Novo diretor do FBI também não gosta de criptografia

christopher-wray

O FBI, a Apple e o Google vêm dançando a valsa da criptografia há um bom tempo: quando ambas empresas anunciaram que protegeriam seus sistemas móveis de xeretas em geral, incluindo aí os profissionais (agradeçam a Edward Snowden) vários governos e agências de segurança não gostaram nem um pouco, jogando com a carta do FUD (Fear, Uncertainty and Doubt ou Medo, Incerteza e Dúvida) em declarações de que a criptografia protegia criminosos. Até o Brasil entrou na dança.

Com o FBI não foi diferente. Desde o início o então diretor James Comey vociferou que a criptografia total era intolerável, que o Bureau tinha direito de ter acesso a tudo que as pessoas conversam ou deixam de conversar e exigia, junto com a NSA que as empresas instalassem portas da frente no iOS e Android, uma espécie de conjunto de chaves-mestras que seriam cedidos aos órgãos de segurança e seriam utilizadas em conjunto com a companhia somente em casos específicos. Obviamente Google e Apple obraram e se locomoveram, e com o tempo mais e mais empresas de tecnologia que mantém softwares de comunicação vêm criptografando seus dados.

O tempo passou, Comey rodou após bater cabeça com o presidente Donald Trump (mas ainda anda por aí) e foi substituído pelo moderado Christopher Wray, que assumiu o órgão no meio de uma tempestade (a investigação sobre o envolvimento da Rússia nas eleições), mas também tem de lidar com a onda de ataques e crimes que podem ser solucionados com um acesso garantido aos Androids, iPhones ou iPads de criminosos ou suspeitos. Sobre isso, Wray deu uma declaração no domingo durante uma conferência em que revelou que apenas metade dos dispositivos que caem nas mãos do FBI foram invadidos, deixando cerca de 6.900 smartphones e tablets (a porcentagem de quantos são dispositivos iOS e quantos são Androids não foi revelada), seja através dos métodos da Cellebrite (que invadiu o iPhone dos terroristas de San Bernardino) ou outros.

E acrescentou:

Resumindo, isso (não conseguir invadir os dispositivos) é um problema gigantesco (…) que vai impactar investigações de todo o tipo — tráfico de drogas, tráfico humano, contraterrorismo, contrainteligência, ações de gangues, crime organizado, exploração infantil.”

Wray aparentemente é um pouco mais moderado do que Comey, não chegou a mencionar a necessidade da criação de portas da frente ou dos fundos nos sistemas móveis mas diz que há um ponto de equilíbrio em que as empresas e o governo devem atingir, e que a proteção total dos dados do usuário não é uma boa coisa apelando também para o FUD, em tese porque criminosos, terroristas e meliantes em geral seriam protegidos por seus dispositivos:

Eu entendo que há um ponto de equilíbrios que precisa ser atingido entre criptografia e a importância que é nos fornecer as ferramentas de que precisamos para manter o público a salvo (…). As ameaças que enfrentamos vêm se acumulando, e são complexas e variadas (sobre células terroristas e extremistas domésticos).”

Eu entendo o ponto de Wray ao argumentar que é dever do FBI zelar pela segurança dos cidadãos dos Estados Unidos, só que fornecer meios para agências vencerem a criptografia do iOS e Android não é uma solução pois invariavelmente a solução será abusada; a melhor alternativa é deixar como está e que o Bureau continue dependendo de ferramentas caras e complexas como a fornecida pela Cellebrite, em que seu uso só é justificado em investigações essenciais e não para casos de ladrões de galinha. E que os federais que se virem para criar novas formas de acessar os dados, tão cascudas e caras que seu uso constante seja inviável.

Fonte: AP News.

Relacionados: , , , , , , , , , , ,

Autor: Ronaldo Gogoni

Um cara normal até segunda ordem. Além do MeioBit dou meus pitacos eventuais como podcaster do #Scicast, no Portal Deviante.

Compartilhar
  • Lui Spin

    Daqui a pouco chega a turma: “Hu dur, quem não deve não teme.”

    Mas se esquecem que essas portas podem ser acessadas por hackers maldosos.

