Segurança e hackerismo

A discussão de segurança e hackerismo será abordada na seção de actantes não-humanos, pois ela remete a um conjunto bastante extenso de artefatos tecnológicos e construtos abstratos. Estamos falando de cofres virtuais, firewalls, senhas, vírus, servidores e dados criptografados. Todos esses elementos são imprescindíveis para a tomada de decisão e controle do fluxo informacional em uma empresa de TI. Contudo, como ficará claro mais adiante, tanto a segurança quanto o hackerismo são actantes híbridos. Tanto um quanto o outro não se resumem a identificar vulnerabilidades tecnológicas para invadir ou proteger sistemas, mas incluem também saber prever e manipular o comportamento de seres humanos através do que os hackers chamam de “engenharia social”.

A ideia de abordar o tópico de segurança da informação surgiu a partir da experiência de campo do pesquisador, quando ele se deparou com uma volumosa pasta física cheia de senhas impressas. Nas folhas brancas de papel A4, estavam sequências complexas de letras, números e caracteres especiais. A pasta física era ocasionalmente consultada pelos trabalhadores que digitavam pacientemente longas senhas quando solicitadas pelos sistemas informatizados que utilizavam. Ao lhes indagar sobre o porquê de recorrerem àquele recurso físico, eles me responderam que não tinham confiança de salvar as suas valiosas palavras-passe

na memória dos computadores. Após algum tempo, vi os trabalhadores migrarem da pasta com folhas de papel para o LastPass, uma espécie de cofre virtual com criptografia pesada e armazenamento em nuvem, ou seja, servidores remotos fortemente protegidos. Segundo eles, isso garantiria ainda mais segurança a todas as informações sigilosas da Empresa X, como os dados bancários de seus clientes. A decisão não foi tomada até que todos os funcionários se sentissem confortáveis com a confiabilidade do LastPass, o que nos permite notar relevância da segurança da informação para a cultura da Empresa X. A partir desse momento, podemos nos indagar sobre os motivos dos trabalhadores valorizarem tanto esse aspecto.

Muitos fatores explicativos nos vêm à mente quando questionamos sobre o que fomenta a adoção de práticas de segurança da informação em empresas de informática. O fator mais imediato que surge em nossa mente, contudo, talvez seja o econômico. Garantir que dados anônimos permaneçam anônimos é evitar prejuízos para a empresa. Tais prejuízos decorrem não só da deterioração da sua imagem diante dos investidores, acarretando em fuga massiva de capital. Eles advêm também de transações financeiras maliciosas, como a contratação de serviços utilizando a identidade de terceiros: “Com a senha root [de administrador do sistema] dá até para você falir a empresa. O cara pode subir 8 máquinas remotas, com um gasto [monetário] real absurdo, maior do que o caixa da empresa” (Entrevista 2 com F8).

O racional que promove ênfase nas questões de segurança da informação na Empresa X, portanto, está fortemente baseado no medo. Medo do que algum desconhecido possa fazer dentro do espaço virtual conquistado pela empresa, ou fora dele utilizando a identidade de seus trabalhadores. Se as devidas precauções não são tomadas, hackers mal-intencionados podem falir a Empresa X por má fé ou simplesmente por diversão. É por isso que os trabalhadores da Empresa X tomam alguns cuidados:

Primeiro, nós utilizamos sempre software atualizado. As vulnerabilidades são vendidas no mercado negro, mas uma vez descobertas, elas são rapidamente solucionadas pelas empresas em coisa de uma semana. Então, procuramos atualizar servidor, sistema operacional, aplicativos e linguagens de programação. O segundo ponto é conhecer as vulnerabilidades mais comuns. Você não consegue se proteger de uma vulnerabilidade que você

não conhece. O que você pode fazer é criar dificuldades, mas se proteger mesmo, só se você conhece o mecanismo de ataque (Entrevista 2 com L2)

