Na última sexta-feira (21), a Apple perdeu uma batalha que vinha lutando, há anos, contra autoridades de segurança do Reino Unido, mas com a qual todos que vivem o dia a dia de cibersegurança já lidam há décadas: a fabricante teve que desativar seu mecanismo de criptografia de ponta a ponta no iCloud, criando uma porta dos fundos (backdoor) para que investigadores possam conduzir suas diligências nos arquivos e na comunicação alheia.

Desde o momento em que o criptógrafo Phil Zimmermann tornou público o software de criptografia PGP (e quase foi preso por isso), as autoridades pressionam fabricantes de tecnologia por meios de acesso privilegiado à comunicação criptografada de todas as pessoas que usam tais produtos e não é surpreendente que, dentre as democracias ocidentais, esse precedente fosse aberto no Reino Unido, um país em que não há como se tirar uma meleca do nariz em um local público sem que sua textura, cor e tamanho sejam captados por pelo menos uma câmera.

Em debates que podem envolver gente esclarecida (ou não) este paradoxo é discutido sempre: será que o Estado pode enfraquecer a segurança de todos de modo a, supostamente, permitir a investigação de uma minoria?

Para falar disso, temos que discutir uma das propriedades mais intrigantes da informação, algo que até é chamado de uma “vontade”, a vontade de ser livre.

Foi numa roda de conversa com o Steve Wozniak, um dos fundadores da Apple, em uma conferência chamada The Hackers Conference de 1984, (Woz, Apple, 1984, quantas coincidências?) que o escritor Stewart Brand, hoje com 86 anos, soltou uma frase que ecoa até hoje no universo do hacking: “information wants to be free”.

Muita gente se apropriou da ambiguidade presente no fato de a palavra free significa tando “livre” quanto “de graça” e usou o “information wants to be free” quase como um grito de guerra em campanhas em defesa do Wikileaks e de seu fundador, Julian Assange. No entanto, Brand tá discutindo mesmo é valor e preço nessa conversa e depois, em 1987, ele publica mais um registro disso no livro “The Media Lab: Inventing the Future at MIT” dizendo que a informação quer ser gratuita porque se tornou muito barato distribuí-la, copiá-la e remixá-la, mas ela também pode querer alcançar um valor imensurável, por exemplo, para o Estado, que precisa proteger os dados de operações de inteligência ou para você, que busca cuidar das conversas mais intimas que tem com as pessoas que ama.

Mas vejam que, dentre das razões em que se expressa essa vontade de gratuidade - falo da facilidade em copiar, remixar e distribuir - estaria a vontade (ou talvez o ímpeto) de liberdade da informação. Isso porque nós criamos tantas ferramentas maravilhosas para o compartilhamento e a remixagem que é necessário ter um batalhão de pessoas e tecnologias para criar comportas que evitem o vazamento da informação. Tentar protegê-la de todos os ataques possíveis é caríssimo e impossível. Assim como a água, sua tendência é escorrer, evaporar e virar água novamente em outro lugar. Esta é a pedra de Sísifo que todos os que trabalham com segurança da informação precisam carregar morro acima todo santo dia.

Mas há uma coisa que nos ajuda muito a lidar com essa falibilidade certeira em proteger a informação. Algo que nos permite dificultar o vazamento ou, pelo menos, empurrar o problema para os próximos anos ou gerações. Essa ferramenta reside na matemática e é expressa em uma ciência com uma beleza que a equipara à arte: a criptografia.

Ao criptografar uma informação adequadamente usando uma fórmula (algoritmo) decente - e cujas melhores do mundo são abertas para qualquer pessoa olhar, procurar defeitos e melhorar - nós podemos impedir que qualquer um a acesse, exceto quem tem as chaves pra isso. É como se você pegasse um bife Ancho, colocasse num moedor de carne e houvesse um mecanismo mágico que tornasse essa carne moída indistinta em Ancho novamente a ser comido por quem tiver os meios pra isso. A matemática garante o funcionamento da operação com equações públicas.

