1 pontos por GN⁺ 2023-06-29 | 1 comentários | Compartilhar no WhatsApp
  • O Online Safety Bill do Reino Unido poderia exigir que apps de mensagens criptografadas como iMessage, WhatsApp e Signal escaneiem imagens de abuso infantil, e a Apple pediu alterações no projeto de lei
  • O projeto de lei dá ao Ofcom o poder de ordenar a varredura do conteúdo das mensagens por meio de tecnologia credenciada, e o governo descreve isso como um “último recurso” quando salvaguardas rigorosas de privacidade forem atendidas
  • A Apple enfatiza que a criptografia de ponta a ponta protege jornalistas, ativistas de direitos humanos, diplomatas e cidadãos comuns contra vigilância, roubo de identidade, fraudes e vazamentos de dados
  • Signal e WhatsApp afirmam que rejeitarão exigências para enfraquecer a privacidade da criptografia, e o Signal disse que deixaria o Reino Unido caso fosse obrigado
  • Organizações da sociedade civil, acadêmicos e especialistas em cibersegurança alertam que a medida pode abalar a confiança na segurança dos serviços internacionais de comunicação digital para além do Reino Unido

Conflito sobre criptografia em torno do Online Safety Bill

  • A Apple critica que os poderes do Online Safety Bill poderiam ser usados para obrigar ferramentas de mensagens criptografadas como iMessage, WhatsApp e Signal a escanear material de exploração sexual infantil
  • A Apple defende que o projeto de lei deve ser alterado para proteger a criptografia de ponta a ponta
  • A criptografia de ponta a ponta é um método que impede que qualquer pessoa além do remetente e do destinatário leia as mensagens
  • A polícia, o governo e alguns grandes grupos de proteção infantil entendem que a criptografia de apps como WhatsApp e Apple iMessage dificulta que autoridades policiais e empresas identifiquem material de exploração sexual infantil
  • O governo britânico defende que as empresas devem impedir abuso infantil em suas plataformas
    • Entende que as empresas só devem implementar criptografia de ponta a ponta quando puderem prevenir abusos sexuais infantis graves em suas plataformas
    • Afirma que continuará buscando, junto com as empresas, soluções para combater a disseminação de material de exploração sexual infantil mantendo a privacidade dos usuários
  • O projeto de lei está atualmente em tramitação no Parlamento e inclui poderes para que o Ofcom possa ordenar que plataformas escaneiem o conteúdo de mensagens com tecnologia credenciada
    • O governo explica que esse poder é um “último recurso” e só será usado quando salvaguardas rigorosas de privacidade forem atendidas

Varredura do lado do cliente e reação da indústria

  • O governo acredita que é possível uma solução técnica capaz de escanear material de abuso infantil mesmo em mensagens criptografadas
  • Muitos especialistas em tecnologia entendem que isso exigiria software de varredura do lado do cliente, que verifica mensagens no celular ou computador antes de serem enviadas
  • Críticos temem que a varredura do lado do cliente enfraqueça de forma fundamental a privacidade das mensagens
  • Em 2021, a Apple anunciou um plano para escanear conteúdo abusivo em fotos do iPhone antes do upload para o iCloud, mas o abandonou após reações contrárias
  • Várias plataformas de mensagens, incluindo Signal e WhatsApp, já afirmaram que se recusariam a cumprir ordens para enfraquecer a privacidade de sistemas de mensagens criptografadas
    • Em fevereiro, o Signal disse que “sairia” do Reino Unido se fosse obrigado a enfraquecer a privacidade de apps de mensagens criptografadas
  • Com a entrada da Apple, algumas das apps de criptografia mais usadas passam a se opor a essa cláusula do projeto de lei

