Qualquer empresa de Internet deve alterar secretamente o código do programa, a pedido das autoridades
Em 6 de dezembro de 2018, o Parlamento Australiano adotou a
Lei de Assistência e Acesso 2018 - emendas à Lei de Telecomunicações de 1997 sobre as regras para a prestação de serviços de telecomunicações.
Em termos legais, essas emendas "estabelecem padrões para a assistência voluntária e obrigatória das empresas de telecomunicações às agências policiais e serviços especiais em relação às tecnologias de criptografia após o recebimento de pedidos de assistência técnica".
De fato, este é um análogo da "Lei da Primavera" russa, que exige que as empresas de Internet descriptografem o tráfego a pedido das agências policiais. Em alguns casos, a lei australiana é ainda mais severa que a russa. Alguns especialistas estão perplexos com o modo como essa legislação geralmente pode ser adotada em um país democrático e a
chamam de "precedente perigoso" .
Sabotagem Legal
O desenvolvimento da nova lei durou mais de um ano, é extremamente complexo e volumoso. No início, é declarada a “regra de ouro”, à qual as agências policiais não têm direito: elas não têm o direito de exigir que as empresas de TI introduzam “vulnerabilidades do sistema” em seus produtos. No entanto, o texto não define o que é considerado uma vulnerabilidade do sistema.
Argumenta-se ainda que as empresas de TI precisam ajudar a decifrar as mensagens dos usuários em desenvolvimento pelas agências policiais. A lista de "assistência" obrigatória inclui os seguintes itens:
- remoção de uma ou mais formas de proteção eletrônica;
- Fornecimento de informações técnicas;
- facilitar o acesso a serviços e equipamentos;
- instalação de software;
- mudança de tecnologia;
- ocultação do fato de que qualquer uma das opções acima é feita.
O último ponto é especialmente digno de nota. Não se trata apenas de ocultar informações dos usuários, para que eles não bloqueiem a instalação de uma “atualização de segurança” nova em seus dispositivos. Tudo é muito mais interessante.
Se você observar a definição de "provedor de comunicação designado" no parágrafo 317C (parágrafo 6),
mesmo um desenvolvedor individual , se for um cidadão australiano, deve cumprir os requisitos da lei, implementar uma porta dos fundos do programa e
ocultar essas informações do empregador , caso contrário ele poderá ser preso. .
Fornecedor de comunicação designado Resta a questão de quanto a lei se aplica aos programadores australianos que trabalham para empresas estrangeiras.
De acordo com as emendas adotadas, por exemplo, a polícia tem o direito de enviar uma “solicitação de assistência técnica” ao ramo australiano do Facebook com uma solicitação para atualizar o Facebook Messenger ou outro software para que a polícia possa acessar as mensagens da pessoa em questão.
Se você literalmente seguir a definição do parágrafo 317C , essas solicitações poderão ser enviadas não apenas às empresas, mas também a desenvolvedores individuais e administradores de sistemas de serviços da Internet. De fato, isso é sabotagem legalizada de sistemas de computador.
Essa é a principal diferença entre a lei australiana e leis similares em outras democracias que exigem que as empresas de TI ajudem as agências policiais. Por exemplo, a vulnerabilidade de
legislação britânica semelhante é que, se uma empresa é tecnicamente incapaz de descriptografar mensagens do usuário (por exemplo, se a criptografia de ponta a ponta for corretamente implementada lá), as autoridades não obterão nada disso.
Mas, de acordo com a lei australiana, as autoridades podem exigir "atualizações de software". Eles podem até exigir que você desabilite completamente a criptografia no programa, se necessário. Este é um precedente perigoso, dizem os especialistas.
Outras opções de "assistência" possíveis que as empresas de TI precisam fornecer:
- Modificando um dispositivo de hardware, como Apple Home ou Amazon Alexa, para gravação contínua de áudio
- requisito para um provedor de serviços de sites falsos;
- Requisito para uma empresa transmitir dados de geolocalização por telefone mais precisos.
“Agora, as empresas também são obrigadas, a pedido dos órgãos policiais, a desativar completamente toda a criptografia e a ajudar a quebrar seu próprio software. Todas as empresas de TI que operam na Austrália se enquadram nesta lei. Incluindo vários sites e serviços de Internet.
