A Apple, o governo dos EUA e uma nova Caixa de Pandora

No momento em que você lê este texto, uma verdadeira praça de guerra é organizada em solo americano. Em pauta, um assunto que já vê crescer barba, conforme são contrapostos uma vez mais os velhos litigantes: de um lado, o poderio estatal em busca de controle; do outro, a privacidade garantida por anos de desenvolvimento tecnológico – ambos devidamente escorados no moralmente defensável, o que não poderia deixar de ser, enquanto movem vários gigantes da indústria para trincheiras opostas, incluindo Google e Microsoft.

Amparado em uma lei que data do século XVIII, o governo dos EUA busca atualmente um meio para forçar a Apple a “hackear” seu próprio sistema, cuja inviolabilidade potencial se tornou motivo de orgulho (e cifras gordas) nos últimos anos. Mas o motivo aparente é inegavelmente nobre: ganhar acesso ao iPhone 5c deixado para a posteridade por um dos criminosos responsáveis pelo Massacre de San Bernardino – tragédia que deixou 36 vítimas, entre mortos e feridos, ao final do ano passado, possivelmente com ligações escusas remetendo a células terroristas.

“Finalmente chegou nisto”, disse o emblemático John McAfee em nota publicada pelo site Daily News. “Após anos de argumentos por parte de cada especialista da indústria afirmando que backdoors seriam trunfo maior nas mãos de hackers e dos nossos inimigos do que a publicação de nossos códigos nucleares e a entrega das chaves de todo o nosso arsenal militar aos russos e aos chineses, o nosso próprio governo escolheu, uma vez mais, não ouvir as mentes que criaram a cola que mantém este mundo ligado.”

Embora o discurso misto de sarcasmo, ufanismo, indignação justificável e razoabilidade do Sr. McAfee certamente ajude a compreender o cenário atual – que já foi definido como “O caso de tecnologia mais importante da década” –, certamente há mais por aí. Mas, antes de tudo, convém entender exatamente o que se passa, começando pelo que motivou a demanda governamental que serviu de estopim para a coisa toda.

“Ajudem o FBI a invadir o seu sistema, por gentileza”

No dia 2 de dezembro de 2015, um casal suspeito de pertencer a redes terroristas abriu fogo contra um grupo de pessoas envolvidas em festejos natalinos, deixando 14 pessoas mortas e 22 feridas. Ambos acabaram baleados e mortos durante troca de tiros com a polícia, de maneira que as intenções se tornaram difíceis de rastrear — não fosse por um singelo iPhone 5 deixado por um dos criminosos à posteridade.

Mas o aparelho está bloqueado, devidamente resguardado com o código PIN. Embora a primeira solução em um caso semelhante seja invadir o sistema por meio de uma abordagem conhecida como “força bruta” – a fim de descobrir a senha na base da tentativa e erro –, algumas particularidades do iPhone acabam complicando consideravelmente o cenário. Entre elas:

• O iOS pode excluir completa e permanentemente os dados do usuário após dez tentativas incorretas;
• As tentativas precisam ser feitas à mão, fisicamente, uma de cada vez; e
• O iOS introduz períodos de espera cada vez maiores após cada combinação inválida, chegando a impor uma hora de espera entre uma tentativa e outra.

Dessa forma, o que o FBI exige é a possibilidade de tentar um número ilimitado de PINs, sem atrasos, e sem a necessidade de manter um funcionário digitando, entrada por entrada, durante os próximos 20 anos. Em um cenário ideal, novas combinações poderiam ser testadas em intervalos de apenas 80 milissegundos, o que seria o limite teórico do hardware do modelo 5c.

“Assine aqui, por favor”

Embora seja possível instalar um firmware adulterado que desabilite os protocolos de segurança do iPhone para agilizar a coisa toda, o iOS é bastante criterioso quanto à procedência de quaisquer novas diretivas. É aí que surge a necessidade de uma backdoor provida e devidamente assinada pela própria Maçã. Afinal, o FBI não possui a chave de segurança que permite à Apple legitimar eventuais atualizações de sistema.

