NSA: Vigilância em massa é ilegal

la-fi-tn-nsa-posing-facebook-malware-20140312-001Na quinta-feira (7), uma corte federal em Nova York, EUA, decidiu que o programa de coleta de dados telefônicos mantido pela NSA é ilegal e que a interpretação legal que lhe dá ensejo é abusiva.

Em um processo movido pela União Americana de Liberdades Civis – ACLU, na sigla em inglês – contra a Agência Nacional de Segurança (NSA), três juízes decidiram que as atividades de vigilância, da maneira como vêm sido conduzidas pela agência ultrapassam os limites legais impostos ao governo. O programa, exposto pelas denúncias do ex-agente da CIA, Edward Snowden, compreende a coleta massiva de dados telefônicos de cidadãos americanos. Informações como números contactados, horários e duração de chamadas têm sido captadas e mantidas pela NSA independente de quaisquer suspeitas fundamentadas sobre os alvos da coleta. Continue lendo “NSA: Vigilância em massa é ilegal”

Regin: revelado megaspyware usado contra governos e empresas

As empresas de segurança da informação Symantec, criadora do antivírus Norton, e Kaspersky dizem terem identificado um spyware altamente sofisticado e sem precedentes. O grau de complexidade do código, chamado de Regin, sugere que ele tenha sido criado com recursos de algum governo. Ele tem sido utilizado pelo menos desde 2008 para coletar secretamente informações de governos, entidades privadas e indivíduos em diversos países, incluindo no Brasil.

1416777879918
Gráfico produzido pela Symantec. Estágios do ataque do Regin.

Segundo comunicado da Symantec, o programa malicioso atua como uma sequência de códigos que se executam em estágios encadeados entre si — cada um oculto e encriptado, exceto pelo primeiro. Ao serem acionados, os últimos estágios descarregam os códigos que abrem backdoors no sistema para capturar dados de digitação do teclado, senhas, informações de dispositivos USB que se conectem ao aparelho infectado e até para instalar um módulo de extração de e-mails — nem mesmo arquivos apagados conseguiriam fugir. A habilidade mais significativa do Regin, no entanto, é a capacidade de se infiltrar em bases GSM de redes de celular. Uma vez no controle dessas bases, o programa rouba credenciais de administradores do sistema, o que permite manipular a rede e instalar ferramentas para monitorar comunicações por celular — o que, segundo a Kaspersky, foi realizado em 2008 em algum país do Oriente Médio. Com o controle dessas redes, os atacantes podem até mesmo desligar completamente o serviço de telefonia móvel celular.

Os alvos do programa incluem pequenas empresas, redes de telecomunicações, empresas de energia, operadoras de linhas aéreas, instituições governamentais, indivíduos e institutos de pesquisas. Quanto aos dois últimos, os alvos são principalmente pessoas e instituições envolvidas em pesquisas sobre matemática avançada e criptografia. As invasões nos sistemas da Comissão Europeia e da empresa belga de telecomunicações Belgacom, ocorridas em 2011 e 2013, respectivamente, também estão confirmadas como ataques do Regin. Os dois casos estão entre os primeiros a levantarem a suspeita de um hipótético super spyware de vigilância. Contudo, a primeira versão do programa data de pelo menos 2008, talvez até antes.

Segundo a cobertura da rede de notícias do Qatar Al-Jazeera, o governo dos EUA e empresas prestadoras de serviços de inteligência apontam os governos da China e da Rússia como prováveis responsáveis. No entanto, indícios sugerem o envolvimento da agência de segurança nacional dos EUA, a NSA, e de sua contraparte britânica, o GCHQ. Dentre as informações vazadas pelo ex-agente da CIA, Edward Snowden, está a denúncia de que a NSA seria a responsável pela invasão no sistema da Comissão Européia. O GCHQ estaria também por trás da invasão do computador do famoso criptógrafo belga Jean-Jacques Quisquater, que também foi alvo do Regin, segundo a Kaspersky.

O pronunciamento da Symantec sugere que a maioria dos alvos do Regin estão concentrados na Rússia e na Arábia Saudita. A Kaspersky afirma ter encontrado o malware também em sistemas na Alemanha, Argélia, Índia, Afeganistão, Irã, Bélgica, Síria, Paquistão e Brasil.

