Legalmente, FBI

O site Property of the People, graças a um pedido de Direito à Informação, publicou nos Estados Unidos, no final de novembro, uma lista que mostra quais dados os órgãos policiais podem obter – legalmente – de qual aplicativo de mensagens. O documento com o título “Acesso legal” data de 7 de janeiro de 2021.

Imagem: Pexels.com

O documento não contém nenhuma notícia interessante, mas fornece uma boa visão geral das diferenças entre WhatsApp, Signal, Threema & Cia. no relacionamento com o que os americanos chamam de Agências de Aplicação da Lei. Um total de nove aplicativos são listados – com a ausência do Meta Messenger. Graças ao uso generalizado de criptografia ponta a ponta, a maioria dos agentes do FBI e outras instituições policiais não têm acesso aos conteúdos, mas há exceções.

As informações mais importantes do documento, resumidas:

IMessage da Apple: Os dados básicos do usuário podem ser solicitados com uma intimação (“Subpoena“), e os dados sobre o uso nos últimos 25 dias também podem ser solicitados de acordo com outras leis. Se a “pessoa de interesse” for usuária da iCloud da Apple, as mensagens podem ser acessadas, bastando para isso um mandado de busca e apreensão.

Line: Outra grande fonte de informação para os agentes da lei, especialmente informações pessoais do usuário e informação de suporte ao cliente. Com um mandado de busca, o conteúdo das mensagens pode ser obtido, se a pessoa alvo não ativou a criptografia ponta a ponta. O provedor não libera apenas mídia enviada.

Signal: Este aplicativo libera apenas a data e a hora da última utilização. A criptografia de ponta a ponta não vem como configuração padrão, e precisa ser ativada pelo usuário.

Telegram: Em investigações de terrorismo este provedor poderá fornecer endereços IP e números de telefone às autoridades responsáveis – nada mais. Aqui também a criptografia precisa ser ativada pelo usuário.

Threema: O provedor suíço apenas fornece um número de telefone e o hash [um número hexadecimal] do endereço de e-mail, se isso tiver sido especificado no mandado. Além disso, pode fornecer também a chave de criptografia pública e um token para mensagens “push”, bem como os dados de configuração da conta e o último login.

Viber: Aqui há apenas dados para registro (incluindo o endereço IP usado) e uma linha do tempo das mensagens enviadas e recebidas – mas nenhum conteúdo.

WeChat: O provedor chinês só fornece dados sobre contas de pessoas não chinesas, incluindo nomes, números de telefone, endereços de e-mail e endereços IP.

Clique/toque para uma versão maior. Imagem: Property of the People

WhatsApp: Dependendo da jurisdição da solicitação de fornecimento de dados, o mensageiro mais popular do mundo pode fornecer desde dados básicos do usuário, informações sobre contas bloqueadas, catálogos de endereços e possivelmente até a origem e o destino de cada mensagem. Se a “pessoa de interesse” usa um iPhone e ativou backups no iCloud, mais dados poderão ser obtidos, incluindo o conteúdo das mensagens.

Wickr: Este app não fornece o conteúdo das mensagens, mas, fora isso, disponibiliza uma série de dados incomuns. É possível determinar quando as contas foram configuradas, em quantos dispositivos uma conta foi usada e quando foi a última conexão. O número de mensagens, bem como o número de contas ligadas a elas [mas não sua identidade]. A imagem de avatar também poderá ser fornecida, bem como uma quantidade limitada de informações sobre as configurações do dispositivo.

Criptografia de ponta a ponta

A lista demonstra mais uma vez, para a alegria dos evangelistas da segurança, o quão difundida está a criptografia ponta a ponta [end-to-end encryption – E2E] e como é difícil para os policiais – nos EUA – obterem o conteúdo das contas dos usuários. A criptografia E2E introduzida recentemente para backups do WhatsApp deve restringir ainda mais o acesso dos órgãos policiais.

No entanto, o conteúdo da comunicação rigorosamente não é protegido em nenhum deles. A razão é que os provedores dos serviços estão espalhados por várias jurisdições, operando sob valores culturais diferentes. Por exemplo, o conteúdo do Telegram não é criptografado por padrão. Além disso, a lista trata apenas dos dados para os quais os investigadores dos EUA estão em contato direto com os provedores dos serviços.

