O Conselho Nacional de Justiça (CNJ) divulgou dados mostrando que 750 linhas de telefone VoIP cujos dados da chamada trafegam pela internet foram grampeadas com autorização judicial durante o mês de agosto. A notícia mostra que o Brasil já está monitorando os dados que trafegam pela internet, mas a questão esbarra em uma tecnologia bastante polêmica: a criptografia. Dependendo de como for usada, a criptografia pode impedir que a polícia realize a interceptação.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários . A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Skype é o software mais comum para a realização
de chamadas via internet (Foto: Divulgação)
A telefonia VoIP é diferente da telefonia comum porque os dados de voz trafegam como dados de internet, o que reduz os custos de transmissão. As ligações telefônicas, especialmente as de telefone fixo, usam uma quantidade de dados maior do que o necessário para a transmissão de voz por ser um sistema antigo e reservam um espaço dedicado de ligação chamado de circuito. Ao usar o mesmo sistema da internet, que funciona com pacotes, o VoIP consegue ser mais eficiente, mais barato e ter confiabilidade semelhante.
Embora os dados que trafegam em qualquer uma dessas redes possam ser embaralhados para dificultar a ação de um grampo, o uso de computadores torna isso muito mais fácil. Existem softwares prontos para realizar esse tipo de atividade. A ideia é que os dados sejam codificados de tal maneira que apenas o destinatário/receptor de chamada consiga decodificá-los.
A maioria dos softwares de VoIP traz alguma segurança desse tipo para impedir que alguém consiga capturar dados da chamada em progresso. Isso poderia ocorrer, por exemplo, durante a utilização de uma rede sem fio pública ou em uma rede de uma empresa. O uso da criptografia mantem o utilizador protegido contra esses bisbilhoteiros.
Mesmo assim, o desenvolvedor do software VoIP pode saber qual é a chave usada para embaralhar e para desembaralhar o conteúdo, podendo fornecer a chave para a polícia, que poderá solicitar ao provedor de internet que realize os grampos nas chamadas VoIP. No caso do Skype, uma parte da chave é estática e fica dentro do próprio programa. Ela já foi até extraída por especialistas , mas o Skype afirma que não poderia atender esse tipo de solicitação da polícia.
De fato, as chamadas do Skype em si não passam pelo servidor do Skype. A interceptação precisa ser feita junto ao provedor e, mais tarde, decodificadas.
A Microsoft, nova dona do Skype, tem uma patente para um mecanismo para interceptação autorizada de chamadas VoIP.
: Se o controle da transmissão está acessível e
fácil, é possível &embaralhar& os dados para impedir
interceptação (Foto: Divulgação)
Nos casos em que um dos terminais de uma chamada é uma linha de telefone comum, o grampo ocorre sem nenhuma novidade, já que a conexão de internet é convertida em uma conexão de circuito quando chega à outra ponta.
No entanto, em chamadas VoIP de computador para computador, em que o software a ser utilizado está no controle de todos os envolvidos na chamada, é possível embaralhar os dados de tal maneira que nenhuma interceptação seja capaz de determinar o que está sendo dito. Ou seja, ninguém além dos próprios envolvidos na chamada tem a chave para fazer decodificar a ligação.
Isso esbarra em um problema jurídico conhecido. Um computador do banqueiro Daniel Dantas ganhou o noticiário depois de resistir até mesmo tentativas do FBI para quebrar a proteção que foi realizada com um software facilmente obtido na internet. As chamadas VoIP podem ser protegidas com tecnologia semelhante.
A única coisa que a polícia consegue determinar e mesmo assim pode ser incorreto é a origem e o destino de chamada. Todo o resto é difícil de determinar em um conteúdo protegido dessa forma; inclusive pode ser difícil determinar se os dados são de uma chamada VoIP e não qualquer outra informação.
Acusados já foram obrigados a fornecer as chaves criptográficas para permitir que a polícia quebre a proteção e continue a investigação na Inglaterra. No Brasil, a legislação desobriga o réu de produzir prova contra si mesmo o que significa que ele pode não ter de fornecer a senha. Em um caso ou outro, a pessoa pode realmente esquecer a chave e, nesse caso, os dados serão muito difíceis de recuperar.
O fato é que não existe novidade no grampo de chamadas via internet em que todo o protocolo de comunicação é controlado pela operadora ou pelo desenvolvedor do software: a situação é a mesma de telefones comuns. Quando o usuário está no controle dos dados, como é o caso de chamadas de computador para computador, a adição de um código criptográfico pode tornar a ação das autoridades inviável.
A polícia pode ser obrigada a buscar outros métodos de coleta de evidências e investigação, como escutas físicas no local da vítima. Em alguns países, discute-se a possibilidade de a polícia utilizar softwares espiões policiais, como o Magic Lantern do FBI.
Enquanto a criptografia for uma possibilidade clara e simples no meio digital e ela não pode ser proibida, pois serve aos interesses da segurança -, o trabalho das autoridades terá sim de se adaptar. Mas o VoIP, por si só, não oferece qualquer proteção contra grampos.
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva , site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna Segurança digital, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca .