A Oi Velox e a ameaça à sua privacidade
Por Gilberto "Knuttz" em 6/06/10
Categoria(s) High Tech, Indústria
Você é cliente de internet banda larga da operadora Oi, através do serviço Velox?
Sim? Pois desculpe te dar a má notícia, mas sua privacidade está correndo MUITO perigo, leia estes trechos da matéria “Um espião em seu computador” pela Época em sua edição Nº 629, datada de 07/06/2010:
Existe um programa de computador que registra tudo o que você faz na internet. (…) E transmite toda essa informação a uma empresa que analisa seu comportamento e o classifica de acordo com algum rótulo. Soa amedrontador? Pois é real. Esse tipo de invasão de privacidade ameaça os internautas brasileiros.
A sequência acima, de rastreamento da navegação na internet, descreve o serviço oferecido pela empresa inglesa Phorm. Ela está chegando ao Brasil. Seu principal cliente aqui é o provedor de internet Velox, serviço oferecido no Rio de Janeiro pela operadora de telecomunicações Oi. A Oi está testando aqui uma versão do programa da Phorm chamada Navegador.
Em março deste ano, o Financial Times noticiou que a Phorm, empresa especializada na criação e manutenção de spywares, fechou negócio com a Oi e os provedores de conteúdo iG, Terra, Estadão e UOL, em que assegurou adiantamento de lucros de R$ 10 milhões.
Pagamento adiantado de lucros, é algo que faz supor que a empresa seja muito lucrativa e concorrida, e que em decorrência do grande número de clientes pode dar-se ao luxo de só trabalhar com pagamento adiantado, correto?
Errado.
A Phorm é uma empresa que foi fundada em 2002 e que por ter desenvolvido como produto principal softwares classificados como spyware, viu-se forçada a suspender suas vendas em vários países como Estados Unidos e Canadá, e para completar foi escorraçada da Inglaterra depois de rodar uma versão nova de seu programa chamada Webwise junto à British Telecom, conjunto de fatores que fez com que suas ações perdessem mais de 90% de seu valor entre os anos de 2007 e 2010.
O caso da British Telecom, chegou ao ponto de render ao Governo Inglês, seu dono, um puxão de orelha por parte da União Européia, que estava preocupada com a privacidade de seus concidadãos. E o Crown Prosecution Service, um órgão inglês equivalente à nossa Promotoria Pública, estuda processar criminalmente a British Telecom pelo uso do programa, a polícia de Londres está auxiliando nas investigações.
Ou seja, a Oi, o iG, o Estadão, o UOL, e o Terra meteram a mão no bolso por vontade própria e financiaram um produto (Webwise/Navegador), banido da Europa, e que a despeito de todo esforço, não conseguiu ainda, tudo indica não conseguirá, voltar aos EUA e Canadá, e que possivelmente tenha o uso considerado criminoso na Inglaterra.
Por que você deve preocupar-se com sua privacidade e a banda larga Oi Velox, caso seja cliente deles?
Primeiro eu vou explicar rapidamente como os dados trafegam na internet: apesar de ser transparente para nós, a informação não flui na forma de uma corrente contínua, ela transita na forma de pequenos agrupamentos de dados chamados pacotes; cada um destes pacotes traz consigo um ‘cabeçalho’ de informações que indicam a qual arquivo ele pertence, e qual sua posição neste referido arquivo, desta forma o computador do usuário que os recebeu em casa, analisa o pacote, e o reagrupa na forma do arquivo original.
Geralmente não notamos que isso acontece, mas se você já usou Voz sobre IP, já deve em algum momento ter notado que uma parte da voz da pessoa com quem você estava falando não chegou, como um pequeno intervalo no meio de uma palavra, isso acontece justamente porque as vezes alguns pacotes não chegam ao usuário final.
Aqui entra a Phorm e o potencial risco que a Oi Velox representam à sua privacidade.
O que o serviço provido pela Phorm, conhecido como Webwise/Navegador, f az* é se meter entre você, usuário e a outra ponta da conexão. Ele finge que é você para o site que vai acessar para coletar a informação, e finge que é o site que você está tentando acessar, para te repassar a informação, com isso ele é capaz de fazer o que se chama de “Deep Packek Inspection” (algo como “Inspeção Profunda de Pacotes”), em que TODO e CADA pacote de dados que você requisitar ou enviar, seja visto, analisado e até mesmo arquivado para uso futuro pela Oi Velox. E isso acontecerá com a quase totalidade** dos dados que sua atividade de internet gerar:
- Você recebeu um email com informações confidenciais? Ela o lerá antes.
