Lei Anti-Criptografia da Austrália: uma breve análise do Access and Assistance Bill e seus aspectos mais controversos

O Parlamento australiano aprovou, no dia 06/12, uma lei que obriga empresas de tecnologia a enfraquecer a criptografia de seus produtos e serviços. Qualificada como “lei anti-criptografia” por seus críticos, a normativa compele as empresas a fornecer acesso a dados criptografados dos usuários para as autoridades de segurança, mesmo que para isso seja necessário inserir vulnerabilidades no sistema. Tal legislação constitui o mais recente desenvolvimento nos conflitos globais envolvendo regulamentação de criptografia.

No post de hoje, examinamos alguns dos aspectos mais controversos do Access and Assistance Bill (que, após sua aprovação, recebeu a denominação de Access and Assistance Act).

O mais recente capítulo nas guerras da criptografia

Desde as revelações de Edward Snowden a respeito dos programas de vigilância massiva conduzidos por diversos governos, houve um aumento notável no emprego de criptografia em sistemas digitais. A criptografia ajuda a proteger a integridade e a confidencialidade da informação, sendo usada nos mais diversos produtos e serviços. Desde comércio eletrônico e transações bancárias até aplicações de comunicação como WhatsApp e Skype fazem uso dela. Trata-se de um recurso fundamental para proteção da privacidade e da segurança na era digital.

Contudo, ao passo em que é consenso que a criptografia é uma proteção indispensável na sociedade da informação, instituições de segurança pública ao redor do mundo, em contrapartida, têm alegado que a técnica se tornou um obstáculo para o cumprimento de suas funções. A criptografia, segundo essas instituições, impede que a polícia tenha acesso a informações necessárias para investigações criminais.

Nessa narrativa, aplicações criptografadas criariam “paraísos digitais” nos quais o crime poderia ocorrer livremente. A solução, alegadamente, seria obrigar as empresas a inserir vulnerabilidades nas aplicações, que permitiriam acesso excepcional do Estado ao conteúdo “protegido”, para fins de investigação criminal. Disso vêm decorrendo diversos conflitos (as chamadas crypto wars), pois inserir tais vulnerabilidades significaria reduzir toda a segurança do sistema. Fazê-lo tornaria os usuários mais vulneráveis a criminosos digitais e vigilância estatal repressiva.

Nos EUA, um caso emblemático foi a contenda entre a Apple e o FBI acerca do desbloqueio do iPhone de um dos atiradores envolvidos no massacre de San Bernardino, em 2016. No Brasil, tais debates foram o tema central da audiência pública sobre os bloqueios do WhatsApp no STF. Em 2018, os bloqueios do Telegram na Rússia receberam bastante atenção da comunidade tecnológica em abril. Outro marco, neste ano, foi uma declaração emitida pelos países da Aliança de Inteligência Five Eyes (Austrália, EUA, Canadá, Reino Unido e Nova Zelândia). No documento, os países reiteraram a demanda por acesso excepcional em sistemas criptográficos para fins policiais.

Com a aprovação da nova lei, a Austrália se coloca no centro do mais recente conflito envolvendo as crypto wars.

Uma lei aprovada às pressas

O primeiro aspecto digno de nota da Lei Anti-Criptografia diz respeito à notável celeridade que se observou no seu trâmite legislativo. Tendo sido proposta inicialmente no mês de agosto, toda a tramitação da lei até sua aprovação durou nada mais que alguns poucos meses. Isso levanta preocupações acerca da profundidade dos debates e das análises realizadas pelo Legislativo australiano antes de dar por finita a confecção do texto legal.

Marcadamente, observou-se que a lei foi aprovada sem mesmo que fossem debatidas as 173 propostas de emendas ao texto original propostas pela Labor Party, partido de oposição ao atual governo australiano. O partido concordou em revogar todas as propostas para que a lei fosse aprovada ainda neste ano, sob a justificativa de manter a população australiana protegida neste final de ano – alegadamente, o período de maior probabilidade de ocorrência de atentados terroristas no país.

Em virtude dessa revogação das propostas de emenda ao texto legal, o governo australiano havia se comprometido a aprovar essas emendas do Labor Party no ano que vem. Contudo, declarações recentes de Peter Dutton, do Ministério dos Assuntos Internos do país (Ministry of Home Affairs), levantam dúvidas acerca dessa questão.

O que diz a nova lei, especificamente?

A Seção 1 da normativa, que é o foco deste post, estabelece, em resumo,  emendas a diversas normativas australianas previamente vigentes. Dentre essas, consta, o Criminal Code Act, o Telecommunications Act, o Telecommunications (Interception and Access) Act, entre outras.

As mudanças realizadas no Telecommunications Act são as mais expressivas, incluindo a adição de uma parte inteiramente nova à lei – a parte 15 -, para introduzir bases legais pelas quais torna-se possível solicitar (ou impor, dependendo do caso) o auxílio de “provedoras de comunicação designadas”.

