Dicas Úteis

Confiança e Segurança no Ubuntu Snap Store

Pin
Send
Share
Send
Send


• Facebook, WhatsApp e Apple assumiram as primeiras posições na classificação de segurança dos mensageiros instantâneos

• Apenas 3 de 11 empresas de tecnologia comprovadas usam criptografia de ponta a ponta por padrão em seus mensageiros.

Empresas de tecnologia como a Microsoft, proprietária do Snapchat e do Skype, não conseguiram implementar sistemas básicos de proteção de privacidade em seus mensageiros, comprometendo assim os direitos dos usuários, disse hoje a Anistia Internacional.

O novo “Messenger Confidentiality Rating” avalia 11 empresas e seus mensageiros mais populares pela maneira como eles usam criptografia para proteger a privacidade e a liberdade de expressão dos usuários em seus mensageiros.

“Se você acha que os mensageiros protegem suas informações, você encontrará uma grande surpresa. De fato, nossas mensagens podem, a qualquer momento, cair nas mãos de cibercriminosos e agências governamentais envolvidas em espionagem. Primeiro de tudo, há jovens em risco que publicam seus dados pessoais e fotos mais ativamente do que outros usando programas como o Snapchat ”, disse o xerife Elsaed-Ali, chefe do programa de tecnologia e direitos humanos da Anistia Internacional.

A Anistia Internacional já falou sobre criptografia de ponta a ponta, ou seja, uma forma de criptografar dados de tal forma que somente o remetente e o destinatário possam vê-los, como a proteção mínima necessária com a qual as empresas de tecnologia podem garantir a confidencialidade das informações privadas em mensagens instantâneas. Para empresas que estão na parte inferior dessa classificação, a criptografia de um nível adequado não está instalada em mensageiros.

“As empresas de tecnologia são obrigadas a responder às conhecidas ameaças à privacidade e à liberdade de expressão de seus usuários, apesar disso, muitas empresas cedem ao primeiro obstáculo, não fornecendo um nível adequado de criptografia. Milhões de pessoas usam mensageiros instantâneos que nem mesmo lhes fornecem proteção básica de privacidade ”, disse o xerife Elsaed-Ali.

No Messenger Confidentiality Rating, a Amnistia Internacional classificou as empresas de tecnologia em uma escala de um a 100 pontos, com base em quão bem eles fazem as cinco coisas a seguir:

• Reconhecer as ameaças existentes à privacidade e liberdade de expressão para os usuários

• Oferecer criptografia de ponta a ponta por padrão

• Informar os usuários sobre ameaças aos seus direitos e nível de criptografia

• Informar os usuários detalhadamente sobre os requisitos do governo para o fornecimento de dados do usuário e como eles respondem a eles

• Publicar informações técnicas sobre os sistemas de criptografia usados.

Tencent, Blackberry e Snapchat tiveram menos de 30 pontos em 100

No final do ranking estava a empresa chinesa Tencent, que recebeu zero pontos em 100, porque se preocupa menos com a confidencialidade das mensagens e não pode se orgulhar de transparência. O Blackberry e o Snapchat são um pouco maiores, com 20 e 26 pontos, respectivamente. Apesar de suas fortes obrigações de direitos humanos, a Microsoft ainda usa algoritmos de criptografia não confiáveis ​​no Skype e, portanto, marcou apenas 40 pontos e ficou em 4º lugar no final. Nenhuma dessas empresas fornece criptografia de ponta a ponta de mensagens para seus usuários.

O Snapchat, uma empresa americana cujo produto é usado por mais de 100 milhões de pessoas diariamente, também recebeu uma classificação baixa. Apesar de ter assumido um firme compromisso de proteger informações privadas, na prática, não adota medidas suficientes para proteger a privacidade dos usuários. Por exemplo, ele não usa criptografia de ponta a ponta e não informa os usuários sobre a existência de ameaças aos seus direitos ou qual método de criptografia eles usam.

Mal, ingenuidade ou interesse?