Inserir um backdoor nesse engendro, para além das questões do direito, as quais não domino, por isso não vou abordar aqui, é plantar uma falha na contenção que só favorece o ímpeto da informação querer ser livre. No caso da Apple, para respeitar a justiça britânica, a empresa teve que desativar o mecanismo Advanced Data Protection (ADP) no iCloud, algo que foi desenvolvido para fornecer criptografia de ponta a ponta na maioria dos dados presentes na nuvem da Apple, tais como backups, fotos, notas e mensagens, garantindo o acesso apenas aos usuários, mesmo que ocorra um ataque nos sistemas da fabricante.

No Reino Unido, as novas instalações terão o recurso desativado e a população do país que eventualmente o ligou terá que desativá-lo manualmente para cumprir a lei, pois a Apple não possui o acesso arbitrário aos aparelhos para fazer tal modificação em suas configurações.

Então, ao se perguntar se o Estado deve enfraquecer a minha e a sua segurança para que ele possa ir “atrás dos bandidos” tendo em mente essa propriedade da informação, é necessário ter uma dose elevada de confiança no sistema que orquestra as atividades do Estado. Por exemplo, podemos confiar no sistema de trânsito, se todo mundo respeitar as regras, poucos acidentes acontecem e há, até, muitas chances de nosso trajeto ser mais rápido. Agora lembre-se de como foram suas horas de trânsito nos últimos sete dias. Ao enfraquecer a segurança de todos, considerando como as pessoas (do Estado ou não) “dirigem”, o vazamento, que é atrasado com a criptografia, tem o potencial de se antecipar sem ela.

Este é o nó que tentamos desatar há décadas: a autoridade chega para o pessoal de criptografia e diz, “olha aqui seus nerds, vocês estão protegendo criminosos como pedófilos e terroristas com essa criptografia” e quem compreende bem tudo isso que eu tentei explicar aqui acaba educadamente (ou não) respondendo “eu tô numa luta danada pra proteger também sua mãe; suas crianças; as evidências daquele caso que você tem com uma amante; a comunicação que sua esposa teve ontem com a médica dela que disse que ela tá grávida; as conversas e fotos que vocês trocam naquele grupo ‘só dos brothers’ e todo rastro de comunicação que indica que o teu filho ama um menino da escola e morre de medo de você saber disso… Ou seja, há “zigalhões” de tons de cinza nesse assunto e o seu argumento força o extremo dele para tentar me convencer de que a saída é criar rachaduras na represa para beneficiar todos que estão no caminho da água. E a garantia de que tudo vai dar certo é ‘o devido processo legal’? Me desculpe se sou um tanto cético quanto a isso”

É… Há muito em jogo, mas a gente precisa achar outros caminhos para se ajudar, porque esse, definitivamente, não é o que promove segurança para as pessoas, pelo contrário. Information wants to be free.

No Horizonte

1. A vulnerabilidade CVE-2025-0111, que afeta firewalls da Palo Alto Networks está sendo explorada em ataques, afirmou a fabricante do equipamento. A falha permite ler arquivos sensíveis no dispositivo, como arquivos de configuração e o problema tem sido explorado por meio da combinação desta com outras duas falhas: a CVE-2025-0108 e a CVE-2024-9474 que , respectivamente, permitem burlar a autenticação e escalar privilégios.

   Correções para a CVE-2025-0111 e para a CVE-2025-0108 estão disponíveis desde o dia 12, já a CVE-2024-9474 foi corrigida em novembro do ano passado.

2. O Ronaldo Vasconcellos montou um bom panorama sobre o incidente que afetou o Banco Neon, o qual ganhou grande alcance na mídia e em todas as conversas do pessoal de segurança após a publicação das matérias do Felipe Payão na TecMundo. Vale a leitura. Aliás, sugiro assinar a newsletter do Ronaldo e nem preciso recomendar o trabalho do Payão, pois o cara tem mais audiência do que eu terei um dia.

