terça-feira, 19 de janeiro de 2021

A Seção 230 norte-americana

Quando em 1991 estávamos recém-entrados na Internet, houve uma disputa judicial nos Estados Unidos sobre a responsabilização de um provedor de serviços. a Compuserv, por abrigar conteúdo de terceiros, eventualmente ilegal. O discussão gerou uma proposta de lei que coibisse, entre outros, o linguajar obsceno na Interne. Seguiu-se uma grande reação da comunidade contra essa proposta. Há o eloquente exemplo da “Declaração de Independência do Ciberespaço”, de John Perry Barlow, 1996. Uma versão bastante desidratada do CDA (Communications Decency Act) acabou aprovada em 1996, mas de uma maneira vitoriosa para a Internet!. Embutida no CDA constava a seção 230, conseguida pela comunidade, que criava “isenção de responsabilidade” para sítios Web em relação a conteúdo provido por terceiros. Em espírito, é muito similar ao ítem sete do decálogo do CGI, que diz: “O combate a ilícitos na rede deve atingir os responsáveis finais e não os meios de acesso e transporte, sempre preservando os princípios maiores de defesa da liberdade, da privacidade e do respeito aos direitos humanos”.

Mal comparando, trata-se aqui da isenção de responsabilidade do mensageiro em relação à mensagem; o famoso “não mate o mensageiro”. Ninguém responsabilizaria o carteiro se a carta que ele trouxe é mentirosa ou ofensiva! O ponto crítico nessa analogia é o quanto de “carteiro” há nos diversos intermediários de hoje, o que deve ser protegido, e quais os objetivos finais almejados.

Muitas vozes hoje defendem a extinção da seção 230, passando a responsabilizar ao intermediários pelo conteúdo postado. O risco é que, na ânsia de debelar o que incomoda e prejudica, acabemos por perder um bem maior: o de receber sem interferências o que nos enviam. No caso do correio, isso seria fácil de resolver: sempre culparemos o remetente pelo abuso que cometeu. Mas no caso das plataformas, a “porca torce o rabo”. Por diversas razões, desde modelos econômicos de sustentação, até a busca por poder de mercado, usa-se do crescente poder de computação, aliado a ferramentas automáticas de análise de conteúdo, para se oferecer ao público a possibilidade de um “tratamento higiênico” no que chega para ser distribuido. O poderoso “canto da sereia” é: “cuidaremos de seu conforto, usando nossos padrões éticos”. Com isso, os novos “carteiros” se colocam como juízes de valores e conteúdo, e se dispõem a livrar-nos das eventuais mensagens abusivas. Mais que isso, através dos algoritmos que prescrutam nossos gostos, sugerem com quem mais deveríamos interagir para nos sentirmos mais confortados. Como efeito colateral, o verdadeiro remetente acaba ficando no limbo da discussão, quando o alvo primário da justa ira deveria ser quem gerou a mensagem-problema.

Em resumo, é importante presevar a imunidade que a seção 230 dá ao mensageiro, desde que se trate mesmo de um mensageiro! E, se nada impede o carteiro de entregar-nos propaganda de remetentes identificados, não lhe compete filtrar conteúdos, indicar-nos grupos a integrar, ou repassar informações sobre que correspondência recebemos, sob pena de não mais se enquadrar na 230. Para manter a liberdade na Internet o espírito da 230 deve ser preservado em seu contexto original, não apenas em parte dele.

Quando um fim almejado estropia arbitrariamente meios que temos para exercer nossos direitos, em breve não haverá saída: estaremos amortecidos quanto ao perigo que nos espreita. Esopo, um escravo grego autor de sábias fábulas, contava que se gritarmos “lobo” falsamente seguidas vezes, quando o lobo real vier já será muito tarde e estaremos indefesos.

===
Posição da EFF - Electronic Frontier Foundation - sobre o tema:
https://www.eff.org/issues/cda230
===
A Declaração da Independência do Ciberespaço - John Perry Barlow, 8 de fevereiro de 1996
https://www.eff.org/cyberspace-independence
"Governments of the Industrial World, you weary giants of flesh and steel, I come from Cyberspace, the new home of Mind. On behalf of the future, I ask you of the past to leave us alone. You are not welcome among us. You have no sovereignty where we gather.
<...>
We will create a civilization of the Mind in Cyberspace. May it be more humane and fair than the world your governments have made before."
===
O CDA - Communications Decency Act, de 1996
https://en.wikipedia.org/wiki/Communications_Decency_Act
===
http://reappropriate.co/wp-content/uploads/2014/07/dont-mess-with-internet-404.jpg

===
Curiosidade: as letras que John Perry Barlow fez para músicas do Grateful Dead
https://www.dead.net/lyricsby/John%20Barlow
===

terça-feira, 5 de janeiro de 2021

Riscos da Segurança Presumida

No ano que terminou, o da pandemia, houve um crescimento acelerado de tudo o que se relaciona a ambiente digital. Consequentemente cresceu o número de eventos preocupantes relacionados à nossa segurança e privacidade.

