Austrália aprova lei que permite acesso a comunicações criptografadas

System

Sim, isso mesmo! Segundo publicação de hoje no New York Times, o parlamento australiano aprovou lei que requer que companhias de tecnologia forneçam acesso a comunicações criptografadas para agências de segurança e de aplicação da lei.

Mesmo com a oposição dos defensores da privacidade, de companhias de tecnologia, além de outras que lidam com outros tipos de negócios, o Primeiro Ministro australiano Scott Morrison afirmou que este era um movimento necessário, para frustrar os planos de criminosos na utilização de canais de comunicação criptografados.

O Procurador Geral Christian Porter afirmou que a lei “garante que as agências de segurança e de aplicação da lei tenham as ferramentas modernas de que precisam, com autoridade apropriada e supervisionada, e acessem as conversas criptografadas daqueles que buscam fazer o mal” aos australianos.

Os opositores à lei argumentam que esta não apenas compromete a privacidade dos cidadãos australianos, mas que também foi escrita de maneira vaga, o que poderia levar a abusos em sua aplicação. Também alegam que esta foi tramitada de forma apressada, sem a devida consulta ao público.

Lizzie O’Shea, uma advogada dos direitos humanos afirma ainda que a lei tem implicações globais, argumentando que os Estados Unidos e outros aliados queriam que a Austrália liderasse a mudança na entrega de dados criptografados a agências de segurança.

Ela estava se referindo aos países que tem a língua inglesa em comum, e que compartilham inteligência sob o acordo chamado Five Eyes (Cinco Olhos), e do qual fazem parte a Austrália, Canadá, Grã-Bretanha, Nova Zelândia, e os Estados Unidos.

Rodger Shanahan, pesquisador do Instituto Lowy para Política Internacional, disse que o projeto atende a uma necessidade legítima de dar às autoridades acesso a dados criptografados.

Shanahan disse que esteve a par de muitos casos de segurança nacional nos quais suspeitos usavam serviços de mensagens criptografadas para se comunicar com pessoas no exterior. “Eles estão no WhatsApp, Telegram e Kik, é assim que eles fazem”, disse ele.

Empresas de tecnologia australianas disseram que o projeto poderia prejudicar seus negócios no exterior, porque os clientes duvidariam de suas promessas de proteger dados criptografados. A indústria também argumentou que qualquer “backdoor” que as empresas sejam obrigadas a criar para que as autoridades possam acessar dados criptografados também seria vulnerável a ataques de hackers.

Entre as companhias que apresentaram suas ressalvas, a Apple foi uma das que argumentaram que o enfraquecimento da criptografia não é necessário para a aplicação da lei, e ainda afirmou ter processado 26 mil requisições de autoridades australianas somente nos últimos cinco anos, ajudando a investigar, prevenir e solucionar crimes.

Sendo apoiada ou não pela comunidade e empresas australianas, ou mesmo internacionais, o fato é que a lei já foi aprovada e deverá ser aplicada, prevendo multas de até 10 milhões de dólares australianos a empresas, e de até 50 mil dólares australianos para cidadãos que a descumprirem.

Para mais informações, acessem a reportagem original (em inglês) no site do New York Times.

Anúncios

Chrome 71 lançado com novas características de segurança

google-chrome

Uma nova versão do navegador de código aberto Chrome foi lançada pela Google, e traz com ela novas características de segurança. Além de corrigir 43 vulnerabilidades de segurança, a versão 71 deste navegador apresenta funcionalidades que visam proteger os usuários contra propagandas abusivas, áudios indesejados e de toque automático, entre outras.

Os bloqueios de propagandas tem por objetivo impedir a visualização de conteúdo que promovam malwares, tenham áreas de clicks escondidas, falsos ponteiros de mouse, redirecionamentos de páginas não-interativos, phishings, entre outras formas de utilização maliciosa destes anúncios.

Sites com conteúdo que leve a cobranças indevidas também são alvo das melhorias na proteção do navegador. Quando estes sites forem identificados, um alerta será mostrado ao usuário, indicando que este destino pode tentar realizar cobranças indevidas. Páginas que usam esse tipo de artifício geralmente solicitam aos usuários que insiram dados como números de celular, e com isso permitem o acesso a jogos por exemplo. Porém, com isso, os usuários são inscritos em assinaturas das quais tem dificuldades em se livrar.

As versões para desktops GNU/Linux, Windows ou MacOS já estão disponíveis, e podem ser instaladas ou atualizadas através do próprio navegador, acessando o menu configurações > ajuda > Sobre o Google Chrome, e o browser vai verificar automaticamente a existência de novas atualizações. As versões para dispositivos móveis ainda não foram disponibilizadas, mas espera-se que isso seja feito durante as próximas semanas.

