Por José Luiz Brandão
Desde 2015 os brasileiros têm acompanhado a guerra que a Justiça Brasileira e as Polícias dos Estados têm travado contra o Whatsapp e o seu dono, o Facebook. O motivo é a tentativa de se quebrar o sigilo das mensagens de texto e voz trocadas entre criminosos investigados pela polícia.
De um lado, a Justiça tenta, através de bloqueios e prisões, forçar as duas empresas a grampearem seus usuários e vazar informações que contribuam para as investigações. A base para essas ações são as legislações vigentes no Brasil, principalmente a lei do Marco Civil da Internet.
Do outro lado, vemos as duas empresas fazendo um jogo de empurra.
De um lado o Whatsapp dizendo que não tem filial no Brasil e por isso não precisa cumprir a ordem judicial. Já o Facebook, que tem filial no Brasil, diz que esse assunto tem que ser tratado diretamente com o Whatsapp nos EUA.
Muito se vem discutindo nesses últimos meses sobre esse assunto. Vejo juristas falando nos aspectos legais que justificam os bloqueios. Vejo profissionais de TI falando sobre criptografia ponto-a-ponto, meta-dados de transações entre outros termos técnicos. Mas sempre vejo assunto ser abordado com uma visão muito pontual do problema, tanto no aspecto técnico como no jurídico.
Dada a minha formação técnica, não me atrevo a discutir questões jurídicas. Me sinto mais confortável falando daquilo que tenho conhecimento e experiência: Tecnologia da Informação, Segurança da Informação e mais especificamente Criptografia. Por isso, vou focar a discussão nos aspectos técnicos da disputa, tentando ver o problema de uma forma mais ampla.
A complexidade da Tecnologia da Informação gera ignorância
As pessoas já se acostumaram nos últimos 30 anos a usar a tecnologia da informação no seu dia-a-dia. Grande parte da população mundial usa algum tipo de dispositivo online nas suas atividades diárias, sejam pessoais ou profissionais.
Usar tecnologia é uma coisa, entender como ela funciona é outra. A maioria das pessoas não entende, e isso não é um problema, pois as pessoas, em sua grande maioria, não precisam entender de tecnologia para usá-la.
Aqueles entes que são responsáveis por criar leis, fiscaliza-las e fazê-las cumprir, estes sim, precisam entender o que estão fazendo, ou pelo menos, devem ser assessorados por quem sabe.
O que vemos, nesse caso, são pessoas ignorantes da tecnologia criando leis e exigindo o cumprimento delas pela sociedade. De um lado a lei do marco civil da internet que já é antiquada com poucos anos em vigor. Do outro lado os juízes emitindo ordens judiciais, imaginando que o simples fato de as emitir vai fazer a tecnologia mudar a seu favor de forma a que elas sejam cumpridas. Na prática, o que temos visto são juízes ganhando algumas horas de fama, decisões sendo revogadas pelas instâncias superiores, a população sendo prejudicada e o Brasil se expondo ao ridículo para o resto do mundo.
A causa disso é o desconhecimento da tecnologia. Tanto da polícia que pede a quebra de sigilo à justiça, quando do juiz em acatá-la. Um mínimo de conhecimento técnico de ambos seria suficiente para saber que aquela decisão não pode ser cumprida por incapacidade técnica. E qual a lógica de se pedir algo que não pode ser feito?
Ampliando a visão do problema
Uma das dificuldades do leigo é entender como os diversos agentes de uma solução tecnológica se interligam para prover um serviço como o do Whatsapp.
De forma simplificada vamos trabalhar com 4 agentes:
- Smartphone – Dispositivo móvel físico e sistema operacional (Android, IOS, Windows Phone, etc);
- Whatsapp APP – Aplicativo instalado dentro Smartphone que é responsável por enviar e receber mensagens;
- Internet – Meio pelo qual uma mensagem sai de um dispositivo e chega a outro através de uma rede de computadores;
- Whatsapp Servidor – Servidor central do Whatsapp onde os usuários são cadastrados e que é feito o recebimento e envio das mensagens trocadas entre os eles;
O que acontece quando dois usuários trocam uma mensagem no Whatsapp?
