Entrevista de domingo: “Diversidade na rede ajuda a deixá-la segura”, diz Jacob Appelbaum, do Tor Project

Até meados de 2013, a rede de anonimato Tor – sigla para The Onion Router – era pouco conhecida. Mas quando o esquema de espionagem praticado pela NSA veio à tona, mais de 1 milhão de usuários a adotaram em questão de meses, buscando a proteção para dados de navegação.

O pesquisador e hacker Jacob Appelbaum é um dos membros principais do Tor Project, responsável pelo desenvolvimento do sistema. Norte-americano de origem, o também ativista vive hoje na Europa, fugindo da insegurança dos EUA. Nas fronteiras do país, ele já foi preso uma dúzia de vezes por seu envolvimento com o projeto, com o Wikileaks e com o ex-funcionário da NSA Edward Snowden.

O risco de ser abordado por autoridades ainda persiste em viagens, no entanto. Mas mesmo com isso, Appelbaum arriscou vir ao Brasil na última quinta-feira para participar de um debate no ArenaNETmundial, no qual discutiu privacidade, vigilância e espionagem. Após a apresentação, o agitado hacker conversou com exclusividade com INFO. Na entrevista, falou um pouco sobre a rede Tor, o OpenSSL e o futuro do projeto. Confira a seguir.

Por anos, a NSA tentou invadir e quebrar a segurança da rede Tor, e acusação similar caiu sobre o FBI no último mês de agosto. Diante de tantas tentativas, que medidas a equipe por trás do Tor Project tem tomado para manter a rede anônima e protegida?

Primeiramente, nós precisamos de pessoas usando o Tor. A diversidade na rede ajuda a garantir a segurança dela, que nesse caso, significa anonimato. Nós também trabalhamos duro para alterar o código-fonte do Tor, do Firefox e de todos os componentes relacionados ao Bundle. Claro, sempre há problemas, mas o software livre permite que nós os corrijamos assim que são detectados, além de encorajar as pessoas a aprender mais sobre esses problemas, a estudá-los e mudá-los. Algo que é um dos princípios do open source. Então o que fazemos é produzir software livre, publicá-lo, anunciá-lo e assiná-lo com GPG, para que as pessoas o baixem e se certifiquem de que é o programa certo.

É claro que há gente tentando atacar a rede Tor – governos e corporações tentam bloquear o acesso a ela, assim como interceptar o tráfego. No entanto, até onde sabemos, a própria NSA admitiu que nosso anonimato é “inquebrável”. Ainda assim, não é perfeito, e nós sempre podemos fazer melhor. Mas de qualquer forma, parece que estamos fazendo tudo certo, conforme mostram os fatos.

O OpenSSL, também aberto, não era perfeito assim como o Tor, e vimos o que aconteceu com o Heartbleed. Como garantir que o mesmo não ocorra com a rede de anonimato?

Pense dessa forma: que sistema está melhor que o nosso atualmente? Quase nenhum. Temos implantados protocolos para criptografia Forward Secrecy, Forward Secrecy TLS, o próprio Tor, todas essas camadas de segurança... Tudo faz parte do conceito de Defense in Depth [em resumo, o uso de diferentes camadas para garantir que, caso uma falhe, a proteção não seja comprometida. Dá para entendê-lo melhor neste documento PDF, em inglês]. Ele nos ajuda a lidar com problemas e a entender que mesmo algo como o Heartbleed não representa um colapso completo.

Ainda sobre o OpenSSL, o que achou da notícia de que grandes empresas começarão a colaborar com a OpenSSL Foundation?

É fantástico, e espero que eles coloquem dinheiro não só no desenvolvimento do software, como também na busca de bugs. Espero também que eles façam avaliações de segurança para o programa e que realmente trabalhem para melhorá-lo. Mas é bom que eles também se esforcem para parar a NSA e outras agências de espionagem, que estão tentando sabotar nosso software livre e nossa infraestrutura crítica na internet. Em resumo, estou feliz que isso tenha começado. Mas espero que não pare por aí, que isso vá muito mais longe.

Em março, vimos no cronograma do Tor Project uma ferramenta de chat anônimo, chamada de Tor Instant Messaging Bundle. Como anda o desenvolvimento dela?

Nós tivemos uma solução parecida há algum tempo, mas paramos de produzi-la porque havia muitas vulnerabilidades no Pidgin, que nós usávamos como base [mais ou menos como o Firefox é usado no Tor Browser Bundle]. Decidimos então que era importante esperar para fazer um mensageiro do jeito certo. Basicamente, o novo também é um bundle [ou “pacote”, como o que traz o navegador] que funcionará dentro da rede Tor, e acho que, potencialmente, ele será ainda melhor que o antigo, mais fácil de ser usado. Fizemos muito progresso na parte da integração da aplicação com o Tor, mas ainda é algo novo, e não está pronto para produção. Ainda há muito que fazer, como integrar com OTR [protocolo off-the-record, para mensagens anônimas], assegurar que a interface do usuário é consistente, segura, e por aí vai.

E quanto a um possível “Tor Messenger” para sistemas móveis, como Android ou Cyanogen?

Bem, o ChatSecure já é uma alternativa muito boa, feita pelo Guardian Project. Eles produzem também o Orbot, projeto que eu e o Nathan [Freitas, desenvolvedor no Guardian Project] escrevemos originalmente há anos. E ainda há vários outros aplicativos não relacionados diretamente com a gente, mas nos quais foram implantadas essas mesmas funcionalidades, como o TextSecure e o RedPhone, por exemplo.