sobre quaisquer ações condenáveis realizadas por outras pessoas dentro da hierarquia da organização devido à falta ou ausência de evidências que confirmem a sua participação, mesmo se ela estivesse pessoalmente envolvida ou, ao menos, fosse deliberadamente ignorante sobre tais ações. (wikipedia.org)

Ofuscação – Cap 1.3 CacheCloak

1.3 CacheCloak: serviços de localização sem rastreamento de localização

A tática da CacheCloak adota uma abordagem de ofuscação adequada aos serviços baseados em localização (location-based services, LBSs).1 Ela ilustra duas reviravoltas no uso de ecos falsos e imitações na ofuscação. A primeira delas é garantir que os dados relevantes ainda possam ser extraídos pelo usuário; a segunda é tentar encontrar uma abordagem que possa funcionar indefinidamente em vez de como uma estratégia temporária de compra de tempo.

Os serviços baseados em localização aproveitam as capacidades de localização de dispositivos móveis para criar vários serviços, alguns deles sociais (por exemplo, o FourSquare, que transforma a ida a lugares em um jogo competitivo), alguns lucrativos (por exemplo, publicidade de localização) e alguns totalmente úteis (por exemplo, mapas e buscas de objetos mais próximos). A retórica clássica do equilíbrio entre privacidade e utilidade, na qual a utilidade é frequentemente apresentada como prejudicial à privacidade, é evidente aqui. Se você quer aproveitar um LBS – por exemplo, se você quer estar na rede em que seus amigos estão para que você possa se encontrar com um deles se você e essa pessoa estiverem próximos – então terá que sacrificar alguma privacidade e você terá que se acostumar a ter o prestador de serviços sabendo onde você está. A CacheCloak sugere uma outra maneira de fazer essa troca.

“Onde outros métodos tentam obscurecer o caminho do usuário escondendo partes dele”, os criadores da CacheCloak escrevem, “nós obscurecemos a localização do usuário ao cercá-lo com os caminhos de outros usuários”2 – isto é, através da propagação de dados ambíguos. No modelo padrão, seu telefone envia sua localização para o serviço e recebe as informações solicitadas em troca. No modelo CacheCloak, seu telefone prevê seus possíveis caminhos e depois busca os resultados para várias rotas prováveis. Conforme você se movimenta, você recebe os benefícios de saberem a sua localização – acesso ao que você está procurando, na forma de dados em cache (temporários) antes de possíveis solicitações – e um adversário fica com muitos caminhos possíveis, incapaz de distinguir o início do fim de um caminho e incapaz de determinar de onde você veio, para onde você pretende ir ou mesmo onde você está. Da perspectiva de um observador, os dados salientes – os dados que desejamos guardar para nós mesmos – estão enterrados dentro de um espaço de outros dados, igualmente prováveis.

Ofuscação – Cap 1.2 Bots do Twitter

1.2 Bots do Twitter: enchendo um canal com ruído

Os dois exemplos que estamos prestes a discutir são um estudo em contrastes. Embora a produção de imitações seja seu modo de ofuscação, eles nos levam da Segunda Guerra Mundial às circunstâncias atuais, e do radar às redes sociais. Eles também introduzem um tema importante.

No capítulo 3, argumentamos que a ofuscação é uma ferramenta particularmente adequada para os “fracos” – os que se encontram em situação de desvantagem, os que estão no extremo errado das relações de poder assimétricas. Afinal, é um método que você tem motivos para adotar se não puder ser invisível – se não puder recusar ser rastreado ou vigiado, se não puder simplesmente optar por sair ou operar dentro de redes profissionalmente seguras. Isto não significa que não seja adotado também pelos poderosos. As forças opressivas ou coercivas geralmente têm melhores meios do que a ofuscação à sua disposição. Algumas vezes, porém, a ofuscação torna-se útil para os poderosos – como aconteceu em duas eleições, uma na Rússia e outra no México. A compreensão das escolhas enfrentadas pelos grupos que estão em disputa esclarecerá como a ofuscação deste tipo pode ser empregada.

