Nos dias 05/12, presencialmente, e 11/12 vai ter oficina de autodefesa digital (sem homens cis). Programação completa.
Segue a divulgação:
Nos dias 04/12 (sábado) e 05/12 (domingo) a FAFPOA acontecerá na Casa
Estudantil Universitária de Porto Alegre - CEUPA II, localizada na Rua
José do Patrocínio nº 648 - Cidade Baixa - Porto Alegre - RS.
Lembramos que haverá refeição vegana coletiva com base de arroz e
lentilha - traga pratos ou potes, talheres e copos, e alimentos veganos
para compartilhar, se puder. Também seguiremos a arrecadação de itens
para o apoio de mulheres e pessoas trans em situação de cárcere.
Nos dias 11/12 (sábado) e 12/12 (domingo) será a edição Virtual da
FAFPOA. Para se inscrever nas atividades acesse o link:
https://framaforms.org/inscricoes-para-atividades-virtuais-da-i-fafpoa-1637072000
As atividades abertas para todos os públicos serão transmitidas, caso
haja consenso das pessoas participantes, no canal da Fafpoa no
Kolektiva.media no link: https://kolektiva.media/a/fafpoa/video-channels
Enviamos abaixo a programação completa, e em anexo os cartazes para
difusão da FAFPOA, que assim como maiores informações, também estão
disponíveis no link https://feiraanarquistafeminista.noblogs.org/
Nos vemos lá!
Diferente dos ataques digitais por infecção, como aqueles que usam técnicas de phishing, por exemplo, no tipo clique-zero (zero-click attack) não é necessário que a vítima abra um arquivo ou tente entrar em algum link. Sem ter que realizar nenhuma ação, o alvo precisa apenas estar usando um sistema operacional ou aplicativo vulnerável instalado. [1]
Como acontece?
A coisa funciona da seguinte forma: um atacante precisa enviar um pacote de dados específico para o dispositivo alvo através de uma rede sem fio, como Wi-Fi, bluetooth, GSM, LTE (4G). Em seguida, a cadeia de ataque aciona uma vulnerabilidade desconhecida no nível de hardware (p.ex. um chip SoC) ou software (cliente de email, mensageiro instantâneo, serviço de chamada, etc.). [2] Daí pra frente, o arquivo conseguiu entrar no dispositivo e começará a executar comandos predefinidos.
Dependendo de onde está a vulnerabilidade, esse arquivo vai ter uma cara específica: pacotes de rede, requisições de autenticação, mensagens de texto, seções de videoconferência, mensagens de skype, telegram, signal, etc. Cada tipo de arquivo “estimulará” uma resposta do seu respectivo aplicativo, tudo sem passar pela pessoa.
Dado que não é preciso clicar em nada para explorar esse tipo de vulnerabilidade, temos duas consequências: por um lado, o atacante não precisa dispender tempo com engenharia social para “convencer” uma vítima. Por outro, a vítima não tem quase nenhuma chance de se preparar e se proteger ou mesmo perceber que foi atacada.
Eu disse quase, pois nos casos de softwares ou aplicativos, os consertos no código (patches) acontecem geralmente em pouco tempo depois que a vulnerabilidade foi descoberta. Por isso, mantenha sempre atualizados seu sistema operacional e seus aplicativos.
Há uns anos atrás, tivemos a notícia de um ataque de clique-zero no whatsapp. O atacante (Grupo NSO, de Israel) conseguiu inserir um software espião (spyware) em espertofones de defensores de direitos humanos através de uma chamada de voz “infectada”. Isso acontecia tanto em iOS quanto em Android. O mais sinistro é que o ataque funcionava mesmo que a pessoa não atendesse a chamada. Em seguida, uma vez que o spyware tenha sido instalado com sucesso, a chamada era apagada dos registros do zap e o atacante conseguia, por exemplo, controlar a câmera, o microfone e obter a geolocalização da vítima, dado que o whatsapp possui essas permissões.
Porta dos fundos x clique-zero
Já que o dispositivo alvo pode ser acessado simplesmente por um comando ou estímulo externo (remote code execution), o que diferenciaria uma vulnerabilidade clique-zero de uma porta dos fundos (backdoor)?
Olhando superficialmente, a primeira seria uma falha “honesta”, algo não previsto que passou batido na hora que o código foi escrito. E a segunda, pelo contrário, seria uma abertura propositalmente desenhada para dar acesso furtivo para quem programou ou a empresa desenvolvedora do software/hardware ao dispositivo da vítima.
Agora, do nosso ponto de vista, como usuários, será que faz muita diferença se a falha é intencional ou não? Afinal, não sabemos que as mega-tecs colaboram com governos democráticos na espionagem de seus cidadãos e que, eventualmente, essas portas dos fundos são descobertas por atores privados e acabam novamente sendo usadas contra nós? No caso de falhas não intencionais, pelo menos todo mundo está mais ou menos vulnerável da mesma forma, seja o agente da ABIN ou a florista do bairro.
Maçãs podres
Os dispositivos da Apple (e consequentemente, seus aplicativos exclusivíssimos) têm apresentado diversas falhas propensas a ataques de clique-zero nos últimos anos. Uma delas, que visava o aplicativo de email do iOS desde 2012 até a sua versão 13 (2019), dava ao atacante acesso aos dados pessoais da vítima. Ao tentar receber um email de grande tamanho, o aplicativo de email causava uma sobrecarga na memória temporária (buffer overflow) do espertofone. Ao “estufar” a memória com lixo digital arbitrário, era possível sobrescrever o código normal por dados maliciosos dando ao atacante o controle sobre o aplicativo. [3]
Mais recentemente, foi descoberta em agosto de 2021 uma falha de segurança no iOS chamada de ForcedEntry (entrada forçada). Desenvolvida pela empresa israelense Grupo NSO, ela era explorada pelo seu software espião Pegasus. Um arquivo PDF disfarçado de GIF é enviado para o dispositivo da vítima causando uma sobrecarga na memória quando o sistema gráfico do iOS tentava renderizá-lo. [4] Todos os iOS interiores ao 14.8 assim como todo os macOS anteriores ao Big Sur 11.6 estão vulneráveis a essa falha.
E tem jeito?
Sempre dá pra fazer alguma coisa. Os atacantes adoram a postura niilista do “dane-se a segurança”. Como já foi dito acima, mater tudo atualizado seria o básico para qualquer tipo de usuário. Mas se você busca mais segurança, dá para usar a estratégia de compartimentalização. Ela diminui sua “superfície de ataque” reduzindo os caminhos possíveis pelos quais os seus dispositivos podem ser infectados. Ou, ainda, caso um aplicativo tenha uma falha, somente as informações contidas nele serão afetadas.
Diminua o número de aplicativos no seu espertofone.
Revise regularmente os aplicativos instalados, principalmente suas permissões.
Se você sabe que é um possível alvo de vigilância e sua vida está em risco, use um espertofone específico para cada aplicativo importante (por exemplo, seu mensageiro instantâneo).
Mesmo com diversos espertofones separando suas informações, eles não deixam de ser possíveis equipamentos de escuta e rastreamento. Por isso, deixe aqueles que não estiver usando em uma bolsa de faraday, o que evita totalmente que receba ou envie dados.
Habitar as falhas: essa é a provocação e o convite lançados nesse encontro. Explorar o domínio da falha como lócus privilegiado para o entendimento do nosso tempo, assim como para sua urgente reimaginação e reconstrução num momento histórico que acumula uma sobreposição de panes: a falha da promessa tecnológica e o crescente poder extrativo das plataformas digitais; a falha da democracia e a ascensão dos neototalitarismos; a falha ambiental e o novo regime climático; a falha epistemológica e o colapso dos regimes modernos de verdade; a falha econômica e as ruínas do neoliberalismo. E, por fim, a “falha das falhas” materializada na pandemia de COVID-19.
A irrupção de falhas, panes e erros revelam uma série de agentes, controvérsias e disputas que se mantêm silenciadas e opacas em situações de “normalidade”. As falhas podem ser ainda uma ocasião para contestações e renegociações de processos que, em situação de estabilidade, pareceriam inevitáveis.
De que modo todas essas falhas nos interpelam? Sabemos que não adianta chamar os técnicos e experts para consertar. Não vai passar. Não passarão!
Apesar do iminente esgotamento da terra, do avanço da lógica extrativista sobre os diversos domínios da vida e do sufocamento das políticas do comum, resiste entre nós uma inquietação criativa. No Sul Global, onde o bom funcionamento dos aparatos técnicos e os projetos igualitários de convivência sempre foram exceção e não regra, sobreviveram imaginários e práticas capazes de criar brechas nas ruínas. São frutos não apenas da precariedade, mas uma insistente inventividade.
Habitar a falha é situar-se na pausa que ela impõe, nos desarranjos que ela instaura e — sem ignorar suas ambiguidades e armadilhas — tomá-la como ocasião para novas composições e negociações. Habitar a falha é “permanecer com o problema” (Haraway) e “ocupar as ruínas”, no sentido que Anna Tsing propõe: “dedicar-se ao trabalho de viver juntos, mesmo onde as probabilidades estejam contra nós”.
Esta é uma tradução do capítulo de mesmo nome do livro Surveillance Capitalism, de Shoshana Zuboff.
UMA UTOPIA DA CERTEZA
Assim, a partir dos anos, seus dons foram regados:
Cada qual com aquele que precisava para sobreviver;
A abelha levou a política que convém a uma colmeia,
A truta com barbatana de truta, o pêssego moldado em pêssego,
E foram bem-sucedidos em seu primeiro esforço.
—W. H. Auden
Sonetos da China, I
I. A sociedade como o Outro
Embora não tenha mencionado, o visionário da computação ubíqua, Mark Weiser, previu a imensidão do poder instrumentário como um projeto social totalizante. Ele o fez de uma forma que sugere tanto sua total falta de precedentes quanto o perigo de confundi-lo com o que já havia acontecido antes: “centenas de computadores em cada sala, todos capazes de perceber as pessoas próximas, ligados por redes de alta velocidade, têm o potencial de fazer com que o totalitarismo pareça até agora a mais pura anarquia”.1 Na verdade, todos esses computadores não são o meio para um hiper-totalitarismo digital. Eles são, como acredito que Weiser percebeu, a base de um poder sem precedentes que pode remodelar a sociedade de formas também nunca vistas. Se o poder instrumentário* consegue fazer o totalitarismo parecer uma anarquia, então o que podemos esperar que faça conosco?
Há sete décadas, a utopia comportamental proto- instrumentária de Skinner, Walden Two, foi recebida com repulsa. Hoje em dia, o mundo real é a inspiração para a retórica do capitalismo de vigilância, à medida que os seus líderes promovem as ferramentas e visões que trarão as ideias do velho professor à vida… às nossas vidas. Os processos de normalização e habituação já começaram. Vimos anteriormente que a busca do capitalismo de vigilância por certeza – o imperativo da previsão – exige uma aproximação contínua à informação total como a condição ideal para a inteligência de máquina. No caminho da totalidade, os capitalistas de vigilância ampliaram seu escopo do mundo virtual para o mundo real. O negócio baseado no real renderiza todas as pessoas, coisas e processos como objetos computacionais em uma fila interminável de equivalência sem igualdade. Agora, à medida que os negócios baseados na realidade se intensificam, a busca da totalidade leva necessariamente à anexação da “sociedade”, das “relações sociais” e dos principais processos sociais como um novo terreno para renderização, cálculo, modificação e previsão.
