O navegador Chrome do Google deve ganhar um recurso que está gerando muita polêmica antes mesmo de estrear. O Movimento por uma Web Aberta (MOW) fez um alerta à Autoridade de Concorrência e Mercados do Reino Unido devido ao próximo recurso de proteção de IP do Chrome. Então, isso mostra que as regras de privacidade na Internet precisam de constante revisão.
A proteção de IP do Google é basicamente um proxy anônimo, o que significa que o Chrome passa seu IP para um anonimizador de terceiros. Isso atribui IPs aleatórios que mudam com frequência suficiente para que ninguém possa usá-los para identificá-lo nos sites. Isso é ruim, diz o MOW, porque significa que apenas o Google pode fazer o rastreamento, o que é injusto para outras empresas de tecnologia de publicidade – de quem fala o MOW. Também incentiva a fraude e, ah, sim, ninguém pensará nas crianças?
Porém, surge outra questão. Dá confia nos governos europeus? A Electronic Frontier Foundation (EFF) e centenas de especialistas não, apontando que elementos das revisões propostas aos regulamentos da UE, chamados eIDAS, isentariam os certificados aprovados pelo estado das ações de segurança dos navegadores.
A legislação, conhecida como eIDAS (identificação eletrônica, autenticação e serviços de confiança) 2.0, foi descrita como uma tentativa de modernizar uma versão inicial das regras de identidade digital e serviços de confiança. As regras abrangem coisas como assinaturas eletrônicas, carimbos de data/hora, serviços de entrega registrada e certificados para autenticação de sites.
A questão é: em quem confiar, nos governos ou no Google?
Mas um dos requisitos do eIDAS 2.0 é que os fabricantes de navegadores confiem nas Autoridades de Certificação (CA) aprovadas pelo governo e não implementem controles de segurança além daqueles especificados pelo Instituto Europeu de Padrões de Telecomunicações (ETSI).
Sob o eIDAS 2.0, CAs endossadas pelo governo – Provedores de Serviços de Confiança Qualificados, ou QTSPs – emitiriam certificados TLS – Certificados Qualificados de Autenticação de Sites, ou QWACs – para sites.
Mas os fabricantes de navegadores, se suspeitarem ou detectarem uso indevido – por exemplo, interceptação de tráfego – não seriam autorizados a tomar contramedidas desconfiando desses certificados/QWACs ou removendo o certificado raiz do CA/QTSP associado de sua lista de certificados raiz confiáveis.
Regras de privacidade na Internet precisam de constante revisão
Simplificando: para se comunicar com segurança usando criptografia TLS – a tecnologia que sustenta suas conexões HTTPS seguras – um site precisa obter um certificado digital, emitido e assinado digitalmente por uma CA, que mostre que o endereço do site corresponde ao endereço certificado. Quando um navegador visita esse site, o site apresenta uma parte pública de seu certificado emitido pela CA ao navegador, e o navegador verifica se o certificado foi realmente emitido por uma das CAs em que ele confia, usando o certificado raiz da CA, e está correto para aquele site.
Se o certificado foi emitido por uma CA reconhecidamente válida e todos os detalhes estão corretos, então o site é confiável e o navegador tentará estabelecer uma conexão segura e criptografada com o site para que sua atividade no site não seja visível para um bisbilhoteiro na rede. Se o certificado foi emitido por uma CA não confiável, ou se o certificado não corresponder ao endereço do site, ou se alguns detalhes estiverem errados, o navegador rejeitará o site devido à preocupação de que ele não esteja se conectando ao site real que o usuário deseja, e pode estar conversando com um imitador.
Aqui está um problema: se um site receber um certificado de uma dessas CAs apoiadas pelo governo, exigidas pelo Euro, esse governo pode solicitar à sua CA amigável uma cópia desse certificado para que o governo possa se passar pelo site – ou solicitar alguns outros navegadores de certificados confiarão e aceitarão para o site.
Assim, utilizando um ataque man-in-the-middle, esse governo pode interceptar e desencriptar o tráfego HTTPS encriptado entre o site e os seus utilizadores, permitindo ao regime monitorizar exatamente o que as pessoas estão a fazer com esse site a qualquer momento. O navegador nem conseguirá bloquear o certificado.