Durante os protestos relacionados aos problemas que haviam surgido nas eleições parlamentares russas de 2011, grande parte da conversa sobre o enchimento das urnas e outras irregularidades ocorreu inicialmente no LiveJournal, uma plataforma de blogs que se originou nos Estados Unidos, mas atingiu sua maior popularidade na Rússia – mais da metade de sua base de usuários é russa.1 Embora o LiveJournal seja bastante popular, sua base de usuários é muito pequena em relação aos vários sistemas sociais do Facebook e da Google; ele tem menos de 2 milhões de contas ativas.2 Assim, o LiveJournal é comparativamente fácil para os atacantes fecharem por meio de ataque distribuído de negação de serviço (DDoS) – ou seja, usar computadores espalhados pelo mundo para emitir pedidos para o site em tal volume que os servidores que disponibilizam o site são sobrecarregados e os usuários legítimos não podem acessá-lo. Tal ataque ao LiveJournal, em conjunto com as prisões de blogueiros ativistas em um protesto em Moscou, foi evidentemente um ato de censura.3 Quando e por que, então, a ofuscação se tornou necessária?

A conversa sobre o protesto russo migrou para o Twitter, e os poderes interessados em interrompê-la enfrentaram então um novo desafio. O Twitter tem uma enorme base de usuários, com infraestrutura e experiência em segurança a enfrentar. Ele não poderia ser derrubado tão facilmente como o LiveJournal. Com sede nos Estados Unidos, o Twitter estava em uma posição muito melhor para resistir à manipulação política do que a empresa matriz do LiveJournal. (Embora o serviço LiveJournal seja fornecido por uma empresa estabelecida nos EUA para esse fim, a empresa que o possui, a SUP Media, está sediada em Moscou.4) Para bloquear completamente o Twitter, seria necessária a intervenção direta do governo. O ataque ao LiveJournal foi feito independentemente, por hackers nacionalistas que podem ou não ter a aprovação e a assistência da administração Putin/Medvedev.5 As partes interessadas em interromper a conversa política no Twitter enfrentaram, portanto, um desafio que se tornará familiar à medida que explorarmos os usos da ofuscação: o tempo era curto e os mecanismos tradicionais de ação não estavam disponíveis. Uma aprovação técnica direta – seja bloqueando o Twitter dentro de um país ou lançando um ataque mundial de negação de serviço – não era possível e os ângulos políticos e legais de ataque não podiam ser utilizados. Em vez de interromper uma conversa no Twitter, os atacantes podem sobrecarregá-lo com ruído.

Durante os protestos russos, a ofuscação tomou a forma de milhares de contas no Twitter que pipocaram de repente e esses usuários postaram tweets usando as mesmas hashtags usadas pelos manifestantes.6 Hashtags são um mecanismo para agrupar tweets; por exemplo, se eu adicionar #ofuscação a um tweet, o símbolo # transforma a palavra em um link ativo – clicando nela, todos os outros tweets marcados com #ofuscação serão mostrados. As hashtags são úteis para organizar a enchente de tweets em conversas coerentes sobre tópicos específicos, e #триумфальная (referindo-se a Triumfalnaya, a localização de um protesto) tornou-se uma das várias tags que as pessoas poderiam usar para descarregar sua raiva, expressar suas opiniões e organizar outras ações. (Hashtags também desempenham um papel na forma como o Twitter determina as “tendências” e tópicos significativos no site, que podem então chamar mais atenção para o que está sendo discutido sob essa tag – a lista de Tópicos de Tendências do site frequentemente atrai a cobertura de notícias.7)

Se você estivesse seguindo #триумфальная, você teria visto vários tweet de ativistas russos espalhando links para notícias e fazendo planos. Mas esses tweets começaram a ser intercalados com tweets sobre a grandeza russa, ou tweets que pareciam ser ruído, tagarelice ou palavras e frases aleatórias. Eventualmente, esses tweets dominaram o fluxo para #триумфальная e aqueles para outros tópicos relacionados aos protestos, a tal ponto que os tweets relevantes ao tópico se perderam, essencialmente, no ruído, incapazes de obter qualquer atenção ou de iniciar uma troca coerente com outros usuários. Essa enchente de novos tweets veio de contas que haviam estado inativas durante grande parte de sua existência. Embora tivessem postado muito pouco desde o momento de sua criação até o momento dos protestos, agora cada uma delas postou dezenas de vezes por hora. Alguns dos supostos usuários das contas tinham nomes sem sentido, como imelixyvyq, wyqufahij e hihexiq; outros tinham nomes mais convencionais, todos construídos sobre um modelo de primeiro nome, por exemplo, latifah_xander.8

Obviamente, estas contas no Twitter eram programas robôs, “Twitter bots”, que buscam se passar por pessoas e geram mensagens automáticas e direcionadas. Muitas das contas haviam sido criadas por volta da mesma época. Em números e frequência, tais mensagens podem facilmente dominar uma discussão, arruinando efetivamente a plataforma para um público específico através do uso excessivo – ou seja, ofuscando através da produção de sinais falsos e sem sentido.