Carta aberta e preocupações com a confiança na segurança

  • A organização de liberdades civis digitais Open Rights Group enviou uma carta aberta à ministra da Tecnologia, Chloe Smith
    • A carta foi assinada por mais de 80 organizações nacionais e internacionais da sociedade civil, acadêmicos e especialistas em cibersegurança
    • Ela alerta que o Reino Unido pode se tornar a primeira democracia liberal a exigir a varredura rotineira de mensagens privadas de chat, incluindo conversas protegidas por criptografia de ponta a ponta
    • Como mais de 40 milhões de cidadãos britânicos e 2 bilhões de pessoas no mundo usam esses serviços, considera-se que isso pode representar um risco significativo à segurança dos serviços de comunicação digital não apenas no Reino Unido, mas também internacionalmente
  • A empresa britânica de tecnologia Element, que fornece produtos E2EE para clientes governamentais e militares, teme que medidas do projeto de lei que enfraqueçam a privacidade de mensagens criptografadas possam reduzir a confiança dos clientes em produtos de segurança de empresas britânicas
  • Também cresce a expectativa de que partes do projeto de lei criticadas por poderem ser usadas para impor a varredura obrigatória sejam alteradas
    • As mudanças podem ser incluídas em um pacote de emendas a ser divulgado dentro de alguns dias
    • Ainda não está claro quais serão os detalhes nem se eles atenderão às preocupações dos grupos de campanha

1 comentários

 
GN⁺ 2023-06-29
Opiniões do Hacker News
  • Se a ideia é que, para oferecer criptografia de ponta a ponta, a plataforma também precise ser capaz de impedir ao mesmo tempo a terrível exploração sexual infantil, então a lógica seria a de que casas com paredes também deveriam ser proibidas se o construtor não puder garantir que nenhuma criança será ferida dentro delas

    • Na verdade, está mais para proibir fechaduras em residências privadas porque pode haver uma pessoa ruim em uma casa
      É uma ideia absurdamente insana
    • Pedófilos também dirigem carros
    • Lembro que, quando ouvi sobre o caso Dutroux na infância, pensei que seria melhor que os prédios onde isso acontece simplesmente desabassem
    • Concordo em certa medida, mas a escala é completamente diferente
      Não é uma questão de preto no branco, e sei que muita gente vai discordar disso
  • Manipulação de imagens por IA, autocompletar e imagens de tirar roupa provavelmente vão tornar o CSAM muito mais estranho
    Há precedente de que é legal possuir e vender hentai japonês retratando menores: https://en.wikipedia.org/wiki/United_States_v._Handley
    E se alguém obtiver imagens de crianças em algum lugar como https://thispersondoesnotexist.com/ e as usar para gerar imagens de nudez ou de atos sexuais? Pela lógica acima, é quase a mesma coisa, já que nem a criança é real nem o ato sexual é real
    O problema maior é: “como distinguir se esta imagem é prova de estupro infantil ou apenas algo gerado por IA?”
    Estou cada vez mais inclinado à ideia de que “CSAM deve ser prova de um crime, e não ser em si o crime”
    Ainda assim, mesmo que se acabe com a responsabilidade objetiva pela posse de CSAM, eu apoiaria a pena de morte para qualquer pessoa que estupre uma criança pré-púbere