O escândalo da NSA trouxe à mente o fato de que os serviços secretos têm muitas opções diferentes para seu trabalho. As revelações de Edward Snowden sobre as capacidades e procedimentos da NSA, no entanto, desempenharam um papel fundamental na ampla mudança em direção à criptografia de ponta a ponta como a que está disponível hoje em dia.

É no comportamento do usuário que o elo fraco da segurança está localizado. Mas isso é assunto para um outro post.

Arte vs Privacidade – Uma Discussão Aberta

Pense sobre como isso te afeta. Você se sente ansioso ou violado, com a câmera de segurança de seu vizinho apontada para sua casa? Ou se pergunta se seu vizinho está amparado pela lei ao registrar sua imagem no recesso de sua propriedade?

Imagem: Pexels.com

Com a popularidade das câmeras de segurança residencial, e o potencial de disputa entre os proprietários das câmeras e seus vizinhos, a todo momento surgem questões sobre a privacidade.

Esta é uma discussão aberta, em que fatos aparentemente contraditórios são apresentados, mas nenhuma conclusão é derivada. Como já escrevemos neste espaço, vivemos em uma era em que centenas de câmeras de vigilância gravam cada passo que damos – na calçada, no metrô, dentro de lojas, hotéis, elevadores, restaurantes – literalmente em todos os lugares.

Há drones circulando no céu, câmeras nos telefones de todas as pessoas e até óculos ‘inteligentes’ capazes de tirar fotos e gravar vídeos. Eis que, no final de 2021, ao sair de casa eu assumo que eu não só posso ser, mas de fato serei fotografado ou filmado por alguém, ou algo.

Estar em público automaticamente traz um grau inevitável de conflito entre meus desejos individuais e os do resto do mundo. Não importa a minha opinião a respeito, o espaço público exige um certo contrato onde permitimos que algumas de nossas preferências de privacidade sejam provisoriamente suspensas.

A tal Privacidade

A privacidade tem um valor fundamental para a sociedade em geral. Almejamos aparecer em público sabendo que nossas fraquezas não estão à vista de todos, nos permitindo assim uma interação social confiante. Quando votamos, o fazemos acreditando que ninguém pode ver nossa decisão para depois buscar vendettas com base no modo como votamos.

Imagem: Pexels.com

A privacidade é, portanto [e naturalmente], importante no contexto social da democracia. Em muitos casos, não queremos saber tudo sobre todos ao nosso redor. Às vezes não queremos saber nada, sobre ninguém. A privacidade pode, assim, também proteger-nos a todos de sermos expostos à toxidade de uma dose desmesurada de informação.

Graças ao anonimato [possibilitado pelas escolhas e posturas pessoais e por certas tecnologias, embora vedado no ordenamento jurídico brasileiro – o que merece um post próprio], também posso me sentir encorajado a falar publicamente contra a corrupção ou a injustiça; ou simplesmente ser mais criativo [e até subversivo] na auto-expressão.

Muitas de nossas proteções legais à confidencialidade podem ser analisadas em contraste com os estados que empregam altos níveis de vigilância, como a China ou a ex-República Democrática Alemã. Aqui, a vigilância realizada pelo Ministerium für Staatssicherheit (Stasi) foi fundamental para reprimir a dissidência aberta e reforçar a uniformidade comportamental prevista por George Orwell.

Arte

Mas como fica a arte [alô meu amigo Pedro Romualdo!]? Como conciliar no âmbito da privacidade formas de arte – falo aqui da fotografia de rua – que dependem da candura e da espontaneidade – e, nesse caso, do implícito não consentimento pelo sujeito sendo fotografado?

É forçoso admitir que há uma diferença vital entre uma estúpida câmera de vigilância e uma imagem deliberada tirada por um fotógrafo: a intenção, por óbvio. Se uma foto tem o objetivo de ridicularizar ou expor um indivíduo específico, isso pode se aproximar perigosamente do território antiético – ou pode ser apenas arte ruim. Reconhecidamente, existem algumas formas nefastas que a fotografia [estática ou ‘movie’] pode assumir, como câmeras secretas em banheiros ou as infames filmagens por debaixo de saias, ambas violações grosseiras e óbvias.

Contudo, me parece imprudente confundir esses casos (felizmente) raros com a prática geral da fotografia de rua. A comparação intempestiva entre essas duas categorias também tem o potencial para criar o notório efeito paralisante [‘the chilling effect‘] sobre a liberdade de expressão artística, condicionando o público a considerar qualquer pessoa com uma câmera um predador assustador.