Dessa forma, seria possível otimizar as tentativas e erros por parte do bureau. Embora o número de dígitos do iPhone recuperado não tenha sido divulgado, as buscas implicariam os seguintes limites: meia hora para um PIN de quatro dígitos; algumas horas para um PIN de seis dígitos; ou vários anos para uma senha composta por seis caracteres alfanuméricos.

A despeito de quanto tempo o FBI precisaria dispor para ganhar acesso ao aparelho, a porta dos fundos imposta pelo tribunal da Califórnia parece mesmo viável: bastaria que a Apple criasse uma versão adulterada do iOS que desabilitasse os protocolos de segurança – com a vantagem adicional de que o 5c ainda não continha o módulo independente de segurança denominado Secure Enclave, introduzido apenas em modelos mais recentes do smartphone.

“No iPhone 5c, o atraso entre as tentativas e a exclusão dos dados são implementados [apenas] em software, e a Apple poderia adicionar o suporte a periféricos que facilitariam a entrada de novos códigos PIN”, disse o editor Dan Guido em postagem para o blogTrail of Bits. “A fim de limitar os riscos de abuso, a Apple poderia delimitar a ação do iOS customizado para que trabalhasse apenas com o iPhone recuperado, realizando ela mesma a recuperação dos dados, sem compartilhar o firmware com o FBI”, conclui Guido.

Uma nova Caixa de Pandora

A Apple, entretanto, não se limita apenas às perspectivas técnicas do caso. Conforme a companhia e seus apoiadores têm deixado claro, a exigência judicial pode botar a perder anos de pesquisa e desenvolvimento criptográfico – cujo resultado poderia ser o mais completo caos por um lado, ou uma nova versão mais poderosa do Estado por outro; uma com capacidade ainda maior de fuçar a vida do cidadão comum.

“O governo pede que a Apple hackeie seus próprio usuários, minando décadas de avanços em segurança que protegem nossos clientes”, disse o chefão Tim Cook em comunicado oficial, o que é endossado pelo advogado especialista em direitos digitais Kevin Bankston. “Trata-se de todo o nosso software e de todos os nossos aparelhos digitais”, disse ele em entrevista ao site Business Insider. “Se esse precedente for mesmo firmado, deve haver um caos digital referente à confiabilidade dos computadores e telefones móveis de todo mundo”.

Trata-se de uma escolha insidiosa de termos? “O FBI pode utilizar palavras diferentes para descrever essa ferramenta, mas não se enganem: a construção de uma versão do iOS que ignore a segurança dessa forma vai inegavelmente criar uma porta dos fundos”, disse Tim Cook em sua nota. “Embora o governo possa argumentar que a utilização será limitada a esse caso específico, não há forma de garantir tal controle.”

O golpe também pode ser financeiro

Além da instalação do caos digital, a condescendência da Apple em relação à exigência judicial ainda poderia se revelar como uma pancada nas ações da empresa nas bolsas de valores mundo afora. Em outras palavras, além da possibilidade preocupante de que fotos, vídeos e informações pessoais de cada iPhone acabassem circulando livremente, a criação de uma versão adulterada do iOS ainda pode ter impacto negativo imediato nos negócios – o que, naturalmente, é mais do que uma nota de rodapé para Tim Cook.

“Os hackers vão encontrar essas backdoors no mesmo dia em que eles a instalaram no equipamento”, disse o especialista em segurança cibernética Gary Miliefsky em entrevista ao site Wmur. “A Apple vai perder receita; (...) os criminosos vão ganhar acesso à mesma porta dos fundos que o governo quer instalada no equipamento.” Miliefsky endossa seu argumento lembrando de caso semelhante ocorrido com a Cisco, em que abordagem semelhante por parte NSA (Agência de Segurança Nacional, na sigla em inglês) fez com que os clientes levassem seus negócios para outros lados, causando perda de vários bilhões de dólares.

