RUU Senat AS yang disusun bersama DEA membidik enkripsi end-to-end
(therecord.media)- Cooper Davis Act telah maju ke sidang pleno Senat dengan dalih menanggulangi perdagangan narkoba online, dan mewajibkan media sosial, penyedia komunikasi terenkripsi, serta layanan online untuk melapor ke DEA
- Jika perusahaan benar-benar mengetahui adanya peredaran narkoba ilegal, mereka harus memberikan informasi seperti nama pengguna kepada DEA, dan frasa “willfully blind” memicu kontroversi soal cakupan tanggung jawab layanan terenkripsi
- Kelompok privasi khawatir RUU ini dapat menjadikan pemeliharaan enkripsi end-to-end itu sendiri sebagai faktor risiko, dan pelemahan enkripsi akan mengguncang keamanan serta privasi pengguna
- DEA dan pihak pendukung mengutip penggunaan Facebook, Instagram, TikTok, Snapchat, WhatsApp, Telegram, Signal, Wire, Wickr oleh kartel Meksiko, serta lebih dari 1.100 kasus terkait
- Pihak penentang menilai bahwa ungkapan penjualan narkoba menuntut penilaian bahasa, konteks, dan slang, sehingga dapat berujung pada struktur di mana perusahaan menyerahkan data pribadi ke penegak hukum tanpa surat perintah atau pengawasan
Benturan kewajiban pelaporan dalam Cooper Davis Act dengan enkripsi
- Cooper Davis Act adalah RUU bipartisan yang dinamai dari seorang remaja Kansas yang meninggal setelah tanpa sadar menelan pil mengandung fentanyl yang dibeli di Snapchat
- RUU ini mewajibkan perusahaan media sosial dan penyedia komunikasi web untuk memberikan nama pengguna dan informasi lain kepada DEA bila mereka memperoleh actual knowledge tentang peredaran narkoba ilegal di dalam platform
- Inti kontroversinya adalah frasa bahwa perusahaan dapat dimintai pertanggungjawaban jika tidak melapor saat mereka “willfully blind” terhadap pelanggaran tersebut
- Greg Nojeim dari Center for Democracy and Technology mengkhawatirkan bahwa penyedia layanan terenkripsi akan dihadapkan pada dua pilihan
- Jika mempertahankan enkripsi end-to-end, mereka harus menanggung risiko dianggap sengaja menutup mata terhadap konten ilegal
- Jika menghapus enkripsi end-to-end, pengguna yang sudah ada akan terekspos pada ancaman keamanan baru dan pelanggaran privasi
- Cody Venzke dari ACLU menilai klausul ini membidik enkripsi, dan menekankan bahwa tujuan teknologi perlindungan privasi seperti enkripsi end-to-end adalah melindungi pengguna dari pengawasan platform
- Meredith Whittaker dari Signal Foundation mengkritik bahwa dalam logika ini, tidak melakukan pengawasan massal terhadap semua orang pun dapat dianggap sebagai “willful blindness”
Dasar yang diajukan DEA dan pihak sponsor
- Aparat penegak hukum sudah lama mengkritik enkripsi end-to-end karena dianggap menciptakan “lawless space” yang bisa disalahgunakan penjahat, teroris, dan pelaku jahat
- Dalam siaran pers bulan Mei, DEA menyatakan bahwa dua kartel Meksiko yang menyelundupkan sebagian besar fentanyl dan methamphetamine ke AS menggunakan aplikasi media sosial untuk mengoordinasikan logistik dan menghubungi korban
- Contohnya adalah Facebook, Instagram, TikTok, dan Snapchat
- Platform terenkripsi yang disebut meliputi WhatsApp, Telegram, Signal, Wire, dan Wickr
- Dalam operasi DEA terbaru, lebih dari 1.100 kasus yang menargetkan kartel narkoba Meksiko mencakup aplikasi media sosial dan platform komunikasi terenkripsi
- Ketua Komite Yudisial Senat Dick Durbin mengkritik bahwa perusahaan beroperasi dalam keadaan kebal hukum meski mengetahui adanya penjualan ilegal atas zat yang tidak memiliki kegunaan hukum, dan ia menyinggung mekanisme yang mirip dengan sistem pelaporan materi eksploitasi seksual anak
- Pihak Senator Jeanne Shaheen mengajukan statistik DEA sebagai dasar perlunya RUU ini
