Congresso Americano também Ameaça a Privacidade de Apps de Mensagens

Depois do Reino Unido, agora os legisladores americanos também começam a buscar meios para reprimir o uso da criptografia ponto a ponto. Nos dois lados do Atlântico, a mentira, a ignorância e a mistificação desinformam esse debate de importância vital.

Imagem: Pexels

Em um artigo perturbador publicado ontem (3/2), a Eletronic Frontier Foundation [uma das principais instituições civis dedicadas à privacidade e segurança digitais em todo o mundo] dá conta de que um grupo de legisladores liderados pelo senador Richard Blumenthal (D-CT) e pelo senador Lindsey Graham (R-SC) reintroduziu o EARN IT Act, um projeto incrivelmente impopular de 2020 que havia sido descartado diante de uma oposição esmagadora.

Escreve a EFF: sejamos claros, o EARN IT Act abriria o caminho para um novo e massivo sistema de vigilância, administrado por empresas privadas, que reverteria, em todo o mundo, alguns dos recursos de privacidade e segurança mais importantes da tecnologia. É uma estrutura montada para atores privados revistarem todas as mensagens enviadas online e relatarem supostas infrações às autoridades. E isso não é tudo. O EARN IT Act pode vir a garantir que qualquer coisa hospedada online — backups, sites, fotos na nuvem e muito mais — seja verificada por terceiros a serviço do estado.

Novas regras da Internet, do Alasca à Florida

O projeto de lei autoriza todos os estados ou territórios dos EUA a criar novas e abrangentes regulamentações da Internet, eliminando as proteções legais críticas para sites e aplicativos que atualmente impedem a farra da bisbilhotagem – especificamente a Seção 230 da Lei de Decência nas Comunicações – Communications Decency Act]. Os estados poderão aprovar qualquer tipo de lei que lhes aprouver para responsabilizar empresas privadas, que de alguma forma [real ou imaginária] estejam envolvidas no abuso infantil online.

O objetivo é fazer com que os estados aprovem leis que punam as empresas por implantarem criptografia de ponta a ponta ou oferecerem qualquer tipo de serviços criptografados. Isso inclui serviços de mensagens como WhatsApp, Signal e iMessage, bem como provedores de hospedagem na web como Amazon Web Services.

Sabemos que a EARN IT visa difundir o uso de ferramentas de varredura indiscriminada em bancos de dados da Internet apenas porque os patrocinadores do projeto de lei anunciaram. Em um documento chamado de “Mitos e Fatos”, os proponentes chegam ao detalhe de até nomear um software específico que deveria ser aprovado pelo governo para essa missão: o PhotoDNA, um programa da Microsoft [portanto de código proprietário] com uma API que se reporta diretamente às instituições policiais.

O documento também ataca a Amazon por não escanear o seu conteúdo adequadamente. Como a Amazon é o lar da Amazon Web Services, que hospeda um grande número de sites, isso implica que o objetivo do projeto é garantir que qualquer coisa hospedada online seja digitalizada.

Imagem: Pexels

Separadamente, o projeto de lei cria uma comissão federal [dominada por instituições policiais] de 19 pessoas, que estabelecerá as “melhores práticas voluntárias” para atacar o problema do abuso infantil online. Independentemente de as legislaturas estaduais seguirem a liderança dessa comissão, sabemos onde o caminho terminará. Os provedores de serviços online, mesmo os menores, serão obrigados a escanear o conteúdo do usuário, com software aprovado pelo governo, como o PhotoDNA.

Se os apoiadores da EARN IT conseguirem fazer a varredura de grandes plataformas como Cloudflare e Amazon Web Services, talvez nem precisem obrigar sites menores – o governo já terá acesso aos dados do usuário dessas plataformas, usando ferramentas fornecidas pelas próprias plataformas.