Cansados do assunto segurança da informação?

cansado

Olá pessoal! Hoje venho falar sobre os resultados de uma pesquisa realizada em conjunto a profissionais do National Institute of Standards and Technology (NIST), e divulgada pela IEEE Computer Society, na qual foi apontada que o excesso de notícias e alertas sobre segurança da informação tem levado os usuários a uma “fadiga de segurança”, o que por sua vez tem feito os usuários tomarem decisões ruins relacionadas ao tema.

Embora o relatório tenha sido divulgado apenas no dia 04 deste mês, a pesquisa foi conduzida entre os meses de janeiro e março de 2011, entrevistando diversos participantes, incluindo homens e mulheres de algumas partes dos Estados Unidos, onde foram incentivados a falar sobre como se sentiam em relação ao tema segurança da informação.

Estes foram questionados a respeito de atividades realizadas online, percepção de segurança da informação, além do conhecimento e uso de ícones de segurança, ferramentas e terminologias associadas ao tema. A partir disso, técnicas de dados qualitativos foram utilizadas para codificar e analizar os resultados em busca de sintomas, fatores contribuintes, e efeitos relacionados a fadiga de segurança da informação.

Mesmo que a fadiga não tenha sido envolvida diretamente nos protocolos da pesquisa, mais da metade dos entrevistados apresentaram sintomas referentes a ela em suas respostas, onde expressaram resignação, perda de controle, fatalismo, minimização de riscos, e até mesmo indicaram evitar tomar decisões relativas ao tema segurança.

Algumas das respostas oferecidas pelos entrevistados podem ser vistas em um vídeo, onde uma das Cientistas da Computação que realizaram a pesquisa, e que trabalha atualmente para o NIST, Mary Frances Theofanos, explica o que é a fadiga de segurança da informação. Veja algumas das afirmações feitas por participantes:

“Segurança parece ser algo meio incômodo, é só mais uma coisa que devemos ter e nos manter atualizados”.

“Acho que estou meio insensível a ela… as pessoas se cansam de ser bombardeadas com ‘cuidado com isso’,’cuidado com aquilo’ “.

É quase compreensível que tenham esse tipo de reação, levados é claro pelo número cada vez mais frequente de notícias envolvendo quebras de segurança, tanto no setor privado quanto governamental, porém é possível minimizar esse tipo de sentimento se seguirmos alguns conselhos oferecidos pela própria pesquisadora.

Limitar o número de decisões do usuário quando estas forem relacionadas a segurança da informação. Quanto maior a quantidade de decisões que se deve tomar durante um dia, mais difíceis elas se tornam. A partir do suporte oferecido, podemos indicar quais seriam as melhores soluções a serem empregadas em determinada situação, para resolver uma determinada dificuldade relacionada ao tema, minimizando assim a necessidade de preocupação por parte dos usuários na busca pela resolução da mesma.

Desenvolvedores de sistemas participam dessa ação ao criarem códigos seguros a despeito da experiência do usuário. A segurança dos sistemas não pode ser minimizada para melhorar o seu contato com os usuários. Estes sistemas devem ser idealizados para limitar os riscos de exploração, aleḿ de reforçar os princípios de uma autenticação forte e segura.

Tornar simples para o usuário tomar a decisão certa relativa ao assunto segurança. Não devemos simplesmente impor ao usuário, através de nossas políticas de segurança, que este tenha uma senha com determinada quantidade de caracteres, seguindo uma determinada combinação, e que esta seja trocada a cada período determinado, sem oferecer-lhes formas seguras de criar e armazenar estas senhas, como um chaveiro digital por exemplo.

O usuário deve ser guiado a construir uma proteção efetiva de seus dados a partir do entendimento de como essa proteção é construída, em torno de sí mesmo primeiramente, até o contato que estes tem com os sistemas corporativos a seu dispôr. Não se pode negligenciar a forma de como este usuário enxerga o valor de seus dados, e não lhes oferecer indicações sobre como podem se proteger fora do ambiente corporativo.

Tentar proteger estes sistemas, utilizando as mais diversas ferramentas e orçamentos disponíveis, sem que o usuário seja instruído sobre como lidar com a segurança de seus dados pessoais, ou de seu equipamento doméstico ou móvel, de uma forma que seja compreensível por ele, será sempre uma luta difícil de ser vencida.

A participação de todos os envolvidos nos processos, é essencial para a minimização dos riscos na segurança da informação, por isso a alta direção deve se preocupar com a educação dos usuários sobre o tema, mas fazendo isso a partir do ponto de vista deles, oferecendo caminhos que possam ser trilhados para a obtenção de segurança, removendo a tensão existente, e melhorando a proteção de todos.