- Dalam periode lima bulan, dari 390 penyelidikan terkait kematian akibat overdosis yang diselidiki DEA, 129 kasus terkait langsung dengan media sosial
- RUU ini menyatakan tujuan untuk membuat sistem pelaporan yang komprehensif dan terstandarisasi agar DEA dapat lebih baik mengidentifikasi dan membongkar jaringan kejahatan internasional
Kekhawatiran privasi, pengawasan, dan dampak pada platform
- Para pembela privasi membantah bahwa mendeteksi ungkapan penjualan narkoba jauh lebih sulit dibanding mengidentifikasi gambar eksploitasi seksual anak
- Senator Alex Padilla menekankan bahwa tidak seperti gambar eksploitasi seksual anak online, dalam pengawasan berskala besar, konteks sangat penting untuk bahasa
- Ia mengkritik bahwa RUU ini dapat secara efektif mengubah perusahaan teknologi yang tidak terlatih menjadi semacam aparat penegak hukum
- Ia juga khawatir RUU ini dapat mendorong pengungkapan data pribadi kepada penegak hukum federal hanya berdasarkan keyakinan yang dianggap masuk akal, tanpa surat perintah atau pengawasan
- Carl Szabo dari NetChoice mengatakan bahwa situs media sosial saat ini sudah bekerja sama secara sukarela dengan penegak hukum untuk mencegah perdagangan narkoba
- Menurutnya, jika RUU ini diberlakukan, semua laporan akan menjadi subjek prosedur Fourth Amendment, yang justru bisa membuat penegak hukum lebih sulit mengidentifikasi ancaman
1 komentar
Komentar Hacker News
Perlu ada semacam undang-undang yang melarang menggonggong ke pohon yang salah, yang mencegah organisasi menggunakan sumber dayanya untuk memengaruhi hukum yang mengatur tindakan mereka sendiri
Bisa saja dikatakan bahwa industri terkait paling memahami masalahnya sehingga layak memberi masukan dalam pengambilan keputusan, tetapi batasnya seharusnya hanya sampai menyerahkan data mentah operasional dengan informasi sensitif yang secara hukum wajib disamarkan dihapus
Lebih dari itu, pada akhirnya mereka hanyalah pelobi pemerintah yang melobi demi kepentingan mereka sendiri
Dari sistem yang membuat orang biasa dicurigai dan memberi penjahat monopoli atas pasar yang sangat menguntungkan, kekacauan seperti ini memang tak terhindarkan
Tokoh seperti Al Capone sudah menunjukkan akibat buruk pelarangan alkohol sejak 100 tahun lalu, tetapi kita tetap mengulangi kesalahan yang sama pada zat lain
Aplikasi Mobile Justice dari ACLU sebaiknya dipasang di semua ponsel, untuk berjaga-jaga kalau diperlukan
Terlihat seperti ada RUU baru setiap hari di Australia, UK, dan US
Apakah mereka akan terus mendorong hal seperti ini sampai akhirnya lolos?
Setiap kali RUU seperti ini muncul, kita harus menang setiap saat, sementara mereka hanya perlu menang sekali
Tekanan opini publik dan kampanye iklan yang menentang RUU seperti ini harus terus berjalan
Kalau satu domino jatuh, jadinya “kalau di sana bisa, di sini juga bisa”
Hanya karena EU bukan US bukan berarti mereka tidak melakukan tindakan otoriter yang sama, atau mirip, dengan sokongan sumber pendanaan yang serupa atau bahkan sama
Mereka memakai alasan yang sama, seperti “kita harus menangkap penjahat keji/mikirkan anak-anak”, “ini hanya akan dipakai terhadap kriminal”, padahal tidak benar
Kita tahu hukum semacam ini juga dipakai terhadap orang-orang yang dianggap memusuhi pemerintah, juga terhadap orang yang melakukan jurnalisme terlepas dari punya gelar atau tidak
Mereka benar-benar tidak suka tidak bisa mengawasi kita 24 jam sehari
RUU ini adalah hadiah untuk Russia dan China
Sekarang mereka akan bisa membaca komunikasi siapa pun, tapi apa ada yang mengira mereka akan berhenti mengenkripsi komunikasi mereka sendiri?
