quarta-feira, 21 de abril de 2021

MIGALHAS DE PESO

Publicidade

Encriptação e acesso judicial

A internet é o palco se desenrola a trama da luta contra a criptografia e o espectador está sendo induzido a acreditar que existem apenas dois lados: apoiá-la para defender a privacidade ou combatê-la para enfrentar o cyber terrorismo.

terça-feira, 22 de março de 2016

O título deste artigo se tornou, nas últimas semanas, destaque no noticiário internacional e, a partir do momento em que a justiça sergipana determinou ao WhatsApp que desse à polícia acesso a conversas realizadas por meio do aplicativo, com repercussões no Brasil.

Em resumo, a determinação do juiz Marcel Maia Montalvão, da Vara Criminal de Lagarto/SE, não pôde ser cumprida por razões técnicas1. O descumprimento se atribuiu ao fato de os dados provenientes do uso do programa não ficarem armazenados, em estado inteligível, no servidor ou em um banco de informações do provedor, mas nos próprios aparelhos telefônicos dos usuários - o que se deve ao emprego do método de criptografia end-to-end (E2E).2

Questiona-se: qual o sentido, a razoabilidade, de se expedir medida judicial não-realizável para depois punir o responsável pelo seu descumprimento?

Na tentativa de respaldar a ordem judicial citada, o marco civil da internet tem sido equivocadamente citado, a exemplo do que se observa no trecho da reportagem feita por Felipe Pontes, da Agência Brasil, em matéria divulgada pela Associação dos Advogados de São Paulo/AASP, sob o título "Lei determina acesso a dados que trafegam na internet, dizem especialistas"3, na qual o promotor Frederico Ceroy, presidente do Instituto Brasileiro de Direito Digital, afirmou:

"'O Marco Civil deixa muito claro: se a empresa opera no Brasil, ela tem que encontrar maneiras de atender à legislação brasileira', afirmou. 'Existe simplesmente um desejo do WhatsApp em não entregar os dados. Porque entregar dados custa caro, você tem que ter uma estrutura para isso, acionar um departamento jurídico, e o modelo de negócios do WhatsApp no Brasil não prevê isso', observou Ceroy"4.

Só se pode concordar em discordar. Não parece coerente afirmar que qualquer um, indivíduo ou empresa, seja obrigado a encontrar uma maneira de atender norma absurda ou inviável (sobre a internet ou qualquer matéria); é a legislação que tem que se posicionar dentro da reserva do razoável e do plausível (daquilo que se pode exigir do jurisdicionado).

Ocorre que o marco civil não cuida da extração de dados alocados em gadget ou mantidos em estado codificado e, quando o fizer, não poderá fazê-lo nos termos solicitados pelo magistrado estadual. Assim, ainda que fosse factível que o WhatsApp viesse a desenvolver a estrutura de que fala Ceroy - e não o é, não do modo proposto -, é evidente que ela não existe hoje, sendo assim, a ordem judicial não poderia ser atendida.5

O fato é que não se trata de uma estrutura no sentido físico da palavra. O sistema de criptografia empregado pelo WhatsApp (em parceria com a Open Whisper Systems)6, como dito anteriormente, é o end-to-end ou E2E utilizado tanto pelo WhatsApp quanto por outros aplicativos, como o IMessage (Apple).

Com esse tipo de codificação, o aparelho do usuário emissor da mensagem contata um dos servidores da empresa (a Apple, por exemplo, utiliza o ESS, que estoca todas as chaves para os usuários do IMessage), que irá fornecer-lhe o segredo de encriptação do usuário receptor da mensagem; daí o telefone emissor enviará um texto indecifrável para o provedor, que o encaminhará para o telefone receptor - único que poderá decodificá-lo, por ser a origem da chave criptográfica utilizada.

Em momento algum o provedor vê o real conteúdo da missiva (plaintext) que sai cifrada do emissor e só será desencriptada no receptor, por isso a denominação end-to-end. A burla, aqui, seria enviar uma chave adicional (além da chave de encriptação do receptor) acessível pela polícia ou Judiciário, de modo que todas as mensagens lançadas a partir da implementação desta chave adicional pudessem ser replicadas e decodificadas - mas não as anteriores.

A solução (burla) poderia, em tese, ser adotada futuramente pelo WhatsApp, o que não significaria ser a melhor escolha legal, técnica ou moral, sobretudo porque o método desconsidera que o titular da conta não é, necessariamente, a pessoa que envia as mensagens suspeitas.7 e 8

A situação do WhatsApp na Justiça sergipana é idêntica a outra envolvendo drogas e armas em New York (NY), no qual o Departamento de Justiça norte-americano obteve medida judicial determinando que a Apple entregasse o conteúdo das mensagens trocadas via IMessage, em tempo real. A companhia respondeu que isso não seria possível em razão de só ter acesso ao texto cifrado das conversas e a decisão do juiz federal James Orenstein, disponibilizada em 1/3/16, foi favorável à empresa.