Uma disposição do projeto, que tenta pateticamente proteger os serviços que usam criptografia [em sua Seção 5, página 16] fica muito aquém do que seria necessário. Promotores estaduais ou advogados particulares ainda teriam o poder de arrastar um provedor de serviços ao tribunal sob a acusação de que seus usuários cometeram crimes, e então usar o fato de que o serviço disponibilizou a criptografia como agravante – uma estratégia especificamente permitida pela EARN IT.

É difícil imaginar um provedor de serviços online se atrevendo a usar essa brecha no dispositivo. Tudo indica que, em vez disso, eles simplesmente farão o que os patrocinadores do projeto estão exigindo – violar a criptografia de ponta a ponta e usar o software de digitalização aprovado pelo governo. Igualmente ruim, os provedores de serviços como backup e armazenamento em nuvem – que normalmente não oferecem criptografia, ficarão ainda menos propensos a introduzir novos recursos de segurança para proteger seus usuários, porque correm o risco de serem responsabilizados criminalmente pela EARN IT.

Muita digitalização, pouca proteção

Os senadores que apoiam o EARN IT Act dizem que precisam de novas ferramentas para processar casos referentes a material de abuso sexual infantil [ou CSAM – Child Sexual Abuse Material]. Mas os métodos propostos pela EARN IT na verdade ameaçam a segurança e privacidade de tudo o que está hospedado na Internet.

Possuir, visualizar ou distribuir CSAM já está inscrito na lei como um crime extremamente grave, com um amplo quadro de leis existentes que buscam erradicá-lo. Os provedores de serviços online que tenham conhecimento real de uma violação aparente ou iminente das leis atuais em torno do CSAM são obrigados a fazer um relatório ao Centro Nacional para Crianças Desaparecidas e Exploradas (NCMEC), uma entidade governamental que encaminha relatórios para agências de repressão ao crime.

A referida Seção 230 já não protege os provedores de serviços online de processos por CSAM – na verdade, ela não protege os serviços online de processos sob nenhuma lei criminal federal.

Imagem: Pexels

As empresas de Internet atualmente já estão obrigadas a denunciar as suspeitas de CSAM que elas encontrarem em suas redes – e têm denunciado em grande escala. E os erros também têm se manifestado em igualmente larga escala. Em particular, as novas técnicas de varredura usadas pelo Facebook produziram milhões de relatórios para as autoridades, a maioria deles imprecisos.

A aplicação da lei federal fez uso do grande número de relatórios produzidos por essa varredura de baixa qualidade para sugerir que houve um grande aumento nas imagens CSAM. Então, armados com estatísticas enganosas, os mesmos grupos fazem novas demandas para quebrar a criptografia ou, como no EARN IT, responsabilizar as empresas que não verificarem o conteúdo dos usuários.

Os especialistas independentes em proteção infantil não estão a pedir que os sistemas leiam as mensagens privadas dos usuários. Em vez disso, eles reconhecem que as crianças – principalmente crianças em vulnerabilidade – precisam de mensagens criptografadas e privadas tanto quanto, se não mais, do que o resto de nós. Ninguém, incluindo os mais vulneráveis ​​entre nós, pode ter privacidade ou segurança online sem criptografia forte.

Os senadores que apoiam o projeto de lei disseram que seus planos de vigilância em massa são de alguma forma magicamente compatíveis com a criptografia de ponta a ponta. Essa informação é completamente falsa, não importando se é chamada de “varredura do lado do cliente” ou alguma outra nova frase enganosa.

O EARN IT Act não visa a Big Tech. Ele tem como alvo todos nós, os usuários individuais da Internet, tratando-nos a todos como criminosos em potencial que merecem ter cada mensagem, fotografia e documento digitalizados e comparados com um banco de dados do governo.

Como a vigilância direta do governo seria flagrantemente inconstitucional e certamente provocaria indignação pública, a EARN IT usa empresas de tecnologia – das maiores às menores – como suas ferramentas. A estratégia é fazer com que as empresas privadas façam o trabalho sujo da vigilância em massa. Essa é a mesma tática que o governo dos EUA usou no ano passado, quando as agências de aplicação da lei tentaram convencer a Apple a subverter sua própria criptografia e digitalizar as fotos dos usuários – esse plano estagnou após uma oposição esmagadora.

