PRISM: Snowden revelou um sistema quebrado na NSA

Autor: Philip Branch, Lecutrer Sênior em Telecomunicações na Universidade Tecnológica de Swinburne.

Publicado originalmente no The Conversation em 11 de junho de 2013. Leia o artigo original. %22The Conversation%22 logoThe Conversation


Se os reportes são credíveis, a Agência de Segurança Nacional dos EUA (NSA) tem tido “acesso direto” a sistemas gerenciados pelo Google, Facebook, Yahoo e Apple. Mesmo que estas companhias citadas tenham usado palavras similares para negar estas afirmações, a alegada escala da vigilância, sua sofisticação e a falta de fiscalização independente ainda são bem alarmantes.

Todos os pontos acimas são um decaimento preocupante em procedimentos que estão por aí há décadas – por boas razões – na área da interceptação permitida por lei.

A maioria dos países têm alguma forma de legislação governando interceptação legal de comunicações. Se uma organização oferece alguma forma de serviço de comunicação publicamente disponível, ele pode ser obrigado a entregar o conteúdo das comunicações, ou informação sobre essa comunicação, para as agências relevantes de inteligência ou aplicação de leis.

Esta legislação cobre não apenas companhias de telecomunicações, mas provedores de conexão à Internet, Provedores de Serviços de Aplicação (negócios que oferecem serviços de software para consumidores) e sites de mídias sociais. Se um serviço publicamente disponível pode ser usado para comunicações então, na maioria dos casos, ele pode ser sujeito a obrigações de interceptação.

Interceptação

Nos EUA, tal qual na maioria dos países ocidentais com fortes Estados de Direito, a interceptação legal usualmente tem fortes controles para garantir que não seja abusada; isto usualmente implica alguma forma de supervisão judicial adonde um mandato de interceptação é emitido por ordem de côrte.

O mandato é então entregue ao provedor de serviço de comunicação, que entrega essas comunicações especificadas no mandato para a agência de aplicação de leis.

Por ter uma separação de responsabilidades aonde o provedor de serviço de comunicação cumpre a interceptação por requisição da côrte, há uma separação auditável de responsabilidades que ajuda a garantir que as capacidades de interceptação não sejam abusadas. Não há acesso direto aos dados pela agência de aplicação de leis.

É preciso dizer, porém, que desde os ataques às Torres Gêmeas (11/09/2001), os controles dos EUA sobre interceptações legais foram afrouxados, notavelmente na área de coleta de metadados. Metadados são informações sobre uma comunicação entre partes, ao invés do conteúdo da comunicação em si, e são tipicamente usados na realização de análise de rede de quem está conectado a quem.

Metadados associados com um e-mail consistiriam de remetente e destinatário. Usando tais informações, um mapa pode ser construído mostrando as “redes” de relacionamentos das pessoas-alvo. Outras informações, como localização, também podem ser integradas em mapas de redes.

Com frequência metadados são mais úteis que o conteúdo das comunicações. Um padrão de chamada telefônica, digamos, para um psicólogo, seguida de uma para uma central anti-suicídio, provê bastante informação, e pode ser computada, codificada e armazenada rapidamente e facilmente.

Nos EUA, sob o Ato Patriota, aprovado após os ataques de 11 de setembro, tornou-se desnecessário um mandato ser emitido antes de metadados poderem ser coletados.

Jogando luz sobre o PRISM

Você provavelmente sabe, por agora, que as mais recentes revelações [(recentes em junho de 2013)] são a respeito de um sistema referido pela NSA como PRISM. Se as declarações do ex-empregado da CIA Edward Snowden forem credíveis, o PRISM toma fluxos de companhias de telecomunicações e mídias sociais e integra-os para produzir inteligência usável.

Há um número de problemas preocupantes aqui:

Talvez o mais preocupante é a arbitrariedade da coleta de dados. Interceptações são normalmente entendidas como sendo específicas para organizações e indivíduos específicos. A informação seria mirada para essas pessoas-alvo.

Os slides vazados sugerem que os dados são coletados de forma meio que arbitrária baseando-se em palavras-chave ou localização.

A segunda preocupação é a referência a

Coleta diretamente de servidores da […] Microsoft, Yahoo, Google, Facebook …

Se por “diretamente” se quer dizer que a agência de inteligência tem a capacidade de coletar dados sem supervisão judicial, isto representa um sério decaimento da separação de responsabilidades necessárias para reduzir o risco de abuso desta tecnologia.

Representantes de companhias envolvidas têm declarado que a NSA não tem acesso direto a seus servidores, mas isto leva à questão sobre qual informação eles têm, então, acesso.

A terceira preocupação é que um dos slides lista uma grande variedade de conteúdo que analistas terão acesso. Coleta de conteúdo, em oposição a coleta de metadados, era previamente regulamentada com muito rigor. É alarmante que este possa não ser mais o caso.

Interceptação permitida por lei é um fato da vida. Agências de aplicação de leis têm estado interceptando comunicações por tanto tempo quando têm havido tecnologias de comunicação.

Mas se abusos têm de ser evitados, é importante que tais interceptações permaneçam firmemente regulamentadas.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s