1 pontos por GN⁺ 2023-09-22 | 1 comentários | Compartilhar no WhatsApp
  • Com a aprovação do Online Safety Bill (OSB) pelo Parlamento do Reino Unido, a EFF teme que a internet britânica possa se tornar um ambiente censurado e bloqueado, em vez de mais seguro
  • A nova lei permite que o órgão regulador de comunicações Ofcom exija que empresas de tecnologia escaneiem conteúdo de exploração sexual infantil, podendo incluir também mensagens e arquivos protegidos por criptografia de ponta a ponta
  • Para escanear até serviços criptografados, pode ser necessário usar tecnologias de contorno; a EFF considera que esse tipo de exigência tem, na prática, o mesmo efeito da criação de um backdoor
  • Plataformas podem ser obrigadas a remover conteúdos que o governo britânico considere inadequados para crianças, e o risco de punição por descumprimento pode ampliar a censura politizada
  • O OSB pode enfraquecer o acesso anônimo com a disseminação da verificação de idade; se o regulador exigir backdoors, serviços de mensagens criptografadas podem deixar o Reino Unido

Os riscos criados pela aprovação do Online Safety Bill

  • O Parlamento do Reino Unido aprovou o Online Safety Bill
  • A lei declara o objetivo de tornar o Reino Unido “o lugar mais seguro do mundo” online, mas a EFF considera que, na prática, ela pode criar uma internet mais censurada e bloqueada para usuários britânicos
  • O impacto do OSB não se limita à privacidade e à segurança de residentes do Reino Unido; ele também pode afetar usuários da internet no mundo todo

Obrigação de escaneamento que abala a criptografia

  • Uma cláusula do OSB permite que o órgão regulador de comunicações do Reino Unido, Ofcom, envie notificações a empresas de tecnologia exigindo o escaneamento de usuários para encontrar conteúdo de exploração sexual infantil
  • A medida se aplica a todos os usuários e pode incluir mensagens e arquivos protegidos por criptografia de ponta a ponta para preservar a privacidade dos usuários
  • Pelo texto da lei, o governo pode obrigar empresas a criar tecnologias capazes de realizar escaneamento independentemente de haver criptografia, e a EFF vê isso como a criação de um backdoor
  • Sistemas de escaneamento no lado do cliente são chamados de “Bugs in Our Pockets”, e a EFF e importantes especialistas em segurança da computação consideram que esses sistemas enfraquecem a privacidade e a segurança de todos
  • A EFF já se opôs fortemente ao OSB em 2023 e em 2022, por considerar que ele enfraquece a criptografia

Conversas privadas e a segurança de usuários vulneráveis

  • Conversas privadas são um direito humano básico, e esse direito é ainda mais importante para pessoas vulneráveis
  • Se o Reino Unido usar seus novos poderes para escanear os dados das pessoas, isso pode enfraquecer a segurança necessária para que elas se protejam de assediadores, ladrões de dados, governos autoritários e outros riscos
  • A EFF considera que parlamentares britânicos criaram novos riscos em nome da segurança online
  • Recentemente, o governo britânico fez declarações que parecem reconhecer que contornar a criptografia de ponta a ponta é difícil de conciliar com a privacidade dos usuários
  • No entanto, enquanto o texto da lei permanecer o mesmo, aquilo que o governo disser em privado a empresas de tecnologia, ou garantias públicas frágeis, não bastam para proteger os direitos humanos de britânicos e de usuários da internet no mundo todo

Censura de conteúdo e verificação de idade

  • Espera-se que plataformas online tenham de remover conteúdos que o governo britânico considere inadequados para crianças
  • Plataformas que não obedecerem podem sofrer punições pesadas
  • O problema é que, tanto no Reino Unido quanto nos Estados Unidos, não há consenso social sobre que tipo de conteúdo é prejudicial para crianças
  • Entregar esse julgamento a um órgão regulador do governo pode levar a decisões de censura politizadas
  • O OSB também pode levar à disseminação de sistemas nocivos de verificação de idade
    • Eles violam os princípios de anonimato e acesso simples que existem desde os primórdios da internet
    • Ninguém deveria precisar apresentar documento de identidade para acessar a internet
    • Sistemas de restrição de idade voltados a bloquear o acesso de crianças podem fazer com que adultos percam o direito de falar de forma privada e anônima

