Posts Recentes:

Aqui estão os melhores recursos do WWDC 2024 que você perdeu

A Apple anunciou uma série de novos recursos...

BeReal obteve sua saída no melhor cenário

Ultimamente, tem havido muitas más notícias sobre startups...

Chefes de polícia europeus visam E2EE na última exigência de “acesso legal”


Na mais recente iteração das intermináveis ​​​​(e sempre angustiantes) guerras criptográficas, Graeme Biggar, diretor-geral da Agência Nacional do Crime (NCA) do Reino Unido, apelou à empresa-mãe do Instagram, Meta, para repensar a sua implementação contínua do fim criptografia de ponta a ponta (E2EE).

A chamada segue-se a uma declaração conjunta no domingo dos chefes de polícia europeus, incluindo o próprio Reino Unido, expressando “preocupação” com a forma como o E2EE está a ser implementado pela indústria tecnológica e apelando às plataformas para conceberem sistemas de segurança de tal forma que ainda possam identificar atividades ilegais e enviar relatórios sobre o conteúdo das mensagens às autoridades.

Em comentários à BBC na segunda-feira, o chefe da NCA sugeriu o plano atual da Meta para reforçar a segurança em torno dos bate-papos privados dos usuários do Instagram, implementando a chamada criptografia de “acesso zero” – onde apenas o remetente e o destinatário da mensagem podem acessar o conteúdo – representa uma ameaça à segurança das crianças. A gigante das redes sociais também iniciou uma implementação há muito planejada do E2EE padrão no Facebook Messenger em dezembro.

'Passe-nos a informação'

Falando ao programa Today da BBC Radio 4, Biggar disse ao entrevistador Nick Robinson: “Nossa responsabilidade como aplicação da lei… é proteger o público do crime organizado, do crime grave, e precisamos de informações para podermos fazer isso.

“As empresas de tecnologia estão colocando muitas informações na criptografia de ponta a ponta. Não temos problemas com criptografia; Também tenho a responsabilidade de tentar proteger o público do crime cibernético – portanto, uma criptografia forte é uma coisa boa – mas o que precisamos é que as empresas ainda sejam capazes de nos passar as informações necessárias para manter o público seguro. ”

Atualmente, como resultado da capacidade de digitalizar mensagens que não são criptografadas, as plataformas enviam dezenas de milhões de relatórios relacionados à segurança infantil por ano para forças policiais em todo o mundo, disse Biggar – acrescentando mais uma afirmação de que “no verso dessas informações, normalmente protegemos 1.200 crianças por mês e prendemos 800 pessoas.” A implicação aqui é que esses relatórios irão desaparecer se a Meta continuar expandindo seu uso de E2EE para o Instagram.

Ressaltando que o WhatsApp, de propriedade da Meta, teve a criptografia padrão ouro como padrão por anos (o E2EE foi totalmente implementado na plataforma de mensagens em abril de 2016), Robinson se perguntou se este não era um caso de uma agência criminosa tentando fechar o estábulo. porta depois que o cavalo fugiu. Ele não obteve uma resposta direta para isso – apenas mais equívocos.

Biggar disse: “É uma tendência. Não estamos tentando impedir a criptografia. Como eu disse, oferecemos suporte total à criptografia e à privacidade, e até mesmo a criptografia de ponta a ponta pode funcionar perfeitamente. O que queremos é que a indústria encontre maneiras de nos fornecer as informações de que precisamos.”

A intervenção de Biggar está em linha com a declaração conjunta acima mencionada, na qual os chefes de polícia europeus instam as plataformas a adoptarem “soluções técnicas” não especificadas que possam oferecer aos utilizadores segurança e privacidade robustas, mantendo ao mesmo tempo a sua capacidade de detectar actividades ilegais e denunciar conteúdos desencriptados às forças policiais.

“As empresas não serão capazes de responder eficazmente a uma autoridade legal”, diz a declaração. “Como resultado, simplesmente não seremos capazes de manter o público seguro […] Apelamos, portanto, à indústria tecnológica para que incorpore a segurança desde a conceção, para garantir que mantêm a capacidade de identificar e denunciar atividades prejudiciais e ilegais, como a exploração sexual infantil, e de agir legal e excecionalmente sob uma autoridade legal.”

Um mandato semelhante de “acesso legal” foi adoptado sobre mensagens encriptadas pelo Conselho Europeu numa resolução de Dezembro de 2020.

Verificação do lado do cliente?

A declaração não explica quais tecnologias eles desejam que as plataformas implementem para que possam verificar conteúdo problemático e enviar esse conteúdo descriptografado às autoridades. É provável que eles estejam fazendo lobby por alguma forma de varredura do lado do cliente – como o sistema que a Apple estava prestes a lançar em 2021 para detectar material de abuso sexual infantil (CSAM) nos dispositivos dos usuários.

