Projeto de lei do Senado dos EUA feito com a DEA mira criptografia de ponta a ponta
(therecord.media)- O Cooper Davis Act impõe a redes sociais, provedores de comunicação criptografada e serviços online a obrigação de denunciar à DEA, sob o pretexto de combater o tráfico de drogas online, e avançou para votação no plenário do Senado
- Quando uma empresa tiver conhecimento efetivo da distribuição ilegal de drogas, deverá fornecer à DEA informações como nomes de usuários, e a expressão “willfully blind” amplia a polêmica sobre o alcance da responsabilidade de serviços criptografados
- Grupos de privacidade temem que o projeto possa transformar a própria manutenção da criptografia de ponta a ponta em um fator de risco, e que enfraquecer a criptografia abale a segurança e a privacidade dos usuários
- A DEA e os patrocinadores citam como base o uso, por cartéis mexicanos, de Facebook, Instagram, TikTok, Snapchat, WhatsApp, Telegram, Signal, Wire, Wickr etc., além de mais de 1.100 casos relacionados
- O lado contrário argumenta que expressões ligadas à venda de drogas exigem avaliação de linguagem, contexto e gírias, o que pode levar a uma estrutura em que empresas entreguem dados privados a órgãos de aplicação da lei sem mandado ou supervisão
A obrigação de denúncia do Cooper Davis Act e o conflito com a criptografia
- O Cooper Davis Act é um projeto de lei bipartidário batizado em homenagem a um adolescente do Kansas que morreu após tomar, sem saber, uma pílula com fentanil comprada pelo Snapchat
- O projeto exige que empresas de redes sociais e provedores de comunicação na web forneçam à DEA nomes de usuários e outras informações quando tiverem actual knowledge de distribuição ilegal de drogas em suas plataformas
- O ponto central da controvérsia é a redação segundo a qual a empresa pode ser responsabilizada por não denunciar caso tenha sido “willfully blind” a uma violação
- Greg Nojeim, do Center for Democracy and Technology, teme que provedores de serviços criptografados fiquem entre duas opções
- Se mantiverem a criptografia de ponta a ponta, assumem o risco de responsabilidade por terem deliberadamente fechado os olhos para conteúdo ilegal
- Se removerem a criptografia de ponta a ponta, expõem os usuários existentes a novas ameaças de segurança e violações de privacidade
- Cody Venzke, da ACLU, avaliou que a cláusula mira a criptografia e apontou que o objetivo de tecnologias de proteção de privacidade, como a criptografia de ponta a ponta, é proteger os usuários da vigilância das plataformas
- Meredith Whittaker, da Signal Foundation, criticou que, nessa lógica, até não submeter todos a vigilância total pode virar “willful blindness”
Os argumentos apresentados pela DEA e pelos patrocinadores
- Órgãos de aplicação da lei há muito criticam a criptografia de ponta a ponta por criar um “lawless space” que pode ser explorado por criminosos, terroristas e agentes mal-intencionados
- Em um comunicado de maio, a DEA afirmou que dois cartéis mexicanos responsáveis pelo tráfico da maior parte do fentanil e da metanfetamina que entram nos EUA usam apps de redes sociais para coordenar logística e contatar vítimas
- Como exemplos, citou Facebook, Instagram, TikTok e Snapchat
- Também mencionou WhatsApp, Telegram, Signal, Wire e Wickr como plataformas criptografadas
- Em uma operação recente da DEA, mais de 1.100 casos voltados contra cartéis mexicanos de drogas envolveram apps de redes sociais e plataformas de comunicação criptografada
- Dick Durbin, presidente do Comitê Judiciário do Senado, criticou que empresas operem com imunidade mesmo sabendo que se trata de substâncias sem uso legal nas vendas ilegais, e mencionou um mecanismo semelhante ao sistema de denúncia de material de abuso sexual infantil
- A equipe da senadora Jeanne Shaheen apresentou estatísticas da DEA como justificativa para a necessidade do projeto
- Em cinco meses, entre 390 investigações da DEA relacionadas a mortes por intoxicação por drogas, 129 tinham relação direta com redes sociais
- O projeto afirma ter como objetivo criar um sistema de denúncias abrangente e padronizado que permita à DEA identificar e desmantelar melhor redes criminosas internacionais
Preocupações com privacidade, vigilância e impacto nas plataformas
- Defensores da privacidade rebatem que detectar expressões de venda de drogas é muito mais difícil do que identificar imagens de abuso sexual infantil