É a mesma estratégia que a polícia do Reino Unido está usando para convencer o público britânico a desistir de sua privacidade [como comentamos aqui no blog na semana passada], tendo gasto dinheiro público em uma campanha publicitária risível na tentativa de demonizar as empresas que usam criptografia.

Não vacilaremos em nosso apoio à privacidade e segurança para todos, bem como às ferramentas de criptografia que suportam esses valores. Esse projeto de lei pode ser votado pelo Comitê Judiciário do Senado em apenas alguns dias. Dissemos ao Senado dos EUA que não vamos recuar em nossa oposição à EARN IT.

Precisamos que você fale também.

Por Joe Mullin [adaptado] | Eletronic Frontier Foundation – Licença Creative Commons (CC BY 4.0)

Governo Britânico Quer o Fim da Privacidade em Apps de Mensagens

Uma reportagem recente da revista Rolling Stone lançou luz sobre o patético plano do governo Britânico de seguir em sua cruzada contra a encriptação ponto a ponto – e iniciou uma grande polêmica.

Imagem: iStock

“Contratamos a M&C Saatchi para reunir as muitas organizações que compartilham nossas preocupações sobre o impacto que a criptografia de ponta a ponta teria em nossa capacidade de manter as crianças seguras”. Esse é o teor do comunicado do Porta-voz do Ministério do Interior britânico. Quem acompanha os reiterados esforços do governo britânico no sentido do banimento da encriptação não ficou surpreso.

Defensores da privacidade online criticaram os planos do governo do Reino Unido como “alarmismo” que, ao minar a privacidade online, poderia potencializar os riscos e colocar em perigo crianças e adultos vulneráveis.

A campanha alarmista do Home Office é tão falsa quanto perigosa”, disse Robin Wilton, diretor de Internet Trust da Internet Society. “Sem criptografia forte, as crianças estão mais vulneráveis online do que nunca. A criptografia protege a segurança pessoal e a segurança nacional… o que o governo está propondo coloca todos em risco.

A Volta dos Velhos Argumentos

Começa assim uma nova e cansativa rodada de discussões inúteis, sobre questões há muito estabelecidas, refletindo a ‘vibe’ anticiência que anda a correr o mundo. É interessante notar, do meu ponto de visada, que quem defende o banimento da encriptação geralmente parece pertencer ao mesmo estrato demográfico que os negacionistas da Covid [não, não posso afirmar isso com certeza; é apenas um ‘feeling’].

É claro que já desbancamos anteriormente a retórica ingênua dos governos tecnicamente analfabetos a respeito da instalação, por padrão, de backdoors [porta dos fundos] nos dispositivos eletrônicos, para contornar a criptografia de ponta a ponta em determinadas situações.

Também já apontamos a total futilidade de proibir qualquer aplicativo de usar criptografia de ponta a ponta quando há muitas outras opções, legais e ilegais, para escolher – bem como métodos de criptografia que podem se esconder à vista de todos, como a esteganografia – em que mensagens criptografadas são incorporados a imagens de aparência comum.

Por fim, já destacamos que a criptografia de ponta a ponta não é diferente de instalar portas em nossos banheiros e cortinas em nossas janelas.

Portanto, infelizmente para o governo do Reino Unido e outros governos autoritários, não há muito que se possa fazer tecnicamente para fazer a criptografia desaparecer.

É possível concluir, então, que o plano agora é fazer disso uma “questão social”. Fomenta-se o pânico moral utilizando-se como pretexto a proteção das crianças, introduzindo-se no discurso público um viés cognitivo permanente – como os cultos mais perigosos fazem. Sem surpresa, e exatamente pela mesma razão dos cultos, certas elites da burocracia aspiram um poder desmedido sobre aqueles que eles veem como inferiores e inconsequentes, ou seja, os cidadãos votantes e seus descendentes. Em duas palavras: você e eu.