Veja que as medidas que à primeira vista parecem simples, envolvem a coordenação de muitos esforços. Para que os dados da Empresa X estejam seguros, é necessário tanto que os funcionários se capacitem para conhecer as vulnerabilidades de segurança mais comumente utilizadas por hackers mal-intencionados (essas atualizadas a ritmo intenso), quanto que a empresa tenha alguns gastos financeiros consideráveis para adquirir sempre licenças e serviços de softwares originais, bem como suas possíveis atualizações. L2 continua listando mais algumas precauções de segurança adotadas na Empresa X:

Outro aspecto que é importante para segurança é sempre usar serviços de empresas confiáveis, como os da Amazon, que garantem para gente uma camada a mais de segurança nos serviços WEB. Aí o básico: criptografia, senha forte, certificados de segurança, CSS (Entrevista 2 com L2)

Na fala de L2, há uma dimensão da segurança também associada à marca de grandes empresas de TI. L2 usa a Amazon como exemplo de empresa confiável, pois ela consegue convencê-lo que seus serviços são seguros suficientes e que a empresa sabe a melhor maneira de administrar seus dados. Além disso, L2 lista outros fatores importantes para a segurança da empresa, como criptografia, senha forte (difíceis de serem quebradas) e certificados de segurança digital. Todas essas ferramentas promovem uma navegação mais segura do usuário. Contudo, apesar de todo o zelo dos trabalhadores da Empresa X com segurança da informação, algumas das celebridades que eles mais admiram são conhecidas justamente por não terem respeitado o sigilo da informação alheia. Entre elas, estão nomes como Kevin Mitnick, John McAffe e Edward Snowden. Esses ídolos da cultura hacker são responsáveis por vazamentos de dados corporativos em larga escala, furtos de informações governamentais e invasões de computadores de agências de segurança pública. Como os trabalhadores da Empresa X racionalizam essa dicotomia? Quais as justificativas que eles dão para lidar com tais controvérsias nas práticas do seu dia-a-dia?

Para L2, o critério que decide a legitimidade de um ciberataque é a motivação do invasor. Se a causa de um ciberataque for nobre e estiver a favor da maioria da população,

tudo bem explorar uma falha de segurança ou outra. L2 exemplifica seu mecanismo de justificação com o exemplo de uma empresa que tenta “varrer para baixo do tapete” alguns dos incidentes ambientais que provocou no passado. No momento que hackers invadem o e- mail de altos executivos da empresa e vazam suas informações, o ato é tido majoritariamente como glorioso, pois serviu para o “bem comum”. F8 complementa a racionalização de L2, dizendo que o julgamento da legitimidade de um ciberataque se baseia em uma espécie de “síndrome de Robin Hood”. Como o mecanismo legal para controle das informações digitais nem sempre é justo (e raramente está atualizado), a máxima maquiavélica “os fins justificam os meios” é frequentemente tida como uma grande verdade. Se a causa for nobre, o comportamento transgressor é legítimo e bem aceito. F8 ilustra isso por meio de sua fala.

Casos como o do Snowden, em que há vazamentos de informações ocultas e de natureza sombria, são importantes. São importantes porque muita coisa é escondida, mas não deveria ser escondida. Esconde-se porque tem algo errado. Utilizar práticas ilegais para expor coisas dessa natureza, [...] é uma boa prática. Você revelar crimes que estão acontecendo e sairiam impunes, é uma boa prática. Eu não vou admirar um cara que invadiu o Banco Original, uma fintech brasileira, e simplesmente bagunçou as informações financeiras dos usuários por diversão. Ele só foi um escroto que estragou a vida de muitos trabalhadores e de pessoas de bem que tinham dinheiro depositado ali. Agora, o cara que divulga, mesmo que por meios extraoficiais, o nome de políticos famosos envolvidos em um esquema, isso é louvável (Entrevista 2 com F8)

