Empresas de tecnologia se posicionam: a lei de segurança on-line do Reino Unido corre o risco de eliminar totalmente os aplicativos de mensagens seguras

Não é novidade que os avanços tecnológicos vêm carregados de preocupações com segurança de dados e privacidade. Eu não acho que esta é a primeira vez que estamos testemunhando o (s) governo (s) exigindo um "backdoor" minando os protocolos de mensagens criptografadas. A última salva em que o WhatsApp de propriedade da Meta se opõe o Reino Unido proposto Projeto de lei de segurança on-line (OSB) mais uma vez alimentou o debate sobre criptografia de décadas.

O projeto de lei inclui disposições que podem exigir que as empresas de aplicativos de mensagens implementem políticas de moderação de conteúdo que só seriam possíveis de cumprir comprometendo a criptografia de ponta a ponta (E2EE). Caso contrário, poderá enfrentar multas de até 4% do faturamento anual de sua controladora. Essa penalidade significativa deixaria as empresas com pouca escolha a não ser cumprir os regulamentos ou retirar-se completamente do mercado do Reino Unido.

E2EE é considerado o “padrão ouro” para comunicação segura. A técnica emprega um algoritmo exclusivo para transformar as mensagens em uma sequência aparentemente aleatória de caracteres, tornando praticamente impossível para qualquer pessoa decifrar a mensagem sem a "chave" de criptografia. A chave está disponível apenas nos dispositivos de envio e recebimento, o que significa que, mesmo que os hackers obtenham acesso à mensagem durante o trânsito, eles não podem decodificá-la sem a chave. Embora o E2EE não garanta segurança total, manter as chaves de criptografia nos dispositivos torna extremamente difícil para pessoas não autorizadas acessar o conteúdo das mensagens.

O que torna o OSB controverso?

Aplicativos de mensagens seguras como WhatsApp, Signal e Element, que protegem a privacidade dos usuários ao empregar essa tecnologia de criptografia robusta, estão criticando abertamente o OSB, argumentando que o projeto de lei colocará em risco a segurança online e eles deixarão de fornecer serviços se for aprovado.

"Nossos usuários em todo o mundo querem segurança - 98% de nossos usuários estão fora do Reino Unido, eles não querem que reduzamos a segurança do produto", Will Cathcart, chefe do WhatsApp no Reino Unido disse , “E o aplicativo prefere aceitar ser bloqueado no Reino Unido.”

Meredith Whittaker, presidente da Signal, também expresso sua oposição afirmando em fevereiro que a empresa não hesitaria em "absolutamente 100% desistir" e encerrar as operações no Reino Unido se for forçada a enfraquecer a privacidade de seu sistema de mensagens criptografadas.

Embora os detratores do projeto de lei argumentem que ele daria ao Ofcom (Escritório de Comunicações) a autoridade para exigir que aplicativos de mensagens criptografadas privadas e outros serviços implementassem "tecnologia credenciada", o governo acredita que o projeto de lei "não representa uma proibição de acesso de ponta a ponta". criptografia final.”

A legislação procura abordar uma série de questões que o governo considera como perigos representados pela internet, incluindo conteúdo ilegal, como abuso sexual infantil e terrorismo, bem como conteúdo "prejudicial", como pornografia e bullying. O projeto de lei visa aumentar a responsabilidade das plataformas de tecnologia pelo tipo de conteúdo que hospedam, obrigando-as a impedir que esse conteúdo apareça ou removê-lo rapidamente quando isso acontecer.

De acordo com um relatório pela NSPCC, o número de ofensas a imagens de abuso infantil no Reino Unido aumentou mais de 66% nos últimos cinco anos. A polícia registrou mais de 30.000 crimes desse tipo no ano mais recente, em comparação com 18.574 no passado.

Desses casos, mais de 75% dos relatórios que incluíam mídias sociais ou sites de jogos foram atribuídos a apenas duas empresas: Snapchat e Meta. O Snapchat foi responsável por mais de 4.000 incidentes, enquanto os principais aplicativos da Meta - Facebook, Instagram e WhatsApp - foram mencionados em mais de 3.000 incidentes.