O problema é que nenhuma tecnologia conhecida pode deter a encriptação ponto a ponto [doravante EPaP], supondo-se que as comunicações com qualquer grau de liberdade continuem permitidas. Portanto, embora possam aprovar legislação, isso não impedirá aqueles que estão determinados a manter sua privacidade a qualquer custo.

O Mito do Combate ao Crime

É opinião unânime entre os pesquisadores de segurança, que nas circunstâncias em que, como hoje, é possível obter informações através dos metadados, a polícia não se incomoda tanto com a “criptografia”. A realidade é que a criptografia não é algo que pertença ao mundo dos policiais em suas operações cotidianas; eles quase nunca lidam com cripto, mesmo quando se trata de crimes mais graves e organizados.

Onde a criptografia cruza o caminho das forças da lei é no crime muito especializado, que dispõe de pessoal igualmente muito especializado, contra instituições policiais nacionais especializadas. E apesar de os números relacionados a esse tipo de crime parecerem grandes – e os crimes muito assustadores, a realidade é que, no fim, tudo é menos dramático do que parece. Geralmente a exploração das dissidências e das lutas internas nos grupos criminosos, em investigações convencionais, é suficiente para evitar a necessidade de envolvimento com a criptografia.

Os verdadeiros vigaristas encriptados, são, de longe, os tipos de colarinho branco do setor financeiro e outros grandes atores – aparentemente circunspectos – de várias indústrias [Group 4, Serco, Capita, etc.], grande parte da indústria da construção [civil, aeronáutica e naval] e o complexo industrial-militar. Os nomes podem ser encontrados nos registros de financiamento político e nas listas de honra anuais – onde os crimes são “corporativos” e pagos com multas dedutíveis.

A realidade para a polícia e unidades especializadas é que o conteúdo da mensagem é menos importante do que quem está falando com quem, quando e onde. Isso é o que se chama de “metadados” e o processo de extração de informações deles “análise de tráfego”. Nenhuma criptografia é envolvida.

Quando você ouve falar que Facebook, Google e outras grandes empresas de tecnologia estão a incentivar o uso da EPaP [mas também as correspondentes “salvaguardas”], eles estão se referindo a duas tecnologias muito relacionadas,

  • Gerenciamento de Relações com o Consumidor (conheça seu cliente).
  • Análise de Tráfego.

Essas coisas são tão poderosas que eles nem precisam ver o conteúdo das mensagens. Na verdade, a EPaP é até desejável para eles porque assim se livram das ordens judiciais, fardo muito significativo que nunca diminui. Para as empresas de tecnologia, a EPaP acaba com todos os negócios confusos e deixa apenas “registros de negócios de terceiros”, que não são contenciosos per se.

O que pretende o Ministério do Interior Reino Unido não tem nada a ver com lidar com crimes reais. É tudo sobre lançar a pedra fundamental de um estado policial por meio de um processo orwelliano de “controle de pensamento”, projetado para manter certos grupos, em certas posições, atacando todos os outros. No ritmo em que estão mudando as coisas, a sociedade do Reino Unido será como a da antiga Alemanha Oriental e estados semelhantes.

O que nos leva à pergunta composta: é possível construir um sistema inquebrável de criptografia?

Sim, é perfeitamente possível e tem sido feito há milênios: o one-time pad, ou sistema de cifra única, que não pode ser quebrada se utilizada corretamente.

A pergunta que precisa ser respondida é: seria possível construir um sistema que fosse prático, além de seguro, para a maioria das pessoas conectadas à internet [especialmente em ditaduras como a China]?

Para responder, é preciso dividir o problema em vários cenários e perceber que:

A privacidade de “um para um” é uma possibilidade realista que sabemos fazer há séculos, usando derivações do já citado one-time pad.

A privacidade “um para muitos” é um pouco mais complicada e precisa de um sistema de “difusão/transmissão” das chaves criptográficas, o que traz complexidades.

Quanto a privacidade de “muitos para muitos”, ela é ou a) um problema N2; ou b) um problema de topologia de rede. É preciso resolver ambos os problemas para que haja comunicações interativas.

