A Interceptação Telemática no Projeto de Lei “Anticrime”: os riscos do Hacker Estatal
Dentre as medidas proposta no denominado “Pacote Anticrime”, encontra-se a adição do artigo 9-A na Lei nº 9.296, de 24 de julho de 1996 com a seguinte redação:
“Art. 9º-A — A interceptação de comunicações em sistemas de informática e telemática poderá ocorrer por qualquer meio tecnológico disponível, desde que assegurada a integridade da diligência, e poderá incluir a apreensão do conteúdo de mensagens e arquivos eletrônicos já armazenado em caixas postais eletrônicas.”(NR) (sem grifos no original)
A modernização da tecnologia e dos meios de comunicação demandam, sem sombra de dúvidas, uma atualização dos mecanismos de investigação criminal. Há, contudo, que se ter limites.
A privacidade e o sigilo das comunicações, bens jurídicos que a constituição federal visa proteger, ganharam uma nova dimensão na sociedade contemporânea. Hoje é praticamente impossível viver sem produzir toneladas de dados e metadados. Nossas vidas estão armazenadas em sistemas de informática e há uma expectativa legítima que eles sejam protegidos, inclusive contra o arbítrio estatal.
Em maio de 2017 o mundo foi surpreendido com uma tentativa global de extorsão virtual praticada por crackers munidos de uma ferramenta desenvolvida pela Agência Nacional de Segurança dos Estados Unidos — NSA, com o objetivo de acessar remotamente computadores particulares através de uma falha do sistema operacional Windows. Essa ferramenta, conhecida como “EternalBlue”, foi furtada pelo grupo de Hackers “The Shadow Broker” e serviu de base para o Malware “WannaCry”, que infiltrava as redes de computadores através da falha no sistema operacional e “sequestrava” os computadores através da criptografia dos dados armazenados no disco rígido, exigindo como forma de resgate o pagamento do equivalente em BitCoins a 300 dólares americanos.
Entre os milhares de sistemas infectados esteve o da Agência Nacional de Saúde Britânica, impossibilitando que os médicos de 48 hospitais acessassem os prontuários dos pacientes, o que levou ao cancelamento de consultas e procedimentos cirúrgicos. Centenas de companhias privadas também foram vitimizadas, incluindo a Telefônica, gigante da telefonia espanhola, a FedEX, empresa de entregas americana, e a Claro, no Brasil. Escolas, universidades e agências estatais, e até mesmo operadoras ferroviárias na Rússia e na Alemanha também tiveram seus computadores sequestrados, no ataque que durou até meados de julho. A Europol [1] classificou o ataque como “sem precedentes em escala”.
Brad Smith [2], presidente da Microsoft, criticou duramente o governo estadunidense:
“Por fim, esse ataque fornece mais um exemplo do motivo pelo qual o estoque de vulnerabilidades por parte dos governos é um problema. Esse é um padrão emergente em 2017. Vimos vulnerabilidades armazenadas pela CIA no WikiLeaks, e agora essa vulnerabilidade roubada da NSA afetou clientes em todo o mundo. Repetidamente, exploits [3] nas mãos de governos vazaram para o domínio público e causaram danos generalizados. Um cenário equivalente com armas convencionais seria o dos militares dos EUA, tendo alguns de seus mísseis Tomahawk roubados. E este ataque mais recente representa um elo completamente não intencional mas desconcertante entre as duas formas mais graves de ameaças de segurança cibernética no mundo de hoje — ação do Estado-nação e ação criminal organizada.” (Tradução Livre).
Sob o pretexto de promover a segurança nacional, a agência norte americana — ainda que involuntariamente — contribuiu de forma decisiva para a ocorrência deste ciberataque global. Os danos materiais e imateriais a governos e a sociedade civil foram incomensuráveis.
A intervenção estatal sob sistemas informáticos não pode se dar sem limites. Neste diapasão, nos preocupa a proposta legislativa que pretende autorizar que a interceptação de comunicações em sistemas de informática e telemática se dê “por qualquer meio tecnológico disponível”, ressalvando tão somente a necessidade de garantir a integridade da diligência.
Não pode o agente estatal, para fins de investigação criminal, desenvolver vírus, catalogar e estocar vulnerabilidade de sistemas, empregar técnicas de engenharia reversa e violar propriedade intelectual de empresas, vulnerabilizando assim terceiros. Ninguém garantirá que o malware desenvolvido com autorização judicial não cairá nas mãos de organizações criminosas tal como ocorreu com o “EternalBlue”. Como muito bem adverte Aury Lopes Jr. [4], o Estado é uma reserva ética e de legalidade, jamais podendo descumprir as regras do jogo democrático de espaços de poder.