- O Usuário1 escreve a mensagem e clica em enviar;
- O Whatsapp APP cifra a mensagem para o Usuário2 antes desta sair do Smartphone do Usuario1;
- A mensagem é transmitida usando a internet até chegar no Servidor do Whatsapp. Como a mensagem já saiu cifrada do Smartphone, ela chega no Servidor do Whatsapp cifrada. O Servidor recebe a mensagem. Nesse momento ele sabe quem criou a mensagem e para quem ela é destinada (metadados). Mas o conteúdo da mensagem só pode ser decifrado pelo Usuário2 (destinatário da mensagem). O servidor envia a mensagem para o destinatário;
- O Whatsapp APP do destinatário recebe a mensagem, decifra-a e a apresenta para o usuário que a lê, visualiza ou ouve;
Da forma como o Whatsapp escolheu montar seu produto é inviável interceptar o conteúdo de uma mensagem trocada entre um usuário e outro pois ele não vai conseguir decifra-la.
O que a justiça brasileira espera que o Whatsapp faça é que se mude a forma como o aplicativo foi concebido visando torna-lo mais inseguro e permitir o grampo das informações trafegadas.
Todos sabem que isso não vai acontecer. Não é por desrespeito à justiça brasileira, mas é uma política da empresa para todo o mundo que não vai (e não deve) mudar por conta do Brasil. É uma postura da empresa de preservar a privacidade do usuário que em 99% dos casos não é criminoso.
Vamos supor que o Whatsapp resolvesse mudar o seu aplicativo para atender os anseios da justiça e criasse uma forma de decifrar as mensagens trocadas pelos usuários. O que iria acontecer? As pessoas de bem iriam continuar utilizando o Whatsapp e os criminosos iriam migrar de aplicativo.
Numa busca rápida na internet é possível encontrar dezenas de aplicativos que fazem a mesma coisa que o Whatsapp. Muitos deles possuem o mesmo mecanismo de criptografia ponto-a-ponto que o Whatsapp. Um deles é o Telegram, rota de fuga dos brasileiros sempre que o Whatsapp é bloqueado. No Telegram, porém, isso não é automático. É necessário utilizar o que eles chamam de “Secret Chat” (Chat Secreto) onde os usuários podem conversar de forma criptografada e as mensagens são apagadas automaticamente após um determinado tempo.
Essa estratégia não é uma exclusividade dos Smartphones e tão pouco uma novidade dos aplicativos de mensagem instantânea. Os tradicionais e-mails já fazem isso há mais de 20 anos. Exatamente da mesma forma. Basta configurar um certificado digital no seu programa de e-mail que todas as mensagens saem criptografadas para o destinatário e só eles podem decifra-las.
Se analisarmos com mais detalhes vamos perceber que esse modelo é muito parecido com o do Whatsapp. Veja abaixo:
De forma simplificada vamos trabalhar com 5 agentes:
- Computador – Dispositivo físico e sistema operacional (Windows, Linux, MacOS, etc);
- Microsoft Outlook – Software instalado no computador que é responsável por enviar e receber mensagens de e-mail;
- Internet – Meio pelo qual um e-mail sai de um computador e chega a outro através de uma rede;
- Gmail – Servidor central de e-mails do Google onde os usuários são cadastrados e que é feito o recebimento e envio das mensagens trocadas entre os usuários;
- Autoridade Certificadora – Empresa responsável pela emissão de certificados digitais para e-mails (Verisign, Comodo, Globalsign, etc).
O que acontece quando dois usuários trocam uma mensagem de e-mail?
- O Usuário1 escreve a mensagem, escolhe o destinatário e escolhe criptografar a mensagem;
- O Microsoft Outlook cifra a mensagem para o Usuário2 antes desta sair do Computador do Usuario1;
- A mensagem é transmitida usando a internet para chegar no Servidor do Gmail. Como a mensagem já sai cifrada do computador, ela chega no Servidor do Gmail cifrada. O Servidor recebe a mensagem. Nesse momento ele sabe quem criou a mensagem e para quem ela é destinada (metadados). Mas o conteúdo da mensagem só pode ser decifrado pelo Usuário2 (destinatário da mensagem). O Gmail envia a mensagem para o destinatário;
- O Microsoft Outlook instalado no computador do destinatário (ou qualquer outro programa de e-mail que suporte o padrão S/MIME) recebe a mensagem, decifra-a e a apresenta ao usuário para visualiza-la.
Numa situação dessas, o que a justiça iria fazer? Punir a Microsoft, o Gmail, o provedor de internet ou a Autoridade Certificadora? Nenhuma delas seria capaz de decifrar o e-mail do usuário e entregar à justiça.
