1 pontos por GN⁺ 2023-07-25 | 1 comentários | Compartilhar no WhatsApp
  • O Cooper Davis Act impõe a redes sociais, provedores de comunicação criptografada e serviços online a obrigação de denunciar à DEA, sob o pretexto de combater o tráfico de drogas online, e avançou para votação no plenário do Senado
  • Quando uma empresa tiver conhecimento efetivo da distribuição ilegal de drogas, deverá fornecer à DEA informações como nomes de usuários, e a expressão “willfully blind” amplia a polêmica sobre o alcance da responsabilidade de serviços criptografados
  • Grupos de privacidade temem que o projeto possa transformar a própria manutenção da criptografia de ponta a ponta em um fator de risco, e que enfraquecer a criptografia abale a segurança e a privacidade dos usuários
  • A DEA e os patrocinadores citam como base o uso, por cartéis mexicanos, de Facebook, Instagram, TikTok, Snapchat, WhatsApp, Telegram, Signal, Wire, Wickr etc., além de mais de 1.100 casos relacionados
  • O lado contrário argumenta que expressões ligadas à venda de drogas exigem avaliação de linguagem, contexto e gírias, o que pode levar a uma estrutura em que empresas entreguem dados privados a órgãos de aplicação da lei sem mandado ou supervisão

A obrigação de denúncia do Cooper Davis Act e o conflito com a criptografia

  • O Cooper Davis Act é um projeto de lei bipartidário batizado em homenagem a um adolescente do Kansas que morreu após tomar, sem saber, uma pílula com fentanil comprada pelo Snapchat
  • O projeto exige que empresas de redes sociais e provedores de comunicação na web forneçam à DEA nomes de usuários e outras informações quando tiverem actual knowledge de distribuição ilegal de drogas em suas plataformas
  • O ponto central da controvérsia é a redação segundo a qual a empresa pode ser responsabilizada por não denunciar caso tenha sido “willfully blind” a uma violação
  • Greg Nojeim, do Center for Democracy and Technology, teme que provedores de serviços criptografados fiquem entre duas opções
    • Se mantiverem a criptografia de ponta a ponta, assumem o risco de responsabilidade por terem deliberadamente fechado os olhos para conteúdo ilegal
    • Se removerem a criptografia de ponta a ponta, expõem os usuários existentes a novas ameaças de segurança e violações de privacidade
  • Cody Venzke, da ACLU, avaliou que a cláusula mira a criptografia e apontou que o objetivo de tecnologias de proteção de privacidade, como a criptografia de ponta a ponta, é proteger os usuários da vigilância das plataformas
  • Meredith Whittaker, da Signal Foundation, criticou que, nessa lógica, até não submeter todos a vigilância total pode virar “willful blindness”

Os argumentos apresentados pela DEA e pelos patrocinadores

  • Órgãos de aplicação da lei há muito criticam a criptografia de ponta a ponta por criar um “lawless space” que pode ser explorado por criminosos, terroristas e agentes mal-intencionados
  • Em um comunicado de maio, a DEA afirmou que dois cartéis mexicanos responsáveis pelo tráfico da maior parte do fentanil e da metanfetamina que entram nos EUA usam apps de redes sociais para coordenar logística e contatar vítimas
    • Como exemplos, citou Facebook, Instagram, TikTok e Snapchat
    • Também mencionou WhatsApp, Telegram, Signal, Wire e Wickr como plataformas criptografadas
    • Em uma operação recente da DEA, mais de 1.100 casos voltados contra cartéis mexicanos de drogas envolveram apps de redes sociais e plataformas de comunicação criptografada
  • Dick Durbin, presidente do Comitê Judiciário do Senado, criticou que empresas operem com imunidade mesmo sabendo que se trata de substâncias sem uso legal nas vendas ilegais, e mencionou um mecanismo semelhante ao sistema de denúncia de material de abuso sexual infantil
  • A equipe da senadora Jeanne Shaheen apresentou estatísticas da DEA como justificativa para a necessidade do projeto
    • Em cinco meses, entre 390 investigações da DEA relacionadas a mortes por intoxicação por drogas, 129 tinham relação direta com redes sociais
    • O projeto afirma ter como objetivo criar um sistema de denúncias abrangente e padronizado que permita à DEA identificar e desmantelar melhor redes criminosas internacionais