Semelhanças contextuais à parte, há uma diferença relevante que diz respeito aos dois provedores: o WhatsApp oferece e gere um serviço de troca de mensagens, enquanto que a Apple afora isso, também cria os gadgets onde ficam armazenados dados/informações e teria, como tal, hipotéticas condições de dar acesso a todo o conteúdo interno do aparelho - que vai muito além de conversas9.

Esta peculiaridade, sobre a Apple vir a ter (porque atualmente não teria) meios de acesso ao aparelho de um usuário é o cerne de uma outra discussão, desta vez travada na Califórnia (CA), entre a empresa e o FBI no feito envolvendo o terrorista Syed Rizwan Farook que assassinou 14 pessoas em dezembro de 2015 em San Bernardino. Segundo experts, a escolha do caso pelo FBI não foi aleatória, mas calculada por se tratar de um assunto tabu para a opinião pública americana.

Em ambas as contendas americanas (NY e CA) foi invocado o All Writs Act, do Judiciary Act de 1789, que dá poder às cortes federais de compelir estranhos a ajudar na execução de uma ordem judicial ou mandado de busca. A Suprema Corte, todavia, já decidiu que a o All Writs Act não pode ser utilizado como pretexto para obrigar o terceiro a uma ação que lhe trará uma consequência ou peso desproporcional ou inaceitável (unreasonable burden) - argumento utilizado pelo juiz federal de New York.
É importante dizer que as conjunturas nos dois processos norte-americanos envolvendo a Apple também são distintas. Em NY, como com WhatsApp no Brasil, a polícia queria obter o conteúdo de mensagens trocadas via IMessage - que não estariam em plaintext. Já na CA, se trata de o FBI querer que a Apple crie uma ferramenta de acesso ao aparelho (integral) protegido por senha - ferramenta esta que serviria em qualquer Iphone e não apenas no do terrorista.

Em outras palavras, enquanto com a interceptação das conversas encriptadas se busca um conjunto delimitado de dados em uma janela temporal demarcada, com o hackeamento do Iphone o alvo é tudo que foi, a qualquer tempo, estocado ali. O desequilíbrio é ainda mais sério: enquanto no caso IMessage/WhatsApp se investigam dados específicos de um (1) aplicativo em um (1) aparelho determinado, o objeto do pedido do FBI é a criação de uma chave que permitiria a espionagem aleatória de mais de um (1) bilhão de aparelhos da Apple com o sistema operacional IOS10.

Isto porque o Iphone possui em seu hardware um software que cifra quase todos os arquivos; o código exigido pelo aparelho quando inicializado é o mecanismo que protege as chaves de encriptação do hardware. Significa dizer que a trincheira de proteção do Iphone vem da encriptação do hardware, realizada pelo software, cujas chaves só podem ser acessadas com o password do usuário. O que o FBI quer não é a senha em si, mas uma abertura para quebrar a criptografia do hardware: para ele tanto faz abrir ou dinamitar a porta.

O governo americano pede à Apple, em letras miúdas, que escreva um novo software - na verdade, um IOS falso, incrementado - que quando instalando elimine essas barreiras de segurança, abrindo uma brecha que o FBI utilizaria para quebrar o password do gadget com força bruta e acessar dados estocados ali, mas sem correr o risco de deletar o conteúdo completamente (o que pode acontecer após 10 tentativas frustradas de acertar a senha).

A questão ético-moral levantada pela companhia é no sentido de que, uma vez compelida a escrever um código desses, nada impediria o governo de solicitar outros para ligar o microfone do aparelho e ativar a câmera em atenção à necessidade de vigilância; ou acessar o GPS localizador do usuário diretamente; ou obter dados privados sobre saúde, finanças, negócios, etc.; ou que novas empresas do ramo fossem constrangidas a criar os mesmos mecanismos; ou, ainda mais grave: não se poderia refrear criminosos e hackers de aproveitarem estes recursos.11

É por isso que as principais operadoras de tecnologia do mundo se alinharam à Apple contra o FBI12. Twitter, AirBnB, LinkedIn, Reddit e outras assinaram juntos um amicus brief na Califórnia, outro foi assinado por Amazon, Cisco, Facebook, Google, Mozilla, Microsoft, Pinterest, Snapchat, WhatsApp e Yahoo. Intel e AT&T subscreveram amicus briefs individualmente, bem como o marido de uma das vítimas do ataque terrorista, Salihin Kondoler, que assinou petição pessoal em suporte à Apple13. A empresa listou todos os aliados no seu website14. Quanto ao FBI, espera-se que muitos familiares das vítimas se manifestem em favor do bureau. As partes voltarão ao tribunal, perante o Judge Sheri Pym, no dia 22 de março de 2016.

