Imagine o seguinte cenário: para apurar as atividades de uma organização criminosa, policiais compram de uma empresa de tecnologia um vírus de computador que infecta os celulares e notebooks utilizados pelos investigados. O vírus permite uma infiltração em tempo real nas comunicações e registros feitos pelos indivíduos, repassa sua localização em tempo real e dá acesso remoto a todos os dados armazenados nesses dispositivos. Passado, presente ou futuro? Presente. O que parecia ser ficção científica é, hoje, uma realidade nos gabinetes de diversas autoridades de investigação e inteligência.

Cada vez mais, esses agentes têm se dedicado ao desenvolvimento de novas capacidades de investigação, sobretudo em face do avanço rápido das tecnologias de comunicação e informação. O argumento é simples: se o uso de tais tecnologias tem servido para a prática de malfeitos e representado novos obstáculos para as táticas de investigação, então o Estado precisa expandir suas capacidades de vigilância para manter a eficiência da persecução de crimes.

No contexto digital, isso passa por desenvolver capacidades de hacking, termo que se refere a atividades de manipulação de programas de computador, dados, sistemas, redes e dispositivos sem a permissão ou conhecimento do usuário. [1] A expansão dessas capacidades é uma tendência global: nos últimos anos, países como a Rússia, Estados Unidos, México, Alemanha e até mesmo o Brasil apareceram associados ao uso dessas técnicas.

Os fins que justificam os meios: para que pode servir o hacking feito pelo Estado?

Para entender as circunstâncias nas quais policiais estão “virando hackers”, a ONG Access Now publicou um relatório identificando quais são os principais propósitos do hacking estatal e quais são as técnicas que servem a tais finalidades. De forma geral, o relatório indica três situações que podem justificar a adoção dessas técnicas pelo Estado: (i) o controle da expressão e de discursos na Internet; (ii) infringir danos a determinados alvos do Estado; e (iii) a obtenção de informações para atividades de investigação e vigilância.

Controle da expressão e de discursos na Internet: esse grupo de ações visa impedir ou interferir na disseminação de mensagens e conteúdos. Os chamados “exércitos de botnets russos”, alegadamente utilizados para manipular a disseminação de informações em redes sociais e a divulgação de notícias falsas durante eleições estadunidenses seriam um exemplo dessa categoria. Nela, podem ser incluídas atividades que representem intromissão e manipulação de padrões de endereçamento de páginas na rede, tecnologias que permitem reescrever mensagens em trânsito, inundar canais de comunicação ou desfigurar aplicativos ou páginas da web, por exemplo.

Infringir danos em alvos do Estado: nessa categoria incluem-se, por exemplo, ciberataques, como a sabotagem de sistemas e computadores controlados por Estados ou indivíduos considerados “inimigos”. As técnicas empregadas pretendem, em geral, modificar dados ou sistemas físicos, impossibilitar acesso a serviços ou danificar dispositivos, fazendo-os parar ou falhar, como pode acontecer ao se alterar a rota ou o alvo de um drone, por exemplo. O exemplo mais paradigmático desse tipo talvez seja o Stuxnet, um worm, programa malicioso projetado pelos serviços de inteligência dos Estados Unidos e de Israel para infectar sistemas de usinas nucleares no Irã e comprometer o seu funcionamento.

Obtenção de informações para atividades de investigação e vigilância: para obter acesso a informações de um alvo (o que pode alimentar investigações criminais ou atividades de inteligência), Estados têm explorado vulnerabilidades conhecidas ou desconhecidas de computadores e sistemas e/ou contaminado redes ou dispositivos com programas maliciosos  (como cavalos-de-troia, malware ou outros tipos de software espião). Isso também pode envolver a quebra de criptografia de dispositivos, aplicativos ou mensagens. Em alguns casos, o Estado pode, inclusive, pressionar empresas de telecomunicações a comprarem ou desenvolverem software de espionagem, para que sejam capazes de acessar todos os dados de um aparelho, por exemplo. Nesse caso isso funcionaria como uma maneira de contornar a proteção oferecida pela criptografia de ponta-a-ponta adotada por aplicativos de mensagens, uma vez que o acesso ocorreria em uma das pontas da comunicação. Na Alemanha, por exemplo, relatório do think tank Stiftung Neue Verantwortung conta detalhes da operação da Polícia Federal que hackeou o aplicativo Telegram para acessar comunicações de suspeitos numa investigação de um grupo de extrema direita.