- O senador Alex Padilla enfatizou que, diferentemente de imagens de abuso sexual infantil online, na linguagem o contexto é importante em vigilância em larga escala
- Ele criticou que o projeto pode transformar, na prática, empresas de tecnologia não treinadas em órgãos de aplicação da lei
- Também expressou preocupação de que apenas uma crença razoável possa permitir a divulgação de dados pessoais a órgãos federais de aplicação da lei sem mandado ou supervisão
- Carl Szabo, da NetChoice, afirmou que sites de redes sociais já cooperam voluntariamente com órgãos de aplicação da lei para impedir o tráfico de drogas
- Ele avalia que, se o projeto entrar em vigor, todas as denúncias ficarão sujeitas aos procedimentos da Fourth Amendment, o que pode acabar dificultando a identificação de ameaças pelos órgãos de aplicação da lei
1 comentários
Comentários do Hacker News
Acho que precisamos de uma chamada lei de não latir para a árvore errada, que impeça organizações de gastar recursos influenciando leis que regulam suas próprias ações
Dá para argumentar que o setor em questão conhece melhor o problema e pode opinar na tomada de decisões, mas o limite deveria ser apresentar dados operacionais brutos com apenas as informações sensíveis que precisam ser protegidas por lei removidas
Qualquer coisa além disso no fim é apenas lobby governamental em benefício próprio
Dessa bagunça toda resulta um sistema em que pessoas comuns viram suspeitas, enquanto criminosos recebem um monopólio lucrativo de mercado
Gente como Al Capone já mostrou, há 100 anos, os resultados desastrosos da Lei Seca, e mesmo assim estão repetindo o mesmo erro com outras substâncias
O app Mobile Justice da ACLU é algo que todo mundo deveria ter no celular, por via das dúvidas
Parece que sai um projeto novo por dia na Australia, no UK e nos US
Será que vão continuar insistindo nisso até alguma dessas coisas passar?
Cada vez que um projeto desses aparece, nós temos que vencer todas as vezes; eles só precisam vencer uma vez
A pressão popular e as campanhas publicitárias contra esse tipo de projeto precisam continuar sem parar
Se um único dominó cair, vira “se lá pode, aqui também pode”
O fato de a EU não ser os US não significa que ela não faça as mesmas coisas autoritárias, ou muito parecidas, sustentadas por fontes de financiamento semelhantes ou iguais
Usam as mesmas desculpas de “precisamos pegar criminosos hediondos/pensem nas crianças”, “isso só será usado contra criminosos”, mas isso não é verdade
Sabemos que essas leis também são usadas contra pessoas vistas como hostis ao governo e contra quem faz jornalismo, tenha diploma ou não
Eles realmente odeiam não poder vigiar todos nós 24 horas por dia
Esse projeto é um presente para Russia e China
Agora eles poderão ler as comunicações de qualquer um, mas alguém acha mesmo que eles vão parar de criptografar as próprias comunicações?
O link do projeto de lei em si é o [1]. A preocupação é que, por causa da redação vaga, ele possa levar empresas de redes sociais a abandonar a criptografia de ponta a ponta
Não sou especialista em direito, mas a proposta diz explicitamente que não deve ser interpretada como exigindo que o provedor monitore usuários ou o conteúdo das comunicações, nem que procure, selecione ou escaneie ativamente fatos ou circunstâncias relevantes
O objetivo parece ser impedir que sites simplesmente ignorem denúncias de casos específicos de atividade ilegal feitas por pessoas no site
[1] https://www.congress.gov/bill/118th-congress/senate-bill/108...
Juntando as duas coisas, isso significa que é preciso manter a capacidade de monitorar usuários quando solicitado, ou seja, nada de criptografia de verdade assustadora
Uma vez que essa capacidade exista, o próximo passo na prática é ter recursos de KYC e SAR
O quarto ponto deste tweet é a parte com que as pessoas estão preocupadas: https://twitter.com/JakeLaperruque/status/167888722551627776...
Não sei se o projeto já foi alterado ou se esse quarto ponto problemático foi adicionado depois
Autor: Sen. Marshall, Roger [R-KS]
Coautores: Sen. Shaheen, Jeanne [D-NH], Sen. Durbin, Richard J. [D-IL], Sen. Grassley, Chuck [R-IA], Sen. Klobuchar, Amy [D-MN], Sen. Young, Todd [R-IN]
Vale ligar para o senador e avisar que você não apoia este projeto. Pode parecer frouxo e ineficaz, mas assessores do Senado realmente registram esse tipo de coisa
Para onde foi o direito de ter a integridade do corpo e da propriedade garantida sem um mandado aprovado por um juiz?