A ubiquidade do Grande Outro [Big Other] é reverenciada como inevitável, mas não acaba aí. O objetivo nessa nova fase é a visibilidade, coordenação, confluência, controle abrangentes e a harmonização dos processos sociais na busca de escala, escopo e ação. Embora o instrumentarianismo e o totalitarismo sejam espécies distintas, cada um deles anseia pela totalidade, embora de formas profundamente diferentes. O totalitarismo busca a totalidade como uma condição política e depende da violência para consegui-lo. O instrumentarianismo busca a totalidade como condição de domínio do mercado e depende do controle sobre a divisão do aprendizado na sociedade, possibilitado e imposto pelo Outro Grande, para abrir seu caminho. O resultado é a aplicação do poder instrumentário à otimização da sociedade em prol dos objetivos do mercado: uma utopia da certeza.
Embora ressoem em muitos aspectos com a visão social instrumentária da elite política da China, os capitalistas de vigilância têm objetivos distintos. Em sua visão, a sociedade instrumentária é uma oportunidade de mercado. Quaisquer normas e valores que eles impõem são projetados para promover o cumprimento exato dos objetivos do mercado. Como a experiência humana, a sociedade está subordinada à dinâmica do mercado e renasce como métrica comportamental computacional objetificada disponível para as economias do capitalismo de vigilância de escala, escopo e ação na busca dos suprimentos mais lucrativos de mais-valia comportamental. A fim de alcançar esses objetivos, os capitalistas de vigilância têm conjurado uma visão arrepiante. Eles pretendem formar uma nova sociedade que emule o aprendizado de máquina da mesma forma que a sociedade industrial foi modelada nas disciplinas e métodos de produção de fábrica. Em sua visão, o poder instrumentário substitui a confiança social, o Grande Outro substitui a certeza das relações sociais e a sociedade como a conhecemos míngua na obsolescência.
II. A totalidade inclui a sociedade
Como generais entregando uma contagem de seus exércitos, os líderes do capitalismo de vigilância têm o cuidado de assegurar aos aliados seu grande poder. Isso é tipicamente expresso em um inventário das tropas instrumentárias reunidas na fronteira, prontas para a rendição de tudo em busca da totalidade. Essa busca, evidentemente, não tem apenas consequências para a sociedade; ela inclui a sociedade.
Na primavera de 2017, Satya Nadella, CEO da Microsoft, se dirigiu ao palco para abrir a conferência anual de desenvolvedores da empresa, com seu perfil esbelto acentuado pela necessária camisa polo preta, calça jeans preta e os tênis high-tops pretos da moda. Rapidamente deslumbrou a plateia ao listar suas tropas. Relatou os 500 milhões de dispositivos Windows 10; 100 milhões de usuários mensais de seu software Office; 140 milhões de usuários mensais do “assistente” digital da corporação, Cortana; e mais de 12 milhões de organizações assinaram seus serviços na nuvem, incluindo 90% das 500 maiores empresas da revista Fortune.
Nadella não deixou de lembrar à audiência sobre a velocidade esmagadora que impulsiona o projeto instrumentário, sob a forma de uma explosão de choque e pavor, especialmente nos anos desde que o capitalismo de vigilância passou a dominar os serviços digitais: o tráfego na Internet aumentou 17,5 milhões de vezes em relação aos 100 gigabytes por dia de 1992; 90% dos dados em 2017 foram gerados nos dois anos anteriores; um único carro autônomo gerará 100 gigabytes por segundo; estima-se que haverá 25 bilhões de dispositivos inteligentes até 2020. “É impressionante ver o progresso em toda a profundidade e amplitude de nossa sociedade e economia e como a tecnologia digital está tão difundida… Trata-se do que você pode fazer com essa tecnologia para ter um amplo impacto”. Sua última exortação aos desenvolvedores reunidos – “Mude o mundo!” – recebeu uma estrondosa salva de palmas.2
Ao celebrar as ambições da Google com os desenvolvedores da empresa em 2017, o CEO Sundar Pichai correu paralelamente a Nadella, mostrando a força de sua tropa enquanto os batalhões da Google se lançavam para abarcar cada canto da vida social, demonstrando a amplitude e profundidade do poder instrumentário da corporação com um zelo que teria feito o professor Skinner exultar. Pichai relata que sete dos “produtos e plataformas” mais importantes da empresa envolvem um bilhão de usuários ativos mensais, incluindo Gmail, Android, Chrome, Maps, Search, YouTube e a Google Play Store; dois bilhões de dispositivos Android ativos; 800 milhões de usuários ativos mensais do Google Drive com três bilhões de objetos carregados a cada semana; 500 milhões de usuários de fotos carregando 1,2 bilhão de fotos por dia; 100 milhões de dispositivos usando o Google Assistant. Cada dispositivo é reformulado como um veículo para o Assistente, que estará disponível “durante todo o dia, em casa e nos deslocamentos” para todo tipo de tarefa ou função social. Pichai quer ainda mais, dizendo à sua equipe: “Devemos ir mais fundo”. O Assistente deve estar onde “as pessoas possam querer pedir ajuda”. Os executivos da Google compartilham o entusiasmo. “A tecnologia está agora à beira de nos levar a uma era mágica”, escreve Eric Schmidt, “resolvendo hoje problemas que simplesmente não conseguíamos resolver por conta própria”.3 O aprendizado de máquina, diz ele, fará de tudo, desde curar a cegueira até salvar os animais da extinção. Acima de tudo, porém, é o fundador Larry Page que há muito tempo está de olho na transformação da sociedade.
“A meta social é a nossa meta principal”, disse Page ao Financial Times em 2016.4 “Precisamos de mudanças revolucionárias, não de mudanças incrementais”, disse ele a outro entrevistador naquele ano. “Poderíamos provavelmente resolver muitos dos problemas que temos como humanos”.5 Grande parte da visão futura de Page se revela ser uma utopia, temas que têm sido repetidos por milênios. Page antecipa que a inteligência de máquina vai levar a humanidade de volta ao Jardim do Éden, libertando-nos do trabalho árduo e do conflito em direção a um novo reino de lazer e realização. Ele prevê, por exemplo, uma sociedade futura agraciada pela “abundância” de tudo, onde o emprego seria apenas uma “louca” memória distante.6
O mais incomum, entretanto, é que Page retrata as ambições totalistas da Google como uma consequência lógica de seu compromisso com a perfeição da sociedade. Do seu ponto de vista, devemos saudar a oportunidade de nos apoiar no Grande Outro e subordinar de boa vontade todos os conhecimentos e direitos de decisão ao plano da Google. Para o bem do plano, a totalidade da sociedade – cada pessoa, objeto e processo – deve ser encurralada nas cadeias produtivas que alimentam as máquinas, que, por sua vez, giram os algoritmos que animam o Grande Outro para administrar e mitigar nossa fragilidade:
O que você deve querer que façamos é realmente construir produtos surpreendentes e para fazer isso… temos que entender os aplicativos e as coisas e as passagens aéreas que você poderia comprar. Temos que entender qualquer coisa que você possa buscar. E as pessoas são uma grande coisa que você poderia buscar… Vamos colocar as pessoas como um objeto de primeira classe nas buscas… Se queremos fazer um bom trabalho atendendo às suas necessidades de informação, precisamos realmente entender as coisas e entendê-las muito profundamente.7
O conhecimento total é alardeado como um requisito para os serviços “antecipativos” que levam à solução das soluções no “Assistente da Google”, onisciente e movido a IA:
[O objetivo] é realmente tentar entender tudo no mundo e dar sentido a isso… Muitas perguntas são, na verdade, sobre lugares, então precisamos entender os lugares… Muitas das perguntas são sobre conteúdo que não conseguimos encontrar. Demos conta dos livros, e tal… Então, temos expandido gradualmente… Talvez você não queira fazer uma pergunta. Talvez você queira apenas ter uma resposta antes mesmo de fazer a pergunta. Isso seria muito melhor.8
A Google originou-se da esperança de organizar de forma ideal as informações do mundo, mas Page quer que a corporação otimize a organização da própria sociedade: “Na minha visão de mundo a muito longo prazo”, disse em 2013, “nosso software entenderá profundamente o que você sabe, o que você não sabe e como organizar o mundo para que o mundo possa resolver problemas importantes”.9
O CEO do Facebook Mark Zuckerberg compartilha dessas ambições totalistas e ele é cada vez mais franco sobre “a sociedade”, e não apenas os indivíduos dentro dela, como subordinada ao avanço do Facebook. Seus “três grandes objetivos empresariais” incluem “conectar todas as pessoas; entender o mundo; e construir a economia do conhecimento, para que cada usuário tenha ‘mais ferramentas’ para compartilhar ‘diferentes tipos de conteúdo’”.10 O apreço de Zuckerberg pelas instabilidades da segunda modernidade* – e o anseio por apoio e conexão que está entre suas características mais vivas – aumenta sua confiança, assim como fez com a do economista da Google Hal Varian. A corporação acabaria por conhecer cada livro, filme e canção que uma pessoa já tivesse consumido. Modelos preditivos permitiriam à corporação “dizer-lhe a que bar ir” quando você chega em uma cidade estranha. A visão é detalhada: quando você chega ao bar, o atendente já está com sua bebida favorita te esperando e quando você olha ao redor, identifica que as pessoas são como você.