Preocupações com privacidade, vigilância e impacto nas plataformas

  • Defensores da privacidade rebatem que detectar expressões de venda de drogas é muito mais difícil do que identificar imagens de abuso sexual infantil
    • O senador Alex Padilla enfatizou que, diferentemente de imagens de abuso sexual infantil online, na linguagem o contexto é importante em vigilância em larga escala
    • Ele criticou que o projeto pode transformar, na prática, empresas de tecnologia não treinadas em órgãos de aplicação da lei
    • Também expressou preocupação de que apenas uma crença razoável possa permitir a divulgação de dados pessoais a órgãos federais de aplicação da lei sem mandado ou supervisão
  • Carl Szabo, da NetChoice, afirmou que sites de redes sociais já cooperam voluntariamente com órgãos de aplicação da lei para impedir o tráfico de drogas
    • Ele avalia que, se o projeto entrar em vigor, todas as denúncias ficarão sujeitas aos procedimentos da Fourth Amendment, o que pode acabar dificultando a identificação de ameaças pelos órgãos de aplicação da lei

1 comentários

 
GN⁺ 2023-07-25
Comentários do Hacker News
  • Acho que precisamos de uma chamada lei de não latir para a árvore errada, que impeça organizações de gastar recursos influenciando leis que regulam suas próprias ações
    Dá para argumentar que o setor em questão conhece melhor o problema e pode opinar na tomada de decisões, mas o limite deveria ser apresentar dados operacionais brutos com apenas as informações sensíveis que precisam ser protegidas por lei removidas
    Qualquer coisa além disso no fim é apenas lobby governamental em benefício próprio

    • Tudo começou a dar errado no momento em que os legisladores criminalizaram a posse de drogas
      Dessa bagunça toda resulta um sistema em que pessoas comuns viram suspeitas, enquanto criminosos recebem um monopólio lucrativo de mercado
      Gente como Al Capone já mostrou, há 100 anos, os resultados desastrosos da Lei Seca, e mesmo assim estão repetindo o mesmo erro com outras substâncias
    • Se “organizações não podem influenciar leis que regulam suas próprias ações”, então a FTC não pode opinar sobre propostas antitruste e o DoD não pode opinar sobre leis militares?
    • Parece que a máfia de Wall Street, que “regula” a si mesma, teria algo a dizer sobre isso
    • E quem faria lobby por essa posição? ACLU?
      O app Mobile Justice da ACLU é algo que todo mundo deveria ter no celular, por via das dúvidas
  • Parece que sai um projeto novo por dia na Australia, no UK e nos US
    Será que vão continuar insistindo nisso até alguma dessas coisas passar?

    • Sim, a menos que seja aprovada uma emenda constitucional que garanta o direito de as pessoas se comunicarem por canais criptografados, e isso não vai acontecer
      Cada vez que um projeto desses aparece, nós temos que vencer todas as vezes; eles só precisam vencer uma vez
    • Exato. Porque a memória de curto prazo do público é muito curta
      A pressão popular e as campanhas publicitárias contra esse tipo de projeto precisam continuar sem parar
      Se um único dominó cair, vira “se lá pode, aqui também pode”
    • Não é só o UK, Europe também é assim. Não caia na cortina de fumaça de que a EU é um paraíso da privacidade
      O fato de a EU não ser os US não significa que ela não faça as mesmas coisas autoritárias, ou muito parecidas, sustentadas por fontes de financiamento semelhantes ou iguais
      Usam as mesmas desculpas de “precisamos pegar criminosos hediondos/pensem nas crianças”, “isso só será usado contra criminosos”, mas isso não é verdade
      Sabemos que essas leis também são usadas contra pessoas vistas como hostis ao governo e contra quem faz jornalismo, tenha diploma ou não
    • Infelizmente, parece que um dia a composição do Executivo e do Congresso vai se alinhar e eles vão conseguir
      Eles realmente odeiam não poder vigiar todos nós 24 horas por dia
    • Esse método funciona muito bem no lobby para reduzir e restringir direitos do consumidor em questões de copyright
  • Esse projeto é um presente para Russia e China
    Agora eles poderão ler as comunicações de qualquer um, mas alguém acha mesmo que eles vão parar de criptografar as próprias comunicações?

