O Reino Unido está enfraquecendo a segurança no mundo todo

 (blog.thenewoil.org)
15 pontos por GN⁺ 2025-02-25 | 4 comentários | Compartilhar no WhatsApp
  • Nesta semana, o Reino Unido colocou o mundo inteiro em risco
  • Em 2016, foi aprovada a Investigatory Powers Act, ampliando significativamente os poderes de vigilância eletrônica do Reino Unido
  • Recentemente, o Reino Unido ordenou à Apple que inserisse um backdoor de criptografia no iCloud e proibiu a empresa de revelar isso publicamente
  • A Apple vinha recusando pedidos governamentais de backdoor, mas desta vez decidiu remover completamente a criptografia do iCloud para usuários do Reino Unido

Proteção Avançada de Dados

  • Criptografia é uma tecnologia que torna os dados ilegíveis para pessoas não autorizadas
  • A maioria dos dispositivos modernos e do tráfego de internet é criptografada, mas os provedores de serviço ainda podem acessá-los
  • Alguns provedores implementam criptografia de ponta a ponta (E2EE), fazendo com que os dados só possam ser acessados nos dispositivos do usuário
  • O programa Proteção Avançada de Dados (ADP) da Apple foi lançado em 2022 e criptografa com E2EE quase todos os dados do iCloud, exceto e-mail, contatos e calendário
  • Porém, por causa da exigência do Reino Unido, a Apple removeu o ADP no país

Backdoors & Salt Typhoon

  • O que é um backdoor?
    • Um backdoor é um caminho oculto em uma criptografia ou software que permite acesso direto pelo desenvolvedor
    • Em geral, ele funciona silenciosamente sem o consentimento do usuário, o que o diferencia de um acesso de suporte técnico oferecido voluntariamente
  • Um backdoor pode ser usado só pelos “mocinhos”?
    • Políticos e autoridades governamentais frequentemente afirmam que backdoors são necessários para “bons propósitos”, mas isso é um conceito inviável na prática
    • Assim como um backdoor físico, um backdoor em software não consegue impedir invasores mal-intencionados
    • Agentes maliciosos podem contornar isso encontrando vulnerabilidades no software ou roubando contas de usuários por meio de ataques de phishing
  • Qualquer um pode abusar de um backdoor
    • A ameaça interna (insider threat) existe de fato, e funcionários não confiáveis podem abusar de um backdoor
    • Por exemplo, um engenheiro do Yahoo invadiu contas de usuários e roubou fotos pessoais
  • Caso Salt Typhoon (o ataque de 2024 às redes de telecomunicações dos EUA)
    • Em 2024, veio à tona um caso em que o governo chinês invadiu redes de telecomunicações dos EUA e de vários outros países
    • Pelo menos 9 grandes operadoras nos EUA (Verizon, T-Mobile, AT&T etc.) foram atacadas, e nesse ataque foi explorado um backdoor destinado às autoridades
    • Esse backdoor havia sido projetado originalmente para escutas autorizadas por ordem judicial, mas acabou sendo usado da mesma forma por hackers ligados ao governo chinês
    • Nesse processo, registros de chamadas e mensagens de altas autoridades, como o presidente Donald Trump e a vice-presidente Kamala Harris, foram expostos
  • A ideia de um “backdoor que só pessoas boas usam” é fictícia
    • O caso Salt Typhoon é uma prova decisiva de que backdoors inevitavelmente podem ser explorados de forma abusiva
    • Quando políticos dizem que “backdoors são seguros”, isso não é mais realista do que dizer que unicórnios e orcs existem

