Veja como criptografar comunicações pela internet

A ampla divulgação de que o governo americano espiona e terceiriza o trabalho de monitoramento de usuários da internet a empresas mostrou que qualquer agente de órgãos de segurança ou qualquer hacker com o equipamento apropriado e o software certo pode interceptar comunicações pela internet, seja por meio de conexão a cabo ou sem fio. Para a população em geral, isso é grampo. Para a comunidade da computação, isso é "packet sniffing" (farejamento de pacotes) ou "traffic sniffing" (farejamento de tráfego). Seja o que for, a melhor maneira de proteger comunicações confidenciais contra bisbilhoteiros de todas as laias é a criptografia.

É claro que não existe sistema de criptografia que não possa ser quebrado. Foi sempre assim com qualquer tipo de código. Entretanto, os sistemas de criptografia modernos são muito difíceis de ser decifrados. Eles envolvem matemática muito complexa e a posse da chave certa. Decifrá-los exige muito esforço técnico e financeiro. Ou seja, comunicações criptografadas não são inexpugnáveis, mas o custo para capturá-las é alto.

Criptografar é dificultar o roubo de informações ou a quebra do sigilo das comunicações. Mesmo que um governo ou um hacker consiga interceptar suas comunicações, é impossível visualizá-las, estejam elas percorrendo o tráfego da internet ou armazenadas no servidor da provedora de serviços.

Mas criptografar nem sempre é uma tarefa fácil. Por isso, é necessário pesar a inconveniência da criptografia com os benefícios de segurança que ela traz para as comunicações e documentos confidenciais, para saber se vale a pena se dar ao trabalho. Porém, há sistemas fáceis de configurar e usar, como o de criptografia OTR para mensagens instantâneas, o Tor, o protocolo HTTPS e algumas ferramentas de criptografia de e-mails.

O site Surveillance Self-Defense, da "Electronic Frontier Foundation (EFF)", fundação dedicada a educar o público sobre as tecnologias e leis relacionadas aos programas de espionagem do governo, apresenta algumas recomendações para os usuários reduzirem suas vulnerabilidades na internet:

WI-FI
Comunicações feitas via sistemas sem fio (wireless) são particularmente vulneráveis. São comparáveis a transmissões por rádio: vão ao ar. Para interceptá-las, basta ter um software de sniffing. Sequer é preciso algum equipamento especial. A única maneira de protegê-las é com criptografia. Sem isso, não se pode supor que as comunicações estejam protegidas.

A maioria dos pontos de acesso de sistemas wireless já vem com um software de criptografia instalado, o WEP (Wired Equivalent Privacy) ou o WPA (Wi-Fi Protected Access). Ele criptografa as comunicações apenas no percurso do computador ao ponto de acesso. O WEP não é grande coisa. É facilmente vencido por hackers. Mas, pelo menos, pode-se alegar que as comunicações são protegidas. O WAP é bem melhor, mas também só cobre o primeiro passo das comunicações.

Rede privada Virtual (VPN – virtual private network) 
A VPN é uma extensão de uma rede privada, como a de uma firma ou grupo de firmas, para uma rede pública, como a internet. VPNs usam protocolos de criptografia por "tunelamento". Isto é, suas comunicações trafegam pelas vias públicas da internet por uma espécie de "túnel", que lhes garante confidencialidade, autenticação e integridade.

A VPN pode ser uma ferramenta eficaz de criptografia para comunicações entre escritórios de uma mesma banca de advocacia, ou entre computadores de um mesmo escritório. Mas os clientes não são conectados a ela. Portanto, não há garantia de privacidade nas comunicações entre a banca e seus clientes, só com o uso de uma VPN. Todos os computadores conectados à rede devem usar o mesmo software e devem ser configurados corretamente para se comunicarem com segurança entre si. Isso significa que a rede exige administração constante do sistema. Os clientes não estão conectados à VPN do escritório.

Navegadores da Internet
Algumas comunicações por meio de navegadores da internet podem ser criptografadas, para proteção contra invasores. Sem proteção, qualquer coisa que você faça na internet, com o uso do navegador, é registrada em seu computador, nos servidores da web com os quais se conecta e é obtida com certa facilidade por bisbilhoteiros que monitoram sua conexão pela rede.

Algumas configurações podem ser feitas em "opções da internet" no navegador, para aumentar a segurança. Uma delas é bloquear os cookies que os sites enviam para seu navegador. Se você os aceita, eles são reenviados ao site toda vez que você acessa uma página, uma imagem ou um script. Mas não é possível bloquear cookies de todos os sites se você quer acessar lojas virtuais e suas contas bancárias, por exemplo. Uma ideia é usar dois navegadores: um que você bloqueia cookies com exceções para os sites em que faz operações bancárias, pagamento de contas, gestão do cartão de crédito etc., e outro que você bloqueia tudo e usa para entrar em todos os sites que quiser.