Existe um cabo de guerra constante entre a liberdade de expressão e as preocupações com a privacidade. Contudo esse não deveria ser um jogo de soma zero, em que um ‘player‘ supera inevitavelmente o outro. Embora fotografar em espaço público seja legal [não há expectativa de privacidade na rua], ninguém nos estados democráticos é sacrificado pela arte [ainda]. Há o recurso à lei. Somos, como sociedade, protegidos contra o fotógrafo fazer o que quiser com a imagem.

Espiar no espaço privado de alguém com equipamento especializado ou um drone é ilegal. Um fotógrafo pode ser processado por difamação se assediar intencionalmente um indivíduo. Sem um documento de consentimento formal nenhuma imagem pode ser usada para fins comerciais, como anunciar um produto. No estado de direito a lei tem o devido zelo na salvaguarda do sujeito, destacando as más intenções que possam expor ou prejudicar o fotografado.

A questão do consentimento na fotografia de rua se torna então, como vemos, complicada porque o sujeito a ser protegido é aparentemente um tanto indefinido – na verdade, muitas vezes talvez nem se trate de uma questão de consentimento de forma alguma, mas de outras figuras legais. O que, no fim, realmente se resume ao valor da arte versus privacidade em nossa sociedade.

Exigir consentimento praticamente elimina a fotografia de rua, e também a maioria dos documentários cinematográficos, como formas artísticas viáveis. Para algumas pessoas, esse seria um preço absolutamente justo a pagar. Para muitos outros seria um mundo muito infeliz de se viver. Por meu turno, reconheço a fotografia de rua e seu lugar importante em nossa cultura, refletindo nossa frágil realidade de volta para nós mesmos.

Escreverei mais sobre a função da fotografia de rua como forma de arte em uma postagem futura, abrindo espaço tanto para suas deficiências conceituais quanto para sua importância, na tentativa de encontrar um terreno comum que seja a ‘fonte da verdade’.


Nota: neste site usamos material fotográfico de repositórios reconhecidos e trabalhamos na suposição de que modelos humanos eventualmente apresentados deram seu consentimento para a publicação.

Sua impressão digital pode ser hackeada por R$ 10

A autenticação por impressão digital é, sem dúvida, uma alternativa conveniente para senhas e códigos PIN. Quem quer gastar tempo digitando uma longa sequência de números, letras e caracteres quando um simples toque é suficiente?

Imagem: pexels.com

Infelizmente, essa conveniência tem um custo. Porque, ao contrário de uma senha normal, sua impressão digital é pública – você deixa sua impressão digital nos corrimãos das escadas, na maçaneta da porta, nas portas dos táxis, telas do Smartphone iPhone, taças de vinho no seu restaurante preferido. e em muitos outros lugares.

Neste artigo, a equipe da empresa Kraken Security Labs demonstra como é fácil para os agentes mal-intencionados contornar esse método de login que está se tornando o favorito dos usuários.

Roubando a impressão digital

Para comprometer seu dispositivo, ou conta, não é preciso nem mesmo o acesso direto à sua impressão digital. Uma foto de uma superfície que você tocou (de uma mesa na biblioteca ao equipamento de sua academia de ginástica) é o suficiente.

Uma foto da impressão digital de uma vítima na tela do computador – Imagem: Kraken Labs

Com esta imagem disponível, uma hora de trabalho no Photoshop rende um negativo bem decente:

Imagem em negativo da foto anterior – Imagem: Kraken Labs

Em seguida, a imagem foi impressa em uma folha de acetato, usando uma impressora a laser – o toner cria na folha uma estrutura 3D da impressão digital.

A folha de acetato com a nossa nova impressão – Imagem: Kraken Labs

Na etapa final, adiciona-se um pouco de cola de madeira por cima da impressão para dar uma textura macia e vívida à impressão digital fake, para que ela possa ser usada em um scanner.

Construindo a impressão digital sintética – Imagem: Kraken Labs

Lançando o Ataque

De posse da impressão digital, tudo o que o agente precisa fazer é colocá-la no scanner.

A impressão digital fake funcionando em um MacBook Pro – Imagem: Kraken Labs

O laboratório foi capaz de reproduzir esse (conhecido) ataque na maioria dos dispositivos que foi disponibilizada para teste. Se este fosse um ataque real, o atacante teria acesso a uma vasta gama de informações confidenciais.

