Olá Professor,

A notícia é bastante preocupante, ainda mais quando associada à seguinte
notícia
http://tecnologia.ig.com.br/noticia/2010/03/25/nova+ferramenta+cria+a+navegacao+personalizada+9439913.html

Escrevi um pouco sobre os perigos dessa "navegação personalizada" no meu
blog (http://wp.me/pArj9-2h) e recebi uma sequência de comentários vindos de
outros países a respeito das armadilhas propostas pelo tal Navegador. Tudo
indica que é mais uma estratégia de venda da empresa Phorm, que foi expulsa
pelos usuários do Reino Unido e está sendo investigada pela comissão
européia.

Somada à revogação dos certificados da extensão do Firefox, que
"coincidentemente" acontece quase ao mesmo tempo que o renascimento da
Phorm, começo a imaginar que os eventos não são mera coincidência. Podemos
estar presenciando um "ataque" concentrado à privacidade na Internet, o que
me preocupa muito. O Azeredo pode não ter conseguido aprovar sua lei, mas o
que ele propunha já está acontecendo de maneira silenciosa...

Em 31 de março de 2010 11:42, Pedro A.D.Rezende <preze...@unb.br> escreveu:

> Caros,
>
> Aqueles que se defendem da erosão nos direitos à privacidade com
> ferramentas de anonimização na internet, tais como a extensão
> googlesharing do Firefox por exemplo (como eu), devem tomar conhecimento
> do que acaba de acontecer não faz 24 horas.
>
> Inesperadamente, sem aviso prévio, a certificadora gandi.net revogou o
> certificado que emitira para proxy.googlesharing, certificado este que é
> usado pela dita extensão para autenticar a conexão do FF com o proxy
> nela pré-configurado para anonimizar as conexões de busca no google (via
> FF onde está instalada a extensão). Até agora, a certificadora gandi.net
> está muda sobre os possíveis motivos da revogação abrupta.
>
> A pré-configuração da extensão googlesharing armazena o tal certificado
> fora do repositório nativo do FF, e portanto fora do alcance da
> interface de gerenciamento correspondente; e quando o usuário tenta
> acessar o google via FF, a extensão faz verificação de validade do dito
> certificado, não sei se via CRL ou via protocolo OCSP.
>
> Assim, com esta abrupta revogação a extensão pré-configurada se quebra:
> o google fica inacessível, e única forma imediata de se continuar usando
> o google e a extensão é desabilitando, nas preferencias da extensão, a
> opção "via SSL" (para a conexão com o proxy), o que pode tornar o uso da
> extensão, via HTTP às claras, totalmente ineficaz em contextos de
> tráfego exposto a varreduras.
>
> A alternativa para se seguir usando a dita extensão sem o risco placebo
> (de ineficácia total), pelo menos até que o autor da extensão
> (http://twitter.com/moxie__) resolva o que fazer a respeito desta
> revogação, seria instalando (conforme instruções em
> http://www.googlesharing.net/download.html), nalguma plataforma
> conectada à Internet, outro proxy com outro certificado (talvez
> auto-assinado), e assumindo a tarefa de gerenciar esse proxy, o que pode
> estar fora do alcance para a maioria dos usuários comuns.
>
> A respeito da natureza dos problemas suscitados por este episódio, cabem
> alguns comentários (que serão melhor elaborados em vindouro artigo):
>
> 1- A possibilidade do usuário desativar a verificação de revogação dos
> certificados usados pela aplicação, seja através da interface de
> gerenciamento da aplicação, seja através da interface de gerenciamento
> da infraestrutura criptográfica da plataforma onde está instalada a
> aplicação, embora possa "resolver" o problema aqui surgido (possível
> sabotagem), talvez não seja uma boa "solução" no projeto da aplicação,
> pois exporia demasiadamente o usuário às consequências perigosas de
> exploits no ambiente de execução, e às da sua própria ignorância.
>
> 2- Aplicações que fazem uso de certificados digitais em plataforma e com
> gerência próprias (como por exemplo, a extensão googlesharing), mesmo
> quando os interesses estratégicos do fornecedor da aplicação se alinham
> com os de seus usuários, expõem esses usuários aos efeitos de potenciais
> conflitos de interesse com as certificadoras utilizadas.
>
> 3- Aplicações que fazem uso de certificados digitais em plataforma e com
> gerência compartilhadas no ambiente onde se instalam (por exemplo,
> kwallet ou rwindows crypto API + registry), mesmo quando os interesses
> estratégicos do fornecedor da aplicação se alinham com os de seus
> usuários, expõem esses usuários aos efeitos de potenciais conflitos de
> interesse com os fornecedores das plataformas utilizadas.
>
> 4- Contextos onde a estrutura do mercado subjacente é monopolista, seja
> por concentração de poder via ação normativa (ICP de raiz e normatização
> únicas, como a ICP-BR), seja pelo efeito-rede em mercados de bens
> não-rivais (como o de sistemas operacionais, com a cooptação do modelo
> "open source" pelo monopólio da hora via extorsão patentária, ou como o
> de serviços online, com a corrida para a "nuvem"), agravam os riscos
> descritos em 2 e 3.
>
> 5- Pessoas que, tendo bebido o chá do santo byte, vivem na miragem do
> tecno-triunfalismo, que inclui a crença de que criptografia é panacéia
> para os problemas de segurança advindos da tecno-imersão desenfreada de
> práticas sociais, devem acordar e cair na real. Para tal sugiro a
> leitura de http://www.cic.unb.br/~rezende/trabs/modelos_de_confianca.pdf
>
>
> --
> -------------------------------------------
> prof. Pedro Antonio Dourado de Rezende /\
> Computacao - Universidade de Brasilia /__\
> tcp: Libertatis quid superest digitis serva
> http://www.cic.unb.br/docentes/pedro/sd.htm
> -------------------------------------------
> _______________________________________________
> PSL-Brasil mailing list
> PSL-Brasil@listas.softwarelivre.org
> http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
> Regras da lista:
> http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
> SAIR DA LISTA ou trocar a senha:
> http://listas.softwarelivre.org/mailman/options/psl-brasil
>



-- 
Eduardo Santos
Analista de Sistemas

http://eduardosan.wordpress.com
http://twitter.com/eduardosan
_______________________________________________
PSL-Brasil mailing list
PSL-Brasil@listas.softwarelivre.org
http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
Regras da lista:
http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
SAIR DA LISTA ou trocar a senha:
http://listas.softwarelivre.org/mailman/options/psl-brasil

Responder a