Neste maravilhoso dia de verão trago-vos notícias que não são das melhores. Não são das melhores por vários aspetos, sendo um deles a questão da segurança informática. E porque é que hoje é um bom dia para falar deste tema? Porque li hoje na imprensa que “mais de metade dos portugueses querem investir em cripto”.
Interessante escolha para o título deste artigo e que certamente já me arranjou um séquito de “haters" dos quais já fazem parte os “brick layers” disto ou daquilo do mundo das tecnologias. Mas antes de me aprofundar no tema, dou nota que para mim a tecnologia é uma escada que permite à humanidade alcançar o pináculo da sua evolução e que em tempos um simples escadote era futurista até ser suplantado pela versão extensível. Feita esta introdução, convém explicar que a DARPA (Defense Advanced Research Projects Agency), que para quem não sabe é a mãe da ARPANET e esta por sua vez a mãe da Internet, tem algumas suspeitas relativamente à blockchain. Certamente alguns dirão que nada que “eles” possam controlar é para demonizar, aliás, o mesmo argumento nas criptomoedas é aplicado, alegando que esta tecnologia é o futuro não controlado das finanças; não vou dizer o contrário, mas vou relembrar o estrondo recente das criptomoedas que a muita boa gente está a custar tudo o que lá colocaram (sim, há malta que não as comprou a 1 cêntimo para agora ter 20 mil euros na mão, há quem as tenha comprado a 60 mil euros cada uma).
Mas voltando à questão: a DARPA, fascinada com a ideia de descentralizar o armazenamento, olha para a blockchain como uma potencial revolução e, portanto, solicitou a um grupo largo de especialistas empresariais e universitários das terras do tio Sam um estudo profundo. Eu, pessoalmente, gosto dos estudos norte americanos por várias razões sendo a primeira o facto de terem mais Nobel por nação e depois porque mesmo assim, a malta nega a realidade e consegue contaminar o resto do planeta com a sua versão da terra plana. Adiante! A blockchain é altamente atrativa porque permite descentralizar a tecnologia e promover a segurança, o controlo dos utilizadores, SSI, controlo das finanças pessoais, identidade digital e tem como as suas mais valiosas capacidades, a transparência, a privacidade e a imutabilidade. Estas são as razões fundamentais que permitem coisas fantásticas como os NFT, as criptomoedas e permitem coisas mais, como qualquer ideia que necessite de garantir que o registo do resultado dessa ideia fique impresso numa espécie de “pedra” da tecnologia. Convencida desta maravilha, a DARPA solicitou à Trail Bits uma análise e esta depressa colocou os pés ao caminho. E já que estamos nas apresentações, passemos à idoneidade da Trail Bits porque é necessária para esta nossa conversa.
Quem é a Trail Bits? Nem mais nem menos que uma empresa cujas inovações estão empregues em várias empresas, desde a Google à Reddit, do Airbnb ao Phyton, you name it! Eles estão em todas. Desde 2012 que a missão destes é segurar todos os dispositivos que necessitam de mais um par de olhos nas questões de segurança antes ou depois de estarem disponíveis ao mundo. Com recurso a um leque de colaboradores que são nome na nossa praça, dos quais destaco o Adam Meily, o Alex Sotirov e o português, Filipe Casal, esta empresa atende à sua clientela de topo nas suas mais complexas necessidades de cibersegurança.
Um imenso ecossistema
Como a maioria dos profissionais da segurança informática está cansado de dizer, a segurança não se termina nos algoritmos criptográficos, não se centra na componente do segredo e não olha só para as pessoas; a segurança informática é um imenso ecossistema que cresce diariamente nas suas variadas componentes. Foi com esta premissa que a Trail Bits analisou a Blockchain e sabendo que esta se alimenta de vários recursos, levou para debaixo do microscópio as questões de rede, protocolos de consenso, implementações, isto é, o tal ecossistema essencial para o seu funcionamento, e não demoraram a retornar com resultados desconfortáveis, como “Cada blockchain amplamente utilizada tem um conjunto privilegiado de entidades que podem modificar a semântica do blockchain para potencialmente mudar transações passadas”. Eu pessoalmente fiquei abesbílico com esta afirmação pois o que nos diz é que alguém com poderes suficientes em determinada utilização pode alterar registos passados; ora, de uma assentada lá se foi a imutabilidade, a privacidade e a transparecia. Não são notícias confortáveis para a comunidade porque aspetos fundamentais agora são questionáveis, contaminando as criptomoedas e o SSI, sendo que este último possui importantes funções e por isso é “supervisionado” por várias entidades para evitar conluio entre interessados.
