1 comentários

 
GN⁺ 2023-12-07
Opiniões do Hacker News
  • A equipe do Home Assistant Companion para iOS tentou por algum tempo implementar criptografia de ponta a ponta para notificações push, mas a Apple recusou várias vezes a solicitação da permissão com.apple.developer.usernotifications.filtering [0]
    Fico curioso se, por causa da notícia de hoje, eles conseguiriam obter a permissão ao solicitar novamente
    Para referência, enviamos cerca de 35 milhões de notificações push por mês no iOS e cerca de 67 milhões no Android. Mais detalhes estão em [1]
    [0]: https://developer.apple.com/documentation/bundleresources/en...
    [1]: https://threadreaderapp.com/thread/1721717002946191480.html

    • No Firefox iOS, implementamos criptografia APNS sem grandes dificuldades
      As chaves eram negociadas por um caminho separado, e a descriptografia das mensagens era feita em uma Notification extension capaz de pré-processar notificações recebidas. Não foi necessária nenhuma permissão especial, e o código-fonte está em GitHub.com/mozilla-mobile
    • Fico curioso por que esse caso de uso precisaria da permissão de filtragem
      A descriptografia de notificações push parece ser suportada por mutable-content e pelo serviço de notificações, e o exemplo na documentação da Apple também usa esse método: https://developer.apple.com/documentation/usernotifications/...
    • Pelo que entendi, talvez seja preciso ter essa permissão para enviar uma notificação invisível criptografada, descriptografá-la localmente no app e então exibi-la novamente como uma notificação local que não passa pela rede
      Ou fico me perguntando se, estranhamente, esse comportamento está atrelado justamente a essa permissão específica
    • Talvez seja uma pergunta ingênua, mas me pergunto por que não remover dados sensíveis, ou todos os dados, da notificação e buscar o contexto com uma segunda chamada de API
    • A forma como a Apple filtra permissões e nega seu uso é bastante insana e, à primeira vista, parece arbitrária
  • Ron Wyden vem investigando esse problema há muito tempo
    https://www.wyden.senate.gov/issues/secret-law
    https://www.wyden.senate.gov/news/press-releases/wyden-colle...
    https://www.wyden.senate.gov/news/press-releases/wyden-intro...
    https://www.wyden.senate.gov/priorities/gps-act
    https://www.wyden.senate.gov/news/press-releases/wyden-relea...

    • Ele também teve influência em levar Snowden a expor programas ilegais de vigilância em massa
      Se minha memória não falha, Snowden chegou ao limite quando James Clapper, então diretor de Inteligência Nacional, mentiu sob juramento no Congresso em resposta a uma pergunta do senador Wyden sobre vigilância doméstica. É uma pena não ouvirmos mais histórias sobre pessoas poderosas assim
    • Quando sai uma notícia sobre um senador defendendo privacidade e direitos constitucionais relacionados à tecnologia, nove em cada dez vezes é Wyden
      Ele faz parte do Comitê de Inteligência do Senado e também tem um histórico bastante bom de conseguir apoio bipartidário e fazer as coisas acontecerem de fato, então não é apenas sinalização para ganhar votos. O apoio a ele no Oregon é tão forte que, na prática, é difícil ele perder uma eleição. Ele tem 74 anos, então espero que alguém assuma esse torch quando ele se aposentar. É uma luta perdida, mas ainda importa ter alguém competente e respeitado lutando em nosso lugar
    • É muito bom que o Oregon tenha alguém que parece o melhor senador do Senado depois de Bernie Sanders
      O Oregon é um estado muito decente. Todo mundo fala mal de PDX, mas, realisticamente, há aqui mais liberdade e menos tirania do que em qualquer outro estado dos EUA, talvez do que em qualquer outro lugar do mundo. O motivo de PDX ser “ruim” é que é um dos poucos lugares do mundo que odeia a polícia e de fato colocou uma mordaça nela, e viver sem temer a bota vale o preço de lidar com o problema dos moradores de rua
      Quer fumar maconha? Pode, é a mais barata do mundo. Quer usar psicodélicos? Estão efetivamente descriminalizados. Quer atirar com armas? Para um estado de maioria democrata, as leis sobre armas são bem frouxas. Não quer ser vigiado? Ron Wyden impede isso tanto quanto é possível
  • Houve uma posição da empresa dizendo: “Neste caso, o governo federal nos proibiu de compartilhar qualquer informação. Agora que esse método se tornou público, vamos atualizar nosso relatório de transparência para tratar esse tipo de solicitação em detalhes”
    Isso lembra quando, ao criar um detector de CSAM, perguntaram: “E se o governo exigir que a detecção seja expandida para outras mídias, como imagens de memes políticos?”, e a resposta foi: “Vamos recusar”