Zuckerberg descreveu o fluxo de mais-valia comportamental como “crescendo a um ritmo exponencial… de modo a podermos esperar… daqui a dois anos que as pessoas estarão compartilhando o dobro… em quatro anos, oito vezes mais…”. E em um aceno para a já premente competição pela totalidade, Zuckerberg antecipou que o grafo social do Facebook “começará a ser um mapa mais preciso de como você navega na web do que a tradicional estrutura de links”.11
Para esse fim, o CEO disse aos investidores que o Facebook forneceria acesso barato à internet “a todas as pessoas do mundo” para que cada usuário tivesse “mais ferramentas” para compartilhar “diferentes tipos de conteúdo”.12 Nada poderia impedir o progresso da corporação no fronte da sociedade, afirmou ele, porque “os humanos têm um desejo muito profundo de se expressar”.13
Em 2017, Zuckerberg foi ainda mais longe na articulação de suas ambições societais, dessa vez visando diretamente o coração das ansiedades de segunda modernidade: “As pessoas se sentem inseguras, desajustadas. Muito do que estava se firmando no passado já não existe mais”. Zuckerberg acredita que ele e sua empresa podem proporcionar um futuro “que funcione para todos” e satisfaça “necessidades pessoais, emocionais e espirituais” com respeito a “propósito e esperança”, “validação moral” e “conforto de que não estamos sozinhos”. “O progresso agora exige que a humanidade se una não apenas em cidades ou nações”, insistiu Zuckerberg, “mas também em uma comunidade global… A coisa mais importante que podemos fazer no Facebook é desenvolver a infraestrutura social… para construir uma comunidade global…”. Citando Abraham Lincoln, o fundador do Facebook localizou a missão de sua empresa na linha do tempo evolutivo da civilização, durante a qual a humanidade se organizou primeiro em tribos, depois em cidades, depois em nações. A fase seguinte da evolução social seria a “comunidade global” e o Facebook deveria abrir o caminho, construindo os meios e supervisionando os fins.14
Na sua fala na conferência de desenvolvedores do Facebook de 2017, Zuckerberg ligou sua afirmação do papel histórico da empresa no estabelecimento de uma “comunidade global” ao mito padrão da utopia moderna, assegurando a seus seguidores: “No futuro, a tecnologia vai… nos libertar para podermos gastar mais tempo com as coisas que todos nós gostamos, como desfrutar e interagir uns com os outros e nos expressar de novas maneiras… Muito mais pessoas farão o que hoje é chamado de artes e isso formará a base de muitas de nossas comunidades”.15
Enquanto Nadella e outros capitalistas de vigilância fabricam seus sonhos utópicos, os capitalistas de vigilância não mencionam que a era mágica que eles imaginam tem um preço: O Grande Outro deve se expandir em direção à totalidade à medida que elimina todos os limites e supera todas as fontes de fricção a serviço de seus imperativos econômicos. Todo poder anseia pela totalidade e somente uma autoridade pode se interpor no caminho: instituições democráticas; leis; regulamentos; direitos e obrigações; regras e contratos de governança privada; as restrições normais do mercado exercidas por consumidores, concorrentes e empregados; a sociedade civil; a autoridade política do povo; e a autoridade moral dos seres humanos individuais com os seus jeitos.
Esse ponto foi mencionado na fábula de Goethe sobre o aprendiz de feiticeiro, quando, na ausência da autoridade do feiticeiro para orientar e verificar a ação, o aprendiz transforma a vassoura em uma força demoníaca de puro e implacável poder:
Ah, a palavra com a qual o mestre
faz da vassoura uma vassoura novamente!
Ah, ela corre e pega água sem parar!
Seja um cabo de vassoura como antes!
Ela continua trazendo água
tão rapidamente quanto possível,
e uma centena de rios
Ela despeja sobre minha cabeça!* 16
III. Utopística Aplicada
O poder instrumentário, como a vassoura do aprendiz, floresceu na ausência do feiticeiro com pouca autoridade para verificar/regular sua ação e o apetite dos capitalistas de vigilância pela totalidade cresceu com esse sucesso. A retórica utópica de uma era mágica tem sido fundamental para esse progresso. A noção de que o Grande Outro resolverá todos os problemas da humanidade e, ao mesmo tempo, dará poder a cada indivíduo é geralmente descartada como mero “tecno-utopismo”, mas seria um erro ignorarmos essa retórica sem examinarmos seu propósito. Tal discurso não é uma mera “bobajada”. É o detector de minas que precede os soldados rasos e também o diplomata hábil enviado de antemão para desarmar o inimigo e facilitar o caminho para uma rendição silenciosa. A promessa de uma era mágica desempenha um papel estratégico chave, nos distraindo e legitimando simultaneamente as ambições totalistas do capitalismo de vigilância que necessariamente incluem “pessoas” como um “objeto de primeira classe”.
O “objetivo societal” articulado pelos principais capitalistas de vigilância se encaixa perfeitamente na noção de progresso tecnológico sem limites que dominou o pensamento utópico do final do século XVIII até o final do século XIX, culminando com Marx. De fato, capitalistas de vigilância como Nadella, Page e Zuckerberg se enquadram em cinco dos seis elementos com os quais os grandes estudiosos do pensamento utópico, Frank e Fritzie Manuel, definem o perfil clássico dos mais ambiciosos utópicos modernos: (1) uma tendência para uma visão altamente focalizada que simplifica o desafio utópico, (2) uma compreensão mais precoce e incisiva sobre um “novo estado de ser” do que outros contemporâneos, (3) a busca e defesa obsessiva por uma ideia fixa, (4) uma crença inabalável na inevitabilidade de que suas ideias vão se concretizar, e (5) o impulso para a reforma total no nível da espécie e de todo o sistema mundial.17
Os Manuels observam uma sexta característica do visionário moderno que avança para o futuro e é aqui que os homens e as corporações que estamos examinando representam poderosas exceções à regra: “Muitas vezes um utópico prevê a evolução posterior e as consequências do desenvolvimento tecnológico já presente em estado embrionário; ele pode ter antenas sensíveis ao futuro. Suas engenhocas, porém, raramente vão além das potencialidades mecânicas da sua época. Por mais que ele tente inventar algo totalmente novo, não poderá criar um mundo do nada”.18 Em nosso tempo, no entanto, os capitalistas de vigilância podem e criam um mundo assim – um desvio genuinamente histórico da norma.
Individual e coletivamente, o conhecimento, o poder e a riqueza que os capitalistas de vigilância comandam faria a inveja de qualquer potentado antigo, assim como agora são cobiçados pelo Estado moderno. Com os balanços de 2017 relatando $126 bilhões em dinheiro e títulos para a Microsoft, $92 bilhões para a Google e cerca de $30 bilhões para o Facebook, e os mercados financeiros endossando seus regimes instrumentários em constante expansão com mais de $1,6 trilhão em capitalização de mercado em meados de 2017, esses são os raros utopistas que podem supervisionar a tradução de sua imaginação para os fatos sem soldados para abrir o caminho com sangue.19
A esse respeito, os líderes do capitalismo de vigilância são utópicos muito particulares. Marx descreveu com perspicácia o mundo com sua teoria espessa e articulada. Porém, apenas com o poder de suas ideias, ele não pôde implementar sua visão. Muito depois da publicação das teorias de Marx, homens como Lenin, Stalin e Mao as aplicaram à vida real. De fato, os Manuels descrevem Lênin como um especialista em “utopística aplicada”.20 Em contraste, os capitalistas de vigilância apreendem o mundo na prática. Suas teorias são tênues – pelo menos isso é verdade sobre o pensamento que eles compartilham com o público. O oposto é verdadeiro sobre o seu poder, que é monumental e em grande parte desimpedido.
Quando se trata de teoria e prática, a sequência usual é que a teoria está disponível para inspecionar, interrogar e debater antes de se iniciar a ação. Isso permite aos observadores uma oportunidade de julgar o mérito de uma teoria para aplicação, de considerar as consequências imprevistas da aplicação e de avaliar a fidelidade de uma aplicação à teoria na qual ela se origina. A lacuna inevitável entre teoria e prática cria um espaço para a investigação crítica. Por exemplo, podemos questionar se uma lei ou prática governamental é consistente com a constituição de uma nação, a carta de direitos e os princípios governantes, porque podemos inspecionar, interpretar e debater esses documentos. Se a lacuna for muito grande, os cidadãos agem para fechar a lacuna, desafiando a lei ou a prática.
Os capitalistas de vigilância invertem a sequência normal da teoria e da prática. Suas práticas avançam em alta velocidade, na ausência de uma teoria explícita e contestável. Eles se especializam em exibições da marca única do instrumentarianismo – chocar e intimidar –, deixando os espectadores atordoados, incertos e desamparados. Na ausência de uma formulação clara de sua teoria, ficamos apenas com a possibilidade de refletir sobre seus efeitos práticos: o sistema de monitoramento veicular que desliga seu motor; o destino que aparece com a rota; a sugestão de compra que pisca em seu telefone no momento em que suas endorfinas atingem o pico; o contínuo rastreamento de sua localização, comportamento e humor pelo Grande Outro; e seu alegre rebanho de habitantes de cidades se transformando em clientes do capitalismo de vigilância.
Por mais parcas e secretas que sejam as teorias dos capitalistas de vigilância, o poder instrumentário que eles exercem pode tornar seus sonhos realidade, ou, pelo menos, causar um turbilhão de consequências enquanto eles tentam. A única maneira de entender a teoria por trás de sua utopística aplicada é fazendo engenharia reversa em suas operações e examinar seu significado, como temos feito ao longo destes capítulos.
A utopística aplicada está em movimento no Facebook, Google e Microsoft como a fronteira da extração de mais-valias comportamentais move-se para reinos da vida tradicionalmente entendidos como societais e elaborados sob alguma combinação de instituições civis e liderança pública. A declaração de missão de Zuckerberg para o Facebook em 2017, apresentada como a “construção de uma comunidade global”, anunciou uma nova fase de utopística aplicada: “Em geral, é importante que a governança de nossa comunidade seja dimensionada com a complexidade e as exigências de seu povo. Estamos comprometidos em fazer sempre melhor, mesmo que isso envolva a construção de um sistema de votação mundial para lhe dar mais voz e controle. Nossa esperança é que esse modelo forneça exemplos de como a tomada de decisão coletiva pode funcionar em outros aspectos da comunidade global”.21 Mais tarde naquele ano, Zuckerberg disse a um público de desenvolvedores que “temos um roteiro completo de produtos para ajudar a construir grupos e comunidades, ajudar a construir uma sociedade mais informada, ajudar a manter nossas comunidades seguras e temos muito mais a fazer a esse respeito”.22
De volta àquele palco na primavera de 2017, Nadella, da Microsoft, encorajou seus desenvolvedores: “Seja pela medicina de precisão ou pela agricultura de precisão, seja pela mídia digital ou pela internet industrial, a oportunidade para nós, como desenvolvedores, de ter um impacto amplo e profundo em todas as partes da sociedade e em todos os setores da economia nunca foi tão grande”.23 A visão que Nadella revelou naquele dia é emblemática do modelo capitalista de vigilância mais amplo para nosso futuro. Aonde eles pensam que estão nos levando?
IV. Confluência como relações entre máquinas
A fim de decifrar a verdadeira medida de uma sociedade instrumentária, deixemos de lado a “era mágica” e nos concentremos nas práticas da utopística aplicada e na visão social que elas implicam. Nadella forneceu uma oportunidade valiosa quando revelou uma série de aplicações práticas que implicam uma nova visão abrangente das relações entre máquinas como modelo para as relações sociais de uma nova era.
A revelação começa com o relato de Nadella de uma colaboração da Microsoft com uma fabricante sueca de equipamentos de corte de metal de alta precisão que existe há 150 anos e se reinventou para o século XXI. O projeto é uma ilustração do que Nadella descreve como a “mudança fundamental no paradigma das aplicações que estamos construindo, uma mudança na visão de mundo que temos… que começou pelo celular, pela nuvem, e está indo para um novo mundo que será composto por uma nuvem inteligente e uma borda inteligente*”. A inteligência artificial, diz ele, “aprende da informação e interage com o mundo físico”, citando assim as capacidades necessárias para economias de ação.24
Nadella primeiro descreve as máquinas ligadas por telemetria no novo ambiente de fábrica. Elas transmitem continuamente os dados para o “hub da Internet das Coisas”* na “nuvem”, onde as análises da Microsoft procuram anomalias que possam colocar as máquinas em risco. Cada anomalia é rastreada através do fluxo de dados até sua causa e a inteligência da máquina no “hub” aprende a identificar os padrões causais para que possa desligar preventivamente um equipamento ameaçado em cerca de dois segundos, antes que um evento potencialmente prejudicial possa ocorrer.