3. O grupo russo Storm-2372 está coletando códigos de dispositivo (device codes) para invadir redes Windows, afirmou a Microsoft. Eles usam técnicas de phishing em conversas online para enganar as vítimas e obter esses códigos, que dão acesso às suas contas. O método de ataque pode ser copiado por outros grupos, representando um risco geral para organizações de todo o tipo.

   Device code é um código numérico usado na autenticação em redes Windows em situações nas quais o dispositivo possua limitações de teclado. Por exemplo, quando se busca fazer o logon em uma TV. Este é um método de autenticação muito comum em serviços de streaming. Se sua organização não usa esse tipo de configuração, desative-a. Instruções sobre como fazer isso aqui.

4. Duas vulnerabilidades foram descobertas no OpenSSH, uma implementação muito popular do protocolo SSH, que fornece criptografia de modo a proteger o acesso remoto a tecnologias das mais variadas.

   As falhas foram descobertas por pesquisadores da Qualys. A primeira delas, catalogada como CVE-2025-26465, existe há 11 anos e possibilita, em condições específicas, a interceptação da comunicação. Já a segunda, a CVE-2025-26466, pode exaurir a capacidade do computador, o levando a uma condição de travamento denominada negação de serviço

Link aleatório

Um quântico diferente. A Microsoft anunciou o desenvolvimento de um processador de computação quântica chamado Majorana 1, que utiliza “quasipartículas” para criar qubits mais estáveis e escaláveis. Esse é um caminho alternativo ao que outras empresas estão trilhando para gerar qubits. Confesso que nunca tinha ouvido falar de quasipartículas e agora fiquei fascinado pelo tema.

Tão pequeno e tão grande. Um grupo de pesquisadores da Universidade de Chicago, que inclui o brasileiro, Leonardo V. S. França, cria da UFRN, desenvolveram uma técnica para armazenar dados em cristais, permitindo acumular terabytes de informações em um cubo de apenas um milímetro. “Encontramos uma maneira de integrar a física de estado sólido aplicada à dosimetria de radiação com um grupo de pesquisa que trabalha fortemente com quântica, embora nosso trabalho não seja exatamente quântico”, disse França. “Há uma demanda por pessoas que estejam fazendo pesquisas sobre sistemas quânticos, mas, ao mesmo tempo, há uma demanda para melhorar a capacidade de armazenamento de memórias clássicas não voláteis. E é nessa interface entre o armazenamento de dados quânticos e ópticos que nosso trabalho se baseia.”

O jogo é go, não xadrez. O podcast diário What’s News do Wall Street Journal, começou uma série de episódios especiais, a serem postados aos domingos, sobre a estratégia chinesa de construir influência por meio do investimento em infraestrutura mundo afora, algo que envolve mais de um trilhão de dólares em projetos em 150 países.

A triste Alemanha. Na outra ponta da corda, a Alemanha vive o seu pior momento econômico em décadas com sua infraestrutura degradada e sua influência tão abalada que a situação vem dando combustível para ideias que vão desde a “DOGEficação” do Estado à saída da União Européia. O The Journal da sexta passada discute o que a eleição que acontece enquanto eu escrevo essa TLP Black pode representar para o futuro do país e da Europa.

Dane-se a influência. Em um movimento semelhante ao feito na conferência sobre IA, que abordei na TLP Black da semana passada, o vice-presidente dos EUA, JD Vance, foi à conferencia de segurança de Munique, na Alemanha, e deixou claro que o seu país não quer mais pagar pela influência que já teve na Europa e se isso pode colocar o continente em uma situação de vulnerabilidade, sobretudo perante aos russos, isso não é um problema da administração Trump. O The Intelligence discute isso.

E esse robô pistola…

Nota: No final de semana que vem, eu estarei totalmente dedicado às minhas atividades carnavalescas. Então não vai ter TLP Black. Se você também é do carnaval, estiver e São Paulo e apreciar a obra do mestre Gilberto Gil, convido a assistir a apresentação do bloco em que eu toco, o Filhos de Gil. Data, hora e endereço: nesse link.