Saindo do mundo da internet, podemos pensar no mundo da telefonia. Se dois criminosos comprarem um telefone fixo ou celular que cifra todas as conversas trocadas entre eles. Se a justiça mandar grampear o número de telefone vai ouvir só ruído pois quem faz a criptografia é o aparelho telefônico, a empresa de telefonia só transmite a conversa de um aparelho para outro. O que a justiça ia fazer? Punir o fabricante do telefone? Veja que estou falando de telefonia tradicional. Se formos para telefonia IP (VoIP) temos um mundo muito mais amplo para discutir.
São muitos os exemplos que podemos dar em diversas situações diferentes de comunicação entre duas pessoas.
Por que atacar o Whatsapp?
A razão principal é a ignorância do investigador e do julgador. O Whatsapp é um software como é o Microsoft Outlook e nesse contexto exerce o mesmo papel de um aparelho de telefone. Não existe concessão pública para venda de aplicativos ou equipamentos. Existe concessão pública para prover serviços de comunicação tais como telefonia e intenet. Imagine se a OI se negar a grampear o telefone de um criminoso. O que a justiça vai fazer? Mandar bloquear todas as comunicações de telefonia fixa e móvel de todos os clientes da OI? Ninguém mas fala no telefone por 48 horas. É exatamente isso que está sendo feito com o Whatsapp. Não faz sentido.
A razão é o fato do Whatsapp ser o aplicativo mais popular do mundo para troca de mensagens instantâneas. Se o Telegram fosse o mais popular seria ele o alvo dos bloqueios.
Qual o motivo de toda essa confusão?
O motivo é uma mistura de ignorância tecnológica e autoritarismo de alguns juízes. O que se vê é uma inversão da ordem natural das coisas.
O modelo de regulamentação criado pela legislação e o modelo de investigação policial é arcaico e não acompanhou a evolução que o mundo teve com a revolução tecnológica dos últimos 20 anos.
O conceito de quebra de sigilo, que funciona muito bem com telefonia, informações bancárias e informações fiscais, são de uma época onde não existia internet, não existia celular e não existiam smartphones.
O que os legisladores e juízes tentam é fazer com que a tecnologia retroceda 30 anos para se adaptar às leis e métodos de investigação que se baseiam no conceito de quebra de sigilo.
A guerra contra o Whatsapp já está perdida
Brigar contra o Whatsapp é iniciar uma guerra que já começa perdida. Não pelo fato de estarmos falando de dois gigantes da tecnologia mundial: Whatsapp e Facebook. Mas pelo fato do objetivo que se quer alcançar (quebrar o sigilo das comunicações modernas) ser ultrapassado.
O que o legislador, a polícia e a justiça precisam fazer é assumir que algumas técnicas de investigação e regulação de mercado não se aplicam à forma moderna das pessoas se comunicarem.
Veja que não falo em não regular, não legislar. Penso que deve haver sim haver legislação para o uso da tecnologia. Cada vez mais os crimes estão ficando tecnológicos e é dever do estado proteger a população contra esses criminosos. Mas isso deve ser feito com inteligência e não com truculência.
É necessário se adaptar aos novos tempos e não querer enquadrar o mundo a conceitos antigos. Temos que pensar diferente e buscar novas formas de alcançar o mesmo objetivo.
As áreas de análise forense das polícias avançaram muito nos últimos anos. Os peritos criminais cada vez mais se utilizam de técnicas sofisticadas e muita criatividade para auxiliar as investigações criminais. O estado deve investir cada vez mais nesses profissionais e parar de bater a cabeça na parede.
Formado em Ciência da Computação pela Universidade de Brasília (1997), tendo se especializado em segurança da informação e criptografia, Brandão é sócio fundador da e-Sec Segurança Digital.
Foi membro do COTEC – Comissão Técnica da ICP-Brasil como representante da sociedade civil de 2003 a 2006 participando da elaboração das diversas normas publicadas pela ICP-Brasil neste período.
Durante mais de 10 anos participou de projetos nas áreas de criptografia, certificação digital, análise de segurança de sistemas em diversas instituições públicas e privadas em todo o país.
De 2007 a 2015 atuou como Diretor Comercial. Em janeiro de 2016 passou a ocupar a presidência do conselho administrativo da empresa.
Colunista do CryptoID
Leia outros Artigos do Colunista aqui!