    • Se você enxergar isso como prova de uma cena de crime, é bem estranho que simplesmente possuir esse material, por qualquer motivo, já seja um crime gravíssimo passível de décadas de prisão
      Pedófilos basicamente fotografam e filmam suas próprias cenas de crime e as compartilham na internet; se detetives da internet, assim como as forças de segurança, pudessem investigar esse material, parece que muito mais abusadores infantis acabariam sendo pegos
      A distribuição obviamente deve continuar ilegal, mas proibir a simples posse não impede traficantes de pessoas e ainda elimina uma força investigativa amadora que pode ajudar bastante a resolver o problema
      Essas pessoas já ajudaram a solucionar muitos casos antigos de assassinato que nem a polícia conseguiu resolver
      Pensando bem, isso também é meio assustador. Outras provas de cena de crime não recebem esse tipo de proteção
      É ilegal possuir fotos ou vídeos de alguém sendo esfaqueado, baleado ou decapitado? Com certeza há pessoas que obtêm prazer sexual com esse tipo de material, mas ninguém parece se importar muito quando ele circula
      Parece quase que os poderosos não querem realmente que o público em geral descubra quem está por trás disso. Já sabemos que pessoas muito ricas e influentes costumam estar envolvidas em redes de prostituição infantil
      A geração de imagens por IA torna isso ainda mais perigoso e ridículo. Está chegando a era em que alguém pode criar localmente, com algo como Stable Diffusion, imagens que parecem CSAM, mas sem nenhuma criança real, e colocá-las entre os meus pertences — seja remotamente, seja largando um cartão SD em algum canto da casa — e eu posso acabar responsável por décadas de prisão
      Melhor torcer para não ter inimigos
    • O precedente citado se aplica apenas à lei federal dos EUA
      Depois desses casos, muitos estados americanos proibiram representações computacionalmente geradas de CSAM, então imagens geradas por computador ou bonecas sexuais infantis não são permitidas em boa parte do país
      Não sei dizer se, ao permitir acesso a esse tipo de coisa sem crianças reais envolvidas, a maioria das pessoas interessadas cometeria mais ou menos crimes reais
      Para algumas pessoas, isso pode aliviar os impulsos; para outras, pode ampliá-los. Não sou psicólogo
    • As matérias sobre IA de CSAM estão só começando a aparecer
  • A Apple não havia defendido há pouco tempo o escaneamento no dispositivo para esse tipo de foto?
    Ainda bem que agora é contra, mas como ela tentou implementar isso diretamente no passado, é difícil medir o quanto essa posição é sincera

    • Acho que a tentativa da Apple de criar um plano de combate a CSAM era justamente para se antecipar e bloquear esse tipo de lógica maliciosa por parte de governos como o do Reino Unido
      O Reino Unido está até mobilizando entidades de proteção à infância para dar peso emocional e social ao objetivo de quebrar a criptografia de ponta a ponta
    • Não foi isso. Não era algo imposto por lei, e sim opt-in
      O sistema foi projetado para funcionar apenas em imagens enviadas ao iCloud, e não em qualquer imagem dentro do dispositivo
      Os recibos usados no processamento eram gerados como parte do processo de upload, e nem o dispositivo nem o servidor conseguiam, sozinhos, descobrir de forma independente qualquer informação útil, a menos que colaborassem entre si
      Era uma abordagem interessante na qual a Apple pensou muito para maximizar a privacidade
      Mas as pessoas não leram os detalhes e imaginaram que funcionava de um jeito muito mais simples, o que acabou sufocando qualquer discussão útil sobre o que aquilo realmente fazia
      Deve-se ser contra a abordagem britânica, mas eu não teria sido contra a forma que a Apple pretendia implementar
    • A ideia e a implementação da Apple eram muito melhores do que a proposta terrível criticada aqui, além de mais seguras e mais respeitosas com a privacidade
    • Sim. Parece mesmo uma guinada estranha de posição
      Qual é a posição real da Apple?
    • O plano da Apple de comparar imagens no dispositivo com hashes de CP era uma tentativa bastante razoável de oferecer aos governos uma alternativa à proibição da criptografia de ponta a ponta
      Como o porta-voz do governo citado na matéria disse que “as empresas só devem implementar criptografia de ponta a ponta quando puderem ao mesmo tempo impedir a terrível exploração sexual infantil em suas plataformas”, a Apple tentou fazer justamente essa segunda parte para ganhar argumento ao pedir aos governos que não regulassem a criptografia de ponta a ponta
  • Trabalhadores de tecnologia deveriam formar sindicatos em qualquer lugar e se opor firmemente a políticas lixo como essa
    Nós somos os especialistas e a elite, sabemos o que é melhor e temos a responsabilidade de liderar nisso
    Assim como médicos não extraem órgãos para vender, e farmacêuticos não fabricam veneno, engenheiros não devem criar backdoors de criptografia