No afã de oferecer um meio termo técnico, o FBI teria garantido à Apple que a versão customizada do IOS jamais sairia do campus da empresa em Cupertino. A ideia não convenceu. O consenso é que o benefício da privacidade vem da convicção coletiva de que ninguém pode fazer o que o FBI pretende, uma vez que seria impossível prevenir o vazamento deste tipo de conhecimento.

Seria diferente, talvez, se o FBI desejasse acesso exclusivamente ao conteúdo do Iphone de Farook, ao invés de aproveitar a repercussão do caso para tentar obrigar a Apple a elaborar um malware (conceito que combina malicious e software). Nesta hipótese, seria plausível que a empresa auxiliasse o FBI - tentando desenvolver, ainda não se sabe como, um meio técnico e viável para acessar o dispositivo móvel do terrorista - dada a gravidade da situação; daí a indignação geral contra o bureau: porque aparentemente investigar o que ocorreu em San Bernardino é interesse secundário do Governo.

A solução da disputa interessa a mais de um bilhão de pessoas que arquivam em seus aparelhos informações de valor como senhas bancárias, dados de carteiras digitais, códigos de acesso às suas residências; ou confiam tais informações ou outras igualmente comprometedoras em conversas privadas ou a aplicativos. Os hackers, terroristas e criminosos se beneficiariam da quebra de segurança pela impossibilidade lógica de que uma backdoor15 só fosse usada pelas autoridades legitimadas.

Manifestando-se sobre o caso, o presidente da Microsoft, Brad Smith, disse: "O caminho que leva ao inferno começa com uma backdoor"16. É o mesmo argumento do CEO da Apple, Timothy Cook, ao explicar que a atual batalha em torno da criptografia não pode ignorar que "se você puser uma chave embaixo do tapete para a polícia, a ladrão pode encontrá-la também"17. De acordo com Tim Cook, quando os criminosos e os outros países soubessem da existência desta chave18, não sossegariam até possuí-la. Ele provavelmente está certo.

Os crackers (criminal hackers) são engenhosos e incansáveis na exploração das fragilidades da internet, não é à toa que em 4 de março deste ano conseguiram se infiltrar pela primeira vez em computadores MAC com OSX através de um ransomware instalado com um certificado válido da Apple por meio da atualização de um aplicativo legítimo (Transmission version 2.90).

O ransomware (KeRanger) é um tipo de malware que vende de volta ao usuário seus próprios arquivos (como textos, fotografias, faturas, planilhas, etc.) - o objetivo dos hackers nunca foi assumir o controle da máquina, mas pedir um resgate (de 1 bitcoin, cerca de quatrocentos dólares) pelo seu conteúdo19 .

Imagina-se o que esses crackers teriam condições de fazer se uma backdoor fosse deixada ali pela própria Apple. Basta projetar, em comparação aos computadores pessoais, quanto da informação privada dos utilizadores está concentrada nos smartphones e tablets (lista de contatos, mensagens de voz, registro de chamadas, e-mails, notas, histórico de emparelhamento via bluethooth, histórico de localização por uso de GPS ou mapeamento das torres de celulares conectadas, vídeos, fotos, aplicativos, histórico de navegação na internet, carteiras digitais, etc.).20 Por esse motivo, é preciso incrementar exponencialmente e incessantemente a segurança e a proteção de dados, não o contrário.21

À margem dessa altercação, indaga-se o porquê de o FBI precisar da Apple para hackear o IPhone do suspeito. Especula-se por que não solicitar a colaboração da NSA (National Security Agency), cuja habilidade para hackeamento foi largamente divulgada por Edward Snowden.22 Aliás, várias reportagens norte-americanas23 sugerem que o FBI já utiliza o conhecimento adquirido com o NSA para monitorar criminosos.

Perquirido se havia pedido ajuda a outras agências do governo, o diretor do FBI, James Comey, respondeu ter conversado com qualquer um disposto a falar sobre o assunto24. A informação parece duvidosa vez que os melhores hackers do mundo estão em Fort Mead, sede da NSA, mas o Iphone de San Bernardino está em Quantico, sede do FBI.