Fontes

Privacidade: ampla maioria dos apps não respeita direito dos usuários

Um relatório publicado nesta quarta-feira (10) pela Rede Global de Aplicação da Privacidade (GPEN) apontou que a maioria esmagadora dos aplicativos para celular e tablets são falhos em relação à proteção da privacidade de seus usuários. De 1211 apps avaliados, 85% não revelam quais os dados coletados ou como são utilizados, e 59% não explicam nem mesmo informações básicas sobre a política de privacidade. Além disso, 43% não são adaptados para uma tela pequena e 33% solicita permissões aparentemente excessivas.

Formada em 2010, em resposta a uma Recomendação de 2007 da Organização para a Cooperação e Desenvolvimento Econômico (que reúne 34 países desenvolvidos), a GPEN tem como missão aprimorar a cooperação na aplicação das leis sobre privacidade através das fronteiras. Desde maio, autoridades de 26 países se envolveram, em maio de 2014, no esforço de avaliar a adequação das solicitações que envolvem, entre outros, localização, ID do dispositivo, acesso a outras contas, acesso à câmera e acesso à lista de contatos.

Em vez de analisar profundamente o funcionamento técnico dos programas, a pesquisa se centrou na comunicação da política de privacidade ao usuários. Foram utilizado cinco critérios:

  1. Antes da instalação, o app explica como ele coleta, usa e disponibiliza os dados pessoais?
  2. Quais permissões o app solicita e ele explica os motivos?
  3. As permissões extrapolam a funcionalidade esperada do app?
  4. As informações sobre a privacidade foram projetadas para serem lidas em uma tela pequena?
  5. No geral, as informações sobre privacidade são satisfatórias?

A investigação apontou ainda que 26% dos programas ou não traziam nenhuma política de privacidade, ou adotavam uma postura seriamente preocupante. Por outro lado, os aplicativos que informam devidamente os consumidores eram também muito populares em números de downloads.

Anteriormente, o Escritório do Comissário de Informação do Reino Unido havia publicado um guia para desenvolvedores de apps móveis, requerendo o processamento “justo” e “lícito” dos dados pessoais. Em face do levantamento agora divulgado, Simon Rice, gestor de equipe para tecnologia no escritório britânico, afirmou:

Os resultados de hoje mostram que muitos desenvolvedores de aplicativos ainda não fornecem essas informações de uma forma que seja clara e compreensível para o consumidor médio”.

Na mesma linha, Daniel Therrien, Comissário de Privacidade do Canadá, lamentou que o crescimento da oferta de aplicativos nem sempre seja acompanhada do cuidado com a privacidade:

Desenvolvedores de aplicativos tanto grandes como pequenos estão abraçando o potencial de construir a confiança do usuário, fornecendo explicações claras, fáceis de ler e oportunas, sobre quais informações eles irão coletar e como eles vão usá-las. Outros estão perdendo essa oportunidade ao não fornecer nem mesmo as informações mais básicas sobre privacidade“.

O pesquisador da University College London, Dr. Steven Murdoch, explica que a publicidade de terceiros gera boa parte do problema.

Muitas vezes as pessoas que escrevem o app não entendem o que o código de publicidade faz. Se você considera o fato de que as receitas para esses apps são feitas quase exclusivamente através de anúncios os desenvolvedores não querem fazer muitas perguntas.”

A organização Privacidade Internacional classificou como “completamente inaceitável” deixar os usuários sem informações claras sobre a coleta de dados pessoais.

O GPEN não irá revelar quais os resultados referentes a cada app avaliado. Em vez disso, a ideia da entidade é mirar o interesse público e enumerar sugestões para que os programadores adotem uma postura mais preocupada com a privacidade.

No Brasil, o Marco Civil da Internet traça linhas gerais sobre o direito de privacidade, exigindo informações claras e que a coleta seja adequada aos fins dos programas. Mas o país ainda carece de uma lei específica de proteção de dados pessoais: a iniciativa desenvolvida pelo Governo Federal em 2010 para coletar contribuições em um blog ainda não produziu um anteprojeto de lei.

FONTES:

Retrospectiva da semana – 02/08 a 08/08

O que saiu por aqui:

Quinta-feira (7), o Comissário de Direitos Humanos Tim Wilson se posicionou contra a proposta do governo australiano para uma maior retenção de dados de usuários de telefonia e de Internet, como forma de facilitar as investigações das agências de segurança.

