Por dentro da NSA: a superagência que grampeou a internet
Pela primeira vez na história, um jornalista teve acesso à sede da National Security Agency – o braço do governo americano que criou um megaesquema de grampos na internet. Veja o que ele encontrou.
Um dos lances decisivos da Segunda Guerra Mundial aconteceu em 1939, quando os aliados conseguiram quebrar o código usado pelos nazistas para transmitir mensagens via rádio. Ou seja: os países sempre espionaram uns aos outros. Mas isso ganhou proporções dramáticas no ano passado, quando, graças a revelações feitas pelo ex-analista Edward Snowden, o mundo descobriu que a internet estava sendo monitorada pela National Security Agency, principal agência de espionagem do governo americano. Até então, pouca gente tinha ouvido falar da NSA (inclusive porque o governo americano passou décadas negando que ela sequer existisse). A NSA, por outro lado, estava escutando tudo.
Os documentos vazados por Snowden mostraram que ela grampeou as comunicações de chefes de Estado, como a presidente do Brasil e a primeira-ministra da Alemanha, e de grandes empresas, como a Petrobras. E pode ter grampeado você também – mesmo que você não seja suspeito de nada. A NSA construiu sistemas de monitoramento que capturam boa parte dos dados que passam pela internet. Toda vez que você usa um site ou serviço americano, como o Google ou o Facebook, pode estar sendo monitorado.
O objetivo da NSA é gravar tudo, montando um gigantesco acervo com dados de todas as pessoas e empresas do mundo, e usar essas informações da maneira que convier aos EUA. Para fazer isso, a agência tem de pedir ajuda às empresas de tecnologia, para que elas liberem os dados. Mas, em certo momento, ela se cansou disso – e simplesmente passou a invadir as redes de gigantes como Apple, Google, Facebook e Microsoft. Quando isso veio à tona, a NSA passou a ser criticada por empresas e autoridades do mundo inteiro. Para tentar se defender, a agência permitiu que um jornalista da revista americana Wired fosse até sua sede, para ver e entender como ela funciona. A seguir, veja o que ele descobriu. (BG)
PARTE I – Como os EUA grampearam a internet
Em 6 de junho de 2013, repórteres do jornal Washington Post telefonaram para os departamentos de comunicação da Apple, do Facebook, do Google, do Yahoo e de outras empresas de internet. No dia anterior, uma notícia havia chocado os americanos: a gigante de telecomunicações Verizon1 havia entregue ao governo uma lista com todas as ligações telefônicas realizadas nos EUA. A revelação havia sido feita por Edward Snowden, um consultor de tecnologia de 29 anos que havia fugido com centenas de milhares de documentos confidenciais da National Security Agency (NSA), a agência de espionagem do governo americano.
Foi o início de uma reação em cadeia que ameaçou as bases da indústria de tecnologia. O assunto dominaria as manchetes por meses, e se tornaria o principal assunto dos círculos tech. No dia seguinte, o Post publicou sua reportagem sobre o esquema de espionagem da NSA. A matéria incluía uma apresentação de PowerPoint confidencial, onde a NSA listava as empresas que estavam cooperando com o esquema. Primeiro veio a Microsoft, em setembro de 2007. No ano seguinte, o Yahoo. O Google e o Facebook foram adicionados em 2009. A mais recente foi a Apple, em outubro de 2012.
As empresas rapidamente negaram tudo. Mas essa postura foi complicada pelo fato de que elas participaram – muitas vezes a contragosto – num programa secreto que as obrigava a liberar os dados de seus usuários. Elas não podiam falar sobre o assunto, porque eram legalmente proibidas de fazer isso. A confiança que os gigantes da tecnologia tinham conquistado a duras penas estava a ponto de evaporar – e eles não podiam fazer nada a respeito. O Vale do Silício estava ferido, uma vítima da guerra ao terror. E as coisas só iriam piorar.
O programa de espionagem da NSA, batizado de Prism2, se apoia numa série de leis. A primeira é de 1978, e criou uma corte secreta que autoriza ações de vigilância. Ela foi complementada em 2008, por uma lei aprovada durante o governo Bush. Algumas empresas pareciam muito confortáveis em compartilhar dados de seus usuários com a NSA. A Verizon nunca negou ter feito isso. De certa forma, não é algo surpreendente. As empresas de telefonia não dependem da confiança dos usuários. Com as empresas de tecnologia, é diferente. Elas precisam que os consumidores aceitem ceder suas informações. Em troca, eles recebem mais e melhores serviços. E esperam que as empresas mantenham seus dados em segurança.