    • A ideia de “nós somos a elite” é bonita, mas, na prática, a maioria de nós não é moralmente melhor do que prostitutas de luxo
      Médicos também frequentemente recebem propina da Big Pharma, e há médicos que fazem loucuras como recomendar cirurgias desnecessárias para pagar a piscina nova
    • Isso está mais para uma associação profissional autorregulada do que para um sindicato
      Sindicatos lutam por salários e condições de trabalho contra os empregadores, enquanto associações profissionais representam a posição refletida da categoria e autorregulam seus membros, como médicos ou advogados
    • Não quero levantar a bandeira de “somos especialistas, somos a elite e sabemos o que é melhor”
      Em vez disso, se conseguirmos explicar claramente qual é o problema em termos que até não especialistas entendam, isso beneficia todo mundo
    • Quando se trata de tecnologia e código, talvez, mas em relação ao impacto social, de jeito nenhum
    • No momento em que você diz “somos a elite”, o público em geral perde toda a confiança
      Aqui não dá para seguir por uma apelação à autoridade
  • Mais uma política de internet maluca e inviável vinda do Reino Unido, e que provavelmente nem será implementada de fato
    Não sei por que continuam insistindo nisso
    Mesmo que estejam falando sério, o Reino Unido é um país pequeno, sem força para pressionar as big techs americanas
    Nem tem a mesma alavancagem da Irlanda, onde fica a base tributária europeia dessas empresas

    • O poder do Reino Unido provavelmente vem menos de pressionar diretamente as big techs americanas e mais de ser membro do Five Eyes e uma aliança útil de inteligência de sinais
      A NSA talvez queira uma forma melhor de vigiar americanos que usam Signal. Como fazer isso? Manda os britânicos fazerem
    • Esse tipo de pensamento foi o que fez o referendo do Brexit passar no Reino Unido
      Não dá para ficar parado achando que, por mais absurda que a ideia seja, ela é burra demais para virar realidade
      É preciso lutar para que não vire realidade
    • Vai ser implementado
      É preciso lembrar que tanto a UE quanto os EUA estão empurrando leis assim
      Em breve isso será ampliado para incluir propaganda terrorista, tráfico de drogas e até incentivo a protestos ilegais
    • Vai render manchetes no Daily Mail do tipo “Tentamos proteger as crianças, mas as irresponsáveis big techs americanas impediram”
  • O Reino Unido é estranhamente pró-vigilância
    As câmeras de CCTV também se espalharam muito antes e muito mais do que na maioria dos outros países
    Como Orwell era britânico, parece que eles acham que têm essa questão bem sob controle