O problema dos backdoors em um contexto mais amplo

  • Mesmo reconhecendo que foi errado o Reino Unido forçar a Apple a adotar um backdoor, isso não afeta apenas os usuários britânicos
  • Este caso não deve ser entendido como um incidente isolado, mas como parte de um padrão maior
  • PGP e as Crypto Wars
    • O PGP (Pretty Good Privacy), lançado em 1991, foi tratado pelo governo dos EUA como se fosse armamento e passou a ser alvo de regulação
    • Depois que a Justiça decidiu que “código é liberdade de expressão”, as tecnologias de criptografia puderam se espalhar amplamente
    • Graças a essa decisão, tecnologias como TLS e AES se tornaram comuns hoje, permitindo compras online seguras e armazenamento protegido de dados
    • Esse caso foi um marco para tornar a EFF (Electronic Frontier Foundation) conhecida, e a representante legal na época foi Cindy Cohn, hoje diretora da EFF
  • As Crypto Wars continuam
    • Nos EUA, a controvérsia sobre a adoção de backdoors também continua
      • Durante o governo Trump, o procurador-geral William Barr apoiou fortemente backdoors
      • O governo Biden também apoiou indiretamente o enfraquecimento da criptografia em 2022 com o Kids Online Safety Act
      • A posição de Biden sobre projetos regulatórios mais duros, como o EARN IT Act e o STOP CSAM Act, continua incerta
  • As ameaças à segurança digital também crescem na Europa
    • Chat Control: na Europa, foi proposto um projeto que tornaria obrigatória a detecção de material de abuso sexual infantil (CSAM) em apps de mensagens (WhatsApp etc.)
    • A Apple também já tentou implementar um sistema semelhante no passado, mas recuou devido a falhas técnicas e ao potencial de abuso
    • Ainda assim, essas tentativas continuam se repetindo e ressurgindo
  • O governo britânico chegou a tentar retratar usuários de criptografia como criminosos por meio da campanha #NoPlaceToHide
    • Medidas para acabar com o anonimato online e programas amplos de vigilância de redes sociais estão se espalhando pelo mundo como políticas de violação de privacidade
    • A exigência do Reino Unido à Apple não diz respeito apenas aos seus próprios cidadãos; ela pode se tornar mais um ataque à privacidade digital global e um precedente bem-sucedido

O que fazer

  • Considerando o caso Salt Typhoon e os episódios de vazamento de dados, quem promove backdoors parece ou não entender a questão tecnicamente, ou estar tentando impô-los de forma deliberada
    • O fato de o governo britânico tratar a criptografia como uma ameaça e tentar enfraquecê-la acaba tornando os dados dos usuários mais vulneráveis e dá justificativa para que outros países tentem fazer o mesmo
  • Há especulações de que a saída da Apple do mercado britânico possa ser uma estratégia para uma resposta judicial, mas não há base confiável para isso
    • Se a Apple travar uma batalha judicial e vencer, isso poderá ser um ponto de virada importante para a proteção da privacidade
    • Assim como no caso histórico do PGP e de Phil Zimmermann, uma vitória judicial pode se tornar um precedente para a defesa da privacidade digital
    • A medida de um país — especialmente uma grande potência — afeta outros países também, normalmente de forma negativa
  • Medidas que os usuários podem tomar
    • Parar de usar o iCloud:
      • Embora o Advanced Data Protection (ADP) da Apple ainda esteja disponível em alguns países, confiar todos os seus dados à nuvem não é uma escolha confiável
      • Fotos, calendário, notas, armazenamento de arquivos e outros conteúdos podem ser migrados para serviços alternativos mais confiáveis
      • Lista de serviços alternativos que priorizam privacidade e segurança
    • Para dados que não podem ser facilmente substituídos, armazenar no dispositivo ou simplesmente não usar
      • Serviços como dados de saúde, notificações e carteira digital podem ser mantidos no dispositivo ou até evitados completamente
      • A conveniência do Apple Wallet é reconhecida, mas há pesquisas indicando que usar dinheiro em espécie é mais eficaz para controlar o orçamento
      • Mesmo sem análise de dados de sono, muitas vezes basta manter uma boa higiene do sono
    • Participação política
      • Leis de proteção à privacidade podem ser uma importante barreira de defesa dos dados (por exemplo, na UE, onde o GDPR se aplica, quase não existem sites de busca de dados pessoais)
      • Se você é cidadão britânico, deve entrar em contato com seu parlamentar para se opor ao “technical capability notice” relacionado ao Advanced Data Protection da Apple
      • Também é possível buscar apoio por meio de organizações sediadas no Reino Unido, como Big Brother Watch e Privacy International

