.
Exclusivo Foram propostas leis no Reino Unido e na Europa que dariam às autoridades o poder de minar a criptografia forte de ponta a ponta na busca de, em suas mentes, justiça.
Se adotadas, essas regras – de acordo com um dos principais especialistas britânicos em segurança de computadores – autorizariam a leitura e análise de comunicações anteriormente privadas das pessoas para evitar potencialmente a disseminação de material de abuso sexual infantil e comunicações terroristas.
Ross Anderson, professor de engenharia de segurança do Departamento de Ciência da Computação e Tecnologia da Universidade de Cambridge, no Reino Unido, argumenta que esses regulamentos propostos – que, francamente, dependem de soluções técnicas, como varredura de mensagens no lado do dispositivo e aprendizado de máquina para caça ao crime algoritmos no lugar de policiais, assistentes sociais e professores – levam a um pensamento mágico e políticas infundadas.
Dentro um papel intitulado Controle de bate-papo ou proteção infantil?a ser distribuído via ArXiv, Anderson oferece uma refutação argumentos apresentados em julho pelos especialistas em cibernética e inteligência do governo do Reino Unido Ian Levy, diretor técnico do Centro Nacional de Segurança Cibernética do Reino Unido, e Crispin Robinson, diretor técnico de criptoanálise da Sede de Comunicações do Governo (GCHQ), o equivalente do Reino Unido à NSA.
Aquele jornal pró-snoop, escrito por Levy e Robinson e intitulado Reflexões sobre segurança infantil em plataformas de commoditiesfoi referenciado na segunda-feira pela Comissária da UE para os Assuntos Internos, Ylva Johansson, perante a Comissão das Liberdades Civis do Parlamento Europeu (LIBE) em apoio do Regulamento de Abuso Sexual Infantil da UE (2022/0155), segundo Anderson.
A ocasião para o debate é a aproximação, em 3 de agosto de 2024, da expiração de uma lei da UE que autoriza os provedores de serviços online a detectar e denunciar voluntariamente a presença de material de abuso sexual infantil nas comunicações e arquivos dos usuários. Sem regras de substituição, os defensores do regime de segurança infantil proposto argumentam que o conteúdo nocivo será ignorado.
Mas grupos de direitos online afirmam que a legislação contemplada causaria seu próprio dano.
“A proposta de Regulamento de Abuso Sexual Infantil da UE é um projeto de lei que deve ajudar a combater a disseminação de material de abuso sexual infantil”, disse a Iniciativa Europeia de Direitos Digitais (EDRi), em resposta à proposta de Johansson.
“Em vez disso, forçará os provedores de todos os nossos bate-papos digitais, mensagens e e-mails a saber o que estamos digitando e compartilhando o tempo todo. Isso removerá a possibilidade de anonimato de muitos espaços online legítimos. E também pode exigir software perigoso para ser baixado em todos os dispositivos digitais.”
Enquanto isso, o Reino Unido está considerando sua própria Conta de segurança on-lineque também imagina ignorando a criptografia por meio de varredura no lado do dispositivo. Propostas semelhantes, como a fatura GANHE TIcontinue surgindo nos EUA.
O artigo de Levy e Robinson – ele próprio uma resposta à uma digitalização do lado do dispositivo oposto ao papel que Anderson escreveu em coautoria com 13 outros especialistas em segurança em 2021 – descreve os vários tipos de danos que as crianças podem encontrar online: compartilhamento consensual de imagens indecentes entre pares; compartilhamento de imagens virais; ofensor a ofensor compartilhamento de imagem/vídeo indecente; ofensor ao aliciamento da vítima; comunicação ofensor para ofensor; comunicação do grupo ofensor para ofensor; e streaming de abuso de contato sob demanda.
Anderson argumenta que essa taxonomia de danos reflete os interesses dos investigadores criminais e não o bem-estar das crianças. “Do ponto de vista da proteção da criança e dos direitos da criança, precisamos olhar para os danos reais e, em seguida, para as prioridades práticas para as intervenções de policiamento e trabalho social que podem minimizá-los”, diz ele.
Anderson questiona os dados usados para alimentar a indignação da mídia e a preocupação política sobre os danos às crianças. Citando os 102.842 relatórios do Centro Nacional para Crianças Desaparecidas e Exploradas (NCMEC), a organização sem fins lucrativos com sede nos EUA que coordena relatórios de abuso infantil de empresas de tecnologia, para a Agência Nacional de Crimes do Reino Unido (NCA), ele estima que isso levou a 750 processos por imagens indecentes, “bem abaixo de 3% do total de 2019 de 27.233 processos por crimes de imagem indecente, dos quais 26.124 envolveram imagens de crianças”. E o número de processos desse tipo atingiu o pico em 2016 e desde então caiu, diz ele.
“Em resumo, os dados não suportam alegações de danos crescentes em larga escala que são iniciados online e que podem ser evitados pela digitalização de imagens”, diz Anderson.
