Uma anedota sobre o Tor e a CIA

por Edward Snowden
fragmento do livro Eterna Vigilância, p. 221-227

CO: agente de caso
SIGINT: sinais de inteligência, ou comunicações interceptadas
HUMINT: inteligência humana, ou o trabalho e os relatórios de agentes e analistas.

Antes do advento da internet, se uma agência quisesse ter acesso ao computador de um alvo, teria de recrutar um ativo que tivesse acesso físico a ele. Obviamente, essa era uma proposta perigosa: o ativo poderia ser pego no ato de baixar os segredos ou de implantar o hardware e o software exploradores que transmitiriam os segredos para seus manipuladores. A disseminação global da tecnologia digital simplificou demais esse processo. Esse novo mundo de inteligência de rede digital, ou operações de redes de computadores, significava que o acesso físico quase nunca era necessário, o que reduzia o nível de risco humano e realinhava permanentemente o equilíbrio HUMINT/SIGINT. Um agente poderia enviar uma mensagem ao alvo, como um e-mail, com anexos e links que liberariam um malware e que permitiria à agência vigiar não apenas o computador do alvo, mas também toda sua rede. Dada essa inovação, a HUMINT da CIA se dedicaria à identificação de alvos de interesse, e a SIGINT cuidaria do resto. Em vez de um CO transformar um alvo em um ativo por meio de suborno em dinheiro em mãos – ou coerção e chantagem, se o suborno fracassasse –, hackear seu computador proporcionaria um benefício semelhante. Além disso, com esse método o alvo permaneceria inconsciente de tudo, o que, inevitavelmente, seria um processo mais limpo.

Pelo menos essa era a expectativa. Mas, à medida que a inteligência foi se tornando cada vez mais ciberinteligência (um termo usado para distingui-la das antigas formas de SIGINT off-line – o telefone e o fax), velhas preocupações também precisavam ser atualizadas para o novo meio da internet. Por exemplo: como fazer buscas on-line sobre um alvo mantendo-se anônimo.

Esse problema normalmente surge quando um CO pesquisa o nome de uma pessoa de um país como o Irã ou a China nos bancos de dados da agência e aparece de mãos vazias. Para buscas casuais de possíveis alvos como esses, não encontrar resultados era, na verdade, bastante comum. Quase todos os bancos de dados da CIA estavam cheios de pessoas que já interessavam à agência, ou cidadãos de países amigos cujos registros estavam mais facilmente disponíveis. Ao não encontrar resultados, o CO teria de fazer a mesma coisa que você faz quando quer achar alguém: usar a internet pública. E isso era arriscado.

Normalmente, quando você entra em qualquer site da internet, sua solicitação viaja de seu computador mais ou menos diretamente ao servidor que hospeda seu destino final, o site que está tentando visitar. Mas, em todas as paradas no caminho, sua solicitação anuncia com alegria e exatidão de que lugar da internet ela vem e a que lugar da internet vai, graças a identificadores chamados cabeçalhos de origem e destino, que seriam como as informações de endereço de um cartão postal. Por causa desses cabeçalhos, sua navegação na internet pode ser facilmente identificada como sua pelos, entre outros, webmasters, administradores de rede e serviços de inteligência estrangeiros.

Talvez seja difícil acreditar, mas, na época, a agência não tinha uma boa resposta para o que um agente deveria fazer nessa situação além de recomendar que pedisse à sede da CIA que assumisse a busca. Formalmente, esse procedimento ridículo funcionava assim: alguém em McLean entrava na internet de um terminal de computador específico e usava o que se chamava sistema de busca não atribuível. Isso era jogar uma consulta em um emissário – ou seja, a origem falsa – antes de mandá-la ao Google. Se alguém tentasse investigar quem havia feito aquela busca específica, só o que encontraria seria uma empresa anódina localizada em algum lugar dos Estados Unidos – uma das milhares de falsas empresas de headhunters de executivos ou de empregados que a CIA usava como cobertura.

