Em breve será possível votar de forma segura pelo celular

Votar para presidente a partir do seu smartphone? Seria possível com a ajuda da blockchain e de sensores que já habitam nossos celulares.

forma como votamos em nossos representantes parece ficar cada vez mais anacrônica a medida que smartphones passam a atender e concentrar nossas necessidades rotineiras. De aplicativos de mensagens a mobile banking, passando por delivery de comida ou ainda falantes assistentes pessoais para organizar a sua agenda, há uma versão digital e móvel para – quase – todo tipo de urgência contemporânea nossa.

Uma das fronteiras ainda a ser superada diz respeito ao processo eleitoral. Se nos fosse permitida a opção de votar por nossas telas, teríamos maior engajamento das populações ao redor do mundo? Nos Estados Unidos, por exemplo, onde o voto não é obrigatório, o país figura na 31ª posição de um ranking de engajamento que cobre 35 países, segundo a Pew Foundation. Entretanto, assegurar um exercício democrático essencial às sociedades em plataformas móveis passa por algumas complexidades – afinal como garantir a idoneidade do ato em dispositivos suscetíveis a vazamentos ou invasões? A saída, defendem especialistas, pode estar na blockchain.

O que faz da Blockchain segura?

A tecnologia surgiu em 2008 para sustentar o bitcoin – mais tarde ela viria a ser usada por outras criptomoedas, como a ether. Em resumo, a blockchain (corrente de blocos, na tradução literal) é uma espécie de grande livro contábil, onde são registradas, por exemplo, transações de valores de um emissor para um destinatário e de forma descentralizada e distribuída. Isso significa que qualquer pessoa pode ter uma cópia desses registros em seu próprio computador, basicamente como funcionam os torrents.

Dada as suas características, a blockchain configura como um protocolo da confiança. Nela, todas as transações que acontecem são reunidas em blocos, onde cada um é ligado ao anterior por um elo e cada bloco é trancado por uma chave de criptografia. Para hackear o sistema, uma pessoa precisaria hackear todos os blocos e cadeias, algo praticamente impossível. Ao mesmo tempo, dada que é pública, qualquer pessoa pode verificar e auditar as movimentações nela registradas, sejam transações de valor do bitcoin ou uma contagem de votos em uma eleição, por exemplo. Ao incorporar a tecnologia nos sistemas de votação, qualquer pessoa poderia auditar os resultados, garantindo que todos os votos foram contados corretamente e que nenhuma cédula fraudulenta foi adicionada.

O quão viável é?

Nos últimos dois anos, a blockchain tem sido colocada como a tecnologia que revolucionará o mundo. Para Don Tapscott, autor do livro “A Economia Digital: Promessa e Perigo na era da Inteligência em Rede”, a blockchain sustentará o que ele chama de “a internet do valor”. Nela, tudo que se torna um ativo, pode ser transacionado, gerenciado e comunicado de uma forma segura. Em visita a Campus Party, neste ano, Tapscott colocou a tecnologia como a saída para combater a corrupção. “A blockchain é uma plataforma que permite uma grande transparência e a luz do sol é um grande desinfetante para a corrupção”, disse ele na ocasião em coletiva de imprensa. “Não é uma boa hora para ser um político corrupto com essas tecnologia”, completou.

Entretanto, dada que é uma tecnologia emergente, muito ainda precisa ser colocado em prova. André Leon S. Gradvohl, professor de tecnologia da Unicamp e membro sênior do IEEE (Instituto de Engenheiros Eletricistas e Eletrônicos), vê a blockchain como uma grande evolução tecnológica do nosso sistema de votação, mas que ainda está amadurecendo. “Há poucas aplicações reais em sistemas de votação e ainda assim são aplicações em pequena escala”, diz em entrevista ao IDG Now!

