11 Agosto 2021

Artigo: Rastreabilidade e cibersegurança

O texto original (em inglês, espanhol e francês) pode ser lido no site da Internet Society, a tradução foi realizada por Laila Lorenzon e revisada por Luã Cruz e Raquel Saraiva.

Rastreabilidade e cibersegurança

A rastreabilidade, ou a capacidade de rastrear a origem de um determinado conteúdo ou mensagem, está no centro do debate indiano sobre as regras para plataformas online e provedores de comunicação. No final de 2018, o Ministério de Eletrônicos e Tecnologia da Informação (MeiTy) da Índia propôs emendas às Normas de Tecnologia da Informação (Diretrizes para Intermediários) constantes na Lei de Tecnologia da Informação [1]. Entre as modificações propostas está a exigência de rastreabilidade, descrita como "permitir o rastreamento de referida fonte de informação [2] em sua plataforma". A modificação transferiria a responsabilidade pelo conteúdo publicado por usuários para o provedor de acesso ou plataforma da Internet, caso a rastreabilidade não seja disponibilizada. No início de 2019, o MeiTy ​​convidou o público a comentar sobre a proposta de emenda [3] e, além disso, cerca de 30 especialistas em cibersegurança e criptografia enviaram uma carta aberta ao MeiTy, expressando preocupação sobre as emendas propostas no início de 2020 [4]. A rastreabilidade também está sendo discutida em um caso atual da Suprema Corte de Madras envolvendo várias plataformas importantes e o governo em relação ao acesso das forças de segurança à conteúdos gerados pelos usuários. [5]

No centro do debate em curso estão as questões sobre:

  • a viabilidade de rastreabilidade em comunicações criptografadas de ponta a ponta [6]
  • quais métodos estão disponíveis para permitir a rastreabilidade, e
  • quais são as ramificações de cada um.

Duas técnicas têm sido propostas como métodos para alcançar a rastreabilidade em comunicações ponta a ponta em aplicativos de mensagens (por exemplo, WhatsApp): o uso de assinaturas digitais e o uso de metadados. No entanto, para atender aos requisitos de rastreabilidade, as plataformas podem ser forçadas a permitir o acesso ao conteúdo das comunicações de seus usuários, quebrando a criptografia de ponta a ponta e enfraquecendo significativamente a segurança e privacidade de seu produto, a fim de permitir a rastreabilidade.

Em uma série de discussões sob a regra da Chatham House, que a Internet Society conduziu em colaboração com a Medianama, um grupo internacional de especialistas em cibersegurança e políticas digitais examinou a questão da rastreabilidade de mensagens no contexto indiano. Os especialistas manifestaram grande preocupação com os dois métodos técnicos frequentemente propostos para permitir a rastreabilidade: o uso de assinaturas digitais e o uso de metadados. Eles não foram apenas citados como ameaças à privacidade e segurança dos usuários, mas também foi questionada sua capacidade de atribuir uma mensagem ao seu originador de forma confiável. Permitir o acesso de terceiros ao conteúdo das comunicações do usuário para permitir a rastreabilidade levanta questões adicionais de segurança e privacidade.

Assinaturas digitais

Alguns recomendaram que a assinatura digital do remetente [7] fosse incorporada às mensagens, a fim de identificar o originador da mensagem. À exemplo do caso da Suprema Corte de Madras, o Dr. V. Kamakoti propôs o uso de assinaturas digitais para rastrear a origem de uma mensagem encaminhada no WhatsApp [8]. Na proposta de Kamakoti, a assinatura do originador seria visível para todos na cadeia de mensagens ou seria criptografada usando uma chave pública fornecida pelo WhatsApp. Usando a chave privada correspondente, o WhatsApp pode descriptografar as informações do originador se houver uma ordem judicial.

No entanto, muitos levantam preocupações sobre o uso de assinaturas digitais para permitir a rastreabilidade, incluindo especialistas que participam das discussões da Internet Society:

  • A atribuição digital não é absoluta e é vulnerável ao roubo de identidade: para que ocorra responsabilidade criminal, a culpa deve ser provada sem deixar margem para dúvidas razoáveis; um requisito difícil de satisfazer, especialmente devido à facilidade e extensão da falsificação na Internet. É muito difícil provar que a pessoa A, sendo usuário de telefone celular/computador A, realmente enviou aquelas mensagens conduzindo uma campanha de desinformação, mesmo que as forças de segurança tenham a identidade do remetente. Para determinar se o uso do dispositivo por uma pessoa necessariamente constitui prova do uso do dispositivo por uma pessoa, são necessárias informações adicionais [9]. Ainda mais preocupante é que usuários inocentes podem ser envolvidos em comportamento ilícito devido às ações de cibercriminosos que se apropriam de suas identidades como remetentes. Essa preocupação foi refletida na própria resposta do WhatsApp à proposta de Komakoti, na qual eles observaram que "atores mal-intencionados poderiam usar versões modificadas do aplicativo WhatsApp para atribuir um número de telefone diferente a uma mensagem" [10].
  • As assinaturas digitais adicionam vulnerabilidades. As chaves privadas para assinaturas digitais, especialmente se armazenadas por terceiros fora da conversa - como o provedor de serviços de comunicação - seriam um alvo valioso para agentes mal-intencionados. Na proposta de Kamakoti, por exemplo, um terceiro intrometido teria o potencial de ver quando um determinado usuário envia uma mensagem, recebendo e descriptografando informações do originador. Se usada indevidamente, a abordagem de "assinatura digital" ameaça seriamente a liberdade de expressão dos cidadãos e pode expor os indivíduos (incluindo os mais vulneráveis ​​e marginalizados) ao roubo de identidade, assédio e perseguição.
  • A funcionalidade entre plataformas diferentes seria inviável. Visto que diferentes serviços e plataformas são regulados por diferentes protocolos, os métodos que pretendem funcionar entre as plataformas seriam inviáveis. A rastreabilidade entre plataformas também é difícil em sistemas federados como e-mail ou Internet Relay Chat (IRC). Métodos que fornecem rastreabilidade entre plataformas, como usar a mesma assinatura digital obrigatória no texto de todas as mensagens em todas as plataformas globalmente, seriam difíceis de implementar. Possivelmente, um registro central de cada dispositivo e cada usuário do aplicativo no mundo seria necessário para autenticar as assinaturas digitais. Isso seria altamente prejudicial para a inovação, uma vez que desenvolvedores de todo o mundo seriam forçados a coordenar seu desenvolvimento com os operadores do banco de dados central. Além disso, uma assinatura digital obrigatória representaria maiores riscos de privacidade e segurança para os usuários como um único ponto de falha, ou um único ponto para que agentes mal-intencionados ataquem ou rastreiem as atividades de um usuário [11]. Essas assinaturas digitais também teriam que ser facilmente revogáveis ​​e reemitidas no caso de um ataque, levantando a questão de como as chaves privadas associadas seriam protegidas. Se isso depender dos dados biométricos dos usuários, uma camada adicional de complexidade técnica e operacional é introduzida.

Metadados

O uso de metadados para permitir a rastreabilidade também foi sugerido por várias entidades no debate sobre criptografia. Os metadados (contendo informações sobre a comunicação, mas não o conteúdo da própria comunicação) podem ser usados ​​para determinar elementos como a origem, hora, data e destino de uma comunicação, e possivelmente a localização do remetente, ou mesmo para calcular alguns atributos do conteúdo da própria comunicação.