    • O fato de ter havido uma proibição de divulgação não refuta a promessa de recusar
      Apenas torna difícil provar qual dos lados é o caso, e isso não é o mesmo problema
    • O Yahoo tem um histórico melhor que o Google ou a Apple nesse tipo de questão: https://money.cnn.com/2014/09/11/technology/security/yahoo-f...
      Agora, um Yahoo phone já nem soa como uma piada tão ruim assim: https://www.slashgear.com/wp-content/uploads/2010/05/nokia_y...
    • Pode-se considerar com segurança que já estão fazendo isso
      Só que as leis que normalizam essa vigilância estão vindo devagar, então eles ainda não podem nos contar. Algo como: se quiser saber mais, vote nessas leis
  • Realmente assustador, mas não surpreendente
    Snowden apostou tudo para tentar mostrar o que estava acontecendo e para onde isso estava indo, mas, no fim, chegamos até aqui. Agora parece que a única forma de não ser tratado assim pelo governo é se desconectar completamente do sistema, mas, na prática, isso é impossível para a esmagadora maioria da sociedade. Então fico me perguntando qual é a alternativa

    • Questiono se uma vida tecnológica plena, interessante e divertida realmente exige um celular potente cheio de apps e notificações constantes
      É realmente surpreendente que pessoas que gostam de tecnologia não tenham percebido, desde o começo, que esse estado das coisas e suas várias desvantagens óbvias eram inevitáveis quando o dispositivo de espionagem mais cheio de recursos do mundo se tornasse universal nos bolsos das pessoas, sob controle de ponta a ponta de gigantes multinacionais. Parece que todos nós caímos completamente nessa
    • No celular, você deve se comportar como se estivesse em público, diante de amigos e familiares
      Só envie por mensagem e pesquise coisas que você não se importaria que um desconhecido soubesse. Venho vivendo assim há anos exatamente pelos motivos revelados neste artigo
    • Precisamos parar de nos deixar governar deliberadamente por criminosos de guerra e processar esses crimes
      Existem meios cívicos para retomar o controle sobre o governo, e é preciso ter coragem para usá-los. Ou seja, isso significa processar nossos próprios criminosos de guerra
      No fim, quem quer oprimir o público com as ferramentas do Estado são os criminosos com mais sangue nas mãos, e eles obtêm seu poder real do público; só o público também tem os recursos para responder de forma efetiva a criminosos em fuga
      Esses mecanismos de violação de direitos existem apenas para proteger uma elite dominante criminosa
      Para pôr ordem no governo, é preciso processar criminosos de guerra. Crimes de guerra são reais, crimes contra a humanidade são reais, violações de direitos humanos são reais. O que não é real é a disposição do público de lidar com o constrangimento de encarar o fato de que está sendo governado deliberadamente por criminosos de guerra até a medula
      O desconforto diante da ficção de que somos moralmente superiores a “países com violações de direitos humanos piores” precisa se transformar em indignação com as violações reais de direitos humanos cometidas em nosso nome. Caso contrário, continuaremos apenas escorregando para o abismo
    • Será preciso aceitar um ambiente com menos recursos do que o que se obtém no iPhone 27 Max Pro(TM) mais recente
      E também ter a coragem de conectar o celular a uma porta USB e clicar no botão “instalar outro SO” no navegador
      Estendendo isso aos serviços, uma parte considerável depende da capacidade de hospedá-los por conta própria. Isso pode envolver instalar Linux em uma máquina em casa e passar bastante tempo lendo documentação. Há documentação suficiente online para que a maioria das pessoas com ensino médio completo consiga fazer isso, mas é preciso motivação para rejeitar a impotência