Há três modalidades de auxílio previstas na nova lei. Explicamos, em linhas gerais, o sentido de cada uma abaixo:

1. Requerimentos de Assistência Técnica (RAT): Requerimentos voluntários para que um provedor de comunicações designado auxilie as autoridades competentes na salvaguarda e os interesses da segurança nacional, das relações exteriores, do bem-estar econômico, da integridade das informações armazenadas e veiculadas, entre outros.
   Quem pode emitir: Director-General of Security, Director-General of the Australian Secret Intelligence Service, Director-General of the Australian Signals Directorate ou diretores de agências de interceptação.
2. Notificações de Assistência Técnica (NAT): Notificações compulsórias para que um provedor de comunicações designado auxilie, através de uma capacidade de que ele disponha, as autoridades competentes a garantir a eficácia da lei criminal. Isso inclui situações em que o provedor de uma aplicação envolvendo criptografia mantém uma vulnerabilidade que permita acesso excepcional. A medida é aplicável  em casos de sérias ofensas à lei nacional.
   Quem pode emitir: Director-General of Security ou  diretores de agências de interceptação.
3. Notificações de Capacidade Técnica (NCT): Notificações compulsórias para que um provedor de comunicações designado auxilie, inclusive através do desenvolvimento de uma nova capacidade da qual ele não dispõe, as autoridades competentes a garantir a eficácia da lei criminal. Isso inclui compelir um provedor de aplicação envolvendo criptografia a introduzir uma vulnerabilidade que permita acesso excepcional.

Quem pode emitir: Attorney General.

As agências de interceptação mencionadas são as previstas no Telecommunications (Interception and Access) Act como detentoras de competência para interceptar comunicações ou obter acesso àquelas que estiverem armazenadas. São elas: a Australian Federal Police, a Australian Commission for Law Enforcement Integrity, a Australian Criminal Intelligence Commission, as agências policiais estaduais e territoriais e as comissões anticorrupção.

O descumprimento das notificações compulsórias repercute na aplicabilidade de algumas medidas que visam a observância da nova lei: penalizações civis, liminares judiciais ou enforcement undertakings.

Tipos de auxílio que podem ser demandados

A nova legislação prevê uma série de auxílios possíveis. Reproduzimos abaixos os principais, com base no documento explanatório da lei:

1. Remover uma forma de proteção eletrônica aplicada pelo provedor, o que inclui criptografia e outros mecanismos de autenticação.
2. Fornecer informações técnicas, como as especificações do design de um dispositivo ou características de um serviço
3. Instalar, manter, testar ou usar software ou equipamento entregue ao provedor por uma agência de interceptação;
4. Formatar informação obtida mediante mandado;
5. Facilitar acesso a dispositivos ou serviços;
6. Auxiliar agências de interceptação a testar ou desenvolver seus próprios sistemas e capacidades;
7. Notificar agências de interceptação acerca de mudanças significativas em seus sistemas, produções ou serviços que sejam relevantes para a execução efetiva de um mandato ou autorização;
8. Modificar ou substituir um serviço alvo;
9. Ocultar o fato de que agências de interceptação empreenderam uma operação secreta;

A amplitude excessiva do conceito de “provedor de comunicações designado”

Os possíveis provedores de comunicação designados dos quais tais auxílios podem ser demandados são elencados em uma extensa lista. Sumariamente, dizem respeito aos provedores de comunicação domésticos e estrangeiros, fabricantes de dispositivos e de componentes, provedores de aplicação, provedores de serviços de transmissão, dentre outros.

Trata-se de uma enumeração extremamente ampla, que abarca, inclusive, um indivíduo, caso “a pessoa desenvolva, forneça ou atualize software usado, para uso, ou provável de ser usado, em conexão com: (a) um serviço de transmissão listado ou (b) um serviço eletrônico com um ou mais usuários na austrália” (317C), por exemplo.

Essa é uma das principais preocupações que se tem quanto à nova lei. A generalidade desse conceito permite o enquadramento de pessoas tanto físicas quanto jurídicas, o que resulta numa considerável incerteza quanto a sua aplicação. São nebulosos, por exemplo, os efeitos de uma notificação oposta a um funcionário, individualmente, demandando auxílio a ser realizado através de atividades que ele desempenha enquanto funcionário da empresa.

Ainda nesse tópico, outro receio é que um funcionário seja coagido a atuar contra os interesses da própria empresa, o que geraria uma série de possíveis conflitos legais. Ademais, o cumprimento da notificação poderia ser tecnicamente inviável devido à existência de sistemas de controle de versão comumente usados na produção de software que revelariam as alterações realizadas pelo funcionário.

