Democracias e regimes autoritários estão em uma corrida de vigilância em massa

• A vigilância estatal em massa se espalhou tanto em democracias quanto em regimes autoritários, e é criticada não só por violar direitos humanos e privacidade, mas também por ser ineficiente na solução de problemas reais
• O sistema de vigilância dos EUA, baseado em FISA Section 702, PRISM, Upstream e XKeyscore, permitiu acesso a enormes volumes de atividades na internet e metadados sem decisão judicial
• Na Europa e no Reino Unido, entram em choque a expansão da vigilância e a pressão pela proteção de dados pessoais, como em Tempora, na cooperação Fourteen Eyes, no chat control da UE, na vigilância por vídeo com IA da França e nos equipamentos de acesso a ISPs da Hungria
• Regimes autoritários usam censura e vigilância como instrumentos explícitos de governo; o SIAM do Iran, o SORM e Safe City da Russia, e o Great Firewall, Police Cloud, Sharp Eyes e Skynet da China são usados para controlar cidadãos
• Para proteger sociedades livres, é preciso distinguir claramente entre vigilância direcionada de suspeitos de crimes e vigilância em massa voltada à população inteira

Posição básica sobre vigilância em massa

• A vigilância em massa se divide em vigilância comercial e vigilância por Estados e governantes; ambas violam os direitos humanos individuais e a privacidade, que é base de uma sociedade livre
• A vigilância deve ocorrer como vigilância direcionada quando houver suspeita de crime, com decisão de um tribunal independente e proporcionalidade; a vigilância em massa da população inteira ou de cidadãos de outros países deve ser evitada
• Direitos humanos existem para proteger o indivíduo do Estado; como governos mudam e o poder pode tomar decisões equivocadas, o Estado não deve ter poderes incontroláveis
• Hoje, a vigilância em massa tem origens e formas diferentes em cada país, mas em grande parte opera por meio da infraestrutura global da internet

EUA: Section 702 e infraestrutura global de vigilância

• As revelações de Snowden em 2013 mostraram que autoridades dos EUA haviam vigiado centenas de milhões de pessoas no mundo todo
• A FISA Section 702 é uma lei que os EUA vêm renovando a cada 5 anos; foi criada sob a justificativa de interceptar estrangeiros, mas, pela própria estrutura da internet, pode levar à vigilância tanto de estrangeiros quanto de cidadãos norte-americanos
• Os documentos de Snowden mostram que a NSA coletava 200 milhões de mensagens de texto por dia ao redor do mundo e tinha capacidade para vigiar, na prática, quase todas as pessoas do planeta
• O XKeyscore era um banco de dados que cobria “quase tudo que um usuário comum faz na internet”, como e-mails, chats, mensagens privadas do Facebook, histórico de buscas e sites visitados
  • Analistas podiam ver a atividade online de uma pessoa específica usando termos de busca fortes, como endereço IP ou endereço de e-mail
  • Podiam criar listas de pessoas que demonstravam determinado comportamento na internet usando termos de busca fracos, como palavras-chave ou frases
  • As buscas podiam ser feitas sem decisão judicial ou aprovação de superiores dentro da NSA

PRISM, Upstream, TURMOIL, TURBINE

• A Section 702 permitiu que FBI, CIA e NSA acessassem grandes volumes de dados por meio do PRISM e do Upstream
• O PRISM era uma estrutura para acessar dados de empresas dos EUA como Microsoft, Yahoo!, Google, Facebook, Paltalk, YouTube, Skype, AOL e Apple
  • Em Permanent Record, Snowden escreveu que o PRISM permitia coletar e-mails, fotos, chats de vídeo e voz, conteúdo de navegação na web, consultas de busca e dados armazenados na nuvem
  • As empresas negaram que FBI, CIA e NSA tivessem acesso direto a seus sistemas e servidores, mas também houve a explicação de que, por lei, admitir envolvimento poderia ser ilegal
• O Upstream era um método de coleta de tráfego de internet por conexão direta aos backbones de operadoras de telefonia e internet dos EUA
  • Incluía empresas de telecomunicações dos EUA como a AT&T, e também houve revelações de que alguns fabricantes de roteadores haviam incorporado recursos de vigilância para a NSA em seus produtos
  • Snowden explicou que o Upstream capturava diretamente o tráfego que passava por satélites, cabos submarinos de fibra óptica, switches e roteadores
• TURMOIL e TURBINE eram usados para selecionar e atacar tráfego em larga escala
  • O TURMOIL marcava tráfego com base em endereços de e-mail, cartões de crédito, números de telefone, origem e destino geográficos, e palavras-chave como “anonymous internet proxy” e “protest”
  • O TURBINE enviava as solicitações marcadas para servidores da NSA, e algoritmos decidiam qual exploit do tipo malware usar
  • Quando o exploit entrava no computador, podia acessar não apenas metadados, mas também os próprios dados