Entre os exemplos de uso da blockchain para um processo de votação está o aplicativo desenvolvido pela ONG Democracy Earth, o Sovereign. A ferramenta recorre ao blockchain para sustentar o que chama de democracia líquida – onde indivíduos possuem mais flexibilidade na forma como usam seus votos e, na teoria, não teriam fronteiras para votar. O primeiro teste piloto do app foi durante o plebiscito pela paz na Colômbia, em 2016. A plataforma deu aos expatriados colombianos, que não puderam votar no processo oficial, uma oportunidade de participarem do plebiscito.

Nas eleições de 2018 em Serra Leoa, 70% dos votos foram armazenados e verificados na blockchain. Criada pela startup Agora, a tecnologia consiste em um sistema que armazena votos de forma anônima na cadeia de blocos. Uma vez que transações na blockchain podem ser vistas por qualquer pessoa, isso torna o anonimato do voto um desafio. Mas fornecedores da tecnologia afirmam ter chegado a formas de garantir o anonimato, algo necessário para também confiar a segurança do processo democrático.

O quão seguro é o voto no Brasil?

André Gradvohl, do IEEE, argumenta que há duas propriedades que fazem de uma eleição eletrônica segura e confiável e que não são atendidas pelo atual sistema brasileiro e que poderiam ser “atendidas” pela blockchain. A verificabilidade individual, isto é, a possibilidade de o eleitor verificar que seu voto foi contabilizado, e a verificabilidade universal, que diz respeito à confirmação que o resultado da eleição considerou todos os votos. Ter essas propriedades implementadas evitaria que alguns partidos políticos contestassem o resultado das eleições, por exemplo. “Acredito que, depois de adaptado e testado para um sistema de votação eletrônica, a blockchain pode ser útil para garantir todas as propriedades de segurança necessárias”, defende Gradvohl.

O sistema de voto eletrônico no Brasil recentemente implementou a biometria para colocar mais uma camada de segurança ao voto. Mas o professor da Unicamp é cético: “O voto eletrônico ainda possui vulnerabilidades”.

Entretanto, para comprometer o sistema eletrônico de votação no Brasil é preciso de muito tempo e recursos computacionais para quebrar a segurança. Ataques desse tipo não são impossíveis de fazer, mas não são muito viáveis. Isso porque, explica Gradvohl, os algoritmos de aleatorização dos votos foram melhorados e a chave criptográfica agora é única para cada urna. Antes, uma única chave era usada todas as urnas.

“Atualmente, essa chave criptográfica é gerada por um dispositivo específico em cada urna. Dessa forma, mesmo que um atacante consiga descobrir a chave criptográfica, ele comprometerá apenas uma única urna. Por essa razão, os esforços e recursos envolvidos para comprometer toda uma eleição talvez não sejam compensatórios para um atacante ou um grupo mal intencionado”, detalha Gradvohl.

Quando estaremos aptos a votar através de nossos celulares?

Nossos níveis de ansiedade por tecnologias futurísticas são alimentados por um catálogo generoso de obras de ficção científica via streaming. Logo, soa coerente acreditar que votar para presidente se torne algo corriqueiro até 2020. Não é o caso – infelizmente. Apesar de testes como as eleições em Serra Leoa mostrarem que a tecnologia é viável para assegurar a legitimidade do voto, há ainda uma série de testes, investimentos e autenticação no caminho.

Gradvohl lembra que a blockchain não é exclusiva para atestar a autenticidade de um voto. Mas a biometria, cada vez mais imperativa nos celulares atuais, como reconhecimento facial e leitura de impressão digital, complementaria a segurança do processo.

“Usá-los para autenticar os eleitores e contabilizar seus votos é uma possibilidade para o futuro. Antes porém, é preciso realizar muitos teste e ter equipamentos (servidores) homologados para realizar essas tarefas – autenticação, validação, contabilização dos votos. É um processo que deve demorar”, diz o professor da Unicamp e membro do IEEE.

Fonte: IDGNow!

