Notícias sobre privacidade

Os serviços secretos holandeses opõem-se ao controlo das conversações na Hungria!

Pela enésima vez, o Conselho da UE não consegue chegar a acordo sobre o controlo dos chats - uma grande vitória para a privacidade.

Hungary can't let go: Why this attempt to vote for Chat Control must fail as well.

Mais um mês, mais uma tentativa: Apesar de a Hungria ter sido obrigada a cancelar a última votação do Conselho da UE sobre o regulamento relativo aos abusos sexuais de crianças em junho de 2024, por não haver maioria entre os Estados-Membros, tentou novamente esta quarta-feira - sem sucesso. O ponto de viragem foi o facto de os serviços secretos neerlandeses terem emitido claramente a sua opinião sobre a enorme ameaça à segurança de todos se a encriptação de ponta a ponta for enfraquecida. A encriptação é fundamental para a resiliência digital na Europa.

Porque é que o “Chat Control” ameaça a encriptação

No centro do Regulamento CSA está a implementação da “moderação de carregamentos”, ou controlo do lado do cliente. A moderação do carregamento é, de facto, apenas um eufemismo utilizado pelos políticos da UE para travar a constante resistência pública contra esta perigosa lei. A verificação do lado do cliente - se exigida por lei - pediria às empresas de tecnologia que verificassem as comunicações em busca de conteúdos ilegais no cliente antes de a encriptação ter lugar e que enviassem os conteúdos suspeitos às autoridades. A Presidência húngara afirma que isto pode coexistir com a encriptação de ponta a ponta, mas isso é fundamentalmente falso.

A encriptação de ponta a ponta garante que apenas o remetente e o destinatário podem ler uma mensagem. No entanto, com o scanning do lado do cliente, as mensagens são lidas antes de serem encriptadas, anulando o objetivo da própria encriptação. Isto obriga efetivamente a um enfraquecimento da cifragem, o que seria extremamente perigoso para a nossa resiliência digital na Europa. Atualmente, não existem soluções técnicas que possam preservar a segurança da cifragem de extremo a extremo e, ao mesmo tempo, satisfazer as exigências da proposta da CSA em matéria de deteção de conteúdos.

Porque é que isto é mais importante do que nunca

A atual proposta da CSA introduz, assim, novos e alarmantes riscos para a segurança e a privacidade digitais. Ao obrigar à análise de mensagens encriptadas, a proposta abre os utilizadores a uma série de novas vulnerabilidades.

  • Os atacantes maliciosos roubam os dados antes de serem encriptados: A verificação do lado do cliente cria oportunidades para os piratas informáticos explorarem vulnerabilidades no sistema e obterem acesso a dados privados e sensíveis antes de estes serem encriptados.
  • Ataques de negação de serviço distribuído (DDoS): Quanto mais complexos os sistemas se tornam, mais pontos de falha existem. Ao implementar o controlo do lado do cliente, os fornecedores de serviços podem tornar-se vulneráveis a ataques DDoS, interrompendo a disponibilidade.
  • Manipulação do sistema CSAM: Os sistemas utilizados para detetar conteúdos ilegais podem ser manipulados, conduzindo a falsas acusações ou à exploração criminosa de mecanismos de deteção deficientes.
  • Engenharia inversa: O software de análise pode ser objeto de engenharia inversa por hackers ou agentes estatais para contornar as protecções de segurança, expondo potencialmente sistemas inteiros a um acesso não autorizado.
  • Exploração por estados-nação: Já vimos como actores sofisticados, como os hackers estatais chineses, por exemplo, ao atacarem a Microsoft, exploram backdoors em sistemas concebidos para vigilância legal. O enfraquecimento da cifragem ou a introdução de mecanismos de varrimento proporcionará aos agentes maliciosos novas oportunidades de comprometer a segurança nacional.

Estes riscos aumentam se o controlo do lado do cliente se tornar um requisito legal para os serviços de correio eletrónico e de conversação. De facto, a proposta de regulamento CSA da UE diminui a segurança de todos em linha, em vez de a aumentar.

A China pirateou a AT&T através de escutas telefónicas legais

Um ciberataque recente ligado a agentes estatais chineses expôs vulnerabilidades nas redes de banda larga dos EUA, em especial as utilizadas para escutas telefónicas legais, como noticiou o Wall Street Journal. Neste ataque, os atacantes chineses tiveram acesso às infra-estruturas de rede da Verizon Communications, AT&T e Lumen Technologies durante meses. Os atacantes abusaram dos mesmos pontos de acesso que foram utilizados por estas empresas para cooperar com os pedidos legais das autoridades americanas.

Se os sistemas destinados a garantir a segurança pública podem ser violados, como aconteceu neste caso, a introdução de fragilidades semelhantes na encriptação dos cidadãos da UE seria desastrosa.

Este ataque exemplifica a necessidade de mantermos os nossos sistemas tão seguros quanto possível para nos mantermos resistentes, o que é sublinhado pelos serviços secretos neerlandeses.