    • É uma forma muito boa de explicar a políticos tapados por que não se deve proibir criptografia
    • Tenho medo de que até essa explicação seja usada para justificar um backdoor para ler as comunicações dos nossos “inimigos”
  • O link do projeto de lei em si é o [1]. A preocupação é que, por causa da redação vaga, ele possa levar empresas de redes sociais a abandonar a criptografia de ponta a ponta
    Não sou especialista em direito, mas a proposta diz explicitamente que não deve ser interpretada como exigindo que o provedor monitore usuários ou o conteúdo das comunicações, nem que procure, selecione ou escaneie ativamente fatos ou circunstâncias relevantes
    O objetivo parece ser impedir que sites simplesmente ignorem denúncias de casos específicos de atividade ilegal feitas por pessoas no site
    [1] https://www.congress.gov/bill/118th-congress/senate-bill/108...

    • Claro, não existe “obrigação de monitorar”, mas ao mesmo tempo passa a existir a obrigação de não praticar cegueira deliberada
      Juntando as duas coisas, isso significa que é preciso manter a capacidade de monitorar usuários quando solicitado, ou seja, nada de criptografia de verdade assustadora
      Uma vez que essa capacidade exista, o próximo passo na prática é ter recursos de KYC e SAR
    • Curiosamente, o texto do projeto no link não inclui a cláusula sobre cegueira deliberada em relação a abusos
      O quarto ponto deste tweet é a parte com que as pessoas estão preocupadas: https://twitter.com/JakeLaperruque/status/167888722551627776...
      Não sei se o projeto já foi alterado ou se esse quarto ponto problemático foi adicionado depois
  • Autor: Sen. Marshall, Roger [R-KS]
    Coautores: Sen. Shaheen, Jeanne [D-NH], Sen. Durbin, Richard J. [D-IL], Sen. Grassley, Chuck [R-IA], Sen. Klobuchar, Amy [D-MN], Sen. Young, Todd [R-IN]
    Vale ligar para o senador e avisar que você não apoia este projeto. Pode parecer frouxo e ineficaz, mas assessores do Senado realmente registram esse tipo de coisa

    • Surpreendente. Eu esperava ver só republicanos nessa lista
  • Para onde foi o direito de ter a integridade do corpo e da propriedade garantida sem um mandado aprovado por um juiz?
    A Declaração de Direitos dos EUA era muito controversa na época, e como seus apoiadores eram linha-dura, acabou se tornando as dez primeiras emendas da Constituição
    Se os apoiadores tivessem insistido até o fim, talvez tivessem conseguido colocá-la no corpo principal da Constituição, ou mantido o arranjo original dos Articles of Confederation, mas houve um compromisso
    Mesmo que a Declaração de Direitos estivesse no texto principal da Constituição em vez de estar nas emendas, parece que teria sido descartada com a mesma facilidade de hoje
    Em nome de quê, exatamente? Para que DEA e CIA continuem operando com privilégios dignos da East India Company?
    Não vejo como esse projeto de lei, ou a guerra às drogas, ajuda de alguma forma o americano médio. Não acredito nem um pouco que traga qualquer benefício ao americano médio
    Pelo contrário, parece muito mais provável que dê às agências executivas acesso privilegiado ao mercado de bens ilícitos graves e à informação, beneficiando a elas, e não aos cidadãos

    • Também não dá para esquecer que a CBP tem, na prática, poder ilimitado de revistar veículos a até 100 milhas da fronteira federal
      Dois terços da população dos EUA vivem dentro dessa zona
      https://www.aclu.org/know-your-rights/border-zone
      Imagine sair de casa no Bronx, em NYC, pegar o metrô para ir ao trabalho, e a CBP te parar para revistar, apreender seu celular e notebook, exigir suas senhas de redes sociais e ameaçar te deter se você não obedecer: https://www.theatlantic.com/technology/archive/2017/02/give-...
      https://www.wired.com/2017/02/guide-getting-past-customs-dig...
      É realmente insano que cidadãos americanos recebam o conselho de avisar família, amigos e advogados sobre seus deslocamentos ao cruzar a fronteira, caso acabem detidos
      Este país continua escorregando rumo ao fascismo
    • O ponto que eles sempre levantam é que criptografia bem implementada e dispositivos devidamente criptografados são, na prática, impossíveis de quebrar, então tornam inócua a segunda metade da frase que diz que, havendo um mandado aprovado por um juiz, esses direitos e proteções podem ser anulados
      Acho que isso é um dos fatores por trás da pressão para adotar passkeys. As passkeys parecem exigir apenas biometria, mas como fornecer impressão digital ou rosto não é protegido, e só fala ou testemunho são protegidos, isso enfraquece a proteção como um todo
      Elimina a ameaça ilegal do phishing, mas torna fácil a ameaça legal de contornar a criptografia, por mais forte que ela seja
    • A lógica é que comunicações não são nem corpo nem propriedade, portanto um mandado não seria exigido pela Constituição
  • Por que a DEA não pressiona o Senate a sancionar a China por causa dos precursores de fentanil?
    https://www.brookings.edu/articles/chinas-role-in-the-fentan...