As circunstâncias da experiência humana, nossas crenças e falsas certezas, nos tornam o elo fraco da cadeia de segurança e tornam impossível desenhar um sistema que seja, além de seguro, antes de tudo prático para uso em um ambiente como a Web.

Enfim

Os governos sabem que os cidadãos não gostam de ser incomodados com apelos à adoção de posturas de privacidade e segurança, e manipulam esse sentimento. A experiência profissional nos mostra que o público considera a segurança algo “inconveniente” e irritante. Portanto, é seguro dizer que a criptografia continuará sendo o reino dos “cripto-geeks” – e dos criminosos que sabem usar a cabeça.

Depois dessa legislação, o que vai acontecer com os sistemas de encriptação baseados apenas em “software” [em oposição aos dispositivos como tokens USB] será uma extensão do que vemos atualmente com os “Secure Messaging Apps”. Como a chave do usuário está no dispositivo de comunicação [noto aqui que todos os smartphones violam a regra de ouro da segurança, segundo a qual a chave criptográfica não pode ficar no mesmo dispositivo que faz a comunicação], será fácil para os governos contornarem a segurança do aplicativo. Eles precisam apenas fazer um pequeno “end run attack” para chegar à interface do usuário.

Apesar da pintura sombria, sou da opinião de que os governos laboram em erro, e que já não é mais possível banir a criptografia. Teria sido possível até 2005, talvez, durante o período da Web 1.0. Vejo que as autoridades executivas e legisladores têm uma enorme incapacidade de entender o caos que se instalaria, começando pelo sistema econômico/financeiro. Seria uma boa oportunidade para aprendizado através da dor. Vamos acompanhar os desenvolvimentos, na esperança de que a razão finalmente se imponha.

Post Scriptum

Embora seja tecnicamente muito fácil afastar o nariz do governo de nossos negócios, não é algo “conveniente” para a maioria dos usuários: senhas longas, práticas seguras de navegação, higiene digital, seleção cuidadosa dos contatos, atenção para links suspeitos, gerenciamento dos dispositivos… Ó vida, que horror!

Como já foi observado em muitas ocasiões, as pessoas podem ser seu próprio pior inimigo.

Legalmente, FBI

O site Property of the People, graças a um pedido de Direito à Informação, publicou nos Estados Unidos, no final de novembro, uma lista que mostra quais dados os órgãos policiais podem obter – legalmente – de qual aplicativo de mensagens. O documento com o título “Acesso legal” data de 7 de janeiro de 2021.

Imagem: Pexels.com

O documento não contém nenhuma notícia interessante, mas fornece uma boa visão geral das diferenças entre WhatsApp, Signal, Threema & Cia. no relacionamento com o que os americanos chamam de Agências de Aplicação da Lei. Um total de nove aplicativos são listados – com a ausência do Meta Messenger. Graças ao uso generalizado de criptografia ponta a ponta, a maioria dos agentes do FBI e outras instituições policiais não têm acesso aos conteúdos, mas há exceções.

As informações mais importantes do documento, resumidas:

IMessage da Apple: Os dados básicos do usuário podem ser solicitados com uma intimação (“Subpoena“), e os dados sobre o uso nos últimos 25 dias também podem ser solicitados de acordo com outras leis. Se a “pessoa de interesse” for usuária da iCloud da Apple, as mensagens podem ser acessadas, bastando para isso um mandado de busca e apreensão.

Line: Outra grande fonte de informação para os agentes da lei, especialmente informações pessoais do usuário e informação de suporte ao cliente. Com um mandado de busca, o conteúdo das mensagens pode ser obtido, se a pessoa alvo não ativou a criptografia ponta a ponta. O provedor não libera apenas mídia enviada.

Signal: Este aplicativo libera apenas a data e a hora da última utilização. A criptografia de ponta a ponta não vem como configuração padrão, e precisa ser ativada pelo usuário.

