Osama bin Laden e o email

Dan Goodin, no The Register:

Osama bin Laden não tinha uma ligação telefónica nem à Internet mas, durante anos, foi um utilizador prolífico de email que frustrou os esforços ocidentais que procuravam segui-lo, por gravar as mensagens numa pendrive e enviá-las a partir de um cibercafé distante (...) O processo era tão tedioso que até oficiais veteranos dos serviços de inteligência se maravilharam com a habilidade do chefe da Al-Qaeda em mantê-lo por tanto tempo (...) Bin Laden escrevia as mensagens num computador que não tinha nenhuma ligação com o mundo exterior e, em seguida, instruía um mensageiro de confiança para conduzir a um café para que pudessem ser enviadas. O mensageiro, então, guardava as mensagens enviadas para Bin Laden na mesma unidade e trazia-a de volta para que o chefe pudesse lê-las offline.

in How bin Laden thwarted US electronic surveillance.

Quando a segurança é importante, e quando a nossa percepção do risco efectivo nos diz que é elevado, os controlos, por mais difíceis e onerosos, acabam por ser concretizados.

O problema da (in)segurança actual, é que a percepção generalizada do risco não está alinhada com a realidade. É óbvio que a esmagadora maioria das pessoas não está exposta ao mesmo tipo de ameaças que bin Laden estaria. Sim, é óbvio. Mas a nossa experiência online, e a informação que transmitimos, pessoal e profissional, expõem-nos a ameaças que são importantes, se confidencialidade de alguma dessa informação for quebrada.

Deveríamos adoptar uma prática semelhante? Em 99% dos casos, não, claro que não. Mas utilizar criptografia para proteger as nossas comunicações e, em alguns casos, nem sequer transmitir a informação pela Internet, sim, parece-me que sim. Os critérios, esses, são individuais ou organizacionais. Mas devem existir. Os critérios e a prática.