- Você conversou com alguém através do MSN/Gtalk? Ela sabe o que, com quem e quando você conversou.
- Você entrou em um site de conteúdo duvidoso, mesmo que tenha sido por engano? Vai ficar lá, gravadinho no servidor deles.
- Você entrou em algum site da concorrência para ver preços? Ela também saberá, e sabe-se lá o que vai fazer…
É mais ou menos como ter alguém gravando TODAS suas ligações telefônicas, para depois ouvir e decidir como usar.
Segundo a informação da Época, o serviço aparentemente seria do tipo ‘opt-in’, ou seja, você tem que querer participar. MAS, na British Telecom, o serviço era ‘opt-out’, ou seja, empurraram goela abaixo de 18.000 usuários sem autorização ou consentimento, forçando o uso inicial, e quem quisesse pedia para sair. Outra coisa a ser observada, é que a Oi Velox alega que não haverá retenção de dados de quem está navegando.
Agora, caro cliente Oi Velox, você deve se perguntar: você confia que a Oi Velox não vá logar as informações MESMO que você não peça, ou até pior, logar TUDO, inclusive quem você é junto aos seus dados de navegação??
Uma reportagem postada pelo iG, portal que pertence à Oi, em março passado já dá uma idéia da coisa, vejam como eles vendem o Webwise/Navegador:
A Oi, maior companhia de telecomunicações do país, e os principais portais brasileiros se uniram para lançar uma ferramenta capaz de ajudar o internauta a ter o que se pode chamar de navegação personalizada.
e
O Navegador pode ser definido como um sistema de busca instantâneo de conteúdos, capaz de realizar as pesquisas sem que o internauta precise digitar os comandos num campo específico. Basta navegar.
Note que a forma com que eles tentam pegar otários vender a ideia de usar o produto, foi batizando-o com o nome da ferramenta que usamos comumente para navegar na internet: o navegador.
Cabe a você decidir, se você confia que Oi Velox não fará nada errado, continue com ela. Se você acha que sua privacidade corre risco, fuja da Oi Velox e vá para a concorrência.
Só acho que quem não quer invadir a privacidade de ninguém, não investe R$ 10 milhões em uma tecnologia que, além de ter sido banida de todo continente Europeu, EUA e Canadá, corre o risco de ter o uso considerado criminoso pela common law inglesa. Como dizem no Twitter, #corrão(sic) para as montanhas… (ou para a concorrência).
Edit
O Manoel Netto publicou no Tecnocracia, um infográfico de como funciona/funcionará o Webwise/Navegador da Oi Velox, e também uma nota extra assustadora: já se fala em bloquear o ‘Brasil’ por conta do uso dos produtos Phorm pela Oi Velox.
———–
Notas:
* Se você for curioso e quiser ver um gráfico de como funciona a gambiarra feita pelo Webwise/Navegador, clique aqui.
**Todos os pacotes podem ser arquivados,omo os dados de acesso a bancos e conexões seguras de uma forma geral, são encriptados, e não poderão ser interpretados.
-
Talvez você queira ver este(s) outro(s) post(s):
-
Oi Velox, Phorm Webwise/Navegador e a ameaça à privacidade, o DPDC entrou...
tag this | permalink | trackback url
Tags desta postagem:
Tecnorati:
Wesley Cota | Jun 6, 2010 | Reply
“fuja da Oi Velox e vá para a concorrência”
O pior disso tudo é quando não há concorrência. Maldito monopólio da Oi…
Responder Este Comentário
heitorvrb respondido em June 8th, 2010 12:47:
Eu sofro do mesmo problema. Morando no interior, simplesmente NÃO EXISTE CONCORRÊNCIA. Vai Brasil =(.
Responder Este Comentário
Adriana Almeida respondido em June 9th, 2010 12:02:
No meu caso é justo isso. NÃO HÁ CONCORRÊNCIA. Onde moro ou é Oi/Velox ou internet à rádio (que é uma das piores coisas imagináveis. Os 2 anos que fiquei presa a isso cheguei a sentir saudade da internet discada: a mesma eficiência e a discada pelo menos tinha o barulho divertido do modem….). Então fugir da OI não é propriamente uma opção!
Responder Este Comentário
Raphael Tsavkko | Jun 7, 2010 | Reply
Pouco mais info sobre Phorm: http://www.trezentos.blog.br/?p=4439
Novo AI5Digital?
Responder Este Comentário
lsatan respondido em June 8th, 2010 23:56:
TUDO agora é AI5-digital? Q falta de criatividade!