Metadados e compra de dados comerciais

• Estados minimizam a vigilância em massa dizendo que “coletam apenas metadados”, mas metadados podem incluir histórico de visitas a sites e histórico de buscas
• Bruce Schneier explicou que metadados revelam amigos íntimos, relações de trabalho, interesses e alvos importantes; Stewart Baker, ex-consultor jurídico da NSA, disse que, com metadados suficientes, o conteúdo se torna desnecessário
• Metadados também podem ser usados para identificar jornalistas que criticaram o aparato de vigilância dos EUA
  • Laura Poitras e Glenn Greenwald, contatados por Snowden, criticaram a NSA e sofreram prejuízos pessoais
  • O GCHQ interceptou e-mails de jornalistas do New York Times, Le Monde, Washington Post e outros veículos, e classificou jornalistas investigativos como ameaças equivalentes a terroristas e hackers
• O aparato de vigilância dos EUA foi usado não apenas contra terroristas e criminosos, mas também para espionagem industrial, contra organizações de direitos humanos como Amnesty e Human Rights Watch, para monitorar 70 milhões de chamadas mensais na França e para vigiar políticos e líderes mundiais
• Mais recentemente, também veio à tona que órgãos dos EUA, como o FBI, compraram dados coletados de data brokers
  • Dados que seriam constitucionalmente problemáticos se coletados diretamente por uma agência podem ser obtidos por outra via quando comprados comercialmente
  • Um consultor do governo dos EUA descreveu o ecossistema de tecnologia de publicidade como “a maior empresa de coleta de informações já concebida pela humanidade”
  • Michael Morell, ex-diretor da CIA, disse que, se informações comercialmente disponíveis tivessem sido coletadas por métodos tradicionais de inteligência, elas seriam tratadas como informações sensíveis ultrassecretas

Debate sobre a renovação da Section 702 e expansão em 2024

• A Section 702 voltou ao centro do debate sobre renovação em 2023, e a Câmara dos Representantes não conseguiu aprovar o projeto de extensão em três ocasiões, adiando a decisão para a primavera de 2024
• Entre as principais emendas propostas estavam exigir autorização judicial para vigiar cidadãos norte-americanos e impedir a abouts collection, que também mira comunicações em que o alvo é apenas mencionado
• No fim, Câmara e Senado aprovaram a extensão da Section 702, mas ela foi reduzida de uma renovação típica de 5 anos para uma extensão de 2 anos
• Ao mesmo tempo, a lei foi ampliada, aumentando o conjunto de empresas e organizações que podem ser obrigadas a cooperar com a vigilância em massa de órgãos governamentais
  • A nova definição pode incluir entidades com acesso físico à infraestrutura de comunicação alvo, como roteadores
  • O senador Ron Wyden chamou isso de “dramático e terrível”, e Edward Snowden disse que “a NSA está tomando conta da internet”

Reino Unido, Fourteen Eyes e o debate sobre localização de VPNs

• O Tempora, do GCHQ britânico, conectava-se diretamente à rede de fibra óptica entre EUA e Europa e acessava o tráfego de internet dos dois lados do Atlântico
• Em 2013, 300 funcionários do GCHQ e 250 funcionários da NSA analisavam os dados recebidos usando 40 mil gatilhos-chave, e 850 mil funcionários da NSA podiam acessar o sistema britânico
• O Tempora processava 600 milhões de eventos telefônicos por dia e outros tráfegos por 200 cabos de fibra óptica; Snowden o chamou de “o maior programa de vigilância sem suspeita da história da humanidade”
• O Five Eyes começou como uma aliança de interceptação eletrônica entre Australia, Canada, New Zealand, UK e USA, e as revelações de Snowden expuseram a expansão para o Fourteen Eyes, incluindo Belgium, Denmark, France, Germany, Italy, Netherlands, Norway, Spain e Sweden
• Afirmar que um provedor de VPN é melhor por estar fora do Fourteen Eyes ignora que o tráfego de internet atravessa várias fronteiras e infraestruturas
  • O objetivo de uma VPN é criptografar o tráfego para dificultar sua leitura mesmo que autoridades estejam conectadas a cabos de fibra óptica
  • O que importa na localização de um provedor de VPN não é o acordo entre agências de inteligência em si, mas as leis do país que obrigam retenção de logs e fornecimento de dados
  • A lista de 14 países se baseia em revelações de mais de uma década atrás, e provedores de VPN não têm como saber o número e o escopo atuais dos países participantes

