Especialistas afirmam que até mesmo o nível de segurança do Signal é considerado insuficiente para conversas de superior nível sobre assuntos de segurança vernáculo
O aplicativo gratuito de mensagens Signal ganhou destaque no noticiário depois que a Moradia Branca confirmou que ele foi usado para um bate-papo secreto em grupo entre altos funcionários dos EUA.
O editor-chefe da revista americana The Atlantic, Jeffrey Goldberg, foi inadvertidamente adicionado ao grupo em que se discutiam planos para um ataque contra o grupo houthi no Iêmen.
Ele contou em uma reportagem ter ficado sabendo, tapume de duas horas antes das primeiras bombas atingirem o país, dos planos confidenciais para o ataque – incluindo detalhes sobre envio de armas, alvos e cronograma.
O incidente causou uma repercussão negativa potente, com o líder democrata no Senado, Chuck Schumer, classificando o ocorrido uma vez que “um dos mais impressionantes” vazamentos de perceptibilidade militar da história, e pedindo uma investigação.
Mas, enfim, o que é o Signal – e quão seguras são as trocas de mensagem entre políticos de superior escalão no aplicativo?
O APLICATIVO DE SEGURANÇA
Estima-se que o Signal tenha entre 40 milhões e 70 milhões de usuários mensais – uma base muito reduzida em verificação com os maiores serviços de mensagens, WhatsApp e Messenger, que contam com bilhões de usuários.
No entanto, ele é o líder em segurança.
No núcleo disso, está a criptografia de ponta a ponta (E2EE).
Em termos simples, isso significa que somente o remetente e o destinatário podem ler as mensagens – nem sequer o próprio Signal pode acessá-las.
Várias outras plataformas também contam com a criptografia E2EE, inclusive o WhatsApp, mas os recursos de segurança do Signal vão outrossim.
Por exemplo, o código que faz o aplicativo funcionar é um software de código sincero – o que significa que qualquer pessoa pode verificá-lo para prometer que não haja vulnerabilidades que possam ser exploradas por hackers.
Os proprietários do aplicativo afirmam que ele coleta muito menos informações dos usuários e, em pessoal, não armazena registros de nomes de usuário, fotos de perfil ou grupos dos quais as pessoas fazem secção.
Também não há urgência de diluir esses recursos para lucrar mais verba: o Signal é de propriedade da Signal Foundation, uma organização sem fins lucrativos com sede nos EUA, que depende de doações, em vez de receita publicitária.
“O Signal é o padrão ouro em comunicações privadas”, afirmou a presidente do Signal, Meredith Whittaker, em um post no X (velho Twitter) depois que o “vazamento” das conversas de segurança vernáculo dos EUA se tornou público.
‘MUITO, MUITO INCOMUM’
Essa “argumento de padrão ouro” é o que torna o Signal simpático para especialistas em segurança cibernética e jornalistas, que usam com frequência o aplicativo.
Mas mesmo esse nível de segurança é considerado insuficiente para conversas de superior nível sobre assuntos de segurança vernáculo extremamente sensíveis.
Isso acontece porque existe um risco em grande secção inevitável na notícia por meio de um celular: o dispositivo é tão seguro quanto a pessoa que o utiliza.
Se alguém tiver chegada ao seu telefone com o Signal sincero – ou se desenredar sua senha —, vai poder ver suas mensagens.
E nenhum aplicativo é capaz de impedir que alguém espie por cima do seu ombro, se você estiver usando o telefone em um espaço público.
A perito em dados Custoso Robson, que trabalhou com o governo dos EUA, afirmou que era “muito, muito incomum” que autoridades de segurança de superior escalão se comunicassem em uma plataforma de mensagens uma vez que o Signal.
“Normalmente, você usaria um sistema governamental muito seguro, operado e de propriedade do governo, com níveis muito altos de criptografia”, explicou.
De congraçamento com ela, isso normalmente significaria que os dispositivos seriam mantidos em “locais muito seguros controlados pelo governo”.
O governo dos EUA usa historicamente uma instalação fechada para troca de informações confidenciais (Scif, na {sigla} em inglês) quando se trata de discutir assuntos de segurança vernáculo.
“Para ter chegada a leste tipo de informação secreto, você precisa estar em uma sala ou prédio específico, que foi vistoriada repetidamente em procura de grampos ou dispositivos de escuta”, diz Robson.
As Scifs podem ser encontradas em locais que vão desde bases militares até residências de autoridades.
“Todo o sistema é amplamente criptografado e protegido usando os mais altos padrões de criptografia do próprio governo”, ela acrescenta.
“Principalmente quando a extensão de resguardo está envolvida.”
CRIPTOGRAFIA E REGISTROS
Há outra questão relacionada ao Signal que tem gerado preocupação – o desaparecimento de mensagens.
O Signal, assim uma vez que muitos outros aplicativos de mensagens, permite que seus usuários configurem mensagens para desvanecer depois um determinado período de tempo.
O jornalista Jeffrey Goldberg, da revista The Atlantic, disse que algumas das mensagens do grupo do Signal ao qual ele foi adicionado desapareceram depois de uma semana.
Isso pode violar as leis de manutenção de registros – a menos que os usuários do aplicativo tenham guiado suas mensagens para uma conta solene do governo.
Esta também está longe de ser a primeira polêmica envolvendo a criptografia E2EE.
Vários governos quiseram gerar a chamada backdoor, uma porta de chegada para entrar no sistema, para os serviços de troca de mensagens que utilizam a criptografia, para que pudessem ler as mensagens que acreditam que possam simbolizar uma ameaço à segurança vernáculo.
Aplicativos uma vez que o Signal e o WhatsApp já haviam rebatido tentativas de gerar esse tipo de backdoor, dizendo que o sistema acabaria sendo usado por pessoas mal-intencionadas.
O Signal ameaçou retirar o aplicativo do Reino Unificado em 2023, se fosse comprometido pelos legisladores.
Neste ano, o governo britânico se envolveu em uma polêmica significativa com a Apple, que também usa a criptografia E2EE para proteger determinados arquivos no armazenamento em nuvem.
A Apple acabou retirando totalmente o recurso no Reino Unificado, depois que o governo exigiu chegada aos dados protegidos dessa forma pela gigante da tecnologia.
O processo judicial está em curso.
Mas, uma vez que mostra esta controvérsia, nenhum nível de segurança ou proteção permitido importa se você simplesmente compartilhar seus dados confidenciais com a pessoa errada.
Ou, uma vez que disse um crítico de forma mais contundente: “A criptografia não pode protegê-lo da estupidez”.
Texto publicado originalmente cá