Foi sugerido que metadados sobre o tamanho da mensagem, especialmente uma mensagem multimídia, poderiam ser usados ​​para verificar a distribuição não controlada de mensagens específicas. Por exemplo, o WhatsApp mantém um registro criptografado das mensagens multimídia enviadas. Ele não tem acesso ao conteúdo do arquivo de mídia, mas apenas um dado de um tamanho específico. Cada vez que essa mensagem multimídia é encaminhada, o servidor tem uma estimativa de quantas vezes o dado é encaminhado, que é utilizada para combater mensagens indesejadas em sua plataforma. Pode ser possível inferir o histórico da mensagem com acesso a uma cópia não criptografada do arquivo de mídia, removendo assim efetivamente a confidencialidade da comunicação.

Outros argumentam que os metadados podem ser analisados ​​para diferenciar padrões como quem fala com quem, com que frequência e quando. As plataformas podem criar gráficos sociais básicos para construir redes de interações. Estruturas de diretórios, essenciais para qualquer plataforma de comunicação, podem ser exploradas para fins de investigação sem obter acesso ao conteúdo em si. Esses diretórios registram quem interage com quem sem interceptar o próprio conteúdo.

No entanto, especialistas, incluindo aqueles que participam das discussões da Internet Society, destacam algumas preocupações em torno do uso de metadados para permitir a rastreabilidade:

  • A atribuição digital não é absoluta, principalmente por meio de metadados. A responsabilidade criminal com base em metadados é ainda mais difícil de determinar. Pequenas mudanças no conteúdo de uma mensagem podem alterar os metadados de uma mensagem, inibindo a capacidade de seguir uma cadeia de metadados semelhantes até um originador. Além disso, como acontece com as assinaturas digitais, é difícil ligar um usuário a uma mensagem quando a falsificação de identidade na Internet é tão fácil e generalizada. Ainda mais preocupante é a possibilidade de um usuário inocente ser implicado em comportamento criminoso apenas com base em metadados falsificados.
  • Minar os princípios de minimização de dados e privacidade desde a concepção (privacy by design). A dependência de metadados dificultaria o movimento da plataforma em direção à minimização de dados e privacidade desde a concepção (privacy by design), que atualmente são exigidas por um número crescente de políticas de proteção de dados. Isso cria riscos muito mais abrangentes para a privacidade e segurança das pessoas, reduzindo os padrões de segurança para todos. Reter metadados para habilitar a rastreabilidade seria um alvo valioso para agentes mal-intencionados. Criminosos e inimigos estrangeiros poderiam usar os metadados armazenados para desenvolver gráficos sociais de usuários ou coletar informações que possam permitir ataques como extorsão, engenharia social ou chantagem.
  • Riscos de criação do perfil social. Quando os metadados são usados ​​para desenvolver gráficos sociais que ajudam a permitir a rastreabilidade, esses gráficos sociais correm o risco de serem acessados ​​por criminosos ou inimigos estrangeiros. Também existe o risco de que as próprias plataformas monetizem esses gráficos sociais, o que poderia expor detalhes confidenciais de funcionários do governo, autoridades eleitas, jornalistas, ativistas, advogados e dissidentes a data brokers e seus clientes.
  • Períodos de retenção de dados mais longos criam riscos à segurança: os regulamentos de retenção de metadados geralmente incluem requisitos para retê-los por um período específico. Se os governos exigirem períodos de retenção de metadados mais longos, as preocupações com privacidade e segurança aumentam, pois mais informações seriam comprometidas no caso de uma violação de dados. Mais dados retidos significam maior utilidade para criminosos e inimigos estrangeiros e um alvo mais atraente.
  • Nem todas as plataformas coletam a mesma quantidade de metadados: por exemplo, o aplicativo Signal coleta o mínimo de metadados necessários para facilitar a comunicação e não coleta quaisquer dados adicionais [12]. Os requisitos para reter grandes quantidades de metadados podem forçar as plataformas a reconfigurar significativamente seus sistemas, resultando em custos e aumentando os riscos de criação de novas vulnerabilidades de segurança.