Mas os achados não terminaram por aqui, pois segundo o estudo desta empresa “O número de entidades suficientes para interromper uma blockchain é relativamente baixo: quatro para Bitcoin, dois para Ethereum e menos de uma dúzia para a maioria das Proof-of-Stake”, este último como uma alternativa ao Proof-of-work (POW), o mecanismo de consenso original usado para validar uma blockchain e adicionar novo bloco. Este simples facto revela que este reduzido número de entidades é o suficiente para criar uma rede insegura e deitar por terra a descentralização.
Não obstante os apontamentos relatados serem críticos, não são os Show Stopper, esse fica a cargo da possibilidade de único ISP poder interferir no processo geral pois, e a título de exemplo, 60% do tráfego da Bitcoin passa apenas por três ISP; exatamente o que leu, três (ainda se lembram do ataque à Vodafone?). Já não basta que a Bitcoin assente cerca de 20% da sua computação em Bitcoin Core desatualizado e vulnerável desde 2021, ter tanto tráfego em tão poucas mãos é realmente nefasto. Não é necessário extrapolar para “cair na real” relativamente a esta fragilidade pois atacando profundamente um deles via hackers, entidades governamentais ou outros agentes, tudo o que ande à volta de uma blockchain fica comprometido e nem estou a entrar em pormenores altamente complexos como a camada de identidade baseada em blockchain que Jack Dorsey está desenvolver.
Esta é a realidade por debaixo do capot da blockchain e não deixa de incomodar o saber que “A maioria dos nodes da Bitcoin possuem incentivos significativos para se comportarem de forma menos honesta, e de facto, não há uma forma conhecida de criar uma qualquer blockchain sem permissão que seja imune a nodes maliciosos sem ter um TTP (Trusted Third Party”.
Não são de facto boas notícias, mas também não são novas notícias. Já anteriormente os gurus da segurança como Jorge Stolfi, Bruce Schneier entre outros, 1500 outros, tinham enviado uma carta aberta ao Congresso Norte Americano a expor as suas preocupações fundamentadas cientificamente sobre esta tecnologia. Na sua ótica ela não é má, mas como está distribuída é catastrófica e necessita rapidamente de ajustes técnicos e de confiança por parte das entidades que a usam. Acima de tudo que resistam à pressão de interesses que querem manter este conceito desregulado e não-verificado, onde em cima dele assenta muito valor económico e patrimonial de comuns cidadãos.
Em tom de despedida, transcrevo uma parte importante da carta ao Congresso para que não haja dúvidas.
“As software engineers and technologists with deep expertise in our fields, we dispute the claims made in recent years about the novelty and potential of blockchain technology. Blockchain technology cannot, and will not, have transaction reversal or data privacy mechanisms because they are antithetical to its base design. Financial technologies that serve the public must always have mechanisms for fraud mitigation and allow a human-in-the-loop to reverse transactions; blockchain permits neither.”
Pessoalmente não creio que a blockchain veja o seu fim por causa deste estudo, mas acredito pessoal e seriamente que este terá uma forte repercussão na comunidade e nem toda produzirá um bom feedback. Na minha opinião e não só, a sociedade pegou no conceito blockchain ao colo e está a fazer com ele o caminho das .com (dot com) do século passado; todos sabemos como acabou esse filme. Mas mais perigoso que especular com ela, está o endeusá-la para garantir que “eles”, sejam quem eles forem ou que teoria da conspiração se siga, não aprofundem controlo.
Já em despedida acrescento: não vim conversar convosco sobre ficção científica, vim dar conhecimento de trabalho académico e científico das mais prestigiadas mentes da segurança informática, muitas delas fundadoras de coisas que hoje garantem que a nossa conta bancária esteja segura.
A blockchain é muito mais que confiança sendo essa a sua maior vulnerabilidade e aqui e não só, concordo com o Bruce.