Não posso dizer que alguém já me explicou por que a CIA gostava de usar empresas tipo agências de emprego como fachada; presumivelmente, porque eram as únicas empresas que poderiam, de uma maneira plausível, fazer buscas sobre um engenheiro nuclear no Paquistão um dia e sobre um general polonês aposentado no dia seguinte. Mas posso dizer com certeza absoluta que o processo era ineficaz, complicado e caro. Para criar só uma dessas coberturas, a agência precisava inventar o propósito e o nome de uma empresa, assegurar um endereço físico confiável em algum lugar dos Estados Unidos, registrar uma URL crível, criar um site confiável e depois alugar servidores em nome da empresa. Além disso, precisava criar uma conexão criptografada a partir desses servidores que permitisse a comunicação com a rede da CIA sem que ninguém percebesse a conexão. O problema é o seguinte: depois de fazer todo esse esforço e gastar todo esse dinheiro só para que pudéssemos pesquisar um nome de forma anônima, a empresa de fachada que estivesse sendo usada como emissário ficaria imediatamente queimada – ou seja, sua conexão com a CIA seria revelada a nossos adversários – no momento em que algum analista decidisse dar um tempo na busca para entrar em sua conta pessoal do Facebook no mesmo computador. Como poucas pessoas na sede trabalhavam disfarçadas, essa conta do Facebook declarava abertamente “Eu trabalho na CIA”, ou “Eu trabalho no Departamento de Estado, mas em McLean”. [nota do tradutor: por isso eu acho bastante crível que essas agências sejam, hoje em dia, as verdadeiras possuidoras de algumas empresas de VPN, o que traria um duplo benefício a elas: o do disfarce e o de poder vigiar os assinantes do serviço]

Pode rir. Naquela época, isso acontecia o tempo todo.

Durante o tempo que passei em Genebra, quando um CO me perguntava se havia uma maneira mais segura, mais rápida e mais eficiente de fazer isso, eu lhe apresentava o Tor.

O Projeto Tor foi uma criação do Estado que acabou se tornando um dos poucos escudos efetivos contra a vigilância do governo. Tor é um software livre, de código aberto, que, se usado com cuidado, permite que o usuário navegue na internet em quase perfeito anonimato, o que pode ser praticamente alcançado em escala. Seus protocolos foram desenvolvidos pelo Laboratório de Pesquisa Naval dos EUA em meados da década de 1990, e em 2003, divulgados ao público – à população civil mundial, essencial para sua funcionalidade. Isso ocorre porque o Tor opera em um modelo de comunidade cooperativa, contando com voluntários especializados em tecnologia do mundo todo que administram seus próprios servidores Tor em seus porões, sótãos e garagens. Ao rotear o tráfego de internet de seus usuários por esses servidores, o Tor faz o mesmo trabalho de proteção à origem desse tráfego que o sistema de busca não atribuível da CIA. A diferença principal é que o Tor faz isso melhor, ou, no mínimo, de forma mais eficiente. Eu já tinha certeza disso, mas convencer os rudes COs era outra questão.

Com o protocolo Tor, seu tráfego é distribuído e rebota por caminhos gerados aleatoriamente de um servidor Tor para outro, com o objetivo de substituir sua identidade como fonte de uma comunicação pela do último servidor Tor da cadeia em constante mudança. Praticamente nenhum dos servidores Tor, que são chamados de camadas, conhece a identidade ou qualquer informação de identificação sobre a origem do tráfego. E em uma verdadeira manobra de gênio, o único servidor Tor que conhece a origem – o primeiro servidor da cadeia – não sabe para onde esse tráfego está indo. Para simplificar: o primeiro servidor Tor que conecta você à rede Tor, chamado de porta, sabe que você está enviando uma solicitação, mas como não pode lê-la, ele não faz ideia se você está procurando memes de animais de estimação ou informações sobre um protesto, e o servidor Tor final pelo qual sua solicitação passa, chamado de saída, sabe exatamente o que está sendo solicitado, mas não tem ideia de quem o solicitou.

Esse método de camadas se chamava onion router, roteamento cebola, de onde vem o nome Tor: The Onion Router. A piadinha que corre é que tentar vigiar a rede Tor faz os espiões chorarem. Essa é a ironia do projeto: ali estava uma tecnologia desenvolvida pelos EUA que tornava a ciberinteligência ao mesmo tempo cada vez mais fácil e difícil, aplicando conhecimentos de hackers para proteger o anonimato dos agentes da CI, pelo módico preço de conceder o mesmo anonimato aos adversários e a usuários comuns do mundo todo. Nesse sentido, o Tor era ainda mais neutro que a Suíça. Para mim, pessoalmente, o Tor foi uma mudança de vida ao me levar de volta à internet de minha infância, dando-me um leve gostinho de liberdade por não ser observado.