Os legisladores da UE, entretanto, ainda têm em cima da mesa um controverso plano legislativo CSAM de digitalização de mensagens. Especialistas jurídicos e em privacidade – incluindo o próprio supervisor de proteção de dados do bloco – alertaram que o projeto de lei representa uma ameaça existencial às liberdades democráticas e também pode causar estragos na segurança cibernética. Os críticos também argumentam que é uma abordagem falha para proteger as crianças, sugerindo que é provável que cause mais danos do que benefícios ao gerar muitos falsos positivos.

Em Outubro passado, os parlamentares reagiram contra a proposta da Comissão e, em vez disso, apoiaram uma abordagem substancialmente revista que visa limitar o âmbito das “ordens de detecção” de CSAM. No entanto, o Conselho Europeu ainda não chegou a acordo sobre a sua posição. Este mês, vários grupos da sociedade civil e especialistas em privacidade alertaram que a proposta de lei de “vigilância em massa” continua a ser uma ameaça para o E2EE. Enquanto isso, os legisladores da UE concordaram em estender uma derrogação temporária às regras de privacidade eletrônica do bloco que permite que as plataformas realizem varreduras voluntárias de CSAM – a lei planejada pretende substituir isso.

O momento da declaração conjunta de domingo sugere que a intenção é aumentar a pressão sobre os legisladores da UE para que sigam o plano de digitalização CSAM.

A proposta da UE também não prescreve quaisquer tecnologias que as plataformas devam utilizar para digitalizar o conteúdo das mensagens, mas os críticos alertam que é provável que force a adopção da digitalização do lado do cliente, apesar de a tecnologia nascente ser imatura, não comprovada e simplesmente não estar pronta para utilização generalizada.

Robinson não perguntou a Biggar se os chefes de polícia estão fazendo lobby pela varredura do lado do cliente, mas perguntou se eles querem que o Meta faça a criptografia “backdoor”. Mais uma vez, a resposta de Biggar foi confusa: “Não chamaríamos isso de backdoor – exatamente como isso acontece cabe à indústria determinar. Eles são os especialistas nisso.”

Robinson pressionou o chefe de polícia do Reino Unido por esclarecimentos, apontando que as informações são fortemente criptografadas (e tão privadas) ou não. Mas Biggar se afastou ainda mais do assunto, argumentando que “cada plataforma está em um espectro” de segurança da informação versus visibilidade da informação. “Quase nada é absolutamente seguro”, sugeriu. “Os clientes não querem isso por razões de usabilidade [such as] ser capaz de recuperar seus dados caso percam um telefone.

“O que estamos dizendo é que ser absoluto em ambos os lados não funciona. É claro que não queremos que tudo seja absolutamente aberto. Mas também não queremos que tudo fique absolutamente fechado. Portanto, queremos que as empresas encontrem uma maneira de garantir que podem fornecer segurança e criptografia ao público, mas ainda assim nos fornecer as informações de que precisamos para proteger o público.”

Tecnologia de segurança inexistente

Nos últimos anos, o Ministério do Interior do Reino Unido tem promovido a noção da chamada “tecnologia de segurança” que permitiria a verificação de conteúdo E2EE para detectar CSAM sem afetar a privacidade do usuário. No entanto, um desafio de “Tecnologia de Segurança” de 2021, em uma tentativa de fornecer provas de conceitos para tal tecnologia, produziu resultados tão ruins que o especialista nomeado para avaliar os projetos, o professor de segurança cibernética da Universidade de Bristol, Awais Rashid, alertou no ano passado. que nenhuma das tecnologias desenvolvidas para o desafio é adequada ao propósito. “A nossa avaliação mostra que as soluções em consideração comprometerão a privacidade em geral e não terão salvaguardas incorporadas para impedir a reorientação de tais tecnologias para monitorizar quaisquer comunicações pessoais”, escreveu ele.

Se a tecnologia que permite que as autoridades acedam aos dados E2EE sem prejudicar a privacidade dos utilizadores existe, como Biggar parece estar a afirmar, porque é que as forças policiais não conseguem explicar o que pretendem que as plataformas implementem? (Deve-se notar aqui que no ano passado, relatórios sugeriram que os ministros do governo reconheceram em particular que não existe atualmente tal tecnologia de digitalização E2EE segura para a privacidade.)