Se a maioria dos incidentes se encaixou nos perfis tradicionais, desde identidade enganadora (“phishing”), passando por envio de código malicioso (vírus, vermes), encriptação de conteúdos ou negação de serviço, houve casos mais preocupantes e sofisticados. Uma das formas dissimuladas e mais perigosas é, por exemplo, a que se vale da invasão de um certificado de autenticidade real e registrado, e compromete internamente uma cadeia de distribuição segura já estabelecida.

Talvez o caso mais paradigmático de 2020, com engenhoso comprometimento, seja o do Sunburst (irrupção solar), revelado só em dezembro. Além de levar mais de seis meses para ser identificado, ele atacou uma plataforma largamente utilizada por companhias e pelo governo norte-americano: a Orion, da empresa SolarWinds. Orion é um bem conceituado aplicativo para apoio a sistemas financeiros e de tecnologia da informação, adotado inclusive por agências de inteligência e ministérios dos Estados Unidos.

O primeiro aspecto notável foi a maneira com que o Sunbust se infiltrou nos sistemas. Todos sabemos que uma das mais enfatizadas recomendações de segurança reza sobre a necessidade de manter os equipamentos sempre atualizados, usando a última versão que o fabricante tornou disponível. Essas alterações são muitas vezes (e para nosso conforto) automáticas. O próprio programa identifica a intenção do fabricante em fazer uma atualização, confere a assinatura do pacote que recebeu e, normalmente, apenas nos pergunta se pode finalizar o processo já que, no mais das vezes, isso envolve uma reinicialização do sistema. Sunburst encontrou uma forma insidiosa de apresentar-se como uma corriqueira e segura “atualização de sistema” e ser reconhecido como “proveniente do fabricante”. De fato era um “cavalo de tróia” que carregava e instalava no Orion um módulo dll (“dynamic link library”) malicioso.

Uma vez instalado o Sunburst buscava seguir despercebido a programas de proteção e de varredura. Durante duas semanas mantinha-se dormente, sem nenhuma atividade visível, apenas examinando as características de seu hospedeiro. Se concluía que estava na instalação de um simples usuário e sem nada de interessante a vasculhar, o Sunburst armava sua própria desinstalação sem deixar vestígios. Mas se, por outro lado, o hospedeiro era uma empresa importante ou algum órgão de governo, ele iniciava sutilmente a comunicação remota com seu criador, preservando complexas maneiras de se manter invisível e não chamar a atenção. Com esse sutil e ardiloso comportamento permaneceu por mais de seis meses infectando máquinas sem ter sido detectado. E pelo tipo de vítima preferencial que escolhia, tudo indica que se trate de uma iniciativa ampla, que envolveria bem mais que a simples ação de maliciosos e competentes programadores buscando enriquecer.

Estamos em um cenário crescentemente complexo, em que há de se “confiar desconfiando”. Como diriam os escoteiros, estar“sempre alerta”, mas sem perder o otimismo: que 2021 ainda seja bom para todos! E aqui não consigo evitar um comentário: não atino com nenhum argumento lógico para trocar por “todos e todas”.  Em minha visão (míope), “todos” é completamente inclusivo, com a elisão de “indivíduos”. Ou, se preferirem, “todas”, com a elipse de “pessoas”… Mas esse é outro pântano, em que, prudentemente, tentarei por enquanto não me afundar. Então, um ótimo 2021 para todas (as pessoas)!

===
sobre o caso Sunburst

https://www.theguardian.com/technology/2020/dec/16/solarwinds-orion-hack-scrutiny-technology

https://www.bbc.com/news/technology-55321643

https://www.varonis.com/blog/solarwinds-sunburst-backdoor-inside-the-stealthy-apt-campaign/

https://medium.com/swlh/a-summary-of-fireeyes-detailed-analysis-on-the-sunburst-malware-d76cef328a3b


https://miro.medium.com/max/700/1*nmRzSvLJvOeVT0tIljIfiQ.jpeg