Os riscos para a privacidade que implica os bloqueios de sites de Internet por meio de URL
29/07/2024
Nos últimos anos, houve um incremento significativo nos projetos de lei e regulamentos que procuram restringir o acesso a websites através do bloqueio de domínios, endereços IP e URLs. Esta tendência, embora impulsionada pela intenção de combater atividades ilegais e proteger os usuários, mostra sérias preocupações sobre a privacidade e a liberdade na rede.
Diferença entre endereços IP, domínios e URLs
A princípio, é importante fazer um esclarecimento da diferença entre três elementos que usualmente são inclusos nos projetos de lei ou na regulamentação para o bloqueio de sites: endereços IP, domínio e URL.
Um endereço IP identifica de maneira única um dispositivo na rede, um domínio é um nome legível por humanos que se associa a um endereço IP, um URL é um endereço completo que inclui o domínio e a rota específica para acessar um recurso na Internet.
Um endereço IP identifica um dispositivo em uma rede mediante uma série de números, enquanto um domínio é um nome legível por humanos associado a um endereço IP para facilitar a navegação. Por outro lado, um URL é o endereço dentro de um website para um recurso muito mais específico, quase sempre a página web.
Podemos visualizar melhor o que estamos falando em cada caso mediante alguns exemplos:
- Endereço IP: 190.210.32.126
- Domínio: exemplo.com
- URL: https://ejemplo.com/secciones/política/proyecto-de-ley-de-bloqueos.html
O que implica o bloqueio por meio de URL?
Com anterioridade nos referimos aos riscos do bloqueio de sites mediante domínios e endereços IP que podem ser desde a desconexão involuntária de algum site de terceiros à inabilitação total de redes de operadoras de algum território, podendo se estender a uma nação completa.
Nos últimos anos, em vários dos projetos de lei e regulamentos da região, nos deparamos com o uso do termo “URL” como sinônimo de “domínio”, quando na verdade são dois termos tecnicamente diferentes, como foi explicado acima, acarretando também medidas técnicas distintas para seu bloqueio.
O bloqueio de sites da Internet através de uma URL, permite uma maior precisão em comparação com o bloqueio de domínios ou endereços IP, uma vez que pode direcionar-se para uma página dentro de um website sem atingir o acesso ao resto do conteúdo do mesmo site. No entanto, para realizar um bloqueio mediante URL, devem ser utilizadas técnicas de fiscalização profunda de pacotes (DPI ou Deep Packet Inspection em inglês), dentre outros métodos de monitoramento.
A fiscalização profunda de pacotes ou DPI é o ato de fiscalização do conteúdo destes pacotes realizado de maneira automatizada por alguma equipe da rede prévia a remontagem que o dispositivo utilizado realiza para o usuário final. Seria o equivalente a revisar cada uma das cartas que os correios postais recebem, abrindo seus envelopes e revistando os conteúdos em busca de elementos específicos para depois fechar novamente o envelope e entregá-lo ao destinatário final.
Esta técnica possibilita quem a implementa tanto nas funções avançadas de segurança quanto na mineração de dados, nas “escutas” ocultas e na censura. Permite aos provedores de servidores de Internet (ISP) e às autoridades, não apenas identificar e bloquear URL específicos perante a presunção de algum crime, como também permite de maneira ilegal monitorar e registrar a atividade online dos usuários de forma detalhada.
Além disso, exigir ou permitir a fiscalização profunda de pacotes gera motivações tanto nos atores legítimos como nos maliciosos para enfraquecer ou romper a criptografia de ponta a ponta, essencial para a confiança do usuário final nas comunicações digitais.
Riscos para a privacidade
É evidente que a má utilização da fiscalização profunda de pacotes ou DPI pode ter consequências indesejadas ou abrir a porta a grandes riscos para a privacidade dos usuários da Internet. A seguir, destacamos algumas delas:
-Monitoramento extensivo da atividade online. A implementação de bloqueios de URL requer que os Provedores de Serviços da Internet (ISP) fiscalizem o conteúdo dos pacotes de dados que circulam por suas redes. Isto significa que cada solicitação web realizada por um usuário pode ser analisada para determinar se há coincidência com uma URL bloqueada. Este nível de fiscalização pode levar a um monitoramento extensivo e constante da atividade online dos usuários, o que implica em uma invasão significativa à privacidade.
-Uso indevido dos registros de atividade dos usuários. Para dar andamento ao bloqueio de URL, os ISP podem argumentar a necessidade de manter registros detalhados das atividades dos usuários. Estes registros podem incluir informação sobre as websites visitadas, as URL específicas solicitadas e o conteúdo das comunicações online. A acumulação destes dados gera um risco significativo de abusos, seja por parte dos atores governamentais, empresas privadas ou cibercriminosos que consigam acessar esta informação.
–Eventual abuso e excesso de vigilância. As capacidades de monitoramento e bloqueio de URL podem ser utilizadas para fins que vão além dos previstos no início. Por exemplo, governos com tendências autoritárias podem implantar estas ferramentas para a censura de conteúdo político, vigilância de discentes ou supressão da liberdade de expressão. Inclusive em democracias estabelecidas a tentativa de usar estas ferramentas para fins de vigilância massiva pode ser grande, especialmente em contextos de segurança nacional.
-Falsa sensação de segurança. Os bloqueios de URL podem gerar uma falsa sensação de segurança, tanto para os governos como para os cidadãos. Os usuários podem pensar que estão protegidos de conteúdos perigosos ou ilegais enquanto os atores realmente mal-intencionados sempre poderão achar a forma de driblar estes bloqueios através da simples alteração dos URLs ou registrando múltiplos domínios diferentes do domínio que foi originalmente bloqueado.
-Riscos adicionais. O enfraquecimento ou exclusão da criptografia de ponta a ponta das comunicações expõe os usuários a riscos adicionais de privacidade e de segurança, com isso, não só se quebra a privacidade das comunicações de um suposto infrator ou criminoso, mas também de todas as comunicações e transações de usuários finais legítimos: empresas, governos, associações da sociedade civil, etc.
No Lacnic acreditamos que o bloqueio de sites de Internet por meio de URL representa uma ferramenta poderosa e controvertida na gestão do acesso à informação na rede. Apesar de que pode parecer efetivo para combater certos tipos de conteúdo nocivo a nível do provedor de conteúdo ou de acesso, também implica sérias preocupações sobre a privacidade e a liberdade dos usuários, sobretudo quando sua implantação é obrigada a partir de um regulamento.
É fundamental que qualquer medida deste tipo seja implantada como última opção. E no caso de ser implantada, que seja com transparência, supervisão e amparo adequados, a fim de proteger os direitos e a privacidade dos indivíduos. Em última instância, o equilíbrio entre segurança e liberdade deve ser cuidadosamente gerido para preservar a natureza aberta e livre da Internet que, no final do dia, habilita os direitos humanos e civis de nossa sociedade.
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.