Requisitos técnicos indispensáveis: a segurança da rede

A questão de segurança na rede (cybersecurity) também tem sido alvo de diversos debates no campo de políticas públicas, e algumas das propostas interseccionam-se com a neutralidade da rede. Determinadas tecnologias, sites e aplicativos podem ser ameaças de segurança para usuários, empresas e governos, e bloqueios podem ser necessários para evitar a expansão dessas ameaças (Macdonald e Cannella, 2014). Governos e provedores de conexão precisam de um marco regulatório flexível para implementar inovações em suas redes que possam permitir o desenvolvimento de ferramentas mais modernas de segurança digital, como firewalls204, software de segurança de rede, monitoramento de infraestruturas e bloqueios automáticos de ameaças (Crews, 2013).

Nos EUA, esse debate tem sido bastante ativo desde 2009, quando a Casa Branca divulgou o estudo Cyberspace Policy Review, contendo uma série de diretrizes sobre segurança na internet, com o objetivo de pautar futuras políticas públicas no assunto205. Desde então, diversas iniciativas legislativas no Congresso dos EUA têm buscado endereçar essa questão, com várias associações civis criticando a forma vaga como as possibilidades de bloqueio são definidas nesses projetos (Masnick, 2014a), e propostas que buscam dar à presidência dos EUA o poder de interromper as comunicações via internet em casos de guerra ou emergência – o que alguns estudos têm chamado de “internet kill switch” (Opderbeck, 2012).

203

A exceção que esses autores propõem pode ser explicada pela seguinte metáfora: em uma situação de trânsito em determinada rodovia, todos os carros estão parados, independentemente do modelo do carro, de onde eles vêm ou para onde vão; todavia, se uma ambulância precisa abrir espaço entre os carros para passar, os demais motoristas tendem a prontamente dar passagem, já que reconhecem tratar-se de uma situação de prioridade.

204

Um firewall é um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. Nesse sentido, ver: <http://goo.gl/SZAX>. Acesso em: 26 out. 2014.

205

Disponível em: <http://goo.gl/ccBnh>. Acesso em: 25 out. 2014. O estudo não foca na problemática da neutralidade da rede em si; todavia, o trabalho reconhece como um dos objetivos de médio prazo de uma política em segurança na rede desenvolver “solutions for emergency communications capabilities during a time of natural disaster, crisis, or conflict while ensuring network neutrality”.

De fato, a preocupação com cybersecurity não é recente, mas tem ganhado maior relevância nos últimos anos – no Brasil, as denúncias de Edward Snowden em 2013 trouxeram grande instabilidade política e levaram inclusive a alterações no Marco Civil206 (Greenwald, 2014). Esse caso contribui para desmistificar a ideia geral que havia em torno de ameaças de segurança na rede: não se trata mais de hackers e grupos isolados que promovem esses ataques de forma descentralizada, mas empresas, organizações criminosas, estruturas e até mesmo governos de outros países.

Como apontam Ammori e Poellet (2010), as ameaças de segurança na rede podem ser divididas em pelo menos três categorias:

(i) Espionagem – acesso não autorizado a informações confidenciais de governos,

empresas e usuários;

(ii) Ataques – sabotagem de infraestruturas de rede, interferências em redes

wireless e ataques distribuídos de negação de serviço (Distributed Denial of Service – DDoS);

(iii) Outros tipos – fraudes bancárias, roubo de senhas, perfis falsos, vírus e

malwares etc.

Sob a ótica da neutralidade da rede, é importante ressaltar o caso dos ataques DDoS. Como apontam Ammori e Poellet (2010), esse tipo de ameaça geralmente envolve milhares de computadores, agindo em conjunto por meio de um servidor central, e que solicitam acesso a determinado site ou aplicação simultaneamente, sobrecarregando os recursos da rede e impedindo que outros usuários possam acessar esse site ou aplicação; fazendo uma analogia com a telefonia tradicional, é como se diversas pessoas estivessem ligando simultaneamente para um mesmo número, com o mero objetivo de congestionar as linhas.