As opções do bureau, entretanto, ultrapassam a "mera" esfera governamental desde que realizou a contratação direta (sole source contract/no-bid contract) da empresa israelense Cellebrite, sediada em New Jersey - uma companhia com expertise na extração de informações de aparelhos móveis (Iphones/Ipads/Ipods, Androids, Blackberries, Nokias BB5, Windows Phone, GPS portáteis e outros)25.

Por que, então, a Cellebrite não está fazendo o trabalho dela? A resposta seria que o FBI optou por uma batalha judicial pública na investigação do caso San Bernardino na esperança de criar um pretexto para ajustar a iniciativa privada aos interesses de vigilância do governo americano na área da tecnologia.26

Diante disso, a Apple tem afirmado que não se trata de um litígio sobre o telefone de San Bernardino, mas da criação de um precedente. O FBI e o Departamento de Justiça Americano estariam utilizando o Judiciário para obter um poder não atribuído a eles pelo Congresso e pelo povo americano: a habilidade de forçar companhias a desconsiderar os interesses individuais e a segurança de seus usuários em nome do desejo de controle estatal27.

Há rumores, mesmo agora, de que o Departamento de Justiça americano está construindo um caso contra outros aplicativos/provedores, notadamente contra o WhatsApp - que se torna particularmente interessante por causa de seu um (1) bilhão de utentes e de sua base de clientes internacionais. Comenta-se que, como ocorreu com a Apple no processo de San Bernardino, o FBI está apenas esperando por um caso que empreste razoabilidade à sua demanda perante a opinião pública .

O presidente Barack Obama participou há poucos dias atrás no South by Southwest (SXSW) festival,28onde se manifestou a respeito da questão da encriptação de dados. Após exaltar a importância da privacidade e da criptografia (especialmente nos sistemas governamentais, como o controle aéreo de tráfico), Obama disse:

"Se é possível tecnologicamente fazer um aparelho impenetrável ou sistema no qual a encriptação seja tão forte que não haja chave, não há qualquer porta, então como nós apreendemos um pornógrafo infantil, como nós solucionamos ou interrompemos uma conspiração terrorista?" 29

Em resposta a esta guerra - ora declarada, ora velada - contra a criptografia, as empresas mais proeminentes do Silicon Valley estão trabalhando para aumentar a tecnologia de privacidade (warrant-proof technology).

É importante esclarecer que nunca foi tão fácil monitorar a sociedade e está cada vez mais difícil o isolamento digital e o bloqueio da comunicação (go dark). A warrant-proof technology (tecnologia à prova de mandado) não pode ser encarada literalmente e não pretende, ao contrário do que o FBI insinua, dificultar investigações; é simplesmente uma ferramenta para tentar resguardar o mínimo da intimidade das pessoas na Era Dourada da Vigilância (Golden Age of Surveillance).30

De toda sorte, dificilmente os confrontos a respeito da criptografia serão resolvidos sem envolvimento do Judiciário porque, como disse Nate Cardozo, advogado da Electronic Frontier Foundation31: não adianta usar a tecnologia para combater o direito. O direito combate o direito; a tecnologia combate a tecnologia.32

Por força deste cenário, os especialistas e players da área passaram a defender que no ponto - acesso a dados protegidos por criptografia -, a supressão da omissão legislativa seria potencialmente benéfica - desde que razoável, claro - para evitar aventuras jurídicas que ameacem os princípios éticos dos provedores e a intimidade dos cidadãos.33

O desafio é que a regulação da internet é muito complicada, na medida em que não pode ser excessiva ou restritiva demais sob pena de confinar o desenvolvimento da rede. Além disso, a complexidade da elaboração das políticas públicas legais permeia um limite tênue entre segurança e privacidade, especialmente na questão atinente aos dados criptografados ou protegidos por encriptação de hardware.

A legislação, deste modo, precisaria definir muito claramente quem poderia ser solicitado a auxiliar, perante quais autoridades e de que modo, sob quais especificidades, quais detalhamento de forma, parâmetros e circunstância, e quais critérios mínimos justificariam uma intervenção via ordem judicial no caso concreto.

Observe-se que somente em relação aos dados criptografados armazenados em um gadget, existem pelo menos três ângulos, nenhum deles abordado pela legislação: (i) o acesso a conteúdo decodificado de conversa cifrada (plaintext) travada por meio de app, como ocorre com o WhatsApp e IMessage; (ii) a superação do password e quebra das chaves de encriptação do hardware de um celular específico, o que ninguém sabe como fazer, e (iii) a criação de backdoor com potencial para atingir bilhões de usuários, como sugere o FBI no caso San Bernardino.

Em relação às duas primeiras hipóteses, é preciso harmonizar a quebra de sigilo prevista no art. 5º, XII com a de dados digitais; e entender de que modo a disposição constitucional e a lei 9.296/96 se adequariam à cyber realidade.