Caso opte por seguir esse caminho, o legislador deverá apontar com clareza todos os limites de atuação do Estado e quem será o fiador dessas ferramentas. A pretendida autorização genérica “por qualquer meio tecnológico disponível” não observa a complexidade da matéria e seguramente não atende os anseios democráticos.
Não basta haver meio tecnológico disponível, é preciso que se respeite direitos e garantias fundamentais, não apenas dos investigados, mas também de terceiros. O poder de punir, em um estado democrático de direito, não pode ser o ápeiron.
Para além disso, não é apenas a diligência que precisa ser íntegra, mas, sobretudo, a prova oriunda dela. E mais, a integridade, por si só, não basta: é preciso garantir a autenticidade das evidências.
É que a integridade não se confunde com autenticidade. A integridade diz respeito à imutabilidade da evidência e pode ser aferida, por exemplo, através de comparações de resumos matemáticos. Já a autenticidade está relacionada com sua origem: o material vem de onde ele se propõe? Ele é o que diz ser?
Se há de fato uma preocupação com a credibilidade da prova, a alteração na lei de interceptação traz uma excelente oportunidade para se positivar, expressamente, a obrigatoriedade da cadeia de custódia de provas. Sem isso, não há que se falar em fiabilidade da evidência digital, que é em seu âmago extremamente frágil. Senão vejamos.
A fragilidade da evidência digital está fartamente documentada na doutrina e nas normas técnicas nacionais e internacionais:
“5.4 Processo de manuseio da evidência digital: Evidência digital pode ser frágil na sua natureza. Ela pode ser alterada, adulterada ou destruída por manuseio ou exame impróprio. É recomendado que manuseados da evidência digital sejam competentes para identificar e administrar os riscos e consequências advindos de possíveis linhas de conduta quando tratam com a evidência digital. Falha em manusear dispositivos digitais adequadamente podem tornar a potencial evidência digital contida naqueles dispositivos digitais inutilizáveis.” (Diretrizes para identificação, coleta, aquisição e preservação de evidência digital. ABNT NBR ISO/IEC 27037)
“Assim como em um local de crime convencional, as evidências e provas ali existentes devem ser preservadas. Na informática não é diferente: os dados contidos nos dispositivos não podem sofrer nenhuma alteração. Cuidados especiais devem ser tomados nessa fase, pois até uma operação simples pode alterar os dados armazenados em mídia digital”. ELEUTÉRIO e MACHADO. Desvendando a Computação Forense (Novatec: 2011), pg. 54
“A evidência digital é a evidência mais facilmente perdida. Não há nada na justiça criminal mais facilmente danificado, corrompido ou apagado. Você precisa ser capaz de demonstrar que a evidência é o que você diz que é, veio de onde você diz que fez, e não foi modificada de forma alguma desde que você a obteve. ” Tradução Livre [5]. Vacca. Jhon R. Computer Forensics: Computer Crime Scene Investigation.Second Edition. 2005. Pg 238
Por estas razões é que a criação e manutenção de uma rigorosa cadeia de custódia é medida que se impõe:
Em qualquer investigação, é recomendado que o DEFR (Primeiro Interventor da Evidência Digital) seja capaz de descrever todas as aquisições de dados e dispositivos que, no momento, estiverem sob custódia do DEFR. O registro de cadeia de custódia é um documento identificando a cronologia de movimento e do manuseio da potencial evidência digital. Recomenda-se que seja instituído a partir do processo de coleta ou aquisição.
O registro será tipicamente alcançado traçando a história do item a partir do momento em que foi identificado, coletado ou adquirido pela equipe de investigação até o momento e localidade atual.
O registro de cadeia de custódia é um documento, ou uma série de documentos relacionados, que detalha a cadeia de custódia e os registros de quem foi o responsável pelo manuseio da potencial evidência digital, seja na forma de dado seja na forma de dado digital ou em outros formatos (como notas de papel). O propósito de manter o registro de cadeia de custódia é para possibilitar a identificação do acesso e movimento da potencial evidência digital a qualquer tempo. O registro de cadeia de custódia em si pode compreender mais do que um documento, por exemplo, para a potencial evidência digital é recomendado que exista um documento contemporâneo registrando a aquisição de dados digitais para um determinado dispositivo, o movimento deste dispositivo e a documentação registrando subsequentemente extratos ou cópias da potencial evidência digital para análise ou outros propósitos.