Atualizações em descrédito

Ainda outros impactos têm sido considerados para o caso de o governo dos EUA realmente obter uma porta dos fundos para o iOS. Conforme colocou o advogado do grupo pró-liberdades civis Electronic Frontier Foundations, Nate Cardozo, em sua conta no Twitter, “Caso o FBI ganhe a disputa contra a Apple, nada vai garantir que eles não forcem [por exemplo] a Moxie a criar uma backdoor para o Signal.”

Os desdobramentos de semelhante cenário poderiam provocar desconfiança generalizada relacionada a qualquer atualização de software por parte do fabricante. “Caso o Departamento de Justiça consiga o que quer no caso da Apple, imagine só a assistência para vigilância que eles podem ganhar a partir das companhias voltadas para a internet das coisas”, disse o especialista em segurança digital Christopher Soghoian ao Business Insider.

Para Soghoian, o embate entre o Departamento de Justiça e a Apple não trata de outra coisa que não da utilização de atualizações de software como mecanismos de vigilância em potencial. “Esse é um território realmente perigoso.”

Para Kevin Bankston, caso a corte estadunidense consiga compelir a Maçã a construir um malware para prejudicar sua própria tecnologia de segurança, o mesmo poderá ocorrer com outras companhias, “incluindo a obrigação de instalar secretamente programas no sistema operacional do seu telefone ou laptop”. O resultado óbvio, para ele, seria um retrocesso em que ninguém mais confiaria em atualizações, deixando passar mesmo aquelas essenciais à segurança.

John McAfee: “Eu faço isso de graça”

Se a anuência da Apple pode abrir um precedente perigoso, então a solução parece ser apenas uma: invadir o tal iPhone pelas vias “tradicionais”: hackeando o sistema. Dessa forma, embora ainda possam existir prejuízos extensos de segurança, não haverá jurisprudência para que o governo dos EUA possa forçar outras empresas a dispararem tiros contra o próprio pé no futuro. E, bem, há de fato um candidato disposto a fornecer a ajuda necessária.

John McAfee publicou recentemente um texto aberto em que estende a mão ao FBI, garantindo que ele e sua equipe de “desajustados” geniais poderiam quebrar a segurança do iPhone 5c em, no máximo, três semanas. “Eis a minha oferta, FBI. Eu vou, gratuitamente, quebrar a criptografia das informações do telefone de San Bernardino, juntamente com a minha equipe”, escreveu McAfee.

“Primeiramente, nós vamos utilizar engenharia social, o que vai tomar três semanas. Caso vocês aceitem a minha oferta, então não precisarão pedir à Apple que coloque backdoors em seus produtos, o que seria o começo do fim da América”.

Caso o bureau questione suas habilidades, o controverso programador escocês acrescenta: “Caso vocês coloquem em cheque as minhas credenciais, busquem no Google por ‘Lenda da cybersegurança' e vejam qual é o único nome que aparece nos primeiros dez resultados de um quarto de milhão.”

Impacto tecnológico e social irrefreável

É claro que a guerra armada entre defensores da segurança pública e da privacidade está ainda apenas em seus primeiros movimentos, de forma que ainda seria difícil prever onde a coisa toda pode desembocar em curto e médio prazo. De fato, a Maçã ainda pode se valer de questões pétreas constantes nas leis estadunidenses para se evadir da determinação judicial – conforme o imbróglio sobe pelas instâncias até a Suprema Corte dos Estados Unidos.

Independentemente dos desdobramentos do caso, entretanto, fica claro que San Bernardino simultaneamente reacendeu uma velha discussão e ainda forneceu o combustível para inflamar outras – sejam elas sobre segurança pública, sobre privacidade ou sobre certo oportunismo do governo dos EUA. Tal e qual o caso daquela famosa caixa mitológica, uma vez que algumas coisas são lançadas ao ar, torna-se impossível confiná-las novamente.