Esse tipo de ameaça pode ser combatido com ferramentas de gerenciamento de tráfego desenvolvidas por provedores de conexão. Logo no início de um ataque DDoS, essas ferramentas podem identificar um padrão de comportamento anormal de tráfego e bloquear o acesso dos computadores envolvidos em um ataque DDoS para impedir que outros usuários sejam prejudicados em sua experiência de navegação. Além disso, essas ferramentas podem ajudar a identificar a origem desses ataques, contribuindo para investigações futuras. Nessas situações, há uma clara exceção ao princípio da neutralidade

206

da rede: há um bloqueio a uma comunicação específica, baseada em critérios de discriminação dessa comunicação das demais.

Ainda que os motivos sejam legítimos e haja um relativo consenso acadêmico sobre a necessidade de se combaterem ataques DDoS, há uma preocupação de acadêmicos e associações civis (Masnick, 2014a) de que bloqueios e discriminações específicas possam ser realizados por provedores de conexão com objetivos comerciais, utilizando a segurança da rede como salvaguarda207. Autores como Ammori e Poellet (2010) têm apontado que situações limítrofes entre uma ameaça de segurança à rede e uma prática com objetivos anticoncorrenciais dificilmente serão resolvidas por uma regulação ex ante específica; nesse sentido, uma regra eficiente deveria prever flexibilidade suficiente para que provedores de acesso possam discriminar pacotes de dados especificamente em casos de proteção dos usuários e segurança da rede, bem como prever critérios procedimentais para que a autoridade reguladora possa avaliar se aquela prática é ou não razoável208.

QUADRO 11. BLOQUEIO DE PORTAS, PERSPECTIVA MULTISTAKEHOLDER E O ESTUDO DE CASO DA PORTA 25

Aplicações de internet utilizam-se de diversas técnicas para endereçar o tipo de pacote de dados e os endereços de origem e destino de determinada comunicação, por exemplo, o IP header209. Uma das técnicas utilizadas para identificar essas informações de cada pacote de dados são as chamadas portas, que são pontos físicos (hardware) ou lógicos (software), por meio dos quais podem ser feitas conexões entre dispositivos de origem e destino de determinada comunicação. As portas são utilizadas para assinalar diferentes tipos de aplicações que se comunicam através do protocolo TCP/IP – por exemplo, determinada porta pode ser registrada para envios de pacotes de dados do tipo bittorrent (porta 68881), enquanto outra porta deve ser utilizada prioritariamente para o jogo online World of Warcraft (porta 3724). O controle das portas usadas na internet é de responsabilidade da Internet Assigned Numbers Authority (IANA), atualmente um departamento do ICAAN. Com a expansão da internet comercial, diversas portas passaram a ser utilizadas frequentemente para envio de ameaças de segurança, como vírus, malwares, trojans e spam (Bott, 2000). Os responsáveis por

207

Um exemplo pode ajudar a esclarecer a preocupação aqui levantada: determinado site decide transmitir via live streaming a final do Super Bowl. Mesmo após contratar toda a infraestrutura adequada com um provedor de conexão, a iniciativa do site torna-se um enorme sucesso e um número muito elevado de usuários começa a assistir ao jogo pelo site. O provedor de acesso, que subestimou o número de acessos ao alocar sua infraestrutura, passa a bloquear individualmente o acesso de vários usuários específicos, evitando assim a congestão de seus recursos de rede. Depois do jogo, questionado sobre os bloqueios e acusado, pelo provedor do site, de quebrar suas obrigações de qualidade de serviço, o provedor de conexão pode utilizar o argumento de segurança da rede para eximir-se da obrigação, visto que, se houvesse congestão na rede, haveria a possibilidade de queda geral do serviço.

208

Uma questão em aberto e que ficou em evidência a partir dos anos 2010 foi a possibilidade de ataques DDoS serem utilizados como forma de protesto (hacktivism), de forma equivalente às manifestações tradicionais. Um dos casos mais emblemáticos sobre esse tema envolveu, em 2010, ataques DDoS realizados contra os sites da Visa e Mastercard após essas empresas passarem a bloquear doações ao site Wikileaks, entidade que revelou diversos documentos sigilosos sobre operações de inteligência do governo estadunidense. Esse e outros casos levantaram questões sobre até que ponto esses ataques podem ter fins legítmos, e serem cobertos pela direito à liberdade de expressão e de livre manifestação. Para uma revisão ampla sobre esse e outros temas relacionados a hacktivism, ver MacKinnon (2012).

