Austrália aprova lei que permite acesso a comunicações criptografadas

System

Sim, isso mesmo! Segundo publicação de hoje no New York Times, o parlamento australiano aprovou lei que requer que companhias de tecnologia forneçam acesso a comunicações criptografadas para agências de segurança e de aplicação da lei.

Mesmo com a oposição dos defensores da privacidade, de companhias de tecnologia, além de outras que lidam com outros tipos de negócios, o Primeiro Ministro australiano Scott Morrison afirmou que este era um movimento necessário, para frustrar os planos de criminosos na utilização de canais de comunicação criptografados.

O Procurador Geral Christian Porter afirmou que a lei “garante que as agências de segurança e de aplicação da lei tenham as ferramentas modernas de que precisam, com autoridade apropriada e supervisionada, e acessem as conversas criptografadas daqueles que buscam fazer o mal” aos australianos.

Os opositores à lei argumentam que esta não apenas compromete a privacidade dos cidadãos australianos, mas que também foi escrita de maneira vaga, o que poderia levar a abusos em sua aplicação. Também alegam que esta foi tramitada de forma apressada, sem a devida consulta ao público.

Lizzie O’Shea, uma advogada dos direitos humanos afirma ainda que a lei tem implicações globais, argumentando que os Estados Unidos e outros aliados queriam que a Austrália liderasse a mudança na entrega de dados criptografados a agências de segurança.

Ela estava se referindo aos países que tem a língua inglesa em comum, e que compartilham inteligência sob o acordo chamado Five Eyes (Cinco Olhos), e do qual fazem parte a Austrália, Canadá, Grã-Bretanha, Nova Zelândia, e os Estados Unidos.

Rodger Shanahan, pesquisador do Instituto Lowy para Política Internacional, disse que o projeto atende a uma necessidade legítima de dar às autoridades acesso a dados criptografados.

Shanahan disse que esteve a par de muitos casos de segurança nacional nos quais suspeitos usavam serviços de mensagens criptografadas para se comunicar com pessoas no exterior. “Eles estão no WhatsApp, Telegram e Kik, é assim que eles fazem”, disse ele.

Empresas de tecnologia australianas disseram que o projeto poderia prejudicar seus negócios no exterior, porque os clientes duvidariam de suas promessas de proteger dados criptografados. A indústria também argumentou que qualquer “backdoor” que as empresas sejam obrigadas a criar para que as autoridades possam acessar dados criptografados também seria vulnerável a ataques de hackers.

Entre as companhias que apresentaram suas ressalvas, a Apple foi uma das que argumentaram que o enfraquecimento da criptografia não é necessário para a aplicação da lei, e ainda afirmou ter processado 26 mil requisições de autoridades australianas somente nos últimos cinco anos, ajudando a investigar, prevenir e solucionar crimes.

Sendo apoiada ou não pela comunidade e empresas australianas, ou mesmo internacionais, o fato é que a lei já foi aprovada e deverá ser aplicada, prevendo multas de até 10 milhões de dólares australianos a empresas, e de até 50 mil dólares australianos para cidadãos que a descumprirem.

Para mais informações, acessem a reportagem original (em inglês) no site do New York Times.

Marriot internacional divulga violação de dados.

Segurança na web

A Marriot Intenational divulgou violação recente de dados que compromete a privacidade de até 500 milhões de seus clientes ao redor do mundo. De acordo com a notícia divulgada pelo Washington Post, criminosos digitais tiveram acesso aos sistemas de reservas de diversas das cadeias de hotéis pertencentes à corporação durante os últimos quatro anos. As informações expostas incluem dados como para onde estes clientes viajaram, quando e com quem.

Entre as redes de hotéis comprometidas encontramos nomes como o St. Regis, Westin, Sheraton, Aloft, Le Meridien, Four Points e W Hotels. Estes hotéis fazem parte das propriedades Starwood, que foram adquiridas pela Marriot em 2014, porém as bases de dados de ambas se mantiveram separadas até recentemente, o que permitiu que as bases originais da Marriot não fossem afetadas pela violação.

O incidente foi descoberto internamente pela sinalização de uma ferramenta de segurança não divulgada, evidenciando o acesso a dados por terceiros em 8 de setembro. A companhia então verificou que os criminosos haviam acessado estas bases de dados, os criptografado, e tentado removê-los. Demorou até o final de novembro para que a empresa conseguisse descriptografar as informações.

Segundo o release para a imprensa, os dados de cartões de crédito estavam protegidos por criptografia, porém o porta voz da Marriot não confirmou se a mesma proteção estava aplicada a outros tipos de informações de identificação pessoal, como nomes, endereços, números de telefone, e-mails, ou números de passaporte. A companhia, entretanto, admite não poder assegurar que as chaves criptográficas permaneceram seguras.

“A prevenção de violações de segurança em massa não é apenas uma questão de proteção de privacidade, mas também de proteção de recursos. Violações como essa podem levar a roubos de identidade e fraudes financeiras”, comentou o Senador do Estado de Massachusetts Edward J. Markey.

Enquanto as investigações prosseguem, o impacto financeiro a longo prazo para a Marriot segue incerto. A corporação criou um site e um call center dedicados a fornecer mais informações aos clientes, além de declarar que enviará e-mails aos clientes afetados.

A reportagem original, em inglês, pode ser acessada no site do Washington Post.

Falhas de segurança encontradas na versão 1.18 do VeraCrypt

System

Uma auditoria realizada pela Quarkslab, empresa francesa de segurança cibernética, descobriu falhas críticas de segurança no software de código aberto VeraCrypt, utilizado para a encriptação de discos ou a criação de compartimentos criptografados nestes.

O trabalho foi realizado sob encomenda do Open Source Technology Improvement Fund, e possibilitou que fossem encontradas oito vulnerabilidades críticas, três de risco médio, além de quinze outras de baixo impacto.

Algumas destas falhas já foram corrigidas e liberadas junto à versão 1.19 do VeraCrypt, portanto se você utiliza versões anteriores a esta é recomendável que realize a atualização do aplicativo. Outras permanecem em aberto devido a complexidade envolvida na correção, e que poderiam causar problemas de retrocompatibilidade.

Uma das mudanças mais significativas, foi a remoção do padrão russo de criptografia GOST 28147-89, que foi considerado inseguro pelos especialistas. Usuários que utilizaram anteriormente este padrão ainda serão capazes de acessar e manipular compartimentos ou discos, porém a criação de novos não estrá mais disponível.

Outras correções foram aplicadas ao gerenciador de inicialização, voltadas a computadores e sistemas operacionais com recursos UEFI, e corrigem falhas encontradas. As bibliotecas XZip e XUnzip também continham falhas e foram substituídas pela mais moderna e segura libzip.

Para acessar o relatório técnico da auditoria, em formato PDF, basta clicar neste link. Para ver o anúncio oficial por parte da OSTIF clique aqui.