Artigo publicado no site ItsFoss discute uma controvérsia em torno de novas leis de privacidade na Suíça, gera preocupação de que o país, tradicionalmente conhecido pela proteção da privacidade individual e corporativa, esteja se tornando um estado de vigilância.
As mudanças propostas na lei de vigilância (VÜPF) ameaçam essa imagem, o que permitiria uma vigilância mais ampla, com potencial para impactar provedores de VPN, serviços de chat e e-mail criptografados baseados na Suíça. Isso significa que esses serviços poderiam ser obrigados a cooperar com as autoridades de vigilância, comprometendo a privacidade de seus usuários.
Há sugestões de que o nível de vigilância proposto na Suíça pode ser “pior do que o dos EUA”, o que é uma afirmação forte, considerando a sua reputação de vigilância. A comunidade de tecnologia e privacidade está alarmada com as implicações dessas leis, temendo que a Suíça esteja se afastando de seus princípios de privacidade.
Do que se trata?
O texto menciona que tais leis forçariam os provedores de serviços criptografados a “construir backdoors em suas ofertas”, ou seja, mecanismos ou falhas intencionalmente inseridos em um sistema de software ou hardware, permitindo o acesso secreto e não autorizado a dados ou funcionalidades.
Essas backdoors seriam, essencialmente, “portas secretas” que as autoridades governamentais poderiam usar para contornar a criptografia e acessar as comunicações e dados dos usuários, mesmo que esses dados estejam protegidos por criptografia forte.
A forma mais direta seria exigir que o provedor de serviço crie uma “chave mestra” que possa descriptografar qualquer comunicação ou dado armazenado em seus servidores. Em vez de cada usuário ter sua própria chave privada (como na criptografia de ponta a ponta), haveria uma chave adicional conhecida pelo provedor (e, por extensão, pelas autoridades, se solicitada) que poderia desbloquear tudo.
O governo suíço poderia pressionar os provedores a implementar algoritmos de criptografia enfraquecidos ou com falhas de segurança conhecidas, mas não divulgadas. Isso permitiria que as autoridades explorassem essas falhas para descriptografar as comunicações.
Outra possibilidade: em vez de mexer com a criptografia em si, as leis poderiam exigir que os provedores dessem às autoridades acesso direto aos servidores onde os dados (mesmo que criptografados) são armazenados, ou até mesmo aos pontos onde as chaves de criptografia são geradas ou gerenciadas.
Para serviços que não oferecem criptografia de ponta a ponta (onde apenas os usuários têm as chaves), as leis poderiam exigir que os provedores registrassem e armazenem as comunicações em texto simples (descriptografado) por um determinado período, tornando-as acessíveis às autoridades mediante ordem judicial.
Por que isso é uma ameaça à privacidade “para todos”?
Uma backdoor não é apenas para o “uso exclusivo” do governo. Qualquer backdoor, por mais bem intencionada que seja, é uma vulnerabilidade de segurança. Se o governo souber como explorá-la, cibercriminosos ou outros estados-nação maliciosos também podem descobrir como. Isso significa que os dados de todos os usuários, incluindo cidadãos comuns e empresas que não têm nada a esconder, estariam em risco de serem interceptados e comprometidos.
Se os usuários souberem que seus serviços de privacidade favoritos têm backdoors, a confiança na privacidade suíça será completamente destruída. As pessoas buscarão alternativas em outros países - muitos não confiáveis - ou pararão de usar esses serviços para comunicações sensíveis.
Acima do código, interesses políticos são o mote da vez
Recentemente, o desenvolvimento do kernel Linux enfrentou uma controvérsia significativa devido à remoção de vários desenvolvedores russos (ou associados à Rússia) da lista de “mantenedores” oficiais do projeto. Essa decisão gerou um debate intenso na comunidade de software livre, que tradicionalmente valoriza a colaboração global e a neutralidade política.
A principal razão por trás dessa remoção estava ligada às sanções impostas à Rússia por governos ocidentais (especialmente os EUA) em resposta à guerra na Ucrânia. A Fundação Linux, que supervisiona o projeto do kernel, é uma organização com sede nos EUA, e, como tal, precisa cumprir essas sanções.
Greg Kroah-Hartman, um dos principais desenvolvedores do kernel e braço direito de Linus Torvalds, foi o responsável por implementar as mudanças, citando “vários requisitos de conformidade” e “documentação insuficiente” para a permanência desses desenvolvedores como mantenedores.
Linus Torvalds, o criador do Linux, endossou a decisão, indicando que ela está relacionada às sanções e aos acontecimentos geopolíticos. Ele foi bastante direto em suas respostas a críticas, sugerindo que as pessoas deveriam se informar sobre o cenário global.
A questão se tornou complexa porque muitos desenvolvedores de software livre contribuem em caráter individual, independentemente de seus empregadores. No entanto, se esses indivíduos estavam empregados por empresas sancionadas, ou se havia alguma dúvida sobre a origem de suas contribuições, a Fundação Linux sentiu a necessidade de agir para estar em conformidade com as leis.