As opções que os serviços de criptografia enfrentarão

  • Nos próximos meses, o governo britânico deve publicar regras explicando como regulará a internet com seus novos poderes
  • Se o regulador reivindicar o direito de exigir que serviços criptografados criem backdoors perigosos, a EFF considera que serviços de mensagens criptografadas deixarão o Reino Unido, conforme prometido anteriormente
  • A condição para a retirada é o governo britânico prejudicar a capacidade dos serviços criptografados de proteger outros usuários

1 comentários

 
GN⁺ 2023-09-22
Comentários do Hacker News
  • Se você acha que o Reino Unido é seguro, basta ir para a China ou a Rússia. Lá existe uma internet realmente “segura”, e talvez seja ainda mais seguro simplesmente desligar a internet
    Os políticos que aprovam esta lei são justamente as pessoas menos qualificadas para discutir tecnologia, e parecem não entender, ou não se importar, que um backdoor feito para eles também é um backdoor para um atacante motivado
    A cláusula que permite à Ofcom exigir a varredura de conteúdo de abuso infantil de todos os usuários parece exatamente o CSAM da Apple. No começo é terrorismo; depois crimes comuns, opiniões políticas extremas e discurso de ódio, e assim a coisa vai se expandindo
    Eu gostaria que a ‘Big Tech’ lembrasse regularmente que essa medida também inclui as mensagens dos políticos. Algo como: “Em conformidade com as exigências do OSB, examinamos todos os seus arquivos e comunicações privadas e não encontramos conteúdo que o governo atual considere inaceitável no momento. Todo o conteúdo passado e presente poderá ser varrido e denunciado retroativamente conforme critérios em constante mudança”
    Se até mensagens e arquivos com criptografia de ponta a ponta forem afetados, acho que no fim as pessoas vão migrar para E2E baseado em servidores pessoais
    https://www.apple.com/child-safety/pdf/Expanded_Protections_...

    • Discurso de ódio, no fim, será apenas “aquilo de que eles não gostam”, como opiniões fora da janela de Overton. Até órgãos de aplicação da lei ficaram com medo de ser rotulados como odiosos; basta ver https://en.wikipedia.org/wiki/Rotherham_child_sexual_exploit...
      A própria BBC britânica também sabia sobre Jimmy Saville, mas ficou quieta e continuou deixando passar
      O termo em si parece ter saído diretamente de 1984, de Orwell; quase nem parece haver esforço para esconder uma tomada de poder descarada por trás de algumas desculpas batidas envolvendo crianças e terrorismo
    • Não gosto do argumento de que backdoors são ruins “porque podem cair nas mãos de pessoas más”. Isso soa como se, caso fosse possível torná-los perfeitamente seguros, backdoors seriam aceitáveis
      Backdoors são ruins porque o governo não deve fazer vigilância em massa de seus próprios cidadãos; mesmo que uma tecnologia de vigilância perfeita hipotética fosse inventada, ela continuaria sendo ruim
    • “Aqueles que abrem mão da liberdade essencial para obter um pouco de segurança temporária não merecem nem liberdade nem segurança”
      Ben Franklin pode ou não ter dito isso falando de Rust
    • A única chance que temos é a Big Tech boicotar o Reino Unido em larga escala
      https://open.substack.com/pub/rakkhi/p/big-tech-vs-governmen...
    • Nem sempre as mensagens dos próprios políticos são incluídas. Projetos de lei desse tipo às vezes trazem cláusulas de exceção para políticos e figuras públicas
      Desculpe pela formulação vaga. Estou escrevendo pelo celular e com pouco tempo
  • Do ponto de vista de quem mora no Reino Unido, o que mais incomoda é a completa indiferença das pessoas ao redor. Mesmo trabalhando no setor de TI, as pessoas dizem “fazer o quê?”, ou, mais recentemente, com frequência dizem: “não tenho energia para continuar ficando irritado com tudo que este governo faz. Só quero aguentar e torcer para melhorar”
    O fato de quase não haver cobertura da grande mídia também não ajuda

