O Conselho Nacional de Justiça (CNJ) divulgou dados mostrando que 750 linhas de telefone VoIP – cujos dados da chamada trafegam pela internet – foram grampeadas com autorização judicial durante o mês de agosto. A notícia mostra que o Brasil já está monitorando os dados que trafegam pela internet, mas a questão esbarra em uma tecnologia bastante polêmica: a criptografia. Dependendo de como for usada, a criptografia pode impedir que a polícia realize a interceptação.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
A telefonia VoIP é diferente da telefonia comum porque os dados de voz trafegam como dados de internet, o que reduz os custos de transmissão. As ligações telefônicas, especialmente as de telefone fixo, usam uma quantidade de dados maior do que o necessário para a transmissão de voz – por ser um sistema antigo – e reservam um espaço dedicado de ligação chamado de “circuito”. Ao usar o mesmo sistema da internet, que funciona com “pacotes”, o VoIP consegue ser mais eficiente, mais barato e ter confiabilidade semelhante.
Embora os dados que trafegam em qualquer uma dessas redes possam ser “embaralhados” para dificultar a ação de um grampo, o uso de computadores torna isso muito mais fácil. Existem softwares prontos para realizar esse tipo de atividade. A ideia é que os dados sejam “codificados” de tal maneira que apenas o destinatário/receptor de chamada consiga “decodificá-los”.
A maioria dos softwares de VoIP traz alguma segurança desse tipo para impedir que alguém consiga capturar dados da chamada em progresso. Isso poderia ocorrer, por exemplo, durante a utilização de uma rede sem fio pública ou em uma rede de uma empresa. O uso da criptografia mantem o utilizador protegido contra esses bisbilhoteiros.
Mesmo assim, o desenvolvedor do software VoIP pode saber qual é a “chave” usada para embaralhar e para desembaralhar o conteúdo, podendo fornecer a chave para a polícia, que poderá solicitar ao provedor de internet que realize os grampos nas chamadas VoIP. No caso do Skype, uma parte da chave é estática e fica dentro do próprio programa. Ela já foi até extraída por especialistas, mas o Skype afirma que não poderia atender esse tipo de solicitação da polícia.
De fato, as chamadas do Skype em si não passam pelo servidor do Skype. A interceptação precisa ser feita junto ao provedor e, mais tarde, decodificadas.
A Microsoft, nova dona do Skype, tem uma patente para um mecanismo para “interceptação autorizada” de chamadas VoIP.
Nos casos em que um dos terminais de uma chamada é uma linha de telefone comum, o grampo ocorre sem nenhuma novidade, já que a conexão de internet é “convertida” em uma conexão de circuito quando chega à outra ponta.
No entanto, em chamadas VoIP de computador para computador, em que o software a ser utilizado está no controle de todos os envolvidos na chamada, é possível “embaralhar” os dados de tal maneira que nenhuma interceptação seja capaz de determinar o que está sendo dito. Ou seja, ninguém além dos próprios envolvidos na chamada tem a chave para fazer decodificar a ligação.
Isso esbarra em um problema jurídico conhecido. Um computador do banqueiro Daniel Dantas ganhou o noticiário depois de resistir até mesmo tentativas do FBI para quebrar a proteção – que foi realizada com um software facilmente obtido na internet. As chamadas VoIP podem ser protegidas com tecnologia semelhante.
A única coisa que a polícia consegue determinar – e mesmo assim pode ser incorreto – é a origem e o destino de chamada. Todo o resto é difícil de determinar em um conteúdo protegido dessa forma; inclusive pode ser difícil determinar se os dados são de uma chamada VoIP e não qualquer outra informação.
Acusados já foram obrigados a fornecer as chaves criptográficas para permitir que a polícia quebre a proteção e continue a investigação na Inglaterra. No Brasil, a legislação desobriga o réu de produzir prova contra si mesmo – o que significa que ele pode não ter de fornecer a senha. Em um caso ou outro, a pessoa pode realmente esquecer a chave e, nesse caso, os dados serão muito difíceis de recuperar.
O fato é que não existe novidade no grampo de chamadas via internet em que todo o protocolo de comunicação é controlado pela operadora ou pelo desenvolvedor do software: a situação é a mesma de telefones comuns. Quando o usuário está no controle dos dados, como é o caso de chamadas de computador para computador, a adição de um código criptográfico pode tornar a ação das autoridades inviável.
A polícia pode ser obrigada a buscar outros métodos de coleta de evidências e investigação, como escutas físicas no local da vítima. Em alguns países, discute-se a possibilidade de a polícia utilizar “softwares espiões policiais”, como o “Magic Lantern” do FBI.
Enquanto a criptografia for uma possibilidade clara e simples no meio digital – e ela não pode ser proibida, pois serve aos interesses da segurança -, o trabalho das autoridades terá sim de se adaptar. Mas o VoIP, por si só, não oferece qualquer proteção contra grampos.
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades.
FONTE: G1 Tecnologia