Até tu, proton?
Em setembro de 2021, o Proton Mail foi obrigado a entregar dados de um ativista do clima francês a autoridades, que estava organizando protestos e utilizando uma conta do Proton Mail para se comunicar. Tal fato gerou bastante controvérsia e debate na comunidade de privacidade.
A polícia francesa, através da Europol, solicitou a cooperação das autoridades suíças. As autoridades suíças, por sua vez, emitiram uma “ordem judicial vinculativa” para o Proton Mail. O Proton Mail foi forçado a registrar e fornecer o endereço IP e detalhes do dispositivo usados pelo ativista para acessar a conta. Isso levou à identificação e eventual prisão do ativista na França.
A Proton AG, empresa por trás do Proton Mail, explicou que, sediada na Suíça, é obrigada a cumprir as ordens judiciais suíças válidas. O conteúdo das mensagens do e-mail (que são criptografadas de ponta a ponta) não foi acessado nem entregue, pois o Proton Mail não tem acesso a essas chaves de descriptografia.
Já o Proton Mail também enfatizou que as leis suíças tratam serviços de e-mail e VPN de forma diferente. Na época, eles afirmaram que o Proton VPN (seu serviço de VPN) não podia ser forçado a registrar dados de usuário.
Mas o estrago estava feito. O incidente abalou a confiança de muitos usuários que viam o Proton Mail como um refúgio absoluto para a privacidade e anonimato, especialmente devido à sua forte comercialização de “nenhum log de IP”.
O caso ilustrou as limitações da criptografia e dos serviços de privacidade quando confrontados com ordens judiciais válidas em jurisdições onde as empresas operam. Mesmo com criptografia forte para o conteúdo das comunicações, metadados (como IPs, horários de acesso e, em alguns casos, endereços de e-mail de recuperação) ainda podem estar sujeitos a ordens legais.
Para ativistas e indivíduos que precisam de alto nível de anonimato, o incidente reforçou a importância de uma “segurança operacional” (OPSEC) rigorosa, que inclui o uso de VPNs confiáveis (preferencialmente não associadas ao mesmo provedor de e-mail), redes Tor, métodos de pagamento anônimos, e evitar o uso de informações de recuperação que possam identificar a pessoa.
Neste contexto, usar software open source faz diferença?
O maior benefício do software open source é que seu código-fonte é público e pode ser inspecionado por qualquer pessoa. Isso, em teoria, torna muito mais difícil para governos ou empresas inserirem backdoors ocultas ou vulnerabilidades intencionais sem que a comunidade as descubra.
No caso das leis suíças que querem backdoors em e-mails, um software de e-mail open source, como o próprio Proton Mail (cuja interface de usuário é open source, embora o backend não seja totalmente), permitiria que especialistas em segurança examinassem o código em busca de tais implementações.
Em software proprietário (código fechado), não há como saber o que está realmente acontecendo “por debaixo dos panos”. Você precisa confiar cegamente no desenvolvedor. Se um governo pressionar uma empresa de software proprietário a adicionar uma backdoor, é muito mais fácil para ela fazê-lo sem que o público saiba.
O caso Proton Mail ilustra as limitações do open source quando confrontado com ordens legais e a jurisdição, pois a empresa está sujeita às leis locais. Se um tribunal ordena que eles registrem endereços IP para um usuário específico, eles são obrigados a fazê-lo, independentemente de o software ser open source.
Mas que ninguém se iluda: em tese, o open source pode proteger o conteúdo das suas comunicações, pois a criptografia pode ser verificada desde que não seu algoritmo não seja alterado, mas não necessariamente os metadados (como seu IP, horários de acesso, etc.). A empresa que hospeda o serviço (seja open source ou não) pode ser forçada a entregá-los.
Mesmo em projetos open source globais, fatores geopolíticos e regulatórios externos podem influenciar a governança e a participação. Isso não é uma falha intrínseca do open source, mas sim uma realidade de que as fundações e os indivíduos por trás desses projetos operam em um mundo real com leis e sanções.
Não é a bala de prata
Utilizar software open source pode ser importantíssiomo pela transparência e na capacidade de auditoria, oferecendo uma camada de segurança e confiança que o software proprietário não pode igualar, pois qualquer pessoa pode verificar o código para detectar backdoors ou vulnerabilidades.
No entanto, não é uma “solução mágica” para todos os problemas de privacidade e vigilância. O serviço oferecido sempre está sujeito às leis do país onde está sediado. Se elas exigem a entrega de dados ou a implementação de qualquer forma de acesso a dados do usuário, a empresa pode ser forçada a cumprir, independentemente de utilizar software ser open source.
O software open source nos dá as ferramentas e a capacidade de verificar as intenções de um software, mas não nos exime da responsabilidade de entender o contexto legal e geopolítico em que esses softwares são desenvolvidos e operados.