O cadeado e o ladrão

Você sabe que sua privacidade não tem mais tanto valor quando insiste em um serviço de correio gratuito que pertence a uma empresa que vive de indexar dados para torná-los rentáveis sob a foram de anúncios direcionáveis. Claro que eles alegam que não lhe entregam de bandeja para terceiros, mas, ainda assim, eles têm um esquema que, grosso modo, funciona como “olha, eu tenho aqui um cara que gasta uma grana com bichos, posso lhe vender espaço para anunciar seu pet shop pra ele.” O anunciante provavelmente não tem a menor ideia de quem é você, mas o duplo cego funciona para todos eles. Você não ganha nada, mas acha que sai no lucro porque o serviço deles é muito bom e permite achar coisas que, num cliente de correio normal, seria uma zona. E isso é apenas um exemplo. Tem mais por aí.

Privacidade, criptografia de dados pessoais, medidas de segurança. Assunto enfadonho pra quem tem necessidade estratégica, assunto ridículo e desnecessário para o usuário doméstico. Não, não é. Um pouco mais de atenção ao assunto cai bem, porque nós estamos deixando as empresas que vivem de data mining nos tratarem como os portugueses trataram os índios, com espelhinhos e miçangas. Estamos abaixando as calças pra essas empresas em troca de poder “dividir nossas vidas com outras pessoas.” Gente que, via de regra, é legal encontrar ao vivo, mas que é coisa da qual fugimos de maneira indelével, porque a distância do computador é reconfortante e poder dizer “oi” sem ter de olhar na cara da pessoa é muito cômodo. É o parente que mora longe e que nunca vem lhe visitar. E, exatamente por isso, você o adora. E termina expondo coisas que você deveria considerar itens de segurança a serem ocultados. Tem gente que chega ao absurdo de deixar dados postais, email, telefone, em perfil de rede social, aberto pra quem quiser ver. Tem gente que dá o celular pessoal numa conta de twitter aberta. No maior sentimento de “que que tem?”, sem dar conta da gravidade da situação.

As senhas são a maior prova disso. A despeito das recomendações de usar caracteres não alfanuméricos, alfanuméricos, maiúsculas e minúsculas, tudo misturado, o que é razoavelmente seguro, a maior parte das pessoas bota senha com nome de cachorro, aniversário do cônjuge e outras coisas que, bem, teria sido mais discreto se ele pegasse um megafone e anunciasse na feira. É importante ter em mente que você NÃO SABE quem, além de você, lê aquilo que entra e sai de seu correio, de seus perfis sociais, da sua vida digital. Até banco, que é criptografado e supostamente seguro – e boa sorte e uma luva de amianto a quem puser a mão no fogo pelo sistema bancário – está fortemente sujeito a esse tipo de invasão. Não vim bancar teórico da conspiração, eles acham que a gente precisa andar com escudo eletromagnético na cabeça porque o governo está lendo nossas mentes. Mas alguém está lendo o que você faz. E, em dado momento, isso será usado contra você.

Existem soluções para esse tipo de problema, e elas passam por criptografia avançada. Infelizmente, coisas como o PGP ou o Truecrypt não são exatamente palatáveis para o usuário médio. Eu diria que não são palatáveis, e pronto. São complicadas de implementar, requerem um cliente de email (PGP) ou aplicativo compatível e, no caso do Truecrypt, montar e desmontar o arquivo contendo o sistema de arquivos encriptado antes e após o uso. Não é prático. É fácil de fazer pra um geek, um nerd, um tecnômano, mas o cara que nunca passou da camada de interface de usuário de seu computador… pra ele, essas tecnologias são um mistério envolto num segredo. Quase um palavrão. Eu não vou comparar à interface gráfica do Linux, que, quinze anos depois do primeiro beta do KDE, ainda não me parece realmente pronta (ops, já era), mas a intuitividade pro leito, na proteção de seus dados, é inexistente.

Então, ontem saiu na Slashdot uma menção a uma empresa chamada Silent Circle, que promete começar a vender, em breve, um pacote de serviços a US$20/mês que oferece serviços criptografados de e-mail, VoIP, video conferência e mensagens de texto. Quem está por trás da empresa é o criador do PGP, Phil Zimmermann, junto com mais alguns ex-militares especializados em segurança de telecomunicações. E eles já anunciaram que sua base de servidores necessários para manter o serviço funcionando ficará no Canadá, que tem leis mais afeitas à preservação da privacidade. O serviço não deve ir ao ar antes de setembro próximo, mas se for algo transparente para o usuário, como eles dão a entender ao exibir um iPhone com a marca da empresa estampada na tela, pode ser aquilo que muita gente vem procurando. Claro que vai ter gente torta fazendo mau uso disso porque sempre tem. Sempre vai ter, e em qualquer área da vida. Mas poder manter nossas coisas privadas, bom… privadas, eu devo dizer que vinte dólares por mês é um preço honesto. E se incluir um gerador/gerenciador de senhas cross-platform com criptografia pesada, tanto melhor.

