Vídeo: Aulão #6 Como Realmente se Adequar a LGPD (Novembro 2024)
Um relatório da DEA obtido pela CNet revelou que a aplicação da lei foi prejudicada por comunicações enviadas pelo sistema iMessage criptografado da Apple. Acontece que a criptografia é apenas metade do problema, e é realmente uma legislação que mantém o iMessages invisível para a aplicação da lei.
De acordo com o principal tecnólogo da ACLU, Christopher Soghoian, Ph.D., a verdadeira questão está na Lei de Assistência às Comunicações para a Aplicação da Lei ou CALEA, aprovada em 1994.
Soghoian disse à lei de Segurança "que determina que as indústrias desenvolvam recursos de interceptação para suas redes". Esses setores incluíam empresas de telefonia e banda larga, mas não empresas como a Apple. O iMessage também é diferente das mensagens de texto normais, porque criptografa a mensagem e a envia ponto a ponto entre os iPhones, sem tocar na rede de uma operadora.
Nas duas décadas desde a aprovação da lei, o cenário das comunicações mudou drasticamente. A Apple não estava no jogo das comunicações em 1994, e a maioria das comunicações instantâneas era realizada pelas empresas de telefonia.
"Tradicionalmente, o governo dos EUA realiza a grande maioria da vigilância com a assistência das empresas de telefonia", disse Soghoian, que chamou as empresas de telefonia de "parceiro confiável" da polícia.
Criptografia significa isenta
Outro aspecto crítico do CALEA lida com mensagens criptografadas, principalmente por estar isento de toda vigilância sem fio. Soghoian explicou que as comunicações "criptografadas com uma chave desconhecida pela empresa não podem ser interceptadas". Portanto, em uma situação em que as chaves de descriptografia são manipuladas no dispositivo, e não por quem estiver entregando as mensagens, a aplicação da lei deve ignorá-la completamente.
Esse problema foi mencionado no relatório da DEA, citado pela CNet: "As iMessages entre dois dispositivos Apple são consideradas comunicação criptografada e não podem ser interceptadas, independentemente do provedor de serviços de telefonia celular". No entanto, o relatório observa que, dependendo de onde a interceptação é feita, as mensagens enviadas para outros telefones podem ser lidas. Provavelmente, porque essas comunicações não são criptografadas e, portanto, são visíveis à aplicação da lei no CALEA.
ATUALIZAÇÃO: O texto exato da CALEA na criptografia diz:
"Uma operadora de telecomunicações não será responsável por descriptografar ou garantir a capacidade do governo de descriptografar qualquer comunicação criptografada por um assinante ou cliente, a menos que a criptografia tenha sido fornecida pela operadora e a operadora possua as informações necessárias para descriptografar a comunicação."
Acidentalmente seguro
O que é importante notar é que a Apple não se propôs a tornar suas mensagens invisíveis para o governo. Em vez disso, ele simplesmente queria produzir um produto de qualidade e, em seguida, levou-o por padrão a uma enorme base de usuários. Soghoian disse que isso ocorre porque o Vale do Silício tem mais mentalidade de segurança do que as empresas de telefonia. "Você não pode obter uma equipe de segurança para aprovar um serviço que não usa criptografia", explicou, citando o longo processo interno de revisão que muitos novos produtos de comunicação devem passar.
"O iMessage foi projetado alguns anos atrás, o sistema de mensagens de texto foi desenvolvido décadas atrás", continuou Soghoian. "Os sistemas legados são vergonhosamente inseguros, mas o Vale do Silício é seguro. É o que eles fazem."
Mas apenas porque o iMessages não está disponível imediatamente para interceptação não fornece proteção completa. "Com o tipo certo de sistema", disse Soghoian. "As mensagens da Apple podem ser interceptadas." O problema é que a Apple não fornece nenhuma indicação para as partes em um bate-papo do iMessage de que um novo dispositivo foi introduzido. Soghoian disse que, se você fosse à loja da Apple, adquirisse um telefone novo e tivesse sua senha redefinida, poderia conversar com seus amigos como se nada tivesse acontecido. "Isso significa que a maçã também pode fazer isso pelo governo".
O iMessage também tem outros problemas. O serviço foi usado recentemente em um ataque de negação de serviço porque tem pouco ou nenhum limite de quantas mensagens podem ser enviadas e nenhum meio de bloquear mensagens ofensivas.
Embora a Apple esteja apenas trabalhando para criar o melhor produto possível, outras empresas, como TextSecure e Silent Circle, se mostraram livres de interceptação por design. Esses sistemas oferecem criptografia de ponta a ponta, como o iMessage, em redes gerenciadas pelos criadores dos aplicativos. Isso significa que, no CALEA, as mensagens são completamente invisíveis para a aplicação da lei, além de praticamente impossíveis de descriptografar.
Risco aceitável
A maneira como o CALEA lida com essas questões pode parecer problemática, e as reclamações da DEA certamente destacam a questão. No entanto, Soghoian ressalta que tornar os sistemas fáceis de monitorar não os torna mais seguros. "Um serviço fácil de monitorar pelo FBI também é fácil para os chineses invadirem", disse Soghoian. "Quando você deixa uma porta dos fundos aberta, deixa para todos."
Em tempos de grandes violações de dados em empresas populares e guerra cibernética entre nações, Washington provavelmente terá que aceitar não ter as duas coisas.
ATUALIZAR:
Jon Callas, CTO da empresa de mensagens e voz segura Silent Circle ecoou muitos dos sentimentos que já discutimos. "O iMessage é um caso em que uma grande empresa criou uma tecnologia que é boa para eles e seus clientes, sem pensar no que o governo pode gostar".
Isso contrasta fortemente com o tom da CALEA, que possui um backdoor com escutas telefônicas. "O iMessage deveria ser uma maneira barata e segura de fazer uma troca de SMS", disse Callas. "Não estava na lista de recursos ser amigável ao governo".