privacidade vs segurança

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SA
PÓS GRADUAÇÂO MBA
ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Fichamento de Estudo de Caso
Apple: Privacidade vs. Segurança?
Por Henry Mcgee, Nien-Hê Hsieh e Sarah Mcara
Disciplina: Direito e Criminalista Computacional
Professor: Alvaro Bastoni Junior
Wallace Francis de Oliveira
São Paulo
	2018
O texto relata sobre a privacidade versus segurança em uma grande empresa a Apple, os autores descrevem que em 9 de setembro de 2015, Tim Cook, CEO da monstruosa Apple lançou a nova gama de produtos altamente esperada da empresa. 
A gama incluía o iPhone 6S, sucessor do iPhone 6, o smartphone mais vendido do mundo. Lançado no ano anterior para enlouquecer os críticos, o iPhone 6 tinha um recurso importante que desencadeou um debate entre defensores da privacidade e funcionários responsáveis pela aplicação da lei no mundo todo.
 O sistema operacional (OS) do telefone, iOS 8, usava um sistema de criptografia padrão que evitava que a Apple, bem como autoridades responsáveis pela aplicação da lei, acessasse dados de clientes no dispositivo sem permissão.
A melhoria das medidas de segurança de dados da Apple veio com contra um clima de debate intensificado sobre privacidade, após a revelação de 2013 de programas de vigilância clandestinos dos EUA. 
O funcionário terceirizado Edward Snowden da Agência de Segurança Nacional (NSA) havia revelado que a NSA estava coletando dados particulares armazenados por empresas de telecomunicação e internet. Muitas pessoas ficaram chocadas com o tamanho da operação e vários líderes estrangeiros ficaram horrorizados ao descobrir que a NSA havia grampeado os seus celulares para monitorar conversas particulares e oficiais.
Como toda novidade existem aqueles que aprovam e aqueles que não aprovam, segundo o texto: Muitos elogiaram a decisão da Apple de empregar uma criptografia mais forte no iOS 8. “É encorajador”, um observador da indústria comentou, “ver uma empresa americana tão importante concluir que proteger a privacidade e segurança dos seus usuários é uma vantagem comercial”.
Os responsáveis pela aplicação da lei criticaram muito. James Comey, diretor do FBI, observou, “A criptografia não é apenas um recurso técnico, é uma jogada de marketing... Criminosos sofisticados passarão a contar com esses meios de evadir a detecção. É o equivalente a um armário ou um cofre que não pode ser aberto, e a minha pergunta é, a que custo? ” 
Comey e administradores do mundo todo precisavam de uma criptografia de chave que permitirá que funcionários responsáveis pela aplicação da lei contornassem medidas de segurança, conhecidas como backdoor.
O novo sistema operacional da empresa, iOS 9, incluiu a autenticação de dois fatores e aumentou o tamanho da senha que os usuários tinham que inserir para acessar os seus dispositivos, de quatro para seis dígitos. 
Imediatamente, a revista do setor, Computerworld, observou que “o movimento de aumentar as senhas provavelmente não agradaria as autoridades americanas, que expressam o seu medo de que medidas de segurança mais fortes, incluindo a criptografia, podem dificultar a obtenção de informações para investigações que são sensíveis ao tempo, tais como de atividades de terrorismo. ”
A Apple projetava, fabricava e vendia hardwares, softwares e serviços relacionados a produtos eletrônicos aos consumidores. Constituída em 1976 como um fabricante de computadores pessoais, até 2001, o portfólio da Apple havia aumentado significativamente. Em 2015, os seus produtos principais eram Apple TV, Apple Watch, iPad, iPhone e iPod e uma gama de desktops e laptops. O software incluía os sistemas operacionais iOS (dispositivos móveis) e OS X (computadores e laptops). A iTunes Store, Apple Music, iCloud e a ferramenta de pagamento móvel Apple Pay arredondaram as suas opções.
Em 2013 Edward Snowden divulgou documentos à imprensa, revelando que a NSA estava coletando registros de chamadas telefônicos e transmissões de dados dentro dos EUA, bem como entre os EUA e outros países de provedores de telecomunicações, tais como AT&T e Verizon. 
Os documentos também expuseram programas da NSA, chamados de PRISM, que permitiam que agências de inteligência coletassem dados de empresas de internet, tais como Google e Facebook, usando uma série de meios técnicos. O PRISM dava ao governo acesso total a dados de consumidores, legalmente obrigando nove empresas de internet a divulgar conteúdo específico e metadados para fins de segurança nacional mediante solicitação. 
