Países dos Catorze Olhos: Como é que isto afecta a sua privacidade e segurança?

Explicação sobre os países com cinco, nove e catorze olhos.

Is data stored in the Five, Nine, Fourteen Eyes countries or in Switzerland at risk? No, if it's end-to-end encrypted, location does not matter.

No mundo cibernético interligado, há um número crescente de plataformas que fornecem correio eletrónico encriptado seguro, VPN, armazenamento na nuvem e outros serviços. No entanto, sempre que surge uma nova empresa, acaba por aparecer a seguinte frase: "Não utilize este serviço! Está alojado num país dos Catorze Olhos, só que pior seriam os países dos Cinco Olhos ou os países dos Nove Olhos!" Mas quem são os países dos Catorze Olhos? E, mais importante, que tipo de riscos de privacidade se corre ao utilizar serviços alojados nos 5, 9 ou 14 olhos?


Oh, que grandes olhos tens!

Países dos catorze olhos

A aliança de vigilância dos 14 olhos são serviços de informação estatais que monitorizam e partilham a atividade das pessoas na Internet. Fazem parte desta aliança os EUA, o Reino Unido, o Canadá, a Nova Zelândia, a Austrália, a Dinamarca, a França, os Países Baixos, a Noruega, a Alemanha, a Bélgica, a Itália, a Suécia e a Espanha.

Mas antes de podermos começar a examinar a estrutura e o funcionamento dos Catorze Olhos, temos de recuar e olhar para o início do atual aparelho de vigilância global, que tem as suas raízes na Segunda Guerra Mundial. Este leviatã da espionagem começou informalmente em Bletchley Park, durante o esforço britânico e americano para quebrar a máquina Enigma alemã. O início formal pode ser encontrado no Acordo Reino Unido-EUA, que foi promulgado em março de 1946. A aliança cresceu rapidamente com a inclusão do Canadá, da Austrália e da Nova Zelândia.

Países dos Cinco Olhos

A aliança dos serviços secretos Five Eyes inclui os EUA, o Reino Unido, a Austrália, o Canadá e a Nova Zelândia. Trata-se de um dos acordos multilaterais mais activos do mundo, em que todos os parceiros controlam e partilham informações, incluindo a atividade das pessoas na Internet.

O grupo central de agências de informação nacionais é conhecido como os países dos Cinco Olhos (ou FVEY): EUA, Reino Unido, Canadá, Austrália e Nova Zelândia.

Os Cinco Olhos passaram a Guerra Fria a recolher informações sobre a União Soviética, com diferentes nações a operar em locais específicos do globo. Mais tarde, outras nações passaram a estar envolvidas nesta operação de recolha de informações dos países dos Cinco Olhos, sendo normalmente designadas por terceiros.

Foi a atividade dos Cinco Olhos que mais tarde deu origem a grupos como os Cinco Olhos Mais, Seis Olhos, Nove Olhos, Catorze Olhos e outros terceiros.

O que são os 5, 9 e 14 olhos? Lista de países parceiros de vigilância

  1. Países dos Cinco Olhos: EUA, Reino Unido, Canadá, Austrália e Nova Zelândia.
  2. Países dos Cinco Olhos Mais: Five Eyes Plus é uma rede de partilha de informações entre os Cinco Olhos, a França, a Alemanha e o Japão com o objetivo de combater as ameaças da China e da Rússia.
  3. Países Seis Olhos: O Six Eyes foi um acordo falhado entre os Cinco Olhos, França, Israel, Singapura, Coreia do Sul e Japão. No entanto, o acordo fracassou devido à rejeição do diretor da CIA e do Presidente dos EUA, Barack Obama.
  4. Países dos Nove Olhos: A Nine Eyes é uma parceria de partilha de informações entre os países da Five Eyes, bem como a Dinamarca, a França, os Países Baixos e a Noruega.
  5. Países dos Catorze Olhos: Catorze Olhos é uma extensão dos Nove Olhos mais a Alemanha, Bélgica, Itália, Espanha e Suécia.

Wie 5 Eyes- und 14 Eyes-Länder Daten austauschen. Wie 5 Eyes- und 14 Eyes-Länder Daten austauschen.

Com todas estas nações a contribuírem e a partilharem informações, o que significa isto se viver num destes países ou se armazenar os seus dados nesse país?