Quebra de criptografia de ponta a ponta

Uma vez que não está claro quão úteis são as assinaturas digitais e os metadados para permitir a rastreabilidade, as plataformas podem ser forçadas a usar métodos que permitem que terceiros acessem o conteúdo das comunicações, por vezes conhecido como acesso excepcional, para satisfazer os requisitos de rastreabilidade. Ao possibilitar o acesso ao conteúdo das mensagens do usuário, uma plataforma ou entidade governamental pode revisar as mensagens enviadas pelos usuários, permitindo sinalizar o conteúdo questionável e identificar a conta que enviou a mensagem.

Várias técnicas foram propostas para possibilitar o acesso a comunicações criptografadas por terceiros.

Isso inclui:

  • O repositório de chaves, por meio do qual as chaves usadas para descriptografar as mensagens são armazenadas (total ou parcialmente) por terceiros (como o provedor da plataforma) para permitir o acesso ao conteúdo das comunicações criptografadas.
  • A proposta fantasma, pela qual um terceiro é adicionado de forma silenciosa como participante de uma conversa.
  • Varredura do lado do cliente (client-side scanning, em inglês), pela qual as comunicações ou hashes [13] criadas a partir das comunicações são examinadas para encontrar correspondências em um banco de dados de conteúdo antes que a mensagem seja entregue ao destinatário pretendido.

No entanto, o consenso entre os especialistas, incluindo aqueles que participam das discussões da Internet Society, é que os métodos de acesso de terceiros quebrariam a criptografia de ponta a ponta, permitindo o acesso de terceiros ao conteúdo e enfraquecendo as proteções de segurança e privacidade dos usuários.

  • Acesso para um é acesso para todos. A criação de um caminho para que terceiros acessem as comunicações criptografadas do usuário cria efetivamente novas vulnerabilidades no sistema. Uma vez encontrados por agentes mal-intencionados, os mesmos métodos usados ​​para fornecer acesso às forças de segurança ou às plataformas podem ser usados ​​para atividades mal-intencionadas. Por exemplo, se um agente malicioso obtiver acesso às chaves de descriptografia sob custódia, ele poderá descriptografar todas as comunicações enviadas em um sistema de comunicação. Não há como garantir que as vulnerabilidades criadas por um método de acesso excepcional não caiam nas mãos erradas [14].
  • O acesso excepcional não pode ser seletivo e é prejudicial à segurança de todos os usuários. Quando um sistema é modificado para permitir o acesso excepcional, todos os usuários correm maior risco. Não há como fornecer esse tipo de acesso a um usuário sem criar vulnerabilidade para todos os outros usuários. Por exemplo, para implementar a proposta fantasma, o processo de distribuição de chaves deve ser alterado distribuindo secretamente as chaves para pessoas que não estão no chat em grupo, e os provedores devem remover avisos aos usuários de que terceiros não autorizados têm acesso às suas comunicações. Ao alterar a distribuição de chaves e a notificação em um serviço de comunicação, a plataforma apresenta novas vulnerabilidades que podem ser utilizadas por todos os usuários [15].
  • A varredura do lado do cliente (client-side scanning) apresenta vulnerabilidades. Algumas pessoas afirmam que a varredura do lado do cliente (client-side scanning) é segura, especialmente quando as comunicações são divididas antes de compará-las a um banco de dados de conteúdo discutível. No entanto, a varredura do lado do cliente (client-side scanning) ainda apresenta vulnerabilidades que colocam em risco a segurança e a privacidade dos usuários. Atores mal-intencionados que obtêm acesso a um banco de dados de conteúdo podem adicionar um novo conteúdo para criar falsos positivos ou monitorar para quem, quando e onde determinado conteúdo foi comunicado [16]. Os sistemas de varredura do lado do cliente (client-side scanning), nos quais o conteúdo de uma mensagem é enviado a um terceiro para revisão manual após a correspondência com um banco de dados, são particularmente perigosos, pois criam uma nova maneira na qual os agentes mal-intencionados podem aproveitar para obter acesso a comunicações não criptografadas.
  • Preocupações com a segurança nacional. Se um governo ou agência de segurança pudesse acessar as comunicações de um usuário, o mesmo recurso estaria disponível para qualquer outro país do mundo, incluindo países inimigos. Funcionários do governo e forças de segurança também não teriam acesso a canais de comunicação seguros e correriam o risco de serem alvos de inimigos. Muitas entidades governamentais, incluindo a Comissão Europeia [17] e os militares dos EUA [18], determinaram que seus funcionários usassem serviços de criptografia de ponta a ponta do mercado de massa para proteger suas comunicações.

