FSFLA/ blogs/ lxo/ pub/ Conectando os Pontos: da Selfie à Identidade

FSFLA

Eu

Blongando por Liberdade

Este é o blog pessoal de Alexandre Oliva, que não necessariamente representa as opiniões da FSFLA, do LibrePlanet-BR, da AdaCore ou de qualquer outra organização com a qual o autor possa ter ou ter tido vínculos, ou mesmo as minhas próprias, atuais ou passadas.

Veja também minha página web e siga-me nas redes P2P distribuídas Twister (@lxoliva) e Secure Scuttlebutt (lxoliva), ou nas federadas e descentralizadas Diaspora, GNU social ou Pump.io.

Também sou lxo no GNU Jami, em tenho uma ID Tox.

Este blog tem entradas diferentes em inglês, espanhol e talvez em outras línguas.

Questões legais

A nota de direito de autor e permissão abaixo se aplica a todos os documentos e mensagens neste blog que não contenham uma nota de direito de autor própria e cujo direito de autor possa ser razoavelmente presumido como sendo de titularidade de Alexandre Oliva.

Copyright 2007-2024 Alexandre Oliva

Cópia literal, distribuição e publicação da íntegra deste artigo são permitidas em qualquer meio, em todo o mundo, desde que sejam preservadas a nota de copyright, a URL oficial do documento e esta nota de permissão.

Os termos de licenciamento a seguir também se aplicam a todos os documentos e mensagens neste blog que não contenham uma nota de direito de autor própria, ou que contenham uma nota equivalente à anterior, e cujo direito de autor possa ser razoavelmente presumido como sendo de titularidade de Alexandre Oliva.

Esta obra está licenciada sob a Licença Creative Commons CC BY-SA (Attribution ShareAlike, ou Atribuição e Compartilhamento pela mesma licença) 3.0 Unported. Para ver uma cópia dessa licença, visite http://creativecommons.org/licenses/by-sa/3.0/ ou envie uma carta ao Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA.

Política anti-pirataria

Por favor não ataque barcos, especialmente enquanto visitar este sítio.

Conectando os Pontos: da Selfie à Identidade

De repente, não mais que de repente, o elemento arrancou o celular da sua mão e fugiu correndo. Lá se vai, nas mãos de um estranho, uma maravilha de design e integração eletrônica. Mas, além do aparelho em si, o que mais lhe roubaram?

A sensação mais imediata e assustadora é a perda de memória e dos sentidos. Não me refiro a um desmaio, embora hipótese plausível, mas à restrição da memória, antes estendida pelo aparelho a qualquer informação encontrável na Internet, e à limitação espacial dos sentidos de visão e audição, antes estendidos em seu alcance através do aparelho.

Quem arranca e afasta esse seu "pedaço de mim" junto "leva o teu olhar", mas também "os teus sinais:" suas palavras, sua voz e sua imagem já não podem mais ser levadas instantaneamente ao alcance de seus contatos, seguidores, amigos e público em geral. Não dá pra avisar que vai se atrasar porque não tem mais como chamar um transporte privado; não tem como mandar mensagem, e mesmo que encontre um telefone público, para qual número ligar, se a agenda de contatos foi junto com o aparelho? Até existe uma cópia de reserva, mas não dá pra acessar do orelhão.

Nem dá pra tirar uma selfie desse momento tão intenso emocionalmente e compartilhar: a conexão e a câmera se foram. Pensando bem, nem seria uma selfie: sem o celular, a gente se sente nu, então seria um nude.

Nudes! iCaramba! (Se lê como "Ai, Caramba!", como os outros iProdutos.) O aparelho estava em uso, desbloqueado, quando foi roubado. Aposto que o moleque ladrão já está procurando nudes nas galerias de fotos, e que alguém não vai gostar quando essas fotos chegarem de volta pelas redes sociais dos seus pais.

Minha nossa senhora do perpétuo download!, e as redes sociais? Pois é, é só abrir o aplicativo e acessar e postar o que quiser, como se fosse você! E aquele monte de outros aplicativos de plano de saúde, de assinatura de serviços, de cartão de crédito e conta corrente, de jogos online, que abrem já sabendo que sou eu e me deixam fazer de tudo pelo celular, com toda a praticidade anunciada pelo prestador do serviço. Será que na hora que o chip e o IMEI do aparelho forem bloqueados, vai bloquear tudo, ou será que o bandido ainda consegue manter o acesso de algum jeito?