Protegendo-se do Ataque

Segundo Kraken Labs, uma impressão digital não deve ser considerada uma alternativa segura a uma senha forte. Esse método deixa suas informações – e, potencialmente, seus ativos digitais – vulneráveis ​​até mesmo ao menos sofisticado dos invasores.

Deve estar claro agora que, embora sua impressão digital seja exclusivamente sua, ela ainda pode ser explorada com relativa facilidade. Na melhor das hipóteses, você deve considerar usá-lo apenas como um elemento de autenticação de segundo fator (2FA).

Fonte: Kraken Security Labs

Tire sua Câmera da Minha Cara

A tecnologia de vigilância biométrica, como o reconhecimento facial, é uma tecnologia que permite que você seja identificado, analisado e rastreado em espaços públicos. Ela se alastra fora de controle.

Imagem: Pexels

O que está acontecendo?

A vigilância biométrica está aumentando assustadoramente. Vemos câmeras de reconhecimento facial em cada vez mais lugares. Pense, por exemplo, no posto de gasolina, no supermercado, nos estádios de futebol. Pense nas casas, nas ruas e nas câmeras voltadas diretamente para o seu rosto enquanto você caminha pela calçada. E então pense no uso de toda essa informação pelos aparelhos de repressão policial local e nacional. É sabido que a polícia aplica o reconhecimento facial a imagens de câmeras comuns, de baixa tecnologia. Mas sabemos também que eles estão fazendo experimentos com aplicações de reconhecimento facial de maior alcance e tecnologia mais especializada.

O reconhecimento facial é muito intrusivo. Mas isso não impede os legisladores, nas cidades e no Congresso, de apresentar cada vez mais projetos para sua implantação. Poucos parlamentares se importam com as garantias constitucionais, e de seus gabinetes saem projetos de lei cada vez mais penetrantes.

Não conheço nenhum vereador ou deputado que defenda a regulamentação da vigilância urbana ou que cobre maior responsabilidade das empresas de tecnologia. Mas conheço muitos que defendem mais e mais vigilância. Então você sabe que algo está realmente errado. Além do reconhecimento facial, também vemos outras maneiras pelas quais nossos corpos são rastreados, analisados ​​e controlados [os passaportes de imunidade são apenas a iteração mais recente desse controle].

Por que estou preocupado?

O espaço público desempenha um papel importante em uma sociedade livre e aberta. É o lugar onde a vida pública e o debate público acontecem e onde exercemos nossos direitos democráticos. É importante que todos se sintam livres nesses espaços. Livres para se reunir, expressar sua opinião e se movimentar. Os custos sociais associados ao uso da vigilância biométrica no espaço público são inaceitáveis.

Devido à aplicação não direcionada de vigilância biométrica, os transeuntes são capturados indiscriminadamente. Isso permite que os indivíduos sejam identificados, analisados, rastreados, traçados e controlados em grande escala. Essa tecnologia cria uma sociedade de desconfiança, de controle e de discriminação na qual você não pode mais participar de forma anônima da vida pública. Isso tem um efeito limitador [“the chilling effect“] sobre o quão livre você se sente para exercer seus direitos.

A biometria significa que as características do seu corpo são reduzidas a unidades mensuráveis. A vigilância biométrica transforma as pessoas em códigos de barras ambulantes que podem ser digitalizados e combinados com os dados já coletados anteriormente sobre elas. É muito importante lembrar que você só tem um rosto, cujas características não pode mudar e que não pode deixar em casa. Depois que um código de barras for vinculado ao seu rosto, você sempre poderá ser rastreado com ele. Uma vez capturado, você perde o controle dos dados e não há como escapar da vigilância.

O sistema de crédito social da China

A vigilância biométrica está tornando realidade o pesadelo burocrático descrito por George Orwell em seu 1984. O estado chinês está estabelecendo um vasto sistema que irá monitorar o comportamento de sua enorme população e classificá-los todos com base em seu “crédito social”. O Sistema de Crédito Social [SCS] na China não é apenas destinado a punir quem critica o governo e o Estado, como é o caso na maioria dos regimes totalitários. O SCS pode acusar até mesmo a menor infração, como fumar em uma zona de não fumantes.

Esse sistema, anunciado pela primeira vez em 2014, visa reforçar a ideia de que “manter a confiança é glorioso e quebrar a confiança é vergonhoso”, de acordo com um documento do governo chinês. O programa já está totalmente operacional em todo o país, mas ainda está em fase de testes. O esquema será obrigatório. No momento, o sistema é fragmentado – alguns são administrados por prefeituras, outros são avaliados por plataformas tecnológicas privadas que armazenam dados pessoais.