Convém que o registro de cadeia de custódia contenha no mínimo as seguintes informações:
⎯ Identificador único da evidência;
— Quem acessou a evidência e o tempo e local em que ocorreu;
— Quem checou a evidência interna e externamente nas instalações de preservação da evidência
e quando isto ocorreu;
— Motivo de a evidência ter sido verificada (qual caso e propósito) e a autoridade relevante, se aplicável; e
— Quaisquer alterações inevitáveis da potencial evidência digital, assim como o nome do indivíduo responsável para tanto e a justificativa para a introdução da alteração.
Recomenda-se que a cadeia de custódia seja mantida durante todo tempo de vida da evidência e preservada por certo período de tempo depois do fim da evidência — este período de tempo pode ser definido de acordo com a jurisdição local da coleta e aplicação da evidência. Convém que ela seja estabelecida a partir do momento em que o dispositivo digital e/ou a potencial evidência digital são adquiridos e que não seja comprometida. (Item 6.1 da ABNT NBR ISO/IEC 27037)
A depender do “meio tecnológico disponível” a autoridade policial não terá apenas a capacidade de ler os dados, mas também de escrever dados [6]. Sem a adoção de uma rigorosa cadeia de custódia de provas e a documentação de todos os processos executados, passo a passo, não há que se falar em auditabilidade (Item 5.3.1 da ABNT NBR ISO/IEC 27037), fulminando a confiabilidade da prova.
Por fim, cumpre-nos apontar que só pode ser interceptado aquilo que está em curso. Se as mensagens já estão armazenadas na caixa postal do seu destinatário, por óbvio, não podem ser interceptadas, mas sim apreendidas. O acesso à própria ação comunicativa de dados, nestas hipóteses, é vedado pela constituição (Art.5, inciso XII).
O mesmo não acontece quando comunicação de dados se dá de forma instantânea e sem deixar vestígios, conforme salientou com extrema lucidez Geraldo Prado [7]:
“Quando os dados informáticos repousarem em bancos de dados, a sua comunicação não poderá ser objeto de interceptação, pois assim estaria sendo violada a Constituição. Porém, interpretada sistemática e teleologicamente, não haverá contraste com a norma de garantia a interceptação determinada à luz do due process of law, para fins de instrução criminal ou investigação da mesma natureza, quando se tratar de dados transmissíveis de modo a não repousarem em banco de dados ou forma similar, que permita apreensão.”
A busca pela verdade material não pode se sobrepor aos direitos e garantias individuais dos investigados e de terceiros. A proposta legislativa em testilha vai na contramão do esforço global de estabilidade do cyberespaço, a licença para o Estado hackear — sem qualquer limite ou regulamentação — resultará, sem sombra de dúvidas, em um tradeoff negativo. A atuação ética do Estado é um pressuposto lógico e necessário para que o contrato social não redunde em um jogo de soma zero.
Notas:
[1] Cyber-attack: Europol says it was unprecedented in scale. <https://www.bbc.com/news/world-europe-39907965>. Acessado em 20/02/2019.
[2] “Finally, this attack provides yet another example of why the stockpiling of vulnerabilities by governments is such a problem. This is an emerging pattern in 2017. We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world. Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen. And this most recent attack represents a completely unintended but disconcerting link between the two most serious forms of cybersecurity threats in the world today — nation-state action and organized criminal action.”. SMITH. Brad. The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack. Disponível em <https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/>. Acessado em 20 de fevereiro de 2019.
[3] Software e/ou metodologia para se explorar defeitos, falhas ou vulnerabilidades em outros softwares ou hardwares.
[4] JUNIOR. Aury Lopes. Fundamentos do Processo Penal — Introdução Crítica. Editora Saraiva. 2019. Edição do Kindle. Posição 682.
[5] “Digital evidence is the most easily lost evidence. There’s nothing in criminal justice more easily damaged, corrupted, or erased. You need to be able to demonstrate that the evidence is what you say it is, came from where you say it did, and has not been modified in any way since you obtained it.”
[6] A capacidade de escrita em sistemas informáticos é naturalmente destrutiva: ela permite armazenar o novo conteúdo sobre o conteúdo anterior. A simples utilização do sistema com permissão de escrita levará a destruição de dados e metadados. Não se pode descartar, contudo, a possibilidade de manipulação intencional da evidência, como ocorreu na Operación Huracán no Chile onde investigadores inseriram dados nos telefones dos investigados com o intuito de incriminá-los.
[7] PRADO. Geraldo. Limite às interceptações telefônicas e a jurisprudência do Superior Tribunal de Justiça. 2 Edição. Lumen Juris 2006. Pg. 73.