Tautan ke RUU yang sebenarnya ada di [1]. Kekhawatirannya adalah karena bahasanya ambigu, perusahaan media sosial bisa terdorong untuk meninggalkan enkripsi end-to-end
Saya bukan ahli hukum, tetapi dalam RUU yang diusulkan tertulis bahwa hal itu tidak boleh ditafsirkan mengharuskan penyedia memantau pengguna atau isi komunikasi, atau secara aktif mencari, memilah, atau memindai fakta dan keadaan terkait
Tujuannya tampaknya adalah agar ketika orang melaporkan kasus ilegal tertentu di sebuah situs web, situs web itu tidak bisa begitu saja mengabaikan laporan tersebut
[1] https://www.congress.gov/bill/118th-congress/senate-bill/108...
Jika keduanya digabungkan, artinya mereka harus mempertahankan kemampuan untuk memantau pengguna bila diminta, yang berarti enkripsi yang benar-benar kuat tidak boleh ada
Begitu kemampuan itu ada, langkah berikutnya pada praktiknya adalah fungsi KYC dan SAR
Poin keempat dalam tweet ini adalah bagian yang dikhawatirkan orang: https://twitter.com/JakeLaperruque/status/167888722551627776...
Saya tidak tahu apakah RUU-nya sudah direvisi, atau butir keempat yang bermasalah itu ditambahkan belakangan
Pengusul: Sen. Marshall, Roger [R-KS]
Pengusul bersama: Sen. Shaheen, Jeanne [D-NH], Sen. Durbin, Richard J. [D-IL], Sen. Grassley, Chuck [R-IA], Sen. Klobuchar, Amy [D-MN], Sen. Young, Todd [R-IN]
Kita perlu menelepon senator dan memberi tahu bahwa kita tidak mendukung RUU ini. Ini mungkin terdengar longgar dan tidak efektif, tetapi staf senator benar-benar mencatat hal seperti ini
Ke mana perginya hak untuk merasa aman atas tubuh dan harta benda tanpa surat perintah yang disetujui hakim?
Bill of Rights AS pada masa itu sangat kontroversial, dan karena para pendukungnya bersikap keras, pada akhirnya itu menjadi 10 amendemen pertama Konstitusi
Jika para pendukungnya bertahan sampai akhir, mereka mungkin bisa memaksa agar itu dimasukkan ke dalam naskah utama Konstitusi atau tetap mempertahankan keadaan awal berdasarkan Articles of Confederation, tetapi yang terjadi adalah kompromi
Bahkan jika Bill of Rights bukan berupa amendemen dan berada di naskah utama Konstitusi, rasanya itu tetap akan dibuang semudah sekarang
Untuk apa sebenarnya? Agar DEA dan CIA bisa terus beroperasi dengan hak istimewa seperti East India Company?
Saya tidak melihat manfaat apa pun dari RUU ini atau perang melawan narkoba bagi rata-rata orang Amerika. Saya sama sekali tidak percaya itu memberi keuntungan apa pun bagi rata-rata orang Amerika
Malah, saya melihat kemungkinan besar ini memberi lembaga eksekutif akses istimewa ke pasar barang kriminal berat dan informasi, sehingga yang diuntungkan adalah mereka, bukan warga negara
Dua pertiga populasi AS tinggal di dalam zona itu
https://www.aclu.org/know-your-rights/border-zone
Bayangkan Anda naik kereta bawah tanah di NYC untuk berangkat kerja dari rumah Anda di Bronx, lalu dihentikan dan digeledah oleh CBP, ponsel dan laptop Anda disita, Anda diminta menyerahkan kata sandi media sosial, dan diancam akan ditahan jika tidak patuh: https://www.theatlantic.com/technology/archive/2017/02/give-...
https://www.wired.com/2017/02/guide-getting-past-customs-dig...
Fakta bahwa warga negara AS disarankan memberi tahu keluarga, teman, dan pengacara tentang rencana perjalanan mereka saat melintasi perbatasan sebagai antisipasi jika mereka ditahan benar-benar gila
Negara ini terus meluncur ke arah fasisme
Saya melihat ini sebagai salah satu faktor yang mendorong adopsi passkey. Passkey tampak seolah hanya meminta autentikasi biometrik, tetapi penyerahan sidik jari atau wajah tidak dilindungi, dan yang dilindungi hanya ucapan atau kesaksian, sehingga perlindungan secara keseluruhan melemah
Ini memang menghapus ancaman ilegal berupa phishing, tetapi sekaligus mempermudah ancaman legal berupa pengelakan enkripsi, betapapun kuatnya enkripsi itu
Mengapa DEA tidak menekan Senate agar menjatuhkan sanksi pada China karena prekursor fentanil?
https://www.brookings.edu/articles/chinas-role-in-the-fentan...