O perigo de confiar em evidências duvidosas
No entanto, o dano real é causado por falsos positivos, observa ele, apontando para Operação Minériouma repressão ao abuso infantil na Internet que começou há duas décadas e levou a acusações falsas.
Levy e Robinson propõem “ter modelos de linguagem executados inteiramente localmente no cliente para detectar a linguagem associada ao aliciamento”. Eles comparam essa abordagem à varredura CSAM no dispositivo proposta pela Apple (e posteriormente arquivado, pelo menos por enquanto) nos EUA. Embora reconheçam os problemas levantados na época – falsos positivos, fluência de missão, vulnerabilidade a adulterações – eles afirmam: “Através de nossa pesquisa, não encontramos nenhuma razão para que as técnicas de varredura do lado do cliente não possam ser implementadas com segurança em muitas das situações que se encontro.”
Anderson diz que as agências de aplicação da lei há muito desistiram de escanear e-mails em busca de palavras-chave como “bomba” porque não funciona e porque a análise de tráfego, para a qual o acesso ao conteúdo não é necessário, é mais eficaz. E ele não espera que os modelos de processamento de linguagem natural (NLP) tenham um desempenho melhor.
“O uso de modelos modernos de PNL para detectar discurso ilegal – seja aliciamento sexual, recrutamento terrorista ou discurso de ódio – é altamente propenso a erros”, diz ele. “Nosso grupo de pesquisa tem uma longa experiência de procurando por extremismo político violento online, bem como fraude e spam. Indo apenas pelo conteúdo de texto, pode ser difícil obter taxas de erro significativamente abaixo de 5 a 10%, dependendo da natureza do material pesquisado.”
Com 5% de falsos positivos, Anderson sugere que cada um dos 1,6 milhão de policiais da Europa teria 625 alarmes sobre possíveis danos para lidar diariamente – não exatamente um cenário prático. Isso não quer dizer que não haja opções, apenas que as correções técnicas que quebram a criptografia não são adequadas para o propósito.
Em um e-mail para Strong The OneAnderson indicou que o setor privado mostrou interesse em ajudar os governos a entrar na varredura de conteúdo.
“Há uma empresa chamada Thorn que está fazendo lobby pelo contrato de digitalização e adoraria obter um mandato do governo para que seu software seja instalado em seus clientes de bate-papo”, disse ele.
“Os operadores do serviço de bate-papo odiariam isso, o que pode ser uma razão pela qual a Apple produziu seu próprio software de varredura do lado do cliente que causou uma tempestade no ano passado antes de parte dele ser retirado. Há também algumas startups do Reino Unido que o GCHQ e o Home Office financiaram. para produzir protótipos. Talvez isso fosse usado apenas como um meio de intimidar a Big Tech a fazer o trabalho por conta própria.
“No entanto, o grande ponto fraco é como a Big Tech lida com os relatórios dos usuários, que variam de ruins (Facebook) a quase nada (Twitter). Também discuto em meu artigo sobre a Lei de Segurança Online do Reino Unidoque saiu na semana passada.”
Anderson, em seu artigo sobre o Chat Control, sugere que os ativistas de segurança e privacidade infantil podem fazer uma causa comum para avançar regras que compelem os provedores de serviços online a remover conteúdo ilegal quando relatado.
“Atualmente, as empresas de tecnologia prestam atenção aos pedidos de remoção da polícia e de advogados de direitos autorais, pois ignorá-los pode ser caro – mas ignore usuários comuns, incluindo mulheres e crianças”, diz ele. “Isso precisa ser corrigido, seja por sanções criminais ou por penalidades financeiras significativas.”
As recomendações de Anderson para lidar com o abuso infantil concentram-se em abordagens tradicionais e complicadas: policiamento de qualidade, baseado na comunidade, em vez de correções de botão; compromisso social; capacitar os jovens; e respeito pelos direitos humanos.
“A ideia de que problemas sociais complexos são passíveis de soluções técnicas baratas é o canto da sereia do vendedor de software e atraiu muitos departamentos governamentais crédulos para as rochas”, diz Anderson. “Onde os ministros compram a ideia de uma ‘solução’ mágica de software, como a indústria gosta de chamar seus produtos, os resultados são muitas vezes decepcionantes e às vezes desastrosos”.
Além disso, Anderson diz que a vigilância generalizada, sem causa, viola a lei de direitos humanos. “O estado de direito deve ter precedência sobre a ‘segurança nacional’”, conclui. “Devemos manter uma vantagem moral sobre os estados autoritários concorrentes, não apenas uma vantagem militar e tecnológica. A criptografia de ponta a ponta deve, portanto, permanecer disponível por razões morais.”
E, diz ele, a criptografia deve permanecer por razões válidas de segurança cibernética, como Levy e Robinson reconhecido anteriormente, e ele e seus colegas tecnólogos argumentaram em seu artigo anterior. ®
.