O uso de bots está se tornando uma técnica confiável para abafar a discussão no Twitter. As altamente controversas eleições mexicanas de 2012 fornecem outro exemplo desta estratégia na prática, só que ainda mais refinada.9 Os manifestantes contrários ao candidato favorito, Enrique Peña Nieto, e ao Partido Revolucionario Institucional (PRI), usaram o #marchaAntiEPN como uma hashtag organizadora para agregar conversas, estruturar chamadas para ação e organizar eventos de protesto. Grupos que desejavam interferir nos esforços de organização dos manifestantes enfrentaram desafios similares aos do caso russo. Em vez de milhares de bots, no entanto, centenas de bots teriam feito o mesmo – na verdade, quando este caso foi investigado pela rede de TV estadunidense Univision, de língua espanhola, apenas cerca de trinta desses bots estavam ativos. Sua abordagem foi tanto para interferir no trabalho que estava sendo feito para avançar o #marchaAntiEPN quanto para usar em demasia essa hashtag. Muitos dos tweets consistiam inteiramente de variantes de “#marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN #marchaAntiEPN”. Tal repetição, particularmente por contas que já mostram um comportamento suspeito como bot, aciona sistemas dentro do Twitter que identificam tentativas de manipular o sistema de hashtagging e depois removem as hashtags em questão da lista de Tópicos de Tendências. Em outras palavras, porque os itens nos Tópicos de Tendências se tornam notícia e atraem a atenção, os spammers e anunciantes tentarão empurrar os hashtags para cima através da repetição, então o Twitter desenvolveu mecanismos para detectar e bloquear tal atividade.10

Os bots da eleição mexicana no Twitter estavam deliberadamente se engajando em mau comportamento a fim de acionar um cancelamento automático, mantendo assim o impacto do #marchaAntiEPN “fora do radar” da mídia maior. Eles estavam tornando a hashtag inutilizável e removendo seu significado potencial para a mídia. Isto foi ofuscação como um ato destrutivo. Embora tais esforços usem a mesma tática básica do chaff no radar (ou seja, produzir muitas imitações destinadas a esconder o real), eles têm objetivos muito diferentes: em vez de apenas ganhar tempo (por exemplo, no período que antecede uma eleição e durante o período de agitação depois), eles tornam certos termos inutilizáveis – até mesmo, da perspectiva de um algoritmo de classificação, tóxicos – manipulando as propriedades dos dados através do uso de sinais falsos.

Ofuscação – Cap1 Casos principais, Chaff

1 Casos Principais

1.1 Chaff: derrotar o radar militar

Durante a Segunda Guerra Mundial, um operador de radar rastreia um avião sobre Hamburgo, guiando holofotes e armas antiaéreas em relação a um ponto verde no visor cuja posição é atualizada a cada varredura da antena. Abruptamente, os pontos que parecem representar aviões começam a se multiplicar, inundando rapidamente o visor. O avião real está ali em algum lugar, impossível de ser localizado devido à presença de “ecos falsos”1.

O avião liberou chaffs* – tiras de papel preto com fundo de alumínio – e, com isso, cortou para metade do comprimento de onda do radar alvo. Lançados aos milhares e depois flutuando pelo ar, eles enchem a tela do radar com sinais. A tática chaff satisfez exatamente as condições de dados que o radar está configurado para procurar e lhe deu mais “aviões”, espalhados por todo o céu, do que ele pode lidar.

Este pode muito bem ser o exemplo mais puro e simples da abordagem de ofuscação. Como a descoberta de um avião real era inevitável (não havia, na época, uma maneira de tornar um avião invisível ao radar), a chaff causou perdas em termos de tempo e colocou restrições de largura de banda ao sistema de descoberta, criando demasiados alvos potenciais. O fato de que a chaff funcionava apenas por um curto período de tempo, pois flutuava até o solo e não era uma solução permanente, não era relevante dadas as circunstâncias. Só tinha que funcionar bem e por tempo suficiente para que o avião ultrapassasse o alcance do radar.

Como discutiremos na parte II, muitas formas de ofuscação funcionam melhor como movimentos “descartáveis” para comprar de tempo. Eles podem lhe dar apenas alguns minutos, mas às vezes alguns minutos é todo o tempo que você precisa.

