- O Online Safety Bill do Reino Unido poderia exigir que apps de mensagens criptografadas como iMessage, WhatsApp e Signal escaneiem imagens de abuso infantil, e a Apple pediu alterações no projeto de lei
- O projeto de lei dá ao Ofcom o poder de ordenar a varredura do conteúdo das mensagens por meio de tecnologia credenciada, e o governo descreve isso como um “último recurso” quando salvaguardas rigorosas de privacidade forem atendidas
- A Apple enfatiza que a criptografia de ponta a ponta protege jornalistas, ativistas de direitos humanos, diplomatas e cidadãos comuns contra vigilância, roubo de identidade, fraudes e vazamentos de dados
- Signal e WhatsApp afirmam que rejeitarão exigências para enfraquecer a privacidade da criptografia, e o Signal disse que deixaria o Reino Unido caso fosse obrigado
- Organizações da sociedade civil, acadêmicos e especialistas em cibersegurança alertam que a medida pode abalar a confiança na segurança dos serviços internacionais de comunicação digital para além do Reino Unido
Conflito sobre criptografia em torno do Online Safety Bill
- A Apple critica que os poderes do Online Safety Bill poderiam ser usados para obrigar ferramentas de mensagens criptografadas como iMessage, WhatsApp e Signal a escanear material de exploração sexual infantil
- A Apple defende que o projeto de lei deve ser alterado para proteger a criptografia de ponta a ponta
- A criptografia de ponta a ponta é um método que impede que qualquer pessoa além do remetente e do destinatário leia as mensagens
- A polícia, o governo e alguns grandes grupos de proteção infantil entendem que a criptografia de apps como WhatsApp e Apple iMessage dificulta que autoridades policiais e empresas identifiquem material de exploração sexual infantil
- O governo britânico defende que as empresas devem impedir abuso infantil em suas plataformas
- Entende que as empresas só devem implementar criptografia de ponta a ponta quando puderem prevenir abusos sexuais infantis graves em suas plataformas
- Afirma que continuará buscando, junto com as empresas, soluções para combater a disseminação de material de exploração sexual infantil mantendo a privacidade dos usuários
- O projeto de lei está atualmente em tramitação no Parlamento e inclui poderes para que o Ofcom possa ordenar que plataformas escaneiem o conteúdo de mensagens com tecnologia credenciada
- O governo explica que esse poder é um “último recurso” e só será usado quando salvaguardas rigorosas de privacidade forem atendidas
Varredura do lado do cliente e reação da indústria
- O governo acredita que é possível uma solução técnica capaz de escanear material de abuso infantil mesmo em mensagens criptografadas
- Muitos especialistas em tecnologia entendem que isso exigiria software de varredura do lado do cliente, que verifica mensagens no celular ou computador antes de serem enviadas
- Críticos temem que a varredura do lado do cliente enfraqueça de forma fundamental a privacidade das mensagens
- Em 2021, a Apple anunciou um plano para escanear conteúdo abusivo em fotos do iPhone antes do upload para o iCloud, mas o abandonou após reações contrárias
- Várias plataformas de mensagens, incluindo Signal e WhatsApp, já afirmaram que se recusariam a cumprir ordens para enfraquecer a privacidade de sistemas de mensagens criptografadas
- Em fevereiro, o Signal disse que “sairia” do Reino Unido se fosse obrigado a enfraquecer a privacidade de apps de mensagens criptografadas
- Com a entrada da Apple, algumas das apps de criptografia mais usadas passam a se opor a essa cláusula do projeto de lei
Carta aberta e preocupações com a confiança na segurança
- A organização de liberdades civis digitais Open Rights Group enviou uma carta aberta à ministra da Tecnologia, Chloe Smith
- A carta foi assinada por mais de 80 organizações nacionais e internacionais da sociedade civil, acadêmicos e especialistas em cibersegurança
- Ela alerta que o Reino Unido pode se tornar a primeira democracia liberal a exigir a varredura rotineira de mensagens privadas de chat, incluindo conversas protegidas por criptografia de ponta a ponta