    • Não é indiferença, mas sinto uma impotência total. Os políticos não me representam, e os protestos foram criminalizados ou se tornaram completamente inúteis, então as pessoas não protestam mais
      Ainda assim, estou colocando energia em redes descentralizadas e totalmente criptografadas, continuo falando sobre a farsa que é o chamado mundo ocidental democrático e também estudo formas modernas de resistência técnica contra o status quo
      Acho que é um trabalho pequeno, mas honesto; porém a maioria, inclusive aqui, prefere cooperar com o sistema e com os ladrões a aceitar que fomos enganados por décadas
      O ponto central é que somos impotentes diante de qualquer decisão de Westminster. Todo mundo fica esperando votar em outro partido no ano que vem, mas dá mesmo para acreditar que esse partido vai recuar nessa lei? Eles também dirão que é pelas crianças e nos acusarão de querer proteger pedófilos
      É repugnante a forma como os principais jornais enquadraram essa lei como uma vitória ou a empurraram para o nível de nota de rodapé
    • Os problemas que muita gente está enfrentando agora são coisas como contas de aquecimento, comida, hipoteca, despejos de imóveis alugados, falta de lugares para alugar, aluguéis impagáveis, imóveis alugados sem manutenção, transporte público e deslocamentos ruins, alta no preço da gasolina, creches caras, longos tempos de espera do NHS, falta de dentistas do NHS e criminalidade
      A questão é explicar por que e como a privacidade deveria virar prioridade em relação aos problemas para os quais as pessoas têm energia para se preocupar no dia a dia. Parece que você até reconhece isso em certa medida, mas depois ignora
    • Sou britânico e agora moro na Alemanha; depois de vir para cá, percebi que no Reino Unido quase todo mundo, até as gerações mais jovens, ainda age como se o Blitz estivesse acontecendo
      De algum modo, a psique britânica parece ter sido mortalmente ferida pela Segunda Guerra Mundial e ainda não se recuperou. Tudo continua sendo “keep calm and carry on”, e tentativas de influenciar politicamente são ignoradas ou até provocam raiva
    • Não sou indiferente. Escrevo para o deputado da minha região e explico as implicações também a amigos que não entendem de tecnologia. Doo para a EFF, e já doei para a ORG, mas parei depois que concluí que eles consideravam outras questões mais importantes que esta
      Mesmo assim nada muda, e o lento declínio rumo ao autoritarismo continua. E você, o que está fazendo?
    • Não é verdade que haja “zero cobertura da grande mídia”. Talvez a Times HE já não seja mais mainstream, mas acabei de escrever um texto, como matéria principal da revista deste mês, criticando duramente como o Online Safety Bill surgiu como o preço da ignorância técnica e do abandono da alfabetização digital básica ao longo de três gerações
      O OSB é, em essência, um projeto de lei bem-intencionado. Foi concebido com boas intenções e mira muitos abusos da tecnologia que o governo deveria tratar por lei
      Mas a implementação é um lixo. Foi escrito por pessoas sem competência para essa tarefa, assessoradas por partes enganosas e movidas pelo próprio interesse, e que não conseguiram distinguir ciência da computação de pensamento desejoso
      O artigo da Times também atribui parte da culpa ao sistema universitário em colapso. Hoje as universidades são administradas por gestores profissionais em vez de acadêmicos e já não servem ao interesse público
      As universidades britânicas passaram a oferecer apenas certificados educacionais caros, deixando de buscar uma educação real que forme liderança
      É por isso que chegamos a uma situação em que Michelle Donelan, com diploma em História e carreira em marketing, vira ministra de Science, Innovation and Technology. Porque não há outra pessoa para ocupar o cargo
      Além disso, o governo e os órgãos estatais não conseguem competir com a Big Tech, então não conseguem contratar pessoas conscienciosas e tecnicamente competentes para funções essenciais. Sunak cultiva uma imagem de “entendido em tecnologia”, mas no fim é apenas mais um caso de alguém vindo de PPE que avança com contatos e bravata
  • Onde foi parar a época em que o governo tinha de regular seus próprios cidadãos por conta própria? Pelo que lembro da internet antiga, se o governo quisesse esse tipo de controle, precisava implementá-lo diretamente
    Em algum momento, Twitter, Google e Facebook começaram a cooperar, e agora isso virou o padrão. Por que não podemos simplesmente voltar a mandar o governo se danar?
    Que fiscalizem seu próprio povo diretamente. Se não gostam que usem nosso serviço, que bloqueiem. Hoje nem um servidor XMPP com OMEMO dá para operar sem uma equipe jurídica para responder aos e-mails de burocratas
    Estou completamente cansado desta situação e das respostas dóceis, e não estou sujeito à jurisdição deles