Os pacotes de snap deste editor (Nicolas Tomb) foram transferidos para o estado - não publicados, mas serão transferidos de volta para o estado - publicados assim que o editor redigir corretamente o conteúdo para não induzir em erro ninguém. E aqui surgem muitas questões que valem a pena discutir!

A questão principal Na sua opinião, a editora está fazendo errado, já que a mineração com criptomoedas não é ilegal ou antiética em si mesma? Nicolas Tomb explicou que escolheu um esquema de monetização para software cuja licença permite isso, mas ele não percebeu as consequências sociais e técnicas. Foi por engano que os pacotes de Nicholas foram apreendidos da loja, já que não há regras separadas contra mineração.

Verificação de software

Um dos aspectos mais difíceis de se trabalhar com um repositório de software moderno é garantir que o software publicado realmente faça o que deve fazer. Nos repositórios clássicos do Ubuntu encontra-se software compilado a partir das fontes do upstream correspondente. Há muitas vantagens do repositório clássico, mas é preciso muito tempo para que novas versões do software apareçam de novo e de novo para milhões de usuários. O Snap fornece um caminho muito mais direto para os editores, de modo que eles possam, de maneira fácil e simples, entregar seu software aos usuários de uma impressionante lista de distribuições Linux, garantindo que os aplicativos sejam isolados de maneira segura.

As lojas de aplicativos IOS, Android e Windows seguem modelos padrão para controle de qualidade e segurança - testes automáticos, como resultado do pacote de software passar nos pontos de controle antes da aprovação final ou solicitação de revisão manual por um especialista se os testes automáticos revelarem algum problema. A Snap Store usa o mesmo esquema que outras lojas de software.

Para uma loja de software em grande escala, é impossível implementar a aprovação somente após uma verificação completa de todos os arquivos. Mesmo que o código-fonte esteja disponível, não é possível verificar centenas de milhares de linhas de código todos os dias. Portanto, quase todos os jogadores mudaram para um modelo de confiança baseado na origem do software, não no conteúdo. Em outras palavras confie no editor, não no programa.

Snap está no caminho certo, permitindo que você diga com mais exatidão o que exatamente nós confiamos. Concordo melhor em dizer, eu confio no software X do editor X acesso à webcam, do que apenas confiar. O software snap é limitado pelo sistema de acesso credencial AppArmor e isso permite que você responda a perguntas - o programa deseja acesso à webcam ou ao diretório pessoal do usuário? Você pode selecionar as permissões concedidas a ele pelo programa.

Mas o conceito de confiança ainda está presente e é importante. Por exemplo, alguém instalou um navegador da web de um editor desconhecido. Mesmo que esse navegador tenha acesso apenas ao espaço de armazenamento em cache, exibição e rede, todos os dados que passarem por ele estarão em risco. Se não houver como confiar no editor, você precisa ter cuidado ao usar o software.

Facebook e Apple Top Ranking

Nenhuma empresa oferece total confidencialidade, mas o Facebook, cujos programas (Facebook Messenger e WhatsApp) usam 2 bilhões de pessoas, a classificação mais alta - 73 pontos em 100. O Facebook faz mais do que qualquer uma das 11 empresas no ranking. em resposta às ameaças aos direitos humanos e em comparação com outros, ele abertamente relata as medidas tomadas por ele.

No entanto, apesar da inclusão da criptografia end-to-end no novo modo de mensagens de “conversa secreta”, por padrão, o Facebook Messenger usa um tipo mais vulnerável de criptografia, o que significa que o Facebook tem acesso a todas as informações. O WhatsApp usa criptografia de ponta a ponta por padrão, e deve-se observar que ele fornece aos usuários informações claras sobre o sistema de criptografia no programa.

A Apple marcou 67 de 100 porque todas as mensagens no iMessage e Facetime passam por criptografia de ponta a ponta. Mas a Apple deve informar com mais freqüência os usuários de que o SMS é menos seguro que o iMessages. A empresa também deve usar um protocolo de criptografia mais aberto, que permite a verificação independente completa.