- Como mais de 40 milhões de cidadãos britânicos e 2 bilhões de pessoas no mundo usam esses serviços, considera-se que isso pode representar um risco significativo à segurança dos serviços de comunicação digital não apenas no Reino Unido, mas também internacionalmente
- A empresa britânica de tecnologia Element, que fornece produtos E2EE para clientes governamentais e militares, teme que medidas do projeto de lei que enfraqueçam a privacidade de mensagens criptografadas possam reduzir a confiança dos clientes em produtos de segurança de empresas britânicas
- Também cresce a expectativa de que partes do projeto de lei criticadas por poderem ser usadas para impor a varredura obrigatória sejam alteradas
- As mudanças podem ser incluídas em um pacote de emendas a ser divulgado dentro de alguns dias
- Ainda não está claro quais serão os detalhes nem se eles atenderão às preocupações dos grupos de campanha
1 comentários
Opiniões do Hacker News
Se a ideia é que, para oferecer criptografia de ponta a ponta, a plataforma também precise ser capaz de impedir ao mesmo tempo a terrível exploração sexual infantil, então a lógica seria a de que casas com paredes também deveriam ser proibidas se o construtor não puder garantir que nenhuma criança será ferida dentro delas
É uma ideia absurdamente insana
Não é uma questão de preto no branco, e sei que muita gente vai discordar disso
Manipulação de imagens por IA, autocompletar e imagens de tirar roupa provavelmente vão tornar o CSAM muito mais estranho
Há precedente de que é legal possuir e vender hentai japonês retratando menores: https://en.wikipedia.org/wiki/United_States_v._Handley
E se alguém obtiver imagens de crianças em algum lugar como https://thispersondoesnotexist.com/ e as usar para gerar imagens de nudez ou de atos sexuais? Pela lógica acima, é quase a mesma coisa, já que nem a criança é real nem o ato sexual é real
O problema maior é: “como distinguir se esta imagem é prova de estupro infantil ou apenas algo gerado por IA?”
Estou cada vez mais inclinado à ideia de que “CSAM deve ser prova de um crime, e não ser em si o crime”
Ainda assim, mesmo que se acabe com a responsabilidade objetiva pela posse de CSAM, eu apoiaria a pena de morte para qualquer pessoa que estupre uma criança pré-púbere
Pedófilos basicamente fotografam e filmam suas próprias cenas de crime e as compartilham na internet; se detetives da internet, assim como as forças de segurança, pudessem investigar esse material, parece que muito mais abusadores infantis acabariam sendo pegos
A distribuição obviamente deve continuar ilegal, mas proibir a simples posse não impede traficantes de pessoas e ainda elimina uma força investigativa amadora que pode ajudar bastante a resolver o problema
Essas pessoas já ajudaram a solucionar muitos casos antigos de assassinato que nem a polícia conseguiu resolver
Pensando bem, isso também é meio assustador. Outras provas de cena de crime não recebem esse tipo de proteção
É ilegal possuir fotos ou vídeos de alguém sendo esfaqueado, baleado ou decapitado? Com certeza há pessoas que obtêm prazer sexual com esse tipo de material, mas ninguém parece se importar muito quando ele circula
Parece quase que os poderosos não querem realmente que o público em geral descubra quem está por trás disso. Já sabemos que pessoas muito ricas e influentes costumam estar envolvidas em redes de prostituição infantil
A geração de imagens por IA torna isso ainda mais perigoso e ridículo. Está chegando a era em que alguém pode criar localmente, com algo como Stable Diffusion, imagens que parecem CSAM, mas sem nenhuma criança real, e colocá-las entre os meus pertences — seja remotamente, seja largando um cartão SD em algum canto da casa — e eu posso acabar responsável por décadas de prisão
Melhor torcer para não ter inimigos
Depois desses casos, muitos estados americanos proibiram representações computacionalmente geradas de CSAM, então imagens geradas por computador ou bonecas sexuais infantis não são permitidas em boa parte do país
Não sei dizer se, ao permitir acesso a esse tipo de coisa sem crianças reais envolvidas, a maioria das pessoas interessadas cometeria mais ou menos crimes reais
Para algumas pessoas, isso pode aliviar os impulsos; para outras, pode ampliá-los. Não sou psicólogo
A Apple não havia defendido há pouco tempo o escaneamento no dispositivo para esse tipo de foto?