    • Essa mudança se deve a práticas monopolistas. Se um regime quiser submeter as pessoas, basta primeiro aprovar leis que transformem em criminosos aqueles que pretende submeter, e depois aplicá-las seletivamente conforme o capricho de funcionários do governo
      Assim, cria-se um sistema em que você até pode mandar o governo se danar, mas amanhã pode ser acusado de algo que vai estragar o seu dia
      Não estou fazendo um julgamento de valor de que leis antitruste sejam ruins. Estou apenas dizendo que essas leis podem ser usadas para obrigar monopólios como o Google a agir como o regulador quiser. É por isso também que essas leis são aplicadas seletivamente
    • Como cidadão do governo britânico, sinto que estou apenas em um estado de superposição. Até que a HMRC me observe, eu não existo
    • Com o surgimento da internet, mesmo serviços extremamente locais passaram a poder ser acessados de qualquer lugar do mundo, e as empresas transformaram todos os serviços online em negócios
      Governos normalmente querem regular negócios que envolvem entidades fisicamente presentes em seu país. Se uma empresa estrangeira não cumprir, em princípio podem bloqueá-la, mas muitas vezes não fazem isso porque é mais vantajoso que o negócio continue nos seus próprios termos
      Em vez disso, querem que a empresa estrangeira cumpra “voluntariamente”. Por exemplo, fazendo-a perceber que pode perder o acesso a instituições financeiras que querem continuar operando naquele país
      Empresas são, na prática, maximizadoras de lucro imorais e sem princípios, então geralmente obedecem
    • Se você não está fisicamente no Reino Unido nem faz negócios no Reino Unido, basta mandar se danar. Trate como trataria um burocrata do Irã ou da Rússia exigindo que você prejudique os direitos dos usuários
      Se querem controle autoritário sobre a internet, que construam seu próprio grande firewall
      A Big Tech é vulnerável à pressão financeira, mas um servidor Matrix ou XMPP hospedado nos EUA e administrado por uma única pessoa não tem motivo para obedecer
    • Parece que aquilo que qualquer governo mais teme são seus próprios cidadãos
  • A maioria nesta thread parece concordar que esta lei é ruim e que a privacidade dos usuários é o ponto central.
    Mas fico curioso sobre o que pensam do contra-argumento do governo, isto é, a alegação de que a privacidade dos usuários é secundária em relação à proteção das crianças. Estou apenas fazendo o papel de advogado do diabo; não estou defendendo essa posição.
    A internet é um dos principais meios de exploração infantil? Se esta lei levar N agressores à prisão todos os anos, vale a pena? Quanto deveria ser N?
    Concordo que isso é ruim para a privacidade na internet e muito provavelmente é uma tomada de controle da privacidade pelo governo. Ao mesmo tempo, se a discussão para o público mais amplo for apenas “é só tomada de poder”, “existe um direito à privacidade”, “não vai salvar as crianças, porque não vai”, sem mencionar o objetivo declarado, acho que pode sair pela culatra.