Recomendo aos paranoicos de plantao (como eu) usarem 100% do tempo Tor + Linux + proxy https
Otimo Post!!
Responder Este Comentário
Raphael Tsavkko respondido em June 9th, 2010 1:21:
TUDO que for ameaça à liberdade na rede e espionagem.
tsavkko.blogspot.com
Responder Este Comentário
Fabio | Jun 7, 2010 | Reply
Sabe o que é mais curioso nessa coisa toda? A Oi, assim como a revista Época pertemcem à Rede Globo…
O que eles ganham se “auto-denunciando”?
Responder Este Comentário
lsatan respondido em June 8th, 2010 23:58:
Como assim a Oi pertence a Globo? Hauaahauaahuaah
Cada uma!
Responder Este Comentário
Claudio | Jun 7, 2010 | Reply
É cara, sabe como é, capitalismo, máfia de dados, interesses especiais. Tudo isso gera esse tipo de problema.
Espero q esse serviço seja opcional mesmo, pq não quero oi velox futucando meus dados. Se a informação vaza coitada da minha conta bancária que já tem pouco…
Responder Este Comentário
Gilberto "Knuttz" respondido em June 7th, 2010 16:02:
@Claudio: verdade seja dita, seus dados bancário não correm risco.
A conexão entre seu computador e o site ‘https’ do seu banco é encriptada, e é próximo ao impossível decriptar este tipo de dado.
Responder Este Comentário
cleber@coxa respondido em June 12th, 2010 20:07:
Olá Gilberto!
Só um adendo: O conteúdo é “criptografado”, e não “encriptado”.
Responder Este Comentário
cleber@coxa respondido em June 12th, 2010 20:11:
Criptografia (Do Grego kryptós, “escondido”, e gráphein, “escrita”) é o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da “chave secreta”), o que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só o receptor da mensagem pode ler a informação com facilidade. É um ramo da Matemática, parte da Criptologia.
Fonte: Wickipedia
Gilberto "Knuttz" respondido em June 13th, 2010 17:36:
Olá Clérber,
a mesma Wikipedia diz:
Em criptografia, encriptação[1] é o processo de transformar informação (referida como texto original[nota 1] usando um algoritmo (chamado cifra) de modo a impossibilitar a sua leitura a todos excepto aqueles que possuam uma informação particular, geralmente referida como chave. O resultado deste processo é informação encriptada (referida como texto cifrado em criptografia). Em alguns contextos, o termo encriptação também se refere implicitamente ao processo inverso, desencriptação (por exemplo “software de encriptação” tipicamente também realiza desencriptação), por forma a tornar informação encriptada novamente legível (isto é, torná-la desencriptada).
http://pt.wikipedia.org/wiki/Encripta%C3%A7%C3%A3o
Ou seja, você corrigiu o que não precisava correção.
Andre | Jun 7, 2010 | Reply
Não entendi o propósito dessa matéria, afinal, qualquer serviço de banda larga sabe de tudo o que seus clientes fazem.
Empresas de telefonia? Idem. Eles não escutam suas conversas se não quiserem.
Responder Este Comentário
Alvaro Rodrigues | Jun 8, 2010 | Reply
Gilberto,
Eu não sei qual o seu conhecimento de tecnologia realmente, mas o que tenho visto nesse blog e em outros são fantasias sobre as capacidades das ferramentas de DPI e gerando uma desinformação sobre o assunto.
Inicialmente, DPIs não lêem material encriptado ou seja, nada do que tiver no cabeçalho “https://” é identificado.
DPIs são elementos de hardware que tem processadores avançados para possibilitar a identificação de tráfego até o que chamamos de camada de aplicação, ou seja, é possível saber que não apenas existem pacotes trafegando pela rede, mas a qual aplicação esses pacotes pertencem. Isso permite as operadoras uma melhor visibilidade do tráfego e adequação dos elementos e banda a essas necessidades.
Fazer a cópia e leitura de todo o tráfego que passa pela rede de uma operadora é de uma criatividade fantasiosa, parecido com o Projeto de Lei 6983/10, do deputado Nelson Goetten, que quer obrigar os provedores a manter o log de onde os usuários de Internet vão (esse sim um sério ataque a privacidade).
Elementos vendidos ao mercado (para fins não militares/governamentais) tem capacidade limitada e sofreriam problemas de performance sérios caso tivessem que fazer isso. Além disso, não é financeiramente viável manter um banco de dados de tal magnitude. Isso só é viavel em teorias como o do Echelon da Agência de Segurança Americana.