Conclusão

A rastreabilidade provavelmente continuará a ser uma questão proeminente no debate indiano sobre os padrões para plataformas digitais e provedores de acesso. No entanto, existem preocupações razoáveis ​​sobre a segurança, privacidade e eficácia dos dois métodos mais comumente propostos para permitir a rastreabilidade, o uso de assinaturas digitais e o uso de metadados. Para atender aos requisitos de rastreabilidade, os provedores de serviços de comunicação seriam forçados a acessar o conteúdo das comunicações dos usuários, reduzindo bastante a segurança e a privacidade de um sistema para todos os usuários e colocando em maior risco a segurança nacional.

Quando formuladores de políticas, legisladores e membros do poder judiciário consideram ações que criam requisitos de rastreabilidade, eles devem considerar as sérias consequências ao obrigar os provedores de conexão e de aplicações a cumprir essas regras.

Notas

[1]    Padrões de Tecnologia da Informação [Diretrizes para Intermediários (Emenda)]. 

[2]    De acordo com a Lei de Tecnologia da Informação da Índia, um originador é definido como “a pessoa que envia, gera, armazena ou transmite qualquer mensagem eletrônica ou faz com que uma mensagem eletrônica seja enviada, gerada, armazenada ou transmitida a outra pessoa, mas não inclui um intermediário”

[3]    https://www.meity.gov.in/writereaddata/files/public_comments_draft_intermediary_guidelines_rules_2018.pdf

[4]    https://www.internetsociety.org/open-letters/india-intermediary-guidelines/

[5]   https://www.medianama.com/2019/09/223-sc-adjourns-hearing-on-facebook-transfer-petition-till-september-24/

[6]    Criptografia ponta a ponta (E2E), na qual as chaves necessárias para decifrar uma comunicação criptografada residem somente nos dispositivos que se comunicam, proporciona um maior nível de segurança e confiança, porque devido ao seu design, somente o destinatário possui a chave para decifrar a mensagem. 

[7]    Uma assinatura digital é um mecanismo que garante a autenticidade de uma mensagem ou das informações enviadas. Ela permite que o remetente da mensagem anexe um código que atua como uma assinatura. Semelhante à assinatura manuscrita de uma pessoa, é exclusiva para cada signatário e pode ser comparada a um selo à prova de violação que garante que as informações não foram alteradas de nenhuma forma desde que foram enviadas.

[8]    https://www.medianama.com/2019/08/223-kamakoti-medianama-whatsapp-traceability-interview/

[9]    Por exemplo, outra pessoa pode estar usando seu dispositivo.

[10]   https://www.medianama.com/2019/08/223-exclusive-whatsapps-response-kamakotis-submission/

[11]    https://www.internetsociety.org/policybriefs/identity

[12]   https://signal.org/blog/sealed-sender/

[13]   Um hash é uma "impressão digital" funcionalmente exclusiva do conteúdo de um usuário.

[14]   https://www.schneier.com/academic/paperfiles/paper-keys-under-doormats-CSAIL.pdf

[15]   https://www.internetsociety.org/resources/doc/2020/fact-sheet-ghost-proposals/

[16]   https://www.internetsociety.org/resources/doc/2020/fact-sheet-client-side-scanning/

[17]   https://www.politico.eu/article/eu-commission-to-staff-switch-to-signal-messaging-app/

[18]   https://www.militarytimes.com/flashpoints/2020/01/23/deployed-82nd-airborne-unit-told-to-use-these-encrypted-messaging-apps-on-government-cellphones/