Fluxos contraditórios na Europa

• Em 2018, a Corte Europeia de Direitos Humanos decidiu que o Tempora era ilegal e incompatível com os requisitos necessários em uma sociedade democrática; em 2020, um tribunal dos EUA decidiu que a vigilância da NSA sobre centenas de milhões de pessoas era ilegal e inconstitucional
• Dentro da UE, há decisões de tribunais superiores que consideram ilegal a vigilância em massa e uma tendência de pressionar big techs por meio de regulações como o GDPR
  • Até agora, o GDPR gerou principalmente multas simbólicas e piora na experiência com cookies, mas começou a exercer pressão real sobre empresas como Meta e Google
  • Continua existindo o risco de empresas de tecnologia criarem novas formas de coleta de dados
• Do outro lado, a França tenta introduzir vigilância por vídeo com IA, e a Hungria instalou caixas-pretas que permitem acesso a redes de ISPs e ao comportamento de usuários na internet sem decisão judicial
• A proposta de chat control da UE pode levar a uma vigilância em massa próxima de uma proibição total da comunicação privada
• O rascunho do Online Safety Bill do Reino Unido é tratado como uma iniciativa para enfraquecer o tráfego criptografado, que se tornou mais amplamente usado após as revelações de Snowden
• O spyware Pegasus foi usado na Europa e em outras regiões para mirar opositores, ativistas políticos e jornalistas

Vigilância e censura em regimes autoritários

• Há mais de 4,5 bilhões de usuários de internet no mundo, e 76% deles vivem em países que prendem pessoas por escrever online sobre questões políticas, sociais ou religiosas
• Em regimes autoritários, VPNs não são apenas um meio de reduzir a vigilância em massa, mas também ferramentas para acessar uma internet livre e sem censura
• O Iran bloqueia completamente a internet ou usa o SIAM para controlar, filtrar e vigiar o uso de celulares por meio de redes móveis
• O governo do Egypt vigia jornalistas, ativistas e advogados, e autoridades do Morocco usam o Pegasus para vigiar organizações de direitos humanos
• O FSB da Russia vem usando o SORM para grampear chamadas telefônicas e ler e-mails e mensagens, enquanto o Safe City de Moscow combina centenas de milhares de câmeras de vigilância, reconhecimento facial e monitoramento de dados móveis
  • O Safe City é usado para rastrear e prender manifestantes, opositores políticos e jornalistas
  • Em um mercado digital clandestino chamado Probiv, funcionários corruptos ou insatisfeitos vazam dados de bancos de dados de vigilância em massa
  • Como resultado, informações sobre pessoas muito próximas de Putin também passaram a poder ser compradas por pequenas quantias, sendo usadas por opositores, estrangeiros e jornalistas investigativos

China: Great Firewall, Police Cloud, Sharp Eyes, Skynet

• A China controla quais sites são acessíveis para 750 milhões de usuários de internet, bloqueia serviços de VPN e exige registro com nome real para publicar conteúdo
• Redes sociais e apps de mensagens são monitorados pelo Estado, apps estrangeiros são proibidos, e até o TikTok, criado na China, tem uma versão separada que bloqueia conteúdo internacional
• Todos os celulares são monitorados continuamente por dados de localização, e provedores de serviços de internet devem cooperar com o Estado
• O Great Firewall of China controla e censura a experiência de internet dos chineses, e, já em 2013, 2 milhões de “analistas de opinião pública na internet” censuravam manualmente mensagens online
• “public opinion analysis software” coleta dados e reage a “materiais sensíveis” usando IA
  • Continuam ocorrendo casos de ativistas, jornalistas e cidadãos comuns presos por criticar a China online
  • Insultar “heróis e mártires” pode levar ao risco de pena de 3 anos
• O Police Cloud é um sistema baseado em big data que visualiza fluxos e relações ocultas, cria mapas de relacionamento e registra “opiniões extremas”
• A China coleta impressões vocais, instalou mais da metade do 1 milhão de câmeras de vigilância do mundo e adotou não apenas reconhecimento facial, mas também tecnologia de identificação de emoções
• O documentário Total Trust aborda como 4,5 milhões de “grid officers” mantêm registros de comportamento dos moradores por área
  • O Sharp Eyes combina câmeras de vigilância do governo e denúncias de vizinhos feitas por “voluntários”
  • O Skynet monitora, por meio de inúmeras câmeras de vigilância, ruas, áreas ao redor das casas de pessoas classificadas como alvos de vigilância, escadas e entradas
  • IA biométrica, como reconhecimento facial, ocular e de voz, e monitoramento de comportamento online são combinados com deslocamentos no mundo físico
• Na 709 Crackdown de 2015, centenas de advogados de direitos humanos foram presos e torturados, e mesmo os que não foram presos continuaram sob vigilância

Vigilância em massa e os limites de uma sociedade livre

• Regimes autoritários usam vigilância em massa como ferramenta de controle para perseguir opositores, censurar informações e reprimir protestos
• Democracias exibem menos a vigilância em massa e seus danos tendem a ser menos severos, mas há casos de uso em eleições e na vigilância de jornalistas e opositores
• Vigilância em massa é controle, e está no lado oposto da liberdade
• Como uma sociedade livre pode perder esse status em algum ponto, é necessário lutar para proteger uma internet livre