Pertama, menyerang enkripsi end-to-end itu keliru
Tetapi saya juga makin muak dengan kekebalan tanggung jawab Big Tech yang tidak terenkripsi
Sistem itu dibuat agar platform media sosial awal bisa bertahan hidup, tetapi sekarang mereka bukan lagi startup yang dimulai dari garasi, melainkan sebagian dari entitas terkaya di planet ini
Mereka mampu mengelola platform mereka sendiri, tetapi tidak akan melakukannya dengan itikad baik kecuali hal itu memengaruhi keuntungan mereka atau mereka takut dituntut karena hukum
Logika seperti “bank bisa mengawasi pelanggan mereka, tetapi tidak akan melakukannya dengan itikad baik kecuali hal itu memengaruhi keuntungan mereka atau mereka takut dituntut” diterapkan pada lembaga keuangan
Hasilnya adalah pemblokiran acak terhadap orang atau informasi transaksi jika tampak sedikit saja terhubung dengan pihak yang dikenai sanksi
Jika transaksi Al-Qaeda lolos dan media mengetahuinya, akan ada denda serta kecaman dari regulator dan Kongres, tetapi jika orang tak bersalah justru diblokir, paling-paling hanya ada sedikit keluhan dan bisnis tetap berjalan
Saya rasa dinamika yang sama akan muncul pada perusahaan media sosial. Apa pun yang bisa dianggap sedikit menyinggung akan diturunkan
Bayangkan saja versi yang lebih buruk dari krisis demonetisasi YouTube
[1] Misalnya: https://news.ycombinator.com/item?id=35337210, https://news.ycombinator.com/item?id=24450828
Untuk layanan satu lawan satu, pendekatan yang sangat lepas tangan memang masuk akal. Biasanya tidak perlu menghapus konten sampah; sampah yang masuk tetaplah sampah saat keluar, jadi orang bisa mengabaikannya atau memfilternya secara lokal
Tetapi forum online publik memang membutuhkan tingkat moderasi tertentu, dan secara umum itu diinginkan. Karena seseorang bisa membanjirinya dengan sampah sampai tak berguna bagi semua orang
S230 bukan hanya kekebalan atas konten yang terlewat, tetapi juga memungkinkan moderasi terhadap dampak yang timbul ketika moderasi beritikad baik melampaui batas
Sebagian besar materi tercela di platform tidak ilegal dan juga bukan perbuatan melawan hukum. Materi yang menyinggung, menghina, merendahkan, dan menyesatkan biasanya tetap legal dan tidak menimbulkan tanggung jawab nyata yang besar
Tetapi tanpa perlindungan luas seperti S230, orang bisa menggugat untuk hal-hal sepele, dan jika Anda bukan perusahaan bernilai miliaran dolar, Anda mungkin bangkrut sebelum sempat menang
Dunia tanpa perlindungan tanggung jawab yang kuat adalah dunia di mana Anda tidak bisa dengan aman membuat jengkel atau menyinggung pihak yang punya jauh lebih banyak uang dan kekuasaan
Platform seperti Facebook, Google, dan Twitter pada praktiknya sudah kebal terhadap gugatan perdata berkat skala dan kekayaan mereka. Cukup lihat betapa kecil efek gugatan atas pelanggaran privasi atau pemblokiran mendadak data pengguna yang menyebabkan kerugian besar
Kolusi upah Apple dan Google pada akhirnya memang dinyatakan bersalah, tetapi biayanya tetap lebih kecil daripada uang yang mereka hemat dari upah
Kebijakan buruk muncul karena skala, kekayaan, dan kekuasaan mereka juga membuat mereka cukup kebal terhadap opini publik
Jika tata kelola buruk situs media sosial merugikan publik, lebih baik ada lebih banyak alternatif
Facebook, Twitter, dan yang lain akan tetap bertahan di dunia tanpa S230, tetapi alternatif yang lebih kecil dan dikelola lebih baik—yang mungkin diinginkan orang—hampir pasti sulit bertahan
Yang terlihat dalam rancangan undang-undang seperti ini adalah upaya pemerintah menjadikan perusahaan sebagai perpanjangan tangan untuk penyelidikan dan penegakan hukum
Salah satu motivasinya adalah bahwa ini dapat sangat melemahkan due process. Konstitusi membuat perlindungan atas penggeledahan oleh pemerintah, tetapi karena kita “secara sukarela” menyerahkan data kepada perusahaan, perlindungan yang sama terhadap perusahaan jauh lebih lemah
Jadi jika pemerintah memaksa perusahaan melakukan penggeledahan, mereka bisa menghindari sebagian besar hak Amandemen Keempat
Apakah YouTube harus melaporkan liputan berita [1] tentang polisi yang overdosis fentanyl karena paparan saat bertugas sebagai fakta atau indikasi distribusi ilegal fentanyl?