Assim como o seu exemplo de monitorar ligações telefônicas, a interceptação e captura de dados na Internet só podem ser feitas mediante ordem judicial e portanto terminantemente proibidas para outros fins.
Operadoras como a Oi e Telefônica são instituições muito reguladas pela ANATEL e fazer tal coleta de informações seria um tiro no pé.
Seria mais prudente sempre rever as fontes de informação, pois aparentemente esse assunto está se tornando um telefone sem fio, com todos os sites “traduzindo” dados de sites estrangeiros onde, no final das contas, não existe nenhuma informação real sobre como efetivamente a solução funciona, somente expeculação de como ela deve funcionar.
Acho a preocupação com privacidade fundamental, mas devemos separar a fantasia da realidade.
Responder Este Comentário
Gilberto "Knuttz" respondido em June 8th, 2010 19:35:
Antes de eu começar Alvaro, para que fique bem claro: você trabalha ou presta qualquer tipo de serviço direto ou indireto à qualquer das empresas envolvidas?
===========
Mas vamos lá…
Começando por onde você *tem* razão. Não há sentido em armazenar dados que transitarem por conexão segura, porque não há ainda como decriptá-los sem gastar alguns milhares de anos.
Mas sua razão acaba por aí.
Agora, essa conversa de que querem fazer DPI para “melhor visibilidade de tráfego e adequação de elementos” é algo completamente falso, se *eles* quisessem fazer isso simplesmente observariam o volume de dados transitando em algumas portas, tal como quando fazem traffic shapping.
Note que o uso deste MESMO programa pela British Telecom fez com que a Inglaterra fosse acionada pela União Europeia por violação de direito à privacidade dos cidadãos europeus (no caso ingleses), e enquanto falamos, a BT está em vias de ser processada criminalmente pelo CPS pelo uso do Webwise/Navegador, ou seja, de acordo com a Common Law (tipo de direito que vigora na Inglaterra), é possível que o simples uso deste programa por uma telecom, venha a ser considerado crime àquele país.
Em relação ao dados, eu quis deixar o post o mais fácil de entender possível, veja que eu não disse que os dados vão ser arquivados, eu disse que os dados ‘podem até mesmo ser arquivados’. Mas quem garante que, pelo menos em parte, não serão gravados? Quem garante que não vão selecionar um perfil de usuário, ou sua geolocalização e a partir daí fazer coletas direcionadas de dados? Quem garante que a idoneidade na operação destes dados?
Quanto a Anatel, Ahhhhh, a Anatel… Atualmente as operadoras não ligam muito para a Anatel, e algumas ligam ainda menos ainda que outras.
E finalmente, não há fantasia. O que há é uma operadora de banda larga contratando os serviços de uma empresa cuja especialidade é invadir a privacidade, e que por não poder mais vender sua tecnologia nos EUA, Canadá, Inglaterra e Europa Continental, por ser considerada um risco à privacidade, vem atuar em países de terceiro mundo, onde a população é desin’phorm’ada, e infelizmente tem empresas interessadas neste tipo de serviço.
Responder Este Comentário
lsatan respondido em June 9th, 2010 0:04:
O Knuttz foi no ponto!
É de notorio conhecimento que as empresas de telecom no Brasil praticamente se auto-regulam!
Responder Este Comentário
Alexandre respondido em June 9th, 2010 0:54:
“Atualmente as operadoras não ligam muito para a Anatel” – pq a ligação sempre cai.
A Anatel regulamenta as operadoras assim como o Conar regulamenta as publicidades assim como o Felipe Melo é jogador de futebol.
Belo texto Knuttz \o/
Responder Este Comentário
Alvaro respondido em June 9th, 2010 19:01:
Sou Consultor de Telecomunicações.
Você está equivocado na afirmação de que verificar portas quer dizer qualquer coisa. Qualquer serviço da Internet pode operar praticamente qualquer porta. Ver o tráfego numa porta não quer dizer que aquele tráfego seja realmente da aplicação que foi inicialmente definida numa RFC, Ex. Serviço de WWW é atendido na porta 80. Mas eu posso colocar um servidor de email na porta 80, colocar o meu servidor de games na porta 80… em suma, não é confiável e não pode ser usado como métrica aceitável para validação de um tipo de tráfego ou outro. Exatamente por esse motivo não se faz shapping utilizando unicamente portas, daí a necessidade dos DPIs.
DPIs não foram criados com inuito de “xeretar” os usuários, mas são ferramentas que auxiliam as operadoras melhro gerenciar as suas redes. Diversos serviços qeu estão sendo ofertados hoje pelo mundo e são diferenciais de mercado, não seriam possíveis sem essas ferramentas.