Blockchain não é tão seguro quanto se fala

Todas as discussões sobre blockchain parecem começar com uma variante da expressão “hyperledger seguro e distribuído”. Não me importo com o fato de ser um hyperledger – em outras palavras, uma lista cada vez maior de registros vinculados. E não tenho nenhum problema em descrevê-lo como distribuído – nesse caso, através de uma rede ponto a ponto comunicando-se sobre um protocolo que descreve como validar novos registros adicionados à cadeia.

Mas parece-me que estamos exagerando na descrição de Blockchain como “seguro”. Essa é uma exigência alta para qualquer sistema, que deve ser provada repetidas vezes em vários níveis, cenários, aplicativos e outros contextos. Seria mais preciso descrever a tecnologia como um hyperledger distribuído protegido criptograficamente . Essa definição deixa em aberto a questão crucial: se essa tática é suficiente para reduzir a vulnerabilidade a adulterações, roubo de senhas, negação de serviço por malware e outras ameaças.

Na verdade, você não precisa ir muito longe na literatura crescente de Blockchain antes que as vulnerabilidades de segurança saltem para você. Os problemas de segurança com Blockchain parecem formar uma cadeia própria, na qual os elos fracos começam a sobrecarregar os pontos fortes transmitidos pela dependência subjacente da tecnologia em criptografia de chave pública forte. Ao contemplar o fato de que mais riqueza armazenada no mundo e valor de troca comercial estão começando a girar em Blockchains, permissionados ou não, as vulnerabilidades de segurança dessa tecnologia começam a se tornar maiores.

O Blockchain é mais do que um banco de dados distribuído – é um sistema crescente de registro no qual a economia global confiará intimamente. Então, quão seguro é, na realidade? E quanto custo, tempo e problemas algum de nós estaria gastando para colocar nossas implementações de Blockchain em um formato seguro o suficiente antes que possamos justificar a colocação de ativos de missão crítica em um hiperlink distribuído?

O que é claro é que, mais frequentemente, os usuários são o elo mais fraco do Blockchain. Os atacantes continuarão a explorar as vulnerabilidades dos endpoints – em outras palavras, nossa incapacidade de proteger as identidades, chaves, credenciais e softwares Blockchain instalados em nossos PCs, telefones celulares e outros sistemas. Na prática, isso poderia nos expor a phishing, malware e outros vetores de ataque que deixam nossos ativos baseados em cadeia – como a criptomoeda – abertos para tomada.

Quando suporta transações comerciais complexas, o Blockchain geralmente executa o que é conhecido como “ contratos inteligentes”, o que pode representar uma séria vulnerabilidade de segurança. Os contratos inteligentes, que são escritos em um Blockchain, podem codificar negócios complexos, financeiros e legais . Se tiverem acesso às chaves de um administrador de um Blockchain permissionado, os criminosos poderão introduzir contratos inteligentes falsos que permitirão acesso clandestino a informações confidenciais, roubar chaves criptográficas, iniciar transferências de fundos não autorizadas e envolver-se em outros ataques aos ativos da empresa. .

A complexidade de um ecossistema Blockchain também é uma vulnerabilidade para a qual o usuário comum pode ser indiferente. Além de precisar proteger endpoints e os sistemas que gerenciam contratos inteligentes, você também precisará garantir a segurança dos processadores de pagamento de criptomoeda e das soluções que integram Blockchains em seus sistemas de aplicativos corporativos. Isso, por sua vez, exige uma verificação intensiva da confiabilidade dos fornecedores de sistemas Blockchain, que você pode ser desafiado a fazer, considerando o quanto poucos profissionais de TI têm experiência com essa tecnologia imatura.

Infelizmente, com os novos fornecedores de soluções Blockchain estão chegando todos os dias, muitos deles podem não ter um histórico, clientes de referência ou estudos de caso em que você possa confiar para determinar sua confiabilidade.

Mesmo com provedores estabelecidos, as soluções comerciais de Blockchain podem ser novas no mercado ou lançadas em versões alfa ou beta muito antes de estarem prontas para o horário nobre corporativo, portanto você corre o risco de executar seu Blockchain em código não testado, com bugs e inseguros ainda não provado em escala.

