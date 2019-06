O especialista em tecnologia da informação da UFPE Sílvio Meira acredita que dificilmente a Polícia Federal (PF) conseguirá identificar os hackers que invadiram celulares de agentes das operações de combate à corrupção. Para ele, “numa investigação de rotina, só com muita sorte. Que pode aparecer ao tentar identificar todas as pessoas, num período de tempo muito longo, que estiveram perto de quem teve conversas vazadas, e ir atrás de cada imagem de cada um e dos interesses que teriam nessas conversas, ou nas pessoas envolvidas.” Protagonista da semana na série Nêumanne entrevista no blog, ele acha que “há a possibilidade concreta de que as mensagens tenham sido obtidas “dentro” dos grupos de discussão dos envolvidos, por alguma pessoa que fazia parte das conversações e era pelo menos conhecida dos envolvidos ou, ainda mais provável, por meio do “sequestro digital” de um ou mais dos dispositivos envolvidos nas conversas (usando algo similar à Pegasus, mas talvez bem menos sofisticado).” O especialista imagina que, “em face de tamanha invasão de privacidade de suas comunicações, os operadores do Direito envolvidos vão tomar providências, desde a mudança de seus padrões e sistemas de comunicação até a investigação do que e por que aconteceu. Porque parece ser inegável que aconteceu. E as consequências são enormes.”

Nascido em Taperoá (PB), em 1955, Sílvio Lemos Meira formou-se em engenharia eletrônica pelo Instituto Tecnológico de Aeronáutica (ITA), em 1977, é mestre em Informática pela Universidade Federal de Pernambuco (UFPE), em 1981, e obteve PhD em computação pela University of Kent at Canterbury, Reino Unido, em 1985. Casado com Kátia Betmann, é pai de Cecília e Diana de Azevedo Meira e Pedro Meira-Betmann, além de avô de Estelinha e Leo. Professor extraordinário da cesar.school, professor emérito do Centro de Informática da UFPE, pesquisador sênior do ISI-TICS, Senai, Recife, fundou e preside o Conselho de Administração do Porto Digital. Titular aposentado de Informática da UFPE, fundou, em 1996, e foi cientista-chefe do Centro de Estudos e Sistemas Avançados (C.E.S.A.R) do Recife até 2014; foi fellow e faculty associate do Berkman Center, da Universidade de Harvard, de 2012 a 2015, e também professor associado da Escola de Direito da FGV-RIO, de 2014 a 2017. Meira é membro dos conselhos do Magazine Luiza, CI&T e Capes, e gosta muito de lidar com startups e novos negócios digitais, além de fazer palestras, Brasil e mundo afora, sobre políticas e estratégias de negócios digitais, Entusiasta de educação, criatividade, inovação e empreendedorismo, escreveu mais de trezentos artigos científicos e muitas centenas de textos sobre tecnologias da informação e seu impacto na economia, sociedade e pessoas, além do livro Novos Negócios do Crescimento Empreendedor no Brasil, publicado pela Casa da Palavra em outubro de 2013 e na terceira impressão. Ele supervisionou quase 150 teses e dissertações de PhD e MSc. Detém as Ordens Nacionais do Mérito Científico, em 1999, do Rio Branco, em 2001, e a medalha do conhecimento do MDIC, em 2008. Recebeu do governo de Pernambuco a mais alta comenda do estado, a Ordem do Mérito dos Guararapes, em 2006. A revista Época o elegeu, em 2007, um dos 100 brasileiros mais influentes. O Globo o elegeu, em 2011, Personalidade do Ano da Economia Brasileira. A revista Galileu o escolheu um dos 100 brasileiros mais influentes na web, em 2013. Silvio Meira é ainda fellow da rede Ashoka e batuqueiro de maracatu.

Nêumanne entrevista Sílvio Meira

Nêumanne – Com toda a sua notória experiência na área, o que mais o surpreendeu no episódio do vazamento de mensagens trocadas entre o ex-juiz Sergio Moro e os procuradores da Operação Lava Jato, entre os quais o coordenador da força-tarefa, Deltan Dallagnol, por meio do aplicativo russo Telegram?

Sílvio Meira – O que é surpreendente é que tanta informação relevante da maior operação anticorrupção do planeta estivesse sendo tocada usando uma plataforma que ninguém nem consegue explicar direito como funciona, porque nunca foi auditada por ninguém, nunca. Aliás, tudo leva a crer que – se as mensagens que foram publicadas forem verdadeiras – parte da informação nem deveria ter sido trocada… apesar de se saber que, na prática, nas conversas entre os operadores do Direito, elas são trocadas de fato.

