Na semana passada, os cidadãos russos começaram a receber instruções para usar um browser aprovado pelo governo ou para alterar as configurações básicas dos seus browsers, de acordo com as instruções emitidas pelo Ministério do Desenvolvimento Digital e das Comunicações.
Por um lado, essas mudanças podem ser necessárias para que os russos acedam a serviços e sites governamentais afectados por sanções internacionais. No entanto, é um desenvolvimento preocupante: a medida provisória do estado russo para manter os seus serviços a funcionar também permite espiar os cidadãos, agora e no futuro.
As entidades de governança da Internet ICANN e RIPE rejeitaram os pedidos da Ucrânia para revogar os domínios de primeiro nível russos, o acesso aos servidores raiz do Sistema de Nomes de Domínio (“Domain Name System” ou DNS) e aos seus endereços IP. No entanto, as sanções internacionais impactaram fortemente a infra-estrutura da Internet na Rússia. Em parte, isso aconteceu porque as Autoridades de Certificação (CAs), os notários confiáveis que sustentam a segurança de dados na Web, começaram a recusar pedidos de domínios que terminam em “.ru” e revogaram certificados de bancos com sede russa. Como as CAs internacionais como Digicert e Sectigo pararam de funcionar em grande parte para os sites russos, o governo interveio e sugeriu que os cidadãos instalassem a sua “Russian Trusted Root CA”.
Embora os recursos da nova autoridade de certificação de raiz da Rússia não sejam completamente claros, o certificado é válido por dez anos. Ele tem a capacidade não apenas de emitir certificados para domínios; também pode inspecionar o tráfego dos utilizadores que comunicam com esses domínios.
Apesar dessa nova CA raiz patrocinada pelo estado ter sido aparentemente motivada pelas sanções internacionais contra a Rússia, o governo russo há muito mostra sinais de querer mais controlo sobre a infra-estrutura da Internet. A Rússia aprovou uma lei de censura da “Internet soberana” em 2019 e, no ano passado, o seu governo fez um teste para ver se poderia desligar-se da Internet global.
A Internet não são apenas linhas de transmissão e centros de dados (“data centers”). A infra-estrutura da Internet também inclui serviços técnicos como “resolvers” do DNS, CAs, “gateways” da Internet e registos de domínios. Será difícil para o Estado russo criar versões inteiramente domésticas e controladas pelo Estado de todos esses serviços. Mas os incentivos para tentar estão a aumentar. Por exemplo, o fabricante de hardware de redes Cisco cortou recentemente relações com empresas russas em resposta à invasão da Ucrânia, deixando claro que a Rússia não pode contar com a Cisco para a ajudar na vigilância e censura doméstica (Ironicamente, a Cisco não teve escrúpulos em ajudar outros regimes com censura e, de facto, teve um papel central no desenvolvimento da tecnologia personalizada necessária para construir a “Grande Firewall” da China).
Alguma versão de uma Internet nacional independente – a chamada “splinternet” – pode ser descrita em termos de auto-suficiência doméstica, mas inevitavelmente traz oportunidades para a vigilância do Estado. A Rússia não é o primeiro país a tentar isso. Em 2019, o Cazaquistão tentou a vigilância por “dragnets” com o seu próprio certificado raiz. O estado iraniano propôs um projecto de lei para controlar “gateways” internacionais, para que o tráfego de saída do país seja encaminhado através de uma agência ad hoc controlada pelas forças armadas e agências de segurança. Na UE, há uma proposta para mandatar CAs em browsers, sem capacidade de desafiar ou garantir a segurança e a autonomia do browser – em nome da segurança do utilizador. Todas elas são tentativas de criar fronteiras na Internet e definem modelos perigosos para outros governos executarem.
Não se sabe quando ou se a Rússia se vai desligar da Internet estrangeira – ou se isso é possível. Mas para o povo da Rússia, incluindo muitos que se opõem à invasão da Ucrânia, a segurança digital já foi colocada em risco. A autoridade de certificação que os russos foram instruídos a instalar abre o caminho para uma década de vigilância digital, com o poder de contornar as medidas de privacidade criptográfica das quais qualquer utilizador da Internet depende.
TICtank 