Como uma lei da Austrália pode ter prejudicado a segurança do seu celular

Uma nova lei na Austrália dá às autoridades policiais o poder de obrigar os gigantes da indústria de tecnologia, como a Apple, a criar ferramentas que contornariam a criptografia embutida em seus produtos

A lei, a Emenda de Telecomunicações e Outra Legislação (Assistência e Acesso) de 2018, aplica-se apenas a produtos de tecnologia usados ou vendidos na Austrália. Mas seu impacto pode ser global: se a Apple construísse uma chamada porta dos fundos para iPhones vendidos na Austrália, as autoridades de outros países, incluindo os Estados Unidos, poderiam forçar a empresa a usar a mesma ferramenta para auxiliar suas investigações.

A lei australiana entrou em vigor no mês passado. É um dos esforços mais assertivos dos legisladores para conter as empresas de tecnologia, que argumentam há décadas que a criptografia inquebrável é uma parte imperativa da proteção das comunicações privadas de seus clientes.

Nos últimos anos, autoridades policiais se queixaram de que a criptografia severa tornou impossível para elas obter acesso às discussões online de suspeitos de crimes, particularmente em investigações perecíveis relacionadas ao terrorismo.

A tensão entre a tecnologia e as autoridades chegou ao auge há cerca de quatro anos, quando a Apple resistiu a um pedido federal para ajudar os investigadores a obter acesso a um iPhone bloqueado que havia pertencido a um homem que matou 14 pessoas em San Bernardino, na Califórnia.

O FBI acabou encontrando uma maneira de contornar a segurança do iPhone sem a ajuda da Apple. Mas se a Apple já tivesse criado uma solução alternativa --uma porta dos fundos, em termos industriais-- para vender telefones na Austrália, as autoridades dos EUA poderiam ter simplesmente ordenado que a Apple usasse a ferramenta.

Isso pode ser uma porta dos fundos da criptografia para os EUA. Uma porta dos fundos para uma porta dos fundos de criptografia

Sharon Bradford Franklin, diretora de política de vigilância e segurança cibernética do Open Technology Institute

A lei australiana tem mecanismos limitados de supervisão. Um aviso enviado a uma empresa deve ser "razoável e proporcional" e as autoridades devem ter um mandado para obter acesso a um celular ou serviço. Mas a agência que está emitindo o aviso decide o que é razoável.

Existe um processo de apelação se uma empresa for solicitada a construir uma nova capacidade de interceptação. Uma companhia pode pedir a um painel independente de avaliação que consiste em um especialista técnico e um ex-oficial de justiça para revisar o aviso.

A lei diz que as autoridades australianas não podem pedir a uma empresa para construir capacidades de decriptação universal ou introduzir fraquezas no sistema. Mas especialistas em segurança e empresas de tecnologia como a Apple disseram que isso não reflete o que teriam de fazer para cumprir um pedido.

É impossível, por exemplo, criar uma solução para a criptografia de um iPhone sem potencialmente introduzir algo que funcione para todos eles, afirmaram.

"Toda a tecnologia australiana está manchada por isso", disse Mike Cannon-Brookes, um dos fundadores da Atlassian, uma empresa de software de negócios que está entre as maiores empresas de tecnologia da Austrália.

A Austrália é um membro da chamada aliança de inteligência Five Eyes, e não é o único país na aliança com uma lei como essa. O Reino Unido aprovou a Lei dos Poderes de Investigação em 2016. Para que os órgãos de segurança britânicos obtenham acesso aos dados, ele deve primeiro solicitar um aprovador judicial.

"Não somos os primeiros", disse Michelle Price, presidente-executiva da organização sem fins lucrativos Australian Cyber Security Growth Network. "Mas a versão da Austrália foi muito além."

Funcionários da Apple chamaram a lei de "perigosamente ambígua" e "alarmante".