A Declaração de Direitos dos EUA era muito controversa na época, e como seus apoiadores eram linha-dura, acabou se tornando as dez primeiras emendas da Constituição
Se os apoiadores tivessem insistido até o fim, talvez tivessem conseguido colocá-la no corpo principal da Constituição, ou mantido o arranjo original dos Articles of Confederation, mas houve um compromisso
Mesmo que a Declaração de Direitos estivesse no texto principal da Constituição em vez de estar nas emendas, parece que teria sido descartada com a mesma facilidade de hoje
Em nome de quê, exatamente? Para que DEA e CIA continuem operando com privilégios dignos da East India Company?
Não vejo como esse projeto de lei, ou a guerra às drogas, ajuda de alguma forma o americano médio. Não acredito nem um pouco que traga qualquer benefício ao americano médio
Pelo contrário, parece muito mais provável que dê às agências executivas acesso privilegiado ao mercado de bens ilícitos graves e à informação, beneficiando a elas, e não aos cidadãos
Dois terços da população dos EUA vivem dentro dessa zona
https://www.aclu.org/know-your-rights/border-zone
Imagine sair de casa no Bronx, em NYC, pegar o metrô para ir ao trabalho, e a CBP te parar para revistar, apreender seu celular e notebook, exigir suas senhas de redes sociais e ameaçar te deter se você não obedecer: https://www.theatlantic.com/technology/archive/2017/02/give-...
https://www.wired.com/2017/02/guide-getting-past-customs-dig...
É realmente insano que cidadãos americanos recebam o conselho de avisar família, amigos e advogados sobre seus deslocamentos ao cruzar a fronteira, caso acabem detidos
Este país continua escorregando rumo ao fascismo
Acho que isso é um dos fatores por trás da pressão para adotar passkeys. As passkeys parecem exigir apenas biometria, mas como fornecer impressão digital ou rosto não é protegido, e só fala ou testemunho são protegidos, isso enfraquece a proteção como um todo
Elimina a ameaça ilegal do phishing, mas torna fácil a ameaça legal de contornar a criptografia, por mais forte que ela seja
Por que a DEA não pressiona o Senate a sancionar a China por causa dos precursores de fentanil?
https://www.brookings.edu/articles/chinas-role-in-the-fentan...
Primeiro, atacar a criptografia de ponta a ponta está errado
Mas estou cada vez mais cansado da imunidade de responsabilidade das Big Tech não criptografadas
Esse sistema foi criado para ajudar as primeiras plataformas de mídia social a sobreviver, mas agora elas não são mais startups começadas na garagem, e sim algumas das entidades mais ricas do planeta
Elas têm capacidade de moderar suas próprias plataformas, mas não o farão de boa-fé a menos que isso afete a receita ou que temam ser processadas por causa da lei
A lógica aplicada às instituições financeiras é algo como: “os bancos podem vigiar os clientes, mas não o farão de boa-fé a menos que isso afete a receita ou que temam ser processados”
O resultado é que qualquer pessoa ou informação de transação que pareça ter a menor ligação com alguém sancionado acaba sendo bloqueada aleatoriamente
Se uma transação da Al-Qaeda passar e a imprensa descobrir, vêm multas e reprimendas dos reguladores e do Congresso; por outro lado, se uma pessoa inocente for bloqueada, há apenas algumas reclamações e o negócio continua
Vejo a mesma dinâmica surgindo nas empresas de mídia social. Tudo que puder ser considerado minimamente ofensivo vai cair
Basta imaginar uma versão pior da desmonetização no YouTube
[1] Ex.: https://news.ycombinator.com/item?id=35337210, https://news.ycombinator.com/item?id=24450828
Para serviços um a um, uma abordagem de intervenção mínima faz bastante sentido. Em geral, não é preciso remover conteúdo lixo; lixo que entra continua sendo lixo na saída, então as pessoas o ignoram ou o filtram localmente
Mas fóruns públicos online exigem algum grau de moderação, e isso em geral é desejável. Alguém pode inundá-los com lixo e torná-los inúteis para todos
A S230 não é apenas imunidade por conteúdo que passou despercebido, mas um sistema que também permite moderar mesmo quando isso causa danos por excesso de moderação de boa-fé
A maior parte do material condenável nas plataformas não é ilegal nem ato ilícito. Material ofensivo, insultuoso, degradante e enganoso em geral também é legal e não costuma gerar muita responsabilidade real
Só que, sem uma proteção ampla como a S230, as pessoas podem processar por qualquer bobagem, e se você não for uma empresa de dezenas de bilhões de dólares, pode falir antes mesmo de vencer no fim
