Acadêmicos do Brookings respondem a perguntas sobre a Apple, o FBI e o Going Dark

Em 23 de fevereiro, os estudiosos do Brookings Susan Hennessey e Benjamin Wittes responderam a perguntas sobre o caso de criptografia do iPhone da Apple em um Me pergunte qualquer coisa (AMA) no site do fórum Reddit. No início deste mês, a Apple se recusou a cumprir uma ordem judicial apresentada pelo FBI exigindo assistência técnica para contornar as medidas de segurança em um iPhone pertencente a um dos atiradores de San Bernardino. Hennessey e Wittes tinham anteriormente escrito sobre o caso no blog Lawfare . O seguinte é um trecho da AMA: seguindo o formato do Reddit, as respostas são recuadas e o texto original permanece sem edição.

Susan Hennessey

Somos bolsistas da Brookings Institution e editores do blog de segurança nacional Lawfare. Sabemos algumas coisas sobre as leis mais relevantes para o debate atual em torno da criptografia e do escurecimento. Na semana passada, escrevemos um artigo sobre nossa avaliação da oposição da Apple a um mandado da Califórnia. Isso fez muitos de vocês se sentirem e evocou algumas opiniões fortes (algumas pessoas na Internet até nos chamam de nomes maldosos!) Mas parte do nosso trabalho é apresentar ideias para que possam ser vigorosamente debatidas e desafiadas vigorosamente e todos nós nos tornemos mais inteligentes em o processo. Então aqui estamos nós. Faça-nos todas e quaisquer perguntas sobre como a lei se relaciona com a política de criptografia e Going Dark ou nosso artigo.



Quinnett

Você acha que a Apple teria sido bem servida se voluntariamente ajudasse o governo a permitir que esse dispositivo específico fosse descriptografado, em vez de litigar e potencialmente estabelecer um precedente ruim? Qual seria a importância da cooperação voluntária em relação a uma ordem judicial?

Susan Hennessey

Cumprimento voluntário aqui seria cumprir voluntariamente um mandado de busca e apreensão emitido por um tribunal. Acho que a Apple corre o risco de estabelecer um precedente ruim, mas também acho que ela vê o assunto como uma situação em que todos ganham. Se perderem no tribunal, podem cumprir a ordem enquanto preservam sua reputação pública (porque lutaram contra ela) e, se vencerem, são campeões das liberdades civis. Mas como uma questão geral, cumprir voluntariamente uma ordem em uma circunstância não perde o direito de contestar a ordem em uma data posterior (exatamente o que aconteceu em EDNY).

Benjamin Wittes

Eu não invejo a Apple lutando contra isso. Eventualmente, alguém vai ter que esclarecer quais são as obrigações da empresa. E a maneira como fazemos isso em nosso sistema é por meio de litígios. O litígio exige que alguém se oponha ao pedido do governo. Portanto, me parece muito saudável que estejamos tendo essa discussão tanto no tribunal quanto no Congresso.

crwcomposer

Você assumiu uma postura pró-FBI. Posso realmente entender essa postura no contexto de alguns mal-entendidos sobre a tecnologia envolvida.

Não é nenhuma surpresa para mim que as empresas de tecnologia que estão intimamente familiarizadas com a tecnologia apoiem amplamente a Apple (executivos do Facebook, Google, Yahoo, Twitter, etc.).

Inferno, até mesmo o ex-chefe da NSA, Hayden, está do lado da Apple.

Acho que o mal-entendido está no fato de que a Apple não está ocultando nenhuma informação que possui atualmente (pelo menos no caso de San Bernardino). Para cumprir o pedido, a Apple precisaria criar um software que permitiria a qualquer pessoa com recursos computacionais suficientes aplicar a senha à força bruta. A história nos ensina que há uma boa chance de que esse software vaze (edite: ou seja roubado por invasores) ou mesmo usado em segredo pelo governo. +

Você argumenta que a Apple se colocou nesta posição ao tornar sua criptografia mais segura. Bem, sim. Mas minha pergunta é: para que serve a criptografia insegura? Se uma empresa tiver minha senha ou chave de criptografia, fico muito mais vulnerável. As principais empresas são rotineiramente comprometidas, seja por meio de ataques sofisticados ou da simples e antiga engenharia social.

Benjamin Wittes

As empresas precisam projetar coisas novas para cumprir os requisitos de relatórios e as ordens de vigilância o tempo todo. A CALEA exigia que as companhias telefônicas desenvolvessem extensivamente seus sistemas para facilitar as garantias. A Lei de Emendas da FISA exigia que muitos sistemas estivessem em conformidade com 702. E os bancos têm a obrigação de relatar uma ampla gama de atividades suspeitas ao Departamento do Tesouro - obrigações que exigiam amplo desenvolvimento de capacidades analíticas. Simplesmente não há nada de novo em exigir que a Apple crie algo novo no interesse da conformidade ou para facilitar as ordens de vigilância legais. A questão é se há algo de bom na criptografia imperfeitamente segura. Eu acho que existe.

Quinnett

A CALEA e a FAA são muito mais específicas sobre que tipo de assistência deve ser prestada por uma empresa do que o conjunto da AWA. Qual é o princípio limitador se pedir a uma empresa para escrever um novo software é um pedido razoável?

Benjamin Wittes

Sim, mas de quem é a culpa? O FBI ADORARIA ter uma estrutura legislativa aqui. A Apple se opõe a um. Um dos benefícios de um acordo pode ser estreitar os limites da assistência técnica que poderia ser solicitada.

Quinnett

Como sempre, a culpa é do Congresso. Mas a razão de não haver um quadro legislativo é porque não há consenso, ou mesmo uma proposta legislativa, sobre como isso seria. A decisão do Congresso de não agir nesta área é em si uma opção de política legítima, e não acho que seja razoável interpretar isso como um endosso da expansão do AWA em partes até então desconhecidas.