Durante anos, o governo e as organizações de proteção à criança defenderam que a criptografia representa um grande obstáculo no combate ao abuso infantil online.

“É importante que as empresas de tecnologia façam todos os esforços para garantir que suas plataformas não se tornem um terreno fértil para pedófilos”, afirmou o Ministério do Interior.

Em resposta a tais críticas, plataformas como Meta têm levado medidas para lidar com as preocupações sobre o uso de E2EE. Embora a gigante da mídia social argumente que a tecnologia serve para proteger os direitos humanos de bilhões de usuários, ela também se comprometeu a introduzir salvaguardas extras para crianças, como investir em "tecnologia de detecção proativa" que pode analisar metadados e detectar quaisquer sinais de tráfico de imagens ilegais.

Embora o governo se esforce para tornar a Internet um lugar seguro introduzindo “tecnologia credenciada”, muitos ativistas públicos e profissionais de TI temem que isso traga mais danos do que benefícios.

A Dra. Monica Horten, do Open Rights Group, disse: "Com mais de 40 milhões de usuários de serviços de bate-papo criptografados no Reino Unido, isso o transforma em uma ferramenta de vigilância em massa, com consequências potencialmente prejudiciais à privacidade e aos direitos de livre expressão."

“Em vez de usar crianças e terroristas como desculpa para expandir as capacidades de interceptação em massa, os governos precisam revisitar com calma várias áreas políticas, incluindo violência familiar, violência política e crime online. Os detalhes são importantes; eles variam de um país para outro, dependendo da lei local, prática policial, organização do trabalho social, disponibilidade de armas de fogo e polarização política (esta lista não é exaustiva)”, estados O professor Ross Anderson em seu artigo intitulado “Controle de bate-papo ou proteção infantil?”

Tentativas persistentes dos governos para enfraquecer a criptografia

Os governos têm um histórico de obrigar as empresas de tecnologia a enfraquecer ou eliminar a criptografia de ponta a ponta em seus produtos ou a criar "portas dos fundos" como o Chip Clipper a partir da década de 1990, para auxiliar a vigilância do governo.

Em 2016, o FBI fez uma tentativa agressiva para forçar a Apple a desbloquear o iPhone pertencente a um dos terroristas do tiroteio em massa de 2015 em San Bernardino, Califórnia. O CEO da Apple, Tim Cook, se opôs fortemente ao movimento do FBI, referindo-se a ele como " o software equivalente ao câncer. " Cook argumentou que atender ao pedido abriria um precedente perigoso, abrindo as portas para mais vigilância do governo no futuro.

"Talvez seja um sistema operacional para vigilância, talvez a capacidade da polícia de ligar a câmera", disse Cook. disse . “Não sei onde isso vai parar.”

A rivalidade da Apple com o FBI parece não ter fim. Em dezembro de 2022, o FBI expresso sua aversão quando a empresa lançado um novo esquema opcional de criptografia de ponta a ponta, destinado a impedir que os dados do iCloud do usuário sejam acessados por meio de um dispositivo “não confiável”, dizendo que está “profundamente preocupado com a ameaça de ponta a ponta e a criptografia de acesso somente do usuário representam .”

Em 2018, os legisladores australianos aprovaram um projeto de lei chamado “ Lei de Assistência e Acesso 2018 ” que exige que as empresas de tecnologia concedam acesso a comunicações criptografadas para agências de segurança e aplicação da lei. O projeto de lei autoriza o governo a obter uma ordem judicial que pode ordenar secretamente que empresas de tecnologia e especialistas redesenho de software e hardware para permitir a espionagem dos usuários.

Esta lei segue o modelo da lei britânica de 2016 Lei dos Poderes de Investigação que permite que empresas britânicas forneçam chaves para decodificar dados criptografados para autoridades governamentais.

Outros países também estão explorando a possibilidade de implementar novas leis de criptografia. Por exemplo, na Índia, as autoridades informaram à Suprema Corte do país em outubro de 2019 que o Facebook é obrigado pela lei indiana a descriptografar mensagens e fornecê-las às autoridades quando solicitado.

