ESPECIAL: o que dizem especialistas em criptografia sobre o bloqueio do WhatsApp

3 perguntas para Riana Pfefferkorn, pesquisadora na área de criptografia no Center for Internet and Society da Stanford Law School (EUA).

“O debate sobre a criptografia versus aplicação da lei é um debate ‘segurança versus segurança’, não um debate ‘privacidade versus segurança’”

Sobre fontes alternativas de investigação

Dennys Antonialli (diretor do InternetLab): Esta é a quarta vez que uma decisão judicial exige o bloqueio do WhatsApp no Brasil devido à recusa das empresas de entregar dados de usuários. As autoridades policiais afirmam que a capacidade de interceptar mensagens em tempo real e de ter acesso a comunicações armazenadas são vitais para investigações e para a punição de crimes graves. Eles também afirmam que organizações criminosas, a fim de evitar vigilância, estão contando com o aplicativo como sua principal fonte de comunicação. Existem fontes alternativas de informação ou de dados para as quais as autoridades poderiam estar olhando para investigar esses crimes, preservando o uso de criptografia “de ponta a ponta”?

Riana Pfefferkorn: Nós realmente vivemos no que tem sido chamado de “idade de ouro da vigilância” [EN]. Pelo menos, isso é verdade nos EUA. Eu não sei quais os tipos de lei de dados há no Brasil, mas sob o Marco Civil, o Luiz [Moncau, brasileiro que atualmente também é pesquisador no Center for Internet and Society] me disse que as empresas precisam guardar registros de conexão sobre comunicações. Deixando de lado se a regra de retenção de dados do Marco Civil é ou não uma boa política, nos termos desta lei, mesmo se a polícia não puder obter o conteúdo real de mensagens devido à criptografia de ponta-a-ponta, no meu entendimento, eles podem descobrir quem está mandando mensagem para quem, quando e com que frequência. Isso já fornece uma grande quantidade de informações, como já explicado pela EFF(link em inglês). Além disso, se a lei brasileira é como a lei dos EUA, é possível a obtenção de dados de localização do suspeito através do prestador de serviços de telefonia móvel em todos os lugares em que o telefone do suspeito (e, portanto, o suspeito) esteve – um registro completo de seus movimentos ao longo do tempo. Isso pode mostrar onde seus cúmplices vivem ou trabalham, onde o contrabando é mantido, etc. Com informações suficientes, a polícia poderia obter mandados de busca para esses locais.

Autoridades podem usar estratégias policiais tradicionais para investigar: é possível obter informações de informantes confidenciais ou testemunhas. Podem também obter uma ordem judicial para grampear telefonemas dos suspeitos, embora talvez isso seja menos útil, se as organizações criminosas realmente estiverem tentando evitar a vigilância e, portanto, não usando muito o telefone.

Além disso, o próprio WhatsApp não armazena mensagens, mas os usuários do iPhone podem escolher fazer backup de mensagens para a nuvem. A polícia brasileira poderia usar um acordo de cooperação legal entre o Brasil e os EUA (MLAT, na sigla em inglês) para atingir a Apple e exigir a entrega dos backups, como observado neste artigo (link em inglês). Mas isso pode não funcionar – não é claro para mim se essas mensagens são criptografadas, ou se o backup do iCloud é criptografado pela Apple – então eu não tenho certeza de que a obtenção da cópia de segurança significaria a obtenção legível, ou seja, mensagens não criptografadas. Chris Soghoian sugere (em um tweet vinculado nesse artigo) que os usuários podem armazenar backups não criptografados de mensagens de WhatsApp. Se isso for verdade, elas seriam legíveis se obtidas pela polícia.

Há também a prática controversa de hacking realizado pelo Estado – quando as agências de inteligência ou autoridades legais utilizam-se de vulnerabilidades em hardwares e softwares comerciais para obter acesso ao computador ou telefone celular de um alvo. Isso aconteceu no caso “Apple vs. FBI” [EN], e em um caso de grande repercussão de pornografia infantil [EN]. Enquanto praticamente todos das comunidades de segurança e liberdades civis dos EUA concordam que backdoors são uma má ideia, a opinião não é unânime quando se trata de hacking pelo Estado. Alguns especialistas defendem que o hacking pelo Estado é uma alternativa aceitável, conforme explicado por vários renomados especialistas em segurança informática neste artigo [EN]. Eu não apoio o hacking pelo Estado como uma “solução” para o “problema” da criptografia. Eu suspeito que vocês no Brasil podem pensar em algumas razões pelas quais as pessoas não estariam confortáveis com a Polícia Federal vasculhando seus telefones.