Geekly articles weekly

Cualquier empresa de Internet debe cambiar en secreto el código del programa a petición de las autoridades.

Cualquier empresa de Internet debe cambiar en secreto el código del programa a petición de las autoridades.


El 6 de diciembre de 2018, el Parlamento australiano adoptó el Proyecto de ley de asistencia y acceso 2018 : enmiendas a la Ley de telecomunicaciones de 1997 sobre las normas para la prestación de servicios de telecomunicaciones.

En términos legales, estas enmiendas "establecen estándares para la asistencia voluntaria y obligatoria de las compañías de telecomunicaciones a las agencias de aplicación de la ley y servicios especiales con respecto a las tecnologías de cifrado después de recibir solicitudes de asistencia técnica".

De hecho, esto es un análogo de la "Ley de Primavera" rusa, que requiere que las compañías de Internet descifren el tráfico a pedido de las agencias de aplicación de la ley. En algunos casos, la ley australiana es aún más severa que la rusa. Algunos expertos están perplejos acerca de cómo tal legislación podría adoptarse en general en un país democrático y lo llaman un "precedente peligroso" .

Sabotaje Legal


El desarrollo de la nueva ley duró más de un año; es extremadamente complejo y voluminoso. Al principio, se declara la "regla de oro", que las agencias de aplicación de la ley no tienen derecho a: no tienen el derecho de exigir a las compañías de TI que introduzcan "vulnerabilidades del sistema" en sus productos. Sin embargo, el texto no define lo que se considera una vulnerabilidad del sistema.

Se argumenta además que las compañías de TI deben ayudar a descifrar los mensajes de los usuarios que están en desarrollo por las agencias de aplicación de la ley. La lista de "asistencia" obligatoria incluye los siguientes elementos:

  • eliminación de una o más formas de protección electrónica;
  • suministro de información técnica;
  • facilitar el acceso a servicios y equipos;
  • instalación de software;
  • cambio de tecnología;
  • ocultación del hecho de que se realiza cualquiera de los anteriores.

El último punto es especialmente notable. No se trata solo de ocultar información de los usuarios para que no bloqueen la instalación de una nueva "actualización de seguridad" en sus dispositivos. Todo es mucho más interesante.

Si observa la definición de "proveedor de comunicación designado" en el párrafo 317C (párrafo 6), incluso un desarrollador individual , si es ciudadano australiano, debe cumplir con los requisitos de aplicación de la ley, implementar una puerta trasera en el programa y debe ocultar esta información a su empleador , de lo contrario se enfrentará a prisión. .

Proveedor de comunicación designado



La pregunta sigue siendo cuánto se aplica la ley a los programadores australianos que trabajan para empresas extranjeras.


Según las enmiendas aprobadas, por ejemplo, la policía tiene el derecho de enviar una "solicitud de asistencia técnica" a la sucursal australiana de Facebook con una solicitud para actualizar Facebook Messenger u otro software para que la policía pueda acceder a los mensajes de la persona en cuestión. Si sigue literalmente la definición del párrafo 317C , estas solicitudes pueden enviarse no solo a las empresas, sino también a desarrolladores individuales y administradores de sistemas de servicios de Internet. De hecho, este es un sabotaje legalizado de sistemas informáticos.

Esta es la diferencia clave entre la ley australiana y leyes similares en otras democracias que requieren que las compañías de TI ayuden a las agencias de aplicación de la ley. Por ejemplo, la vulnerabilidad de una legislación británica similar es que si una empresa no puede descifrar técnicamente los mensajes de los usuarios (por ejemplo, si el cifrado de extremo a extremo se implementa correctamente allí), las autoridades no obtendrán nada de él.

Pero según la ley australiana, las autoridades pueden requerir "actualizaciones de software". Incluso pueden requerir que desactive completamente el cifrado en el programa, si es necesario. Este es un precedente peligroso, dicen los expertos.

Otras posibles opciones de "asistencia" que las empresas de TI deben proporcionar:

  • Modificación de un dispositivo de hardware, como Apple Home o Amazon Alexa, para la grabación continua de audio
  • requisito para un proveedor de servicios de sitios web falso;
  • Requisito para que una empresa transmita datos de geolocalización telefónica más precisos.

“Ahora las empresas también están obligadas, a solicitud de las agencias de aplicación de la ley, a deshabilitar completamente todo el cifrado y ayudar a romper su propio software. Todas las empresas de TI que operan en Australia se rigen por esta ley. Incluyendo varios sitios y servicios de Internet.

