- A proposta Web Environment Integrity (WEI) do Google faria o Chrome enviar aos sites informações resistentes a adulteração sobre o estado do sistema operacional e do software, o que pode enfraquecer o poder do usuário de controlar o que seu próprio computador diz
- O WEI usa TPM ou secure enclave para atestação remota (remote attestation), permitindo que sites verifiquem o navegador e a configuração do dispositivo por prova criptográfica, e não pela palavra do usuário
- A justificativa é reduzir fraude em anúncios, ataques man-in-the-middle, trapaças em jogos, contas de bot e avaliações falsas, mas o benefício real tende a ir principalmente para operadores de serviços comerciais
- Sites poderiam usar o WEI para bloquear navegadores ou sistemas operacionais de que não gostem, e a mitigação proposta pelo Google — “não enviar WEI para uma pequena parcela dos usuários do Chrome” — dificilmente impediria essa exclusão
- Não é necessário proibir ferramentas de atestação remota em si, mas elas não devem ser colocadas na web aberta, e os usuários devem poder decidir diretamente o que dizer sobre seu próprio computador e software
A relação entre navegador e site que o Google quer mudar
- O Google quer adicionar ao Chrome código que envie aos sites informações resistentes a adulteração sobre o estado do sistema operacional e do software do usuário
- Ao contrário da explicação de que isso reduziria fraude em anúncios, essa função pode diminuir a capacidade do usuário de controlar o próprio computador
- Usuários que não usem sistemas operacionais e navegadores aprovados também podem acabar bloqueados em alguns sites
- Um documento explicativo informal escrito por funcionários do Google reconhece que o Web Environment Integrity (WEI) pode elevar a barreira de entrada para novos navegadores
As informações que o navegador envia aos sites
- Quando um navegador se conecta a um servidor, ele envia automaticamente informações sobre o dispositivo e o navegador
- Exemplo: algo como “usando Chrome 116.0.5845.61 em um Google Pixel 4”
- O servidor também pode solicitar informações mais detalhadas, como fontes instaladas e tamanho da tela
- Essas informações são usadas para que o site forneça formatos de arquivo, resoluções e layouts adequados ao dispositivo do usuário
- As mesmas informações também são usadas para fingerprinting do navegador
- Isso permite identificar usuários que recusaram cookies ou outros métodos de rastreamento com base na combinação de características do navegador
- Alguns sites podem usar informações do navegador e do dispositivo para cobrar preços diferentes ou oferecer propostas ruins ou enganosas
Por que o usuário deve poder enviar informações falsas ou aleatórias
- Hoje, as informações que o navegador envia aos sites são basicamente voluntárias
- O usuário pode, por meio de plugins, ferramentas de privacidade e configurações avançadas, escolher que informações enviar a sites nos quais não confia
- Simplesmente deixar de enviar informações pode não ser suficiente
- Isso porque um serviço pode exigir dados do dispositivo e recusar quem não os fornecer
- Ferramentas de privacidade e antirrastreamento podem, em vez disso, enviar informações plausíveis, porém incorretas, sobre o dispositivo
- É uma forma de impedir que o serviço discrimine o usuário por suas escolhas de privacidade
Como funcionam a atestação remota e a computação segura
- A maioria dos computadores, tablets e celulares modernos inclui algum tipo de recurso de computação segura
- As primeiras implementações usavam um processador separado chamado Trusted Platform Module (TPM), e muitos dispositivos usam um subsistema reforçado chamado secure enclave
- Esses sistemas podem monitorar cada etapa do processo de inicialização para verificar se está sendo executado código não modificado fornecido pelo fabricante
- O mesmo processo também pode ser usado para impedir que o usuário execute deliberadamente outro código
- Ex.: sistemas operacionais livres e de código aberto
- Ex.: software modificado para desativar funções de vigilância ou permitir a instalação de programas fora da loja de aplicativos do fabricante
