Blog Anti-NOM

Nos últimos nove meses, a nossa confiança em empresas de tecnologia foi incrivelmente abalada. Hoje, em colaboração com proeminentes pesquisadores de segurança e tecnólogos, a A Electronic Frontier Foundation (EFF) (em português Fundação Fronteira Eletrônica - FEP), apresenta uma carta aberta às empresas de tecnologia, incitando-as a proteger os usuários de backdoors NSA e ganhar de volta a confiança que foi perdida.

Desde as revelações Snowden, foram reveladas inúmeras histórias de conluio entre agências de espionagem do governo e as empresas cujos serviços são parte integrante de nossas vidas cotidianas. Houveram alegações inquietantes publicadas pela Reuters indicando que a RSA, uma empresa influente de segurança da informação, aceitou um contrato de US$ 10 milhões da NSA, que incluiu, entre outros itens, um acordo para usar o que sabemos agora ser um gerador de números aleatórios intencionalmente comprometido, contendo um backdoor para a NSA, como padrão para a sua biblioteca de criptografia BSAFE.

Um futuro onde não podemos confiar nas próprias tecnologias destinadas a proteger as nossas comunicações é fundamentalmente insustentável. É hora das empresas de tecnologia começarem a ajudar os usuários a recuperar a confiança, com transparência e oposição ativa à vigilância ilegal.

A implementação das mudanças necessárias na infra-estrutura técnica e práticas de negócios podem ter custos a curto prazo, mas no entanto, o custo a longo prazo de manter os usuários no medo perpétuo da sabotagem da NSA é muito maior.

Como Proteger seus Usuários de Backdoors da NSA: Uma Carta Aberta para Empresas de Tecnologia



Como pesquisadores de segurança, tecnólogos e defensores dos direitos digitais, nós estamos profundamente preocupados com a colaboração entre as agências governamentais e as empresas de tecnologia em minar a segurança dos usuários. Entre outros exemplos, estamos alarmados pelas recentes informações de que a RSA, Inc. aceitou $10 milhões da NSA para manter um algoritmo comprometido como a configuração padrão de um produto de segurança por muito tempo após suas falhas serem reveladas.

Nós acreditamos que o conluio secreto com agências de espionagem representam uma grave ameaça para os usuários e deve ser mitigado com compromisso de seguir as seguintes recomendações para proteger os usuários de vigilância ilegal:

1 - Proporcione acesso público ao código fonte, sempre que possível, e adote um processo de construção de software (build) reproduzível para que outros possam verificar a integridade dos binários pré-compilados. Ambos softwares de código aberto e  fechado devem ser distribuídos com assinaturas verificáveis ​​de uma entidade confiável e um caminho para os usuários verificarem se a sua cópia do software é funcionalmente idêntica a todas as outras cópias (uma propriedade conhecida como "transparência binária").

2 - Explique as opções de algoritmos criptográficos e parâmetros. Faça todos os esforços para corrigir ou descontinuar o uso de bibliotecas criptográficas, algoritmos, ou primitivas com vulnerabilidades conhecidas e divulgue aos clientes imediatamente quando uma vulnerabilidade for descoberta.

3 - Mantenha um diálogo aberto e produtivo com as comunidades de segurança e de privacidade. Isto inclui facilitar revisões e responder às críticas produtiva de pesquisadores.

4 - Forneça um caminho claro e seguro para os pesquisadores de segurança relatarem vulnerabilidades. Corrija erros de segurança imediatamente.

5 - Publique solicitação de relatórios do governo regularmente (muitas vezes estes são chamados de "Relatórios de Transparência"). Inclua a informação mais granulada permitida por lei.

6 - Invista em engenharia UX (EU - Experiência do Usuário) segura para torná-la tão fácil quanto possível para os usuários utilizarem o sistema de forma segura e tão difícil quanto possível para os usuários utilizarem o sistema de forma insegura.

7 - Publicamente resista à vigilância em massa e todos os esforços para impor a inclusão de backdoors ou fragilidades intencionais em ferramentas de segurança.

8 - Combata judicialmente qualquer tentativa por parte do governo ou de terceiros que comprometa a segurança dos usuários.

9 - Adote um princípio de descartar os dados de usuários depois que eles não são mais necessários para o funcionamento dos negócios.

10 - Sempre proteja os dados em trânsito com criptografia forte, a fim de evitar a vigilância. Siga as melhores práticas para a criação de SSL/TLS em servidores sempre que aplicável.

Atenciosamente,
Electronic Frontier Foundation, em colaboração com*:

Roger Dingledine, Líder de Projeto, Projeto Tor

Brendan Eich, CTO, Mozilla Corporation

Matthew Green, Professor Assistente de Pesquisa, Departamento de Ciência da Computação, da Universidade Johns Hopkins

Nadia Heninger, Professora Assistente do Departamento de Computação e Ciência da Informação, da Universidade da Pensilvânia

Tanja Lange, Professora do Departamento de Matemática e Ciências da Computação, Technische Universiteit Eindhoven

Nick Mathewson, Arquiteto-chefe, Projeto Tor

Eleanor Saitta, OpenITP / IMMI

Bruce Schneier, Tecnólogo de segurança

Christopher Soghoian, Principal Technologist, Speech, Privacy and Technology Project, American Civil Liberties Union

Ashkan Soltani, Pesquisador Independente e Consultor

Brian Warner, Projeto Tahoe-LAFS

Zooko Wilcox-O'Hearn, Fundador e CEO, LeastAuthority.com

* Afiliações listados apenas para fins de identificação.

Fontes:
- Blog Anti-NOM: [EFF] Carta Aberta às Empresas de TI: Protejam a Privacidade dos Usuários Contra a NSA
- EFF: Security Experts Call on Tech Companies to Defend Against Surveillance 
- via Activist Post: 10 Principles to Protect Your Users from NSA Sabotage: An Open Letter to Tech Companies