Numa carta aberta, 68 especialistas em cibersegurança expressaram dúvidas sobre a eficácia da segurança online com a implementação das normas do Projeto de Lei para a Segurança Online, levantando preocupações acerca da encriptação ponta-a-ponta.
Em março de 2022, ainda durante o mandato de Boris Johnson como primeiro-ministro, o Reino Unido apresentou uma proposta de lei com o intuito de mitigar os efeitos prejudiciais da Internet. Essa proposta exigia que as grandes plataformas digitais reforçassem as proteções contra criminosos cibernéticos que se fazem passar por empresas ou celebridades para roubar dados pessoais, ter acesso a contas bancárias e cometer outras fraudes.
Essas medidas não foram bem recebidas pelas plataformas, começando pelo líder do WhatsApp, que afirmou que se recusaria a cumprir as regras e correria o risco de ver o aplicativo banido no Reino Unido. Pouco tempo depois, outras empresas, incluindo a Meta (anteriormente conhecida como Facebook), juntaram-se à ameaça de deixar o Reino Unido caso as leis fossem adiante. Elas preferem sair do país a comprometer a segurança de seus utilizadores. Até a Apple manifestou publicamente a sua preocupação, pedindo que a proposta fosse alterada para proteger as criptografias, conforme relatado pela BBC.
Um grupo de académicos e especialistas em segurança de Tecnologia da Informação (TI) manifestou agora a sua contestação em relação ao Projeto de Lei para a Segurança Online. Um total de 68 investigadores em cibersegurança assinaram uma carta aberta alertando para os perigos representados pelo esboço da legislação para a segurança online. Eles começam por destacar que, como especialistas em segurança, desenvolvem tecnologias que garantem a segurança das pessoas na Internet. Eles argumentam que a Online Safety Bill ameaça os mecanismos de segurança utilizados pelas aplicações, em particular, a encriptação ponta-a-ponta, que é usada pelo WhatsApp, Signal e Element nas suas conversações.
A questão em debate diz respeito à lei que permite a monitorização online das comunicações pessoais, negócios e da sociedade civil. A carta destaca que essa monitorização está sendo proposta para combater a disseminação de conteúdos de exploração e abuso sexual de crianças, reconhecendo a importância do tema, mas questionando a forma como está sendo implementada.
Com autoridade no assunto, os especialistas salientam, em primeiro lugar, que esse tipo de monitorização é categoricamente incompatível com os protocolos de comunicação online adotados internacionalmente, que garantem a privacidade nas conversas pessoais. Em segundo lugar, eles acreditam que qualquer tentativa de contornar essa contradição está fadada ao fracasso, tanto em termos tecnológicos quanto sociais.
“A tecnologia não é uma solução milagrosa”, destaca a carta. Ela explica que o acesso a mensagens e imagens privadas protegidas pode ser tentado de duas formas: durante a transmissão, quando estão protegidas por criptografia, ou antes/depois da transmissão nos dispositivos dos utilizadores envolvidos.
No que diz respeito à criptografia, não existe uma solução tecnológica que resolva a contradição entre manter a informação confidencial para terceiros e partilhar essa mesma informação com terceiros. Aceder a mensagens e imagens privadas implica que qualquer pessoa com acesso às instalações de monitorização tenha o mesmo acesso. Como exemplo, são mencionados funcionários civis, agentes policiais de diferentes departamentos ou qualquer outro adversário que possa comprometer a infraestrutura de monitorização.
Esse perigo não é apenas teórico ou especulação abstrata, como destacado na carta. É referido um incidente de fugas de informação de alto perfil, relacionado com a segurança nacional, como exemplo do perigo desses acessos. A carta também menciona que a história dos “backdoors” na criptografia é uma história de fracasso.
Quanto à ideia de realizar varreduras no conteúdo dos dispositivos de todas as pessoas antes de serem encriptados durante a transmissão, procurando conteúdos ilegais, é comparada a ter um polícia constantemente no bolso. Nesse sentido, existe um problema tecnológico relacionado com a necessidade de ser assertivo na deteção e revelação dos conteúdos alvo, para não revelar informações que não eram o objetivo da monitorização. A investigação mostra que esse tipo de varredura não é eficaz para atingir o seu objetivo primário, que é detetar conteúdos proibidos. Além disso, esses algoritmos podem ser alterados para objetivos secundários ocultos, como o reconhecimento facial de indivíduos.