Para tanto, verifica-se que o objeto resguardado pelo direito à inviolabilidade do sigilo não é o dado ou a informação em si, mas a privacidade do meio de comunicação, de modo que seja mantida a intimidade na transmissão de informações entre pessoas, respeitada a premissa de que a livre manifestação somente pode existir com a garantia de não publicação de sua expressão: é a liberdade total com que se expressam os interlocutores quando estão certos de não serem observados.

Paritariamente, seria proibida a interceptação dos dados transmissíveis pela internet que fossem armazenados ou armazenáveis, ao contrário da conversa telefônica, que se perde imediatamente. Sob esta ótica, e-mails dificilmente poderiam ser interceptados, porque estariam disponíveis nos servidores dos provedores; já as comunicações via WhatsApp ou IMessage só seriam alvo de interceptação se fosse impossível ter acesso ao aparelho físico onde estariam arquivadas ou à desencriptação posterior34; ao contrário das videoconferências por Skype ou FaceTime que, a princípio, não ficam depositadas nem no servidor nem no gadget e se esgotam em tempo real.
Estabelecida uma posição quanto à quebra de sigilo, interessa o exame do instituto da busca e apreensão presencial num contexto digital, com a definição da legalidade da utilização de um malware ou de outro método de hackeamento à distância, vez que o acusado poderia sofrer a invasão de sua intimidade com a apreensão de seus dados eletrônicos sem ter ciência da ocorrência35.

A grande dificuldade quanto à busca e apreensão de dados é que um smartphone ou tablet conta com um grau superior de proteção (encriptação de hardwares) que implica, pelo menos no nível atual de conhecimento tecnológico, na necessidade de colaboração do dono do gadget (acesso via código de proteção), dos provedores (acesso ao banco de dados e/ou às chaves de encriptação dos dados) ou fabricante do gadget (quebra da chave de encriptação do hardware).

O problema é que a própria utilidade da busca e apreensão é colocada em cheque se os dados estiverem armazenados em dispositivos móveis que não podem ser acessados nem hackeados. É preciso refletir se este obstáculo é um fardo atribuível exclusivamente ao Estado ou onde começa a responsabilidade da iniciativa privada.

Qual seria o melhor método para desbloquear aparelhos móveis modernos ou aplicativos protegidos por senha/criptografia é uma pergunta (ainda) sem resposta. No caso dos smartphones, os fabricantes teriam que desenvolver uma backdoor/chave personalizada que não pudesse ser aproveitada nem replicada em outro aparelho e, por hora, ninguém sabe como fazer isso.

Quanto aos aplicativos de chat, uma opção razoavelmente moderada seria garantir a codificação do conteúdo, mas viabilizar o acesso, excepcionalmente, aos metadados (dados sobre outros dados) que registram quem falou com quem, com que frequência e quando. Seria, talvez, uma forma de acalmar os ânimos do Governo.36

Destaque-se que as aplicações e equipamentos eletrônicos estão em constante evolução, seja para se aprimorarem, seja para serem substituídos por outros mais avançados: os de amanhã terão suas próprias características e os legisladores precisam ter ciência deste fato sem se deixarem intimidar por ele, abstendo-se dos excessos e evitando omissões.

O que se afirma, com certeza, é que unicamente o acusado pode sofrer restrição à privacidade37 e que o acesso a dados sempre deve ser casuístico e pontual. Por essa razão, a solução apresentada pelo FBI no caso da Califórnia (terceira perspectiva analisada) não tem respaldo social, político ou jurídico.

Pode-se dizer, quanto à normatização, que o Brasil deu um primeiro passo importante com a edição da lei 12.965/14, interessante do ponto de vista principiológico. O caminho pela frente, contudo, é longo e passa pela revisão de disposições de regulação ostensiva, criticadas como carta branca na mão do governo e do Poder Judiciário38 .

Além disso, nada obstante o Marco Civil esteja em vias de ser regulamentado por decreto, justamente no capítulo da proteção de dados,39/40 em momento algum se tratou da necessidade de extraí-los diretamente de um gadget, codificados ou em plaintext, remotamente ou não, pelo fabricante ou provedor.

A esse respeito, a "Seção II - Padrões de Segurança e Sigilo dos Registros, Dados Pessoais e Comunicações Privadas" do decreto dispõe:

"Art. 11. Os provedores de conexão e de acesso a aplicações devem, na guarda, armazenamento e tratamento de dados, observar as seguintes diretrizes sobre padrões de segurança(...)