N – Esse tipo de imprudência, para usar a palavra menos áspera, é comum entre executivos de grandes empresas ou autoridades de outros Poderes no Brasil ou em outros países? Ou é um padrão de desleixo tropicalista e subdesenvolvido brasileiro que explica essa atitude?

S – Todo mundo, em todo canto, usa a forma mais fácil de se comunicar. Pouquíssimos executivos, de pouquíssimas empresas, seguem exatamente os códigos de conduta segura, do ponto de vista informacional, que seriam recomendados por seus próprios especialistas em segurança da informação. E esse é o caso mesmo nas empresas de segurança de informação! Eu não conheço nenhum grupo de executivos que use e-mail criptografado para troca de informação sigilosa do negócio. E (quase) todo mundo usa WhatsApp, porque (quase) todo mundo está lá. Não conheço nenhuma empresa – talvez haja – que rode sua própria instância de Signal, por exemplo, para sua comunicação realmente privada, interna. Isso seria realmente seguro? Sim… se os smartphones fossem seguros, se os clientes web fossem seguros, se não houvesse vírus, hackers… Enfim, se o mundo digital fosse ideal. Mas não é. Nada é perfeito, nem será, nunca.

N – Dá para encontrar à disposição no mercado aplicativos mais seguros, que possam ser usados com um mínimo de confiabilidade, para quem tem necessariamente que guardar suas comunicações pessoais ou oficiais no maior sigilo possível?

S – Como mencionado anteriormente, poderia ser uma instância de Signal, cujo código é aberto, rodando sobre uma estrutura privada segura, com os clientes rodando em dispositivos seguros, com os usuários tratando seu ciclo de vida de informação de forma segura. Ou seja, é possível fazer muito melhor do que usar Telegram e WhatsApp, mas é improvável, porque é muito difícil de cumprir, o tempo todo e por muito tempo, as regras para tal.

N – Tecnicamente é possível a um lobo solitário usando equipamento doméstico comum quebrar a criptografia que normalmente aplicativos como WhatsApp ou Telegram anunciam usar? Até que ponto esse aumento da dificuldade para decifrar mensagens trocadas é de fato oferecido ao freguês, ou não passa de papo furado de marketing de vendas?

S – Quebrar a criptografia de WhatsApp e Telegram com equipamento doméstico, não. Mas normalmente não é quebrando a criptografia dos sistemas que se chega às mensagens, e sim com ataques que não envolvem a criptografia. Por exemplo, é possível instalar um keylogger (que captura tudo o que se tecla num smartphone ou PC), e muito mais, e ao redor da segurança da criptografia capturar tudo o que se passa no smartphone (por exemplo). Sem falar de malwares como o Pegasus, que aparentemente são usados para interceptação “legal” de comunicação em dezenas de países (zd.net/2IX9Pv2). Na prática, o comportamento informacional dos usuários é muito inseguro “fora” dos mecanismos criptografados de comunicação e normalmente não é preciso quebrar a criptografia para chegar às mensagens e até ao comportamento dos usuários (onde ele está, que fotos tirou, que chamadas recebeu, o que disse, o que ouviu…).

N – A partir do noticiário que já foi publicado a respeito do vazamento das mensagens de Telegram do ministro da Justiça e outras autoridades de combate à corrupção no Brasil, é possível o senhor definir qual a sofisticação do equipamento usado, a equipe necessária para executar a tarefa e o custo que a operação demanda?

S – Se as mensagens tiverem sido obtidas por quebra de criptografia, estaríamos falando de coisa muito sofisticada e cara, disponível só em Estados que têm muito interesse em quebra de sigilos de comunicação de outros Estados. Mesmo assim, estaríamos falando de custos muito altos, que teriam de ter um retorno de investimento muito claro para ganhar a atenção de quem tem a capacidade de quebrar a criptografia. Há várias teorias de conspiração sobre isso, mas todas elas parecem ser só teorias. Mas há a possibilidade concreta de que as mensagens tenham sido obtidas “dentro” dos grupos de discussão dos envolvidos, por alguma pessoa que fazia parte das conversações e era pelo menos conhecida dos envolvidos ou, ainda mais provável, por meio do “sequestro digital” de um ou mais dos dispositivos envolvidos nas conversas (usando algo similar a Pegasus, mas talvez bem menos sofisticado). Não se pode descartar a possibilidade de um puro e simples “vazamento” no Telegram, mas isso exigiria uma rede de contatos e compromissos que não está disponível para qualquer um e está mais no domínio das teorias da conspiração. Em particular, não acredito que as mensagens tenham sido obtidas por quebra de criptografia.

N – O custo de uma comunicação mais segura entre computadores em órgãos oficiais ou grandes empresas é proibitivo; seria isso, a seu ver, o que dificulta a efetividade de evitar deslizes como o do caso em questão?

