Parlamento Europeu propõe criação de Backdoor

A primeira-ministra Theresa May quer que empresas de tecnologia, como o Facebook, a Apple e o Google, criem “backdoors” para a polícia, mas o Comitê de Liberdades Civis, Justiça e Assuntos Internos do Parlamento Europeu divulgou um projeto de proposta [ PDF ] para novas leis sobre privacidade e comunicações eletrônicas, recomendando criptografia de ponta a ponta (E2E) em todas as comunicações e proibindo backdoors que oferecem acesso à aplicação da lei.

A proteção da confidencialidade das comunicações é uma condição essencial para o respeito de outros direitos e liberdades fundamentais, como a proteção da liberdade de pensamento, a consciência e a religião, e a liberdade de expressão e informação“, diz o documento ainda em draft.

O Projeto diz: “sua segurança é nossa principal prioridade

De acordo com o rascunho, os cidadãos da UE precisam de mais proteção e não menos e precisam saber que a “confidencialidade e segurança” de seus dados é “garantida”, mas o backdoors de software arrisca a “enfraquecer” essa privacidade.

“Backdoor é uma característica ou defeito de um sistema informático que permite o acesso não autorizado aos dados”.

O governo de muitos países, incluindo o Departamento de Defesa dos EUA, forçou as grandes empresas a fornecer acesso de backdoor a seus serviços, permitindo que agentes federais interceptem o tráfego dos usuários e acessem tudo, desde mensagens seguras até suas atividades na web.

Mas, “Tecnicamente, não há tal backdoor que só o governo pode acessar. Se as ferramentas de vigilância podem explorar a vulnerabilidade por design, então um invasor que tenha obtido acesso a ela desfrutaria do mesmo privilégio”.

Draft do documento exige criptografia de ponta a ponta e proibição de backdoors

O esboço proposto recomenda o uso de criptografia de ponta a ponta que tornaria mais difícil para funcionários federais solicitar dados de empresas de tecnologia.

A proposta proibiria a descriptografia de dados de usuários, bem como a criação de backdoors em software ou tecnologias de criptografia que poderiam permitir o acesso do governo à informação privada dos usuários.

Então, se as alterações forem aprovadas, a proibição de backdoors de software tornaria difícil para o governo fazer cumprir o requisito do Artigo 49 do regulamento Regulation of Investigatory Powers Act (RIPA) 2000 de estabelece que as empresas removam a “proteção eletrônica” quando possível e necessário.

Na proteção ponta a ponta ninguém no meio, seja um provedor de serviços de aplicativos, um provedor de serviços de Internet (ISP), hackers, ou mesmo funcionários autorizados por lei, podem ler ou manipular os dados.

Quando a criptografia de dados de comunicações eletrônicas é usada, decifrar, engenharia reversa ou o monitoramento de tais comunicações devem ser proibidos“, diz o rascunho.

Os Estados-Membros não devem impor nenhuma obrigação aos prestadores de serviços de comunicações eletrônicas que resultem no enfraquecimento da segurança e criptografia de suas redes e serviços“.

Protegendo a “Internet das coisas”

Da mesma forma, o draft do documento também diz que a lei atual não acompanhou a forma como as comunicações máquina-máquina na Internet das coisas podem expor os cidadãos.

Os dispositivos e máquinas conectados estão cada vez mais se comunicando entre si usando redes de comunicações eletrônicas.

Assim, de acordo com o comitê, este regulamento também deve ser aplicado às comunicações de máquina para máquina para “garantir uma proteção total dos direitos à privacidade e confidencialidade das comunicações e promover uma Internet confiável e segura de coisas em um mercado único digital “.

Em suma, o comitê quer que qualquer meio de comunicação futuro, como “chamadas, acesso à internet, aplicativos de mensagens instantâneas, e-mail, chamadas de internet e mensagens fornecidas através de mídias sociais” estejam protegidos contra hackers, governo e olhos curiosos.

O comitê quer que aplicativos, navegadores, provedores de serviços de internet, carros, smartphones ou rastreadores de fitness também respeitem os pedidos sem rastreamento de seus clientes e armazene seus dados somente depois de obter o consentimento dos usuários.

No entanto, deve notar-se que a maioria das empresas de tecnologia se enquadra no tribunal dos Estados Unidos e a era pós-Snowden prova que, enquanto os dados de seus países forem armazenados fora de seus limites, suas políticas e regulamentos locais dificilmente fariam qualquer diferença.

Fonte: The Hacker News by Mohit Kumar 
Por  MindSec  20/06/2017

 

About mindsecblog 277 Articles

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.