Páginas

quinta-feira, 8 de junho de 2017

Considerações sobre a audiência pública do STF a respeito de bloqueios do WhatsApp e o uso de criptografia

Considerações sobre a audiência pública do STF a respeito de bloqueios do WhatsApp e o uso de criptografia

Junho 7, 2017

Os Ministros Edson Fachin e Rosa Weber do STF convocaram a audiência pública, realizada nos dias 02 e 05 de junho, para esclarecer pontos de vista técnicos que permeiam as discussões de duas ações que tramitam perante o STF: a ADPF 403, que discute a compatibilidade de ordens de bloqueio do WhatsApp com a liberdade de comunicação, e a ADIN 5527, que discute a constitucionalidade dos incisos III e IV do art. 12 do Marco Civil do Internet, que autorizam a imposição das sanções de “suspensão temporária” e de “proibição do exercício das atividades” de provedores de conexão e aplicações de Internet.

Porém, a audiência se transformou em um debate sobre a legalidade ou não do uso de criptografia nos aplicativos de troca de mensagem. Isso porque há uma cruzada em torno do acesso, pelos órgão de investigação criminal (Ministério Público, entidades policiais) e pelo próprio poder judiciário, ao conteúdo da comunicação realizada através do WhatsApp, que, por sua vez, contém criptografia aplicada ao seu serviço, o que torna as intenções dos investigadores mais difíceis de serem concretizadas.

Os órgãos do law enforcement são categóricos em afirmar a extrema necessidade de acesso ao conteúdo das mensagens dos suspeitos de práticas ilícitas para deslinde dos crimes. Eles afirmam que, sem o conteúdo da comunicação, é impossível resolver determinados crimes, opinião esta da qual divergimos frontalmente, conforme será explanado no decorrer da presente manifestação.

Fazendo uma pequena digressão, necessária ao entendimento do funcionamento dessa tecnologia, podemos definir encriptação como sendo o termo técnico utilizado para se referir à maneira através da qual as comunicações - mensagens de texto, emails, chamadas telefônicas e de vídeo - são protegidas contra o acesso não-autorizado de um terceiro. A encriptação é feita seguindo preceitos puramente matemáticos. Por trás da proteção à confidencialidade propiciada pela encriptação estão princípios matemáticos que dão sustentação aos protocolos criptográficos e determinam o seu grau de segurança.

Cifras de encriptação surgiram muito antes da Internet. A mais antiga cifra de que se tem notícia é a cifra de Júlio César, desenvolvida pelo imperador romano para encriptar as mensagens transmitidas aos soldados de Roma. Com o surgimento, nos anos 1970’s, da chamada “criptografia de chave pública” e da noção de “assinatura digital”, a criptografia deixou de ser utilizada apenas para a proteção ao sigilo, mas também passa a oferecer proteção à integridade e à autenticidade das comunicações.


Serviços como transações bancárias pela Internet, por exemplo, não seriam possíveis caso não houvesse encriptação e proteção à integridade e à autenticidade. O mesmo se aplica em relação às operações de e-commerce. Nesses casos, a criptografia é usada como módulo adicional ao protocolo HTTP, transformando-o em HTTPS - tendo o “S” o significado de “seguro” - ao se utilizar de protocolos como SSL (“Secure Socket Layer”) ou TLS (“Transport Layer Security”). Nesse caso, aplica-se a encriptação apenas ao transporte da informação.

No caso do WhatsApp e diversos outros aplicativos de mensagem, tem-se utilizado a chamada, e agora tão famosa, encriptação ponta-a-ponta, uma forma mais refinada de encriptação. Isso porque se utiliza do método de criptografia de chave pública para encriptar as mensagens. Isso significa que as partes possuem uma chave pública para encriptar e uma privada para decriptar o conteúdo da mensagem. A chave pública é de conhecimento de todos, mas a chave privada é mantida em segredo no dispositivo e restrita a ele, segundo Fábio Wladimir Monteiro Maia, representante da Assespro Nacional. Na opinião de Fábio, não é possível interceptar uma comunicação realizada por meio do WhatsApp com a criptografia ativada e bem implementada. Ele chamou atenção para o fato de que a tentativa de decriptar uma mensagem pelo método de força bruta levaria bilhões de anos, literalmente, pois que hoje não há poder computacional suficiente para se fazer isso em menor tempo. Além disso, o provedor não armazena o conteúdo decriptado das mensagens, apenas as mensagens encriptadas, conforme imagem abaixo:

Tanto Fábio como outros especialistas ouvidos durante a audiência pública afirmaram ainda que é impossível quebrar a criptografia apenas para um usuário específico, bem como espelhar as mensagens para um terminal, como desejaram o MPF e a Polícia Federal.

Eis, então, a chave das discussões da audiência pública promovida pelo Supremo Tribunal Federal: o armazenamento das conversas encriptadas e a impossibilidade de acesso do Estado ao seu conteúdo.

Durante o seu espaço para manifestação, o Ministério Público Federal defendeu a adoção de técnica semelhante ao ataque conhecido na literatura técnica como “man in the middle” (“ataque do homem-no-meio”) para interceptação das mensagens trocadas entre investigados. Ressaltou o MPF que isso é possível do ponto de vista técnico, não havendo prejuízo aos usuários do serviço do WhatsApp.