S – Não é proibitivo, ainda mais quando se leva em conta o benefício comparado ao custo. Se o Brasil resolvesse ter comunicação mais – muito mais – segura entre agentes de Estado, poderia (por exemplo) rodar uma instância verdadeiramente segura de algo como o Signal. Mesmo que houvesse necessidade de tratar a comunicação de mais de 1 milhão de pessoas (todos os funcionários federais…?), o custo de operação, manutenção e evolução não seria proibitivo para um país do tamanho do Brasil. Mas o presidente governa pelo WhatsApp… e aí?

N – Pelo que já foi noticiado pelos meios de comunicação e pelo site The Intercept Brasil, pode-se ter uma ideia mais precisa de que o eventual hackeamento do material divulgado tenha sido feito em território nacional ou pode ter ocorrido fora das fronteiras do Brasil?

S – Não tenho acesso a informação suficiente para avaliar isso. E a noção de território, nesse caso, é muito vaga. Para invadir um sistema em Gana não preciso estar lá, mas posso muito bem, daqui, fingir estar lá. O mesmo vale para o Brasil. Por outro lado, a governança do processo de portabilidade de números móveis, por aqui, é no mínimo discutível, o que possibilita o “sequestro” de celulares de uma forma até, eu diria, simples demais. Se imaginarmos que um dos celulares que participavam das conversações sofreu um golpe do tipo SIM Swap, e que a partir daí se aliou mais um dispositivo – sem o conhecimento do “dono” do celular, o que é “fácil” de fazer em Telegram – à conversação, é possível dizer que, por algum tempo, havia alguém, literalmente, “vendo tudo o que acontecia” no Telegram dos envolvidos. Pode ter sido tudo feito de dentro do Brasil, sim. E quem fez deve ter tomado todas as providências para se esconder na rede, a menos que tenha o mesmo nível de falta de cuidado com sua segurança digital que as pessoas cujas conversas foram vazadas parecem ter.

N – A Polícia Federal já andou dando dicas à imprensa de que dificilmente chegará aos autores da façanha, ao mesmo tempo que informou sem medo de errar que a origem do material divulgado até agora foi o celular do coordenador da força-tarefa da Operação Lava Jato, procurador Deltan Dallagnol. Uma coisa não contradiz a outra? Se é difícil chegar ao hacker, como determinar tão cedo a origem do hackeamento?

S – Não há contradição. Todas as conversas vazadas até aqui envolvem certo celular. Isso parece indicar que pelo menos esse celular foi “capturado” por alguém que tinha certo interesse nele. A menos que o captor tenha deixado rastros, não é uma tarefa trivial descobrir para onde foram enviados os dados capturados do celular invadido, se foi um celular invadido, como parece. Sem descobrir pra onde os dados foram, como descobrir quem os capturou? Por outro lado, tudo pode ser tão simples como “alguém, alguma hora, teve acesso físico pelo menos a um dos celulares envolvidos e o utilizou para criar uma sessão adicional do Telegram daquele celular num outro dispositivo…” e o “dono” do celular original nunca notou que havia sido clonado. Simples assim.

N – Afinal, é possível, ou não, a polícia chegar em sua investigação de rotina aos autores de quaisquer eventuais crimes cometidos no caso?

S – Numa investigação de rotina, só com muita sorte. Que pode aparecer ao tentar identificar todas as pessoas, num período de tempo muito longo, que estiveram perto de quem teve conversas vazadas, e ir atrás de cada imagem de cada um e dos interesses que teriam nessas conversas, ou nas pessoas envolvidas. De repente, aqui ou ali, uma imagem, numa câmera, dá uma pista. Mas é muito improvável.

N – Na sua opinião, quais são as principais brechas legais para a investigação desse tipo de crime nos atuais sistemas judiciais dos países interligados pelas redes de computadores no mundo e o que fazer para encontrar meios seguros de identificar, processar e punir criminosos?

S – Não só não há um sistema legal internacional para o digital, o que não é surpresa, mas, em razão da reversão de parte do processo de globalização (especialmente do digital em si, com a fragmentação da internet, o isolamento parcial da China, da Rússia e de outros países menores), estamos cada vez mais distantes do que seria um sistema digital global. Claro que há muita cooperação entre países, e é notável o progresso que se conseguiu no combate ao terrorismo e à pedofilia, como mostram as manchetes. Mas isso exige tempo, foco, estratégia, e isso os agentes da lei no Brasil têm. Eu imagino que, em face de tamanha invasão de privacidade de suas comunicações, os operadores do Direito envolvidos vão tomar providências, desde a mudança de seus padrões e sistemas de comunicação até a investigação do que e por que aconteceu. Porque parece ser inegável que aconteceu. E as consequências são enormes.