Quais as consequências da adoção dessas técnicas para a segurança e privacidade dos cidadãos?

Em muitos países, atividades de vigilância estatal, como interceptações, grampos e quebras de sigilo são reguladas em lei. Entretanto, raramente, as regras presentes nessas legislações abordam hacking estatal.

Nessas atividades, há uma série de novas questões a serem enfrentadas. Em relação à privacidade, por exemplo, atividades de hacking são, em geral, bem mais invasivas que medidas “clássicas” de vigilância. Isso porque um software espião instalado no celular é (ou pelo menos pode ser) capaz de vasculhar todos os dados armazenados no celular: lista de contatos, bloco de notas, agenda, álbum de fotos, carteira, informações de saúde, histórico de ligações, de mensagens instantâneas, de e-mails, de rotas de transporte, de sites visitados. Tudo isso pode ser também acompanhado em tempo real ou acionar a câmera e microfone do dispositivo.

Em relação à segurança de redes e dispositivos, o hacking estatal também suscita preocupações. A razão principal está justamente no fato de que repousa na exploração de vulnerabilidades em sistemas – sejam aquelas não conhecidas pelo próprio comerciante ou desenvolvedor (“0-days”), sejam aquelas conhecidas e ainda não corrigidas (“n-days”) ou, ainda, aquelas já corrigidas, mas que ainda não foram atualizadas pelos usuários.

Ao explorar essas vulnerabilidades, omitindo sua existência, por exemplo, o Estado deixa de contribuir para que o sistema se torne mais seguro para todos que o utilizam. O recente ataque do ransomware WannaCry, por exemplo, que parou diversos hospitais e tribunais no Brasil e no mundo, aconteceu em função de uma vulnerabilidade por muito tempo explorada silenciosamente pela NSA. Depois que tornada pública, a Microsoft a corrigiu, mas nem todos os computadores foram atualizados, fatos que ampliaram o impacto do ataque.

Por essa razão, há quem proponha se incluam mecanismos regulatórios que enderecem a questão, como o “Vulnerabilities Equities Process” – nome dado a procedimentos de decisão ligados a autoridades estatais para determinar se vulnerabilidades descobertas em software ou hardware devem ser divulgadas a desenvolvedores e comerciantes para que sejam corrigidas ou se serão guardadas em segredo, podendo ser exploradas em atividades de hacking. É uma decisão difícil entre a proteção de suas capacidades de investigação e a proteção dos usuários de um produto.

Quais as regras desse jogo? O debate sobre a regulação do hacking estatal pelo mundo

Preocupações como as mencionadas acima tornam a discussão jurídica sobre hacking estatal bastante complexa. Reunimos aqui algumas questões que fazem parte do debate em três países: Estados Unidos, Alemanha e Brasil.

Estados Unidos

Um dos casos mais emblemáticos de hacking estatal para obtenção de informações nos Estados Unidos é o caso “Play Pen”, nome de um portal de pornografia infantil alvo de investigação em 2015. Para dar cabo das investigações, primeiro, o FBI obteve uma ordem de um juiz na Carolina do Norte (warrant) para apreender servidores em que o portal estaria hospedado. Após a apreensão, o FBI passou a operar o site e obteve uma ordem judicial específica que permite empregar atividades de hacking (“Network Investigative Technique warrant”). Depois disso, manipulou a plataforma para que enviasse malware a todos os visitantes da página. Esse foi o meio encontrado para descobrir a origem das conexões e processar usuários consumidores do conteúdo proibido veiculado pelo site.

O caso repercutiu por diversas razões. A principal delas é uma questão técnica, ligada à jurisdição. Como a ordem autorizando o hacking foi de um juiz do estado de Virgínia, onde o FBI está sediado, alguns argumentam que teria havido violação da “Regra 41” do código de Regras Federais de Processo Criminal dos Estados Unidos, que proibia juízes federais de autorizar buscas que extrapolassem os limites de sua jurisdição.