    Sem falar, que o ser humano é falho. Mesmo os agentes da lei. Imagina que um agente do FBI pensa que está sendo corneado, aí começa a investigar o Android/iPhone da namorada ou algo do tipo.

    Enfim, a criptografia veio para ficar, e que as autoridades se virem para conseguir investigar os meliantes e possíveis meliantes.

    O máximo que as empresas devem fornecer, após uma quebra de sigilo autorizado pela justiça, são os metadados.

    • Rodrigo Dias Javornik

      Toda vez que escuto “quem não deve, não teme” faço um desafio ao cidadão. Peço que ele me de acesso ao histórico de navegação e ao smartphone dele. A resposta é sempre um lindo e sonoro NÃO.

      • Lui Spin

        Exatamente.

        Eu sempre pergunto a essas pessoas, qual o limite do “não deve não teme”, e até onde o governo pode chegar.

        Tipo, se instalarem uma câmera com acesso a áudio na sua sala, e nos quartos (com visão noturna), tudo bem também? Afinal quem não deve, não teme, e só funcionários do governo altamente gabaritados vão ter acesso a essas informações.

      • SomeReader

        Eu passo meu histórico. Quase não uso o celular para navegar, 😛
        Só vai achar perguntas pro google de assuntos aleatórios.

      • Felipe Braz

        Historico de navegação é tranquilo, navegação anonima dos browsers servem pra teu histórico te fazer parecer um puritano =P

    • até a entrega de metadados acho questionável, mas não necessariamente negarlas.

      enfim, eles tem que correr atrás e se virar com big data, análise psicológica e o que puderem…

    • Gato Rabugento

      Fora que Ramsowares que estao rolando soltos por ai nasceram de ferramentas vazadas dos orgaos de “seguranca”

      • Lui Spin

        Então…

  • Macedo

    “invariavelmente a solução será abusada” isso depende da implementação, se houver um alinhamento que a chave fica apenas na mão da empresa e apenas tribunal ou juiz no nível x (alto) pode dar a ordem, é possível uma implementação segura e com potencial restrito de ser explorada indevidamente

    • Lui Spin

      Cara se criam backdoor, facilita pros hackers.

      Os hackers não se alinham com a justiça, agem por conta própria.

      • Macedo

        por isso não seria backdoor =)
        nada impede uma implementação oficial protegida com a chave apenas em posse da empresa criadora (teria a mesma segurança da criptografia)

        • E. Bicalho

          https://uploads.disquscdn.com/images/40e5003bb9f44c05cdab7b3030f531e6ad96b1135bcf4698a0185896ddc9eeab.png

          Não, não teria a mesma segurança da criptografia [atualmente implementada].
          Parte da segurança está no fato das chaves privadas não serem conhecidas. Elas são geradas para uso do sistema/usuário, mas não são conhecidas pelas empresas. Se fossem, como você está sugerindo, bastaria uma ordem judicial para serem usadas. A cada atentato. A cada suspeito de estupro. A cada abuso policial.

          Agora você deve estar pensando que cada um dos casos que citei são exemplos adequados para o uso da backdoor ou, nas suas palavras, da “implementação oficial”, mas lembrando: “A solução será abusada”. Posso passar o dia citando exemplos, mas vamos nós restringir a quando não houver evidências cabais: Utilizaram o acesso irrestrito para criar ou subverter os fatos a realidade desejada.
          “Alguém precisa ir para a cadeia”, já dizia os clássicos filmes de ação.

          • Lui Spin

            Exatamente.

            Se cria uma brecha que não seja ponta a ponta, como é hoje, já ferra a porra toda.

            Não sei explicar tecnicamente, mas é bem isso que vc falou.

            E no começo pode começar timidamente, mas logo vão abusar até para quem passar um trote, um suspeito mínimo que seja, etc.