“Eles não podem entrar no país e dizer: 'Vamos estabelecer um sistema não descriptografável'”, disse o procurador-geral da Índia, KK Venugopal, disse ao tribunal , referindo-se ao Facebook e outras grandes plataformas de tecnologia.

Tal como está, os Estados Unidos fazem parte de vários acordos internacionais de compartilhamento de inteligência - um dos mais proeminentes sendo o “ cinco olhos " aliança. Nascido de esquemas de espionagem forjada durante a Segunda Guerra Mundial, a aliança Five Eyes facilita o compartilhamento de sinais de inteligência entre os EUA, Reino Unido, Austrália, Canadá e Nova Zelândia.

Com a adição da Índia e do Japão, o grupo de vigilância em 2020 chamado para a indústria de tecnologia afrouxar a criptografia de ponta a ponta e ajudar as agências governamentais a acessar conversas privadas por meio de backdoors, mantendo o “suporte à criptografia forte”.

“Pedimos às empresas de tecnologia que trabalhem com os governos para tomar as seguintes medidas, com foco em soluções razoáveis e tecnicamente viáveis: Incorporar a segurança do público em projetos de sistema, permitindo assim que as empresas atuem contra conteúdo e atividade ilegais de forma eficaz, sem reduzir a segurança , e facilitando a investigação e repressão de crimes e protegendo os vulneráveis; permitir o acesso de aplicação da lei ao conteúdo em um formato legível e utilizável onde uma autorização é legalmente emitida, é necessária e proporcional e está sujeita a fortes salvaguardas e supervisão; e se envolver em consultas com governos e outras partes interessadas para facilitar o acesso legal de uma forma que seja substantiva e influencie genuinamente as decisões de design”.

A busca por um meio-termo

Enquanto as agências de tecnologia estão “reagindo”, as instituições governamentais preocupadas estão otimistas de que as leis propostas ajudarão a encontrar um meio termo onde a segurança nacional seja garantida sem comprometer a privacidade dos dados.

"Não é uma escolha entre privacidade ou segurança infantil - podemos e devemos ter os dois", diz o comunicado do governo do Reino Unido.

No verão de 2021, a Apple anunciado que lançaria um recurso de varredura no dispositivo que usaria um modelo de aprendizado de máquina para filtrar as fotos de usuários individuais para procurar por CSAM (Material de Abuso Sexual Infantil), seguido por técnicos humanos informados e, portanto, pela polícia.

Esse foi o tipo de meio termo que o governo apreciou, mas logo após o anúncio, a empresa enfrentou uma reação extrema de especialistas em privacidade e segurança. A Apple inicialmente lutou, mas depois adiou e mais tarde cancelado o lançamento.

Os ativistas sugerem que o FBI e outras autoridades deveriam aumentar seus conhecimentos técnicos em vez de depender de fornecedores de tecnologia ou especialistas em segurança terceirizados para quebrar a criptografia e outros sistemas de segurança.

"Aprimorar a capacidade técnica do governo é uma solução potencial que não exige backdoors", a deputada Diana DeGette, democrata do Colorado, disse durante uma audiência do subcomitê de supervisão do Comitê de Energia e Comércio da Câmara dos Deputados.

O representante do FBI argumentou que é improvável que o FBI possa contratar os especialistas necessários para acompanhar os novos serviços de criptografia que continuam a ser lançados.

"Vivemos em uma era tão avançada de desenvolvimento tecnológico e, para acompanhar isso, exigimos os serviços de habilidades especializadas que só podemos obter por meio da indústria privada."

Os defensores da privacidade afirmam que a implementação de backdoors de criptografia não pode garantir a segurança e não é infalível. Mesmo que as vulnerabilidades sejam ocultadas ou mantidas em segredo, existe o risco de serem descobertas por outras pessoas e possivelmente mal utilizadas. O jornal de 2015" Chaves Sob Capachos ”, de autoria de um grupo de criptógrafos líderes, destaca os riscos inerentes e inevitáveis de tais abordagens.