Telegram: Em investigações de terrorismo este provedor poderá fornecer endereços IP e números de telefone às autoridades responsáveis – nada mais. Aqui também a criptografia precisa ser ativada pelo usuário.

Threema: O provedor suíço apenas fornece um número de telefone e o hash [um número hexadecimal] do endereço de e-mail, se isso tiver sido especificado no mandado. Além disso, pode fornecer também a chave de criptografia pública e um token para mensagens “push”, bem como os dados de configuração da conta e o último login.

Viber: Aqui há apenas dados para registro (incluindo o endereço IP usado) e uma linha do tempo das mensagens enviadas e recebidas – mas nenhum conteúdo.

WeChat: O provedor chinês só fornece dados sobre contas de pessoas não chinesas, incluindo nomes, números de telefone, endereços de e-mail e endereços IP.

Clique/toque para uma versão maior. Imagem: Property of the People

WhatsApp: Dependendo da jurisdição da solicitação de fornecimento de dados, o mensageiro mais popular do mundo pode fornecer desde dados básicos do usuário, informações sobre contas bloqueadas, catálogos de endereços e possivelmente até a origem e o destino de cada mensagem. Se a “pessoa de interesse” usa um iPhone e ativou backups no iCloud, mais dados poderão ser obtidos, incluindo o conteúdo das mensagens.

Wickr: Este app não fornece o conteúdo das mensagens, mas, fora isso, disponibiliza uma série de dados incomuns. É possível determinar quando as contas foram configuradas, em quantos dispositivos uma conta foi usada e quando foi a última conexão. O número de mensagens, bem como o número de contas ligadas a elas [mas não sua identidade]. A imagem de avatar também poderá ser fornecida, bem como uma quantidade limitada de informações sobre as configurações do dispositivo.

Criptografia de ponta a ponta

A lista demonstra mais uma vez, para a alegria dos evangelistas da segurança, o quão difundida está a criptografia ponta a ponta [end-to-end encryption – E2E] e como é difícil para os policiais – nos EUA – obterem o conteúdo das contas dos usuários. A criptografia E2E introduzida recentemente para backups do WhatsApp deve restringir ainda mais o acesso dos órgãos policiais.

No entanto, o conteúdo da comunicação rigorosamente não é protegido em nenhum deles. A razão é que os provedores dos serviços estão espalhados por várias jurisdições, operando sob valores culturais diferentes. Por exemplo, o conteúdo do Telegram não é criptografado por padrão. Além disso, a lista trata apenas dos dados para os quais os investigadores dos EUA estão em contato direto com os provedores dos serviços.

O escândalo da NSA trouxe à mente o fato de que os serviços secretos têm muitas opções diferentes para seu trabalho. As revelações de Edward Snowden sobre as capacidades e procedimentos da NSA, no entanto, desempenharam um papel fundamental na ampla mudança em direção à criptografia de ponta a ponta como a que está disponível hoje em dia.

É no comportamento do usuário que o elo fraco da segurança está localizado. Mas isso é assunto para um outro post.

Arte vs Privacidade – Uma Discussão Aberta

Pense sobre como isso te afeta. Você se sente ansioso ou violado, com a câmera de segurança de seu vizinho apontada para sua casa? Ou se pergunta se seu vizinho está amparado pela lei ao registrar sua imagem no recesso de sua propriedade?

Imagem: Pexels.com

Com a popularidade das câmeras de segurança residencial, e o potencial de disputa entre os proprietários das câmeras e seus vizinhos, a todo momento surgem questões sobre a privacidade.

Esta é uma discussão aberta, em que fatos aparentemente contraditórios são apresentados, mas nenhuma conclusão é derivada. Como já escrevemos neste espaço, vivemos em uma era em que centenas de câmeras de vigilância gravam cada passo que damos – na calçada, no metrô, dentro de lojas, hotéis, elevadores, restaurantes – literalmente em todos os lugares.

Há drones circulando no céu, câmeras nos telefones de todas as pessoas e até óculos ‘inteligentes’ capazes de tirar fotos e gravar vídeos. Eis que, no final de 2021, ao sair de casa eu assumo que eu não só posso ser, mas de fato serei fotografado ou filmado por alguém, ou algo.