Benjamin Wittes

Certo, mas nesse caso existe um marco legislativo. O All Writs Act existe para governar na ausência de outro quadro legislativo. Isso é o que queremos dizer quando dizemos que é um estatuto que preenche lacunas.

Bokbreath

O Congresso optou por não legislar backdoors obrigatórios para contornar a criptografia. Por que o uso da lei de todos os mandados para contornar o congresso não é um abuso da lei?

Susan Hennessey

Todos os mandados não se aplicam quando o Congresso aprovou uma lei afirmativamente. Essa lei pode dizer o que uma empresa deve fazer ou o que ela não pode ser obrigada a fazer, mas o silêncio do Congresso deixa a lacuna que Todos os Escritos preenchem.

Bokbreath

Eu sei disso - o que realmente estou perguntando é por que usar uma lei do século 18 que claramente não foi projetada para ajudar a aplicação da lei em expedições de pesca não será considerado um exagero pelos tribunais? Ou, dito de outra forma, se você estivesse discutindo isso perante a suprema corte, como você responderia?

Benjamin Wittes

Em primeiro lugar, o fato de a lei ser antiga não é importante. A Constituição é mais antiga e parece que ainda a aplicamos. A questão é se o AWA se aplica a uma determinada situação ou não, e não se é antigo. E se for muito antigo, o Congresso deve alterá-lo ou revogá-lo. Se eu estivesse perante a Suprema Corte, negaria que se trate de uma expedição de pesca, observando que seria chocante o FBI NÃO perseguir o telefone de um dos atiradores. E eu observaria as dezenas de casos em que o All Writs Act foi aplicado a situações não totalmente diferentes desta. O Congresso é livre para alterá-lo a qualquer momento. Eu apoiaria fazer isso e esclarecer as obrigações de todos aqui, mas desde que esteja nos livros e surjam exigências investigativas, não é uma surpresa que o governo o invoque.

Lemonlyman87

Especialistas em políticas e forenses alertaram que se a Apple desenvolver o novo sistema operacional que o FBI está solicitando e assinar digitalmente esse sistema operacional para que possa ser usado para invadir telefones (em combinação com ataques de força bruta), é provável que entre em ação e ser mal utilizado por outros: http://www.zdziarski.com/blog/?p=5706 https://www.justsecurity.org/29453/apple-vs-fbi-just-once/

Você discorda da avaliação deles sobre os riscos ou acha que o interesse do governo em acessar este e outros dispositivos compensa os danos à segurança cibernética que podem resultar?

com quem estamos em guerra agora

Benjamin Wittes

Não há dúvida de que o arranjo ideal de segurança cibernética é não ter vulnerabilidades de segurança cibernética. A questão é se esse é o arranjo de segurança ideal em um sentido mais amplo.

seu autor

Atualmente, temos muito mais a perder com os ataques cibernéticos do que qualquer outra nação. Parece que seria enorme para a segurança econômica dos EUA se não houvesse vulnerabilidades de segurança cibernética.

Susan Hennessey

Portanto, admito que esses riscos existem em teoria e não devem ser descartados de imediato. Mas é uma questão de equilíbrio (qual é a utilidade de ter um software da Apple x probabilidade e consequência de ele ser roubado e mal utilizado). Acho que o histórico da Apple em ser capaz de manter seguro o software anterior projetado para acessar dados fala muito sobre a probabilidade de risco. Também acho que devemos esperar pelas declarações da Apple registradas no tribunal federal sobre a capacidade de usar este software específico em um telefone diferente - acho que eles podem ser mais cuidadosos em relação a suas representações perante um juiz.

ElectronTwistor

1) Você sabe o que é o algoritmo RSA e / ou como funciona?

2) Qual a profundidade do conhecimento que os redatores da legislação proposta têm em relação à criptografia, segurança cibernética e matemática?

3) Qual é o nível de conhecimento que você acha que os redatores de uma lei, mandado ou outros itens propostos devem ter antes de legislar sobre um tópico técnico?

4) Acho que a frase 'escurecendo' descreve a incapacidade do governo de lidar com o acesso limitado às informações pessoais do público, especialmente à luz do impacto de Edward Snowden na comunidade tecnológica. Você concorda ou discorda desse sentimento e por quê?

Benjamin Wittes

1) Sim e não além do senso geral de criptografia de chave pública. 2) Nesta fase, não existe proposta de legislação. Aqueles que escreverão qualquer legislação são advogados, não técnicos, mas eles têm acesso a recursos técnicos muito profundos do governo federal. 3) as pessoas que redigem a legislação precisam de conhecimento técnico. Ponto final. Se esse insight técnico é dele ou das pessoas com quem eles colaboram intimamente, é menos importante. 4) Discordo. Do ponto de vista da aplicação da lei ou da inteligência, é assustador ter grandes plataformas nas quais ocorrem atividades criminosas importantes e questões de política externa importantes e nas quais a visibilidade é gravemente prejudicada. E pode prejudicar ou desativar funções essenciais que esperamos do governo.

EvelleSnoats

re: 4)

Temos operado por muito tempo com visibilidade limitada, é somente por causa de empresas de tecnologia como a Apple que o FBI e outras LEAs ergueram panópticos que redefiniram como pensamos a visibilidade. Assim, quando o pêndulo oscilou muito em uma direção, a Apple percebeu a necessidade, moral e financeiramente, de oscilá-lo de volta na outra direção.

É um erro pensar que qualquer funcionalidade básica depende do acesso às entranhas desses dispositivos. Eles têm apenas oito anos.