    • Eu gostaria de ver estatísticas baseadas em dados sobre quantos pedófilos são pegos todos os anos graças a exigências pesadas impostas à infraestrutura da internet.
      Não só pedófilos. Quantos criminosos os backdoors governamentais estão prendendo? Com que frequência as NSLs fornecem dados ou pistas que permitem ao governo pegar criminosos que ele teria deixado passar? A aplicação de KYC/AML tem um grande efeito inibidor sobre a economia; na prática, quanto ela controla o comportamento de criminosos e quanto apenas atrapalha a vida cotidiana dos cidadãos?
      Tenho muita confiança de que as evidências mostrarão que essas leis que violam direitos causam um dano líquido à sociedade. Por isso, acho que tudo o que devemos exigir são dados, e só isso já revelará o quanto essas ideias são terríveis.
    • Esses políticos não se importam nem um pouco com as crianças. As crianças são apenas a arma política perfeita para fazer o público aceitar uma tirania sem fim.
      No momento em que dizem “as crianças”, de repente estão monitorando e policiando os próprios pensamentos e falas. Claro, dirão que é tudo para o seu bem.
    • Há este material no gov.uk:
      “Nova pesquisa revela que 7 em cada 10 adultos dizem que empresas de redes sociais deveriam fazer mais para combater conteúdo nocivo”
      https://www.gov.uk/government/news/new-poll-finds-7-in-10-ad...
      Não chega a ser uma estatística sobre danos online, mas parece haver uma demanda pública à qual os dois principais partidos estão respondendo.
    • Não tem absolutamente nada a ver com crianças. Este governo se opôs fortemente a fornecer merenda escolar às crianças, algo que até a Índia faz, e adiou a reconstrução de escolas em ruínas até o último momento, só agindo quando não havia mais escolha.
      O governo só convenientemente se importa com crianças quando pode usá-las como pretexto para obter mais poder.
      O enquadramento deles é malicioso, e aceitá-lo é cair numa armadilha. É melhor ignorá-lo e seguir com o seu próprio enquadramento.
    • Temos um direito à privacidade inalienável. Isso significa que ele nos pertence, independentemente do que outras pessoas digam ou façam. O governo britânico agora não consegue mais garantir isso.
      “Quem sacrifica a liberdade em nome da segurança não merece nenhuma das duas e acabará perdendo ambas.”
  • Infelizmente, quase não havia chance de este projeto de lei não virar lei. Os partidos de oposição, na verdade, achavam que a lei não era forte o suficiente e pressionaram para torná-la ainda mais dura.
    O público britânico em geral tende a apoiar leis que imponham punições e regulamentações mais fortes às big techs. “Vamos proteger as crianças” é emocionalmente muito mais forte do que “mas um dia talvez percamos a criptografia”, e os danos colaterais à liberdade são lentos e discretos, então raramente são percebidos ou avaliados.
    Levando tudo isso em conta, acho que só nos resta aceitar como vitória a concessão vaga do governo de “quando a tecnologia permitir”. Foi o melhor que podíamos conseguir, e não havia cenário em que este projeto de lei não fosse aprovado.
    Ainda estamos no início da era de Velho Oeste da internet, e nas próximas décadas projetos de lei assim se tornarão mais comuns à medida que governos tentarem retomar o controle sobre aquilo a que os cidadãos podem ter acesso.

  • Pelo que vi, há muito pouca cobertura da mídia tradicional britânica sobre a aprovação deste projeto de lei.

    • Todos os grandes partidos o apoiam. Muitos jornais fizeram campanha a favor, várias grandes instituições de caridade também fizeram campanha a favor, e as pesquisas de opinião mostraram alto apoio ao projeto.
      Por isso, há muito pouco espaço para críticas racionais a este projeto de lei.
    • Porque não há oposição. Todo mundo quer essas regras, e a oposição quer, por exemplo, torná-las ainda mais fortes. Sem dissonância, na prática nem é notícia.
    • A imprensa está muito ocupada lidando com políticas anunciadas pelo primeiro-ministro que serão revertidas antes mesmo de serem implementadas.
    • A mídia tradicional britânica é muito favorável a este projeto de lei. O Daily Mail vem promovendo esse tipo de medida há anos.
    • Não há cobertura nenhuma. É uma loucura.
  • Há menos de duas semanas, discuti aqui com alguns usuários sobre a censura que enfrentamos no Ocidente, e quando mencionei esse fenômeno alguns pareciam não acreditar no que ouviam.
    Acho que algo de bom pode sair de projetos de lei como este e das cartas que o Parlamento britânico enviou recentemente a várias plataformas de internet perguntando sobre a capacidade dos usuários de atuar nessas plataformas. Uma censura governamental tão explícita pode chamar atenção para o quanto a censura em geral é de fato disseminada.
    E acredito fortemente que isso é apenas a ponta do iceberg, ou seja, apenas a censura visível. É a parte que aparece quando governos tentam impedir explicitamente a liberdade de expressão não só em seu próprio país, mas também em países vizinhos.
    Abaixo da superfície há uma quantidade incontável de censura privada politicamente motivada, mesmo quando não está diretamente ligada ao governo.

