Migalhas de Peso

Aplicativo Simphony: criptografia responsável e boas práticas em tempos de going dark

Os avanços tecnológicos tornam nosso mundo um lugar sombrio, paraíso cibernético para os infratores praticarem seus atos e ficar impunes.

6/6/2018

Introdução

Os avanços tecnológicos nos últimos tempos trazem consigo inúmeras oportunidades ao ser humano. As redes sociais, os aplicativos de mensageria, sites notícias, blogs e uma infinidade de aplicações Internet ora disponíveis facilitam, de sobremaneira, a vida de cada um de nós.

Em paralelo a esses percursos, assistimos a ascensão da criptografia na segurança das informações e na proteção da privacidade dos usuários de serviços de Internet. Outrora utilizada essencialmente com propósitos militares, a criptografia transpassou essas barreiras, ofertando suas funcionalidades aos usuários, dos mais simples aos mais complexos.

Nesse cenário, percebemos que, muito embora os serviços entregues por essas empresas de Internet tenham propósitos lícitos, são desvirtuados por criminosos para o cometimento de infrações no ambiente cibernético.

Outrora, o local de crime era real e a resolução de uma investigação em andamento era pautada pela realização de diversas diligências. Hodiernamente, a investigação policial perpassa, em algumas situações, por busca de elementos informativos contidos nos dispositivos informáticos protegidos por senha, evidências armazenadas em nuvem e conteúdo de comunicações "em movimento" de aplicativos de mensageria.

Na busca dessas evidências, são expedidos mandados judiciais determinando aos provedores de aplicação de Internet o fornecimento desses dados, todavia a polícia judiciária não vem logrando êxito no cumprimento dessas decisões em decorrência das tecnologias empregadas por essas empresas. Esse fenômeno é conhecido como "Going Dark"1.

Diante dessas considerações, passaremos a analisar o aplicativo Simphony para o acesso de dados mediante ordem judicial e sem a necessidade de criação de backdoors ou enfraquecimento da criptografia como uma boa prática para a obtenção desse conteúdo necessário à individualização da autoria delitiva.

1. Aplicativo Simphony

O Symphony é uma plataforma de comunicação segura baseada em nuvem e de compartilhamento de conteúdo utilizado, em sua grande maioria, por instituições financeiras. Inicialmente desenvolvido como um sistema de mensageria utilizado pela Goldman Sachs, agregou, em sua arquitetura, a criptografia ponto a ponto, tornando-se um aplicativo de comunicação segura. Além de permitir a troca de conteúdo, a ferramenta oportuniza a realização de chamadas de voz e vídeo, com uma variedade de funcionalidades voltadas ao mercado financeiro.

O surgimento do aplicativo foi pautado essencialmente na necessidade de uma maior proteção na segurança das comunicações de indivíduos ligados ao sistema financeiro. Para garantir maior salvaguarda aos seus usuários, a aplicação utiliza a criptografia simétrica na comutação de mensagens, além do tipo assimétrica para a troca de chaves. Ademais, emprega criptografia de ponta a ponta a partir da saída da mensagem do dispositivo até o usuário final, bem como uma camada adicional na proteção de conteúdo comunicacional e no armazenamento do dado.

Em razão da arquitetura da aplicação na proteção da integridade das comunicações bancárias, eventuais dados de transações e irregularidades praticadas por seus usuários não poderiam ser fiscalizadas pelos órgãos reguladores do sistema financeiro.

Nesse sentido, o Departamento de Serviços Financeiros de Nova York – NYSDFS2 – firmou acordo com algumas instituições financeiras visando a obtenção de dados de comunicação dos usuários da plataforma Simphony. Para viabilizar a obtenção desse conteúdo, a agência reguladora, juntamente com as instituições financeiras, acordou no sentido de se criar um backup seguro das chaves de criptografia do usuário a fim de se ter acesso ao conteúdo relacionado a eventuais irregularidades praticadas por eles. Essas cópias duplicadas das chaves de decodificação das mensagens passaram a ser mantidas em depósito por custodiante independente, e pelo prazo de 07(sete) anos de sua utilização.

De mais a mais, não houve necessidade de nenhuma modificação da arquitetura da aplicação. Segundo as informações coletadas no site da aplicação de Internet Simphony, "não há, por parte da empresa, acesso às chaves de criptografia ou dados dos clientes; inexiste backdoor ou sequer um único ponto de entrada; não se realizou nenhuma alteração de algoritmos criptográficos do aplicativo para facilitar o acesso e, por fim, a necessidade do devido processo legal para a obtenção do conteúdo dos usuários"3.

2. Going dark e dificuldades técnicas no cumprimento de ordem judicial.

Não se pode alegar, todavia, que o fenômeno "going dark" necessita de um novo diploma legal para compelir essas empresas de tecnologia a cumprir ordens de acesso a aplicativos que, porventura, estejam protegidos por criptografia. A lei 9.296, de 24 de julho de 1996, também aplicável à interceptação do fluxo de comunicações em sistema de informática e telemática, determina em seu art. 7º que, para a realização dos procedimentos de interceptação, "a autoridade policial poderá requisitar serviços e técnicos especializados".

O artigo supracitado foi utilizado como supedâneo para compelir as empresas de telefonia ao cumprimento de ordens judiciais de interceptação telefônica. Vale à pena destacar que as dificuldades encontradas pelos integrantes da polícia judiciária na obtenção de dados telemáticos não é um fato recente. Com os avanços tecnológicos e a interconectividade, as evidências saíram cada vez mais do campo real para o virtualizado. Outrora, quando as empresas eram compelidas ao fornecimento de dados, por vezes negavam até mesmo as informações de protocolos de Internet sob a alegativa de dificuldades técnicas. As relutâncias das aplicações de Internet permanecem as mesmas, mas agora persistem as negativas de acesso do conteúdo comunicacional de criminosos.