O MPF foi contestado por mais de um técnico no assunto. Foi dito que, como o WhatsApp funciona em ambiente criptografado, a interferência de um terceiro na comunicação entre dois parceiros legítimos alertaria as partes envolvidas através da exibição de uma mensagem informando a troca de chaves do seu interlocutor, o que levantaria suspeitas a respeito da interferência na comunicação, fazendo com que as partes passassem a compartilhar informações propositalmente falsas ou, ainda, deixassem de usar o aplicativo para comunicação. Assim, a medida, que é tecnicamente possível, não seria eficaz. Além disso, o Professor Marcos Antônio Simplício Júnior (Departamento de Engenharia de Computação e Sistemas Digitais da Escola Politécnica da Universidade de São Paulo – USP) chamou a atenção para o fato de que um ataque desse tipo permitiria ao atacante adulterar a comunicação trocada entre as partes, o que tornaria a prova coletada inválida, já que se revelaria extremamente frágil.

Sobre a inclusão de “backdoors” (“portas de fundo”) no sistema do aplicativo, também foi dito que essa solução não se mostra viável, pois tais instrumentos nada mais são do que falhas propositais incluídas em um sistema de forma a ter acesso a informações privilegiadas. Ocorre que essas falhas podem ser utilizadas para outros fins por outras pessoas, com o fito de provocar danos ou roubar dados sensíveis. E não há como distinguir o uso “legítimo” de tais “portas de fundo” do seu uso por agentes maliciosos. A maioria dos ataques por malwares, por exemplo, é realizada utilizando-se de falhas em sistemas, como o ransomware “wannacry”, que recentemente explorou uma falha do sistema Windows para promover um ataque em massa, que chegou a atingir 170 países.

Neste ponto, a posição do MPF merece severas críticas, posto que se mostra dotada de uma tendência exacerbada pela busca ao vigilantismo, uma atuação voltada apenas para a persecução penal, sem qualquer preocupação com proteção aos direitos e garantias fundamentais constitucionalmente assegurados. Ademais, é de se ressaltar a falta de informação acerca do funcionamento do ataque que propõe como solução para a coleta de provas, já que ficou explicado, posteriormente, que as provas provenientes desse método não teriam qualquer valor, ante sua fragilidade e a possibilidade de adulteração. Ou seja, o que o MPF propõe não soluciona os problemas de investigação.

Em geral, todos os convidados das áreas tecnológicas (cientistas da computação, matemáticos, engenheiros, dentre outros) foram enfáticos em afirmar que o consenso entre a comunidade científica é de que não há como interferir na segurança conferida pela criptografia a um sistema de forma seletiva. Fazer isso iria de encontro ao propósito de desenvolvimento desses protocolos criptográficos, qual seja, garantir sigilo, autenticidade e integridade à informação transmitida. Partilhamos dessa opinião e defendemos que sistemas que se utilizam de criptografia permitem aos usuários uma maior segurança no trânsito das informações, bem como implementam na prática os direitos à privacidade e à liberdade de expressão, tão caros a todos os cidadãos. Impedir o uso de ferramentas criptográficas, portanto, seria um imenso atentado aos direitos dos cidadãos. A persecução penal deve ser feita por outros meios e métodos, e cabe aos órgãos por ela responsáveis o desenvolvimento de técnicas que superem a ausência das informações das quais eles não podem dispor.

Ademais, também muito foi tratado sobre o assunto durante a audiência pública, os órgãos investigativos podem dispor dos chamados “metadados” das conexões dos investigados (origem, destino, localização, dia/hora da troca de mensagens, etc.), que muitas vezes oferecem mais informação do que o próprio conteúdo das mensagens que deseja o MPF e a polícia. O representante do Centro de Tecnologia e Sociedade da FGV-Rio, Pablo Cerdeira, deu a informação de que o assassinato da juíza Patrícia Acioli, ocorrido no Rio de Janeiro em 2011, foi todo desvendado com base em metadados: geolocalização, dia e hora de conexão, entre outros. Metadados podem vir a ser, em suma, uma melhor alternativa do que o próprio conteúdo das comunicações.

Quanto à aplicação das sanções do art. 12 do Marco Civil da Internet, partilhamos da opinião proferida por Rafael Zanatta, representante do IDEC. Segundo ele, a “suspensão temporária das atividades que envolvam os atos previstos no art. 11” e a “proibição de exercício das atividades que envolvam os atos previstos no art. 11” 2 apenas se aplicam quando a empresa pratica atos que atentam contra a proteção do sigilo das comunicações, a privacidade dos usuários e a proteção dos dados pessoais destes. Assim, não poderiam ser usados como fundamento para as decisões de bloqueio do aplicativo WhatsApp, como de fato ocorreram. Tal entendimento é apenas lógico quando se lê o caput do artigo 12:

“Art. 12. Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos arts. 10 e 11 ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa:”

Logo, qualquer inferência diferente disso parece completo desvio de finalidade do artigo supracitado, merecendo ser de pronto rechaçada.

Em suma, a audiência pública acabou se revelando uma experiência muito positiva. Alguns dos maiores especialistas das matérias lá debatidas foram ouvidos, gerando uma enorme massa de conhecimento que espera-se seja bem absorvida pelos Ministros Weber e Fachin no julgamento das ações das quais são relatores. Ademais, só o fato de esses temas terem chegado à Suprema Corte brasileira já é uma vitória, considerando a distância que sempre existiu entre o judiciário e a comunidade técnica e os temas que envolvem tecnologia.

Aguardemos agora o resultado dos julgamentos.

Raquel Lima Saraiva - Advogada. Mestre e Doutoranda em Ciência da Computação pelo Centro de Informática/UFPE

Ruy J.G.B. de Queiroz - Professor Titular, Centro de Informática/UFPE

Nenhum comentário: