rmr

A UFRJ, universidades e escolas pelo país vêm anunciando, emergencialmente, a adesão a plataformas de ensino à distância. É preocupante que a universidade opte por aderir a essas plataformas privadas de ensino, especificamente Google e Microsoft, ignorando a capacidade técnica da universidade.

Na última década, intensificou-se o desmonte da universidade e consequente diminuição das verbas destinadas ao custeio, atingindo, entre outros, a manutenção de sua infraestrutura tecnológica. As gestões das universidades e suas unidades passaram a, acriticamente, terceirizar seus parques informacionais (no uso de e-mails, office, nuvem, entre outros), à revelia da legislação e sem contratos ou licitação (na verdade existe um contrato e uma série de termos no aceite do uso do software), em sua grande maioria Google e Microsoft [1].

O modelo de negócios dessas empresas é a coleta massiva de dados dos/as usuários/as, que ajuda a formar perfis, inicialmente para vendas de propaganda direcionada para outras empresas. Hal Varian, um dos principais economistas da Google comentou: “por que a Google disponibiliza produtos de graça...? Qualquer coisa que aumente o uso da internet, em última instância, enriquece a Google [...]. E como a previsão e a análise são tão cruciais para o Google AdWords, qualquer bit de dados, mesmo que aparentemente trivial, tem valor comercial” [2].

A forma apressada e oportunista de implementação de métodos EaD de qualquer forma, apesar da precária infraestrutura do país, além da exclusão digital (que não se resolverá com a distribuição de chips) [3], põe em risco a autonomia universitária e a soberania do país, quando não há controle sobre os dados (sensíveis ou não, sem distinção no processo de coleta dos dados) e o fim que será dado a eles, sob custódia de empresas estrangeiras (normalmente radicadas nos EUA) e com amplo histórico de desrespeito a usuários/as e à soberania de países [4].

Estamos abrindo mão de décadas de investimento público (vide Rede Nacional de Pesquisas – RNP e Serpro). Estamos obrigando servidores/as e alunos/as a “assinarem” um contrato individual com essas empresas, já que é obrigatória a criação de contas para utilizar suas plataformas.

Existe uma imensa ignorância acerca do uso dessas tecnologias de informação. Um fetiche de que o uso da internet forma um paraíso utópico e sem fronteiras, onde a lei do “mundo real” não se aplica. Se há algo disponível, basta acessar e usar. Infelizmente a realidade não se apresenta desta forma. Gestores/as estão aceitando contratos ao usar esses softwares, sem o devido estudo e conhecimento, sem contrapartida, aderindo de maneira ingenua a gratuidade fornecida (paga-se com os dados fornecidos, origem de seus lucros), sem garantia ou política de preservação ou privacidade dos dados de usuários/as, sem informá-los/as de maneira transparente que eles/as terão de assinar contratos individuais para o uso das plataformas [5].

O uso dessas plataformas retira a autonomia de docentes e técnicos/as sobre o modelo de trabalho oferecido, e qualquer possibilidade de interferência da universidade na modificação e proposição de funcionalidades. É usar o que está disponível ou não usar. A limitação geográfica, o uso pelo Governo dos EUA através de seus bloqueios político-comerciais, pode impedir o acesso destas tecnologias a países parceiros do Brasil ou da universidade, atacando frontalmente a soberania [6].

Gestores/as têm argumentado que o uso, por enquanto, é temporário e que pode ser revisto mais tarde. Este argumento não é real. Uma vez treinados/as nas encantadoras plataformas oferecidas pelas empresas, não haverá motivação de servidores/as para esta reversão. Além do mais, é conhecida a tática de “vendor lock-in” [7], tornando-se difícil a interoperabilidade e retirada de dados dessas plataformas, gerando uma alta dependência tecnológica informacional.

Devido à natureza coletora de dados desses softwares (que é o fim delas), o controle do trabalho técnico e docente passa a ser uma de suas funcionalidades oferecidas, onde cada acesso pode ser monitorado, servindo como política de controle de produtividade. Lembremos novamente que não temos como influir num modelo de software que não foi proposto, contratado ou mantido por nós (seremos simples usuários/as de um produto contratado já pronto).

Não podemos nos esquecer também, que perdemos oportunidades de troca com o que a universidade já oferece de projetos e cursos de tecnologia. Ao longo da existência da Superintendência de TIC da UFRJ, e mesmo antes com contribuição do NCE e outras unidades, muitas foram as parcerias com alunos/as através de bolsas, com destaques na área de segurança da informação (através do Grupo de Resposta a Incidentes de Segurança – GRIS [8]) e desenvolvimento de software (destaque para os/as bolsistas do SIGA), com acúmulo de conhecimento tanto para a administração quanto para os/as estudantes. Com o corte de bolsas e o uso de plataformas fechadas, fica impossível a troca entre a universidade e sociedade, com a possível melhoria de nossos softwares informacionais a nossa realidade local, nos tornando meros/as consumidores/as de tecnologias pelas quais não teremos o menor controle e autonomia.

Portanto, as unidades e conselhos devem aprovar o uso de plataformas locais, hospedadas e fornecidas pela universidade ou outros entes como a Rede Nacional de Pesquisa (RNP). É preciso exigir o mínimo investimento em infraestrutura, e que se aproveite a mão de obra presente nas TICs das universidades, além de renovação do quadro e concursos para a área. É preciso fortalecer uma rede nacional onde as universidades compartilhem experiências locais e possamos de maneira colaborativa oferecer tecnologias, infraestrutura e conhecimentos adquiridos para que nossas necessidades sejam atendidas.

Muitos softwares já são livres para uso irrestrito e disponibilizados, a exemplo do ConferênciaWeb da RNP e o Moodle (oferecido pelo NCE à comunidade), que já é amplamente conhecido pela comunidade universitária, além de softwares de comunicação, e-mail e nuvem de arquivos (oferecidos pela TIC).

Precisamos garantir que nossa infraestrutura seja aprimorada com investimentos e que seja utilizada e incentivada de maneira autônoma e independente pela universidade.

Rafael Raposo Analista de TI da UFRJ


Notas

  1. Veja em https://educacaovigiada.org.br, uma iniciativa de acadêmicos/as e membros de organizações sociais que visa alertar sobre o avanço da lógica de monetização de grandes empresas intituladas pelo acrônico GAFAM (Google, Apple, Facebook, Amazon e Microsoft) sobre a educação pública brasileira. Disponibiliza dados da pesquisa intitulada Capitalismo de Vigilância e a Educação Pública do Brasil com a intenção de incentivar um debate na sociedade em relação aos impactos sociais da vigilância.

  2. Secret of googlenomics: data-fueled recipe brews profitability”, Wired, 22 maio 2009, disponível em: https://www.wired.com/2009/05/nep-googlenomics/

  3. Quarentena e apartheid tecnológico: Brasil não fez da Internet objeto de política pública, Sputink BR, 22 abril 2020, disponível em https://br.sputniknews.com/opiniao/2020042115485499-quarentena-e-apartheid-tecnologico-brasil-nao-fez-da-internet-objeto-de-politica-publica/

  4. PRISM (programa de vigilância), 19 julho 2020, disponível em: https://pt.wikipedia.org/wiki/PRISM_%28programa_de_vigil%C3%A2ncia%29

  5. “As leis da Califórnia vão reger todas as disputas que surgirem com relação a qualquer um destes termos, dos termos adicionais específicos do serviço ou qualquer serviço relacionado, mesmo se houver conflito nas regras das leis. Essas disputas serão resolvidas exclusivamente nos tribunais federais ou estaduais do condado de Santa Clara, Califórnia, EUA, e você e o Google concordam com a jurisdição pessoal nesses tribunais.” Termos de Serviço do Google, 31 março 2020, disponível em: https://policies.google.com/terms?hl=pt-BR#toc-problems

  6. Google bloqueia Analytics em Cuba, Estadão, 21 junho 2012, disponível em: https://link.estadao.com.br/noticias/geral,google-bloqueia-analytics-em-cuba,10000035408

  7. Vendor lock-in é quando alguém é essencialmente forçado a continuar usando um produto ou serviço, independentemente da qualidade, porque não é prático mudar esse produto ou serviço, 22 julho 2020, disponível em: https://www.cloudflare.com/learning/cloud/what-is-vendor-lock-in/

  8. Grupo que visa dar suporte a alunos/as do curso de ciência da computação no que diz respeito a tópicos de segurança da informação.

Os apps para mensageiros ponto a ponto não são tão sofisticados quanto os outros, mas de longe oferecem a melhor segurança.

O Briar atualmente é um app que consegue reunir todas as características de um software livre realmente seguro. A ideia da app não é concorrer com outros gigantes, e sim criar uma verdadeira alternativa segura para ativistas e jornalistas, pessoas que são perseguidas por governos e precisam manter o mínimo detalhe em sua privacidade. Foi feito para funcionar mesmo sem Internet. Em palestra, um dos desenvolvedores do Briar informou que se pode acoplar o celular a um rádio de longo alcance como forma de não utilizar a Internet. Outros lugares do mundo, como o Irã além de outros, já sofreram com cortes de Internet em períodos de crise. Nesse caso servidores descentralizados mas que dependem da Internet também ficam sem acesso. No caso do Briar, ele utiliza ponto a ponto (P2P) pra conectar um cliente a outro, sem uso de servidor. Pode usar bluetooth ou rede local. Pode usar internet, conectando nativamente a rede Tor (não é necessário app extra para isso). Toda a comunicação é criptografada e não rastreável. Ele pede uma senha na configuração do/a usuário/a na app e criptografa toda a base local. Em sua primeira versão, ainda não possui suporte a envio de arquivos (como imagens e vídeos), mas está no escopo do projeto. Os grupos no app utilizam estrutura de tópicos, pois isso ajuda a manter a linha de tempo e sincronia entre as mensagens de diferentes pontos. O Briar tem suporte a app de botão de pânico, como o Ripple. O botão de pânico é um app que ao ser acionada executa uma ação no Briar (e em outros softwares que o suportam), que pode ser bloquear a app ou mesmo apagar a conta. O Briar não possui versão para iPhone por uma limitação da Apple, que faz com que seja difícil construir apps P2P para o sistema.

Outros apps ponto a ponto que não possuem versões muito maduras para smartphone são o Retroshare e o Tox.

O Briar atualmente tem o problema de consumir muita bateria e não ter alguns recursos básicos. Mas é um projeto que merece ser apoiado, pois é um importante passo rumo a uma melhor segurança de nossa comunicação.

Conforme informado em postagem anterior, o protocolo XMPP oferece ótima solução de chat em um protocolo parecido com o e-mail. Inclusive alguns serviços de e-email, como o riseup oferecem também suporte ao XMPP. Atualmente existem duas ótimas apps livres que podem ser usadas com o protocolo, o Conversations (Android) e o ChatSecure (iPhone). Existem outras apps XMPP que você pode escolher para usar. Porém estas são interessantes por usarem padrões modernos de XMPP, além de criptografia fim a fim em múltiplo dispositivos, através do OMEMO. O Conversations oferece um suporte completo a todas as funções que as pessoas buscam atualmente em um app de chat seguro, como criptografia fim a fim, além de uma interface moderna e intuitiva. Ambos os apps oferecem suporte a rede Tor, podendo ser ativado em suas opções (precisa ter o Orbot instalado). Conversations pode ser baixado gratuitamente no F-Droid.

Aqui tem uma lista de servidores XMPP que permitem cadastro gratuito.

Outro protocolo que tem crescido muito é o Matrix, uma rede livre e descentralizada que oferece uma ótima alternativa ao XMPP. Possui o conceito de salas, onde cada “chat” criado na verdade é uma sala que pode ter uma ou mais pessoas. O formato de usuário/a é @user:server (ex.: @fulano:matrix.org) e para salas (grupos) #room:server. Além desse usuário/a, nas opções do app você pode adicionar seus e-mails e telefones opcionalmente para facilitar que usuários/as te encontrem. Você pode utilizar também criptografia fim a fim, ativando nas opções da sala que você quer utilizar. Atualmente, o principal app do Matrix é o Riot.im, que pode ser baixado pra Android (com versão também no F-Droid), desktop ou iOS. Mas porém vários outros clientes estão surgindo, uma lista deles pode ser encontrado na página da rede.

Aqui tem uma lista de servidores matrix que você pode cadastrar gratuitamente (por padrão é usado o matrix.org como servidor, é preciso colocar “Custom server” na app para inserir outro. Mude apenas a opção “homeserver”)

Todas as soluções acima são livres e possuem a possibilidade de criar seu próprio servidor e federalizar com toda a rede.