      Hoje é possível comprar um Pixel 7[|a|Pro] e instalar o GrapheneOS. Dá para conseguir muita coisa no F-Droid e, se você realmente precisar de apps da Google Play Store, o GrapheneOS faz um sandboxing bastante bom. Basta criar uma nova conta Google dedicada a essa instalação da Google Play Store
      No celular, é melhor nunca fazer login em lugares como Google, Microsoft, Apple, Facebook, Twitter/X e LinkedIn. Se for absolutamente necessário, use o modo anônimo ou de navegação privada de um navegador confiável
      Você deve desativar todo o rastreamento de localização, exceto no seu app de mapas preferido. Se não quiser que as torres de celular captem sua localização enquanto se desloca, deixe o aparelho no modo avião. A recepção de GPS ainda funciona
      Fora da rede de casa, você pode se conectar ao seu próprio servidor com WG Tunnel. Há quem recomende fortemente o Tailscale, mas você precisa confiar a eles as informações dos seus nós
      Syncthing funciona bem para muita gente como solução de backup
      Para mapas pessoais, tenho usado o Organic Maps com algum sucesso. A busca por lugares nem sempre é simples, mas a navegação sempre funcionou bem
      Comunicação privada exige os dois lados: você e o destinatário. O ponto fraco geralmente será o ambiente do destinatário, mas algo como o Signal ao menos dá uma chance
      Para e-mail e calendário, algo como Fastmail é razoável. Provavelmente não criarão um perfil de usuário para vendê-lo a anunciantes. Para sincronização de calendário, o DAVx5 é gratuito no F-Droid
      Para busca, o Kagi funciona bem. Também parece pouco provável que tenha sido vendido a anunciantes. DuckDuckGo também é uma opção com outros compromissos
      Para música, é possível usar o minidlnad para servir arquivos FLAC ao VLC. Instalei o minidlnad com apt-get e depois ajustei o arquivo de configuração por uns 3 minutos. Há muitas opções nessa área
      Procure no F-Droid apps que podem ser melhores para privacidade, como Spotube, FreeOTP, Podverse, Librara FD e Cheogram. Isso não significa que apps do F-Droid garantam privacidade perfeita, mas, em geral, é bem provável que sejam melhores do que muita coisa promovida pela Play Store
      Você pode pegar e-books e audiolivros emprestados na biblioteca local. Ou pode processar e-books com a extensão DeDRM do Calibre e depois copiá-los para o dispositivo com Syncthing. O ponto principal é impedir que o celular entre em contato com servidores de licença
      Se não quiser que eReceipts sejam coletados e adicionados a perfis de consumidor, terá de abrir mão de Apple Pay, Google Pay, cartões de crédito e programas de fidelidade
      Nada disso garante privacidade perfeita, mas pode reduzir muito a quantidade de informações pessoais que governos e empresas coletam por meio de dispositivos móveis
    • Basta sair das algemas do Google/Apple e usar F-Droid/LineageOS ou algo semelhante, orientado a software livre e open source
  • Gostaria de ver exemplos de metadados de notificações que possam ser vinculados a usuários reais
    O que fica implícito parece ser algo assim: há usuários que ativaram notificações, instalaram o app X, o usuário-alvo está nos EUA e segue “foo” no app X; então, se for emitido um mandado FISA para todos os usuários de smartphones que receberam notificações relacionadas ao usuário “foo”, seria possível obter todas as contas Apple/Google que correspondem a essas condições, conseguir endereços e nomes reais e cruzar com outros detalhes para afunilar os suspeitos
    Ou pode ser uma situação ainda pior, em que as notificações vazam dados de localização de alguma forma