Em seguida, Nadella descreve a nova “capacidade revolucionária” na qual um sensor de acionamento computacional é incorporado diretamente na máquina, reduzindo drasticamente o tempo de um desligamento preventivo: “Essa lógica agora está funcionando localmente, de modo que não há ida e volta da nuvem”. A “borda” sabe imediatamente quando a máquina experimenta um evento que irá se tornar uma anomalia futura e desliga o equipamento em 100 milissegundos, uma “melhoria de 20 vezes”. Isso é celebrado como “o poder da nuvem trabalhando em harmonia com uma borda inteligente” para antecipar e prevenir variações da norma “antes que elas aconteçam”.25
O poder da aprendizagem de máquina se desenvolve exponencialmente à medida que os dispositivos aprendem com as experiências uns dos outros, alimentando e aproveitando a inteligência do hub. Neste cenário, não é que o todo seja maior que a soma das partes; é mais como se não houvesse partes. O todo está em toda parte, totalmente manifesto em cada dispositivo embutido em cada máquina. Nadella traduz esses fatos em sua aplicação prática, observando que uma vez que você tenha muitos dispositivos ao redor, um “centro de dados ad hoc” é criado “no chão de fábrica, em casa, ou em qualquer outro lugar… Você pode transformar qualquer lugar em um lugar seguro, movido por IA”.26
Com essa afirmação, finalmente fica claro que “seguro” significa “automaticamente livre de anomalias”. Na fábrica da Nadella, o conhecimento da máquina substitui instantaneamente a ignorância, agrupando todos os comportamentos das máquinas dentro de normas preestabelecidas. Ao invés da preocupação com a multiplicação do risco e o contágio do fracasso caso o aprendizado da máquina se desvie, Nadella celebra a sincronia e a universalidade de certos resultados, pois cada máquina é a mesma máquina marchando no mesmo ritmo.
Assim como há um século a lógica da produção em massa e sua administração de cima para baixo forneceu o modelo para os princípios da sociedade industrial e seu meio civilizatório mais amplo, assim também a fábrica da nova era de Nadella se revelou como o campo de prova para sua visão social – a visão do capitalismo de vigilância de uma sociedade instrumentária possibilitada por uma nova forma de ação coletiva. A aprendizagem de máquina é aqui apresentada como uma mente coletiva – uma mente-colmeia* – na qual cada elemento aprende e opera em conjunto com todos os outros elementos, um modelo de ação coletiva no qual todas as máquinas de um sistema em rede se movem sem problemas em direção à confluência, todas compartilhando o mesmo entendimento e operando em uníssono com a máxima eficiência para alcançar os mesmos resultados. Ação confluente significa que a “liberdade” de cada máquina individual está submetida ao conhecimento que todas elas compartilham. Assim como os teóricos comportamentais Planck, Meyer e Skinner previram, esse sacrifício equivale a uma guerra total contra acidentes, erros e aleatoriedades em geral.
Nadella pega esse modelo de novas relações de máquinas e o aplica criando uma ilustração mais complexa de um sistema humano-máquina, embora ainda no “domínio econômico”. Dessa vez, é um canteiro de obras, onde os comportamentos humanos e de máquina são ajustados a parâmetros preestabelecidos determinados pelos superiores e referidos como “políticas” (procedimentos). Os não-contratos algorítmicos* aplicam regras e substituem funções sociais como supervisão, negociação, comunicação e resolução de conflitos. Cada pessoa e equipamento assume um lugar numa equivalência de objetos, cada um “reconhecível” para o “sistema” através dos dispositivos de IA distribuídos pelo local de trabalho.
Por exemplo, o treinamento, as credenciais, o histórico de emprego e outras informações básicas de cada indivíduo são exibidos instantaneamente para o sistema. Uma “política” pode determinar que “somente funcionários credenciados podem usar martelos pneumáticos”. Se um funcionário não credenciado para o uso de martelo pneumático se aproximar dessa ferramenta, a possibilidade de uma violação iminente é acionada e o martelo pneumático emite um alerta, desabilitando-se instantaneamente.
Evidentemente, não é apenas a ação unificada de coisas no local de trabalho que é mobilizada para se alinhar às políticas/procedimentos. A ação humana confluente também é mobilizada, à medida que os processos de influência social são desencadeados no trabalho preventivo de evitar anomalias. No caso do martelo pneumático “em risco”, os humanos no local são mobilizados para se aglomerarem no local do delito anômalo previsto pela IA a fim de “resolvê-lo rapidamente”. “A borda inteligente”, dizem os desenvolvedores da Microsoft, “é a interface entre o computador e o mundo real… [onde] você pode procurar pessoas, objetos e atividades no mundo real e aplicar políticas a eles…”.27
Uma vez que as pessoas e suas relações sejam renderizadas como “outros”, como “coisas na nuvem”, 25 bilhões de atuadores digitais podem ser mobilizados para moldar o comportamento em torno de parâmetros de “política” seguros e harmoniosos. A “mudança mais profunda”, explicou Nadella, é que “as pessoas e seu relacionamento com as outras é agora uma coisa de primeira classe na nuvem. Não são apenas as pessoas, mas suas relações, são suas relações com todos os artefatos de trabalho, seus horários, seus planos de projeto, seus documentos; tudo isso agora se manifesta nesse Grafo da Microsoft”. Esses fluxos de informação total são fundamentais para otimizar “o futuro da produtividade”, exultou Nadella.28
Na sociedade instrumentária da Microsoft, as fábricas e os locais de trabalho são como os laboratórios de Skinner e as máquinas substituem seus pombos e ratos. Esses são os ambientes onde a arquitetura e as velocidades do poder instrumentário estão prontas para serem traduzidas à sociedade em uma iteração da era digital da Walden Two, na qual as relações entre máquinas são o modelo para as relações sociais. O canteiro de obras de Nadella exemplifica a grande confluência na qual máquinas e seres humanos estão unidos como objetos na nuvem, todos instrumentados e orquestrados de acordo com as “políticas”. A magnificência das “políticas” reside precisamente no fato de que elas aparecem em cena como resultados garantidos a serem automaticamente impostos, monitorados e mantidos pelo “sistema”. Elas são assentadas nas operações do Grande Outro, uma infinidade de não-contratos desligados de qualquer dos processos sociais associados à governança privada ou pública: conflito e negociação, promessa e compromisso, acordo e valores compartilhados, disputa democrática, legitimação e autoridade.
O resultado é que as “políticas” são funcionalmente equivalentes a planos, já que o Grande Outro dirige a ação humana e de máquinas. Ele garante que as portas serão trancadas ou destravadas, os motores dos carros serão desligados ou ganharão vida, o martelo pneumático apitará um “não” em autossacrifício suicida, o trabalhador aderirá às normas, o grupo se aglomerará para derrotar as anomalias. Estaremos todos seguros, pois cada organismo zumbirá junto aos outros como abelhas, numa harmonia concertada. Se parecerá menos a uma sociedade do que a uma população que ascende e reflui em perfeita confluência sem atritos, moldada pelos meios de modificação comportamental que iludem nossa consciência e, portanto, não podem ser lamentados nem resistidos.
Assim como a divisão do trabalho migrou, no século XX, do domínio econômico para o da sociedade, o canteiro de obras de Nadella é a placa de petri* econômica na qual uma nova divisão do aprendizado ganha vida, pronta para ser traduzida para a sociedade. No século XX, os fatores críticos de sucesso do capitalismo industrial – eficiência, produtividade, padronização, intercambialidade, a minuciosa divisão do trabalho, disciplina, atenção, programação, conformidade, administração hierárquica, separação do saber e do fazer, etc. – foram descobertos e trabalhados no local de trabalho e depois transpostos para a sociedade, onde foram institucionalizados nas escolas, nos hospitais, na vida familiar e na personalidade. Como gerações de estudiosos têm documentado, a sociedade se tornou mais parecida com uma fábrica para que pudéssemos treinar e socializar os mais jovens para que se adaptassem às novas exigências de uma ordem de produção em massa.
Entramos novamente nesse ciclo, mas agora o objetivo é refazer a sociedade do século XXI como uma “coisa de primeira classe” organizada à imagem de uma colmeia de máquinas, em nome da certeza de outros. A capacidade de nos conectarmos que antes buscávamos para o sustento e a efetividade pessoais é reformulada como o meio para novas formas de poder e a confluência social que se traduz em resultados garantidos.
V. Confluência como Sociedade
Os cientistas da Microsoft vêm trabalhando há anos em como adotar a mesma lógica de controle preventivo automatizado na borda da rede e transpô-la para as relações sociais. Como Nadella observou em 2017, se “nós” podemos fazer isso em um “lugar físico”, também é possível ser feito “em todo lugar” e “em qualquer lugar”. Assim, aconselhou sua audiência de utopistas aplicados da seguinte forma: “Vocês poderiam começar pensando sobre as pessoas, seu relacionamento com outras pessoas, com as coisas do lugar…”.29
A gama imaginativa desse novo pensamento é demonstrada em um pedido de patente da Microsoft, feito em 2013 e atualizado e republicado em 2016, intitulado “Monitoramento do Comportamento do Usuário em um Dispositivo Computadorizado”.30 Com uma teoria visivelmente fina complementada por uma prática espessa, o dispositivo patenteado é projetado para monitorar o comportamento do usuário a fim de detectar de forma preventiva “qualquer desvio do comportamento normal ou aceitável que possa afetar o estado mental do usuário. Um modelo de previsão correspondente a características de um ou mais estados mentais pode ser comparado com características baseadas no comportamento atual do usuário”.
Os cientistas propõem um aplicativo que pode ser instalado em um sistema operacional, servidor, navegador, telefone ou dispositivo portátil que monitora continuamente os dados comportamentais de uma pessoa: interações com outras pessoas ou computadores, postagens de mídia social, consultas de busca e atividades on-line. O aplicativo pode ativar sensores para gravar voz e conversas, vídeos e imagens, e movimentos, tais como detectar “quando o usuário se envolve em gritaria excessiva examinando as chamadas telefônicas do usuário e comparando características relacionadas com o modelo de previsão”.
Todos esses dados comportamentais são armazenados para futuras análises históricas, a fim de melhorar o modelo de previsão. Se o usuário normalmente restringe o volume de sua voz, então gritaria excessiva repentina pode indicar um “evento psicossocial”. Alternativamente, o comportamento poderia ser avaliado em relação a uma “distribuição de características que representem um comportamento normal e/ou aceitável para um membro médio de uma população…; um desvio estatisticamente significativo daquela linha de base de comportamento indicaria uma série de possíveis eventos psicológicos”. A proposta inicial é que no caso de uma anomalia, o dispositivo alertaria “indivíduos de confiança”, tais como membros da família, médicos e cuidadores. Mas o círculo se amplia à medida que as especificações da patente se desdobram. Os cientistas apontam a utilidade desses alertas para os prestadores de serviços de saúde, companhias de seguro e agentes da lei. Aqui está uma nova oportunidade de vigilância como um serviço voltado para antecipar qualquer comportamento que os clientes escolham.