Nessa postagem vou dar exemplos de mensageiros instantâneos que utilizam provedores centralizados. Nesta modalidade estão os mais populares, como o WhatsApp, Telegram e Signal.

WhatsApp facilitou o uso a conexão dos/as usuários/as utilizando o número de celular para criar uma conta e sincronizar automaticamente sua agenda com o servidor. É um app privativo de código-fonte fechado que pertente ao Facebook. Utiliza criptografia fim a fim para mensagens e grupos, mas faz coleta de metadados. Atualmente anunciou uma parceria com o Google para salvar automaticamente as mensagens na nuvem do Google Drive (sem criptografia). Não protege o banco de dados local, ficando vulnerável a apps de terceiros.

Já o Telegram nasceu como uma alternativa ao WhatsApp, prometendo mais segurança. Promete não fazer coleta de metadados ou liberar dados para qualquer fim, além de não possuir fins lucrativos. Utiliza o mesmo processo de criação de conta através do número de celular, porém não exibe o número para grupos e usuários/as, a não ser que o/a usuário/a esteja em sua lista, além de permitir a criação de nome de usuário/a para divulgação. Utiliza uma nuvem para salvar as mensagens, porém informa que tudo é criptografado, dividindo a chave criptográfica em diversos servidores pelo mundo, fazendo com que não seja possível acessar os dados entrando em um único servidor. Tem criptografia fim a fim através do “chat secreto” (podendo colocar tempo de autodestruição das mensagens), mas o recurso não é habilitado por padrão e nem para grupos. Os apps e o protocolo são livres com código-fonte disponível. Possui opção para colocar senha local, ação que protege melhor a criptografa do banco de dados local. Possui também uma versão no F-Droid que não utiliza API do Google Android. O Telegram já recebeu muitas críticas de especialistas em segurança por ter criado sua própria criptografia ao invés do uso de algoritmos já conhecidos e reconhecidos. Os desenvolvedores garantem a segurança e oferecem prêmio em dinheiro para quem puder achar falhas de segurança.

Signal utiliza o mesmo recurso dos dois anteriores em relação ao número de telefone. Promete ser um app seguro, faz criptografia fim a fim de mensagens ou grupo. Possui recurso de autodestruição para grupos e mensagens. Tem os apps e o protocolo livres, porém não permite que softwares modificados utilizem seu servidor, o que faz com que não possam surgir alternativas “Google-Free” como o Telegram para F-Droid. O app padrão para Android utiliza API do Google. Permite usar uma senha de travamento de tela, porém não deixa claro se isso criptografa o banco de dados local ou não (meu contato com o suporte da app não obteve resposta).

Todos os apps acima utilizam servidores centralizados para conexão, com problemas explicados na postagem anterior. Ou sejam, não conversam entre si através de um protocolo livre e compartilhado, são mantidos por corporações que mantém controle sobre a política de privacidade dos dados, não permitindo sua federalização.

Explicando melhor, embora os protocolos de Signal e Telegram tenham seus protocolos em Software Livre, ou seja, com código-fonte disponível, eles não são protocolos interoperáveis. Ou seja, reimpletá-los criará sua própria rede que não conversará com as outras.

Na próxima postagem, os serviço descentralizados (aí é jogo ;) ).

A popularização da Internet se deu por conta de sua evolução através de protocolos abertos e padronizados (especificamente o TCP/IP) que puderam ser implementados em todo mundo, no início por grupos de pesquisas, universidades, entre outros. Os sistemas de comunicação seguiam esse princípio. Um exemplo usado até hoje é o protocolo SMTP (Simple Mail Transfer Protocol), que nada mais é que o protocolo utilizado por provedores de e-mail. Independente do seu provedor, você pode se comunicar com outros, pode inclusive ter seu próprio servidor. Para falar com usuários/as do Gmail por exemplo, não é necessário ter Gmail, você pode usar qualquer outro serviço de e-mail que eles conversam entre si, pois usam o mesmo protocolo.