As limitações às solicitações e sua falta de fundamento científico

A divisão 7 da lei estabelece as limitações ao que pode ser demandado por meio das notificações e requerimentos. A principal dessas limitações é que elas devem ter por efeito a produção de uma “vulnerabilidade sistêmica” ou “fraqueza sistêmica” numa proteção eletrônica.

O texto legal define tais termos, respectivamente, como uma vulnerabilidade e/ou uma fraqueza que afetem uma “classe inteira de tecnologia”. A lei não define o que é uma “classe inteira de tecnologia”, mas situa os conceitos de vulnerabilidade sistêmica e fraqueza sistêmica em oposição a vulnerabilidades ou fraquezas inseridas “seletivamente em uma ou mais tecnologias alvo conectadas a uma pessoa específica” (317B).

O problema, em resumo, reside no fato de que tais conceitos não encontram qualquer fundamento científico no campo da segurança da informação. Mesmo que aplicada legalmente apenas a um usuário específico, o desenvolvimento e a implementação de uma vulnerabilidade que possibilita contornar a segurança de um sistema viabilizam seu uso contra qualquer usuário.

Isso porque, ainda que guardado “em sigilo”, um mecanismo desenvolvido para cumprir com uma notificação ou requerimento ainda é passível de obtenção por atores maliciosos. Foi o que se observou, por exemplo, no caso do ransomware WannaCry, que, em 2017, foi criado a partir de uma vulnerabilidade do Windows que era mantida em segredo pela Agência Nacional de Segurança estadunidense, para fins de vigilância. O WannaCry foi disseminado em âmbito global e colocou em risco incontáveis sistemas tanto da esfera pública quanto da privada.

Por causa disso, de um ponto de vista de segurança, é gravemente dúbia a distinção apresentada pela lei australiana entre uma “vulnerabilidade inserida num dispositivo específico” e uma “vulnerabilidade sistêmica” que desativa as criptografias de todos os usuários do aplicativo. Uma vez que uma vulnerabilidade securitária existe e é aplicável a qualquer usuário, ela passa a ser explorável por adversários maliciosos contra qualquer usuário.

A opacidade do conteúdo das solicitações

A lei determina (317ZS) a produção de relatórios anuais contendo o número de cada tipo de solicitação emitida naquele ano, bem como o número de NCTs cujo fim era garantir que provedores de comunicação designados pudessem auxiliar agências de interceptação. O único dado exigido sobre o conteúdo das solicitações é a especificação caso alguma delas esteja relacionada à observância de leis criminais em casos envolvendo ofensas sérias.

A ausência de outras exigências de informação a respeito do conteúdo das solicitações emitidas pode implicar num nível bastante reduzido de transparência institucional. Nessa perspectiva, é importante recordar o que levou à popularização da criptografia nos últimos cinco anos: a revelação de programas de vigilância conduzidos de forma opaca por agências de governamentais com o auxílio de empresas de tecnologia. Por conseguinte, há, no presente, uma preocupação fundamentada empiricamente com a falta de transparência nas instituições.

Conclusão

É perceptível que o Access and Assistance Bill configura-se como uma lei repleta de definições dúbias e previsões demasiadamente genéricas. Desde antes da aprovação da normativa, representantes de diversos setores da sociedade demonstraram descontentamento com os enunciados apresentados na lei. Segundo estes, trata-se de um mecanismo legal que coloca em risco a segurança de todos os usuários de internet. A Apple submeteu, em outubro, uma nota para o Parlamento australiano, posicionando contrariamente à nova lei e em defesa da criptografia.

Na declaração emitida pelos Five Eyes, mencionada anteriormente, os países signatários são claros em afirmar que, apesar de importante, a privacidade não é absoluta. Esse é um dos principais argumentos empregados para justificar a criação da lei aqui em análise: de que a discussão trata-se de um embate de “privacidade” contra “segurança”, e que a segurança, nos casos descritos, seria o interesse que deveria ser priorizado.

É importante lembrar, contudo, que a criptografia, nos dias atuais, ocupa mais do que a função de salvaguardar a privacidade dos usuários de internet: a técnica configura-se como um meio de se proteger a própria segurança dos mesmos. Isso porque, no mundo amplamente conectado em que habitamos, reduzir a proteção de informações armazenadas digitalmente constitui um perigo real para o bem-estar de cada um de nós.

O que se tem em pauta, portanto, não é uma ponderação entre “privacidade” e “segurança”, mas sim entre “segurança” e a própria “segurança”. Em outras palavras, a lei em análise apoia-se na manutenção de uma suposta ideia de “segurança nacional” em detrimento da segurança individual e coletiva de cada um e de todos os usuários de internet, o que justifica as diversas críticas que vêm sido direcionadas para o Access and Assistance Bill nos últimos dias.

Tem interesse por temas relacionados a criptografia e segurança digital? Clique aqui e confira mais conteúdo do IRIS sobre o assunto!

As opiniões e perspectivas retratadas neste artigo pertencem a seus autores e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.