Em março de 2022, ainda no governo de Boris Johnson, o Reino Unido avançou com uma proposta de lei que tinha o objetivo de mitigar o impacto prejudicial da internet. A proposta obrigava às grandes plataformas digitais de melhorar as proteções contra cibercriminosos que se fazem passar por empresas ou celebridades para roubar dados pessoas, aceder a contas bancárias e outras fraudes.

As medidas não foram bem-recebidas pelas plataformas, começando pelo líder do WhatsApp que afirmou recusar-se em cumprir as regras e estar sujeito a ver aplicação ser banida do Reino Unido. Pouco depois outras empresas juntaram-se à aplicação da Meta com a ameaça de saída do Reino Unido, caso as leis fossem para a frente. Preferem sair do país do que colocar em causa a segurança dos seus utilizadores. Até a Apple veio a público pedir que a proposta fosse emendada para proteger as encriptações, segundo a BBC.

Reino Unido quer obrigar as Big Tech a reforçarem medidas para combater fraudes online
Reino Unido quer obrigar as Big Tech a reforçarem medidas para combater fraudes online
Ver artigo

A contestação da Online Safety Bill chegou agora por parte de um grupo de académicos e especialistas em segurança TI. 68 investigadores de cibersegurança assinaram uma carta aberta a alertar para o perigo que o rascunho da legislação constitui para a própria segurança online. Começam por dizer que, como especialistas em segurança, constroem tecnologias que mantêm as pessoas seguras online. E que a Online Safety Bill vai colocar em causa os mecanismos de segurança que as aplicações utilizam, nomeadamente a encriptação ponta-aponta que o WhatsApp, Signal e Element usam nas suas conversações.

Em causa está a lei que permite ligar a monitorização online das comunicações pessoais, dos negócios e da sociedade civil. A carta salienta que esta monitorização está a ser proposta para prevenir a disseminação de conteúdos de exploração e abusos sexuais de crianças, dando o respetivo mérito ao tema, mas não como está a ser feito.

Em total autoridade do tema, salientam que, em primeiro lugar, este tipo de monitorização é categoricamente incompatível com os protocolos de comunicação online adotados internacionalmente, que oferecem garantias de privacidade nas conversas pessoais. Em segundo, acreditam que qualquer tentativa de contornar esta contradição está condenada a falhar, tanto a nível tecnológico como social.

WhatsApp e outras apps ameaçam sair do Reino Unido se forem obrigadas a alterar mensagens encriptadas
WhatsApp e outras apps ameaçam sair do Reino Unido se forem obrigadas a alterar mensagens encriptadas
Ver artigo

“A tecnologia não é uma varinha mágica”, salienta a carta. E explica que o acesso a mensagens e imagens privadas protegidas podem ser tentadas de duas formas: em trânsito e protegidas por criptografia; ou antes/depois do trânsito nos clientes envolvidos.

No que diz respeito à criptografia, não existe nenhuma solução tecnológica para solucionar a contradição que é manter a informação confidencial de terceiros e partilhar a mesma informação com terceiros. Aceder a mensagens e imagens privadas implica que alguém com acesso às instalações de monitorização tenham o mesmo acesso. E dá como exemplo funcionários civis, agentes policiais de diferentes departamentos ou qualquer outro adversário que possa comprometer a infraestrutura de monitorização.

E esse perigo sai do campo teórico e especulação abstrata quando salienta um incidente das fugas de informação de alto perfil, a nível de segurança nacional como exemplo do perigo dos acessos. “A história do “mais ninguém se não nós” dos backdoors para a criptografia é uma história de insucesso”, é referido na carta.

WhatsApp recusa-se a cumprir nova proposta de lei no Reino Unido. Futuro da app no país pode estar em risco
WhatsApp recusa-se a cumprir nova proposta de lei no Reino Unido. Futuro da app no país pode estar em risco
Ver artigo

Já a ideia de fazer scan ao conteúdo dos equipamentos de todas as pessoas antes de ser encriptada em trânsito, à procura de conteúdos ilegais é comparado ao ter um polícia constantemente no bolso. E nesse aspeto tem o problema tecnológico na necessidade de ser assertivo na deteção e revelação dos conteúdos do objetivo, para não revelar aquilo que não era o objetivo da monitorização. A investigação feita é que este tipo de scan não é eficaz a alcançar o seu objetivo primário, que é detetar os conteúdos proibidos. Além disso, esses algoritmos podem ser alterados para objetivos secundários escondidos, tais como o reconhecimento facial de indivíduos.