Porém logo popularizou-se o uso de serviços de chat (mensageiros instantâneos). Em 1999, um protocolo chamado XMPP (Extensible Messaging and Presence Protocol) começou a ser desenvolvido para usar o mesmo princípio de ser um protocolo aberto e descentralizado de mensagens instantâneas. Usa o mesmo conceito do e-mail, onde o/a usuário/a e servidor são separados por “@”. No início, mensageiros do Gmail e Facebook usavam esse protocolo, depois que viraram gigantes centralizadoras de informação, abandonaram o protocolo e fecharam sua comunicação apenas a quem estivesse “dentro” de sua bolha tecnológica. O XMPP é um protocolo que existe até hoje e em constante evolução, com suporte atualmente a áudio e vídeo e criptografia fim a fim (veja OTR ou OMEMO).

Centralização

A popularização de serviços, que logo se tornaram monopólios de grandes empresas de tecnologia da informação radicadas nos EUA, deixou para trás esses princípios de interoperabilidade. Hoje em dia usar e-mail é quase sinônimo de usar Gmail, a ponto de pessoas se espantarem caso algúem não não possua conta no serviço. O mesmo acontece com Facebook. E outros serviços.

Fundada em 1985, a Free Software Foundation sempre alertou o mundo sobre os perigos dessa centralização. Centralização significa que você conecta o seu serviço a um servidor pertencente ao grupo ou empresa que o provê. Ou seja, existe um ponto em comum de controle. Mesmo usando criptografia fim a fim o seu serviço só ficará disponível (no ar) se esse servidor (ou até um conjunto de servidores, numa nuvem) estiverem no ar. Cortar a comunicação desses serviços é mais fácil, basta que o provedor o faça ou até terceiros mais poderosos, cortando a comunicação com o serviço central. Além do mais é preciso confiar na promessa de confiabilidade dos seus dados.

Descentralização

Serviços descentralizados, como já explicado, utilizam protocolos abertos para que usuários/as tenham a escolha de usar o servidor que lhe convenha. Se um serviço sair do ar, ainda é possível manter contato com outros servidores da rede. Os serviços podem ter sua própria regra de uso de dados, formando uma federação, onde você pode escolher o melhor serviço (confiando no servidor), ou até mesmo criar o seu (caso você ou seu grupo tenham condições de manter um).

Ponto a ponto

As redes ponto a ponto (peer-to-peer ou P2P) não usam nenhuma forma de servidor. Os clientes formam entre si os pontos da rede, onde nesse caso fica muito mais difícil acabar com a rede, a não ser que se derrube a própria Internet. O torrent usa esse princípio, por exemplo. Rastreadores (trackers) espalhados pela internet podem ajudar os pontos a se encontrarem.

Na próxima postagem, vou listar finalmente exemplos de apps que usam todas essas formas de conexão.

Por democracia na Unirio e em todas as universidades brasileiras: a comunidade acadêmica é quem escolhe reitor(a)

Nos dias 3 a 6 de abril foi realizada consulta pública entre a comunidade acadêmica da Universidade Federal do Estado do Rio de Janeiro (Unirio) para escolha de reitor(a) e vice- reitor(a). Duas chapas apresentaram-se no processo: a chapa 1 – Unidade na Resistência Democrática, encabeçada por Leonardo Villela de Castro (reitor) e Maria do Carmo Ferreira (vice-reitora), e a chapa 2 – Juntos Podemos Fazer Melhor, composta por Cláudia Aiub (reitora) e Luiz Amâncio Machado de Souza Júnior (vice-reitor). A chapa 1 foi vencedora, obtendo 72% dos votos válidos.

No dia 11 de abril, no entanto, o Colégio Eleitoral reunido para montar a lista tríplice para nomeação pelo Ministério da Educação (MEC) não seguiu a escolha democrática da comunidade acadêmica. As indicações incluíram arbitrariamente dois nomes que nem sequer participaram do debate público e da consulta. Um deles, o do professor Ricardo Cardoso, atual vice-reitor, ficou em primeiro lugar na lista, seguido por Leonardo de Castro e Cléudia Aiub, primeiro e segundo colocados nas urnas. Essa conformação viola a democracia interna na Unirio e contraria a luta histórica nas universidades para que o reitor escolhido seja nomeado, o que passa por colocar este nome em primeiro na lista tríplice a ser enviada ao governo.

O coletivo Resistência e Luta (UFRJ) repudia essa manobra no Colégio Eleitoral da Unirio que fere o princípio democrático dentro da própria universidade e coloca em risco todas as instituições. Estudantes, técnico-administrativos e docentes escolhem o(a) reitor(a)!

Pela democracia em nossas universidades!