209

disseminar essas ameaças fazem uso de portas pouco monitoradas ou que ofereciam menores barreiras de segurança para que conteúdos maliciosos pudessem ser enviados para usuários (Agnitum, 2013)210.

Todavia, alguns estudos têm apontado que o bloqueio-padrão de determinadas portas pode representar prejuízos para usuários, especialmente para desenvolvedores de novas aplicações (Cooper, 2013b). Ainda que esses autores reconheçam os benefícios do bloqueio de portas que oferecem baixas garantias de segurança, muitas delas são utilizadas para fins legítimos (como online gaming), e o bloqueio-padrão poderia representar uma discriminação de determinados tipos de dados em uma rede; ainda, argumenta-se que usuários deveriam ter direito de escolher sofrer os riscos do uso de uma porta específica, especialmente caso desejassem utilizar determinada porta para o desenvolvimento de novas aplicações.

Evidente, nem sempre as ameaças são questões meramente relacionadas à segurança de um usuário específico – há casos em que o uso de determinada porta por um usuário pode levar a malefícios generalizados para a segurança da rede em determinada localidade. Nesse sentido, o Brasil possui um caso exemplar em que uma porta foi, por padrão, bloqueada da internet brasileira, com o objetivo de reduzir a quantidade de spam que comprometia a qualidade da infraestrutura lógica da rede nacional. Em 2009, o Brasil foi listado pelo relatório da CBL como o líder mundial de envio de spam, concentrando cerca de 17% de todos os servidores de envio de spam do mundo211. O principal motivo apontado à época era o abuso por spammers no uso da porta 25, considerada de alta vulnerabilidade e que era utilizada como padrão para envio de e-mail no Brasil212. Entre 2005 e 2012, o CGI.br coordenou o Programa de Gerência da Porta 25 (PGP25), um conjunto de políticas e acordos multilaterais com o objetivo de bloquear o uso da porta 25 no Brasil. Os trabalhos do CGI.br iniciaram-se em 2005 com a criação de um comitê específico para análise da matéria, que produziu estudos técnicos (Hoepers et al., 2008) e regulatórios (Lemos et al., 2008) sobre o tema, assim como códigos de autorregulamentação para o mercado de e-mail marketing213. Em 2011, foi assinado um acordo de cooperação entre o CGI.br, Anatel e diversos órgãos e entidades anuentes214, com o objetivo de realizar a migração de envios de e-mail da porta 25 para outras portas, acordo este que, no mesmo ano, recebeu parecer favorável da Secretaria de Direito Econômico do Ministério da Justiça215.

O resultado foi considerado bastante positivo: segundo o relatório da CBL, o Brasil passou da 1.a posição em 2009 para a 12.a posição em 2013216. Segundo pesquisas da Symantec, o Brasil passou da 4.a posição em 2012 para a 22.a em 2014217. Os resultados alcançados e a abordagem multissetorial adotada para a tomada de decisão têm sido alvo de diversos estudos recentes, que apontam esse approach como um caminho adequado para resolver questões difíceis que envolvam temas de alta complexidade e dinamicidade como segurança da rede, gerenciamento de tráfego e governança da internet (Hoepers, 2013; IGF, 2013; Hoepers et al., 2014).

210

Com o objetivo de reduzir o número de ameaças de segurança, diversos provedores de acesso bloqueiam o uso de determinadas portas para seus usuários, prática também adotada por provedores de aplicação como a Mozilla, que utiliza como padrão de seu navegador Firefox o bloqueio de diversas portas (http://goo.gl/sPXaU).

211

Disponível em: <http://goo.gl/0cip3I>. Acesso em: 5 dez. 2014.

212

Disponível em: <http://goo.gl/a1Lf2p>. Acesso em: 5 dez. 2014.

213

Disponível em: <http://goo.gl/JlPYis>. Acesso em: 5 dez. 2014.

214

Disponível em: <http://goo.gl/hwgZko>. Acesso em: 5 dez. 2014.

215

Disponível em: <http://goo.gl/1ZeZdY>. Acesso em: 5 dez. 2014.

216

Disponível em: <http://goo.gl/0cip3I>. Acesso em: 5 dez. 2014.

217