Um mundo sem forte proteção de responsabilidade é um mundo em que não se pode irritar ou desagradar com segurança um adversário com muito mais dinheiro e poder
Plataformas como Facebook, Google e Twitter já são praticamente imunes a ações civis por causa da sua escala e riqueza. Basta ver como processos tiveram pouco efeito em casos de invasão de privacidade ou de bloqueios repentinos de dados de usuários que causaram grandes prejuízos
A combinação de salários entre Apple e Google também acabou sendo considerada ilegal, mas o custo foi menor que o dinheiro economizado com salários
Políticas ruins surgem porque sua escala, riqueza e poder também os tornam bastante imunes à opinião pública
Se a má governança de sites de mídia social prejudica o público, é melhor ter mais alternativas
Facebook, Twitter etc. sobreviveriam mesmo num mundo sem S230, mas alternativas menores e melhor administradas, que as pessoas talvez quisessem, dificilmente sobreviveriam
O que se vê em projetos de lei como este é o governo tentando usar empresas como agentes para investigação e aplicação da lei
Um dos incentivos é que isso pode enfraquecer profundamente o devido processo legal. A Constituição criou salvaguardas contra buscas do governo, mas como entregamos nossos dados “voluntariamente” às empresas, faltam proteções equivalentes contra elas
Portanto, se o governo obrigar empresas a fazer buscas, poderá contornar em grande parte os direitos da Quarta Emenda
O YouTube deveria reportar uma reportagem [1] dizendo que um policial teve overdose de fentanil por exposição em serviço como fato ou indício de distribuição ilegal de fentanil?
Quantas músicas e letras de rap seriam reportáveis só por conterem letras que insinuam possível uso real de drogas?
Todas as notícias e discussões em redes sociais do tipo “{celebrity_name} dies from drug overdose” também teriam de ser reportadas?
A patente USPTO US3141823A[2], que descreve um método de síntese de fentanil, também é algo que deve ser reportado? Porque um usuário de rede social que a linkou pode estar envolvido na fabricação ilegal de fentanil?
O artigo do National Institutes of Health, “An Efficient, Optimized Synthesis of Fentanyl and Related Analogs”[3], também deveria ser reportado? Porque o usuário que o linkou talvez esteja envolvido em fabricação ilegal?
Se a proposta de lei proíbe aviso de solicitação de preservação por no mínimo 5 dias, a plataforma deve remover conteúdo que viole seus termos de serviço, ou deixá-lo no ar para não alertar o usuário?
Se a plataforma não puder remover o conteúdo problemático, o que acontece quando esse conteúdo vier junto com material que infringe direitos autorais, pornografia ou outro tipo de conteúdo que normalmente seria removido de imediato?
[1] https://www.youtube.com/watch?v=Jd76HxqCPf0
[2] https://patents.google.com/patent/US3141823A/en
[3] https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4169472/
O que de fato acontece é a pessoa achar que tocou em fentanil, entrar em ataque de pânico e pensar que está tendo uma overdose
Quando é levada ao hospital e examinada, não aparece nenhum traço de fentanil na corrente sanguínea, mas a imprensa e a polícia omitem essa parte e fazem grande alarde. Porque é constrangedor
A única forma de um policial ser exposto ao fentanil não é tocando, e sim ingerindo-o
Quão difícil seria criar algo como um app auxiliar que criptografe com GPG antes de enviar a mensagem?
Você colocaria o conteúdo em uma caixa de texto, ele criptografaria e copiaria para a área de transferência, e então seria só colar no app de mensagens. Quem recebe faria o processo inverso
Está cada vez mais claro que, se quisermos impedir que governo e empresas de tecnologia espionem as mensagens, vamos ter que resolver isso por conta própria
Isso significa que, se alguém obtiver a chave, poderá ler todo o conteúdo passado e atual criptografado com ela
O sigilo de encaminhamento perfeito exige que as duas pontas estejam se comunicando juntas, então não servia para a estrutura de “enviar e esquecer” do e-mail, mas é claramente necessário para mensagens instantâneas
A parte complicada é fazer colagem automática para dentro do app e cópia automática para fora dele, numa situação em que o desenvolvedor do app de mensagens pode ser ativamente hostil a esse comportamento
Um exemplo de implementação dessa abordagem no webmail é o Mailvelope[1]
Se você puder tolerar o trabalho manual, o PGP já pode ser usado com qualquer coisa
[1] https://mailvelope.com/
Se o Briar chegasse ao iOS com o conjunto completo de recursos, e a interface só fosse um pouco ajustada para parecer algo projetado depois do Android 7, seria incrível