Pelo menos uma empresa resistiu aos pedidos do governo. O Yahoo lutou na corte secreta para não ter de liberar dados de usuários. Mas, em agosto de 2008, a corte decidiu em favor do governo. Esse conflito ilustra uma diferença aparentemente irreconciliável. Enquanto o Vale do Silício tem de ser transparente, as agências de espionagem operam sob uma camada de segredo. Existe um motivo para isso. Criminosos se tornarão menos propensos a continuar usando um serviço de internet se souberem que ele está sendo observado pela NSA.
Durante os meses seguintes, as empresas de tecnologia e a NSA tentaram lidar com as consequências dos vazamentos de Edward Snowden. Mas as coisas ficaram piores, para ambos os lados.
Em outubro, um novo vazamento de Snowden expôs um programa no qual a NSA, sem o conhecimento ou a cooperação das empresas envolvidas, conseguiu obter a lista de contatos de milhões de pessoas. O Washington Post reportou que, em apenas um único dia, a NSA havia coletado “444.743 contatos de e-mail de usuários do Yahoo, 105.068 do Hotmail, 82.857 do Facebook, 33.697 do Gmail, e 22.881 de outros provedores”. O jornal também revelou que a NSA, trabalhando em conjunto com o serviço secreto inglês, invadiu as conexões internas do Google e do Yahoo.
Essa descoberta provocou um choque visceral nas empresas, como se elas tivessem tido suas casas invadidas. O Google se disse “ultrajado”. “Primeiro, nós estávamos numa batalha contra criminosos sofisticados. E agora estamos numa batalha contra Estados”, afirmou Eric Grosse, diretor de segurança da empresa, se referindo ao governo dos EUA. Desde que o caso veio à tona, muitas empresas reforçaram sua segurança. O Google já tinha começado a usar criptografia (codificação de dados). “Nós estávamos na metade do processo quando descobrimos onde a NSA tinha chegado”, diz Grosse. Yahoo, Facebook e Microsoft também estão melhorando suas defesas.
Mas nem a criptografia pode ser suficiente para parar a NSA. Outro vazamento de Snowden mostrou que a agência tem meios de violar a codificação de dados. Suas táticas incluem explorar falhas de segurança em softwares. “A NSA está disposta a comprometer a segurança de tudo para conseguir o que quer”, diz o especialista em segurança Bruce Schneier.
Em novembro, descobriu-se mais uma ação conjunta da NSA e dos espiões ingleses. Numa tentativa de grampear os dados que passavam pelo Belgacom, um provedor de internet belga, as agências criaram versões falsas de sites como Slashdot e Linkedin3. Quando os usuários tentavam acessar esses sites, seus computadores eram infectados com programas de espionagem.
Há vários anos, empresas de internet evitam comprar equipamentos feitos na China, por acreditar que eles possam conter mecanismos de espionagem. Agora é a vez dos Estados Unidos. A empresa de pesquisas Forrester Research estima que os fornecedores americanos possam perder US$ 180 bilhões em vendas. Mas uma perda de confiança, ou mesmo de negócios, não é o principal medo das empresas de tecnologia no mundo pós-Snowden. O CEO do Facebook, Mark Zuckerberg, acredita que as pessoas vão continuar usando seus serviços. Mas ele teme que as revelações da NSA possam levar outros países a tomar ações que prejudiquem a internet. “Agora, governos de todo o mundo estão aprovando leis que ameaçam a segurança da internet”, diz.
Zuckerberg está se referindo a um movimento de fragmentação da internet, cujo conceito central é: os dados de uma pessoa devem ficar dentro do país onde ela mora. Essa ideia nunca foi uma ameaça até que os vazamentos da NSA, e o medo de ser espionado, levou alguns países a persegui-la. Depois de descobrir que havia sido grampeada pela NSA, a presidente do Brasil, Dilma Rousseff, passou a defender que os dados de brasileiros sejam armazenados dentro do País4. A Malásia aprovou uma lei similar, e a Índia está considerando algo do tipo. E isso não está acontecendo apenas em países em desenvolvimento. Na Alemanha, onde a NSA grampeou o telefone da chanceler Angela Merkel, há discussões sobre uma medida similar. No mundo pré-Snowden, propostas como essas teriam sido descartadas.
