Marco Civil da Internet Aprovado

[PebaVermelho]

@Picinin isso que você está falando é a teoria. É muito diferente você ter uma chave-mestra acessível de qualquer lugar do globo que permita a qualquer um que a detenha fazer qualquer tipo de inferência dos dados. É no mínimo ingênuo acreditar que seu uso vai ser sempre prudente e a analogia com um mandado de justiça para quebra de sigilo bancário ou inspeção de uma propriedade não é nem de longe a mesma.

Mas quem falou em chave-mestra geral? E qual a diferença em relação a telefonia que impediria o whatsapp?
Vocês compram esse discurso mentiroso e demagógico das empresas muito fácil. A justiça não tá pedindo dados de todo mundo, tá pedindo dados de usuários específicos de suspeitos. E, se for pra vir com esse discurso de que o poder do Estado pode ser mai usado, vamos acabar com o Estado e viver no anarquismo, porque todo poder pode ser abusado

A questão é que não existe essa distinção de "vamos pegar dados de usuários que estejam fazendo algo errado". Cai no mesmo problema que a vigilância da NSA nos EUA, quem garante que os dados estejam sendo usados da forma correta? Como se prova isso? É simplesmente muito perigoso colocar tanto poder arbitrariamente nas mãos de um grupo pequeno de pessoas.

Mais tecnicamente, qualquer abordagem que não seja ninguém pode ter acesso acaba sendo muito perigosa, pois caso o whatsapp seja atacado (por exemplo), os dados de quaisquer pessoas podem ficar livres para o atacante. É muito mais seguro você garantir que ninguém tem acesso - claro que isso tem ônus e bônus, mas pra mim é bem claro que liberar o acesso é muito pior para a sociedade no overall.

É óbvio que existe essa distinção. A criptografia só será quebrada mediante ordem judicial, dentro de um processo, que é público. E a ordem de quebra do sigilo está sujeita a recurso. Não está se colocando poder arbitrariamente na mão de um grupo pequeno de pessoas, o poder está na mão de Juízes, assim como acontece com a quebra de sigilo bancário e telefônico.

O que essa Juíza pediu foi a interceptação do whatsapp, da mesma forma que é feita a interceptação telefônica.Você notifica a operadora/whatsapp, e ela intercepta o telefonema/conversa do whatsapp do suspeito em tempo real. Eu não tenho ideia de quais os problemas e riscos pra se implementar isso na prática, mas é evidente que o whatsapp tá tirando o corpo fora e se recusando a colaborar de qualquer maneira.

E não é o mesmo caso da NSA. O que a NSA fez é o que o @Kleber tá propondo. O poder público, por meio de um órgão de segurança, descobre como hackear/grampear alguém sem precisar da ajuda da operadora/whatsapp, e sai bisbilhotando na vida dos outros sem qualquer controle. Aí sim é arbitrário, porque um funcionário desse órgão de segurança vai ter acesso aos dados privados de qualquer um, de forma secreta, sem a intervenção do judiciário.

@Alvinho

eu não tô propondo nada, quem propôs foi a Juíza. E a proposta dela é bem razoável. O whatsapp, mediante ordem judicial, deixaria de criptografar as conversas de determinado sujeito de forma que elas pudessem ser interceptadas em tempo real.

E é óbvio que me preocupa a quebra de privacidade. Mas, como eu disse aí acima, não acho que o whatsapp cumprir a ordem da juíza seja um risco significativo à privacidade da população em geral. Pode acontecer o que o Moro fez com a gravação da conversa da Dilma com o Lula (em que a interceptação não estava errada, mas foi divulgada de forma questionável), mas os maiores casos de violação à privacidade do cidadão comum não foram causados por ordens judiciais. Vide o caso do PRISM, que era espionagem pura e simples. Como eu disse acima, me parece muito mais perigoso deixar que o governo quebre a criptografia por seus órgão de segurança (ABIN e polícias), do que essa quebra seja feita pelo próprio aplicativo/operadora, mediante ordem judicial.

Eu discordo de vocês porque vocês acreditam que essas empresas realmente protegem integralmente sua privacidade na internet, e que a exigência da Justiça brasileira mitigaria essa segurança Eu já duvido muito que essa empresas realmente protejam sua privacidade de forma adequada. Já foi provado que o Facebook guarda dados deletados e registros de onde você logou, à sua revelia. A Apple já deixou que a ICloud fosse invadida por falha de segurança, e dados privados form vazados. Pesando na balança, eu acho que o risco à privacidade não será aumentado de forma significativa caso o whatsapp colabore com a justiça. Em compensação, a efetividade das investigações criminais vai aumentar bastante.

As empresas boazinhas guardam seus dados com privacidade e segurança sim amiguinho, pode confiar.

A desculpa da impossibilidade técnica por falta de segurança é RISÍVEL, principalmente quando vem de empresa que libera falha em produção porque esqueceram um { } depois de um IF. Só fanboy mesmo pra comprar o discurso.

Não tem nada de fanboy. Antes de Abril, quando o whatsapp ainda não era end-to-end encrypted, não era seguro, simples. O Telegram, por exemplo, não é (a não ser que tenha implementado recentemente).

E jura que você tá comparando diminuir a segurança deliberadamente com um bug?