A patente da Microsoft nos coloca de volta frente a Planck, Meyer e Skinner e o ponto de vista do Outro-Único. Na sua representação do comportamento humano baseada no mundo físico, as anomalias são “acidentes” chamados liberdade, mas, na verdade, denotam ignorância; eles simplesmente não podem ser explicados pelos fatos. Planck/Meyer/Skinner acreditavam que a perda dessa liberdade era o preço necessário a ser pago pela “segurança” e “harmonia” de uma sociedade livre de anomalias, na qual todos os processos são otimizados para o bem maior. Skinner imaginava que com a tecnologia correta de comportamento, o conhecimento poderia eliminar antecipadamente as anomalias, conduzindo todo comportamento em direção a parâmetros preestabelecidos que se alinham com as normas e objetivos sociais. “Se pudéssemos mostrar que nossos membros preferiam a vida na Walden Two”, diz Frazier-Skinner, “seria a melhor evidência possível de que tínhamos alcançado uma estrutura social segura e produtiva”.31
Nesse modelo de relações sociais, a modificação comportamental opera logo além do limiar da consciência humana para induzir, recompensar, punir e reforçar o comportamento consistente com “políticas corretas”. Assim, o Facebook descobre que pode previsivelmente mover o botão de ajuste social no caso dos padrões de votação, estados emocionais, ou qualquer outra coisa que escolher. Niantic Labs e Google descobriram que podem previsivelmente aumentar os ganhos do McDonald’s ou de qualquer outro cliente. Em cada caso, os objetivos corporativos definem as “políticas” para as quais o comportamento confluente flui harmoniosamente.
As máquinas-colmeia – a mente confluente criada pelo aprendizado da máquina – é o meio material para a eliminação final dos elementos caóticos que interferem nos resultados garantidos. Eric Schmidt e Sebastian Thrun, o guru da inteligência de máquina que uma vez dirigiu o laboratório X da Google e ajudou a liderar o desenvolvimento do Street View e do carro autônomo da Google, defendem esse ponto ao falar dos veículos autônomos da Alphabet. “Vamos parar de nos assustar com a inteligência artificial”, escrevem.
Schmidt e Thrun enfatizam a “percepção crucial que diferencia o aprendizado da IA da forma como as pessoas aprendem”.32 Em vez das típicas garantias de que as máquinas podem ser projetadas para serem mais como seres humanos e, portanto, menos ameaçadoras, Schmidt e Thrun argumentam exatamente o contrário: é necessário que as pessoas se tornem mais como máquinas. A inteligência das máquinas é endeusada como a apoteose da ação coletiva, na qual todas as máquinas de um sistema em rede se movem sem percalços em direção à confluência, todas compartilhando o mesmo entendimento e, assim, operando em uníssono com a máxima eficiência para alcançar os mesmos resultados. Os martelos pneumáticos não avaliam independentemente sua situação; cada um deles aprende o que todos aprendem. Cada um deles reage da mesma forma a mãos não credenciadas, seus cérebros operando como um em serviço da “política”. As máquinas ficam de pé ou caem juntas, acertam ou erram juntas. Como Schmidt e Thrun lamentam,
ao dirigir, as pessoas aprendem principalmente com seus próprios erros, mas raramente aprendem com os erros dos outros. As pessoas coletivamente cometem os mesmos erros seguidamente. Como resultado, centenas de milhares de pessoas morrem todos os anos no mundo inteiro em colisões de trânsito. A IA evolui de forma diferente. Quando um dos carros autônomos comete um erro, todos os carros autônomos aprendem com ele. Na verdade, novos carros autônomos já “nascem” com o conjunto completo de habilidades de seus antepassados e colegas. Assim, coletivamente, esses carros podem aprender mais rápido do que as pessoas. Com essa percepção, em pouco tempo, os carros autônomos se misturam de maneira segura em nossas estradas ao lado de motoristas humanos, pois continuam aprendendo com os erros uns dos outros…. Ferramentas sofisticadas alimentadas por IA nos capacitarão a aprender melhor com as experiências dos outros…. A lição com carros que dirigem por conta própria é que podemos aprender mais e fazer mais coletivamente.33
Essa é uma afirmação sucinta, mas extraordinária, sobre a aplicação do modelo de máquina para as relações sociais de uma sociedade instrumentária. A essência desses fatos é que, primeiro, as máquinas não são indivíduos, e segundo, deveríamos ser mais como máquinas. As máquinas imitam umas às outras e nós também devemos fazer o mesmo. As máquinas se movem em confluência: não como muitos rios, mas como um só, e nós também devemos ser assim. Cada uma das máquinas é estruturada pelo mesmo raciocínio e flui em direção ao mesmo objetivo e assim também devemos ser estruturados.
O futuro instrumentário integra essa visão simbiótica na qual o mundo das máquinas e o mundo social operam em harmonia dentro e através da “espécie” à medida que os seres humanos imitam os processos superiores de aprendizagem das máquinas inteligentes. Essa emulação não pretende ser um retrocesso ao Taylorismo da produção em massa ou ao trabalhador infeliz de Chaplin, engolido pela ordem mecânica. Em vez disso, essa prescrição de simbiose toma um caminho diferente no qual a interação humana espelha as relações das máquinas inteligentes à medida que os indivíduos aprendem a pensar e agir emulando uns aos outros, assim como os carros autônomos e os martelos pneumáticos que adoram a política/procedimento.
Dessa forma, a colmeia-máquina torna-se o modelo para uma nova colmeia humana na qual marchamos em uníssono pacífico em direção à mesma direção com base no mesmo entendimento “correto”, a fim de construir um mundo livre de erros, acidentes e confusões aleatórias. Nesse mundo, os resultados “corretos” são conhecidos antecipadamente e garantidos através da ação. A mesma instrumentação e transparência ubíquas que definem o sistema de máquinas também deve definir o sistema social, que no final é simplesmente outra forma de descrever a verdade fundamental da sociedade instrumentária.
Nessa colmeia humana, a liberdade individual é perdida para o conhecimento e a ação coletivos. Elementos não harmoniosos são visados preventivamente com altas doses de regulação, arrebanhamento e condicionamento, incluindo toda a força sedutora da persuasão e influência social. Marchamos com a certeza, como as máquinas inteligentes. Aprendemos a sacrificar nossa liberdade ao conhecimento coletivo imposto por outros e em prol de seus resultados garantidos. Essa é a assinatura da terceira modernidade oferecida pelo capital de vigilância – sua resposta à nossa busca por uma vida em comum efetiva.
*O poder instrumentário [instrumentarian power] é o poder de governos e corporações de usar tecnologia e infraestrutura para manipular as pessoas de forma sutil porém efetiva. Ele transforma as pessoas em “instrumentos” que são usados de maneira previsível para alcançar os objetivos de governos e corporações.
*A segunda modernidade é um conceito criado pelo sociólogo alemão Ulrich Beck através do qual ele afirma que onde a modernidade desmantelou a sociedade agricultural em favor da industrial, a segunda modernidade transforma a sociedade industrial em uma nova e mais reflexiva sociedade em rede ou informacional. Esta é marcada por uma nova compreensão e percepção dos riscos criados pelos próprios sucessos da modernidade ao lidar com o problema da escassez humana. Os sistemas que anteriormente pareciam oferecer proteção contra riscos tanto naturais quanto sociais estão cada vez mais sendo percebidos como produtores de novos riscos, dessa vez criados pelos seres humanos, com alcance global, como subproduto do seu próprio funcionamento.
*A tradução do trecho é uma misturança que visa causar o efeito que a autora sugere.
*Segundo a Microsoft, Intelligent Edge refere-se ao “conjunto de sistemas e dispositivos conectados, em contínua expansão, que coleta e analisa dados na ponta– junto aos usuários, aos dados, ou a ambos. Os usuários recebem, assim, ideias e experiências entregues por aplicativos altamente responsivos e contextualmente atentos.”
*Hub é um equipamento para onde convergem diversas conexões de rede. A internet das coisas (em inglês, internet of things, IoT) nada mais é que uma rede de objetos físicos (veículos, prédios e outros dotados de tecnologia embarcada, sensores e conexão com a rede) capaz de reunir e de transmitir dados. É uma extensão da internet atual que possibilita que objetos do dia-a-dia, quaisquer que sejam mas que tenham capacidade computacional e de comunicação, se conectem à Internet.
*Na computação, mente de colmeia ou inteligência de enxame [swarm intelligence] se refere ao comportamento coletivo de sistemas descentralizados e auto-organizados. No contexto social humano, diz respeito aos pensamentos, ideias e opiniões de um grupo de pessoas que acabam funcionando conjuntamente como uma única mente.
*Segundo Lauren Scholz, “contratos algorítmicos são contratos nos quais um algoritmo determina as obrigações entre as partes. Alguns contratos são algorítmicos porque as partes usaram algoritmos como negociadores prévios à formação do contrato, escolhendo os termos ofertados e os aceitos. Outros contratos são algorítmicos porque as partes concordam que um algoritmo seja utilizado, algum tempo após a formação do contrato, para preencher “alguns buracos”. Tais acordos já são comuns no comércio de alta velocidade de produtos financeiros e em breve irão se espalhar para outros contextos.” Quando Zuboff fala de não-contratos (uncontracts), ela parece se referir aos acordos não contratados, que não foram conversados e consensualizados entre trabalhador e empregador.
*Placa de Petri é um recipiente cilíndrico, achatado, de vidro ou plástico, usado em laboratório para criar culturas microbiológicas. (wikipedia)
A lei pode ser surpreendente. E, na maioria das vezes, no pior sentido. Abaixo segue a tradução de um trecho de uma matéria da Wired falando sobre a Lei de Proteção de Comunicações Eletrônicas, nos EUA:
Existem bons argumentos para dar uma limpada na sua conta de email, mesmo se você não está particularmente preocupada com a privacidade da sua conta. Entretanto, se você se preocupa sim, então saiba que:
Nos EUA, os emails são considerados “abandonados” depois de 180 dias de existência. O governo pode olhar esses emails sem um mandato judicial graças à Lei de Proteção de Comunicações Eletrônicas, uma lei aprovada em 1986 quando as comunicações eram muito diferentes das de hoje.
Como a Wired escreveu em 2013, “É mais do que ridículo que o email (e não a carta) tenha sido deixado de fora das leis de privacidade”.
Houveram diversas tentativas de resolver essa brecha e exigir do governo um mandato antes de acessar emails com mais de 180 dias. A mais notável aconteceu em 2016, quando a Lei de Privacidade de Email foi aprovada unanimemente no legislativo, mas morreu no Senado. Assim, até janeiro de 2021, a lei permanece.
Então, se você guarda muitos dos seus emails numa conta online, tenha isso em mente.
Há uns meses, recebemos um convite para colaborar com uma iniciativa internacional contra a vigilância do Estado. Essa parceria se desdobrou na tradução para o português do site recém-lançado Centro de Materiais sobre Contra-Vigilância.