Terça-feira (5), o portal The Intercept divulgou o documento “Realizações estratégicas da Diretoria de Identidades Terroristas em 2013″ segundo o qual na base de dados para triagem de terroristas pelos programas de espionagem dos EUA (cerca de 680 mil nomes) mais de 40% das pessoas não tem filiação comprovada com nenhum grupo terrorista.

Terça-feira (5), como parte da Política Nacional para Conteúdos Digitais Criativos, o Ministério das Comunicações lançou o edital de abertura para o concurso INOVApps, que pretende estimular a produção nacional de aplicativos e “jogos sérios” de interesse público para dispositivos móveis e TVs digitais conectadas: 25 propostas de aplicativos receberão 80 mil reais cada e 25 propostas de jogos receberão 100mil reais.

Segunda-feira, (4), o IBIDEM recebeu do Departamento de Estrangeiros do Ministério da Justiça do Brasil, em resposta a um pedido baseado na Lei de Acesso à informação, um documento no qual o governo “informa não ter recebido solicitação formal de asilo político, refúgio, proteção ou auxílio de qualquer natureza por parte do Senhor Edward Snowden“, mesma posição anteriormente declarada pelo Ministério das Relações Exteriores.

O que ler por aí:

O Yahoo disse que se juntará ao Google para criar um sistema de e-mail seguro até o ano que vem, com maior aplicação de criptografia, que pode quase impossibilitar que hackers ou funcionários governamentais leiam mensagens de usuários, além da intenção de reduzir o acesso dos próprios provedores ao conteúdo da mensagem durante a elaboração.

Ao comentar a estruturação do Registro Eletrônico de Saúde como uma base nacional de dados integrados e do prontuário eletrônico, o diretor de Tecnologia do Datasus, Augusto Gadelha disse que em tempos de big data e marco civil da Internet é preciso defender a privacidade do usuário quanto a informações sensíveis: “O dado não é do hospital, não é do médico, é do cidadão. Pode parecer trivial, mas até agora não era assim“.

O Diretor de Operações do Serpro, Wilton Motta, afirmou que a riqueza de informações das redes sociais permitiria aperfeiçoar uma política nacional de segurança pública. Citando o exemplo do Boletim de Ocorrência Único, em desenvolvimento com o Ministério da Justiça, afirmou que “(A big data) permite cruzar as informações que estão nas redes sociais, que nos dão muitas informações, com aquelas que o governo possui estruturadas“.

O Google anunciou que começará a usar a criptografia website, ou HTTPS, como um fator de ranking – um movimento que deve levar os desenvolvedores de sites a alterar as medidas de segurança. Inicialmente, para garantir o tempo necessário à adaptação, o HTTPS será apenas um fator leve, afetando menos de 1% das consultas globais.

“Coleta incidental”: 90% dos internautas espionados pela NSA são pessoas comuns

Mesmo que você não tenha nenhuma atividade suspeita e seja brasileiro, há uma chance muito grande de que as suas comunicações virtuais tenham sido armazenadas e examinadas pela Agência Nacional de Segurança (NSA) dos Estados Unidos. Segundo uma investigação de quatro meses realizada pelo jornal Washington Post, 90% das pessoas que foram espionadas pela NSA são pessoas comuns, pegas na rede de espionagem armada com o pretexto de combater o terrorismo e prover segurança para os EUA.

Detalhamento do conjunto de comunicações interceptadas pela NSA, repassado ao jornal Washington Post por Edward Snowden
Detalhamento do conjunto de comunicações interceptadas pela NSA, repassado ao jornal Washington Post por Edward Snowden

O material analisado faz parte da documentação revelada por Edward Snowden. Trata-se de uma coletânea cerca de 160 mil de conversações por e-mail ou  mensagens instantâneas, além de 7900 documentos obtidos em mais de 11 mil contas online. Os arquivos se referem a operações domésticas da NSA realizadas entre os anos de 2009 e 2012 (primeiro mandato Obama), sob a competência concedida pelo Congresso dos EUA em 2008, quando foi reformada a Lei de Vigilância de Inteligência Estrangeira (FISA, na sigla em inglês). Durante mais de um ano, membros do governo estadunidense vinham afirmando que os conteúdos relativos à FISA estavam fora do alcance de Edward Snowden.