          • E. Bicalho

            Exatamente. Isso considerando apenas os casos no “mundo livre”, ignorando quando as falsas Repúblicas Popular/Democráticas exigirem informações que vão contra a ideologia nacional. ~calafrio

          • Macedo

            hm, viu a minha primeira resposta? pois a sua assume vários pontos que descartei nas premissas que coloquei

            o cenário atual não suporte o que descrevi, por isso que coloquei “depende da implementação”, é simples mudar a implementação atual para o SO duplicar o conteúdo antes da criptografia, e mesmo essa duplicação seria criptografada, mas neste caso, com a chave da empresa, então o conteúdo ainda seria usado sem risco pois não haveria transmissão sem criptografia

            ordem judicial de um supremo, ou algo do gênero, não são dadas para qualquer caso, e prestação de contas de todos dados consultados (mesmo que se mantenha um período até a informação ser aberta) inibe o abuso (embora, claro, não o extingua)

            e porque as empresas não fazem? porque não há vontade para isso, não há ganho real para elas e os governos não garantem uma contrapartida que impeça o abuso

        • ElGloriosoRangerRojo™

          E qual criptografia você sugere pra garantir que essa chave só seja usada por quem deve usá-la? Vai sugerir uma criptografia igual à criptografia aplicada ao “backdoor” do governo?

          • Macedo

            exatamente a mesma que é usada hoje para proteger de ponto a ponto, já conversei em outros comentários em outro post como seria uma possível implantação disso, mas basicamente operaria no ponto de origem mandando toda informação sempre para dois destinatários, igualmente criptografado como é hoje, um sendo o destinatário desejado e o outro sendo a empresa (ou dono da chave mestra), ou eventuais variações deste modelo, que mantem a segurança contra interceptação mas ainda permitem a monitoração pelo dono da solução

            há de se questionar a moral deste tipo de acesso, mas quanto a segurança técnica não há problema definitivamente.

          • E. Bicalho

            Como o @lui_spin:disqus falou… Vai começar com atos terroristas e logo se aplicará a crimes menores e tudo em nome da segurança nacional.

          • O problema do FBI ter uma chave, ou a empresa ter a chave, e que essa chave pode e vai vazar uma hora, vide a NSA que foi hackeada, Microsoft e Yahoo também já foram hackeadas, etc, e perdeu vários exploits, esses ataques de ransomware que está acontecendo e tudo culpa desses exploits vazados…

          • Lui Spin

            Exatamente. É incrível como as pessoas não conseguem enxergar isso.

            E outra, empresas são comandadas por pessoas, com interesses particulares.

            Se um funcionário, um único funcionário de uma grande corporação vende essa tal chave super segura para algum grupo, seja um governo estrangeiro, um grupo de hackers, sei lá quem, já era. Fodeu tudo.

          • E. Bicalho

            Eu não estou sugerindo que o FBI deve ficar com a chave… Pelo contrário, como defini em meu primeiro comentário: Parte da segurança está no fato das chaves privadas não serem conhecidas.

            Ninguém deve ficar com ela. Mantenha como está. 😉

          • Macedo

            não duvido, mas lembre que isso sempre existiu na época das linhas fixas e não foi essa festa que todo mundo diz que vai acontecer se fizerem a mesma coisa para os meios digitais… houveram abusos? sim. foi regra? não, era liberado para qualquer coisa? não. era liberado pra um ou outro amigo de juiz? sim, mas novamente, era exceção, e mesmo isso pode ser corrigido via implementação.
            veja, não afirmei em nenhum momento que algum governo no mundo faria a devida implementação para proteger os cidadãos, estou afirmando que com a devida implementação funciona, mas do mesmo modo que para a empresa não é interesse expor clientes, pro governo não é interesse proteger o cidadão deles mesmos

        • ochateador

          Área de informática é binária.
          Ou tem acesso ou não tem, e isso não fica restrito aos “mocinhos” pois os “malvados” vão descobrir esse acesso e abusar e ainda irão esfregar isso na sua cara.

          • Macedo

            não, pois não é um acesso que por onde alguém possa “fazer um acesso”, o receptor da informação é definido e fixo, seria tão seguro quanto o receptor final da mensagem criptografada hoje.

          • ochateador

            Na teoria é bonito, mas na prática…. não será nem um pouco bonito.

          • Lui Spin

            Exatamente.

    • ffcalan

      Parabéns, você só passou o ponto de falha do Governo para a Empresa. A moral da criptografia é a impossibilidade de um agente externo ter acesso ao conteúdo, sem esse segurança a criptografia não tem sentido.