O exemplo da chaff também nos ajuda a distinguir, no nível mais básico, entre as abordagens de ofuscação. A tática chaff depende da produção de ecos – imitações da coisa real – que exploram o escopo limitado do observador. (Fred Cohen chama isso de “estratégia do engodo”.2) Como veremos, algumas formas de ofuscação geram sinais genuínos, mas enganosos – como você protegeria o conteúdo de um veículo enviando-o acompanhado por vários outros veículos idênticos, ou defenderia um determinado avião enchendo o céu com outros aviões – enquanto outras formas baralham sinais genuínos, misturando dados num esforço para tornar a extração de padrões mais difícil. Dado que as pessoas que espalham chaff têm conhecimento exato de seu adversário, a chaff não tem que fazer nenhuma destas duas coisas.

Se os projetistas de um sistema de ofuscação têm conhecimento específico e detalhado dos limites do observador, o sistema que eles desenvolvem tem que funcionar por apenas um comprimento de onda e por apenas 45 minutos. Se o sistema que seu adversário usa para observação for mais paciente, ou se tiver um conjunto mais abrangente de capacidades de observação, eles têm que fazer uso do que sabem sobre os objetivos do adversário – isto é, de quais informações úteis o adversário espera extrair dos dados obtidos através da vigilância – e minar esses objetivos através da manipulação de sinais genuínos.

Antes de passarmos à manipulação de sinais genuínos, vejamos um exemplo muito diferente de inundação de um canal com ecos.

*Daria pra traduzir chaff como palha, mas não sei o termo técnico militar.

 

Ofuscação – Preparando um vocabulário

I

Um Vocabulário da Ofuscação

Há muitas estratégias de ofuscação. Elas são moldadas pelos propósitos do usuário (que podem variar desde a compra de alguns minutos de tempo até a interferência permanente em um sistema de perfis), pelo fato de os usuários trabalharem sozinhos ou em conjunto, por seu alvo e seus beneficiários, pela natureza das informações a serem ofuscadas e por outros parâmetros que discutiremos na parte II. (As Partes I e II podem ser lidas independentemente – você é encorajado a pular adiante se tiver dúvidas sobre os propósitos da ofuscação, sobre questões éticas e políticas ou sobre as circunstâncias que, como argumentamos, tornam a ofuscação um acréscimo útil ao conjunto de ferramentas de privacidade). Antes de chegarmos a isso, porém, queremos que você entenda como as muitas circunstâncias específicas da ofuscação podem ser generalizadas em um padrão. Podemos ligar uma família de eventos aparentemente díspares sob um único título, revelando suas continuidades subjacentes e sugerindo como métodos similares podem ser aplicados a outros contextos e outros problemas. A ofuscação é contingente, moldada pelos problemas que procuramos resolver e pelos adversários que esperamos que sejam enfrentados. Mas é caracterizada por uma circunstância subjacente simples: incapazes de evitar ou negar ser observado, criamos muitos sinais plausíveis, ambíguos e enganosos dentro dos quais as informações que queremos ocultar podem ser perdidas.

Para ilustrar a ofuscação nas formas mais importantes para seu uso e desenvolvimento agora, e para fornecer uma referência para o resto do livro, selecionamos um conjunto de casos centrais que exemplificam como a ofuscação funciona e o que ela pode fazer. Estes casos são organizados tematicamente. Embora não sejam adequados a uma tipologia simples, nós os estruturamos de modo que as várias escolhas particulares referentes à ofuscação devem se tornar claras à medida que você lê. Além destes casos, apresentamos um conjunto de breves exemplos que ilustram algumas das outras aplicações da ofuscação e alguns de seus contextos mais incomuns. Com estes casos e explicações, você terá uma referência sobre a ofuscação em todos os domínios em que a encontramos. A ofuscação – positiva e negativa, eficaz e ineficaz, direcionada e indiscriminada, natural e artificial, analógica e digital – aparece em muitos campos e de muitas formas.