- TPMs e secure enclaves incluem chaves de assinatura criptográficas
- Eles podem coletar informações de baixo nível, como versão do sistema operacional, extensões, software e bootloader
- Também podem fornecer essas informações em uma atestação assinada criptograficamente
- Em vez de confiar no que o navegador do usuário diz, um servidor remoto pode exigir a prova criptográfica do dispositivo
Riscos legais de contorno e pesquisa
- Se o usuário não puder contornar a segurança do secure enclave ou do TPM, a atestação se torna um indicador muito confiável da configuração do dispositivo
- Alterar um TPM ou secure enclave pode trazer riscos legais
- DMCA Section 1201, patentes e direitos autorais podem criar riscos civis e criminais para técnicos que pesquisem essas tecnologias
- O risco aumenta ainda mais se forem divulgados métodos para desativar ou contornar esses recursos de segurança
- Distribuir ferramentas de contorno pode implicar riscos civis e criminais graves, incluindo penas de vários anos
A atestação remota para a web proposta pelo WEI
- O WEI é uma proposta técnica que permitiria a um servidor solicitar atestação remota de um dispositivo
- A solicitação seria repassada ao secure enclave ou TPM do dispositivo, que responderia com uma descrição altamente confiável do aparelho, assinada criptograficamente
- O usuário ainda poderia optar por não enviar essas informações ao servidor remoto
- Mas perderia a capacidade de enviar informações alteradas ou aleatórias sobre o dispositivo e o software quando julgasse isso necessário
Os casos de uso apresentados pelo Google e seus limites
- Engenheiros do Google veem o WEI como forma de reduzir vários problemas
- Distinguir um usuário real manipulando manualmente o navegador de um bot automatizando o serviço
- Reduzir fraude em anúncios para aumentar a receita de publishers e, em tese, incentivar melhor produção de conteúdo
- Impedir ataques man-in-the-middle que interceptam até senhas descartáveis de autenticação em duas etapas e as reutilizam no login do serviço real
- Verificar em jogos se o oponente está executando uma versão não modificada e sem trapaças
- Detectar e bloquear ferramentas de automação do navegador para impedir fraudes como avaliações falsas ou criação em massa de contas de bot
- Esses casos de uso podem ter alguma validade
- Mas, em segurança, é comum que violações de privacidade e perda de autonomia pessoal sejam usadas para mitigar parte de um problema real
- Colocar algemas em todos os clientes que entram numa loja pode reduzir furtos, mas furto é um problema da loja; não algo cujo custo deva ser imposto a todos os clientes
O WEI pode ser usado para bloquear navegadores e sistemas operacionais
- Uma seção do documento do Google reconhece que sites podem usar o WEI para bloquear navegadores e sistemas operacionais de que não gostem
- Como mitigação, o Google diz considerar que, mesmo após implementar o WEI no Chrome, uma “pequena porcentagem” dos computadores que poderiam enviar informações WEI deixaria de enviá-las
- Em teoria, um site que bloqueasse navegadores sem WEI acabaria bloqueando também essa minoria de usuários do Chrome, e poderia recuar diante das reclamações
- Mas muitos sites podem querer impor quais navegadores e sistemas operacionais seus usuários devem usar
- No passado, houve casos como “este site funciona melhor com Internet Explorer 6.0 no Windows XP”
- Alguns sites podem aceitar o custo de perder essa “pequena porcentagem” de usuários
- Também podem instruir o usuário a limpar os dados do navegador e tentar novamente até o WEI ser ativado naquele site
O conflito de interesses do Google
- O Google tem um conflito de interesses ao decidir qual será essa “pequena porcentagem”
- Se a porcentagem for muito baixa, mais cliques em anúncios poderão ser autenticados, o que favorece a área do Google voltada ao combate à fraude publicitária
- Com mais cliques autenticados, o Google pode vender anúncios por preços mais altos
- Se a porcentagem for maior, fica mais difícil para sites implementarem comportamentos excludentes