Ainda bem que agora é contra, mas como ela tentou implementar isso diretamente no passado, é difícil medir o quanto essa posição é sincera
O Reino Unido está até mobilizando entidades de proteção à infância para dar peso emocional e social ao objetivo de quebrar a criptografia de ponta a ponta
O sistema foi projetado para funcionar apenas em imagens enviadas ao iCloud, e não em qualquer imagem dentro do dispositivo
Os recibos usados no processamento eram gerados como parte do processo de upload, e nem o dispositivo nem o servidor conseguiam, sozinhos, descobrir de forma independente qualquer informação útil, a menos que colaborassem entre si
Era uma abordagem interessante na qual a Apple pensou muito para maximizar a privacidade
Mas as pessoas não leram os detalhes e imaginaram que funcionava de um jeito muito mais simples, o que acabou sufocando qualquer discussão útil sobre o que aquilo realmente fazia
Deve-se ser contra a abordagem britânica, mas eu não teria sido contra a forma que a Apple pretendia implementar
Qual é a posição real da Apple?
Como o porta-voz do governo citado na matéria disse que “as empresas só devem implementar criptografia de ponta a ponta quando puderem ao mesmo tempo impedir a terrível exploração sexual infantil em suas plataformas”, a Apple tentou fazer justamente essa segunda parte para ganhar argumento ao pedir aos governos que não regulassem a criptografia de ponta a ponta
Trabalhadores de tecnologia deveriam formar sindicatos em qualquer lugar e se opor firmemente a políticas lixo como essa
Nós somos os especialistas e a elite, sabemos o que é melhor e temos a responsabilidade de liderar nisso
Assim como médicos não extraem órgãos para vender, e farmacêuticos não fabricam veneno, engenheiros não devem criar backdoors de criptografia
Médicos também frequentemente recebem propina da Big Pharma, e há médicos que fazem loucuras como recomendar cirurgias desnecessárias para pagar a piscina nova
Sindicatos lutam por salários e condições de trabalho contra os empregadores, enquanto associações profissionais representam a posição refletida da categoria e autorregulam seus membros, como médicos ou advogados
Em vez disso, se conseguirmos explicar claramente qual é o problema em termos que até não especialistas entendam, isso beneficia todo mundo
Aqui não dá para seguir por uma apelação à autoridade
Mais uma política de internet maluca e inviável vinda do Reino Unido, e que provavelmente nem será implementada de fato
Não sei por que continuam insistindo nisso
Mesmo que estejam falando sério, o Reino Unido é um país pequeno, sem força para pressionar as big techs americanas
Nem tem a mesma alavancagem da Irlanda, onde fica a base tributária europeia dessas empresas
A NSA talvez queira uma forma melhor de vigiar americanos que usam Signal. Como fazer isso? Manda os britânicos fazerem
Não dá para ficar parado achando que, por mais absurda que a ideia seja, ela é burra demais para virar realidade
É preciso lutar para que não vire realidade
É preciso lembrar que tanto a UE quanto os EUA estão empurrando leis assim
Em breve isso será ampliado para incluir propaganda terrorista, tráfico de drogas e até incentivo a protestos ilegais
O Reino Unido é estranhamente pró-vigilância
As câmeras de CCTV também se espalharam muito antes e muito mais do que na maioria dos outros países
Como Orwell era britânico, parece que eles acham que têm essa questão bem sob controle
A sociedade britânica é muito diferente da americana em vários aspectos, e a história explica um pouco isso
Como em muitas sociedades feudais europeias, existe uma expectativa antiga de que o governo deve cuidar dos cidadãos