    • Fico pensando se é mesmo necessário passar por todo esse processo
      Não seria só pegar tudo, armazenar e indexar por conta própria? Talvez depois queiram olhar retroativamente o que as pessoas receberam e definir novos crimes
    • É preciso criar redes paralelas nas quais parte da sociedade possa atuar e se associar fora das áreas alcançadas pelo governo, ou garantir tecnicamente a privacidade e a segurança
      Entendo que é uma restrição difícil de escalar, mas não é impossível, e já há soluções sendo melhoradas de forma iterativa. As pessoas já construíram com sucesso sociedades alternativas antes, em torno de comunicação, ajuda mútua e segurança oferecida ao público independentemente de família
      Esse tipo de coisa é uma ameaça a governos e empresas. Porque reduz o grau de dependência das pessoas em relação a essas instituições e cria um poder difícil de controlar apenas com dinheiro. Por isso, historicamente, recorreram à violência. Um exemplo é a Batalha de Blair Mountain
      Vejo a tecnologia como um meio singular de tornar soluções potenciais escaláveis, porque reduziu muito o custo unitário e o custo de mão de obra por meio de automação, componentes de uso geral e open source
    • A própria documentação de desenvolvedor da Apple diz que notificações podem ser acionadas ao cruzar limites físicos
      Por exemplo, se uma notificação de app for acionada quando alguém entra em uma “área de protesto”, o governo poderia saber quem estava lá
    • Se a entrega de notificações usa IP, o governo pode exigir que sejam entregues os endereços IP para os quais as notificações foram enviadas
      A partir daí, descobrir a localização não é difícil
    • Para deixar claro: recentemente soubemos que o FBI executou um mandado de busca no Twitter referente à conta de Trump e, como resultado, teve acesso a todos os seus seguidores no Twitter: https://www.bbc.com/news/world-us-canada-66365643.amp
  • Isso me faz lembrar: o que aconteceu com as redes mesh?
    Se você quiser circular em espaços públicos, poderia carregar um dispositivo muito anonimizado, com funções mais básicas. Entre essas funções poderiam estar mensagens e transferência de arquivos pequenos por uma rede mesh. Agências federais poderiam se infiltrar, mas não seria algo trivial como hoje. Os usuários também poderiam trocar de dispositivo
    Se o dispositivo em questão não for um celular de verdade, mas um dispositivo genérico com Wi‑Fi e teclado, nem seria necessário IMEI

    • O Apple AirDrop era basicamente parecido com isso, mas foi castrado a pedido do governo chinês
      Ele ainda funciona, mas desliga automaticamente a cada 30 minutos, então não dá para optar por algo como permitir que as pessoas recebam automaticamente no celular, durante o trajeto para o trabalho, notícias sem censura. Porque é preciso mexer no celular a cada 30 minutos
      Tecnicamente, não é uma rede mesh, pois não oferece suporte a roteamento multi-hop. Ainda assim, é peer-to-peer e não precisa de conexão de dados
    • Redes mesh ainda existem e estão mais ativas do que nunca, porque são úteis para IoT
      Há muitos operadores privados de redes LoRa que oferecem uma mistura de serviços gratuitos e pagos. A Amazon já é um grande player nessa área graças à sua rede de entregas
    • Fico curioso para saber que tipo de rede mesh os dispositivos Apple AirTag usam
  • Se mensagens push viessem por padrão com criptografia de ponta a ponta, alguns problemas poderiam ter sido evitados
    Se isso estivesse integrado às ferramentas de desenvolvimento, nem seria particularmente difícil de usar. Mas recomendações para desenvolvedores como [0] sugerem colocar conteúdo nas mensagens push e, opcionalmente, criptografá-lo com uma biblioteca separada. Como os desenvolvedores claramente não fazem isso, surge uma oportunidade de vigilância
    [0] https://android-developers.googleblog.com/2018/09/notifying-...

    • Só o timing já pode revelar coisas
      Com uma posição privilegiada na rede, é possível saber que um usuário enviou uma mensagem para um serviço de mensagens e que, pouco depois, um conjunto de usuários recebeu notificações desse serviço. Com observações repetidas suficientes, dá para obter alta confiança sobre os membros do grupo
      Para evitar esse tipo de ataque, seria preciso enviar um fluxo de mensagens em taxa fixa. A maioria seriam mensagens falsas, e só de vez em quando uma mensagem carregaria conteúdo real. Algo no estilo de uma transmissão de números. Além disso, nenhum ponto da cadeia deveria revelar quais mensagens são reais. Se, ao receber uma notificação real, o app busca uma mensagem criptografada no servidor, isso por si só já vaza dados
      Operadores de apps poderiam enviar mensagens em intervalos fixos para dificultar a correlação. Seriam necessárias mais amostras para ter certeza sobre os destinatários. Mas enviar notificações falsas provavelmente esbarraria nas restrições da Apple/Google para notificações invisíveis ao usuário. Sei que a Apple proíbe isso, e imagino que o Google também
      Do ponto de vista da Apple/Google, não parece que elas teriam interesse em frustrar esse tipo de ataque. A demanda de energia e de largura de banda sem fio de todo mundo aumentaria bastante
    • Se o alvo for metadados, como diz o artigo, não sei se criptografar a própria notificação push faria muita diferença
      Enquanto as notificações push forem gerenciadas pelos servidores da Apple/Google, parece que haverá algum volume de metadados útil para vigilância, independentemente de haver criptografia ou não
    • Na prática, há apps que fazem isso
      Até onde sei, pelo menos o Rocket.Chat tem uma opção para tratar push dessa forma. Espero que apps de chat semelhantes usados por grupos e comunidades também façam isso
      Mas, como outros disseram, só o timestamp e o destinatário da notificação já dizem muita coisa
    • Criptografia não ajudaria. O ponto central é observar o timing de coincidência
      Por exemplo, se um usuário realiza atividade em um serviço conhecido e, repetidamente, logo depois um push vai para outro usuário, dá para acumular confiança de que os dois estão em contato
    • Não entendo por que isso teria de ser assim
      O operador do sistema sabe para quem a mensagem vai. Se uma ordem judicial mandar rastrear mensagens enviadas a alvos enumerados, ele não terá escolha a não ser cumprir
  • Neste caso, metadados parecem significar que Apple e Google ajudam a descobrir que “este usuário real se conectou com aquele usuário real neste horário”
    O governo pode ou não conseguir descriptografar o corpo das mensagens push ou os dados transmitidos por causa desse corpo