Art. 13. Os dados de que trata o art. 10 da Lei 12.965, de 2014 deverão ser mantidos em formato que facilite o acesso decorrente de decisão judicial ou determinação legal, respeitadas as diretrizes elencadas no art. 11 deste Decreto"

A redação da lei, no parágrafo primeiro do art. 10º, prevê que o provedor responsável pela guarda somente será obrigado a disponibilizar dados mediante ordem judicial; a alteração propõe que estes dados estejam num "formato" que facilite o acesso ordenado judicialmente. Note-se que o art. 10º da lei 12.965 menciona "provedor responsável pela guarda" e o art. 11 do decreto menciona "guarda, armazenamento e tratamento de dados".

É razoável defender, pois, que o comando do artigo 13 (formato que facilite acesso) só se aplicaria aos provedores de conexão e de acesso a aplicações em relação aos dados que estivessem sob suas guardas. Se o provedor não é responsável pela guarda de dados, não poderia mantê-los em um formato que facilitasse o acesso porque não se pode organizar o vazio.

Voltando ao caso da justiça sergipana, o WhatsApp, além de não ser responsável pela guarda de conversas dos usuários, só tem contato com essas informações em estado criptografado. Ou seja, mesmo que fosse compelido a fornecer os dados cuja guarda em plaintext não é sua - tal esforço seria inútil pela impossibilidade de compreensão do conteúdo cifrado.

A despeito de tudo isso, no dia 1º de março de 2016 foi decretada a prisão de Diego Jorge Dzodan, vice-presidente do Facebook na América Latina (o Facebook é o dono do WhatsApp) motivada pelo descumprimento da ordem judicial que determinou a disponibilização do conteúdo das conversas entre usuários suspeitos de combinar e cometer crimes utilizando o aplicativo. Antes da prisão de Dzodan, a multa foi elevada ao patamar extravagante de um milhão de reais por dia.

O ambiente jurídico-digital está conturbado pela ausência de domínio dos legisladores sobre o funcionamento da rede, falta de consenso entre profissionais da área, excesso de lobby defendendo interesses privados e incoerência na leitura da legislação sobre o tema por inexperiência dos aplicadores do direito na matéria - afinal, o Judiciário pode usar a coerção a serviço do direito, mas certamente não deveria fazê-lo para punir a parte por ter causado uma ranhura em seu ego.

Oportuno parafrasear a citação que encerra a petição da Apple no caso San Bernardino:

"Quase 90 anos atrás, o Justice Louis Brandeis, refletindo sobre o 'progresso da ciência' para além da escuta telefônica famosamente advertiu que 'os maiores riscos espreitam a liberdade no ataque traiçoeiro por homens zelosos, bem-intencionados, mas sem compreensão'" .

A internet é o palco se desenrola a trama da luta contra a criptografia e o espectador está sendo induzido a acreditar que existem apenas dois lados: apoiá-la para defender a privacidade ou combatê-la para enfrentar o cyber terrorismo. A verdade é que raramente as coisas são simples como o preto ou branco; é preciso buscar meios de equilibrar as aparentes contradições e oferecer respostas, em uma realidade cinzenta, que ultrapassem a retórica em prol das soluções válidas.

_____________

1 SREEHARSHA, Vinod, ISAAC, Mike. Brazil arrests Facebook Executive in WhatsApp data acess case. The New York Times. In clique aqui. Publicado e 1.3.2016. Consultado em 9.3.2016.

2 GREEMBERG, Andy. WhatsApp just switched on end-to-end encryption for hundreds of millions of users. In clique aqui. Publicado em 10.11.2014. Consultado em 8.3.2016.

3 PONTES, Felipe. Lei determina acesso a dados que trafegam na internet, dizem especialistas. In clique aqui. Publicado em 2.3.16. Consultado em 2.3.16.

4 Idem.

5 Outras situações caricatas: decisão judicial ou norma de lei que determinasse que a pessoa voasse, ou não respirasse por um dia; ou que uma empresa construísse uma máquina do tempo ou uma ponte rodoviária ligando o Brasil a Portugal. Não importa em nenhum desses casos a disposição favorável dos sujeitos porque as ordens são impossíveis. Não desagradáveis ou inconvenientes, mas realmente impossíveis, pelo menos no presente momento.

6 Há notícia de que o E2E não funcione perfeitamente no WhatsApp quando instalado na plataforma IOS, mas não há dúvidas de que no sistema operacional ANDROID as conversas via aplicativo são 100% criptografadas. No processo de Sergipe se trata de um aparelho que opera com o ANDROID.