Além disso, existem muitos protocolos Blockchain, mecanismos de contratos inteligentes, gateways e trocas em implementações, com seus próprios bugs e vulnerabilidades de segurança. Sua empresa pode estar implementando Blockchains heterogêneos – permissionados ou não, internos e B2B – em silos que suportam diversos aplicativos. Você precisará solucionar as vulnerabilidades de cada ambiente isoladamente e, se tentar conectá-las entre si ou em um ecossistema maior de Big Data, atenuar quaisquer problemas de segurança que surjam em interações complexas entre esses ambientes.

Se um dos Blockchains em que você está participando for gerenciado por um consórcio , você precisará examinar detalhadamente os procedimentos operacionais dessa organização antes de confiar que está gerenciando o ambiente de ponta a ponta com segurança rígida. Como não há regulamentos universais aos quais esses consórcios devem obedecer, você terá que avaliar as práticas de segurança de cada consórcio separadamente, sem a garantia de que o nível de segurança de qualquer Blockchain seja diretamente comparável ao de outro. O anonimato que alguns consórcios permitem aos participantes do Blockchain pode fornecer cobertura para fraudes e dificultar que as autoridades identifiquem os criminosos.

Ainda mais preocupante é o fato de que as fazendas de mineração nas quais as Blockchains públicos são construídas estão hospedadas em todo o mundo. Embora isso possa dar ao Blockchain em questão algum grau de redundância e resiliência, também pode expô-lo a depredações de operadores obscuros que trapaceiam fraudulentamente participantes inconscientes do Blockchain através do que é chamado de “51 percent attack”. Se uma das partes ou um pool de conspiradores controla mais da metade dos nós de computação atualmente usados ​​para mineração em um determinado Blockchain, pode obter a “ proof of work” consensual necessária para escrever, de forma sub-reptícia, transações fraudulentas nessa cadeia às custas de outros participantes.

Essa ameaça é especialmente aguda quando um Blockchain está sendo iniciado, quando o número de nós de mineração é pequeno e, portanto, é mais fácil para um grupo individual ou em grupo adquirir pelo menos metade do poder de computação disponível. Pode tornar-se ainda mais grave à medida que as operações de mineração sejam transferidas para nações e regiões onde a energia elétrica é barata, a fiscalização regulatória inexistente e os criminosos e terroristas sejam abundantes.

Como a indústria de Blockchain abordará essas vulnerabilidades de maneira abrangente? Para começar, a Wikibon pediu à Linux Foundation para iniciar um projeto hyperledger dedicado a estabelecer uma estrutura aberta e flexível para proteger a segurança de ponta a ponta dos Blockchains, abrangendo terminais, gateways corporativos e assim por diante. A Wikibon também pede aos fornecedores de software corporativo que incorporem segurança sólida em seus aceleradores de implantação de Blockchain .

Não se deixe levar pelo hype utópico em torno Blockchain. Esses hyperledgers de código-fonte aberto são apenas mais segmentos nos ambientes de dados de nuvem híbrida nos quais mais empresas estão implantando aplicativos de missão crítica.

Você só deve implementar o Blockchain se tiver examinado suas vulnerabilidades, instituído as salvaguardas técnicas e processuais necessárias e determinado que o valor comercial potencial supera os riscos.

Fonte: IDGNow!

Microsoft investe no Blockchain

A Microsoft está trabalhando em uma nova plataforma digital e descentralizada baseada em Blockchain para gerenciamento de identidades que poderia permitir que os usuários tivessem posse e acesso seguro as suas personas on-line por meio de uma base de dados central e criptografada.

No último ano, a empresa de Redmond disse que esteve explorando como usar o Blockchain e outras tecnologias de registros distribuídos para criar novos tipos de identidades digitais com o objetivo de melhorar a segurança, o controle e a privacidade das pessoas.