Estar em público automaticamente traz um grau inevitável de conflito entre meus desejos individuais e os do resto do mundo. Não importa a minha opinião a respeito, o espaço público exige um certo contrato onde permitimos que algumas de nossas preferências de privacidade sejam provisoriamente suspensas.

A tal Privacidade

A privacidade tem um valor fundamental para a sociedade em geral. Almejamos aparecer em público sabendo que nossas fraquezas não estão à vista de todos, nos permitindo assim uma interação social confiante. Quando votamos, o fazemos acreditando que ninguém pode ver nossa decisão para depois buscar vendettas com base no modo como votamos.

Imagem: Pexels.com

A privacidade é, portanto [e naturalmente], importante no contexto social da democracia. Em muitos casos, não queremos saber tudo sobre todos ao nosso redor. Às vezes não queremos saber nada, sobre ninguém. A privacidade pode, assim, também proteger-nos a todos de sermos expostos à toxidade de uma dose desmesurada de informação.

Graças ao anonimato [possibilitado pelas escolhas e posturas pessoais e por certas tecnologias, embora vedado no ordenamento jurídico brasileiro – o que merece um post próprio], também posso me sentir encorajado a falar publicamente contra a corrupção ou a injustiça; ou simplesmente ser mais criativo [e até subversivo] na auto-expressão.

Muitas de nossas proteções legais à confidencialidade podem ser analisadas em contraste com os estados que empregam altos níveis de vigilância, como a China ou a ex-República Democrática Alemã. Aqui, a vigilância realizada pelo Ministerium für Staatssicherheit (Stasi) foi fundamental para reprimir a dissidência aberta e reforçar a uniformidade comportamental prevista por George Orwell.

Arte

Mas como fica a arte [alô meu amigo Pedro Romualdo!]? Como conciliar no âmbito da privacidade formas de arte – falo aqui da fotografia de rua – que dependem da candura e da espontaneidade – e, nesse caso, do implícito não consentimento pelo sujeito sendo fotografado?

É forçoso admitir que há uma diferença vital entre uma estúpida câmera de vigilância e uma imagem deliberada tirada por um fotógrafo: a intenção, por óbvio. Se uma foto tem o objetivo de ridicularizar ou expor um indivíduo específico, isso pode se aproximar perigosamente do território antiético – ou pode ser apenas arte ruim. Reconhecidamente, existem algumas formas nefastas que a fotografia [estática ou ‘movie’] pode assumir, como câmeras secretas em banheiros ou as infames filmagens por debaixo de saias, ambas violações grosseiras e óbvias.

Contudo, me parece imprudente confundir esses casos (felizmente) raros com a prática geral da fotografia de rua. A comparação intempestiva entre essas duas categorias também tem o potencial para criar o notório efeito paralisante [‘the chilling effect‘] sobre a liberdade de expressão artística, condicionando o público a considerar qualquer pessoa com uma câmera um predador assustador.

Existe um cabo de guerra constante entre a liberdade de expressão e as preocupações com a privacidade. Contudo esse não deveria ser um jogo de soma zero, em que um ‘player‘ supera inevitavelmente o outro. Embora fotografar em espaço público seja legal [não há expectativa de privacidade na rua], ninguém nos estados democráticos é sacrificado pela arte [ainda]. Há o recurso à lei. Somos, como sociedade, protegidos contra o fotógrafo fazer o que quiser com a imagem.

Espiar no espaço privado de alguém com equipamento especializado ou um drone é ilegal. Um fotógrafo pode ser processado por difamação se assediar intencionalmente um indivíduo. Sem um documento de consentimento formal nenhuma imagem pode ser usada para fins comerciais, como anunciar um produto. No estado de direito a lei tem o devido zelo na salvaguarda do sujeito, destacando as más intenções que possam expor ou prejudicar o fotografado.