Uma das maiores empresas de TI da Austrália é a Atlassian - os autores de BitBucket, JIRA, HipChat, Zephyr, Bamboo e outros serviços conhecidos. Para ela, as consequências de tal decisão pelos legisladores podem ser monstruosas, é provável que a empresa possa mudar de jurisdição sob tanta pressão de seu próprio estado.
Essa "legislação", disfarçada de boas intenções, como a luta contra o terrorismo etc., não ajuda em tal luta. Os terroristas sempre encontrarão uma maneira de se comunicar, não importa que ação o estado tome. A única parte afetada nessa situação serão usuários comuns, cujo nível de segurança no ciberespaço diminuirá significativamente devido a backdoors implantados a pedido das forças de segurança.
É impossível criar uma porta tão secreta no século 21, apenas os mocinhos terão a chave para isso. A presença de vulnerabilidades no software destinado ao uso pelas agências policiais oferece exatamente a mesma oportunidade para os invasores usá-las. E na luta contra o terrorismo e a pornografia infantil, eles produzem apenas zero, se não um escape negativo. - escreve Alexander Litreev, especialista russo em segurança de TI e autor do popular canal de telegrama Cybersecurity & Co.
A única mitigação alcançada pelos opositores ao projeto de lei foi que o governo australiano prometeu usar essa legislação apenas na investigação de crimes graves que envolvam prisão
de três anos .
No entanto, mesmo essa restrição inclui uma lista muito grande de violações, por exemplo, uma chamada de emergência falsa. Recentemente, foi aprovada na Austrália outra duvidosa
Lei de Espionagem e Interferência Estrangeira 2018 , que criminaliza funcionários atuais ou antigos do governo por até cinco anos por divulgar “informações que possam prejudicar interesses nacionais”. Ativistas de direitos humanos acreditam que esta lei é dirigida contra informantes e jornalistas.
Cinco olhos
Alguém costumava pensar que tais leis contra "agentes estrangeiros" e "espiões" que exigem descriptografia obrigatória de tráfego só podem ser aprovadas em países onde os direitos humanos não são respeitados demais. Mas a prática mostra que as autoridades da Grã-Bretanha e da Austrália também estão tentando estabelecer um controle rígido sobre as comunicações eletrônicas dos cidadãos. A situação está piorando em todos os lugares, e não apenas na Rússia.
A Austrália é membro da aliança
Five Eyes, juntamente com o Canadá, os Estados Unidos, a Nova Zelândia e o Reino Unido. Esses países concordam em compartilhar informações e, em setembro de 2018, emitiram uma declaração conjunta anunciando que as empresas de TI facilitarão o acesso a essas informações: “Se os governos continuarem a enfrentar barreiras ao acesso legítimo às informações necessárias para proteger os cidadãos de nossos países ”, afirma a
declaração dos cinco países,“ podemos tomar medidas tecnológicas, policiais, legislativas ou outras para alcançar decisões de acesso legítimas ”.
À luz do exposto, é provável que outros países da aliança adotem essas leis.
Muitos especialistas concordam que tais leis fazem mais mal do que bem e, de fato, enfraquecem a segurança, em vez de fortalecê-la: “Esta lei tem sérias deficiências e provavelmente enfraquece a cibersegurança geral na Austrália, reduz a confiança na segurança eletrônica. comércio, reduzindo os padrões de segurança para armazenamento de dados e diminuindo a proteção dos direitos civis ”, afirmou a Digital Rights Watch em
comunicado .
Provavelmente, a lei começará a ser aplicada não apenas contra terroristas, mas também contra indivíduos, diz Mark Gregory, especialista em engenharia de redes e segurança na Internet da RMIT University de Melbourne: . Pode ser usado não apenas em questões criminais, mas também em direito societário. ”
"Há problemas com transparência, responsabilidade, supervisão e abuso potencial", acrescenta Monique Mann, pesquisadora de tecnologia, direito e regulamentação da Universidade de Tecnologia de Queensland.
Representantes do setor de TI dizem que a lei ameaça a exportação de serviços de TI do país, pois o mundo confiará menos na confiabilidade dos programas australianos.
