Os pesquisadores criaram uma extensão de navegador de Internet que verifica automaticamente a autenticidade das postagens. A assinatura criptográfica, visível em cada postagem à esquerda, está oculto ao executar a extensão à direita. Crédito:Michael Nekrasov
Comunidades minoritárias e dissidentes enfrentam um desafio desconcertante em países com governos autoritários. Eles precisam permanecer anônimos para evitar perseguições, mas também deve estabelecer uma identidade confiável em suas comunicações. Um grupo interdisciplinar de pesquisadores da UC Santa Barbara projetou um aplicativo para atender a esses dois requisitos.
Pesquisadores de ciência da computação e comunicação afiliados ao Centro de Tecnologia da Informação e Sociedade da universidade viajaram para três países para avaliar os desafios que grupos minoritários enfrentam para manter um ambiente seguro, presença confiável nas redes sociais. Com base no feedback das comunidades, a equipe desenvolveu um aplicativo para o sistema operacional Android que protegeria o anonimato dos membros do grupo e também verificaria a confiabilidade das postagens vindas do grupo. Um artigo detalhando a tecnologia apareceu no Jornal de serviços e aplicativos da Internet .
O time, liderado pela professora de ciência da computação Elizabeth Belding, viajou para a Mongólia, Zâmbia e Turquia, onde colegas de instituições locais os conectavam a membros de comunidades marginalizadas. No momento, esses países ofereceram uma alternativa relativamente segura para outras nações com discurso restrito, como a Rússia, China e Egito. Cerca de duas semanas depois que o grupo visitou a Turquia, Contudo, uma tentativa de golpe de estado levou o governo a reprimir a dissidência política.
Entrevistas e pesquisas com o público em geral e com membros de grupos marginalizados nesses países confirmaram que manter o anonimato é crucial para a proteção. Mas tem desvantagens, como a equipe logo aprendeu. "O problema da comunicação anônima é que você não sabe se é confiável, "disse Miriam Metzger, um professor do departamento de comunicação, e um dos co-autores do artigo. "Se você está apenas recebendo uma mensagem e não sabe de quem ela está vindo, você provavelmente não fará o que aquela mensagem lhe diz para fazer. Especialmente se for arriscado. "
É aqui que entra o SecurePost. O aplicativo permite que as comunidades criem grupos seguros no Twitter e no Facebook que lhes permitem manter presença visível nas redes sociais. Isso permite que construam confiança com seus leitores ao longo do tempo, explicou Michael Nekrasov, estudante de doutorado em ciência da computação e principal autor do artigo.
O que é revolucionário é que o SecurePost permite que um grupo opere sem qualquer lista de seus membros individuais. Adicionalmente, o aplicativo verifica as postagens do grupo, sinalizando qualquer conteúdo que não tenha as credenciais adequadas. Desta maneira, cada membro é protegido por seu anonimato, mesmo se o grupo for infiltrado ou hackeado, ao mesmo tempo, as comunicações do próprio grupo são verificadas como confiáveis.
Naturalmente, essas comunidades querem um conveniente, ainda uma maneira segura de estender convites de sócios. A equipe de pesquisa descobriu que muitos grupos usavam senhas para isso, no entanto, compartilhar uma senha sempre coloca a conta em risco. "O que descobrimos foi, as pessoas não diriam apenas a senha para alguém, "disse Nekrasov." O que eles fariam é escrever ou enviar em uma mensagem, e isso é incrivelmente inseguro. "
Em vez disso, a equipe desenvolveu um método muito mais seguro para convidar um novo membro para o grupo. O processo envolve a troca de códigos QR seguros visualmente ou por meio de uma conexão confiável, uma técnica que usa um par de visuais, chaves públicas e um segundo par de chaves ocultas, chaves privadas para enviar e receber informações criptografadas. Isso garante a segurança do convite, mesmo que um terceiro esteja testemunhando a troca, disse Nekrasov, porque a chave privada está oculta no dispositivo da pessoa que está entrando no grupo.
Assim que o novo membro entrar no grupo, eles recebem um novo par de chaves. A chave privada permite que eles assinem postagens em nome do grupo. A chave pública, que qualquer pessoa pode ver e usar, permite que qualquer usuário de mídia social - incluindo aqueles que não fazem parte do grupo - verifique as postagens. Isso garante que se uma postagem for forjada ou modificada por uma rede social ou governo, qualquer usuário poderá identificá-lo como uma falsificação.
O conteúdo carregado de uma conta por meio do SecurePost aparece como se tivesse um único autor, sem nenhuma maneira de identificar pôsteres individuais ou a lista de membros de um grupo. Ele consegue isso hospedando o grupo em um servidor proxy de terceiros, que mascara o endereço IP do indivíduo da rede social. "Isso significa que você não precisa confiar em ninguém de fora, "disse Nekrasov." Um grupo pode executar seu próprio servidor e verificar tudo o que está acontecendo. "
O que mais, SecurePost anexa uma assinatura criptográfica à postagem, gerado a partir da chave privada do membro do grupo. O aplicativo verifica automaticamente a autenticidade dessa assinatura para qualquer outra pessoa que esteja executando o programa, independentemente de seu status de associação em um grupo específico. Como o servidor proxy nunca realmente recebe a chave privada dos usuários, o recurso de verificação pode sinalizar conteúdo, como postagens feitas por um impostor ou alguém que invadiu o proxy.
A equipe projetou o SecurePost com a realidade de seus usuários em mente. Eles produziram o aplicativo para o sistema operacional Android, que representava 86% da participação no mercado global na época. Eles também o tornaram compatível com dispositivos mais antigos, de modo que a partir de outubro de 2017, 99,9 por cento dos dispositivos Android registrados no Google podiam executar o aplicativo. Isso é importante porque muitos indivíduos nos grupos de usuários-alvo usam telefones com sistemas operacionais mais antigos, que são mais baratos de comprar.
SecurePost também pode operar sem uma conexão contínua com a Internet, uma necessidade em muitas regiões onde encontrará uso. Em vez de enviar conteúdo imediatamente, o aplicativo o armazena no dispositivo e o publica quando a conectividade com a Internet é retomada. Para contornar a vulnerabilidade que isso cria se as autoridades confiscarem o dispositivo, SecurePost também criptografa todos os dados com uma senha para todo o aplicativo. Se o usuário estiver sob coação, ele pode fornecer uma senha falsa que apaga os dados do aplicativo, incluindo as chaves de grupo.
A equipe espera que o software seja desenvolvido em um produto completo com um alcance mais amplo. "No fim do dia, não somos uma empresa, nós somos pesquisadores, "disse Metzger." Podemos desenvolver aplicativos, e podemos colocá-los na app store, mas não temos um orçamento para comercializá-los. "
"Mas podemos criar novos sistemas em torno dos quais uma empresa poderia construir um negócio e comercializar, "Ela acrescentou." E é assim que essas tecnologias podem ter um grande impacto. "