A fragmentação da internet acabaria com as possibilidades de novas empresas. Será que o Facebook ou o YouTube teriam decolado se tivessem sido obrigados a armazenar seus dados em dezenas de países diferentes? “Seria incrivelmente caro para nós, e impossível para empresas novas”, afirma o criador do Tumblr, David Karp. “Os EUA precisam resolver esse problema”, diz Zuckerberg.
1. VERIZON
É a maior operadora de telefonia celular dos EUA. Também fornece serviços de telefonia fixa e internet.
2. PRISM
Ou “prisma”, em inglês, é o nome da principal operação da NSA. Ela supostamente tem esse nome porque, em sua primeira fase, envolveu a instalação de prismas nos cabos de fibra óptica dos provedores de internet. Os prismas replicavam todos os sinais luminosos (e, portanto, as informações digitais) que passavam por esses cabos. E a NSA capturava tudo.
3. SLASHDOT E LINKEDIN
Respectivamente: um dos sites de tecnologia mais tradicionais e respeitados da internet, e uma rede social de busca e oferta de empregos.
4. GUARDA LOCAL DOS DADOS
Era uma das condições impostas pelo Marco Civil da Internet. Mas acabou sendo eliminada do projeto – que foi aprovado pelo Congresso brasileiro em abril de 2014.
PARTE II – Minha visita à NSA
“Isso não é culpa das empresas. Elas foram forçadas. Como país, nós temos que defender nossas empresas. Não queremos que elas percam sua capacidade econômica.”
Essas palavras poderiam ter vindo de um porta-voz do Google, do Facebook, da Microsoft ou do Yahoo. Ou de um político contrário às táticas da NSA. Ou de uma ONG de defesa dos direitos civis. Mas seu autor é Keith Alexander, então diretor da NSA (nota do tradutor: ele se aposentou algumas semanas após a entrevista). Mesmo admitindo que as empresas foram colocadas numa posição difícil, ele insiste que os programas de espionagem são lícitos, necessários e respeitam a privacidade das pessoas.
A NSA é extremamente discreta, tanto que por décadas o governo nem admitiu a existência dela. Mas, após as revelações de Snowden, a agência parece ter percebido que precisa se defender na imprensa. Por isso, fui convidado a visitar a sede da agência em Fort Meade, Maryland. Depois de fornecer meus dados pessoais – incluindo o número de série do meu gravador – , eu passo por três barreiras de segurança e estaciono meu carro num local marcado. Vou até uma sala de reunião decorada com pôsteres patrióticos, que exaltam a segurança nacional e a privacidade. Sou apresentado a três diretores da agência: Rajesh De, Anne Neuberger e Rick Ledgett. E então o chefão entra na sala, onde fica por 20 minutos. Magro e enfático, Keith Alexander tem uma confiança carismática que claramente deve tê-lo ajudado a subir na carreira.
“Esses programas, em especial o Prism, são os maiores produtores de informações antiterrorismo”, diz. “Então não podemos prejudicá-los.” Alexander cita o caso de Najibullah Zazi, um radical islâmico que planejava explodir uma bomba no metrô de Nova York em 2009, e dá a entender que as informações obtidas pelo Prism levaram à sua captura. “Nós vamos fazer a coisa certa, vamos mantê-lo e deixar as pessoas considerarem as opções. Se houver uma alternativa melhor, que a mostrem.”
Curiosamente, a argumentação da NSA lembra bastante a das empresas de tecnologia: as pessoas não nos entendem. “Ninguém sabe como a NSA opera”, diz Ledgett. “Ela sempre foi uma caixa preta. As pessoas não entendem os mecanismos de controle interno da NSA.”
Eles querem enfatizar um ponto. Embora a NSA colete muitos dados, há regras e processos internos que limitam a violação de privacidade. Num discurso anterior, Alexander havia dito: “Você precisa do palheiro para encontrar a agulha.” Coletar a palha, em si, não é uma coisa ruim, porque há proteções que limitam o que a NSA pode fazer com as informações. Alexander descreve as múltiplas vezes em que o programa de coleta de dados foi reautorizado pelo Congresso e pela Justiça, o número limitado de pessoas que têm acesso a ele, e a supervisão que existe sobre essas pessoas.
