Por Programa Oriente Médio e África do Norte e Programa de Tecnologia da Comissão para a Proteção dos Jornalistas (CPJ, por sua sigla em inglês)
O aplicativo de mensagens Telegram é muito popular no Irã, país onde os cidadãos que têm acesso limitado a conteúdo sem censura de notícias e mídias sócias, tais como Facebook e Twitter, usam-no para compartilhar e acessar informações. Contudo os, aproximadamente, 20 milhões de usuários iranianos, incluindo aqueles que usam o Telegram para denunciar e se comunicar com as fontes, podem estar colocando em grave risco o sigilo de dados, alertam especialista em segurança.
Criado em 2013 por dois irmãos russos, Telegram é descrito como uma alternativa a aplicativos como o WhatsApp, oferecendo segurança e privacidade. Contudo, enquanto o WhatsApp usa criptografia de ponta-a-ponta por padrão em todo o fluxo usando o altamente seguro protocolo de criptografia de Signal, o Telegram não o faz. Especialistas em segurança expressaram ceticismo sobre a criptografia esotérica usada pelo Telegram, dizendo que o aplicativo é mal pensado e implementado.
No Irã – país que ocupa o sétimo lugar na lista dos 10 Países Mais Censurados do CPJ – as autoridades têm bloqueado milhões de sites de notícias e redes sociais, e usado de detenções arbitrárias como forma de silenciar a tensões. O Irão é também o terceiro pior carcereiro de jornalistas do mundo, de acordo com último censo do CPJ. Em pelo menos dois casos do censo, os jornalistas foram presos por postagens em mídias sociais.
“Se as mídias sociais não fossem filtradas no Irã, os aplicativos de mensagens instantâneas seriam usados na mesma frequência que em outros países. Os usuários iranianos provavelmente escolheriam o Twitter ou o Facebook“, relatou o blogueiro iraniano conhecido como Vahid Online ao CPJ. O blogueiro, que vive nos EUA e tem mais de 44.000 seguidores no Telegram, usa o aplicativo para postar resumos de notícias e as principais reações a elas. Muitas das reações são tweets, postagens no Facebook ou em blogs que seriam bloqueados para os iranianos.
Vahid Online diz que a função Canal do Telegram, um método de comunicação sentido único que permite aos usuários compartilhar conteúdo com grandes audiências, tem sido fundamental para atrair usuários iraniano. “Há um grande número de pessoas nas cidades iranianas que nunca tiveram acesso a computadores e nem sequer possuem uma conta de e-mail, mas que agora estão conectados a comunidade virtual graças ao Telegram”, afirma. “Muitos dos vídeos do YouTube que durante anos foram bloqueados para os iranianos, agora são compartilhados no Telegram e muitos iranianos podem de vê-los pela primeira vez”. Um exemplo disso aconteceu em fevereiro durante a eleição parlamentar Iraniana. No período, o ex-presidente Mohammad Khatami postou um vídeo no YouTube encorajando as pessoas a votarem em todos os candidatos que haviam sido publicados na lista reformista. Khatami é banido da mídia no Irã e o YouTube é bloqueado. No entanto, o vídeo foi amplamente compartilhado no Telegram.
Agências de notícias oficiais e jornalistas também estão usando telegrama para atingir seu público. Um relatório informal da CPJ sobre as contas do Telegram revelou que as postagens de jornalistas filiados com as agências oficiais de notícias eram consistentes com suas reportagens sancionada pelo Estado e que a maioria das mensagens foram usadas como uma maneira de obter informações rapidamente. A discrepância na forma como o aplicativo é usado para compartilhar e reportar notícias foi exemplificada no dia 3 de maio, quando imagens que mostram a libertação de cartunista Atena Farghadani, que havia sido presa desde janeiro do ano passado, foram amplamente divulgadas por blogueiros e jornalistas em canais do Telegram, mas ignoradas no Telegram pela mídia estatal e canais mais tradicionais.