  • Whatsapp, Signal e Apple vão cumprir suas promessas, ou vão recuar dizendo que algum detalhe minúsculo do projeto de lei mudou e que agora está tudo bem?

    • O motivo da oposição deles era que o texto ainda estava em aberto e poderia dizer explicitamente que “E2EE é ilegal e queremos A) backdoors de criptografia ou B) vigilância de conteúdo nocivo no dispositivo”.
      No fim, os parlamentares perceberam que ainda não podiam fazer isso. O que entrou de fato foi uma formulação vaga dizendo que “quando a tecnologia permitir, isso deverá ser implementado”.
      Agora a maioria aceita isso como uma vitória, dizendo que essa redação reconhece a derrota. Como não é possível contornar a privacidade mantendo a liberdade, é basicamente como ter escrito “quando 1+1=3”. As empresas também dizem que isso não nos afeta.
      Mas não dá para não ser pessimista. Essa cláusula é a arma de Chekhov, e foi deixada ambígua de propósito. Não tenho dúvida de que, nos próximos anos, haverá um consenso de que “a tecnologia passou a permitir”, com algo como MITM.
    • O projeto de lei em si não mudou desde o momento em que essas empresas manifestaram suas preocupações.
      Tudo o que aconteceu foi um porta-voz do governo se levantar na Câmara dos Lordes e dizer, na prática: “confiem em nós. Ainda não vamos usar esse poder”.
  • Alguns meses atrás, quando esse assunto apareceu, escrevi para meu parlamentar nos EUA
    A resposta basicamente dizia que existem exatamente dois tipos de pessoa. 1) quem acha que o governo deve poder ler suas atividades online, 2) criminosos sexuais infantis
    Agora não tenho muita fé no sistema

    • Com certeza existem dois tipos de pessoa. 1) quem acredita que o governo pensa no seu melhor interesse e quase nunca comete erros, 2) quem conhece a longa história de catástrofes intencionais e não intencionais que governos causaram a pessoas no mundo todo
      Infelizmente, pouquíssimos do segundo grupo acabam trabalhando no governo
  • Por que o Reino Unido aborda seus cidadãos de uma forma tão centrada em vigilância? Isso me lembra o que George Orwell temia

    • O Conservative party está no poder. O programa deles foi desenhado para tirar riqueza e agência política do público em geral e sugá-las para o controle da própria classe deles, isto é, gente como aristocratas proprietários de terras e financistas
      O meio para executar isso é o medo e a distração espalhados pela mídia que eles e seus amigos possuem
      Nesse contexto, o entusiasmo pela vigilância faz todo sentido. Funciona bem com pessoas que veem o Daily Mail e passam a acreditar que algum monstro — seja imigrantes, pedófilos ou qualquer coisa — está atrás delas e de seus filhos
      Ao mesmo tempo, também é útil para vigiar manifestantes e trabalhadores em greve que tentam chamar atenção para as táticas e os objetivos deles
    • Essa mudança vem sendo exigida há muito tempo por organizações da sociedade civil
      A oposição está criticando o governo por tê-la enfraquecido. Por exemplo, a oposição queria a ilegalização de VPNs
      Qualquer coisa que contenha o poder das empresas de internet tem amplo apoio
    • Não é tão ruim assim. Ao contrário de lugares como Alemanha ou Espanha, não há carteira de identidade, nem algo equivalente ao número de seguridade social dos EUA. Nunca senti que fosse especialmente vigiado aqui
    • Parece que o governo quer empurrar o país até ele realmente parecer “V for Vendetta”
    • Também dá para dizer o contrário. Talvez Orwell conhecesse bem demais seus conterrâneos a ponto de imaginar os medos específicos que aparecem em 1984 e Animal Farm. As duas obras, aliás, se passam não em sociedades capitalistas/neoliberais, mas em sociedades socialistas tardias e distorcidas
      Seguindo essa linha de pensamento, Orwell descreveu não só vigilância, mas também manipulação das massas. Por isso, talvez no Reino Unido exista um medo real maior de mobilização e polarização das massas pela mídia do que em outros lugares, por causa de leis de imprensa mais livres, consciência de classe, experiências traumáticas como a campanha do Brexit e a possível participação de financiamento por forças estrangeiras hostis