O objetivo do site, que possui um software de pesquisa que me impressionou, é servir como um ponto de convergência de materiais produzido, principalmente, por ativistas para ativistas. Ou, como está na sua descrição:
O CSRC fornece uma base de dados pesquisável com materiais sobre contra-vigilância, focados em vigilância direcionada contra pessoas que têm coisas a esconder. Nosso objetivo é ajudar anarquistas e ativistas que lutam contra a opressão a desenvolver uma compreensão das ameaças de vigilância a que estão submetidas no curso de suas lutas e suas vidas. Demos preferência para materiais escritos por ativistas e que sejam compreensíveis sem um conhecimento técnico prévio.
As línguas disponíveis são: castelhano, grego, inglês, francês, italiano, holandês, russo e português.
Qualquer dúvida, sugestão de material ou correção, manda direto pra galera: csrc@riseup.net (a chave PGP tá no site).
No documentário “Shoshana Zuboff on surveillance capitalism” (com legendas em português), a professora dá uma excelente aula sobre a fase atual do capitalismo. Usando uma linguagem simples, ela explica como as megateqs extraem enorme valor da experiência corriqueira das pessoas através da venda de modelos preditivos de comportamento.
Segue abaixo um trecho, extraído da legenda, contando a história do Pokémon Go e como ele funcionava por trás dos panos. Algumas partes da fala foram alteradas para melhorar a fluidez da leitura. Falas de outras partes do documentário foram inseridas entre parênteses para complementar a argumentação.
Numa próxima postagem, publicaremos outra parte, que conta os planos das gigantes não-teqs para também conseguir ganhar essa mais-valia da vigilância inventada pela Google.
É importante compreender que o Pokémon GO é um jogo de realidade aumentada que foi desenvolvido pela Google durante muitos anos, pela pioneira do capitalismo de vigilância.
O Pokémon GO foi desenvolvido num programa liderado por um homem chamado John Hanke. Antes, ele havia criado um software chamado Keyhole, que recebeu investimento da CIA e foi mais tarde adquirido pela Google, mudando o nome para Google Earth.
É importante compreender que o Pokémon GO não é um joguinho que foi lançado para o mundo por uma empresa de brinquedos. Quando decidiram lançar o Pokémon GO, não quiseram fazê-lo como um jogo da Google. Lançaram-no como Niantic Labs, uma empresa que ninguém tinha ouvido falar. Era uma start-up massa com um jogo massa.
Então, vejamos: temos um jogo de realidade aumentada da Google e acontece que o grande jogo, que se sobrepõe ao joguinho que as crianças jogam, é um jogo que imita precisamente a lógica do capitalismo de vigilância.
No capitalismo de vigilância, na sua versão original, online, prevemos a taxa de visitas e vendemos isso ao anunciante, que paga para ter visitas no seu site. Esperava-se que visitas se tornem compras. Agora, no mundo real, clientes empresariais pagaram à Niantic Labs, a empresa do Pokémon GO… Pagaram à Niantic Labs não pelas visitas, mas pelo equivalente no mundo real das visitas, que se chama “passada”. Trata-se de colocar seres humanos, com os seus pés, em negócios reais, para que os seus pés passem por determinada loja, restaurante ou bar, para que comprem algo.
Todos estes negócios compram aquilo a que se chama “módulos de atração”. Módulos que atraem pessoas. Não para que as pessoas sejam felizes, mas para que gastem dinheiro na sua loja ou restaurante. A Starbucks, o McDonald’s, toda a gente estava fazendo dinheiro ali. Obviamente, a Niantic Labs também.
E as pessoas que jogavam o jogo não faziam ideia.
As empresas usaram as recompensas e punições do jogo para “empurrar o rebanho” de pessoas pela cidade, até os locais que pagavam pela sua presença. É isto o Pokémon GO. É este o jogo de verdade, que acontece na sombra. “Empurrar” a pessoa para um lugar onde previmos que ela estará. Para que as nossas previsões valham mais. Se o módulo garantir a presença de pessoas, a minha previsão vale muito mais. É pela economia de ação que eu garanto isso.
E a quem são vendidas essas previsões? A nós, não. Nós não somos os clientes. Elas são vendidas a clientes empresariais (, agências do governo, terceirizadas do ramo da vigilância, exércitos.)
E o Pokémon GO foi uma experiência em escala global de economia de ação. Usou meios de controle remoto para criar comportamentos de forma a atingir os fins comerciais de outras empresas enquanto as pessoas se divertem. Espera-se que você tenha a impressão de estar sendo servida. Espera-se que você seja saturada com conveniência para que não repare e para que não se queixe.
E toda esta operação nas sombras continuará escondida. (Não é por sermos estúpidos que não vemos isso acontecendo. É porque estes procedimentos têm sido mascarados. Operam escondidos. Foram concebidos para serem indecifráveis, indetectáveis, para criar ignorância num vasto grupo de pessoas a que eles chamam “utilizadores”.)
Então, já não é apenas uma questão do que está a fazer online, na Internet, enviando mensagens, e-mails. Nós queremos saber sobre o seu passeio no parque, queremos saber o que faz no carro. Queremos saber o que faz em casa.
A galera do blog Saltamontes começou uma nova tradução. Segue abaixo a postagem de anúncio.
…
A ofuscação é a adição deliberada de informações ambíguas, confusas ou enganosas para interferir na vigilância e na coleta de dados. É uma coisa simples, com muitas aplicações e usos diferentes e complexos.
Começamos a tradução do livro “Ofuscação, Um Guia do Usuário para Privacidade e Protesto” de Finn Brunton e Helen Nissenbaum, publicado em 2015.
A tática da ofuscação nos parece adequada e justificável como forma de sabotar o capitalismo de vigilância. Dentro do campo da segurança da informação e dos movimentos pela privacidade, esse livro parece o único a apontar nessa direção. Como disse James Scott, no artigo “Formas cotidianas de resistência camponesa“, a maioria das táticas de enfrentamento dos camponeses, ao contrário dos espetaculares movimentos operários das cidades, eram informais, dispersas, sem liderança, clandestinas. Ações como “furtos de arroz, a debulha incompleta, deixando grãos no caule para outros membros da família respigarem, boicotes aos agricultores que pagavam pouco ou, no início, que usavam as máquinas de ceifar e debulhar, a matança de animais dos ricos que invadiam hortas, e todo tipo de boatos, difamações, e ameaças veladas” compunham essa resistência do dia a dia. A ofuscação funciona nesse sentido: areia escorrendo lentamente para dentro da máquina.
Foram 10 anos difíceis em cibersegurança – e só está piorando.
Na última década, hackear tornou-se menos uma novidade e mais um fato da vida de bilhões de pessoas em todo o mundo. Pessoas comuns perderam o controle de seus dados, enfrentaram vigilância invasiva de regimes repressivos, tiveram suas identidades roubadas, perceberam que um estranho estava à espreita em sua conta Netflix, lidaram com blecautes da Internet impostos pelo governo ou, pela primeira vez, literalmente se viram pegos no meio de uma guerra cibernética destrutiva.
Há décadas era previsível que um mundo cada vez mais informatizado inevitavelmente convidaria ameaças digitais constantes. Mas a evolução real do hackeamento – com todos os seus golpes, mercados negros criminosos e forças patrocinadas pelo Estado – tem sido caracteristicamente humana, não um artefato estéril e desapaixonado de um futuro desconhecido. Aqui em ordem cronológica estão as violações de dados e ataques digitais que ajudaram a moldar a década. Dê um passeio cheio de ansiedade pela estrada da memória – e se cuide lá fora.
Stuxnet
O Stuxnet foi o primeiro malware a causar danos físicos a equipamentos, cruzando uma linha muito temida. Criado pelo governo dos Estados Unidos e Israel, o worm foi usado em 2010 para destruir centrífugas em uma instalação iraniana de enriquecimento nuclear. O Stuxnet interconectou quatro chamadas vulnerabilidades de dia zero (zero-day exploits) juntas para primeiro atingir o Microsoft Windows e, em seguida, procurar um software de controle industrial chamado Siemens Step7 na rede comprometida. A partir daí, o Stuxnet manipulou os controladores lógicos programáveis que automatizam os processos industriais. Embora o Stuxnet tenha atingido o programa nuclear iraniano, ele também poderia ter sido usado em outros ambientes industriais.
Shamoon
Shamoon é um “limpador” para Windows que indexa e carrega os arquivos de um computador-alvo para o do atacante, depois limpa os dados e destrói o “registro mestre de inicialização” do computador-alvo, que o primeiro setor fundamental do disco rígido de um computador. O Shamoon pode se espalhar através de uma rede e foi famoso em um ataque destrutivo em agosto de 2012 contra a companhia de petróleo da Arábia Saudita Saudi Aramco. Basicamente destruiu 30.000 computadores. Alguns dias depois, Shamoon atingiu a empresa RasGas, do Catar.
O Shamoon foi desenvolvido por hackers iranianos apoiados pelo Estado, aparentemente inspirando-se em ferramentas ofensivas de hackers criadas pela Agência de Segurança Nacional (EUA), incluindo o Stuxnet e as ferramentas de espionagem Flame e Duqu. Uma versão evoluída do Shamoon ressurgiu em uma série de ataques durante 2017 e 2018. O worm é significativo por ser um dos primeiros usados em ataques de Estados nacionais que foram criados para destruição de dados e para tornar inoperantes os dispositivos infectados.
Sony Hack
Em 24 de novembro de 2014, um esqueleto vermelho apareceu nas telas dos computadores nas operações da Sony Pictures Entertainment nos Estados Unidos. Os hackers que se autodenominavam “Guardiões da Paz” haviam se infiltrado nas redes da empresa e alegavam ter roubado 100 terabytes de dados. Mais tarde, eles jogaram centenas de gigabytes, incluindo filmes inéditos da Sony, e-mails, e-mails internos, detalhes sobre remuneração de atores e informações sobre funcionários, como salários, avaliações de desempenho, dados médicos sensíveis e números de Seguro Social. Os atacantes causaram estragos nos sistemas da Sony, não apenas roubando dados, mas liberando um malware limpador para excluir arquivos e configurações, para que a Sony tivesse que reconstruir grandes partes de sua infraestrutura digital do zero. O hackeamento acabou sendo revelado como obra do governo norte-coreano, provavelmente em retaliação pelo lançamento de The Interview, uma comédia sobre o assassinato de Kim Jong-un.
Violação do Escritório de Gestão de Pessoas (EUA)
Uma das violações de dados mais insidiosas e importantes da década é a violação do Office of Personnel Management, que era realmente uma série de violações e infecções orquestradas pela China durante 2013 e 2014. O OPM é o departamento administrativo e de recursos humanos dos funcionários do governo dos EUA e armazena uma grande quantidade de dados muito confidenciais, porque gerencia liberações de segurança, realiza verificações de antecedentes e mantém registros de todos os funcionários federais anteriores e atuais. Para hackers que buscam informações sobre o governo federal dos EUA, esse é um tesouro inigualável.