    • Porque sabem que repressão do lado da oferta não tem futuro enquanto houver demanda
  • Primeiro, atacar a criptografia de ponta a ponta está errado
    Mas estou cada vez mais cansado da imunidade de responsabilidade das Big Tech não criptografadas
    Esse sistema foi criado para ajudar as primeiras plataformas de mídia social a sobreviver, mas agora elas não são mais startups começadas na garagem, e sim algumas das entidades mais ricas do planeta
    Elas têm capacidade de moderar suas próprias plataformas, mas não o farão de boa-fé a menos que isso afete a receita ou que temam ser processadas por causa da lei

    • Já vimos o que acontece quando o governo delega a aplicação da lei às empresas nas regras de combate à lavagem de dinheiro/combate ao financiamento do terrorismo
      A lógica aplicada às instituições financeiras é algo como: “os bancos podem vigiar os clientes, mas não o farão de boa-fé a menos que isso afete a receita ou que temam ser processados”
      O resultado é que qualquer pessoa ou informação de transação que pareça ter a menor ligação com alguém sancionado acaba sendo bloqueada aleatoriamente
      Se uma transação da Al-Qaeda passar e a imprensa descobrir, vêm multas e reprimendas dos reguladores e do Congresso; por outro lado, se uma pessoa inocente for bloqueada, há apenas algumas reclamações e o negócio continua
      Vejo a mesma dinâmica surgindo nas empresas de mídia social. Tudo que puder ser considerado minimamente ofensivo vai cair
      Basta imaginar uma versão pior da desmonetização no YouTube
      [1] Ex.: https://news.ycombinator.com/item?id=35337210, https://news.ycombinator.com/item?id=24450828
    • Então, em vez de um governo democraticamente eleito criar leis e nomear agentes de execução, agora empresas privadas vão “patrulhar” minhas interações online?
    • Antes da S230, os provedores podiam ser protegidos de responsabilidade pelo status de common carrier, mas não podiam remover conteúdo enquanto recebiam essa proteção
      Para serviços um a um, uma abordagem de intervenção mínima faz bastante sentido. Em geral, não é preciso remover conteúdo lixo; lixo que entra continua sendo lixo na saída, então as pessoas o ignoram ou o filtram localmente
      Mas fóruns públicos online exigem algum grau de moderação, e isso em geral é desejável. Alguém pode inundá-los com lixo e torná-los inúteis para todos
      A S230 não é apenas imunidade por conteúdo que passou despercebido, mas um sistema que também permite moderar mesmo quando isso causa danos por excesso de moderação de boa-fé
      A maior parte do material condenável nas plataformas não é ilegal nem ato ilícito. Material ofensivo, insultuoso, degradante e enganoso em geral também é legal e não costuma gerar muita responsabilidade real
      Só que, sem uma proteção ampla como a S230, as pessoas podem processar por qualquer bobagem, e se você não for uma empresa de dezenas de bilhões de dólares, pode falir antes mesmo de vencer no fim
      Um mundo sem forte proteção de responsabilidade é um mundo em que não se pode irritar ou desagradar com segurança um adversário com muito mais dinheiro e poder
      Plataformas como Facebook, Google e Twitter já são praticamente imunes a ações civis por causa da sua escala e riqueza. Basta ver como processos tiveram pouco efeito em casos de invasão de privacidade ou de bloqueios repentinos de dados de usuários que causaram grandes prejuízos
      A combinação de salários entre Apple e Google também acabou sendo considerada ilegal, mas o custo foi menor que o dinheiro economizado com salários
      Políticas ruins surgem porque sua escala, riqueza e poder também os tornam bastante imunes à opinião pública
      Se a má governança de sites de mídia social prejudica o público, é melhor ter mais alternativas
      Facebook, Twitter etc. sobreviveriam mesmo num mundo sem S230, mas alternativas menores e melhor administradas, que as pessoas talvez quisessem, dificilmente sobreviveriam
      O que se vê em projetos de lei como este é o governo tentando usar empresas como agentes para investigação e aplicação da lei
      Um dos incentivos é que isso pode enfraquecer profundamente o devido processo legal. A Constituição criou salvaguardas contra buscas do governo, mas como entregamos nossos dados “voluntariamente” às empresas, faltam proteções equivalentes contra elas
      Portanto, se o governo obrigar empresas a fazer buscas, poderá contornar em grande parte os direitos da Quarta Emenda
  • O YouTube deveria reportar uma reportagem [1] dizendo que um policial teve overdose de fentanil por exposição em serviço como fato ou indício de distribuição ilegal de fentanil?
    Quantas músicas e letras de rap seriam reportáveis só por conterem letras que insinuam possível uso real de drogas?
    Todas as notícias e discussões em redes sociais do tipo “{celebrity_name} dies from drug overdose” também teriam de ser reportadas?
    A patente USPTO US3141823A[2], que descreve um método de síntese de fentanil, também é algo que deve ser reportado? Porque um usuário de rede social que a linkou pode estar envolvido na fabricação ilegal de fentanil?
    O artigo do National Institutes of Health, “An Efficient, Optimized Synthesis of Fentanyl and Related Analogs”[3], também deveria ser reportado? Porque o usuário que o linkou talvez esteja envolvido em fabricação ilegal?
    Se a proposta de lei proíbe aviso de solicitação de preservação por no mínimo 5 dias, a plataforma deve remover conteúdo que viole seus termos de serviço, ou deixá-lo no ar para não alertar o usuário?
    Se a plataforma não puder remover o conteúdo problemático, o que acontece quando esse conteúdo vier junto com material que infringe direitos autorais, pornografia ou outro tipo de conteúdo que normalmente seria removido de imediato?
    [1] https://www.youtube.com/watch?v=Jd76HxqCPf0
    [2] https://patents.google.com/patent/US3141823A/en
    [3] https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4169472/