7 Uma maneira de sanar este problema - titularidade da mensagem vs. propriedade do aparelho - seria a implementação da verificação da digital do usuário emissor da mensagem. Na mesma linha, o projeto de lei "Espião" (215/15) propõe a obrigação de registro de CPG e RG dos usuários, medida que traria a dificuldade de comprovação de que o usuário do serviço seria o mesmo titular dos documentos; talvez o futuro da internet passe pela obrigatoriedade de autenticação biométrica, o que tem sua própria cota de problemas éticos e práticos. É válida a leitura da matéria de April Glaser, "Biometrics are coming, along with serious security concerns", publicada no site WIRED (in clique aqui 916) em 9.3.16.

8 Ademais, outro modo de acessar conversas em status não-criptografado se daria se o usuário as armazenasse em uma nuvem, como o ICloud. Evidentemente, em situações envolvendo crimes isto dificilmente ocorrerá.

9 Teoricamente, porque a Apple teria que adicionar em uma atualização de IOS este "meio de acesso", já que todas as informações relevantes do Iphone são encriptadas e nem a companhia criadora tem acesso a elas. É a matéria de Kevin Poulsen, no WIRED em 10.9.14 in clique aqui. Consultada em 11.3.16.

10 ALBA, Davey. Apple sold a record number of Iphones - bus just barely. WIRED. In clique aqui. Publicado em 21.01.2016. Consultado em 10.3.16.

11 FEDERIGHI, Craig. Apple VP: The FBI wants to roll back safeguards that keep us a step ahead of criminals. The Washington Post. In clique aqui. Publicado em 6.3.16. Consultado em 8.3.16.

12 BBC News. Apple backed by mora online giants in FBI Iphone unlock battle. In clique aqui. Publicado em 04.03.2016. Consultado em 7.3.16.

13 Segue cópia da carta do Sr. Kondoker ao juiz Sheri Pym, disponível no site da Apple: clique aqui.

14 In clique aqui. Consultado em 7.3.16.

15 Uma explicação sobre backdoor no artigo de Seth Schoen, Thinking about the term "backdoor". Eletronic Frontier Foundation website. In clique aqui. Publicado em 17.3.16. Consultado em 17.3.16.

16 Tradução livre de "The path to hell starts with a back door". Presidente da Microsoft Brad Smith. SIMONITE, Tom. One for the History Books: Microsoft Is Apple's Greatest Ally Against the FBI. MIT Technology Review. In clique aqui.

17 U.S. over data acess. New York Times. In clique aqui.

18 Nate Cardozo, advogado da Electronic Frontier Foundation, em entrevista a Brian Barret do site Wired (BARRET, Brian. The Apple-FBI Fight Isn't About Privacy vs. Security. Don't Be Misled. WIRED. In https://www.wired.com/2016/02/apple-fbi-privacy-security/?mbid=nl_22416. Publicado em 21.2.16.Consultado em 2.3.16), explicou nuances sobre o alcance do debate. Segundo Cardozo, se a China determinasse que a Apple instalasse uma backdoor nos aparelhos dos usuários, a companhia simplesmente se negaria e poderia ameaçar retirar seus produtos do mercado, criando um problema de relações públicas para o governo chinês. Mas se a Apple cedesse ao FBI quanto à criação desta chave no caso San Bernardino e este fato viesse a público, a situação hipotética com a China seria diretamente afetada porque, então, o governo chinês poderia vir a ter acesso, no mínimo, aos servidores localizados nos Estados Unidos.

19 BARRET, Brian. Hack brief: ransomware strikes Apple's OS X for the first time. WIRED. In clique aqui. Publicado em 1.3.16. Consultado em 9.3.16.

20 Se de uma parte as pessoas têm se exposto mais e mais nas redes sociais e webpages, de outra tem crescido a paranoia com espionagem e proteção da privacidade. Nesse clima, foi desenvolvido um telefone antiespionagem pela empresa brasileira Sikur - que, curiosamente, não é comercializado ainda no Brasil - chamado GranitePhone. Além de protocolos em nível militar para a proteção dos dados, o aparelho filtra os aplicativos que podem ser instalados de acordo com suas especificações de segurança.
É o que se aprende com a reportagem de Bruno Scatena, "Celular Brasileiro antiespionagem tem procura acima do esperado", publicada na Folha de São Paulo (In
clique aqui
em 7.2.16 (Consultado em 7.3.16).

21 "O contrário" é o que é o que propõe o FBI quando defende que o nível de proteção do IOS versão 7 (de setembro de 2013) seja utilizado no IOS 9. Os hackers estão se tornando mais eficientes, astutos e inventivos, o padrão de segurança de 2013 não servirá, em hipótese alguma, para tornar o Iphone protegido em 2016.
22 ZETTER, KIM. How to keep the NSA from spying through your webcam. WIRED. In
clique aqui
. Publicado em 13.3.14. Consultado em 3.3.16.