      E além do mais, a Engenharia Social está aí para mostrar que nem o criptografia mais forte pode garantir 100% da segurança de um dado, pois sempre, o elo mais fraco em um sistema é o usuário. E você quer deixar na mão deles e eficacia do seu cenário?

      • Macedo

        “com potencial restrito de ser explorada indevidamente”

        • ffcalan

          “A MORAL DA CRIPTOGRAFIA É A IMPOSSIBILIDADE DE UM AGENTE
          EXTERNO TER ACESSO AO CONTEÚDO, SEM ESSE SEGURANÇA A CRIPTOGRAFIA NÃO TEM
          SENTIDO.” Criar um ponto de falha, mesmo que “com potencial restrito de ser explorada indevidamente” é uma ideia, me desculpe, idiota.

          • Macedo

            Excetuando que não é um ponto de falha (pois seria tão vulnerável quanto a criptografia atual), achar a ideia idiota é um direito seu, com a devida implementação, discordo

  • Eu amo as pessoas ficando de cabelo em pé quando falam de criptografia, enquanto todo mundo no país, do mais ralé ao presidente e os ministros, todos se conversam com linhas comuns.

    • Lui Spin

      O problema é criar um sistema para coletar tudo, de todos, estilo big data.

      Pensa onde isso pode chegar. Só pensa.

      • Facebook, próxima pergunta.

        • Lui Spin

          E é por isso que eu não uso o facebook para tratar de assuntos particulares com familiares, clientes, funcionários e fornecedores.

        • Lui Spin

          E a pergunta que eu já fiz. Qual é o limite?

          Se o governo quiser colocar uma câmera com captação de áudio na sua rua, tudo bem?

          E depois disso, se quiserem colocar câmeras no seu quintal para prevenir crime? E na sua sala, no seu quarto? Afinal, “quem não deve não teme”.

          Estou exagerando, sim, só para saber dessas pessoas qual é o limite que o governo pode interferir e xeretar nossas vidas.

          • Pra que por câmera e monitoramento se todo mundo de bom grado vem na internet e fala o que pensa em aberto?
            George Orwell deve tá fazendo um facepalm absurdo no além.

      • Filipe Pereira Andrade

        CTOS2.0 do Watch Dogs 2

  • José Carvalho

    Já fui a favor do “quem não deve, não teme” e do “encripta tutô!!!”. Toda vez que vejo os argumentos de agencias de inteligencia contra a criptografia e empresas que advogam a favor de proteger os utilizadores, noto que tudo gira em torno da incompetência do Estado em prevenir o crime e prover o bem estar.
    A sociedade aceita discutir sobre como neutralizar o terrorista, mas não em como impedir o terrorismo, Assim como é muito comum dizerem que o combate as gangues e ao tráfico será otimizado com a abertura de portas e o fim da privacidade.
    Não será. Até recentemente, pouquíssimas eram os grupos criminosos com acesso a recursos de encriptação nas suas comunicações e nem por isso o crime deixou de existir ou foi recentemente intensificado.
    As tecnologias tem potencial para melhorarem MUITO o trabalho das forças de segurança, e é nisso que elas deveriam estar focadas, e continuando em um mundo ideal imaginário, governos e sociedade deveriam estar focados em melhorar a qualidade de vida das pessoas e prevenir os males sociais que levam as pessoas ao crime.
    Mais fácil vigiar, controlar e usar o crime, medo, ódio a favor dos benefícios políticos…

  • Bruno Costa

    Who watches the watchmen?

  • Isildur Bagual

    Sou louco de acreditar que os caras não possuem várias opções de acesso a dados criptografados ou não. Eles lançam essa notícias para nos iludir que há criptografia nesses serviços e que podemos ficar tranquilos com nossos dados… kkkkkk

    Os caras já possuem até técnica para identificar individuos sob a rede Tor que era considera a galinha dos ovos de ouro do anonimato na rede…

    Conta outra.

    • Filipe Pereira Andrade

      Né não…

Aproveite nossos cupons de desconto:

Cupom de desconto Locaweb, Cupom de desconto HP, Cupom de desconto Descomplica, Cupom de desconto Nuuvem, Cupom de desconto CVC, Cupom de desconto Asus, Cupom de desconto World Tennis