Una de las compañías de TI más grandes de Australia es Atlassian, los autores de BitBucket, JIRA, HipChat, Zephyr, Bamboo y otros servicios conocidos. Para ella, las consecuencias de tal decisión por parte de los legisladores pueden ser monstruosas, es probable que la compañía pueda cambiar la jurisdicción bajo la presión de su propio estado.

Tal "legislación", disfrazada de buenas intenciones como la lucha contra el terrorismo, etc., no ayuda a esa lucha. Los terroristas siempre encontrarán una manera de comunicarse, sin importar qué acción tome el estado. La única parte afectada en esta situación serán los usuarios comunes, cuyo nivel de seguridad en el ciberespacio disminuirá significativamente debido a las puertas traseras desplegadas a pedido de las fuerzas de seguridad.

Es imposible crear una puerta tan secreta en el siglo XXI, solo los buenos tendrán una llave. La presencia de vulnerabilidades en el software destinado a ser utilizado por los organismos encargados de hacer cumplir la ley brinda exactamente la misma oportunidad a los atacantes para usarlas. Y en la lucha contra el terrorismo y la pornografía infantil, producen solo cero, si no un escape negativo. - escribe Alexander Litreev, un experto en seguridad informática ruso y autor del popular canal de telegramas Cybersecurity & Co.

La única mitigación que lograron los opositores al proyecto de ley fue que el gobierno australiano prometió usar esta legislación solo en la investigación de delitos graves que implican una pena de prisión de tres años .

Sin embargo, incluso esta restricción incluye una lista muy grande de violaciones, por ejemplo, una llamada de emergencia falsa. Recientemente, se aprobó otra dudosa Ley de Espionaje e Interferencia Extranjera de 2018 en Australia, que penaliza a los funcionarios gubernamentales actuales o anteriores durante hasta cinco años por divulgar "información que podría dañar los intereses nacionales". Los activistas de derechos humanos creen que esta ley está dirigida contra informantes y periodistas.

Cinco ojos


Alguien solía pensar que tales leyes contra los "agentes extranjeros" y los "espías" que requieren el descifrado obligatorio del tráfico solo se pueden aprobar en países donde los derechos humanos no se respetan demasiado. Pero la práctica muestra que las autoridades de Gran Bretaña y Australia también están tratando de establecer un control estricto sobre las comunicaciones electrónicas de los ciudadanos. La situación está empeorando en todas partes, y no solo en Rusia.

Australia es miembro de la alianza Five Eyes junto con Canadá, Estados Unidos, Nueva Zelanda y Reino Unido. Estos países acuerdan compartir inteligencia, y en septiembre de 2018, emitieron una declaración conjunta anunciando que las compañías de TI facilitarán su acceso a esta información: "Si los gobiernos continúan enfrentando barreras para el acceso legítimo a la información necesaria para proteger los ciudadanos de nuestros países ", dice la declaración de los cinco países," podemos tomar medidas tecnológicas, policiales, legislativas u otras para lograr decisiones legítimas de acceso ".

A la luz de lo anterior, es probable que otros países de la alianza adopten dichos proyectos de ley.

Muchos expertos coinciden en que tales leyes hacen más daño que bien y en realidad debilitan la seguridad, en lugar de fortalecerla: “Esta ley tiene serias deficiencias y es probable que debilite la ciberseguridad general en Australia, reduzca la confianza en la electrónica comercio, bajando los estándares de seguridad para el almacenamiento de datos y bajando la protección de los derechos civiles ", dijo Digital Rights Watch en un comunicado .

Lo más probable es que la ley comience a aplicarse no solo contra los terroristas, sino también contra las personas, dice Mark Gregory, especialista en ingeniería de redes y seguridad de Internet en la Universidad RMIT de Melbourne: “Es demasiado apresurado, está redactado de manera amplia y vaga y finalmente se usará incorrectamente . Se puede utilizar no solo en asuntos penales, sino también en derecho corporativo ".

"Hay problemas con la transparencia, la rendición de cuentas, la supervisión y el posible abuso", agrega Monique Mann, investigadora de tecnología, leyes y regulación de la Universidad Tecnológica de Queensland.

Los representantes de la industria de TI dicen que la ley amenaza la exportación de servicios de TI del país, ya que el mundo confiará menos en la confiabilidad de los programas australianos.




Source: https://habr.com/ru/post/es432680/

More articles:


All Articles