Tudo para o ver melhor.

Sabemos, através das revelações de Edward Snowden sobre a vigilância global, que os programas de recolha de dados das agências de informação nem sempre evitam a recolha de dados dos seus próprios cidadãos - apesar de o direito à privacidade estar consagrado em muitas constituições, como a Constituição dos EUA e a equivalente alemã. A vigilância de alvos estrangeiros pode, muitas vezes, captar dados sobre os cidadãos de uma nação durante o processo de recolha, o que, dependendo da interpretação jurídica, pode ser considerado uma violação dos direitos civis.

Uma “solução alternativa” legal habitualmente utilizada foi a de as nações parceiras espiarem cidadãos interessantes em nome da sua nação anfitriã. Isto permite que um país como os Estados Unidos monitorize um jornalista de interesse, permitindo que outra nação, como o Reino Unido ou a França, vigie o cidadão americano. Isto deixa a nação anfitriã satisfeita, a nação espiã recebe informação que pode ser do seu interesse em troca dos seus esforços e, tecnicamente, não são infringidas quaisquer leis.

Os países que não pertencem a estes acordos podem não receber informações desta organização da mesma forma quid pro quo, mas nada impede que as nações Five Eyes ou Nine Eyes monitorizem diretamente o tráfego online.

Então, o que pode fazer se viver num destes países ou se utilizar um serviço online que opera dentro da jurisdição dos países dos Catorze Olhos?

A melhor forma de proteger os seus dados dos olhares indiscretos de Estados-nação, hackers, ameaças internas ou empresas de publicidade demasiado zelosas é manter encriptada a maior parte dos seus dados possível. Ao proteger os seus dados com uma encriptação forte, o conteúdo das mensagens, imagens ou documentos deixa de estar acessível. Se encriptar corretamente os seus documentos fiscais utilizando o AES antes de os carregar para a nuvem, existe um elevado grau de certeza de que estes dados não podem ser acedidos por qualquer pessoa não autorizada. Este tipo de encriptação é tão fiável que, em 2003, o governo dos Estados Unidos decidiu que o algoritmo AES era suficientemente seguro para ser utilizado para proteger documentos confidenciais. A privacidade depende do poder da encriptação dos seus dados e não necessariamente apenas da localização dos mesmos.

A Suíça faz parte dos 14 olhos?

Não, a Suíça não faz parte dos “Cinco Olhos”, “Nove Olhos” ou “Catorze Olhos”, mas isso não significa que não haja vigilância.

Muitos serviços orientados para a privacidade, incluindo o fornecedor de correio eletrónico encriptado Protonmail, gostam de fingir que a localização física dos seus serviços os isenta de cair nas redes do aparelho de vigilância global. Um caso comummente citado de uma “Zona Livre dos Catorze Olhos” é a pequena nação da Suíça.

Apesar de afirmarem que os dados alojados na Suíça são mais seguros, uma vez que o país está fora dos 14 Olhos (o que é tecnicamente verdade, uma vez que a Suíça não pertence ao acordo dos 14 Olhos), o Serviço Federal de Informações Suíço (NDB) monitoriza as comunicações de pessoas não suíças, tal como qualquer outro serviço secreto. O NDB utiliza um sistema de recolha de informações conhecido como Onyx. Um dos locais de recolha ativa operado por este serviço encontra-se na cidade de Leuk. O NDB também confirmou que mantém mais de 100 contactos com outros serviços secretos e agências de aplicação da lei a nível mundial e que partilha regularmente relatórios de informações, dissipando a noção de que este país se isolou de alguma forma do aparelho de vigilância global mais vasto.

Embora o governo suíço possa não pertencer a nenhum acordo de vigilância divulgado, isso não isenta as empresas de cumprirem os pedidos legais das suas autoridades locais. Esta é uma via frequentemente ignorada para obter informações sobre os utilizadores de serviços em linha baseados na Suíça.

Os países estrangeiros podem solicitar essas informações diretamente às autoridades suíças, por exemplo, através de tratados de assistência jurídica mútua, como o do Conselho da Europa. Mais recentemente, a Suíça assinou o “Segundo Protocolo Adicional à Convenção sobre o Cibercrime relativo ao reforço da cooperação e à divulgação de provas electrónicas”.