Esses limites, entretanto, já não existem mais. Em dezembro de 2016, foram removidas as restrições territoriais da “Regra 41”. Com a mudança, juízes podem autorizar buscas e apreensões para computadores fora de jurisdições se (i) a localização verdadeira do computador está “escondida” ou (ii) em investigação de crimes de invasão e fraude de computadores e sistemas, os dispositivos investigados estiverem localizados em ao menos 5 distritos.

Na prática, isso significa que uma única ordem de um juiz estadunidense agora pode autorizar acesso remoto a computadores em qualquer lugar do mundo quando escondidos via Tor ou VPN, e atingir não só de suspeitos de crimes, mas até de vítimas de ataques de botnets, por exemplo.

Diversas ONGs têm se engajado na discussão, argumentando que ordens judiciais que autorizam hacking de diversos computadores violam a Quarta Emenda à Constituição americana, por não atender ao requisito de “particularidade”. O relatório Challenging Government Hacking in Criminal Cases, elaborado por ACLU, EFF e NACDL, apresenta fundamentos a advogados que queiram contestar ações de hacking estatal. Em entrevista para o InternetLab, Amie Stepanovich, da Access Now também condenou a mudança.

Alemanha

Enquanto nos Estados Unidos ainda não há regime jurídico que trate dos casos de hacking estatal, na Alemanha o Legislativo já regulamentou a questão. No dia 22 de junho deste ano, o parlamento alemão aprovou emendas ao código de processo penal do país que expandem as possibilidades de “infiltrações virtuais” a computadores e celulares por parte de autoridades de segurança pública do Estado.

Foi expandido o alcance de medidas de “busca online” (Online-Durchsuchung), pelas quais pode se ganhar acesso a todas as comunicações, dados e recursos de um dispositivo, e também de medidas de “interceptação de telecomunicações na fonte” (Quelle-Telekommunikationsüberwachung), pelas quais podem ser monitoradas conversas eletrônicas em tempo real antes de serem cifradas.

Na Alemanha, a “busca online” já era permitida para prevenção de crimes de terrorismo, extremo perigo e risco de morte. Agora, com as mudanças na legislação, o uso é permitido para prevenção e repressão de diversos crimes sérios, mas categorizados como “comuns” (pornografia infantil, tráfico de drogas, homicídio, evasão de divisas, fraude em pedidos de asilo, traição à pátria, entre outros).

Especialistas consideram que as emendas estão em desacordo com decisões do Tribunal Federal Constitucional alemão. Em 2008, o tribunal ponderou que hacking desperta preocupações que vão além do sigilo das comunicações e da privacidade. A partir de cláusulas que protegem a dignidade e a liberdade na Constituição alemã, o tribunal concluiu que existe um direito fundamental à confiabilidade e à integridade de sistemas informáticos. Em razão disso, como voltou a confirmar em decisão de 2016, infiltrações são admissíveis apenas para crimes graves contra a vida e mediante rigorosas salvaguardas. [2] Essas orientações não teriam sido respeitadas pela lei aprovada.

Brasil

O atual panorama legislativo aplicado a hacking estatal no Brasil (ou a falta dele) é revelado pelo relatório Vigilância sobre as comunicações no Brasil, do InternetLab.

O relatório apurou que diversas autoridades brasileiras já tentaram amparar a utilização de malware para vigilância na Lei de Interceptações (Lei 9.296/96). O problema é que a Lei 9.296/96 regulamenta o acesso a informações prospectivas, isto é, a ligações ou comunicações eletrônicas de um alvo a partir do momento em que se inicia a investigação, e por um período limitado de dias. No caso das invasões por malware, as autoridades podem vir a ter acesso a todos os dados armazenados em dispositivos, incluindo tudo o que se faz e se guarda em aplicativos instalados no aparelho. A aplicação dessa lei, portanto, é inadequada, como apontam outros especialistas. [3]

A Lei das Organizações Criminosas (Lei nº 12.850/13), por sua vez, autoriza, “em qualquer fase da persecução penal”, a infiltração de policiais como meio de obtenção de prova em investigações contra organizações criminosas (art. 3º, VII). A medida só é admitida quando há indícios dessa infração penal, isto é, enquadramento como organização criminosa, e indispensabilidade do meio de prova (art. 10, §2º). Depende também de representação de delegado de polícia ou requerimento do Ministério Público e de autorização judicial, que impõe os seus limites (art. 10, caput). Os pedidos devem demonstrar a necessidade da medida, o alcance das tarefas dos agentes e, quando possível, os nomes dos investigados e o local da infiltração (art. 11). Em nenhum momento, entretanto, a lei trata especificamente de infiltrações virtuais de agentes – efetivamente de hacking. Não está claro, portanto, se pode ser usada como fundamento para medidas dessa natureza.