- Mas uma porcentagem alta não traz benefício direto ao Google e facilita a criação de navegadores concorrentes
- Mesmo que implemente essa mitigação, o incentivo do Google tende a ser definir uma porcentagem pequena demais para proteger a web aberta
O princípio de que o usuário é dono do próprio computador
- O computador pertence ao usuário e deve funcionar conforme as instruções dele
- Leis que impedem engenharia reversa e reconfiguração de computadores já são um problema, mas o risco é ainda maior quando poucos sites gigantes controlam gargalos da internet
- Um pequeno número de empresas forma a porta de entrada entre compradores e vendedores, artistas e público, trabalhadores e empregadores, famílias e comunidades
- Se essas empresas se recusarem a atender, a vida digital do usuário pode parar
- A web é a última grande plataforma aberta que resta na internet
- É uma plataforma em que qualquer pessoa pode criar um navegador ou site e participar sem pedir permissão nem cumprir especificações impostas por terceiros
- Mesmo que sites tentem erguer um posto de controle virtual onde só passe “tecnologia aprovada”, o usuário deve continuar tendo o direito de dizer a resposta que o site quer ouvir
A intenção do WEI e seus abusos previsíveis
- Os proponentes do WEI afirmam querer que ele seja usado apenas para fins legítimos
- Também criticam explicitamente o uso do WEI para bloquear navegadores ou excluir usuários que tentam preservar a privacidade
- Mas cientistas da computação não podem decidir como uma tecnologia será usada na prática
- Se a web passar a incluir atestação, é plenamente previsível que empresas a usem para atacar o direito do usuário de configurar seu próprio dispositivo
- Esse risco é especialmente grande quando as necessidades do usuário entram em conflito com as prioridades comerciais das empresas de tecnologia
- O WEI não deveria ser criado e, se for criado, não deveria ser usado
Como lidar com a tecnologia de atestação remota
- A atestação remota em si não deve ser proibida
- Código é expressão, e todos devem ser livres para pesquisar, entender e criar ferramentas de atestação remota
- Ferramentas de atestação remota podem ter utilidade dentro de sistemas distribuídos
- Um fabricante de urnas eletrônicas pode usá-las para verificar a configuração dos dispositivos em campo
- Um ativista de direitos humanos em risco pode enviar uma atestação remota a um técnico de confiança para ajudar a verificar se seu aparelho foi infectado por malware patrocinado por um Estado
- Porém, essas ferramentas não devem ser adicionadas à web
- A atestação remota não é apropriada para plataformas abertas
- O usuário deve ter a palavra final sobre o que dizer aos outros a respeito do próprio computador e software
A autonomia do usuário vem antes dos problemas corporativos
- É compreensível a dificuldade de empresas afetadas por fraude em anúncios, de estúdios de jogos que combatem trapaceiros e de serviços com problemas de bots
- Mas resolver esses problemas não pode vir antes dos direitos de quem usa tecnologia
- O usuário tem o direito de escolher como seu computador funciona e o que ele diz às outras pessoas
- O direito de controlar o próprio dispositivo é um elemento básico de toda cidadania digital
- A web aberta oferece mais benefícios do que danos
- Se empresas gigantes e monopolistas puderem reverter as escolhas tecnológicas do usuário, até podem resolver seus próprios problemas, mas não resolverão os problemas do usuário
1 comentários
Opiniões do Hacker News
Pela minha experiência prática trabalhando como engenheiro de segurança, acho que isso ajuda a entender por que isso vai acabar indo para um lado ruim
Bancos são organizações extremamente sensíveis à segurança, porque o custo de um ataque é astronômico e a regulamentação exige que eles tornem tudo “o mais seguro possível”
Os bancos não vão adotar WEI porque odeiam a web aberta ou usuários de Linux, mas porque, se não adotarem, pode surgir um problema de responsabilidade por “não terem feito tudo o que podiam pela segurança”, levando a processos, punições regulatórias e aumento de prêmios de seguro