Isto parece contrariar a ideia popular de que esta nação funciona como um paraíso de dados contra pedidos de vigilância.

Por exemplo, se eu tiver uma conta de correio eletrónico na Suíça e a polícia suíça apresentar ao meu fornecedor de correio uma intimação suíça válida, este será obrigado a entregar a informação solicitada. Isto acontece regularmente entre as agências de aplicação da lei a nível mundial e estas relações são ignoradas quando se afirma que “a Suíça seria um paraíso seguro, uma vez que está fora dos Catorze Olhos”.

Embora a Islândia ou a Suíça afirmem estar fora do alcance dos países dos Catorze Olhos, as agências de aplicação da lei de ambos os países cooperam regularmente com os pedidos da Europol, o que torna os seus serviços tão propensos a entregar informações sobre os utilizadores como qualquer serviço baseado dentro dos Catorze Olhos.

Estamos a olhar para si.

Independentemente de onde você ou os seus dados estejam localizados, o importante é que os seus dados estejam devidamente encriptados. Ao tirar partido da plataforma de correio eletrónico seguro da Tuta, pode ter a certeza de que os seus dados estão encriptados, tanto através do cabo como em repouso.

Ao utilizar um serviço de correio eletrónico encriptado, não importa quem possa estar a tentar ouvir as suas conversas. Isto é crucial para as suas comunicações privadas, bem como para a sua conta de correio eletrónico empresarial. Ao criar uma conta de correio eletrónico com o Tuta Mail, obtém também um serviço de calendário com os mesmos padrões de encriptação e segurança, que excedem em muito os de qualquer outro serviço de calendário atualmente disponível.

No caso de receber uma ordem judicial válida, os dados só podem ser entregues na sua forma totalmente encriptada. Sem a chave de desencriptação, que só o utilizador possui, os seus dados são tão legíveis como uma poça de lama.

Para proteger melhor os seus dados contra ameaças futuras, a Tuta Mail está atualmente a trabalhar com vários institutos de investigação para desenvolver um algoritmo de encriptação pós-quântica que garantirá que os seus dados podem resistir a ataques de computadores quânticos. Isto também protegerá melhor o sigilo dos seus e-mails, para evitar que sejam recolhidos agora e desencriptados mais tarde.

Quando pensamos na privacidade pessoal e na segurança operacional em geral, temos de criar um modelo de ameaça exato para nós próprios, no qual possamos basear as nossas decisões em matéria de privacidade. O indivíduo médio provavelmente nunca será alvo de uma ameaça persistente avançada de um Estado-nação. Para algumas pessoas, o objetivo é proteger a disseminação indesejada de informações pessoais, outras podem estar a tentar evitar um perseguidor ou impedir o doxxing.

Os modelos de ameaça são tão únicos como a pessoa a quem se aplicam e é crucial que crie um modelo de ameaça preciso para si e para as suas necessidades de privacidade antes de iniciar o seu percurso de privacidade. As necessidades de um denunciante exigirão um grau de segurança operacional muito mais elevado do que as de um estudante.

Encriptado e anónimo

Independentemente do seu modelo de ameaça pessoal, o Tuta Mail pode atender às suas necessidades fornecendo uma plataforma segura, fácil de usar e criptografada para suas comunicações digitais. O Tuta Mail também permite a inscrição de um endereço de correio eletrónico sem número de telefone para proteger o seu anonimato.

A alegação de que o facto de Tuta estar sediado num “país dos catorze olhos” torna os seus dados mais acessíveis às autoridades não é simplesmente verdade. A questão com Tuta é que todos os dados são encriptados de ponta a ponta - por isso, nem mesmo o Serviço Federal de Informações alemão, o BND, tem acesso aos dados encriptados armazenados no Tuta Mail. Assim, quaisquer dados armazenados em Tuta também não podem ser partilhados com outras agências de informação. Estar sediado num país dos Catorze Olhos torna-se, assim, insignificante. Proteger a sua privacidade online não é uma corrida de velocidade ou uma tarefa única, é uma maratona. Se compreender melhor as suas necessidades de privacidade e definir objectivos claros para proteger os seus dados pessoais, estará muito mais perto de manter uma vida digital mais saudável.