No entanto a maioria das trocas da internet ocorria em protocolos de transmissão de dados criptografados, – principalmente Secure Sockets Layer (SSL) e seu sucessor, Transport Layer Security (TLS) – as trocas de dados em servidores particulares de empresas geralmente não eram criptografadas. 
O governo tinha acesso a muitos dados, incluindo pesquisas, mensagens de bate-papo, eventos de bate-papo e e-mail em tempo real (ex. fazer o login), e-mails, publicações em redes sociais, vídeo conferências e transferências de arquivos.
Empresas de tecnologia americanas, determinadas a proteger as suas reputações e melhorar as suas políticas de privacidade, negaram alegações de dar ao governo acesso direto aos seus servidores. Em dezembro de 2013, executivos seniores de grandes empresas de telecomunicações e tecnologia, incluindo AT&T, Yahoo!, Apple, Twitter, Google e Facebook, se reuniram com o presidente dos EUA Barack Obama para discutir sobre as consequências dos programas da NSA para a indústria.
Empresas começaram a investir em controles de privacidade maiores e em uma gama de medidas de segurança aprimoradas. A Google acelerou planos para criptografar o tráfego entre os seus centros de dados.
 Em 2014, a IBM anunciou um plano de investir mais de US$ 1 bilhão para construir um centro de dados fora dos EUA para assegurar a clientes não americanos que o governo dos EUA não teria acesso aos seus dados.40 A Apple planejou um investimento de US$ 1,9 bilhões para construir dois centros de dados na Europa, que alguns especularam que o motivo era semelhante.
No final do século vinte, a legislação dos EUA buscou adaptar o direito de privacidade a tecnologias em evolução e ao volume crescente de dados digitais particulares. Um conjunto de leis regia investigações criminais (ou seja, a Lei de Interceptações Telefônicas e a Lei de Privacidade das Comunicações Eletrônicas (ECPA)) e delineava a função de um provedor de telecomunicações de possibilitar a vigilância (ou seja, Lei de Auxílio à Comunicação para a Aplicação da Lei (CALEA)).
Outra regia investigações de segurança nacional e comunicações estrangeiras (ou seja, a Lei de Vigilância de Inteligência Estrangeira (FISA)) e a Lei Patriótica dos EUA. Ao mesmo tempo, ameaças maiores à segurança cibernética pressionavam legisladores e corporações para encontrar maneiras de proteger sistemas de informações e dados de governos, empresas e consumidores.
Nas investigações criminais as leis de vigilância para atividades criminosas estavam ultrapassadas, apontando a decisões judiciais contraditórias com relação ao direito das autoridades responsáveis pela aplicação da lei de acessar dados digitais. 
Em junho de 2014, o Tribunal Federal decidiu que autoridades responsáveis pela aplicação da lei devem obter um mandado para fazer uma busca no telefone de um suspeito o chefe de justiça John Roberts escreveu no parecer do tribunal, “O fato de que a tecnologia agora permite que uma pessoa tenha tais informações [particulares] em suas mãos não torna essas informações menos dignas de proteção pela qual os fundadores lutaram. ” Continuou ele dizendo “Não podemos negar que a nossa decisão hoje terá um impacto na capacidade das autoridades responsáveis pela aplicação da lei de combater crimes... a privacidade tem um preço. ”
Na segurança Nacional, o poder de coletar conteúdo de comunicação para investigações de segurança nacional foi consideravelmente ampliado na Lei Patriótica dosEUA, promulgada pouco depois dos ataques terroristas nos EUA em 11 de setembro de 2001 e ampliada por legislação subsequente.
A Seção 702 da Lei de Emendas à FISA de 2008 possibilitou o programa PRISM ao permitir que o Tribunal de Vigilância de Inteligência Estrangeira emitisse uma autorização para a coleta de grandes quantidades de tráfego da internet de empresas de internet importantes.
Em 2014, criminosos cibernéticos roubaram informações pessoais de aproximadamente 40 milhões de pessoas nos EUA, 54 milhões na Turquia, 20 milhões na China e mais milhões no mundo todo.
Em 2015, a espionagem econômica cibernética – “hackeando” empresas para acessar segredos comerciais – também estava em ascensão nos EUA. Especialistas em tecnologia recomendaram, quase que universalmente, uma forte criptografia como uma ferramenta necessária para evitar ataques cibernéticos.