Os hackers vinculados ao governo chinês entraram na rede da OPM duas vezes, primeiro roubando os projetos técnicos da rede em 2013 e iniciando um segundo ataque logo depois, no qual obtiveram o controle do servidor administrativo que gerenciava a autenticação para todos os outros logins do servidor. Em outras palavras, quando o OPM percebeu o que de fato havia acontecido e agiu para remover os invasores em 2015, os hackers já haviam conseguido roubar dezenas de milhões de registros detalhados sobre todos os aspectos da vida dos funcionários federais, incluindo 21,5 milhões de números do Seguro Social e 5,6 milhões de registros de impressões digitais. Em alguns casos, as vítimas não eram nem funcionários federais, mas estavam simplesmente ligadas de alguma forma a funcionários do governo que haviam sido submetidos a verificações de antecedentes. (Essas verificações incluem todos os tipos de informações extremamente específicas, como mapas da família, amigos, associados e filhos de uma pessoa.)
Os dados roubados do OPM nunca circularam online ou apareceram no mercado negro, provavelmente porque foram roubados por seu valor de inteligência e não por seu valor criminal. Os relatórios indicaram que os operadores chineses podem ter usado as informações para complementar um banco de dados catalogando os cidadãos dos EUA e a atividade do governo.
Blecautes Ucranianos
Dois momentos cruciais da década ocorreram em dezembro de 2015 e 2016, quando a Rússia, já em guerra física com a Ucrânia, lançou dois ataques digitais contra a rede elétrica que causou dois apagões muito sérios. Ambos os ataques foram orquestrados pelo grupo de hackers do governo russo Sandworm, conhecido por suas campanhas agressivas. O primeiro apagão foi causado por um conjunto de malware, incluindo uma ferramenta chamada BlackEnergy, que permitia aos hackers roubar credenciais e obter acesso para desativar manualmente os disjuntores. O segundo visava uma única estação de transmissão com um malware mais evoluído, conhecido como Crash Override ou Industroyer. Nesse ataque, os hackers poderiam manipular diretamente os sistemas que controlam os fluxos de energia, em vez de ter que usar artimanhas como no primeiro ataque à rede. O segundo ataque que causou blecaute foi planejado para destruir fisicamente equipamentos, resultando em danos duradouros se tivesse ocorrido conforme planejado. Um pequeno erro técnico, no entanto, resultou que o apagão durou apenas cerca de uma hora.
Embora os blecautes induzidos por hackers tenham sido um pesadelos imaginado há décadas, o Sandworm foi o primeiro grupo de hackers a realmente lançar ataques de rede disruptivos no mundo físico. Ao fazer isso, a Rússia também demonstrou que não estava apenas travando uma guerra cinética com a Ucrânia, mas uma guerra cibernética avançada.
Shadow Brokers
Um grupo que se autodenominava Shadow Brokers apareceu pela primeira vez em agosto de 2016, publicando uma amostra de ferramentas de espionagem que alegou terem sido roubadas do Equation Group da Agência de Segurança Nacional (EUA), um grupo de elite de hackers focado em espionagem internacional. Mas em abril de 2017, o grupo lançou outro conjunto mais extenso de ferramentas da NSA que incluíam uma exploração do Microsoft Windows conhecida como “EternalBlue”.
Essa ferramenta tira proveito de uma vulnerabilidade no protocolo de compartilhamento de arquivos Server Message Block da Microsoft, presente em praticamente todos os sistemas operacionais Windows da época. A Microsoft lançou um patch para a falha, a pedido da NSA, apenas algumas semanas antes dos Shadow Brokers tornarem o EternalBlue público, mas os usuários do Windows – incluindo grandes instituições – demoraram a adotá-lo. Isso abriu as portas para um ataque de hackers relacionados ao Eternal Blue em todo o mundo.
O primeiro exemplo de destaque é o ransomware malformado conhecido como WannaCry, que usou o EternalBlue para varrer o mundo em 12 de maio de 2017. Construído por hackers norte-coreanos patrocinados pelo Estado aparentemente para gerar receita e causar algum caos, o ransomware atingiu serviços públicos e grandes empresas, principalmente na Europa e no Reino Unido. Por exemplo, o WannaCry atrapalhou hospitais e instalações do Serviço Nacional de Saúde no Reino Unido, impactando as salas de emergência, procedimentos médicos e atendimento geral ao paciente.
Os pesquisadores suspeitam que o WannaCry foi um tipo de experimento que escapou do laboratório – um malware que os hackers norte-coreanos ainda estavam desenvolvendo quando perderam o controle. Isso ocorre porque o ransomware possui grandes falhas de design, incluindo um mecanismo que especialistas em segurança foram capazes de usar como um interruptor para impedir a disseminação do WannaCry. O ransomware gerou apenas cerca de 52 bitcoins para os norte-coreanos, que valiam menos de US $ 100.000 na época e cerca de US $ 369.000 atualmente.
O vazamento do Eternal Blue e sua subsequente exploração em massa alimentaram o debate sobre se as agências de inteligência e as forças armadas dos EUA deveriam acumular conhecimento das principais vulnerabilidades de software e como explorá-las, para fins de espionagem e ataques ofensivos. Atualmente, a comunidade de inteligência usa uma estrutura chamada “Processo de Equidades de vulnerabilidade” (Vulnerability Equities Process) para avaliar quais bugs são de importância suficientemente grande para a segurança nacional e devem permanecer secretos e sem patches. Mas alguns argumentam que esse mecanismo de supervisão não é adequado, dado o péssimo histórico do governo dos EUA em garantir a segurança dessas ferramentas e a ameaça de outro incidente do tipo WannaCry.
Hackeamento das eleições presidenciais de 2016 nos EUA
Os hackers russos não passaram a última década apenas aterrorizando a Ucrânia. Eles também lançaram uma série de campanhas de desinformação e vazamento de dados desestabilizadores contra os Estados Unidos durante a temporada de campanha das eleições presidenciais de 2016. Dois grupos de hackers russos conhecidos como APT 28 ou Fancy Bear e APT 29 ou Cozy Bear realizaram campanhas maciças de desinformação de mídia social, usaram ataques de phishing por email para violar o Comitê Nacional Democrata e vazaram publicamente a correspondência embaraçosa da organização e se infiltraram na conta de email de John Podesta, chefe da campanha de Hillary Clinton. Operadores russos vazaram os dados roubados através da plataforma anônima WikiLeaks, alimentando controvérsia no momento em que os eleitores dos Estados Unidos formavam suas opiniões sobre em quem poderiam votar no dia da eleição. Os hackers russos também se intrometeram nas eleições presidenciais francesas em 2017.
A Rússia está longe de ser o único país a tentar promover seus interesses por meio de interferência eleitoral. Mas o país foi talvez o mais descarado de todos os tempos e escolheu um alvo de alto nível, concentrando-se nos EUA em 2016.
NotPetya
Em 27 de junho de 2017, uma onda do que parecia ser um ransomware se espalhou pelo mundo. Porém, o NotPetya, como seria chamado, não foi um ataque de ransomware – foi um malware destrutivo criado para bloquear computadores, devastar redes e criar o caos. O NotPetya foi desenvolvido pelo grupo russo de hackers Sandworm, aparentemente para atingir a Ucrânia. Os danos na Ucrânia foram extensos, mas o malware se mostrou muito virulento e se espalhou pelo mundo, atingindo empresas multinacionais, inclusive na Rússia. No total, o governo dos EUA estima que o NotPetya resultou em pelo menos US $ 10 bilhões em danos, interrompendo empresas farmacêuticas, transporte marítimo, empresas de energia, aeroportos, transporte público e até serviços médicos na Ucrânia e em todo o mundo. Foi o ataque cibernético mais caro de todos os tempos.
NotPetya foi o que pode ser chamado de ataque à cadeia de suprimentos. Os hackers espalharam o malware pelo mundo comprometendo as atualizações do sistema do onipresente software de contabilidade ucraniano MeDoc. Quando usuários regulares do MeDoc executavam uma atualização de software, eles inadvertidamente baixavam o NotPetya também. Além de tornar visível o perigo crítico de danos colaterais na guerra cibernética, o NotPetya também ressaltou a ameaça real de ataques à cadeia de suprimentos, especialmente em software.
Equifax
Embora tenha chegado relativamente tarde na década, a enorme violação de 2017 da empresa de monitoramento de crédito Equifax é a mãe de todas as violações de dados corporativos, tanto por sua escala e gravidade, quanto porque a Equifax lidou com a situação tão mal. O incidente expôs as informações pessoais de 147,9 milhões de pessoas – os dados incluíam datas de nascimento, endereços, alguns números de carteira de motorista, cerca de 209.000 números de cartão de crédito e números de Seguro Social – o que significa que quase metade da população dos EUA teve potencialmente exposto seu identificador secreto crucial.
A Equifax divulgou a violação no início de setembro de 2017 e, ao fazê-lo, desencadeou outra série de eventos infelizes. O site informativo que a empresa montou para as vítimas era vulnerável a ataques e solicitou que os últimos seis dígitos dos números de previdência social das pessoas para verificar se seus dados foram afetados pela violação. Isso significava que a Equifax estava pedindo aos estadunidenses que confiassem neles com seus dados novamente. A Equifax também transformou sua página de resposta a violações em um site independente, em vez de fazer parte de seu domínio corporativo principal – uma decisão que convidava a cosntrução de sites de impostores e tentativas agressivas de phishing. A conta oficial do Equifax no Twitter twittou por engano um link de phishing em particular quatro vezes. Quatro vezes! Felizmente, o link era uma página de pesquisa de prova de conceito, não um site malicioso real. Desde então, houve inúmeras indicações de que a Equifax possuía uma cultura de segurança perigosamente negligente e falta de procedimentos resposta preparados.
Embora tenha sido notavelmente grave, a violação do Equifax é apenas uma de uma longa linha de violações problemáticas de dados corporativos que assolaram os últimos 10 anos. A violação da Target no final de 2013 que comprometia os dados de 40 milhões de clientes agora parece um ponto de virada na conscientização geral sobre dados em risco. Logo depois, as empresas Neiman Marcus e Michaels anunciaram grandes violações de dados de clientes em 2014. Em setembro do mesmo ano, a Home Depot também foi violada, expondo informações de aproximadamente 56 milhões de cartões de crédito e débito de clientes.
E, em julho de 2015, os hackers violaram o Ashley Madison, um site que existe especificamente para facilitar casos e encontros extraconjugais. Em um mês, os hackers haviam postado quase 10 gigabytes de dados roubados no site, que continham detalhes do cartão de pagamento e da conta de aproximadamente 32 milhões de usuários da Ashley Madison. Essa informação incluía detalhes sobre preferências e orientações sexuais. Para os usuários que digitaram seu nome real – ou um pseudônimo reconhecível – no site, o conjunto de dados simplesmente revelou o fato de que eles tinham uma conta na Ashley Madison, além de vincular informações pessoais a eles. Embora a violação tenha gerado muitas manchetes durante o verão de 2015, também teve grandes consequências para os usuários do site.