Dentre os documentos a que o Washington Post teve acesso, encontravam-se conteúdos que os analistas da NSA consideravam úteis: revelações sobre programas nucleares secretos de países estrangeiros, duplos vínculos de aliados, identidades de hackers que invadiram redes de computadores dos EUA, interceptações que levaram a prisões de terroristas famosos e até mesmo outras que, segundo a CIA, estão servindo para impedir ações de grupos perigosos.

Contudo, há também diversos materiais que foram considerados “inúteis” pela NSA, mas que, mesmo assim, continuam sob sua guarda. Segundo a reportagem, são conteúdos de “qualidade espantosamente íntima, até mesmo voyeurística”, que “contam histórias de amor e desilusão, conexões sexuais ilícitas, crises de saúde mental, conversas políticas e religiosas, ansiedades financeiras e esperanças frustradas“. Aparecem até mesmo fotos pessoais (inclusive algumas de conteúdo autoerótico), prontuários médicos, currículos profissionais, etc., tudo com comentários de analistas, informando a irrelevância do material para a atividade de inteligência.

Esse fato, apelidado de “coleta incidental”, ocorre de diversas formas, seja porque os indivíduos interagiram diretamente com quem estava sob investigação, seja por motivos mais sutis. Em um dos casos, uma pessoa que se encontrava legalmente na condição de alvo entrou em uma sala de bate papo — os demais 38 usuários conectados à sala tiveram seus dados coletados e mantidos, independente de serem dados relevantes. Em outras ocorrências, a NSA designou como alvo faixas inteiras de IP, que poderiam ser utilizadas por centenas de pessoas. As coletas são realizadas por meio de programas como o PRISM, que extrai conteúdos armazenados em contas virtuais, e outros softwares da chamada coleção Upstream, que funcionam como “grampos” para interceptar dados quando transitam pelas infraestruturas de rede dos EUA.

A questão concreta que se coloca é o tamanho do “dano colateral” à privacidade das pessoas, cometido em nome da coleta de mensagens com algum valor para fins de inteligência e segurança. A reportagem conclui que, se a amostra fornecida por Snowden é representativa, a população que está sendo vigiada é muito maior do que tem sido sugerido:

Em um “relatório de transparência” do dia 26 de junho, o Gabinete do Diretor de Inteligência Nacional dos EUA afirmava que 89.138 pessoas foram alvos da coleta do ano passado sob as competências concedidas pela seção 702 da FISA. Na razão de 9 para 1 de coleta incidental na amostra de Snowden, os números oficiais corresponderiam a quase 900 mill contas, alvos ou não, sob vigilância.

Fontes:

Câmara: rastreamento de celulares volta à pauta na Comissão de Ciência e Tecnologia

POST ATUALIZADO EM 07/08/2015

Um projeto que poderá permitir à polícia rastrear celulares sem autorização judicial volta à pauta e pode ser votado amanhã, 2 de julho de 2014, pela Comissão de Ciência e Tecnologia, Comunicação e Informática (CCTCI) da Câmara dos Deputados.

Origem do PL nº 6.276/10

Sob a justificativa de facilitar investigações criminais, o projeto de lei (PL) nº 6.726, que “dispõe sobre o acesso de autoridades às informações relativas à localização de aparelhos de telefonia celular“, foi apresentado em fevereiro de 2010 pelo Deputado Arnaldo Faria de Sá (PTB-SP). Passados três anos, em agosto de 2013 a Comissão de Segurança Pública e Combate ao Crime Organizado aprovou o parecer (com texto substitutivo ao projeto) do Deputado Efraim Filho (DEM-PB) e o PL chegou à CCTCI.

"Audiência
Dep. Margarida Salomão (PT MG), na audiência pública de 1º de abril

Na Comissão de Ciência e Tecnologia, a relatora, Deputada Margarida Salomão (PT-MG), apresentou um parecer ainda em outubro de 2013, favorável à aprovação do projeto:

Em suma, entendemos que a proposta é altamente meritória e se presta a mitigar os efeitos da insegurança social em que vive a sociedade moderna. As alterações que propomos são pontuais e não alteram a essência da iniciativa, aperfeiçoando-a apenas em pequenos aspectos de mérito desta Comissão.

Todavia, a Deputada acabou requerendo o adiamento da votação e a realização de uma audiência pública, para “debater sobre o acesso de autoridades às informações relativas à localização de aparelhos de telefonia celular”.