Conclusão

  • Entre as pessoas que valorizam a privacidade, ninguém está defendendo o crime
  • Mas sacrificar as liberdades civis para deter um pequeno número de criminosos é uma abordagem desequilibrada
  • Muitas políticas de violação de privacidade são promovidas sob o pretexto de “proteger as crianças”, mas isso não representa proteção real
    • Crianças e adolescentes precisam de um ambiente em que possam crescer livremente e aprender com os próprios erros
    • O mundo digital não deve se tornar um lugar em que erros fiquem registrados para sempre e passem a oprimir a liberdade individual
    • A solução prática deve estar em medidas técnicas de proteção, e não em políticas
  • Proibir a criptografia não traz proteção; pelo contrário, aumenta o risco
  • Como responder às violações de privacidade do governo britânico:
    • Migrar para serviços seguros fora do alcance da legislação britânica
    • Como eleitor, manifestar oposição ao governo

Leituras relacionadas

4 comentários

 
ryudaewan 2025-02-26

Eu achava que o Partido Trabalhista do Reino Unido ficava mais à esquerda do que os Conservadores, mas olha só, hein~
 
colus001 2025-02-25

Na Rússia, também reprimiram o Telegram daquele jeito, mas quando chegou a guerra acabaram usando o Telegram; o governo coreano também tentou pintar o Telegram como a raiz de todo mal, mas depois foi revelado que eles mesmos usavam o Telegram e até o Signal. Não existe no mundo algo como segurança que só me favorece; às vezes também parece que falta entendimento sobre tecnologia.
 
unsure4000 2025-02-25

A postura dos políticos de destruir a segurança me parece nada mais nada menos do que a atitude de achar que só eles vão usar isso. Se andam com vários assessores e ainda assim não conseguem entender esse nível de tecnologia, isso é negligência no trabalho.
 
GN⁺ 2025-02-25
Comentários do Hacker News

  • "A Apple deixou claro que recusará pedidos de backdoor do governo"

    • É preciso considerar que, nos EUA, ela não pode recusar ou divulgar isso sem ordem judicial
    • Leis como a SCA e as NSL impedem que empresas divulguem solicitações do governo

  • "Bom artigo. Os 'mocinhos' que usam a lei para obter acesso podem ser os vilões"

    • Há casos de agentes individuais abusando do poder
    • Governos opressivos podem controlar dados pessoais

  • "O Manifesto Cypherpunk de 1993 parece algo distante"

    • Até os técnicos já não lutam mais pela privacidade

  • "Acho que a Apple deveria ter adotado uma posição mais firme"

    • Argumenta-se que ela deveria ter exposto as contas do iCloud de políticos britânicos
    • A Apple agora lida com a privacidade de uma forma mais madura

  • "Se você permitir um backdoor, os inimigos mais confiáveis serão os primeiros a invadir"

    • Outros países ou ex-funcionários podem obter acesso primeiro

  • "Vi o título da matéria e achei que era clickbait"

    • Mas, na prática, ela é vista como algo que oferece maneiras para usuários comuns protegerem seus dados

  • "A opinião de um ex-ministro conservador também é interessante"

    • Ele enfatiza que agentes maliciosos podem atacar dispositivos pessoais
    • Defender backdoors como ferramenta para resolver o problema de CSAM não é muito convincente

  • "A Apple não está fazendo criptografia do lado do cliente?"

    • O Reino Unido parece estar tentando reprimir a privacidade

  • "Não confio na motivação por trás do projeto do governo"

    • O Reino Unido historicamente encobriu abuso infantil
    • Afirma-se que, enquanto houver criptografia E2E, as agências MI* não conseguirão cumprir sua missão

  • "O exemplo do Salt Typhoon não parece relevante"

    • O mais importante é que há grande chance de registros de conexão à internet vazarem"