Considerando a falta de legislação abrangente para a segurança cibernética (a última lei fora aprovada em 2002), em julho de 2014, legisladores propuseram uma nova lei de segurança cibernética, mas os críticos temiam que ela comprometesse as proteções de privacidade dos cidadãos.
Já na proteção do consumidor poucas leis em vigor, a Comissão Federal de Comércio (FTC), que era responsável pela proteção do consumidor nos EUA, havia “sido o regulador de segurança e privacidade de facto nos EUA. ” Embora a FTC não regulasse a segurança digital, ela não oferecia recomendações para proteger dados. Entre 2002 e 2014, a FTC intimou 47 empresas por medidas de segurança de dados ruins.
Uma criptografia forte era considerada uma ferramenta essencial para proteger dados. Ao converter dados em uma forma não legível, que somente o destinatário pretendido pudesse ler, a criptografia protegia dados sendo enviados e armazenados, ela também permitia que o destinatário verificasse a identidade do remetente.
A criptografia de chave pública era a criptografia por trás dos sites SSL/TLS; provedores de serviços geravam e mantinham as chaves. A Apple era uma das poucas grandes empresas que desenvolviam serviços de mensagens criptografadas e hardwares criptografados. 
O mesmo começou com o iOS 3 e o iPhone 3GS, lançados em 2009, todos os iPhones usavam uma forma de criptografia total de disco (ou seja, todos os dados em um disco.) No entanto, essas ferramentas de criptografia podiam ser facilmente invadidas se a Apple (ou adversários) tivessem acesso ao dispositivo físico.
Em 2011, a Apple aumentou as medidas de segurança com a criptografia de ponta a ponta, um tipo de criptografia de chave pública, para o seu serviço de iMessage. Essas chaves eram geradas e mantidas pelos dispositivos em ambas as pontas da troca, não com o provedor de serviços; somente o remetente e o destinatário tinham as chaves para acessar o conteúdo das mensagens.
A decisão da Apple de tornar a criptografia total de disco padrão no iOS 8, que era compatível com os modelos iPhone 4S ou versões posteriores, foi a culminação de medidas de criptografia melhores ao longo dos anos. A Apple não tinha mais a “chave mestra” para os dispositivos.
Quando um usuário criava uma senha (ou configurava a Touch ID para desbloquear um dispositivo com uma impressão digital), a senha era combinada com uma chave exclusiva armazenada na memória do dispositivo para criar uma nova chave de criptografia. A Apple não podia acessar esses dados sem a senha.
A rival da Apple, a Google, havia estado entre as primeiras empresas de tecnologia a adicionar criptografia padrão a alguns serviços. Em 2010, a empresa tornou a criptografia uma configuração padrão no Gmail, seu serviço de e-mails; em 2011, em buscas e, em 2013, na Cloud Storage.
A posição da Google sobre criptografia se destacava, os desejos dos consumidores e melhores práticas criptográficas nem sempre coincidiam. Programas de criptografia de ponta a ponta estavam disponíveis por muitos anos, mas não eram amplamente usados pelo público em geral.
 Em março de 2015, a empresa revisou a sua decisão: “devido a problemas de desempenho”, a Google agora precisava que fabricantes de hardware construíssem dispositivos que tivessem capacidade para criptografia, que o usuário pudesse optar por ativar, mas que não impunham criptografia como padrão.
A posição da Google sobre criptografia se destacava, os desejos dos consumidores e melhores práticas criptográficas nem sempre coincidiam. Programas de criptografia de ponta a
ponta estavam disponíveis por muitos anos, mas não eram amplamente usados pelo público em geral.
A ampla implementação de criptografia de ponta a ponta e total de disco da Apple e da Google desencadearam preocupações entre os investigadores. O diretor do FBI Comey dizia que as empresas deveriam conceder acesso às autoridades responsáveis pela aplicação da lei a dispositivos e comunicações criptografadas para acessar dados com chaves de criptografia mantidas em custódia até que necessárias.
No mundo todo, as posições oficiais de criptografia e acesso backdoor variavam. No Reino Unido, o primeiro ministro David Cameron pressionava para ter uma legislação para backdoors, “Em situações extremas, era possível ler a carta de alguém, escutar as chamadas de alguém.
Em 2015, oficiais chineses estavam considerando leis antiterrorismo que exigiriam o acesso backdoor. Já na Alemanha, o governo apoiava medidas de criptografia de ponta a ponta que dois provedores principais de email lançaram e m 2015.