Berapa banyak lagu rap dan lirik yang harus dilaporkan hanya karena mengandung lirik yang mengisyaratkan kemungkinan penggunaan narkoba sungguhan?
Apakah semua artikel berita dan diskusi media sosial seperti “{celebrity_name} dies from drug overdose” juga harus dilaporkan?
Apakah paten USPTO US3141823A[2], yang menjelaskan cara sintesis fentanyl, juga termasuk yang harus dilaporkan? Karena pengguna media sosial yang menautkan paten itu mungkin terlibat dalam produksi fentanyl ilegal?
Apakah makalah dari National Institutes of Health, “An Efficient, Optimized Synthesis of Fentanyl and Related Analogs”[3], juga harus dilaporkan? Karena pengguna yang menautkan makalah itu mungkin terlibat dalam produksi ilegal?
Jika rancangan undang-undang yang diusulkan melarang pemberitahuan permintaan pelestarian data selama minimal 5 hari, apakah platform harus menghapus konten yang melanggar ketentuan layanan, atau membiarkannya tetap ada agar tidak memberi tahu pengguna?
Jika platform tidak boleh menghapus konten bermasalah, lalu bagaimana jika konten itu diunggah bersama materi pelanggaran hak cipta, pornografi, atau konten lain yang biasanya langsung dihapus?
[1] https://www.youtube.com/watch?v=Jd76HxqCPf0
[2] https://patents.google.com/patent/US3141823A/en
[3] https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4169472/
Yang sebenarnya terjadi adalah mereka mengalami serangan panik karena mengira akan overdosis setelah menyentuh fentanyl
Saat dibawa ke rumah sakit dan diperiksa, tidak ditemukan jejak fentanyl dalam aliran darah mereka, tetapi media dan polisi membesar-besarkan kasusnya tanpa bagian itu. Karena memalukan
Satu-satunya cara polisi bisa terpapar fentanyl bukan dengan menyentuhnya, melainkan dengan menelannya
Seberapa sulit membuat sesuatu seperti aplikasi pendamping yang mengenkripsi dengan GPG sebelum pesan dikirim?
Cukup masukkan isi ke kotak teks, enkripsi, salin ke clipboard, lalu tempel ke aplikasi pesan. Pihak penerima bisa melakukan kebalikannya
Makin jelas bahwa jika ingin pemerintah dan perusahaan teknologi tidak mengintip pesan, kita harus menyelesaikannya sendiri
Artinya, jika seseorang mendapatkan kunci tersebut, mereka bisa membaca semua isi masa lalu dan saat ini yang dienkripsi dengan kunci itu
Perfect forward secrecy mengharuskan kedua endpoint berkomunikasi secara bersamaan, jadi tidak cocok untuk struktur email yang "kirim lalu lupakan", tetapi jelas diperlukan untuk pesan instan
Bagian yang sulit adalah melakukan tempel otomatis ke dalam aplikasi dan salin otomatis ke luar aplikasi, dalam situasi ketika pembuat aplikasi pesan mungkin secara aktif memusuhi aktivitas itu
Ada contoh pendekatan seperti ini di webmail, yaitu Mailvelope[1]
Jika Anda bersedia menerima langkah manual, PGP pada dasarnya sudah bisa dipakai dengan apa pun
[1] https://mailvelope.com/
Jika Briar menjadi lengkap fiturnya di iOS, dan UI-nya sedikit dirapikan agar terasa seperti dirancang setelah Android 7, hasilnya akan luar biasa