Hoje, como WEI não existe, não é uma exigência, mas, assim que existir, é bem provável que vire prática padrão; quem se opuser pode acabar parecendo tão irrealista quanto alguém que se opõe a câmeras de segurança por invasão de privacidade
Em breve, CDNs como a Cloudflare vão oferecer isso com uma única caixa de seleção, e, por responsabilidade fiduciária, vai ficar difícil para donos de sites desativarem o recurso
Até dois anos atrás usávamos IE7, boa parte do trabalho ainda é feita trocando arquivos Excel por e-mail, e o simples fato de um e-mail recebido ter um Excel anexado é tratado quase como prova de validade
Também havia um relay SMTP sem autenticação em operação, e, embora a segurança real fosse ignorada, o Windows era obrigatório nos notebooks de trabalho
O motivo era rodar o script PowerShell RAT preferido, que descompactava recursivamente todos os jars do sistema para procurar log4shell, e ainda fazem isso
As pessoas que criaram essas regras e práticas também operam o sistema central de compensação de pagamentos do banco central da Dinamarca
Bancos são menos seguros do que conservadores e políticos; tornam a vida das pessoas difícil para manter um teatro de segurança, mas na prática isso é mais uma fachada
Eles certamente vão adotar WEI, mas isso não trará segurança
Ainda assim, bancos têm um histórico bastante bom de proteger o dinheiro das pessoas, e isso se deve à defesa em profundidade, com analistas de compliance revisando manualmente transações suspeitas
Muitas grandes instituições ainda só oferecem autenticação de dois fatores por SMS, e mesmo isso passou a ser obrigatório há pouco tempo
Por isso, mesmo que essa tecnologia se espalhe, parece bem provável que contas bancárias estejam quase no fim da fila, não no começo, para torná-la obrigatória
O fato de cartões de crédito serem terrivelmente inseguros segue uma lógica parecida
Não é por falta de interesse, mas porque eles veem medidas técnicas como apenas uma pequena parte da estratégia geral de segurança, e o acesso online também como uma parte pequena do negócio e, por padrão, não confiável
A maior parte da web confia em usuários autenticados, mas bancos em geral nem confiam em usuários autenticados e tratam toda ação como um risco potencial, então fortalecer a autenticação em si acaba tendo prioridade relativamente baixa
Mesmo que exista uma interface web, é necessário o app móvel para fazer login
Mas não sei quanto à parte de que os opositores “parecerão irrealistas e não conseguirão manter essa posição por muito tempo”
Pessoas contrárias à vigilância generalizada não parecem irrealistas para a maioria, nem mudam de posição
O parágrafo curto dizendo que um pequeno número de empresas assumiu o controle dos gargalos entre compradores e vendedores, artistas e público, trabalhadores e empregadores, família e comunidade, e que, se elas se recusam a transacionar, a vida digital para, resume bem a situação estranha para a qual fomos levados
As partes interessadas afetadas negativamente são, na prática, quase toda a sociedade, e esses gatekeepers têm aliados naturais, como políticos capturados, pessoas em relações salariais e mercados que ignoram externalidades
Mesmo assim, é estranho que consigam submeter uma sociedade inteira com recursos financeiros, políticos e intelectuais quase ilimitados
Chega a parecer que algum tipo de controle mental em escala sistêmica já está em operação
Em vez de a sociedade inteira estar sendo chantageada, acho que a maioria simplesmente não se importa
Não é uma ideia tão absurda; não é controle mental, é a velha indiferença e ignorância
Concordo em geral, mas vale apontar uma coisa: TPM não significa Technical Protection Module, e sim Trusted Platform Module
Não chega ao nível da FSF, mas costuma misturar comentário, e neste caso parece que alguém quis ser sarcástico
Ainda assim, parece ser um erro sobre TPM, ou uma tentativa de introduzir uma expansão alternativa como fazem com outras siglas
Fazendo o papel de advogado do diabo: essa tecnologia já existe, e a questão é se o navegador faz atestação do cliente ou finge que não existe atestação remota.