Audiência pública na CCTCI

Realizada no dia 1º de abril de 2014, a audiência contou com convidados do Ministério da Justiça, da Agência Nacional de Telecomunicações, da Procuradoria-Geral da República, da Associação dos Delegados de Polícia do Brasil e da Polícia Civil do Distrito Federal. Apesar de também terem sido chamados, o Instituto Brasileiro de Defesa do Consumidor e o Coletivo Brasil de Comunicação Social não enviaram representantes. Todos os presentes se manifestaram favoravelmente ao projeto de lei.

Entre os discursos proferidos no dia, destaca-se o alarmismo na afirmação do diretor-geral da Polícia Civil do Distrito Federal, Jorge Luis Xavier, para quem a demora na aprovação do projeto seria responsável por causar mortes:

“Só não podemos ter lentidão na aprovação disso, porque muitos cadáveres, como o da moça que localizamos hoje, podem ser produzidos até que a Polícia disponha de mecanismos para agir dentro da lei, de forma mais ágil.”

Perspectiva

Agora, passada a audiência e apresentado um novo texto substitutivo pela Deputada Margarida Salomão, o PL 6.726/10 está listado na pauta para a reunião de amanhã, 10h15, estando plenamente pronto para ser votado pela segunda comissão da Câmara dos Deputados.

Após passar pela CCTCI, a proposição será avaliada pela Comissão de Finanças e Tributação (CFT), que avalia a adequação orçamentária e financeira; e depois segue para a Comissão de Constituição e Justiça e de Cidadania, que analisará o mérito do projeto, além dos critérios de constitucionalidade, juridicidade e técnica legislativa.

A matéria tramita em caráter conclusivo, ou seja, caso seja aprovado pelas comissões, o projeto não precisará ser analisada pelo Plenário da Câmara, seguindo direto para o Senado Federal antes de ir à sanção pela Presidência da República.

Fontes:


Atualização (02/07/2014): adiada votação

O PL 6.726/2010 não foi votado nesta quarta-feira, pois não houve reunião da CCTCI:

Em dois de julho de dois mil e quatorze, deixou de se reunir, ordinariamente, a Comissão de Ciência e Tecnologia, Comunicação e Informática por falta de quorum.


Atualização (06/08/2014); aprovação na CCTCI

A Comissão de Ciência e Tecnologia, Comunicação e Informática da Câmara dos Deputados aprovou hoje, 6 de agosto de 2014, o parecer (com texto substitutivo) da deputada Margarida Salomão (PT/MG), favorável ao projeto de lei nº 6.726/2010, que poderá permitir à polícia rastrear celulares sem autorização judicial.

Agora o PL deve seguir para a CFT, onde será analisada sua adequação financeira e orçamentária e, depois, para a Comissão de Constituição e Justiça, que vai apreciar o mérito, a constitucionalidade, a juridicidade e a técnica legislativa.

Parecer
Parecer da Dep. Margarida Salomão (PT-MG) ao PL 6.276/2010

Atualização (19/11/2014): relatoria na CFT

O PL foi recebido pela CFT e, em 11 de novembro, o deputado Afonso Florence (PT/BA) foi nomeado relator. No dia 13 de novembro, começou a correr o prazo de 5 sessões ordinárias para emendamento ao projeto na Comissão.


Atualização (10/02/2015): desarquivamento

O prazo na Comissão de Finanças e Tributação se encerrou em 26 de novembro de 2014, sem a apresentação de emendas.

O PL nº 6.726/10, que havia sido arquivado automaticamente ao final da legislatura 2011-2014, foi desarquivado em 09 de fevereiro de 2015, a pedido do autor do projeto, Deputado Arnaldo Faria de Sá (PTB-SP), tudo conforme previsto no Regimento Interno da Câmara dos Deputados.

Após a nova composição da Comissão, é provável que seja mantido na relatoria o Deputado Afonso Florence (PT/BA), reeleito para a legislatura 2015-2018, a quem caberá elaborar o seu parecer sobre o PL.


Atualização (07/08/2015): novo relator na CFT

Embora o antigo relator, Afonso Florence (PT/BA), tenha sido reeleito em 2014 e continue na composição Comissão de Finanças e Tributação, no dia 23 de junho de 2015 foi designado como relator do PL nº 6.726/10 na Comissão o Dep. Valtenir Pereira (PROS/MT), que está em seu terceiro mandato, mas atua pela primeira vez na CFT. Não há prazo para a elaboração do parecer.