O TechCrunch contatou a Meta para obter uma resposta aos comentários de Biggar e à declaração conjunta mais ampla. Em uma declaração enviada por e-mail, um porta-voz da empresa repetiu sua defesa da expansão do acesso ao E2EE, escrita: “A esmagadora maioria dos britânicos já depende de aplicativos que usam criptografia para mantê-los protegidos contra hackers, fraudadores e criminosos. Não achamos que as pessoas queiram que leiamos as suas mensagens privadas, por isso passámos os últimos cinco anos a desenvolver medidas de segurança robustas para prevenir, detectar e combater abusos, mantendo ao mesmo tempo a segurança online. Publicamos recentemente um relatório atualizado contexto fora essas medidas, como impedir que pessoas com mais de 19 anos enviem mensagens a adolescentes que não os seguem e usar a tecnologia para identificar e tomar medidas contra comportamentos maliciosos. Como nós rolar fora de ponta a ponta criptografaríonesperamos continuar fornecendo mais relatórios às autoridades policiais do que nossos pares, devido ao nosso trabalho líder no setor para manter as pessoas seguras.”

Meta resistiu a uma série de apelos semelhantes dos secretários do Interior do Reino Unido durante a gestão de mais de uma década do governo conservador. Em setembro passado, Suella Braverman, a ministra do Interior na época, disse à Meta que ela deveria implementar “medidas de segurança” junto com o E2EE, alertando que o governo poderia usar seus poderes na Lei de Segurança Online (agora Lei) para sancionar a empresa se ela não conseguisse. jogar bola.

Quando Robinson perguntou a Biggar se o governo poderia agir se Meta não mudasse o rumo do E2EE, o chefe de polícia invocou a Lei de Segurança Online e apontou para outra peça legislativa, a Lei de Poderes de Investigação (IPA), que permite vigilância, dizendo: “O governo pode agir e o governo deve agir. Tem fortes poderes ao abrigo da Lei de Poderes de Investigação e também da Lei de Segurança Online para o fazer.”

As penalidades por violações da Lei de Segurança Online podem ser substanciais, e o Ofcom tem poderes para emitir multas de até 10% do faturamento anual mundial.

O governo do Reino Unido também está em processo de reforçar a IPA com mais poderes direcionados às plataformas de mensagens, incluindo a exigência de que os serviços de mensagens devem aprovar os recursos de segurança com o Ministério do Interior antes de liberá-los.

O plano para expandir ainda mais o âmbito do IPA suscitou preocupações em toda a indústria tecnológica do Reino Unido de que a segurança e a privacidade dos cidadãos serão postas em risco. No verão passado, a Apple alertou que poderia ser forçada a encerrar serviços como iMessage e FaceTime no Reino Unido se o governo não repensasse a expansão planejada dos poderes de vigilância.

Há alguma ironia nesta última campanha de lobby. É quase certo que os serviços de aplicação da lei e de segurança nunca tiveram acesso a mais informações de sinais do que hoje, mesmo tendo em conta a ascensão do E2EE. Portanto, a ideia de que a melhoria da segurança na Web significará subitamente o fim dos esforços de proteção das crianças é uma afirmação claramente binária.

No entanto, qualquer pessoa familiarizada com as guerras criptográficas que duram décadas não ficará surpresa ao ver tais apelos sendo usados ​​na tentativa de enfraquecer a segurança da Internet. É assim que esta guerra de propaganda sempre foi travada.

Últimas

Aqui estão os melhores recursos do WWDC 2024 que você perdeu

A Apple anunciou uma série de novos recursos...

BeReal obteve sua saída no melhor cenário

Ultimamente, tem havido muitas más notícias sobre startups...

Quanto custa o ChatGPT? Tudo o que você precisa saber sobre os planos de preços da OpenAI

OpenAI's Plataforma de chatbot com tecnologia de IA...

Assine

spot_img

Veja Também

Aqui estão os melhores recursos do WWDC 2024 que você perdeu

A Apple anunciou uma série de novos recursos...

BeReal obteve sua saída no melhor cenário

Ultimamente, tem havido muitas más notícias sobre startups...

Quanto custa o ChatGPT? Tudo o que você precisa saber sobre os planos de preços da OpenAI

OpenAI's Plataforma de chatbot com tecnologia de IA...
spot_img

Aqui estão os melhores recursos do WWDC 2024 que você perdeu

A Apple anunciou uma série de novos recursos e atualizações no palco durante seu discurso principal na WWDC 2024incluindo atualizações para iOS, iPadOS,...

BeReal obteve sua saída no melhor cenário

Ultimamente, tem havido muitas más notícias sobre startups de mídia social. Várias empresas, incluindo o Post News alternativo do Twitter e a...

Presidente da FTC, Lina Khan, sobre startups, expansão e “inovações em possíveis infrações à lei”

A presidente da FTC, Lina Khan, era a pessoa mais jovem nomeada para seu cargo quando assumiu o cargo em 2021. Mas assim...