Geralmente os bancos e operadoras de cartão utilizam sites com protocolo HTTPS, em vez de HTTP, o que é uma boa medida. O protocolo HTTP não é criptografado e é sujeito a invasões. O HTTPS é uma alternativa mais segura. Ele criptografa páginas e tenta assegurar três coisas: 1) terceiros não podem ver o conteúdo da página; 2) a página não pode ser modificada por terceiros; 3) a página é realmente enviada pelo servidor da web listado na barra da URL. Mas o servidor da web tem de ser configurado para dar suporte a HTTPS.

Para enviar informações confidenciais — ou "sensíveis" — é preciso se certificar de que se está usando HTTPS. Caso contrário, não envie. Cheque três indicadores de que a página é HTTPS: 1) a URL começa com https://; 2) há um ícone (às vezes de um cadeado) antes do https://; 3) a barra da URL/localização é colorida. Se você receber uma advertência sobre certificados ou vê um ícone quebrado, pode assumir que qualquer das propriedades de segurança da página pode estar quebrada.

E-mail
São ferramentas básicas para criptografia de e-mails o Pretty Good Privacy (PGP), pago, com alguns recursos gratuitos; e o GNU Privacy Guard (GnuPG), gratuito. Ambos oferecem proteção aos e-mails em trânsito e também a dados armazenados contra interceptação e também contra acesso a cópias de seus conteúdos em seu computador e nos computadores de terceiros. A maioria dos programas de e-mail podem ser configurados para funcionar bem com softwares de criptografia, tornando a operação apenas uma questão de clicar em um botão para assinar, verificar, criptografar e descriptografar as mensagens de e-mail.

Há dois problemas naturais com a dupla GnuPG/PGP. O primeiro é que esses programas só são úteis se forem usados pelas duas partes que se comunicam. Qualquer deles pode ser instalado em toda o escritório, mas se o cliente não o usar, as comunicações não podem ser criptografadas. É preciso convencer o cliente a instalá-lo. O segundo é que você precisa encontrar e verificar chaves públicas para assegurar que bisbilhoteiros não o induzam a usar a chave errada. Esse artifício é conhecido como ataque "man in the middle" (MITM).

Mensagens instantâneas
É mais fácil proteger uma mensagem instantânea do que um e-mail — embora um telefonema bata os dois. A maneira mais fácil de interceptar comunicações é obtê-las de você mesmo, da pessoa com a qual você se comunica ou de sua provedora de serviços, se qualquer dessas partes armazena as mensagens. A maneira mais difícil é obtê-las quando estão trafegando pela internet. Se as duas pessoas que se comunicam usam criptografia, a provedora de serviços não conseguirá arquivar as mensagens.

Um bom sistema popular para criptografar mensagens instantâneas é o chamado OTR (Off The Record). O Google tem um sistema também chamado "Off the Record", mas é diferente do OTR. Por isso, há quem chame um sistema de "OTR encryption" e o outro de "Gooble OTR". Ambos podem ser usados ao mesmo tempo.

A maneira mais fácil de usar criptografia OTR é com os programas Pidgin ou Adium X para mensagens instantâneas. Com o Pidgen, o usuário pode criptografar mensagens enviadas por redes MSN, Yahoo!, Google, Jabber e AIM. O Adam X é específico para o Mac OS X e faz praticamente a mesma coisa. Se você vai usar o Pidgin, tem de instalar o plugin de criptografia OTR. No Adium X, o OTR já vem embutido.

Projeto Tor
Esse software de criptografia é gratuito, eficaz e ajuda você a proteger seu anonimato na internet. É uma ferramenta fácil de usar, que criptografa as comunicações para protegê-las contra bisbilhoteiros, quando trafegam pela internet.

Com o Tor, as transmissões de informações são mais seguras porque saltam de um servidor para outro de uma rede distribuída, os chamados "roteadores cebola" (onion routers). Isso garante o anonimato porque o computador com o qual você está se comunicando nunca irá ver seu endereço de IP, só irá ver o endereço de IP do último roteador, pelo qual as comunicações passaram. Esse procedimento, impede que intermediários descubram a origem, o destino e o conteúdo da mensagem.

O Tor ajuda a defender as comunicações contra análises de tráfego, ao criptografá-las diversas vezes, ao roteá-las por um conjunto aleatoriamente selecionado de roteadores intermediários. A ideia é a mesma de uma pessoa seguida que despista o perseguidor, fazendo-se um caminho improvável e, de vez em quando, apagando os rastros.

Cada servidor-roteador no circuito sabe apenas que servidor lhe enviou os dados e para qual servidor deverá enviá-los a seguir. Nenhum servidor consegue registrar todo o percurso das comunicações ou o conjunto de chaves de criptografia empregadas. Se algum bisbilhoteiro conseguir entrar em um dos servidores, irá ver apenas uma mensagem criptografada e será difícil saber de onde veio e para onde vai.

No entanto, o Tor não é um salvador do mundo. Ele não pode defender o usuário, por exemplo, contra malwares. Se invasores conseguirem operar programas em seu computador, provavelmente podem ver onde você está e como você o está usando. Se você instalou o Tor em seu computador, mas está usando aplicativos que não sabem como usá-lo ou não foram configurados para usá-lo, você não terá proteção quando usar esses aplicativos.