Enfim. Eu li por esses dias que privacidade é, hoje, um conceito de mídia, um commodity, uma ilusão, e, francamente, um monte de coisas mais que eu até preferi não reter na memória. Um festival de besteiras que daria urticárias no cadáver de Stanislaw Pont Preta. O que posso dizer é que existem interesses, óbvio, tentando nos fazer abrir mão de nossas liberdades civis, a começar pela privacidade. E que iniciativas com o Silent Circle mostram que a coisa não é como a mídia e meia dúzia de colunistas de idoneidade duvidosa vêm alardeando. Enquanto isso, já que não dá pra achar um caderninho de senhas criptografado decente e que seja cross-platform, pra funcionar no telefone e no computador, sem depender da nuvem pra isso, enquanto coisas desenhadas para guardar tudo o que você tem de dados, como o Evernote, oferecer um sistema de encriptação tão porco que só funciona no PC/Mac e nos móveis ele só decripta pra leitura (e recebi uma alegação de que o iOS, por exemplo, não permite encriptação, mesmo existindo programas que fazem precisamente isso), o jeito é confiar no velho bloquinho de papel bem guardado em sua gaveta. Eu vou aguardar o Silent Circle e vou testar. Depois digo o que achei.

Os tentáculos do Google

Na semana passada, a exemplo de outros serviços online, o valor de mercado do Evernote atingiu a cifra de um bilhão de dólares. Hoje, o Google anunciou o Drive, seu serviço de armazenamento online. Embora as duas coisas aparentem não ter relação, não é bem assim que a banda toca. E o mesmo motivo dessa relação ser algo indelével é o que a torna preocupante.

Se você é profissional liberal, criador de conteúdo, analista de dados, ou simplesmente trabalha diretamente com computadores e/ou internet, você muito provavelmente nem nega que depende de computadores e, mais provavelmente ainda, surta quando fica sem conexão com a rede. A onda de serviços “na nuvem”, os discos virtuais, o Office 365, Google Docs, tudo isso está alçando o computador à condição de terminal burro de luxo. Não, eu nunca usei terminais burros, mas conheço gente velha, do tempo em que trote cruel era embaralhar os cartões perfurados dos calouros. Acredito que o equivalente disso seria trocar a senha do GMail do infeliz quando ele esquecesse o navegador logado. Apagar arquivos se o disco virtual oferecer serviço de recuperar backup também dá um bom susto. Não, você não leu isso aqui. Se feder, é problema seu.

Qual é, afinal, a relação do Drive, um disco virtual, com o Evernote? O Google. Se estivéssemos falando do Instagram, seria o Facebook. Empresas que vivem de vender informação. Tanto o Google quanto o Facebook usam seus dados e hábitos para lhe oferecer coisas – e sabe mais lá o que. O Google, quando unificou seus termos de serviço e a política de privacidade, definiu:

Informações que partilhamos
Não partilhamos informações pessoais com empresas, organizações e indivíduos externos à Google, exceto nas seguintes circunstâncias:
(…)
  • Para processamento externo
    Fornecemos informações pessoais às nossas filiais ou outras empresas ou pessoas fidedignas para efeitos de processamento, com base nas nossas instruções e em conformidade com a nossa Política de Privacidade e quaisquer outras medidas de segurança e confidencialidade aplicáveis.

Baseado, claro, nos critérios deles.

A política de privacidade mais recente do Evernote, em vigor desde novembro de 2010, dá à empresa o direito de coletar e usar (dentro do escopo da atividade deles) alguns dados seus, mas nenhum dos seus dados. Ou seja, eles não podem usar nada do que você guarda em seus cadernos para o que quer que seja. E isso é importante, porque pode ter conteúdo sensível ali, trabalho em andamento, esse tipo de coisa. Como o Google Drive, o Evernote (na versão paga) oferece serviço de reconhecimento de caracteres em imagens e PDFs contendo imagens, de modo que você pode pesquisar por palavra-chave. Mas seu trabalho não vira isca de anunciante, e isso é importante.

Não se trata de demonizar o Google. É uma empresa, não uma caridade, e é o negócio deles. Use ou não use, é problema seu. Mas é importante ter isso em mente antes de colocar algo sensível ali dentro. Pelo menos, use um disco virtual encriptado, como o TrueCrypt, se não houver jeito. Bom, isso depois do Drive aceitar qualquer arquivo, porque, diferente dos concorrentes (Dropbox, Skydrive, Sugarsync, etc), ele só aceita certos tipos. São muitos, mas só aqueles, possivelmente os que o Google está preparado para processar e escrutinar atrás de algo que lhes valha. O famoso serviço de indexação da empresa é fantástico, sim, mas veja isso como a malha de satélites GPS: o número de satélites que o governo dos EUA tornou disponível para uso público não é, nem de perto, o que está disponível para uso militar.

Aí, fica pra cada um pensar. Se o Evernote fosse comprado por uma empresa que vive dos seus dados, você ainda o usaria? Eu uso, acho fantástico e faço propaganda de graça deles apenas porque o serviço é bom, mas, com a notícia da Veja sobre seu valor de mercado, se ele for comprado por um Google ou um Facebook da vida, apago minha conta no mesmo dia. Claro, os termos de serviço não mudariam, não de saída. Mas o Skype era gratis, agora é “gratis”. O dono influencia, mesmo que diga que não. E eu não deixaria meu trabalho na mão de uma empresa cujo modelo de negócio envolve espiar os dados dos clientes para lhes vender coisas.