O Telegram oferece criptografia de ponta-a-ponta há muito mais tempo do que o WhatsApp.

[Alvinho]

O Telegram não usa encriptação ponta a ponta nos chats normais, e nos secretos ele usa uma encriptação proprietária, fechada. Então ele é infinitamente menos seguro do que o WhatsApp.

Eu sei que pra um fanboy isso é difícil de aceitar, mas é a verdade.

[DiegoSestito]

E eu não acredito que as empresas protegem minha privacidade, pelo contrário. Por isso mesmo que a criptografia ponta a ponta é importantíssima, com ela você não precisa confiar em empresa alguma, já que nem a própria empresa consegue quebrar a sua privacidade.

Aham, isso é o que eles dizem né. O código não é opensource, é uma caixa preta, da pra pensar em umas 5 maneiras diferentes de implementar um backdoor nisso sem problema nenhum. Se eu acreditasse que ja não existe backdoor, provavelmente eu concordaria com você.

O protocolo de criptografia do WhatsApp é open source sim.

Não, eles usam uma solução open source, que foi o que o RKint postou. Não da pra saber se eles utilizam a solução exatamente como foi baixada no git hub ou se fazem alterações nela. Eu posso estar enganado, mas eu nunca vi uma garantia do whatsapp de que o código que eles utilizam no pacote deles é esse código inalterado.. Porque essa garantia é praticamente impossível, ja que nem se eles disponibilizassem o código do próprio whatsapp como opensource seria possível aferir que o código seria o mesmo na versão do usuário.

[PebaVermelho]

O Telegram não usa encriptação ponta a ponta nos chats normais, e nos secretos ele usa uma encriptação proprietária, fechada. Então ele é infinitamente menos seguro do que o WhatsApp.

Eu sei que pra um fanboy isso é difícil de aceitar, mas é a verdade.

E onde você viu que é proprietária?

[Alvinho]

Mas aí você já entra num nível de paranoia meio inútil, no sentido de que se você for pensar assim, nada nunca vai ser seguro. Mesmo em programas open source você tem que confiar que alguém leu o código inteiro, entendeu tudo e certificou que não tem nenhum backdoor escondido.

[Alvinho]

O Telegram não usa encriptação ponta a ponta nos chats normais, e nos secretos ele usa uma encriptação proprietária, fechada. Então ele é infinitamente menos seguro do que o WhatsApp.

Eu sei que pra um fanboy isso é difícil de aceitar, mas é a verdade.

E onde você viu que é proprietária?

No site do Telegram:

https://core.telegram.org/techfaq#q-why-did-you-go-for-a-custom-protocol

[PebaVermelho]

O Telegram não usa encriptação ponta a ponta nos chats normais, e nos secretos ele usa uma encriptação proprietária, fechada. Então ele é infinitamente menos seguro do que o WhatsApp.

Eu sei que pra um fanboy isso é difícil de aceitar, mas é a verdade.

E onde você viu que é proprietária?

No site do Telegram:

https://core.telegram.org/techfaq#q-...ustom-protocol

Mas aí está dito "custom protocol". Não está falando que o código é proprietário ou fechado. Se você pesquisar existem inclusive versões alteradas do MTProto.

[DiegoSestito]

Mas aí você já entra num nível de paranoia meio inútil, no sentido de que se você for pensar assim, nada nunca vai ser seguro. Mesmo em programas open source você tem que confiar que alguém leu o código inteiro, entendeu tudo e certificou que não tem nenhum backdoor escondido.

Mas nunca estar seguro é realidade oras. Mas a preocupação com segurança não é inútil por causa disso, a criptografia é ótima para garantir que terceiros não tenham acesso a informação, inclusive se o terceiro for o governo. Eu acho que a criptografia end-to-end é ótima para evitar que estado tenha acesso irrestrito as informações, mas ela de forma alguma garante que a empresa que a utilize em seu aplicativo tenha esse acesso se modificar o código.

[RKint]

@PebaVermelho: https://twitter.com/snowden/status/6...374144?lang=en

[PebaVermelho]

@PebaVermelho: https://twitter.com/snowden/status/6...374144?lang=en

Eu já li muitas críticas sobre o MTProto, e tenho consciência de que o protocolo signal goza de melhor reputação, mas isso por si só não desqualifica a afirmação de que o Telegram oferece criptografia end-to-end há mais tempo do que o WhatsApp. Existem muitas maneiras de se implementar um protocolo de criptografia.

Em todo caso não existe nenhum ataque conhecido sobre o MTProto que tenha resultado na decodificação de uma mensagem em plain text e isso também precisa ser pontuado.

Além disso, a maior vulnerabilidade que recai sobre a comunicação nesses aplicativos nem deve ser a qualidade da criptografia, mas sim o controle sobre o armazenamento das mensagens em cada ponta. Se você for atrás quase sempre as mensagens são obtidas pelas autoridades localmente no dispositivo (vide Lava Jato) e não interceptadas. O Telegram soluciona esse problema oferecendo um temporizador de autodestruição nos chats secretos. O WhatsApp não tem nada que resolva isso. Ainda que eu apague uma mensagem do meu aparelho eu não tenho nenhuma garantia sobre a outra ponta.