A questão do consentimento na fotografia de rua se torna então, como vemos, complicada porque o sujeito a ser protegido é aparentemente um tanto indefinido – na verdade, muitas vezes talvez nem se trate de uma questão de consentimento de forma alguma, mas de outras figuras legais. O que, no fim, realmente se resume ao valor da arte versus privacidade em nossa sociedade.

Exigir consentimento praticamente elimina a fotografia de rua, e também a maioria dos documentários cinematográficos, como formas artísticas viáveis. Para algumas pessoas, esse seria um preço absolutamente justo a pagar. Para muitos outros seria um mundo muito infeliz de se viver. Por meu turno, reconheço a fotografia de rua e seu lugar importante em nossa cultura, refletindo nossa frágil realidade de volta para nós mesmos.

Escreverei mais sobre a função da fotografia de rua como forma de arte em uma postagem futura, abrindo espaço tanto para suas deficiências conceituais quanto para sua importância, na tentativa de encontrar um terreno comum que seja a ‘fonte da verdade’.


Nota: neste site usamos material fotográfico de repositórios reconhecidos e trabalhamos na suposição de que modelos humanos eventualmente apresentados deram seu consentimento para a publicação.

Sua impressão digital pode ser hackeada por R$ 10

A autenticação por impressão digital é, sem dúvida, uma alternativa conveniente para senhas e códigos PIN. Quem quer gastar tempo digitando uma longa sequência de números, letras e caracteres quando um simples toque é suficiente?

Imagem: pexels.com

Infelizmente, essa conveniência tem um custo. Porque, ao contrário de uma senha normal, sua impressão digital é pública – você deixa sua impressão digital nos corrimãos das escadas, na maçaneta da porta, nas portas dos táxis, telas do Smartphone iPhone, taças de vinho no seu restaurante preferido. e em muitos outros lugares.

Neste artigo, a equipe da empresa Kraken Security Labs demonstra como é fácil para os agentes mal-intencionados contornar esse método de login que está se tornando o favorito dos usuários.

Roubando a impressão digital

Para comprometer seu dispositivo, ou conta, não é preciso nem mesmo o acesso direto à sua impressão digital. Uma foto de uma superfície que você tocou (de uma mesa na biblioteca ao equipamento de sua academia de ginástica) é o suficiente.

Uma foto da impressão digital de uma vítima na tela do computador – Imagem: Kraken Labs

Com esta imagem disponível, uma hora de trabalho no Photoshop rende um negativo bem decente:

Imagem em negativo da foto anterior – Imagem: Kraken Labs

Em seguida, a imagem foi impressa em uma folha de acetato, usando uma impressora a laser – o toner cria na folha uma estrutura 3D da impressão digital.

A folha de acetato com a nossa nova impressão – Imagem: Kraken Labs

Na etapa final, adiciona-se um pouco de cola de madeira por cima da impressão para dar uma textura macia e vívida à impressão digital fake, para que ela possa ser usada em um scanner.

Construindo a impressão digital sintética – Imagem: Kraken Labs

Lançando o Ataque

De posse da impressão digital, tudo o que o agente precisa fazer é colocá-la no scanner.

A impressão digital fake funcionando em um MacBook Pro – Imagem: Kraken Labs

O laboratório foi capaz de reproduzir esse (conhecido) ataque na maioria dos dispositivos que foi disponibilizada para teste. Se este fosse um ataque real, o atacante teria acesso a uma vasta gama de informações confidenciais.

Protegendo-se do Ataque

Segundo Kraken Labs, uma impressão digital não deve ser considerada uma alternativa segura a uma senha forte. Esse método deixa suas informações – e, potencialmente, seus ativos digitais – vulneráveis ​​até mesmo ao menos sofisticado dos invasores.

Deve estar claro agora que, embora sua impressão digital seja exclusivamente sua, ela ainda pode ser explorada com relativa facilidade. Na melhor das hipóteses, você deve considerar usá-lo apenas como um elemento de autenticação de segundo fator (2FA).

Fonte: Kraken Security Labs