Alguns aplicativos autenticam pelo número de telefone associado ao chip (nunca cancele o número antes da conta!); outros armazenam uma senha (aí é só trocar a senha); mas para aqueles que guardam o equivalente a um passe de acesso, tipo um cookie ou outros dados de identificação que dão acesso sem uma senha modificável, a situação pode ficar complicada. Torça para o fornecedor ter uma recomendação melhor que "torça para o ladrão apagar tudo e restaurar as configurações do fabricante antes de vender."

Chega a segunda-feira de trabalho e o computador pede o 2FA (segundo fator de autenticação), aquele gerador de senhas temporárias que foi roubado junto com o celular. Como alternativa, dá pra solicitar o envio de uma senha temporária pro email, mas pra acessar o email, precisaria se autenticar com outro segundo fator de autenticação, que também foi junto com o celular. E agora? Liga pro ramal do suporte de TI do trabalho que o acesso pras coisas do trabalho eles resolvem. Mas e as contas pessoais?

Provavelmente pra alguns dos aplicativos vai ser necessário ligar e recitar os números de alguns documentos pra restabelecer acesso. Isso quando tiver um novo telefone do qual ligar. Mas, peraí, você tinha instalado os apps do governo, que colocam os documentos no celular? Como diziam as saudosas Organizações Tabajara, "seus problemas acabaram!"... de começar!, no caso. Corre comprar outro celular e chip pra fazer isso logo, porque o ladrão agora tem acesso aos seus documentos também, e com isso pode abrir conta em banco, fazer dívida, contratar serviços, tudo em seu nome. Pode até mudar as senhas dos serviços! E, ao contrário das senhas de acesso, os números dos documentos não podem ser modificados. Fazer com que desapareçam do celular roubado, então, nem pensar. Conveniente, né?

O que não dá pra entender é por que o documento fica num aplicativo! Não bastaria tirar foto do documento e manter a foto no celular? Ah, mas a foto pode ser adulterada! E o aplicativo não? Ou será tão difícil fazer um aplicativo que mostra o documento virtual do jeitinho que o aplicativo do governo mostraria, mesmo que seja só a foto da tela de outro celular rodando o aplicativo, só que mostrando uma foto diferente? Será justamente pela facilidade de adulteração que o ENEM não aceita os documentos no celular?

Mas o mesário eleitoral aceita? É claro, no livro que você assina, do qual se destaca o comprovante de votação, aparece a foto de quem já foi biometricamente "fichado" no cartório eleitoral, e pra quem não foi, exige-se outro documento oficial com foto. Veja, pro documento eletrônico ser confiável, precisa haver um jeito de conferi-lo. Pra validar um e-CPF ou uma nota fiscal eletrônica, você acessa o endereço indicado e, se os dados conferirem (e o endereço for o esperado, vale lembrar), acredita-se na autenticidade.

Mas sabe o que isso quer dizer? Que qualquer um que tenha acesso ao endereço ganha acesso aos dados. O endereço de validação do e-CPF é chave pra acessar nome, CPF e os outros dados que lá aparecem. Nos aplicativos do Título de Eleitor e da Carteira Nacional de Habilitação, você digital alguns dados (que o ladrão agora tem) e consegue assim recuperar uma selfie e outros dados mais.

Pra isso funcionar, os dados precisam estar disponíveis, e a chave para desbloquear o acesso a eles na base de dados unificada do governo (que chamo carinhosamente de Sistema Informatizado Federal Unificado, ou SIFU) é a informação que você digita no aplicativo, ou o endereço ou QR-code que o app fornece para validação, provavelmente calculado a partir dessa mesma informação. Não era pras bases estarem unificadas ou integradas, porque facilita o estado policial, nem era pros dados estarem disponíveis, porque facilita o rastreamento privado e a obtenção de dados para roubo de identidade.

Considerando todos os fatos, fico bem menos preocupado com os nudes, que você pode escolher nem tirar, ou pelo menos não enviar nem armazenar sem criptografia forte, que com a selfie e os documentos que nosso governo faz o duvidoso favor de manter e disponibilizar. Pra evitar roubo de identidade, lembre disso quando for preencher um formulário que pede números de documentos, ou quando for mostrar a alguém um documento seu, eletrÕnico ou não.

E não deixe de cobrar de seus representantes legislativos a contenção e a proibição das medidas facilitadoras de um estado policial. Os Grandes Irmãos estatais e privados torcem para que você não faça isso, ou para que ninguém (mais) lhe dê ouvidos.

Ah, e veja lá se você quer mesmo usar o celular como chave de acesso pra tanta coisa.