    • Acho que Orwell não tem muito a ver com isso
      A sociedade britânica é muito diferente da americana em vários aspectos, e a história explica um pouco isso
      Como em muitas sociedades feudais europeias, existe uma expectativa antiga de que o governo deve cuidar dos cidadãos
      Havia leis para proteger os camponeses de senhores exploradores, independentemente de como os indivíduos se comportassem, e, mesmo que a aplicação não fosse perfeita, esse arcabouço existia
      E, por muito tempo, o “governo” local ou a comunidade também assumiram o papel de cuidar dos desabrigados
      O ponto central é que no Reino Unido não existe tanta desconfiança do governo como existe nos EUA
      Por isso o governo pode receber confiança para concentrar poderes enormes e, para o bem ou para o mal, ao menos em relação aos próprios cidadãos, não abusar deles
      Limitando-nos ao CCTV, na prática, no Reino Unido moderno ele está concentrado principalmente em Londres
      Ou seja, a maior parte do país não é muito afetada por esse tipo de vigilância
      E a maior parte do CCTV é operada por privados, não pelo Estado, e, pelo que lembro, as imagens são apagadas em poucas semanas para cortar custos
      Na prática, não é uma situação tipo Bourne Identity, com a polícia vendo imagens em tempo real de alguém correndo por Londres
      É preciso enviar pedidos e intimações a várias empresas para conseguir a informação depois do fato
    • CCTV é mais barato do que pagar policiais à paisana para ficar vigiando clientes
      Chamar CCTV privado de orwelliano parece uma metáfora confusa
      O CCTV de 1984 era operado por um governo totalitário
    • Mesmo nos lugares tidos como refúgios livres e hostis à vigilância, todo mundo grava com câmera na porta de casa e sobe as imagens para a Amazon
      E ainda publica na internet vídeos de pessoas que ousam passar em frente à casa
  • O partido atualmente no poder no Reino Unido está governando há 13 anos e ficou completamente sem ideias
    O principal partido de oposição também mal consegue oferecer algo além de “somos iguais a eles, mas faremos melhor”
    Os principais problemas que o Reino Unido enfrenta — dívida, economia, moradia, educação, Brexit e colapso da democracia — são problemas para os quais as pessoas não querem de fato apoiar medidas reais
    Então o que sobra aos partidos são políticas idiotas como essa ou temas divisivos falsos como tratar pessoas trans como se fossem pedófilas
    É por isso que esse assunto continua voltando

    • Você realmente acredita que, se o Labour voltar ao poder, não vai empurrar a mesma agenda?
      Já faz bastante tempo desde a última vez que governou, mas Starmer é exatamente o tipo de pessoa que levaria adiante uma agenda anti-privacidade e pró-vigilância que o Labour também sempre gostou muito
  • O Reino Unido parece ter talento para se autossabotar
    Primeiro o Brexit, agora o Online Safety Bill
    O Brexit teve apoio de metade da população, mas esse projeto de segurança parece não ter despertado muito interesse público, ou talvez eu tenha deixado passar
    Parece um padrão de aplicar uma solução geral a um problema específico, mas com um raio de dano dessa solução geral que acaba sendo desproporcionalmente muito maior do que o problema específico que ela pretendia resolver

    • O Online Safety Bill parece uma vitória muito mais fácil de arrancar do que construir moradia acessível, então eles parecem focar em resultados “alcançáveis”, mesmo que, na prática, sejam resultados pouco importantes
      E, para acrescentar, eu sou contra o Online Safety Bill
    • Também não dá para esquecer o Snooper's Charter
    • Votei contra o Brexit, mas continuo cético em relação à UE
      As duas questões não são comparáveis
  • A Apple não é confiável do ponto de vista da privacidade
    ninguém sabe o que o software dela realmente faz
    é tudo código fechado
    só porque ela enfatiza privacidade na publicidade não significa que realmente proteja a privacidade dos usuários

    • Os resultados parecem comprovar isso
      agências federais e órgãos de aplicação da lei vivem reclamando que não conseguem acessar os dados dos usuários da Apple
      chegaram até a processar por causa disso
      então parece que funciona muito bem
    • O que isso tem a ver com se opor a esta proposta?
    • É verdade que não dá para auditar o software da Apple, mas também não dá para auditar o software de praticamente mais ninguém, então não entendo por que isso seria um defeito exclusivo da Apple
      além disso, a Apple vem anunciando amplamente seu compromisso com a privacidade, nunca deu sinais de desonestidade, não tem nada a ganhar mentindo para nós, e, se essa mentira fosse descoberta, a marca sofreria um dano incalculável
  • Isso é como dizer que os ISPs deveriam ser responsabilizados pela pirataria
    isso não acontece desde o começo dos anos 2000 por causa do status de transportadora comum
    a tecnologia sempre encontra um jeito de permanecer separada do conteúdo que transporta
    cinco minutos depois de sair um artigo acadêmico mostrando que um conceito melhor de mensagens secretas é tecnicamente possível, parece que essas políticas de enfraquecimento da criptografia já vão estar implementadas em lei