23 Por exemplo, as disponíveis nos seguintes endereços eletrônicos: clique aqui; clique aqui; clique aqui; clique aqui e clique aqui.

24 ZETTER, Kim. How the feds could get into iphones without apple's help. WIRED. In clique aqui. Publicado em 2.3.16. Consultado em 3.3.16.

25 In clique aqui. Consultado em 10.3.16.

26 Idem.

27 Foi nessa linha que o Escritório do Alto Comissariado das Nações Unidas para os Direitos Humanos se manifestou oficialmente, publicando um comunicado que dizia: "Com o objetivo de resolver um problema de segurança decriptando os dados de um caso bem preciso, as autoridades arriscam abrir uma verdadeira caixa de Pandora, com implicações que podem ser extremamente prejudiciais aos direitos humanos de milhões de pessoas, tanto físicas quanto jurídicas. Forçar o desbloqueio de Iphones é um presente para regimes autoritários. A nota foi publicada em 04.03.2016 no site da instituição: clique aqui.

28 APUZZO, MATT. WhatsApp encryption said to stymie wiretap order. The New York Times. In clique aqui. Publicado em 12.13.16. Consultado em 15.3.16.

29 Tradução livre da manifestação do presidente Obama. In clique aqui e clique aqui. Ambos publicados em 14.3.16 e consultados em 15.3.16.

30 HARTZOG, Woodrow. The feds are wrong to warn of "warrant-proof" phones. MIT Technology Review. In clique aqui. Publicado em 17.3.16. Consultado em 17.3.16.

31 A Electronic Frontier Foundation é uma organização sem fins lucrativos, fundada em 1990, que defende as liberdades civis no mundo digital. Mais informações estão disponíveis no website in clique aqui. Consultado em 17.3.16.

32 GREENBERG, Andy. In the FBI's crypto war, apps may be the next target. WIRED. In clique aqui. Publicado em 14.3.16. Consultado em 15.3.16.

33 A falta de regulamentação nos EUA tem gerado outras demandas, além desta da Apple vs. FBI. A Microsoft, por exemplo, está enfrentando o Departamento de Justiça Americano contra um mandado que determina a entrega de e-mails armazenados na Irlanda sobre um caso relativo a narcóticos. Discute-se se não seria uma tentativa de extrapolar a jurisdição da lei norte-americanas. Muitas empresas se uniram contra o governo, como Apple, Microsoft e Amazon. O governo alega que pode legitimamente demande dados fora de sua fronteira. Note-se que no Brasil o Marco Civil regula tal dissenso, estabelecendo a possibilidade de punição para a filial ou escritório brasileiro em caso de desobediência na sede internacional.

34 A "escuta", de todo modo, seria apenas da ordem em diante, como nas gravações telefônicas.

35 A Portaria 1.287/05 do Ministério da Justiça estabelece instruções sobre execução de diligências da Polícia Federal para cumprimento de mandados judiciais e o art. 3º, parágrafo único, determina que "O perito criminal federal, ao copiar os dados objeto da busca, adotará medidas para evitar apreender o que não esteja relacionado ao crime sob investigação". Desnecessário dizer que a mesma premissa se aplicaria aos dados digitais, inclusive aqueles recolhidos remotamente - apesar de o modo de fiscalização não estar claro.

36 YADRON, Danny. Facebook, Google e WhatsApp plan to increase encryption of user data. In

clique aqui. Publicado em 14.03.2016. Consultado em 15.3.16.

37 Uma opção seria afetar a competência originária para tais decisões - quebra do bloqueio de aparelho celular - a órgãos colegiados formados por juízes de primeiro grau, como ocorre com as turmas recursais da lei 9.099/95. Outra questão é se deveria ser restrito a crimes, atos terroristas ou ameaças à segurança nacional

38 Algumas dessas questões abordei no artigo que escrevi sobre "Marco Civil do progresso ou do retrocesso da Internet" publicado na Revista Eletrônica Migalhas no Informativo 3225 de 10 de outubro de 2013. In clique aqui.

39 Além do decreto há o PLS 181/2014, que trata também da proteção de dados, mas enfrenta dificuldades com o texto e necessidade de reelaboração de muitas disposições. O PLS 181/14 também não adentra a questão da criptografia dos dados e dos dados não estruturados

40 In clique aqui. Consultado em 7.3.16.

___________

*Eduarda Chacon é advogada do escritório Rosas Advogados.

 

Atualizado em: 21/3/2016 13:51

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca

Publicidade