Mozilla alerta:
Segundo a fabricante do navegador Firefox, isto permite ao governo de qualquer estado-membro da UE emitir certificados de websites para intercepção e vigilância que podem ser utilizados contra todos os cidadãos da UE, mesmo aqueles que não residem ou não estão ligados ao estado-membro emissor. Não existe um controlo ou equilíbrio independente nas decisões tomadas pelos Estados-Membros no que diz respeito às chaves que autorizam e à utilização que lhes fazem.
O Google realmente não merece confiança em muitos aspectos, com um longo histórico de ser pego fazendo coisas ruins com dados. Os Estados-nação estão por todo o lado, mas mesmo aqueles que têm um forte compromisso com a regulamentação e o Estado de direito vão tão longe quanto podem para obter dados.
As agências estatais, mesmo as boas, fazem regularmente coisas ilegais por trás do escudo da segurança do Estado e são tão propensas à incompetência e à corrupção como qualquer empreendimento humano. MOW é um azarão; costumava se autodenominar Marketers for an Open Web e tem um histórico de lobby contra as medidas anti-rastreamento do Google. Aplique todas as regras que você acha que se aplicam a grupos de lobby opacos e confiáveis. A EFF é um grupo totalmente aberto de pessoas com um longo historial de identificação e alerta sobre tentativas prejudiciais de prejudicar as liberdades dos utilizadores na Internet. Mais uma vez, aplique a confiança que achar adequada.
Por que não confiam nos usuários?
Toda privacidade protege o que é bom e o que é ruim, não importa quais sejam os detalhes técnicos. Os regimes autoritários exigem privacidade total para si próprios e nenhuma para o seu povo, enquanto as democracias liberais definem e protegem a privacidade pessoal contra intrusões, incluindo a do Estado.
Temos exceções – mandados de busca, escutas telefônicas, divulgação de registros de ISP – mas em um sistema de supervisão do judiciário há muito desenvolvido. Podemos supor que cada componente de privacidade em TI mudará o equilíbrio de poder entre os participantes, e cada um desses componentes será, em algum momento, atacado como uma ostra por uma morsa faminta.
Quaisquer ataques desse tipo podem ser testados em relação a quatro fatores: qual o tamanho da mudança, quem é prejudicado e quem se beneficia, qual a probabilidade de dar errado e quais são as consequências quando isso acontece?
IP protegido garante?
Olhando para a proteção IP, o tamanho da mudança que ela traz é o único fator. Já existem muitas maneiras de tornar seu IP anônimo, e o Google nega veementemente que será capaz de rastrear onde outros não conseguem, por meio da arquitetura básica. Prejudica os cookies de rastreamento e, portanto, aumenta a privacidade do usuário. Não possui nenhum modo de falha prejudicial óbvio, exclusivo para si mesmo.
O regulamento eIDAS faz uma enorme mudança ao exigir a tecnologia de ataque man-in-the-middle, contra a qual seria ilegal a defesa dos fabricantes de navegadores. Enfraquece a segurança sobre a qual a web é construída de uma forma única para utilizadores não sofisticados, ao mesmo tempo que fornece a uma vasta gama de entidades as ferramentas para desencriptar dados de todos os tipos. É tão provável que dê errado como qualquer sistema de segurança secreto gerido pelo Estado, por meio de incompetência, acidente ou malevolência, com consequências que poderão afetar não apenas os meio mil milhões de cidadãos da UE, mas todos aqueles que utilizam serviços baseados na UE. Além de quaisquer criminosos com inteligência suficiente para contornar a tecnologia de interceptação, é claro.
É da natureza especial da TI poder aplicar-se a todos ao mesmo tempo, de uma forma que invasões anteriores à nossa privacidade sancionadas pelo Estado não podem. É um princípio básico da lei que quanto mais danos uma coisa pode causar, mais fortemente ela é regulamentada, e é impossível olhar para a proposta eIDAS sem primeiro exigir que supervisão e salvaguarda são apropriadas. Proteção IP? Não muito.
Tudo isso é uma forma de propor princípios muito básicos de avaliação de risco, ou seja, apesar do tornado de concreto da nave estelar da SpaceX, dificilmente é ciência de foguetes. É, ou deveria ser, a comida e a bebida dos reguladores e legisladores. Especialmente neste último caso, porém, está totalmente ausente das propostas mais perigosas, e isso não pode ser acidental, nem sempre. Talvez não devêssemos perguntar em quem devemos confiar, mas sim em quem não confia em nós – e por quê.