terça-feira, julho 28, 2015

Treta da semana (atrasada): as passwords.

Tem-se noticiado que um tal “plano B” de Varoufakis incluiria, entre outras coisas, «piraterar passwords de contribuintes»(1) ou «piratear dados dos contribuintes»(2). Com este tipo de jornalismo, não admira que depois o pessoal julgue que Varoufakis «preparou-se para aceder a um programa que não era dele (hacking) para de maneira ardilosa “sacar” dinheiro (pishing) para criar uma banca paralela»(3) e disparates do género. Talvez se os jornalistas tivessem ouvido o que ele disse antes de escreverem as notícias a confusão teria sido menor (4).

O plano de Varoufakis era criar um sistema que permitisse ao Estado grego continuar a pagar prestações sociais, salários e compras mesmo que, como aconteceu, o BCE paralisasse a banca grega para forçar o governo a aceitar quaisquer condições que a troika quisesse impor. Foi, aliás, esse o propósito destes meses de “negociações” em que a Alemanha, principalmente, rejeitou sempre qualquer proposta da Grécia. Era só uma questão de tempo até começarem a vencer os empréstimos da “ajuda” e os gregos ficarem entalados. Para escapar a essa forma previsível de coação, Varoufakis planeou organizar uma base de dados e aplicações que permitissem ao Estado grego atribuir uma linha de crédito a cada contribuinte grego, onde creditaria pensões, salários e outros rendimentos. Cada contribuinte teria então um PIN que lhe permitiria transferir esse crédito para outros e, assim, a economia poderia continuar a funcionar mesmo com os bancos fechados.

Se isto fosse feito em qualquer país normal, o ministério das finanças teria acesso fácil aos dados dos contribuintes e à informação necessária para organizar esse sistema. Que não exige bisbilhotar passwords nem piratear coisa nenhuma. Bastaria implementar essa funcionalidade adicional nos servidores das finanças, criar uma aplicação para o telemóvel, e enviar a cada contribuinte um SMS com o PIN e instruções para fazer as suas transferências. Só que, na Grécia, essa informação é gerida e monitorizada por Bruxelas. O ministério grego das finanças não pode aceder aos dados dos contribuintes gregos sem passar por burocratas estrangeiros o que impedia que Varoufakis preparasse este plano de contingência sem a troika saber. Foi apenas por isso que o ministério grego das finanças teve de contornar as protecções do software do próprio ministério para ter acesso à informação que está normalmente acessível a qualquer ministério das finanças em qualquer país que não esteja em regime de colonato. A “pirataria” que ele estava a fazer é igual à “pirataria” que o nosso ministério das finanças faz quando nos manda emails a lembrar que temos contas para pagar. Nada mais do que isso.

Há nesta história dois aspectos claramente merecedores de serem notícia. Um é o poder que o BCE tem sobre qualquer país do Euro, que lhe permite atropelar a democracia e sobrepor-se à vontade dos eleitores a menos que se tome medidas extremas como a de criar um sistema financeiro independente dos bancos. O outro é a ingerência dos credores nas instituições gregas. Só porque compraram a dívida da Grécia aos bancos privados, para salvar os bancos privados, agora até controlam o acesso do ministério das finanças aos dados dos contribuintes. Mas em vez de focar estes problemas sérios e que nos dizem bastante respeito, os jornais e telejornais portugueses propagam um relato absurdo segundo o qual Varoufakis andaria a piratear passwords. Normalmente, prefiro não atribuir ao dolo aquilo que se pode explicar por mera incompetência. Mas neste caso é difícil.

1- TVI 24, Plano secreto de Varoufakis incluia piraterar passwords de contribuintes
2- DN, Plano B de Varoufakis incluía piratear dados dos contribuintes
3- Observador, Gravação áudio. Já pode ouvir Yanis Varoufakis a falar do Plano B
4- Teleconferência (mp4)

6 comentários:

  1. Uma das desvantagens de estar na UE é não podermos pensar, por exemplo, em seguir um rumo diferente, em fazer, se necessário, uma revolução ou um golpe de Estado, em encontrar soluções fora da UE. E isto é deprimente. Sobretudo se pensarmos que o endividamento é (pode ser) uma estratégia de avassalamento e de rendição de um povo, por culpa de desgovernos "comprados". Num sistema destes não há qualquer lugar para a esperança. Estamos esmagados. Não somos nem nunca seremos ninguém. Para países "oprimidos" "deprimidos", não há primavera.

    ResponderEliminar
  2. Olha ó idiota, vai lá copiar o sistema informático da AT para um pc teu para descobrires os usernames e passwords dos contribuintes a ver o que te acontece.
    Um governo, ao mais alto nível, com conhecimento do 1º ministro e tudo, esteve clandestinamente a fazer uma coisa totalmente ilegal.
    Ou agora, seja lá porque razão for, os governos estão acima da lei e podem fazer o que lhes dá na gana?
    E nem foi em Angola ou no Zimbabué, foi num país europeu membro de uma comunidade de países com quem assinou tratados. Além de ser responsável perante o seu povo, também é responsável perante os parceiros europeus.

    ResponderEliminar
    Respostas
    1. Se eu for o diretor-geral da AT ou tiver recebido ordens dele para isso não me acontece nada; aliás, eu no meu trabalho (num hospital) frequentemente faço uma coisa parecida - faço o dowload de informação dos programas de recursos humanos e de gestão de doentes do ministério da saúde para obter informação que me é pedida pelos meus superiores hierárquicos.

      Eliminar
  3. Caro Atomez,

    «Olha ó idiota, vai lá copiar o sistema informático da AT para um pc teu para descobrires os usernames e passwords dos contribuintes a ver o que te acontece.»

    Obrigado, em primeiro lugar, pelo contributo positivo e educado. Bem vindo ao meu blog.

    Quanto ao problema de “descobrir” usernames e passwords, não se coloca neste caso. Em primeiro lugar, porque era informação legalmente detida pelo ministério das finanças a ser processada por técnicos sob a alçada do ministério das finanças no ministério das finanças. Em segundo lugar porque não precisavam das passwords para nada nem iam fazer nada com elas. E, em terceiro lugar, porque só se um idiota tiver criado aquele sistema é que estão lá as passwords guardadas. As boas práticas de gestão deste tipo de base de dados recomendam que o que seja guardado seja o resultado de uma função de derivação de chave como a PBKDF2, por exemplo.

    ResponderEliminar
    Respostas
    1. [...]As boas práticas de gestão deste tipo de base de dados recomendam que o que seja guardado seja o resultado de uma função de derivação de chave[...]

      Exactamente! No entanto, é incrível a quantidade de aplicações profissionais que se podem encontrar à venda no mercado e que têm as palavras passe à vista. Verdade que estão dentro de uma base de dados, mas é um erro de palmatória!

      Eliminar
  4. No caso das Finanças portuguesas, cometi o erro de subscrever as notificações da viaCTT. Descobri mais tarde que não só a recuperação da password é feita via telemóvel, em texto simples, com uma palavra-passe de recuperação que é sempre a mesma, como que uma vez subscrito o serviço não pode ser abandonado pelo contribuinte...

    Os CTT foram privatizados, e preferia que toda a minha informação fiscal, todas as notificações e mecanismos de recuperação de acesso ficassem sob a alçada do Estado, e não dos privados. Acho que me lixei...

    ResponderEliminar

Se quiser filtrar algum ou alguns comentadores consulte este post.