De acordo com o Wall Street Journal, altos funcionários norte-americanos são da mesma opinião, avisando que a China representa um risco significativo para a economia e para a segurança da nação - um risco que não deve ser aumentado através do enfraquecimento da encriptação nos nossos próprios sistemas - independentemente do objetivo. Brandon Wales, ex-diretor executivo da Cybersecurity and Infrastructure Security Agency e atualmente vice-presidente da SentinelOne, afirma ao Wall Street Journal:

“Vai levar tempo a perceber a gravidade da situação, mas, entretanto, é a mais significativa de uma longa série de alertas que mostram como a RPC (República Popular da China) intensificou o seu jogo cibernético. Se as empresas e os governos não estavam a levar isto a sério antes, agora têm mesmo de o fazer”.

Simplesmente não devemos permitir que as autoridades tenham acesso a backdoors nas comunicações encriptadas. Uma backdoor é uma backdoor e não pode ser protegida de atacantes estatais. A encriptação deve ser forte.

Oposição holandesa como ponto de viragem

Dutch intelligence service opposes client-side scanning Os serviços secretos neerlandeses opõem-se ao scanning do lado do cliente.

Este facto é sublinhado pelo adiamento da votação da semana passada sobre o regulamento CSA, que foi cancelado em cima da hora devido à oposição dos Países Baixos, um Estado-Membro da UE que, à semelhança da Alemanha, está agora firmemente posicionado contra a exploração do lado do cliente.

Os Países Baixos declararam muito claramente (fonte neerlandesa):

“A introdução de uma aplicação de scanning em todos os telemóveis, com uma infraestrutura associada de sistemas de gestão, criaria um sistema extremamente grande e complexo. Este sistema complexo tem assim acesso a uma grande quantidade de dispositivos móveis e aos dados pessoais neles contidos. Em última análise, isto resulta numa situação em que a AIVD considera que os riscos para a resiliência digital são demasiado grandes”.

O comentário acima não foi feito por ninguém, mas pelo influente serviço de informações holandês. Em suma, disseram: “A aplicação de ordens de deteção a fornecedores de comunicações encriptadas de ponta a ponta implica um risco de segurança demasiado grande para a nossa resiliência digital”.

A Hungria tem de ser travada

Os perigos de comprometer a encriptação são claros. No entanto - e apesar de o Tribunal Europeu ter declarado ilegal a deteção do lado do cliente proposta no Chat Control - a Hungria continua a insistir nesta solução profundamente defeituosa, ignorando o crescente conjunto de provas que evidenciam os seus riscos. É alarmante que, enquanto as críticas ao Chat Control continuam, a oposição ao Chat Control tenha enfraquecido. Os principais Estados-Membros, como a Holanda, a Alemanha, a Polónia e outros, manifestaram uma forte resistência, mas a Hungria continua a reunir apoios.

Os países a favor da proposta, como a Espanha, a Grécia e a Irlanda, podem estar a subestimar as consequências a longo prazo do enfraquecimento da encriptação.

Eis a repartição atual das posições dos Estados-Membros:

  • Contra: Polónia, Alemanha, Países Baixos, Luxemburgo, Áustria, Estónia e Eslovénia.

  • Cautelosos: a República Checa, a Itália, a Suécia e a Finlândia expressaram a necessidade de mais aperfeiçoamentos técnicos.

  • A favor: Espanha, Grécia, Irlanda, Dinamarca, Croácia, Chipre, Malta, Lituânia, Letónia e Roménia.

É necessária mais oposição

A diminuição da oposição ao controlo dos chats é preocupante. Mas embora o apoio à proposta da CSA possa estar a aumentar, as razões para se opor a ela nunca foram tão claras. Enfraquecer a encriptação para atingir um objetivo a curto prazo resultará em riscos de segurança a longo prazo para todos os europeus. A integridade das nossas comunicações, a segurança dos nossos dados pessoais e a privacidade de milhões de pessoas estão em causa.

A UE tem de reconhecer que existem melhores formas de combater os danos em linha sem comprometer a encriptação. As forças da ordem podem e devem utilizar métodos alternativos e mais seguros para combater o material pedopornográfico (CSAM), em vez de sobrecarregarem as empresas de tecnologia para que enfraqueçam a segurança dos seus serviços.

A luta por uma encriptação forte continua

A encriptação é a espinha dorsal da segurança digital. Protege os indivíduos da exploração criminosa, assegura a privacidade das comunicações pessoais e salvaguarda a segurança nacional. Quando a encriptação é enfraquecida, torna-se vulnerável à exploração por qualquer pessoa com os recursos necessários para encontrar e explorar as suas falhas - quer se trate de cibercriminosos ou de governos estrangeiros hostis.

A proposta da Hungria para o controlo do Chat deve falhar. O que está em jogo é simplesmente demasiado elevado para permitir que esta proposta passe sem controlo.

Os cidadãos europeus merecem uma encriptação forte e sem compromissos para proteger a sua privacidade, segurança e proteção. E nós, na Tuta, continuaremos a lutar pelo seu direito à encriptação!

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.