"A criptografia é simplesmente matemática", escreveu a Apple em um comunicado enviado ao Comitê Conjunto de Inteligência e Segurança do Parlamento Australiano em 12 de outubro:

Qualquer processo que enfraqueça os modelos matemáticos que protegem os dados do usuário para qualquer pessoa enfraquecerá as proteções para todos

Mas os políticos disseram que o risco da tecnologia de criptografia ser usada por terroristas era muito significativo. O primeiro-ministro Malcolm Turnbull, da Austrália, disse em julho: "As leis da matemática são louváveis, mas a única lei que se aplica na Austrália é a lei da Austrália".

Empresas de tecnologia nos Estados Unidos argumentam que não podem ser compelidas a criar ferramentas para quebrar a criptografia em seus produtos, porque o código de programação é uma espécie de liberdade de expressão protegida pela Primeira Emenda. Mas construir ferramentas para satisfazer as autoridades australianas faria essencialmente esse argumento irrelevante. Países do mundo todo podem exigir acesso à ferramenta.

A Apple não é a única empresa de tecnologia que pode sentir o impacto da lei australiana. Qualquer pessoa com um site é considerada um provedor de comunicações, sujeito à lei. Qualquer empresa que "forneça um serviço eletrônico que tenha um ou mais usuários finais na Austrália" deve cumpri-la.

Uma longa lista de empresas atende a essa descrição, como fabricantes de smartphones e o Facebook e seu serviço de mensagens WhatsApp.

Uma vez que o WhatsApp, por exemplo, constrói um sistema a mando dos australianos, todo mundo pode usá-lo

Nate Cardozo, o conselheiro sênior de segurança da informação da equipe legal da Electronic Frontier Foundation, que estudou a nova lei

A lei permite que agências governamentais como o Serviço Secreto de Inteligência da Austrália ou a Polícia Federal Australiana obriguem as empresas de tecnologia a instalar software no dispositivo de um usuário para contornar a criptografia. Também pode obrigar a empresa a não alertar o usuário.

"Então, se o WhatsApp recebe um desses avisos e não está em conformidade, eles estão sujeitos à captura de ativos e até mesmo hipoteticamente pode prender executivos por desprezo se eles se recusarem a fazê-lo", disse Cardozo.

Há confusão sobre outros requisitos de sigilo da lei. Por exemplo, a lei exigiria que os funcionários recebessem solicitações para mantê-las em segredo de seus empregadores? O Departamento Australiano de Assuntos Internos, que coordena a estratégia e a liderança da política nacional de segurança do país, diz que não. Mas especialistas em segurança da Electronic Frontier Foundation e em empresas como o gerenciador de senhas 1Password dizem que isso não está claro.

A Austrália não tem uma indústria de tecnologia forte, mas está crescendo, com investidores e startups e algumas poucas empresas estabelecidas. E na comunidade tecnológica que existe, a nova lei tem sido um grande sucesso.

"Nunca pensamos que a lei passaria", disse Alan Jones, executivo-chefe da M8 Ventures, uma empresa de investimentos em tecnologia em Sydney. "Todos nós percebemos que os líderes políticos da Austrália considerariam o aconselhamento especializado que dizia que isso era loucura."

Sarah Moran, diretora executiva da Girl Geek Academy, que ensina jovens mulheres a codificar, disse que planejava iniciar startups de tecnologia na Austrália até que a lei fosse aprovada.

"Eu estava procurando por duas empresas de tecnologia, mas por que você construiria tecnologia aqui agora?", ela perguntou. "Eu não acho que o governo entenda o quão drasticamente impacta não apenas a tecnologia que é construída aqui, mas também o entusiasmo e o investimento empresarial que os australianos estarão dispostos a fazer."

Moran, que mora em Melbourne, disse que estava questionando até mesmo o programa que ela atualmente administra. "Por que eu diria a garotas jovens para construírem tecnologia aqui se não houver nenhuma indústria de tecnologia?", ela perguntou.

Casey Ellis, de 37 anos, foi criado em Sydney, mas mora em São Francisco, onde administra uma firma de segurança cibernética chamada Bugcrowd. Ele já ouviu falar de empresas que se tornaram cautelosas em contratar companhias australianas, disse ele.

"As pessoas estão considerando isso como um risco quando você está contratando um australiano agora", disse Ellis. "Isso está causando um efeito assustador sobre as empresas australianas".