Se isso for rejeitado, serviços que exigem um “cliente confiável” podem acabar descartando webapps e passando a depender de apps para iOS/Android.
Não estou tentando defender o WEI, mas o problema não desaparece magicamente só porque o Google não o implementa no Chrome; ele apenas se desloca para outro lugar.
A briga de verdade foi quando o TPM foi implementado lá no começo.
É parecido com o fato de só a Microsoft ter autoridade sobre as chaves do Secure Boot.
Dispositivos móveis já têm muitos recursos de atestação, como áreas seguras, processadores seguros e funções criptográficas do cartão SIM.
Não precisamos de uma tecnologia que inevitavelmente será abusada para excluir pessoas tecnicamente experientes da internet cotidiana com base em regras arbitrárias.
Não há freios e contrapesos; é um pacote de poderes muito amplo imposto ao usuário.
Isso não é uma proposta nem um experimento, é uma tentativa de empurrar à força.
Ele explica bem por que a web é diferente de apps móveis/nativos e por que APIs como atestação de cliente, mesmo que sejam possíveis no ambiente móvel, são prejudiciais quando implementadas na plataforma web.
Por exemplo, a proposta WEI viola o princípio de que “visitar uma página web deve ser seguro” (https://www.w3.org/TR/design-principles/#safe-to-browse).
Novos recursos devem ser projetados para preservar a expectativa dos usuários de que visitar páginas web é, em geral, seguro.
Para que a web continue viva, os usuários precisam poder esperar que o simples ato de visitar um link não afete aspectos essenciais da segurança do computador ou da privacidade.
Por exemplo, uma API que permita a qualquer site detectar o uso de tecnologias assistivas pode fazer com que usuários dessas tecnologias sintam que visitar páginas desconhecidas é arriscado.
Quando essa expectativa de segurança é realista, os usuários conseguem tomar uma decisão informada entre tecnologias baseadas na web e outras tecnologias.
Instalar um app nativo é mais arriscado do que visitar uma página web, então o usuário pode escolher uma página web de pedido de comida em vez de instalar um app.
Entre usuários cautelosos, embora não extremamente técnicos, há muitos que se recusam terminantemente a instalar apps móveis a menos que sejam de fontes em que mais confiam, e esse princípio oferece uma boa estrutura para entender por que os usuários ainda preferem a web.
O Venmo antigo tinha um webapp completo, mas hoje não é possível enviar ou receber dinheiro pela web.
Muitas funcionalidades do Chase também são exclusivas para celular.
E boa parte desses apps bloqueia iPhones com jailbreak ou Androids com root se conseguir detectar isso.
Se o banco exigir isso, simplesmente fico sem acesso.
Não há daemon de atestação e, mesmo que houvesse, o banco não confiaria nele.
Mesmo que o Firefox acrescentasse isso, continuaria não funcionando no meu computador.
As pessoas falam só do navegador, mas eu quero continuar usando um sistema operacional sem adware e spyware embutidos.
O computador que possuo está sob meu controle, e a função de atestação remota existe justamente para impedir esse controle.
Esse é o problema fundamental.
Se bancos ou corretoras implementarem isso, eu teria de comprar um novo computador dedicado ou fazer transações bancárias só por telefone ou presencialmente.
É um desperdício enorme e não ajuda na segurança, mas, uma vez que exista, entrará na checklist que os bancos seguirão.
O objetivo aqui não é ampliar o espaço em que a atestação de cliente é usada, mas reduzi-lo.
Cada pequena redução é uma vitória; primeiro tiramos isso dos navegadores e depois lidamos com a atestação nativa nos apps.
O argumento de que “se rejeitarmos, os serviços irão para apps nativos” apareceu exatamente do mesmo jeito na época do EME.