Criptografia de ponta a ponta: proteção básica que poucos programas fornecem

Centenas de milhões de pessoas usam serviços de mensagens instantâneas como o WhatsApp, o Skype e o Viber todos os dias. Incluindo defensores dos direitos humanos, políticos da oposição e jornalistas que vivem em países onde podem estar em sério risco devido às suas atividades.

E, dados os vazamentos de enormes quantidades de dados que ocorrem com muita frequência, e as contínuas operações governamentais de vigilância em massa, a criptografia mais confiável, bem como a transparência em relação a quem tem acesso a dados de correspondência, é uma questão fundamental para protegê-los. Até agora, apenas três empresas - Apple, Line e Viber conseguiram o número máximo de pontos para a criptografia end-to-end, que é habilitada por padrão em todos os seus mensageiros instantâneos.

“A maioria das empresas de tecnologia simplesmente não atende aos padrões quando se trata de proteger a privacidade do usuário. Ativistas de todo o mundo confiam na criptografia para se proteger da espionagem pelas autoridades e o fato de que as empresas de tecnologia as colocam em risco porque não são capazes de responder adequadamente aos riscos dos direitos humanos é completamente inaceitável ”, disse o xerife Elsaed-Ali. .

“O futuro da confidencialidade e da liberdade de expressão na Internet depende, em grande parte, de as empresas de tecnologia protegerem adequadamente nossas informações em seus serviços ou estejam prontas para fornecê-las a qualquer um que esteja interessado nela”.

A Anistia Internacional encoraja as empresas a habilitar a criptografia de ponta a ponta em mensageiros por padrão. Isso ajudará a proteger os direitos das pessoas comuns e dos ativistas pacíficos e das minorias perseguidas em todo o mundo e permitirá que exerçam seu direito à liberdade de expressão. A organização também incentiva as empresas de tecnologia a publicar informações detalhadas sobre as regras e métodos atuais para cumprir suas obrigações de respeitar os direitos à privacidade e à liberdade de expressão.

Estrada para a segurança

Há alguns anos, a Canonical começou a trabalhar em pacotes de snap. Mesmo assim, ficou claro que não poderíamos implementar imediatamente uma alternativa aos repositórios clássicos, o que seria mais seguro de todos os pontos de vista. Além da segurança adicional, era necessário tornar a tecnologia conveniente. Assim, o desafio era preparar o caminho para melhorias incrementais.

Por exemplo, um recurso será adicionado em breve, marcando determinados editores como verificados. Os detalhes serão um pouco mais tarde, mas a ideia principal é que os usuários podem determinar facilmente o fato de que a pessoa ou organização que publicou o pacote instantâneo é quem eles dizem ser. A necessidade de confiança permanece, mas o usuário pode facilitar a decisão antes de instalar o pacote.

O evento que ocorreu em 11 de maio no repositório foi desagradável, mas esperado, no sentido de que qualquer loja de software tem que lidar com abusos e precisa lidar com eles e mitigar as conseqüências. Em geral, a Canonical leva esses eventos a sério e a segurança da plataforma só aumentará.

Para editores

Esta classificação não avalia a segurança dos programas e não deve ser considerada como uma recomendação para jornalistas, ativistas, defensores de direitos humanos ou outras pessoas em risco de usar um ou outro programa. Esta classificação não mede a observância, por essas empresas, dos direitos humanos em geral ou de sua abordagem para proteger o direito à privacidade em todos os seus serviços.

A Anistia Internacional enviou cartas às 11 empresas incluídas na classificação e solicitou informações de cada empresa sobre os padrões de criptografia que eles têm atualmente e sobre as regras e os métodos existentes da empresa para cumprir as obrigações de direitos humanos em relação aos serviços de mensagens instantâneas. Oito da empresa responderam às nossas cartas, mas não recebemos nenhuma resposta do Blackberry, Google e Tencent.

Pin
Send
Share
Send
Send