“O Gmail é o e-mail mais usado pelos terroristas”, diz um oficial da NSA. “O Yahoo vem em segundo. Não é porque o Google e o Yahoo sejam malvados, é porque eles oferecem um ótimo serviço.”
Ledgett descreve vários passos que a NSA segue para proteger e-mails, registros de buscas, e fotos das pessoas. “Nós somos responsáveis por minimizar a coleta de informações pessoais de americanos”, diz. Mas essa proteção é administrada pela própria NSA, e documentos recém-divulgados indicam que a agência falhou em várias ocasiões. Os oficiais dizem que o sistema funciona. Eles dizem que há um rigoroso processo de treinamento, e que o respeito pelos limites é algo martelado na cabeça de todos os funcionários da NSA, desde o primeiro dia de trabalho. (Houve um incidente embaraçoso, em que funcionários da agência espionaram seus cônjuges, mas os oficiais da NSA dizem que isso é raro – e que os empregados têm de passar por frequentes testes em um detector de mentiras.) Ledgett dá um exemplo do que acontece quando a agência monitora alguém por engano. A NSA havia monitorado uma pessoa no sul da Ásia por mais de uma década, até descobrir que esse indivíduo havia se candidatado à cidadania americana. “Assim que descobrimos isso, nós paramos, e cancelamos 14 anos de relatórios.”
A NSA admite que as empresas de tecnologia ficaram em situação difícil. “Nós temos um interesse em comum, na transparência”, diz Rajesh De. Segundo ele, a NSA está preparando seu próprio relatório, no qual irá revelar o número total de dados que coletou. Mas a agência se recusa a entrar em detalhes. Segundo ela, isso levaria os inimigos a migrar para os serviços menos monitorados.
Os oficiais dizem que não estão preocupados com o uso de criptografia pelas empresas de internet. “Nós aplaudimos o uso de criptografia”, diz Anne Neuberger. “Nós somos a favor da segurança.” Mas eles dão a entender que, se isso tornar mais difícil o trabalho da NSA, a agência poderá perder informações vitais para investigações.
A NSA insiste que, apesar do que dizem os documentos vazados por Edward Snowden, ela não pratica sabotagem dos softwares de criptografia. “Os padrões que nós recomendamos são os mesmos que usamos”, diz Ledgett. “Nós não usaríamos padrões [softwares] vulneráveis. Seria uma loucura.” Os oficiais não negam que a NSA explore brechas de segurança em softwares, mas dizem que fazem isso para o bem.
“Nós somos muito a favor da proteção”, afirma Ledgett. Ele cita um caso em que a NSA descobriu uma falha grave5 no software de uma empresa, que poderia afetar usuários em todo o mundo. “Nós conversamos internamente por alguns dias, e decidimos que aquilo era tão crítico, para os EUA, que resolvemos informar a empresa.”
Durante nossa conversa, os oficiais mal conseguiam conter a frustração que sentem com o jeito que têm sido encarados pelo mundo, e pelos americanos. Eles leram o texto escrito por um funcionário do Google, que lamentou a invasão praticada pela agência (“f***-se a NSA”, ele escreveu). Eles sabem que os jornalistas rotineiramente conversam sobre como se proteger da agência, como se estivessem vivendo na antiga União Soviética. E eles também sabem que vários experts de segurança das empresas veem o governo dos EUA como seu principal inimigo.
Mas os oficiais não enxergam nisso um motivo para parar de coletar dados. Eles atribuem toda a negatividade a um enorme mal-entendido. Os funcionários da NSA dizem que lidam com ameaças realmente perigosas, e ficam irritados quando as pessoas dizem que seu objetivo é roubar a privacidade das pessoas.
“É quase um delírio”, diz Ledgett. “Eu queria subir numa montanha, e gritar para as pessoas: vocês não são o alvo!”
O caso não é apenas um mal-entendido. É uma consequência do avanço inexorável da tecnologia digital. De certa forma, as empresas de tecnologia são parecidas com a NSA. Elas também aproveitaram avanços na computação para alcançar seus objetivos. (Se você parar para pensar, a missão original do Google, “coletar e organizar a informação do mundo”, também se aplica ao que é feito na agência.) Tanto a NSA quanto as empresas coletam enormes quantidades de informações pessoais – e oferecem em troca coisas que justificam essa prática. Google, Facebook e outros argumentam que podem usar as informações das pessoas para melhorar as vidas delas. A NSA acredita que é necessário explorar essas informações para evitar um novo 11 de Setembro, ou coisa pior. Ambos criaram mecanismos internos para evitar abusos, e dizem segui-los à risca. Quando cometem um erro, ambos prometem não repeti-lo – pelo menos quando o caso se torna público.