Aadhaar
O banco de dados de identificação governamental Aadhaar armazena informações pessoais, biometria e um número de identificação de 12 dígitos para mais de 1,1 bilhão de cidadãos indianos. O Aadhaar é usado em tudo, desde a abertura de uma conta bancária até a inscrição em serviços públicos ou para cadastrar uma conta de telefone celular. E as empresas de tecnologia podem se conectar à Aadhaar para rastrear os clientes. Todas essas interconexões, no entanto, levaram a numerosas exposições importantes aos dados do Aadhaar quando terceiros, ou o próprio governo indiano, armazenam as informações de maneira inadequada. Como resultado, os pesquisadores estimam que todos os 1,1 bilhão de números de Aadhaar e grande parte dos dados associados foram violados apenas durante o ano de 2018. Há um mercado negro em expansão para esses dados.
Pouquíssimas instituições têm dados de um bilhão de pessoas a perder. Por outro lado, há o Yahoo, que sofreu duas violações de dados separadas. Uma delas, que ocorreu no final de 2014 e foi divulgada em setembro de 2016, expôs 500 milhões de contas do Yahoo. Outra, que ocorreu em agosto de 2013 e foi originalmente divulgada em dezembro de 2016, revelou em outubro de 2017 que expôs todas as contas do Yahoo existentes em 2013, totalizando três bilhões.
Violações de dados como OPM e Equifax são complicadas, porque aparentemente são o resultado da espionagem do Estado nacional e os dados nunca vazam publicamente ou mesmo em fóruns criminais. Isso significa que é difícil avaliar o risco diário das pessoas comuns representadas por essas violações. Mas com exposições como Aadhaar, Yahoo, Target e muitas outras em que os dados vazam publicamente e começam a circular na dark web, há uma conexão muito clara com fraudes generalizadas, comprometimentos de contas digitais e os golpes que se seguem.
Na primeira vez que ouvi falar de engenharia social, tentei adivinhar: seria uma forma mais eficiente de organizar pessoas, ou um termo politicamente correto da área de RH, ou ainda uma forma de programação comportamental das massas?
Apesar da wikipedia-inglês dizer que esta última opção seria válida para o campo da política (onde o Estado ou a mídia tentariam direcionar a vontade das pessoas), o que nos interessa aqui é a sua conotação no campo da segurança. Ou seja, simplesmente, engenharia social é sinônimo de manipulação.
Tá, vamos a uma definição mais formal. Segundo a wikipedia, “no contexto da segurança da informação, engenharia social é a manipulação psicológica de uma pessoa para fazê-la realizar certas ações ou revelar informações confidenciais. Ela difere de um simples golpe ao geralmente envolver vários passos complexos para montar o esquema”.
Como normalmente esse tipo de tática é usado contra grandes empresas (corporações, bancos, etc) e órgãos do governo (ministérios, aeroportos, usinas, etc.), os coletivos e organizações que visam transformação social quase nunca ouviram falar de engenharia social. Por outro lado, nesses casos, a infiltração parece ser o mais comum. Quem sabe falamos sobre isso em outra postagem.
Mas quais seriam esses “passos complexos para montar o esquema”?
Antes de apresentar um passo a passo, é preciso dizer que a engenharia social explora o ponto mais fraco de um sistema informático: o ser humano. Seja por erro técnico, ingenuidade ou percepção equivocada, uma pessoa é muito mais facilmente enrolada do que software ou uma fechadura.
O lendário hacker Kevin Mitnick escreveu um livro sobre o assunto, chamado A arte de enganar: controlando o fator humano na segurança da informação. Aqui está o PDF do livro em português. Ele define:
A engenharia social usa a influência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia.
A paranoia tá subindo? Pois é. Vamos levantá-la mais um pouco.
Niall Merrigan, na sua palestra “Psychology of Social Engineering“, aponta algumas das fraquezas humanas exploradas na engenharia social e dá diversos exemplos, principalmente da área de marketing. Na verdade, certos padrões de comportamento humano não são necessariamente fraquezas em si, mas como são previsíveis, Merrigan afirma, você vai usá-los a seu favor.
Um padrão segundo o qual todas nós operamos é chamado de viés cognitivo. Vejamos a wikipedia:
Um viés cognitivo (ou tendência cognitiva) é um padrão de distorção de julgamento que ocorre em situações particulares, levando à distorção perceptual, julgamento pouco acurado, interpretação ilógica.
Esse viés, somado à nossa experiência cotidiana, possivelmente gera o senso comum e os preconceitos. O primeiro é aquilo esperado de qualquer pessoa numa determinada sociedade (como formas de cortesia, cumprimentos, subentendidos, etc). Alguns preconceitos também podem fazer parte do senso comum, mas se, além disso, você descobre aqueles que são particulares da pessoa na sua frente, então é como fazer micro-targeting: modular os assuntos e as maneiras de falar sobre eles para causar um efeito esperado. Fascistas têm preconceitos e obviamente anarquistas também! O processo mental é o mesmo, logo, dá para explorar da mesma forma em qualquer pessoa.
A wikipedia fornece os seguintes exemplos de vieses cognitivos:
Enquadramento: É se usar uma abordagem bastante ortodoxa na descrição de uma situação ou problema. Viés de retrospecto às vezes chamado de “eu-sabia-de-tudo”: É a inclinação para ver os eventos do passado como sendo previsíveis. Viés de confirmação: É a tendência para procurar ou interpretar informações de uma maneira que confirme preconceitos próprios. Viés da autoconveniência: É a tendência de reivindicar mais responsabilidade pelos sucessos do que pelas falhas. Este viés também pode se manifestar como a tendência de avaliar informações ambíguas de uma forma benéfica a interesses próprios.
Sabendo disso e com um pouco de dissimulação e preparo, é possível conseguir se passar por uma autoridade simplesmente vestindo uma roupa e um crachá adequados ou imitando um site oficial. Dar o que as pessoas esperam é metade do caminho.
E então, como é que faz?
Chris Pritchard lista uma série de dicas na sua palestra “The basics of social engineering” sobre como realizar um “ataque”. Vou colocar aqui um resumo do resumo, ou seja, muita coisa vai se perder, mas acho que vale.
Fazer reconhecimento
Pesquisar as informações que estão públicas (open source intelligence, OSINT – isso merece uma postagem também!)
Ir ao local (se você vai precisar entrar num prédio, terreno, etc.)
Como as pessoas se vestem ali?
Entenda os padrões de horários (intervalos, horário de maior movimento, etc)
Como as pessoas se identificam? (crachás, uniformes, etc)
Construa seu pretexto (por que você está ali?)
Use sempre o que você já conhece
Use a verdade
Vista-se adequadamente
Carregue e use coisas adequadas ao seu pretexto (equipamentos)
Portões
Conheça as entradas
Conseguiu entrar! E agora?
Mantenha a calma (a adrenalina sempre aumenta)
Lembre-se das infos que você coletou previamente sobre o lugar
Observe o local por dentro: onde estão as saídas, os banheiros
Não tenha medo de pedir ajuda.Na verdade, peça ajuda: é uma forma rápida de criar um laço de confiança
Sempre use o tom formal ao iniciar uma conversa
Fale de modo positivo (ex.: “vim aqui para…”, o contrário seria “não vim aqui para roubar nada, viu?”)
Outras coisas:
O medo está sempre presente
Esconda-se no banheiro para se acalmar
Resolva os problemas éticos da sua ação antes de ir para o campo
Esse é um trabalho muito exaustivo
Uma forma simplificada de descrever o ciclo da engenharia social é:
Coleta de informações
Interação com a vítima
Ataque
Fechamento da interação
Além do viés cognitivo, ou desdobrando-se dele, a engenharia social usa seis pressupostos ou princípios sobre a interação humana:
Reciprocidade: as pessoas tendem a retornar um favor
Comprometimento: se uma pessoa se compromete a fazer algo, é bem provável que ela irá fazê-lo em nome da sua honra/autoimagem.
Adequação social: as pessoas tendem a fazer o que as outras fazem.
Autoridade: as pessoas tendem a obedecer a figuras de autoridade.
Preferência: as pessoas são facilmente persuadidas pelas pessoas que elas gostam.
Escassez: a escassez gera demanda.
A maioria das pessoas querem parecer legais.
Provavelmente o seu viés cognitivo está lhe dizendo: “isso só acontece com as outras, eu não caio nessa”. Ãham.
Agora que você sabe como a coisa funciona e que a galera que faz isso não tá de brincadeira, segue abaixo algumas formas simples de evitar ser vítima de engenharia social.
Nunca entregue a sua senha para ninguém (ninguém!)
Verifique a fonte (link, pendrive, site) ou a origem (pessoa, organização, solução etc.) por outros meios
Diminua a velocidade da interação: o estresse de ter que tomar uma decisão rapidamente pode turvar o seu discernimento
Quando a esmola é demais, o santo desconfia (veja se o atacante não está tocando na sua corda sensível, te dando o que você quer: aprovação, reconhecimento, carinho, etc.)
Defina dentro da organização os níveis de confidencialidade das informações que vocês utilizam e armazenam: o que dá para falar por aí?
Faça um teste de segurança sem aviso
Simule situações de engenharia social
Cuide da forma como vocês descartam informação (documento ou bilhetes no lixo, etc.)
Responder “não” é sempre uma opção (“Não vou lhe passar meu CPF, mas teria alguma outra coisa em que eu poderia lhe ajudar?”
Para fechar, existem várias formas de atacar. Pode ser presencialmente, por telefone, por email ou mandando sms. Mas também existem diferentes escalas. Niall Merrigan dá o exemplo da fraude tipo phishing. Essa palavra é uma corruptela de fishing, pescaria, com o ph de phone, telefone. Antigamente, o comum era usar o telefone para conseguir informações sem se expor. Há algumas décadas, se usa o email. Enfim, phishing é o famoso “esquema”: chega um email com uma história comovente ou ameaçadora e no fim te pede alguma informação pessoal, documento, conta do banco, senha. Ou te pede para entrar num site falso e aí colocar documento, senha, etc. Ou pede pra você abrir um arquivo extremamente importante.
Bom, Merrigan afirma que phishing é caro, dá muito trabalho para pouco resultado. Seria tipo uma pesca de arrastão com uma rede de malha muito grande. Joga prum lado, joga pro outro, varre metade dos mares e quem sabe pega alguma pessoa desavisada. É a escala macro.
A escala micro seria o que ele chama de pesca de arpão (spear phishing). Nessa situação, o atacante usa informações pessoais públicas (OSINT) e manda uma mensagem direcionada. Por ser uma conversa pensada para o alvo, ela tem muito mais chance de ter sucesso do que uma mensagem genérica daquelas que rolaram pelo zap “tô precisando de uma grana” ou um email “entrei no seu computador por uma falha de segurança do windows”.
Agora, dentro da escala micro ainda pode haver um refinamento. Na “pesca de arpão”, o alvo pode ser um simples funcionário ou um terceiro que vai indiretamente levar ao objetivo. Se o alvo é a pessoa mais importante da organização, então Merrigan usa o termo “caça de baleia” (whaling).
Resumindo, as pessoas são o elo mais fraco da corrente da segurança. Tem gente especializada em testar esse elo usando conhecimento psicológico e técnicas de manipulação para fazer uma pessoa de dentro da organização dar o que ela quer (com ou sem o uso de tecnologia!). Transforme a segurança em pauta ordinária e nunca entregue sua senha.