    • A ideia de que “um policial toca fentanil na cena de um crime e sofre overdose” não é medicamente possível
      O que de fato acontece é a pessoa achar que tocou em fentanil, entrar em ataque de pânico e pensar que está tendo uma overdose
      Quando é levada ao hospital e examinada, não aparece nenhum traço de fentanil na corrente sanguínea, mas a imprensa e a polícia omitem essa parte e fazem grande alarde. Porque é constrangedor
      A única forma de um policial ser exposto ao fentanil não é tocando, e sim ingerindo-o
  • Quão difícil seria criar algo como um app auxiliar que criptografe com GPG antes de enviar a mensagem?
    Você colocaria o conteúdo em uma caixa de texto, ele criptografaria e copiaria para a área de transferência, e então seria só colar no app de mensagens. Quem recebe faria o processo inverso
    Está cada vez mais claro que, se quisermos impedir que governo e empresas de tecnologia espionem as mensagens, vamos ter que resolver isso por conta própria

    • O GPG não tem sigilo de encaminhamento perfeito, então talvez não seja a melhor opção para mensagens instantâneas
      Isso significa que, se alguém obtiver a chave, poderá ler todo o conteúdo passado e atual criptografado com ela
      O sigilo de encaminhamento perfeito exige que as duas pontas estejam se comunicando juntas, então não servia para a estrutura de “enviar e esquecer” do e-mail, mas é claramente necessário para mensagens instantâneas
    • Lembro que clientes como o Pidgin tinham plugins OTR que faziam criptografia de ponta a ponta sobre canais arbitrários. É possível
    • https://news.ycombinator.com/item?id=36091710
      A parte complicada é fazer colagem automática para dentro do app e cópia automática para fora dele, numa situação em que o desenvolvedor do app de mensagens pode ser ativamente hostil a esse comportamento
      Um exemplo de implementação dessa abordagem no webmail é o Mailvelope[1]
      Se você puder tolerar o trabalho manual, o PGP já pode ser usado com qualquer coisa
      [1] https://mailvelope.com/
    • Basta abandonar mensageria “gratuita” comercial e implantar sua própria instância Matrix, criando contas para amigos e familiares que não conseguirem fazer isso
    • Briar, Matrix e Mumble têm desvantagens próprias, mas todos são opções razoáveis
      Se o Briar chegasse ao iOS com o conjunto completo de recursos, e a interface só fosse um pouco ajustada para parecer algo projetado depois do Android 7, seria incrível