Ofuscação – Introdução

Introdução

Pretendemos iniciar uma revolução com este livro. Mas não uma grande revolução – pelo menos, não no início. Nossa revolução não depende de reformas totais, da reinvenção da sociedade ou da adoção sem problemas e perfeitamente uniforme de uma nova tecnologia. Ela é construída sobre componentes preexistentes – o que um filósofo chamaria de ferramentas prontas-para-uso, o que um engenheiro chamaria de hardware da loja da esquina – que estão disponíveis na vida cotidiana, no cinema, no software, nos mistérios do assassinato e até mesmo no reino animal. Embora seu léxico de métodos possa ser, e tenha sido, adotado por tiranos, autoritários e policiais secretos, nossa revolução é especialmente adequada para uso pelos pequenos atores, os humildes, os presos, aqueles que não estão em posição de declinar ou optar por não participar ou exercer controle sobre os dados que emitimos. O foco de nossa revolução limitada está em mitigar e derrotar a vigilância digital dos dias de hoje. Acrescentaremos conceitos e técnicas ao conjunto de ferramentas existentes e em expansão para evasão, não conformidade, recusa direta, sabotagem deliberada e usos de acordo com os nossos termos de serviço. Dependendo do adversário, dos objetivos e dos recursos, fornecemos métodos para desaparecimento, para fazê-los perder de tempo e frustrar suas análises, para desobediência travessa, para protesto coletivo, para atos de remediação individual tanto grandes quanto pequenos. Fazemos um esboço em torno de todo um domínio de exemplos conhecidos e emergentes que compartilham uma abordagem comum que podemos generalizar e incorporar em políticas, software e ações. Este esboço é a bandeira sob a qual nossa pequena grande revolução cavalga e o espaço que ela define é chamado de ofuscação.

Em uma frase: A ofuscação é a adição deliberada de informações ambíguas, confusas ou enganosas para interferir na vigilância e na coleta de dados. É uma coisa simples, com muitas aplicações e usos diferentes e complexos. Se você é um desenvolvedor ou projetista de software, a ofuscação embutida em seu software pode manter os dados do usuário seguros – mesmo de você mesmo, ou de quem quer que adquira sua inicialização – enquanto você fornece redes sociais, geolocalização ou outros serviços que requerem coleta e uso de informações pessoais. A ofuscação também oferece maneiras para as agências governamentais realizarem muitos dos objetivos da coleta de dados, minimizando ao mesmo tempo os potenciais usos indevidos. E se você é uma pessoa ou um grupo que deseja viver no mundo moderno sem ser objeto de vigilância digital generalizada (e objeto de análise posterior), a ofuscação é um léxico de formas de colocar um pouco de areia nas engrenagens, ganhar tempo e se esconder na multidão de sinais. Este livro fornece um ponto de partida.

Nosso projeto rastreou semelhanças interessantes em domínios muito diferentes nos quais aqueles que são obrigados a ser visíveis, legíveis ou audíveis responderam enterrando sinais salientes em nuvens e camadas de sinais enganosos. Fascinados pelos diversos contextos em que os atores conseguem desenvolver uma estratégia de ofuscação, apresentamos, nos capítulos 1 e 2, dezenas de exemplos detalhados que compartilham este fio condutor geral e comum. Esses dois capítulos, que constituem a parte I do livro, fornecem um guia para as diversas formas e aspectos que a ofuscação tomou e demonstram como esses exemplos são criados e implementados para se adequarem aos seus respectivos objetivos e adversários. Seja em uma rede social, em uma mesa de pôquer ou nos céus durante a Segunda Guerra Mundial, e quer enfrentando um adversário na forma de um sistema de reconhecimento facial, o governo do Apartheid da África do Sul dos anos 1980 ou um oponente do outro lado da mesa, a ofuscação devidamente implantada pode ajudar na proteção da privacidade e na derrota da coleta, observação e análise de dados. A variedade de situações e usos discutidos nos capítulos 1 e 2 é uma inspiração e um estímulo: Que tipo de trabalho a ofuscação pode fazer por você?

Os casos apresentados no capítulo 1 são organizados em uma narrativa que introduz questões fundamentais sobre a ofuscação e descreve abordagens importantes que são então exploradas e debatidas na parte II do livro. No capítulo 2, casos mais curtos ilustram o alcance e a variedade de aplicações da ofuscação, reforçando ao mesmo tempo os conceitos subjacentes.

Os capítulos 3 a 5 enriquecem a compreensão do leitor sobre a ofuscação, considerando por que a ofuscação tem um papel a desempenhar em várias formas de trabalho de privacidade; os problemas éticos, sociais e políticos levantados pelo uso de táticas de ofuscação; e formas de avaliar se a ofuscação funciona, ou pode funcionar, em cenários particulares. Avaliar se uma abordagem de ofuscação funciona implica compreender o que a torna distinta de outras ferramentas e compreender seus pontos fracos e fortes particulares. Os títulos dos capítulos 3 a 5 são enquadrados como questões.