A criação de uma backdoor não seria tecnologicamente difícil para empresas como a Apple. Por outro lado, proteger as chaves seria um desafio significativo. Conforme um especialista em criptografia escreveu: “ Qualquer backdoor que a Apple projetar provavelmente precisará que a empresa armazene algum tipo de chave mestra de acesso – ou, até mesmo... uma para cada telefone que vender... Essas chaves podem ter que ser transportadas cuidadosamente da fábrica na China para uma sala trancada e vigiada na sede da sede da Apple em Cupertino, Califórnia. Elas seriam mantidas isoladas da internet para protegê-las de hackers e a Apple teria que monitorar os seus funcionários constantemente para evitar abusos. Nada disso seria barato e o risco é alto. ”
Especialistas em segurança cibernética enfatizaram que nenhuma backdoor para um governo podia ser totalmente protegida dos outros. De acordo com o Guardian, “Foi a backdoor de interceptação legal na central telefônica nacional da Grécia que permitiu que alguém – identidade ainda desconhecida – escutasse o primeiro ministro e o parlamento grego durante uma parte confidencial da licitação das Olimpíadas [2004-2005].
No Negócio é importante ter o equilíbrio certo entre privacidade, segurança, manter a confiança dos usuários e o custo para a indústria o chefe do órgão que rege a indústria da internet do Reino Unido (ISPA) explicou. As implicações para o negócio de políticas de criptografia fracas eram desconhecidas.
Em 2015, observadores ficaram preocupados que as autoridades americanas tivessem se esquecido do resultado das Guerras de Criptografia da década de 90, quando o governo tentou tomar as chaves de empresas para ganhar acesso backdoor a produtos criptografados.
Segundo Cook a importância de proteger os dados dos consumidores e disse que “a privacidade e segurança são incorporadas em cada um dos nossos produtos e serviços, desde a sua concepção. ”
Em 2015, a Apple recebeu uma avaliação excelente de uma organização de direitos digitais em seu relatório de práticas de privacidade e transparência sobre o acesso do governo a dados dos usuários, um reconhecimento que apenas 9 das 24 empresas principais de tecnologia tinham.
Política de Privacidade de site de compra
Hoje estamos constantemente conectados, sejam por Pc´s e smartphones, buscando e pesquisando sites de compras para que possamos efetuar o nosso desejo consumista. Ao fazer acesso ao site de compras de uma empresa sejam elas de ramos variados, precisamos efetuar um cadastro e alguns dados importante são nossolicitados para que possamos enfim fazer a compra. Mas será que estes dados estão protegidos? Há uma privacidade em nossos dados? É seguro digitar os nossos dados pessoais?
Todas estas perguntas são de suma importância, porque a empresa em que estamos efetuando o cadastro ela tem que conquistar a confiança do cliente e demonstrar credibilidade e transparência para os seus usuários, ter uma política de privacidade visível, que explique de que forma as informações são coletadas em seu endereço são utilizadas. Também é importante constar nesse termo quais dados de navegação são coletados enquanto o usuário está visitando o seu domínio.
Mas o que é uma política de privacidade?
Uma política de privacidade nada mais é do que uma relação sobre as práticas realizadas por um site em relação às informações de seus visitantes, sejam dados de contato enviados pelo próprio usuário, sejam informações de navegação (cookies), sobre as páginas visitadas, fontes de tráfego, localização, entre outras. É preciso esclarecer como esses dados serão utilizados e para que finalidades e, ainda, se a empresa vai repassá-los para empresas parceiras. 
O primeiro motivo pelo qual sua empresa deve exibir uma política de privacidade em seu site é para demonstrar transparência a seus usuários. 
O segundo motivo é que, como consequência dessa postura, ela ganha em credibilidade junto aos visitantes. 
A política de segurança da informação (PSI) é o conjunto de ações, técnicas e boas práticas relacionadas ao uso seguro de dados. Ou seja, trata-se de um documento ou manual que determina as ações mais importantes para garantir a segurança da informação.
Enquanto a política de privacidade revela ao usuário em que finalidade a empresa que coletou os dados possa usar os mesmos para um fim específico, sempre com a consciência do usuário/cliente. A segurança da informação ela atua na proteção destes dados de forma assegura que os mesmos não caem em mão erradas e possam prejudicar seus usuários/clientes.
Direito e Criminalista Computacional