Embora o Telegram tenha ajudado a abrir um espaço importante para diálogos no Irã, um grande número de especialistas em segurança tecnológica alertam que as falhas de segurança do aplicativo tornam-no inseguro. Nima Fatemi, pesquisador independente de segurança com que vive nos EUA, afirma, “O Chat Normal, que é a opção padrão, não utiliza a criptografia de ponta-a-ponta, o que significa que o Telegram e qualquer um com quem eles compartilhem seus dados, pode ler, armazenar, analisar, manipular ou censurar as conversas dos usuários”.
Segundo o chefe de apoio do Telegrama, Markus Ra, a afirmação de que a criptografia do aplicativo não é suficientemente sólida não é verdadeira. Segundo ele, a opção de bate-papo secreta (Secret Chat) usa criptografia de ponta-a-ponta e que o Telegram não tem acesso pleno aos textos desta opção. Ra afirma, “Graças aos nossos aplicativos serem de fonte aberta, isso pode ser facilmente confirmado por qualquer interessado”. Ra disse ainda que, tecnicamente, conversas nas nuvens podem ser decifradas pelo servidor, mas acrescentou: “Nós revelamos exatamente zero bytes de dados dos usuários para terceiros desde o dia do nosso lançamento, em agosto de 2013”.
É claro que, divulgar dados de usuários de bom grado não é a mesma coisa que deixá-los vulneráveis. Por exemplo, no final de abril, as contas de usuários do Telegram de dois ativistas russos foram acessadas por terceiros, segundo o jornal The Moscow Times. Os ativistas culparam o MTS, uma das maiores operadoras de telefonia móvel da Rússia, que inicialmente reconheceu que a configurações dos telefones dos proprietários haviam sido adulteradas por seu “departamento de segurança”, mas depois negou qualquer interferência deliberada, afirmou o jornal.
“Se algum dos servidores [do Telegram] for comprometido, todos os dados dos usuários ficarão no ar”, disse Fatemi. “Sabemos pela revelação de Snowden que nenhum computador pode ser protegido de hackers. Especialmente se for um alvo suculento com milhões de conversas de usuários nele armazenados”.
Em sua mensagem ao CPJ, Ra vincula a Tabela de Resultados do Sistema de Segurança da Eletronic Frontier Foundation, publicado em 2014, como uma forma demonstrar como o código-fonte aberta do aplicativo resultou em uma auditoria positiva. O bato papo secreto do Telegram ganhou uma classificação perfeita na primeira avaliação da tabela de resultados. No entanto, a Electronic Frontier Foundation alertou em seu site, que a tabela está “desatualizada, e é mantida aqui por razões puramente históricas”.
“Estamos em processo de refazer a tabela, dessa forma a versão que cita o Telegram não é atual e nunca teve a intenção de promoção”, disse Nate Cardozo, advogado sênior da Electronic Frontier Foundation, em entrevista ao CPJ. “A versão 1.0 da tabela não reflete a atual opinião da EFF a respeito de criptografia, e nem encoraja ninguém a usá-la para fins práticos de consulta”.
Cardozo apontou “falhas críticas” no aplicativo Telegram, incluindo a sua falta de criptografia de ponta-a-ponta e seu uso do protocolo não-padrão de criptografia MTProto, que tem sido criticado publicamente por pesquisadores em criptografia, incluindo Matthew Green, professor assistente de ciência da computação no Instituto de Segurança da Informação Johns Hopkins (Johns Hopkins Information Security Institute) e um dos principais especialistas em criptografia aplicada.
Detalhes aparentemente arcanos, tais como um protocolo de criptografia e implementação de um aplicativo pode impactar diretamente a vida dos jornalistas que usam esses aplicativos. A CPJ recomenda que os jornalistas usem o WhatsApp ou Signal como uma ferramenta mais segura para se comunicar, uma recomendação repetida por Cardozo. Ambos os aplicativos utilizam o protocolo de codificação do Signal, o qual é baseado em algoritmos criptográficos abertos e bem testados. O protocolo de Signal, que o pessoal da CPJ usa para os nossos trabalhos mais sensíveis, foi revisado e aprovado por especialistas em segurança.