Políticas de Criptografia
Nesse mês, comemoramos a decisão da Corte Europeia de Direitos Humanos de que quebrar a criptografia é ilegal. Ainda: adiamento da decisão sobre a Convenção de Cibercrime da ONU e a lamentável conduta do Ministério Público do Equador que recorrerá da sentença que inocentou Ola Bini, desenvolvedor de software e criptógrafo preso por sua relação com Julian Assange, do Wikileaks, preso por revelar violações de direitos humanos pelos Estados Unidos.
Tribunal Europeu dos Direitos Humanos: Podchasov v. Russia
Vitória: o Tribunal Europeu dos Direitos Humanos proferiu uma sentença na terça-feira no caso Podchasov v Rússia, sobre as obrigações impostas ao Telegram de fornecer chaves de desencriptação das conversas. A Corte condenou o enfraquecimento da criptografia para todos usuários, considerando-o desproporcional e incompatível com o Artigo 8 da Convenção Europeia de Direitos Humanos.
Comitê da ONU adia decisão sobre convenção sobre crimes cibernéticos
Após dois anos de negociações, representantes dos estados reunidos em Nova Iorque de 29 de janeiro a 9 de fevereiro de 2024, os estados membros não conseguiram superar os pontos de discórdia fundamentais e o Comitê Ad-hoc concordou em suspender a sessão e adiar a decisão final. Um alívio para organizações que vêm apontando os riscos aos direitos humanos que existem no esboço atual.
O Ministério Público irá recorrer da sentença que declarou Ola Bini inocente
O Ministério Público do Equador recorrerá da sentença que considerou Ola Bini inocente, em janeiro de 2023. A Fundación Regional de Asesoría en Derechos Humanos criticou a decisão do Ministério Público, que compreende o recurso enquanto questão política ou persecutória.
No Alto Falante
Campanha contra a Convenção de Cibercrime da ONU; mais uma carta aberta contra a emenda à Lei de Poderes Investigativos do Reino Unido; além de duas manifestações do Internet Security Research Group (ISRG), que mantém o serviço Let’s Encrypt.
Campanha contra UN Cyber Crime Convention
Em articulação, organizações da sociedade civil e do setor privado pedem que as nações rejeitem a Convenção de Cibercrimes da ONU, por riscos perigosos. Na carta, dentre vários problemas, as organizações destacam pouca salvaguarda aos direitos humanos e os poderes transfronteiriços excessivos. O IP.rec também assina a carta aberta!
Em carta aberta para a UK Home Secretary, especialistas em segurança digital manifestam preocupação com emendas ao UK’s Investigatory Powers Act (IPA). No documento, destacam-se o risco de impacto na segurnaça e priviacidade online, ao centralizar o controle de atualizações essenciais de segurança, indo contra boas práticas atuais. Além disso, caso aprovadas, as emendas poderiam diminuir a confiança em serviços digitais e comprometer a segurança dos usuários.
10 anos construindo uma Internet melhor
A coordenadora do conselho de pesquisa do Internet Security Research Group (ISRG), Christine Runnegar, destaca a atuação da organização para construir uma internet mais segura, confiável e sustentável. Através do Let’s Encrypt, braço do ISRG, mais de 300 milhões de websites recebem certificado gratuitamente, tornando HTTPS padrão e garantindo uma navegação segura.
Nosso papel no apoio ao ecossistema sem fins lucrativos
Ainda do ISRG, Dan Fernelius, diretor da organização, destaca o papel do Let’s Encrypt no apoio ao ecossistema de organizações sem fins lucrativos, incluindo organizações que são referência para nós, como a American Civil Liberties Union (ACLU), a Human Rights Watch (HRW) e o Center for Democracy & Technology (CDT). Vida longa ao Let’s Encrypt!
Na Lupa
Olha só: duas promessas sem lastro nas evidências empíricas, do client-side scanning da fundação de Ashton Kutcher e Demi Moore ao fim do mito de anonimidade do Bitcoin. Também: tretas na criação da Agência Nacional de Segurança Cibernética, a derrubada de um dos maiores grupos de ransomware e o uso de spyware na Jordânia.
O que Ashton Kutcher, Demi Moore e criptografia têm a ver? Então, enquanto a Comissão Europeia busca enfraquecer a criptografia, inclusive fazendo publicidade direcionada ilegal a seus cidadãos, a tecnologia de client-side scanning mais protetiva à privacidade fornecida pela Fundação Thorn, fundada pelos dois atores de Hollywood e elogiada pela própria Comissão Europeia, é menos confiável do que diz. É o que revela a matéria na Follow The Money.
Como uma decifradora de códigos de 27 anos acabou com o mito do anonimato do Bitcoin
A matéria é adaptada de um trecho do livro “Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency” (Andy Greenberg, 2022). Narra como uma estudante da pós-graduação em Ciência da Computação da Universidade da Califórnia (San Diego), Sarah Meiklejohn, descobriu como “seguir o dinheiro” movimentado através de transações de bitcoins. Sua pesquisa ajudou a derrubar o mito de que transações feitas através de criptomoedas são absolutamente sigilosas e não-rastreáveis.
Militares tentam aproveitar crise na ABIN para criar órgão de segurança cibernética ligado ao GSI
A reportagem fala sobre como a investigação da PF sobre a espionagem ilegal da ABIN tem sido vista pelos militares como uma oportunidade para ganhar protagonismo na futura Agência Nacional de Segurança Cibernética, ANCiber. Pedro Amaral, co-coordenador do ObCrypto, foi entrevistado na matéria.
Operação do LockBit Ransomware encerrada; Criminosos Presos; Chaves para descriptografar liberadas
Um dos principais grupos de ransomware, LockBit, sofreu um duro golpe, com a prisão de dois membros na Polônia e Ucrânia. Estima-se que os ataques da LockBit afetaram mais de 2.500 vítimas no mundo e renderam mais de US$120 milhões em lucros. As autoridades disponibilizaram uma ferramenta de descriptografia para recuperar arquivos criptografados pelo ransomware.
Entre um hack e uma situação difícil: como o spyware Pegasus destrói o espaço cívico na Jordânia
Em meio da escalada da repressão à liberdade de imprensa e à participação política na Jordânia, uma investigação forense revelou a utilização do Pegasus para espionar pelo menos 35 jornalistas, ativistas políticos, membros da sociedade civil e defensores dos direitos humanos no país.
Sob Microscópio
Indicamos um paper de 2021, que conseguiu explorar vulnerabilidades no Let’s Encrypt. Pesquisas como essa são essenciais para continuar aprimorando a segurança digital.
No paper, os autores identificaram falhas na validação de domínio do Let’s Encrypt, serviço que emite certificados de segurança. Essas falhas permitiram aos pesquisadores desenvolver um ataque de downgrade, efetivo em 24,53% dos domínios testados, permitindo que obtivessem certificados fraudulentos para mais de 107 mil domínios, o que representa 10% dos 1 milhão de domínios da base de dados utilizada. Avaliaram-se também ataques a outras Autoridades de Certificação (CAs) importantes e foram fornecidas recomendações sobre como mitigar este tipo de ataque.
ObCrypto
O Observatório da Criptografia – ou ObCrypto – é um portal de referência para o monitoramento de decisões, legislações e estudos relacionados à criptografia e seus reflexos para a garantia de direitos fundamentais e segurança da rede. Propõe-se a catalisar a observação de fenômenos políticos que gerem impactos à criptografia e, com isso, contribuir com materiais especializados que sirvam de base para a construção de conhecimento sobre o tema.