Agora já podemos olhar para trás e avaliar o impacto do EME: ele não impediu a migração para apps nativos, empresas como a Netflix implementaram EME mas mantiveram a maioria das restrições que já pretendiam impor de qualquer forma, e a diversidade de navegadores foi prejudicada.
Dizer “simplesmente não vamos fazer isso” na web pode soar assustador, mas já vimos que ceder a táticas de intimidação não funciona.
Sites que querem ir para o nativo irão, e um único WEI não será a justificativa comercial para permanecer na web ou sair dela.
Quem quer ser exclusivamente nativo não vai de repente criar um site só porque o WEI existe; apenas fará o que já pretendia fazer e acrescentará o WEI à caixa de ferramentas para restringir a autonomia do usuário.
É bom que empresas que queiram depender de atestação de cliente sejam forçadas a abrir mão de sua presença na web, e a força da web está sendo subestimada.
Não oferecer suporte ao WEI não vai matar a web.
Recomendar o texto da EFF também é bom, mas também é possível doar diretamente para ajudar campanhas como esta.
Eles também fazem brindes ótimos: https://supporters.eff.org/donate/
[1] https://www.eff.org/press/releases/international-coalition-r...
[2] https://blog.cloudflare.com/kiwifarms-blocked/
Não sei por que eu deveria me importar em reduzir fraudes publicitárias do Google e ajudar seu negócio de anúncios.
Isso é problema do Google, e não há motivo para eu ser envolvido na transmissão de informações do meu computador pessoal a terceiros para que o Google ganhe mais dinheiro.
O WEI é um pouco parecido com a antiga rede telefônica, quando indivíduos não podiam possuir seus próprios aparelhos telefônicos e conectá-los à rede.
No fim, o governo declarou isso ilegal.
É um dos textos mais detalhados e equilibrados que li até agora sobre este tema.
Porém, assim como outros textos, ele deixa de fora uma explicação muito importante sobre Web Environment Integrity.
Isso não faz parte da Web.
É inteiramente um rascunho do Google para um recurso do Google Chrome e, embora o Google seja membro do W3C, não é algo que esteja fazendo nessa condição.
Ele é tão restrito aos interesses do Google que acho difícil uma proposta dessas sequer chegar à carta de um grupo de trabalho.
A única razão pela qual isso é uma ameaça à Web é o domínio de mercado esmagador do Google, que já se aproxima de um monopólio.
Preocupa-me que o uso destacado do termo “Web” em documentos assim manche a reputação do W3C, que tem um processo sólido[1] para evitar interesses de curto prazo que possam causar danos de longo prazo à abertura da Web.
[1]: https://www.w3.org/Consortium/Process/
É uma explicação muito bem escrita. Gostaria de ver explicações desse tipo com mais frequência.
Parece que as pessoas entenderam isso como uma verificação de bloqueio de anúncios, mas a proposta original dizia explicitamente que extensões de navegador não tinham nada a ver com WEI.
O WEI chama APIs de atestação baseadas no sistema operacional existente e em TPM, e fornece esse estado de atestação ao site.
Ainda parece semelhante a opositores da criptografia dizendo “pensem nas crianças”.
Ainda não vi uma explicação de como o WEI mudaria magicamente o comportamento dos operadores de sites.
Os operadores já podem bloquear clientes indesejados, mas não estão fazendo isso a ponto de atrapalhar substancialmente a “internet aberta”.
Se a Apple não implementar, o WEI não terá sentido, e o único impacto que a discussão atual terá sobre a Apple provavelmente será como ela vai enquadrar publicamente essa escolha.
Como, por enquanto, ainda consigo fazer meu computador dizer o que eu mando, criei uma pequena extensão para Firefox que determina o que ele deve dizer.
É infantil e trivial, mas às vezes é bom sentir que estamos exercendo nossos direitos.
[1] https://github.com/rogual/wei-gfy