Havia leis para proteger os camponeses de senhores exploradores, independentemente de como os indivíduos se comportassem, e, mesmo que a aplicação não fosse perfeita, esse arcabouço existia
E, por muito tempo, o “governo” local ou a comunidade também assumiram o papel de cuidar dos desabrigados
O ponto central é que no Reino Unido não existe tanta desconfiança do governo como existe nos EUA
Por isso o governo pode receber confiança para concentrar poderes enormes e, para o bem ou para o mal, ao menos em relação aos próprios cidadãos, não abusar deles
Limitando-nos ao CCTV, na prática, no Reino Unido moderno ele está concentrado principalmente em Londres
Ou seja, a maior parte do país não é muito afetada por esse tipo de vigilância
E a maior parte do CCTV é operada por privados, não pelo Estado, e, pelo que lembro, as imagens são apagadas em poucas semanas para cortar custos
Na prática, não é uma situação tipo Bourne Identity, com a polícia vendo imagens em tempo real de alguém correndo por Londres
É preciso enviar pedidos e intimações a várias empresas para conseguir a informação depois do fato
Chamar CCTV privado de orwelliano parece uma metáfora confusa
O CCTV de 1984 era operado por um governo totalitário
E ainda publica na internet vídeos de pessoas que ousam passar em frente à casa
O partido atualmente no poder no Reino Unido está governando há 13 anos e ficou completamente sem ideias
O principal partido de oposição também mal consegue oferecer algo além de “somos iguais a eles, mas faremos melhor”
Os principais problemas que o Reino Unido enfrenta — dívida, economia, moradia, educação, Brexit e colapso da democracia — são problemas para os quais as pessoas não querem de fato apoiar medidas reais
Então o que sobra aos partidos são políticas idiotas como essa ou temas divisivos falsos como tratar pessoas trans como se fossem pedófilas
É por isso que esse assunto continua voltando
Já faz bastante tempo desde a última vez que governou, mas Starmer é exatamente o tipo de pessoa que levaria adiante uma agenda anti-privacidade e pró-vigilância que o Labour também sempre gostou muito
O Reino Unido parece ter talento para se autossabotar
Primeiro o Brexit, agora o Online Safety Bill
O Brexit teve apoio de metade da população, mas esse projeto de segurança parece não ter despertado muito interesse público, ou talvez eu tenha deixado passar
Parece um padrão de aplicar uma solução geral a um problema específico, mas com um raio de dano dessa solução geral que acaba sendo desproporcionalmente muito maior do que o problema específico que ela pretendia resolver
E, para acrescentar, eu sou contra o Online Safety Bill
As duas questões não são comparáveis
A Apple não é confiável do ponto de vista da privacidade
ninguém sabe o que o software dela realmente faz
é tudo código fechado
só porque ela enfatiza privacidade na publicidade não significa que realmente proteja a privacidade dos usuários
agências federais e órgãos de aplicação da lei vivem reclamando que não conseguem acessar os dados dos usuários da Apple
chegaram até a processar por causa disso
então parece que funciona muito bem
além disso, a Apple vem anunciando amplamente seu compromisso com a privacidade, nunca deu sinais de desonestidade, não tem nada a ganhar mentindo para nós, e, se essa mentira fosse descoberta, a marca sofreria um dano incalculável
Isso é como dizer que os ISPs deveriam ser responsabilizados pela pirataria
isso não acontece desde o começo dos anos 2000 por causa do status de transportadora comum
a tecnologia sempre encontra um jeito de permanecer separada do conteúdo que transporta
cinco minutos depois de sair um artigo acadêmico mostrando que um conceito melhor de mensagens secretas é tecnicamente possível, parece que essas políticas de enfraquecimento da criptografia já vão estar implementadas em lei