Como nas pontuações de milhas ou crédito privado que conhecemos, a pontuação social de uma pessoa pode subir e descer dependendo de seu comportamento. A metodologia exata é um segredo – mas exemplos de infrações incluem dirigir mal, fumar em zonas não fumantes, comprar muitos videogames e postar notícias falsas online. Violar o “código social” pode resultar em proibição de voar ou usar o trem, usar a internet, ter uma escolaridade decente, conseguir um emprego, se hospedar em hotéis e até mesmo de ter um animal de estimação.

A China obviamente está tirando proveito da mentalidade de rebanho, ao rotular os violadores de “maus cidadãos” [observo aqui que mentalidade de rebanho é algo que não falta em nossa sociedade desconfiada da ciência]. Alguém duvida que esses mesmos argumentos poderão ser e serão adotados pelos governos do ocidente, especialmente em uma época de radicalização política e ameaças à ordem publica?

Como toda tecnologia de criação e monitoramento de perfis, a vigilância por câmeras é construída, em sua essência mais íntima, para diferenciar e classificar as pessoas. Isso reforça as desigualdades existentes na sociedade, bem como o desequilíbrio de poder entre governos, empresas de tecnologia e cidadãos.

Acredito que essa tecnologia é uma violação brutal de nossos direitos e liberdades e uma ameaça à nossa sociedade livre e aberta. Com as tecnologias de reconhecimento facial sendo crescentemente aplicadas ao redor, é hora de lutar por nossa liberdade na rua. Os reguladores nacionais parecem não estar suficientemente equipados [ou com vontade] para fazer cumprir a Constituição; para impedir o uso desta tecnologia nefasta.

Claramente, a maioria das pessoas está completamente no escuro sobre esses programas subterrâneos e suas implicações perigosas. Portanto, a missão para aqueles que estão “por dentro” deve ser espalhar a palavra e alertar o maior número possível de pessoas. É preciso também que cada um assuma responsabilidade pessoal pela quantidade de dados que compartilha voluntariamente com sites de mídia social, aplicativos e a Internet em geral. A única defesa contra a erosão total da privacidade – e, portanto, da liberdade – é um público educado que defende seus próprios direitos.

Não há lugar para a tecnologia de vigilância biométrica em uma sociedade livre. É por isso que eu acredito que essas tecnologias deveriam ser efetivamente banidas da vida pública. Como bem disse Winston Churchill, uma sociedade que troca a liberdade por segurança não merece nem liberdade e nem segurança.

OnlyFans: ex-Empregados Mantinham Acesso às Informações de Usuários

Alguns ex-funcionários da equipe de suporte do OnlyFans ainda continuavam com acesso aos dados dos usuários – incluindo informações pessoais e financeiras confidenciais, mesmo depois de serem demitidos da empresa – usada por profissionais do sexo para vender nus e vídeos pornôs.

Photo by Valeria Boltneva from Pexels

De acordo com um ex-funcionário do OnlyFans – que pediu para permanecer anônimo por temer retaliação, alguns ex-funcionários ainda tinham acesso ao Zendesk, um software de atendimento ao cliente usado por muitas empresas, incluindo o OnlyFans, para rastrear e responder a tíquetes de suporte ao cliente, muito tempo depois de sair da empresa. OnlyFans usa o Zendesk para se relacionar tanto com os usuários que postam conteúdo quanto com os usuários pagantes, consumidores de conteúdo. A revista Motherboard conseguiu confirmar essas informações com mais de um ex-funcionário.

De acordo com a fonte e os usuários do OnlyFans que falaram com a Motherboard, dependendo do assunto para o qual o usuário abre o chamado de suporte, os tíquetes podem conter informações de cartão de crédito, carteiras de motorista, passaportes, nomes completos, endereços, extratos bancários, quanto eles ganharam ou gastaram no OnlyFans, selfies do serviço Know Your Customer (KYC), em que o performer fotografa uma carteira de identificação ao lado do rosto para verificação, além de formulários de licenciamento do material produzido.

Nossa fonte demonstrou à Motherboard como eles faziam para acessar as informações muito depois de terem parado de trabalhar para o OnlyFans.

Em profundidade em motherboard.vice.com