Note que, para F8, hackers célebres são “justiceiros”, pessoas que usam de todos os meios disponíveis para revelar aquilo que deveria estar ao alcance de todos. A causa das invasões, portanto, deve ser sempre motivada pelo “bem maior”, pois quando o comportamento é orientado para fins egoístas (desvio de dinheiro para conta pessoal) ou simples atos de vandalismo (bagunçar informações em sites de empresa), ele é recriminado. A cultura hacker é admirada também como um mecanismo de militância e redistribuição de poder, como fica claro na fala de F8: “o hackerismo é uma forma de você alcançar os

inalcançáveis. Você não tem o poder político ou financeiro para expor um cara que cresceu de maneira ilegal, mas você tem o conhecimento para isso” (Entrevista 2 com F8).

Paradoxalmente, para os simpatizantes da cultura hacker o ditado “quem não deve, não teme” é um grande tabu. Sempre que possível, os funcionários da Empresa X procuram manter a sua identidade anônima e navegar sem deixar rastros pela internet. Se isso não ocorre por que eles estão tentando esconder algo, então qual o motivo? Segundo F9, eles temem o que as grandes empresas podem fazer com os seus dados. Durante a experiência de campo, enquanto consultava o preço de algumas caixas de som portáteis, o pesquisador foi orientado a tomar algumas medidas de segurança por F8 e F9. Isso gerou o diálogo a seguir:

F9: Quando você vai comprar um produto, você pesquisa no e-commerce A, e-commerce B, e-commerce C... conforme você pesquisa os produtos, as lojas gravam pequenos trechos de texto em arquivo no seu computador e no servidor deles, que nós chamamos de cookies. Através desses cookies eles conseguem mensurar o seu interesse por um produto. Se você anda pesquisando muito sobre perfume, ou sobre tênis, ou sobre caderno, com base nos seus dados de navegação, as lojas conseguem ver o seu real interesse por aquilo. Dependendo do seu interesse, o preço pode variar aumentando ou diminuindo.

P: Só para eu entender, se você demonstra interesse em um produto e você não comprou ainda, eles irão aumentar o preço?

F8: Provavelmente, eles não vão fazer isso com o mesmo produto. Mas dentro de uma categoria. Se você é uma pessoa que pesquisa muito viagem, na sua próxima viagem você vai pagar mais caro.

(Grupo de Discussão 3 – Sigilo de Dados)

Perceba que, implicitamente, F8 e F9 externalizam um certo incômodo quanto às estratégias que as empresas de marketing digital adotam. Indo contra uma atitude persecutória, eles afirmam que preferem navegar no anonimato para manter seu poder de barganha como consumidor. Confesso que minha reação inicial foi de absoluto espanto, pois sabia que várias empresas usavam as informações de navegação do usuário para ofertar produtos de maneira personalizada, mas não para variar os preços com base no seu interesse.

Quando o pesquisador indagou a F9 sobre como proceder quando for comprar algo pela internet, ele disse:

Usar aba anônima, que evita de você gravar esses arquivos [os cookies] no seu PC, utilizar buscadores de preço como Zoom e Buscapé [para monitorar a oscilação de preços na WEB] e navegar usando proxy, que troca o seu IP de tempos em tempos, tornando-o mais difícil de ser rastreado (F9 no Grupo de Discussão 3)

Portanto, cobrir os rastros de sua navegação ou simplesmente não os deixar não parece obsessão dos funcionários da Empresa X, mas prudência de quem consome na internet e conhece os mecanismos de publicidade digital. Há também a questão do elemento humano dentro da cultura hacker. F8 afirma que a cultura hacker é muito mais do que uma cultura orientada para invasão de sistemas tecnológicos:

A cultura hacker não tem a ver só com computação. Ela surgiu na computação, mas teoricamente qualquer sistema pode ser hackeável. A maior vulnerabilidade de um sistema são as pessoas. Engenharia social é a forma mais antiga de hacking. Por exemplo, a planilha com as informações financeiras de um cliente. O hacker poderia quebrar a senha por métodos computacionais, ou, em uma conversa de corredor com qualquer funcionário da empresa, descobri-la e vender informações de mercado valiosas. Ou seja, você não precisaria nem ter conhecimento de computação para conseguir informações valiosíssimas, você poderia só ser bom de lábia. A cultura hacker não é só conhecimento tecnológico, é também explorar as pessoas, que são o elo fraco de um sistema (Entrevista 2 com F8)

Note como, dentro da abordagem hacker, seres humanos são só mais uma parte de um sistema complexo, ou, nas palavras de F8, o “seu elo fraco” e passível de persuasão. O hackerismo, portanto, também pode ser sinônimo de retórica e de atitudes políticas. Hackear também é mexer no lixo da empresa, invadir escritórios com identidade falsa e usar mecanismos de convencimento para obter uma informação sigilosa. L2, diferentemente de F8, enfatiza que a boa execução das técnicas de hackerismo independem das motivações do

hacker, apesar de, pessoalmente, se identificar mais com motivações dentro dos limites da ética e da moral:

É enganar e manipular outras pessoas para conseguir certas informações, não necessariamente prejudicando-as. Às vezes com alguns nomes, a data de nascimento e o CPF da pessoa você liga os pontos e já tem acesso a muita coisa da vida dela. O como você utiliza isso, é outra história. O que a gente pensa de segurança, então, é isso. As pessoas têm direito de saber, por exemplo, o porquê de pessoas estarem roubando dinheiro delas e usando para financiar drones para matar crianças na Síria (Entrevista 2 com L2)

Por fim, iremos introduzir uma última vertente do hackerismo que procura dar novas funcionalidades para o corpo humano e/ou ampliar a expectativa de vida das pessoas tornando-as ciborgues, ou seja, com uma parte orgânica e outra inorgânica. Estamos falando do biohacking. Durante a minha primeira entrevista com L2, ele me disse que estava lendo em um fórum da internet uma matéria do tipo “faça você mesmo”, ensinando o leitor a cortar a pele na dobra da mão, entre o polegar e o indicador, implantar um chip do tipo NFC e fazer a sutura. Quando perguntei a motivação que uma pessoa teria para fazer tal coisa, ele me respondeu:

Em uma tag NFC cabem 8kB de informação. É um dispositivo passivo que registra informação. Você dispara um sinal de antena contra a tag e a volta do sinal leva a informação que está gravada. 8 kB é muita coisa, dá para escrever um código com este espaço. Aí tem diversas aplicações, desde as mais bobas como desbloquear o celular com a aproximação da mão, até as mais inteligentes como gravar informação médica, por exemplo. Este é o primeiro passo. Já tem uma comunidade de pessoas usando, assim como haviam pessoas usando smartphones 10 anos atrás. Hoje você não consegue mais pensar em uma pessoa comum que não use um smartphone. A mesma coisa vai ser com os implantes (Entrevista 1 com L2)

L2 compara os smartphones à implantação de tags NFC, referindo-se ao biohacking como um progresso que será comum no futuro. Ao seu ver, grandes tendências da tecnologia

surgem de forma descentralizada nas comunidades hackers e se espalham para o uso do cidadão comum. Implicitamente, a comunidade de biohackers pressupõe que o corpo humano é só mais um sistema com algoritmos biológicos capazes de serem alterados. É óbvio que o biohacking possui implicações morais e éticas bastante intensas que não serãodiscutidas aqui. Mas para fins de reflexão, imaginemos como grandes corporações poderiam se apropriar da tecnologia descrita por L2. O que empresas de planos de saúde fariam se tivessem acesso aos indicados nosso metabolismo (glicemia, hormônios, triglicérides) em tempo real? Elas utilizariam essas informações para cobrar tarifas diferenciadas para pessoas com maior propensão a determinadas doenças ou não? Fica a reflexão.

5.4. Tempo e mudança: a Empresa X longitudinalmente