A primeira pergunta, feita no capítulo 3, é “Por que a ofuscação é necessária?”. Ao responder a essa pergunta, explicamos como os desafios da privacidade digital atual podem ser enfrentados com o uso da ofuscação. Ressaltamos como a ofuscação pode servir para combater a assimetria de informação, que ocorre quando os dados sobre nós são coletados em circunstâncias que provavelmente não entendamos, para fins obscuros e são usados de maneiras insondáveis. Nossos dados serão compartilhados, comprados, vendidos, gerenciados, analisados e aplicados: tudo isso terá consequências para nossas vidas. Você conseguirá um empréstimo, ou um apartamento, para o qual você se candidatou? Qual é o seu risco de seguro ou de crédito? O que orienta a publicidade que você recebe? Como tantas empresas e serviços sabem que você está grávida, ou lutando contra um vício, ou planejando mudar de emprego? Por que diferentes grupos, diferentes populações e diferentes bairros recebem diferentes alocações de recursos? Será que você estará, como diz a sinistra frase de nosso momento atual de antiterrorismo com base em dados, “em uma lista”? Mesmo o trabalho inócuo ou aparentemente benigno neste domínio tem consequências que vale a pena considerar. A ofuscação tem um papel a desempenhar, não como um substituto para a governança, conduta empresarial ou intervenções tecnológicas, ou como uma solução que serve para tudo (novamente, é uma revolução deliberadamente pequena e distribuída), mas como uma ferramenta que se encaixa na rede maior de práticas de privacidade. Em particular, é uma ferramenta particularmente bem-adaptada à categoria de pessoas sem acesso a outras formas de recurso, seja em um determinado momento ou em geral – pessoas que, como acontece, podem não ser capazes de implantar ferramentas de proteção de privacidade configuradas de forma ideal porque estão no lado fraco de uma relação particular de informação-poder.

Da mesma forma, o contexto molda as questões éticas e políticas em torno da ofuscação. O uso da ofuscação em múltiplos domínios, das políticas sociais às redes sociais à atividade pessoal, suscita sérias preocupações. No capítulo 4, perguntamos: “A ofuscação é justificada?” Não estamos encorajando as pessoas a mentir, a serem intencionalmente imprecisas ou a “poluir” com bancos de dados de ruído potencialmente perigosos que têm aplicações comerciais e cívicas? As pessoas que se ofuscam e que utilizam os serviços comerciais não estariam se aproveitando da boa vontade de usuários honestos que estão pagando por publicidade direcionada (e pelos serviços) ao disponibilizar dados sobre si mesmos? E se estas práticas se tornarem generalizadas, não estaremos desperdiçando coletivamente o poder de processamento e a largura de banda? No capítulo 4 abordamos estes desafios e descrevemos os cálculos morais e políticos de acordo com os quais determinados casos de ofuscação podem ser avaliados e considerados aceitáveis ou inaceitáveis.

O que a ofuscação pode e não pode realizar é o foco do capítulo 5. Em comparação com a criptografia, a ofuscação pode ser vista como contingente, mesmo pouco sólida. Com a criptografia, os graus precisos de segurança contra ataques de força bruta podem ser calculados com referência a fatores como comprimento da chave, poder de processamento e tempo. Com a ofuscação, tal precisão raramente é possível, pois sua força como ferramenta prática depende do que os usuários querem realizar e de quais barreiras específicas podem enfrentar nas respectivas circunstâncias de uso. No entanto, complexidade não significa caos e o sucesso ainda repousa na atenção cuidadosa às interdependências sistemáticas. No capítulo 5, identificamos seis objetivos comuns para um projeto de ofuscação e os relacionamos com dimensões de design. As metas incluem comprar algum tempo, fornecer cobertura, negação de identidade, evitar a observação, interferir com a definição de perfis e expressar protesto. Os aspectos do projeto que identificamos incluem se um projeto de ofuscação é individual ou coletivo, se é conhecido ou clandestino, se é seletivo ou geral e se é de curto ou longo prazo. Para alguns objetivos, por exemplo, a ofuscação pode não ser bem-sucedida se o adversário souber que está sendo empregado; para outros objetivos – como protesto coletivo ou interferência com causa provável e produção de negação plausível – é melhor se o adversário souber que os dados foram contaminados. Tudo isso, naturalmente, depende dos recursos disponíveis para o adversário – ou seja, quanto tempo, energia, atenção e dinheiro o adversário está disposto a gastar para identificar e remover informações ofuscantes. A lógica destas relações é promissora porque sugere que podemos aprender com o raciocínio sobre casos específicos como melhorar a ofuscação em relação ao seu propósito. Será que a ofuscação funcionará? Sim – mas somente em contexto.

Vamos começar.