Ao longo dos últimos meses, o Congresso americano debateu uma série de leis6 para exigir mais transparência e supervisão da NSA, ou mesmo proibir a coleta maciça de informações. As empresas de tecnologia têm pressionado o Congresso a aprovar essas medidas. Em dezembro, elas escreveram uma carta aberta defendendo sua posição, que também reforçaram numa audiência com o presidente Barack Obama. No dia seguinte a esse encontro, a Casa Branca publicou um relatório de 300 páginas sobre as atividades da NSA. “Países livres devem se proteger”, diz o relatório, “e países que se protegem devem continuar livres”. O documento traz 46 recomendações, que incluem abrandar as atividades da NSA, ter maior transparência, só coletar dados em massa quando houver questões de segurança nacional envolvidas, e não empregar táticas hacker.
Mas grupos de defesa dos direitos civis ficaram decepcionados. Uma das sugestões do relatório é que as próprias empresas se encarreguem de separar os dados para o governo. Mas será que o Google, o Facebook e empresas similares querem ser vistos como ajudantes dos espiões?
Embora os programas da NSA tenham começado em governos anteriores, Obama já deixou claro que não irá acabar com eles. Nicole Wong, que é vice-diretora de tecnologia do governo americano (e ex-diretora de privacidade do Google), enfatiza as boas intenções da Casa Branca. “Nós estamos querendo evitar outro atentado como o da Maratona de Boston.”
Para algumas pessoas, os EUA se arrependeriam se limitassem as ações de espionagem. Nathan Myrvold, ex-diretor de pesquisa da Microsoft, recentemente escreveu um manifesto de arrepiar. O texto afirma que, diante da ameaça de ataques biológicos, nos quais terroristas poderiam matar uma boa parte da humanidade, medidas duras de vigilância não são uma ideia tão ruim assim. Myrvold diz que as empresas de tecnologia estão sendo hipócritas. Elas querem que a NSA pare de usar informações em prol da segurança nacional, mas fazem a mesma coisa em benefício próprio (pois exploram os dados de seus usuários para vender publicidade). “O custo disso (reduzir a espionagem) seria menos eficiência na luta contra os terroristas. Mais derramamento de sangue”, diz.
O governo também pensa dessa forma. Em um documento publicado em 2013, a administração Obama afirma que é válido monitorar as ligações telefônicas de todo mundo, pois o objetivo é “prevenir a perda de vidas, incluindo em escala catastrófica”.
Mas, mesmo se os programas de espionagem forem considerados válidos, e se houver medidas de controle sobre eles, ainda sobra um aspecto preocupante. A enorme quantidade de informação gerada por nossas atividades digitais sempre será vista como alvo pelos governos. Muita gente se acostumou com o chamado “pequeno irmão” – empresas que sabem o que nós compramos, onde estivemos, o que dissemos, e as pesquisas que fizemos na internet. Agora, o “grande irmão”, o Estado, também pode acessar esses dados. Não poderia ser de outra forma. A quantidade de informações que compartilhamos em nossos computadores, telefones e tablets é irresistível para um governo determinado a prevenir o próximo desastre, mesmo que isso signifique esticar as leis. E mesmo que isso transforme o governo em inimigo número 1 das empresas de tecnologia americanas.
“Eu fui ingênuo”, diz o programador Ray Ozzie, que ficou famoso ao criar o Lotus Notes (um dos primeiros softwares de e-mail) e por defender o uso de criptografia nas comunicações. “Eu sempre achei que os EUA fossem um pouco mais puros. Mas aí veio o despertar. Nós somos exatamente como todos os outros.”
5. HEARTBLEED
Megafalha de segurança que afetava mais de 60% dos sites da internet e foi revelada em abril de 2014. Segundo a agência de notícias Bloomberg, que cita fontes internas da NSA, a agência sabia da falha – e a explorava – desde 2012.
6. USA FREEDOM ACT
Em maio de 2014, o Congresso americano aprovou essa lei, que limita a capacidade da NSA de acessar registros telefônicos de americanos (o que só poderá ser feito com mandado judicial). A lei, considerada fraca por ONGs de direitos civis, não altera a espionagem contra outros países.