Dessa maneira, a legislação brasileira – muito embora seja bem anterior ao fenômeno going dark – deve ser utilizada no cumprimento das ordens judiciais de interceptação telemática. A Simphony demonstrou, claramente, que é possível se adequar à legislação e ofertar as condições técnicas necessárias ao cumprimento de eventual ordem para o fornecimento do dado.

Ocasional desrespeito à legislação pátria em vigor, sujeitará seu infrator nas sanções previstas no art. 12 do Marco Civil da Internet, sem prejuízo de outras de caráter cível, criminal ou administrativo.

Conclusão

A obtenção de dados para a individualização da autoria e materialidade delitiva jamais deverá ser alcançada em detrimento do enfraquecimento da criptografia; pelo contrário, esta deverá ser cada vez mais fortalecida na proteção da privacidade dos seus usuários. Todavia, não deve ser tida como um direito absoluto, recomenda-se alcançar alternativas na obtenção de dados juntamente com uma atuação responsável por parte das empresas. O aplicativo Simphony demonstrou essa viabilidade entre uma criptografia forte caminhando em paralelo à responsabilidade social da empresa.

Argumentações ora apresentadas por aplicações de Internet sobre a impossibilidade de se ter acesso ao conteúdo das comunicações de seus usuários em decorrência da criptografia ponto a ponto não devem mais persistir. Nesse diapasão, uma empresa responsável pelo serviço de mensageria, ao ser devidamente notificada do mandado judicial determinando a realização de interceptação telemática, deverá aplicar metodologia semelhante a empregada na aplicação Simphony. Adequar-se-á, portanto, à legislação pátria.

Em que pese as aplicações terem suas especificidades e algoritmos distintos, deverá cada uma, sem a necessidade de fragilizar sua estrutura, oferecer as condições técnicas tanto para a proteção da privacidade dos cidadãos quanto para a individualização da autoria delitiva. O CEO da Blackberry demonstrou isso ao pontuar sobre o fornecimento de informações de solicitações policiais4:

Entendemos, sem dúvida mais do que qualquer outra grande empresa de tecnologia, a importância de nosso compromisso com a privacidade para o sucesso dos produtos e o valor da marca: privacidade e segurança formam o ponto crucial de tudo o que fazemos. No entanto, nosso compromisso de privacidade não se estende aos criminosos.

Enfim, os avanços tecnológicos ora postos tornam nosso mundo um lugar sombrio, paraíso cibernético para os infratores praticarem seus atos e ficar impunes. Não obstante, há algo para ser feito, desde que essas grandes empresas entendam que seu crescimento deve vir acompanhado de responsabilidade. Ainda há tempo para reverter esse caminho para a escuridão.

_________________

1 Essa expressão foi utilizada pelo FBI – Federal Bureau of Investigation – para retratar a dificuldades encontradas na atribuição de autoria delitiva em decorrência dos avanços tecnológicos Ra empregados.

2 Criado em 03 de outubro de 2011, é o órgão do governo com a função de regulamentação dos serviços financeiros do estado de New York, especialmente na prevenção de crises financeiras e na proteção de consumidores e mercados contra fraudes.

3 Symphony and "Responsible Encryption"

4 BlackBerry CEO John Chen Calls Out Apple's Approach to Security.

________________

BARRETO, Alesandro Gonçalves. BRASIL, Beatriz Silveira. Manual de Investigação Cibernética à Luz do Marco Civil da Internet. Rio de Janeiro: Ed. Brasport, 2016.

_____.WENDT, Emerson. CASELLI, Guilherme. Investigação Digital em Fontes Abertas. BRASPORT Editora. Rio de Janeiro. 2017.

______. Efetividade da Ordem Judicial em desfavor de Provedores de Conexão e Aplicações da Internet: sanções do Art. 12 do Marco Civil da Internet. Acesso em: 30 mai. 2018.

BRASIL. Decreto-Lei nº 3.689, de 3 de outubro de 1941. Código de Processo Penal. Disponível em: . Acesso em: 25 mai. 2018.

______. Lei nº 9.296, de 24 de julho de 1996. Regulamenta o inciso XII, parte final, do art. 5° da Constituição Federal. Acesso em: 30 mai. 2018.

______. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Disponível em: . Acesso em: 30 mai. 2018.

FORTUNE. BlackBerry CEO John Chen Calls Out Apple's Approach to Security. Acesso em: 30 mai. 2018.

NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES. Acesso em: 25 mai. 2018.

PFEFFERKORN, Riana. The Center for Internet and Society (CIS). The Risks of "Responsible Encryption". Acesso em: 30 mai. 2018.

SYMPHONY. Symphony and "Responsible Encryption". Acesso em: 30 mai. 2018.

______________

*Alesandro Gonçalves Barreto é delegado de Polícia Civil do Estado do Piauí.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

ITBI na integralização de bens imóveis e sua importância para o planejamento patrimonial

19/11/2024

Cláusulas restritivas nas doações de imóveis

19/11/2024

Estabilidade dos servidores públicos: O que é e vai ou não acabar?

19/11/2024

Quais cuidados devo observar ao comprar um negócio?

19/11/2024

A relativização do princípio da legalidade tributária na temática da sub-rogação no Funrural – ADIn 4395

19/11/2024