“Esse novo mundo precisa de um novo modelo para identidade digital, um que melhore a segurança e a privacidade individual no mundo físico e no mundo digital”, afirmou o gerente principal de produtos da Identity Division da Microsoft, Ankur Patel, em um post no blog da empresa. “Em vez de dar um consentimento amplo para incontáveis aplicativos e serviços, e ter os seus dados de identidade espalhados por inúmeros provedores, os usuários precisam de um hub digital seguro e criptografado onde possam armazenar os seus dados de identidade e controlar o acesso a eles de maneira fácil.”

No mês passado, a Microsoft entrou para a ID2020 Alliance, uma parceria global que trabalha para criar um sistema de identidade digital open-source e baseado em Blockchain para os moradores dos EUA e de outros países que não tenham documentos legais por conta do seu status econômico ou social. A ID2020 Alliance foca o seu trabalho principalmente nas pessoas que não possuem acesso a direitos e serviços fundamentais como votar, serviços de saúde, moradia e educação, que são dependentes de uma prova legal de identificação.

Nesta semana, a Microsoft detalhou o que aprendeu a partir das suas explorações sobre o Blockchain e pela parceria com a ID2020. Como uma plataforma para uma nova tecnologia de identificação com registros abertos, a companhia planeja usar a sua aplicação baseada na nuvem Microsoft Authenticator, que já permite a autenticação com múltiplos fatores para usuários finais e corporativos.

A Microsoft planeja trabalhar com outras empresas e grupos do mercado para habilitar a sua “plataforma de identidade digital auto-soberana” (self-sovereign, no original em inglês), de acordo com Patel.

Um porta-voz disse que a empresa vai publicar mais informações sobre o progresso de uma prova de conceito com o Microsoft Autenticator nas próximas semanas.

“Hoje, o app do Microsoft Authenticator já é usado por milhões de pessoas para provarem as suas identidades no dia-a-dia. Como um próximo passo, vamos fazer experimentos com Identidades Descentralizadas (Decentralized Identities, no original em inglês) ao adicionar suporte para elas no Microsoft Authenticator”, escreveu Patel. “Com o seu consentimento, o Microsoft Authenticator poderá atuar como o seu Agente de Usuário (User Agent, no original em inglês) para gerenciar dados de identidade e chaves criptográficas.”

Nesta nova plataforma, apenas uma identidade com códigos hash é armazenada em um Blockchain, enquanto que os verdadeiros dados de identidade são criptografados e armazenados em um ID Hub fora dessa corrente que a Microsoft não consegue visualizar.

“Uma vez que adicionarmos essa funcionalidade, apps e serviços poderão interagir com os dados dos usuários usando um tubo comum de mensagens ao solicitar consentimento granular”, explicou Patel. “Inicialmente, vamos oferecer suporte para um grupo selecionado de implementações (de identificadores descentralizados) em Blockchains e provavelmente vamos adicionar mais no futuro.”

Outras aplicações

Apesar de a Microsoft estar de olho em um público maior, o uso do Blockchain para segurança e autenticação não é algo novo e outras empresas também estão usando a tecnologia como um agregador de identidades.

Por exemplo, a empresa Guardtime, da Estônia, já usa o Blockchain para criar uma Keyless Signature Infrastructure (KSI), uma substituta da mais tradicional Public Key Infrastructure (PKI). A PKI usa criptografia assimétrica e um cache de chaves públicas mantido por uma autoridade centralizada de certificados.

Além da Guardtime, a HYPR e a NuCypher são outras empresas que também oferecem algumas das soluções de gerenciamento de identidade baseadas em Blockchain mais populares do mercado.

Apesar de existirem diversos desses produtos de proteção de identidade, o Blockchain costuma ser classificado como um recurso focado em fintechs, enquanto, na verdade, “qualquer coisa que diz respeito a transações ou integração de dados poderia adotar funcionalidades Blockchain, e as empresas de gerenciamento de identidade são as primeiras a subirem no bonde”, aponta a plataforma de review B2B, G2 Crowd.

Fonte: IDGNow!