Como explicar o caso Snowden para sua tia.

Imagine que você está num domingo ensolarado na praia de Ipanema quando toca seu celular. Do outro lado da linha a Tia Betty que quer saber se ainda é seguro pagar a conta de luz pela internet. Ela leu o tal do caso Snowden, viu lá o Fantástico e ficou preocupada. Quer que você explique para ela o que está acontecendo.

Neste momento você conta até dez para não mandar a Tia Betty para aquele lugar, afinal sua mãe vai ficar chateada e pensa em como se livrar do problema de maneira rápida.

A questão não é saber se existe um meio completamente seguro de se comunicar pela Internet, mas de quem você quer se proteger?

Eu costumo dizer que uma pessoa (empresa, entidade ou governo) com tempo e recursos consegue invadir qualquer sistema. É uma questão de valor do alvo e capacidade do invasor. Um alvo de baixo valor em geral não paga os recursos necessários para quebrar um sistema básico de criptografia, provavelmente este é o caso da sua tia.

Mas em alguns casos o usuário pediu para ser burro, entrou duas vezes na fila e ainda mandou caprichar, é o caso do sujeito que veio chorar que tiraram dinheiro da conta dele. Segundo o mané, ele recebeu um e-mail do banco dizendo que eles precisavam confirmar os dados dele, aí num site mequetrefe com a cara do Santander, ele digitou o login, a senha, a senha do cartão e ainda se deu o trabalho de digitar os 50 dígitos do cartão de segurança, além, obviamente, do número do cartão de segurança. Convenhamos, que com um usuário assim, os hackers mais pé de chinelo, que compraram o “Haqueando” Contas de Banco em duas semanas, conseguem se dar bem.

Mas e o Snowden, pergunta sua tia. Neste momento, caso você queira aproveitar seu domingo é melhor dizer para ela que tudo não passa de teoria da conspiração.

Algum usuário mais crédulo poderá dizer agora, não é verdade que qualquer sistema seja vulnerável. Ele pode até argumentar que não quebraram o código do TrueCrypt do Daniel Dantas, mesmo o FBI não quebrou. É verdade, mas será que o Daniel Dantas é um “high value target” que os americanos vão usar aquele zero-day-exploit especial que estão guardando para pegar um terrorista?

O fato que sabemos é que o código do TrueCrypt, apesar de aberto, ainda não foi totalmente, e está longe de ser, completamente validado contra vulnerabilidades.

Se você quiser saber a razão do buraco ser muito mais embaixo eu tenho algumas sugestões de leitura:

In God we trust

P.S: Depois de ler isto que eu falei, você vai entender porque nem o Serpro nem os Correios, mesmo que não fossem o lodaçal que são, não teriam condições de fazer um e-mail seguro para a Dilma. Eu acredito que nenhuma empresa brasileira tem condições.

Comments on this entry are closed.