Se você colocar em crítica a incapacidade das operadoras de manter a confidencialidade dos dados dos usuários, sugiro não usar nenhuma forma de telecomunicação. Assumir que as empresas de Telecomunicações fazem isso à revelia do usuário é errado.
Se você for procurar nas regras de outorga dos serviços de telecomunicações, especialmente as empresas que vieram do antigo sistema Telebrás, verá que as obrigações e fiscalizações por parte de órgãos governamentais é muito grande e não são brincadeira.
Existem normatizações, obrigações e protocolos dessas empresas com o sistema judiciário e de polícia em escala nacional. Sugiro a leitura dos padrões CALEA e ETSI.
Mas se você realmente estiver preocupado com sua privacidade, vá em http://www.camara.gov.br/internet/sileg/Prop_Detalhe.asp?id=469968. Isso sim vai monitorar as páginas que navegamos.
Responder Este Comentário
Gilberto "Knuttz" respondido em June 11th, 2010 8:24:
Salve Alvaro.
Eu não perguntei sua profissão mas sim se você trabalha para algum dos envolvidos, para que fique claro aos leitores do site quem está defendendo a Oi Velox.
==================
Mas vamos à resposta:
Quanto ao uso das portas…
Traçando um paralelo para quem entende ainda menos que eu de redes entender o que vem a seguir: qualquer pessoa heterossexual pode resolver viver a vida travestido do sexo oposto, homens vestidos de mulher e vice-versa, mas tão poucas atendem esta condição que o número torna-se estatisticamente irrelevante. O mesmo vale para seu argumento de rodar servidores fora da porta padrão, mesmo porque a imensa maioria do sites estão rodando em máquinas compartilhadas com instalações padrões que vão rodar todos os serviços de forma padrão. Some-se isso ao fato de que a imensa maioria dos usuários é neófita, e não vão estar rodando seus próprios servidores de emails, ftp, etc., e você vai ser obrigado a chegar a conclusão que o tráfego de serviços fora de portas padrão é irrelevante.
Logo, falar em necessidade de usar o Webwise/Navegador (Phorm) para analisar DPIs visando melhoraria de serviços, é um apelo patético à ingenuidade.
DPI’s podem não ter sido criados para xeretar, mas os produtos da Phorm (Webwise/Navegador) sim, foram criados para xeretar, e simplesmente não e lógico contratar uma empresa especializada em sypwares, para melhorar desempenho de rede.
Quanto à guarda dos dados, é algo muito simples: Clientes Oi Velox não precisariam se preocupar com seus dados de navegação nas mãos da Oi Velox, se ela não os tivesse coletando.
Quanto à Anatel, sim, sim, exitem ortogas; sim, existem fiscalizações, mas também existem muita áreas cinzentas e áreas que são acinzentadas para criar uma ampla e indesejada latitude para as operadoras.
Se as operadoras não puderem tirar vantagem de uma situação, elas vão jogam o peso do lobby contra. Na realidade, este tipo de coisa parece mais uma jogada antecipada para tirar vantagem da possível situação.
Cynthia | Jun 9, 2010 | Reply
Oi a todos, li todos os comentários e confesso que fiquei ainda mais perdida. Sou leiga, não escrevo ou acesso segredos no meu computador, mas não quero que “os de fora” saibam o que estou fazendo. É triste d+ não poder fazer nada.
Responder Este Comentário
Hacker | Jun 10, 2010 | Reply
vocês são todos muitos inocentes,TODAS AS OPERADORAS de banda larga sem exeção coletam informações de seus assinantes,na rede não só as operadoras coletam informações como qualquer progama que esteja instalado no seu SO,o própio windows coleta dados,intão se vc quer privacidade não use internet em momento algum e se tranque em uma bolha.
Responder Este Comentário
Gilberto "Knuttz" respondido em June 11th, 2010 8:27:
Não, o que você falou não é verdade, é desinformação proposital.
As operadoras não podem coletar quase nenhum dado simplesmente por você usar uma conexão. No máximo sua versão do Windows e idioma usado.
O adoção do Webwise/Navegador muda radicalmente isso, ele é um spyware da pior cepa, que pode coletar TODOS os dados que não transitarem em conexão segura.
Responder Este Comentário
Roberto Rangel | Jul 17, 2010 | Reply
Não entendi a parte que o Terra também financiou o projeto, ele adotará essa prática também?
Responder Este Comentário