O Google introduziu recentemente um
novo design do Gmail. Se desejar, cada usuário poderá mudar para ele e em breve todos os usuários do G Suite serão
forçados a transferir .
Esse design implementa vários novos recursos de segurança, incluindo o chamado
modo confidencial . Aqui, o remetente define o período de validade da carta, após o que "desaparece". Pelo menos isso deve funcionar. De fato,
existem várias maneiras de contornar essa proteção, salvar a mensagem recebida, copiar ou imprimir.
Criando uma carta confidencial do Gmail: a data em que a mensagem desapareceu e o código de ativação do SMS é inserido, que deve ser inserido para obter acesso a elaO Google chama esse sistema de Gerenciamento de Direitos de Informação - um termo que a
Microsoft inventou há mais de uma década para um recurso semelhante no Microsoft Office. Na realidade, esse é um tipo de analógico DRM, apenas para email.
Os especialistas da Electronic Frontier Foundation veem
vários problemas em como o modo de privacidade do Gmail é implementado.
Proteção frívola
Em primeiro lugar, esses são métodos simples de contornar essa "proteção". Obviamente, você pode tirar uma captura de tela da carta recebida. Você pode simplesmente salvá-lo em sua forma original. Embora o Gmail não tenha um botão Salvar ou baixar e-mail, existe um botão no navegador e funciona normalmente em mensagens confidenciais.
Em segundo lugar, a carta não é realmente completamente excluída - ela continua sendo armazenada na pasta Itens Enviados do remetente, ou seja, nos servidores do Google. Mesmo se o remetente e o destinatário clicarem no botão Excluir permanentemente e esvaziarem a lixeira, os e-mails continuarão sendo armazenados nos servidores do Google por
até 60 dias .
Por fim, o Google proíbe a impressão de emails confidenciais a partir da interface da web. Mas essa proteção é implementada usando
@media print regras CSS de
@media print , que ocultam o conteúdo principal durante a impressão. Remover a proibição de impressão é muito fácil. Por exemplo, no navegador Firefox, abra o Editor de estilos no console da web - e exclua as regras desnecessárias. Como alternativa, você pode simplesmente clicar no ícone em forma de olho à esquerda - e desativar todos os estilos CSS na página. Em outros navegadores com ferramentas de desenvolvedor integradas, você também pode encontrar
@media print no código, comentar ou excluí-lo. Mas no Firefox, isso provavelmente é feito da maneira mais fácil.
Em geral, as regras de
@media print são implementadas no padrão para ajudar o usuário a imprimir uma página sem "lixo" desnecessário. Ou seja, o Google usa essa regra para outros fins e a abusa,
dizem os especialistas .
O Google também usou alguns truques para bloquear copiar e colar, mas eles também podem ser contornados.
Primeiro de tudo, esse CSS tem uma propriedade de
user-select que
impede a user-select texto . Ele é desativado no mesmo editor de estilos no Firefox: basta desativar todos os estilos ou escrever sua própria regra, que retorna o comportamento normal (automático) ao selecionar texto.
Em segundo lugar, o Google implementou o JavaScript, que
bloqueia o menu de contexto que permite copiar texto. Essa restrição é removida no Firefox na configuração
about:config , em que a configuração
dom.event.contextmenu.enabled deve ser definida como
false (false significa que o JavaScript não tem a capacidade de bloquear o menu de contexto).
A ilusão de segurança
Pode-se supor que mesmo essa proteção não confiável às letras seja melhor do que nenhuma. Infelizmente, isso não é verdade. Os especialistas em segurança da informação alertaram repetidamente que, nessas condições, os usuários têm a ilusão de segurança. Por isso, eles são mais imprudentes com a transferência de informações confidenciais, contando desnecessariamente com a segurança e a privacidade das cartas do Gmail. Em outras palavras, essa proteção pode até
piorar a proteção real das informações e aumentar o número de vazamentos de documentos confidenciais.
“Se dinheiro, se o mercado determina medidas de segurança e se as pessoas tomam decisões com base em uma sensação de segurança, a coisa mais inteligente que uma empresa pode fazer com base em considerações econômicas é dar às pessoas uma sensação de segurança. E sempre há duas maneiras de conseguir isso. Primeiro, você pode realmente proteger as pessoas e esperar que elas prestem atenção. Ou o segundo - você pode
criar um senso de segurança e esperar que eles não prestem atenção ”, disse Bruce Schneier em sua
palestra no
TED , intitulada“ A Ilusão de Segurança ”.
DRM no correio
Especialistas da Electronic Frontier Foundation (EFF) chamam a atenção para o fato de que a criptografia de ponta a ponta não é usada no modo confidencial, ou seja, a carta ainda passa de forma clara pelos servidores do Google e a empresa tem a capacidade técnica de armazenar cópias de cartas por tempo ilimitado, independentemente estabelecida "data de remoção".
Além disso, para ativar a proteção por SMS, o remetente deve divulgar o número de celular do Google do destinatário, potencialmente sem o consentimento do destinatário.
De acordo com a EFF, o sistema IRM (DRM) implementado no Gmail não depende de tecnologia, mas da
Lei de Direitos Autorais do Milênio Digital (DMCA) de 1998, que proíbe explicitamente terceiros de contornar essa proteção. Na primeira violação, ela pode pegar até cinco anos de prisão e uma multa de até US $ 500 mil. Teoricamente, a desativação da proteção no editor de estilo do console da web do Firefox também pode ser considerada uma violação da DMCA. Mais uma vez, teoricamente, o Google tem o direito de pressionar os desenvolvedores do Firefox para desativar esse recurso no Gmail e começar a processar desenvolvedores de extensões de terceiros que tentarão devolver essa funcionalidade ao Firefox.
"Acreditamos que os produtos para segurança da informação não devem contar com os tribunais para fornecer suas alegadas garantias, mas sim com tecnologias como
a criptografia de ponta a ponta que fornecem garantias matemáticas reais de
confidencialidade ", afirmou o
comunicado da EFF. "Acreditamos que o uso do termo" modo confidencial "para uma função que não garante a confidencialidade, como este termo é entendido no SI, é enganoso."
A EFF acredita que não pode haver confidencialidade em mensagens não criptografadas, isso também se aplica ao "modo confidencial" do Gmail. Talvez essa função faça sentido em um ambiente corporativo restrito, mas para a maioria dos usuários não possui garantias de privacidade e as funções necessárias inerentes às comunicações seguras. Primeiro de tudo, não há
criptografia de ponta a ponta confiável
de email com assinatura digital.