    • Um ponto interessante no livro de Glenn Greenwald é que metadados muitas vezes fornecem mais informações do que os dados em si
      Por exemplo, se compararmos o conteúdo de uma ligação em que a sra. Smith fala com a recepcionista para marcar uma consulta na quarta-feira seguinte às 9h30 com o fato de que a sra. Smith ligou para uma clínica de aborto, este último parece uma invasão de privacidade maior. Metadados são os dados de verdade
    • Pelo menos desde 2014, já se “mata pessoas” apenas com metadados.[0]
      [0]: https://www.nybooks.com/online/2014/05/10/we-kill-people-bas...
    • Mensagens FCM não são criptografadas de ponta a ponta
      Isso é algo que o backend do app e o cliente precisam fazer diretamente
  • A única saída para esta confusão é uma nova legislação, e para isso são necessários novos legisladores
    Outras soluções, como contar com a boa vontade das empresas, apegar-se a tecnologias obscuras ou ficar “off-grid”, são tolas ou inviáveis para cerca de 99% das pessoas, portanto nem deveriam ser consideradas
    O ponto de partida mais promissor provavelmente será no nível estadual

    • Como as leis existentes já foram interpretadas de forma criativa e violadas, não sei se uma nova lei teria muito significado
    • É para esperar que o Estado use a lei para impedir a vigilância dos cidadãos?
    • O Libertarian Party talvez se alinhe às nossas demandas por privacidade, mas há pouquíssimas pessoas nesse partido
      Como liberal, comecei a ouvir pelo menos uma vez por semana o podcast de Ron Paul, um libertário e ex-senador dos EUA. Não sei se é porque estou ficando mais velho, mas sinto que a maior parte do que ele diz faz sentido
      Como mencionei um terceiro partido, talvez eu leve bronca aqui, mas tudo bem
  • A parte mais incômoda do artigo é este trecho
    “Neste caso, o governo federal proibiu o compartilhamento de qualquer informação. Agora que esse método se tornou público, atualizaremos nosso relatório de transparência para tratar dessas solicitações em detalhes”
    Não sei qual é o sentido de um relatório de transparência se uma das principais vias de vigilância governamental fica de fora
    Acho que essas ordens de silêncio não deveriam ser legais quando aplicadas à vigilância em massa. Pode ser aceitável impedir que uma empresa informe uma pessoa específica de que ela está sendo monitorada com base em um mandado. Mas impedir que uma empresa divulgue vigilância não direcionada ou semidirecionada, especialmente quando cidadãos dos EUA estão envolvidos, deveria ser inconstitucional do ponto de vista da liberdade de expressão

    • Parece que não leram o Patriot Act
      O próprio título é um exemplo clássico de duplipensar orwelliano
    • Nos EUA, parece uma restrição inconstitucional bastante clara à liberdade de expressão
      Ainda mais considerando que a posição da Apple foi algo como “agora que se tornou conhecimento público, podemos falar publicamente sobre isso”
    • Nem sei quantas vezes as pessoas que sabiam que tudo isso era ficção alertaram sobre isso
    • Por isso nunca acredito no “levamos sua privacidade muito a sério!” da Apple
      Isso só vale até o governo pedir algo nos bastidores
    • Se não me engano, isso se chama NSL, e, quando contestado, sua legalidade é examinada em um tribunal secreto, com leis secretas e interpretações secretas de palavras
      Na minha opinião, tudo isso é um pesadelo fora de controle, e o Congresso corrupto não se importa