Em 08 de maio de 2017, entrou em vigor a lei federal nº 13.441, que altera o Estatuto da Criança e do Adolescente (Lei 8069/1990) para incluir seção específica acerca da infiltração de agentes de polícia na Internet para investigação de crimes contra a dignidade sexual da criança e do adolescente. A infiltração pode ser feita a pedido do Ministério Público ou de representação do delegado de polícia e depende de autorização judicial fundamentada. Só pode ocorrer se a prova não puder ser obtida por outros meios legais e tem duração máxima de 90 dias, renovável até o prazo máximo de 720 dias, quando demonstrada efetiva necessidade. O texto, entretanto, não define o que é entendido como “infiltração”. Assim, não há clareza se essa infiltração diria respeito à atuação em redes sociais, grupos e fóruns online, por exemplo, ou se também poderia ser utilizada para justificar o uso de dispositivos como spywares por parte das autoridades.

Nem tudo pode ser possível: o direito e os limites ao hacking estatal

Esse cenário de incertezas deve ser corrigido com urgência no Brasil. Em audiência para discutir criptografia e bloqueios do WhatsApp, técnicos incentivaram autoridades de segurança no Brasil a se modernizarem: a se adaptarem a uma realidade em que o uso de criptografia é comum. Entre as alternativas citadas, falou-se em explorar a possibilidade de “hackear” investigados para obtenção de evidências. Para que essa medida seja empregada com respeito a direitos fundamentais, é imprescindível um debate público informado que resulte em tratamento rigoroso do tema, respeitando proteções constitucionais.

Em seu relatório sobre hacking estatal, a ONG Access Now defende, com base nos Princípios Internacionais sobre a Aplicação de Direitos Humanos na Vigilância de Comunicações, que a sua regulação deve passar pela imposição de limites que salvaguardem direitos humanos, tais como

       – só pode ser utilizada no âmbito de circunstâncias claramente especificadas em lei;

       – informações buscadas devem ser definidas previamente e as ferramentas usadas devem ser aptas a capturar apenas essas informações;

       – só pode ser justificada se atender aos requisitos de necessidade, adequação e proporcionalidade, especificando por que hacking é necessário, que ferramentas e meios e onde serão utilizados, qual a duração;

        – deve ser detalhadamente aprovada por uma autoridade independente (como um juiz), que tenha sido educado sobre os detalhes da operação e os riscos de consequências não-intencionadas.

Na Itália, está em debate projeto de lei que visa estabelecer regras e limites claros em relação às possibilidades de utilização de técnicas de hacking estatal. O projeto inclui diversos dispositivos que dialogam com a lógica de proteção de direitos humanos nesse contexto, como por exemplo: (i) estabelece que o uso dessas atividades deve estar adstrito à investigação de crimes específicos e por tempo determinado, evitando que ocorra desvio de finalidade por parte do Estado; (ii) exige a manutenção da segurança, sigilo e integridade dos dados e informações coletados; e (iii) preserva o tratamento diferenciado conferido a buscas aplicadas ao contexto digital, que podem ser muito mais invasivas que buscas realizadas no mundo físico.

Com o avançar rápido das propostas de utilização de atividades de hacking por parte do Estado e o desenvolvimento dessas capacidades por parte das autoridades, é preciso pensar em instrumentos regulatórios que tornem o seu uso mais compatível com a proteção de direitos humanos, dentro e fora da Internet.

[1] Definição adaptada da versão dada pela ONG Access Now.

[2] Sobre o caso ver MENDES, Gilmar Ferreira; PINHEIRO, Jurandi Borges. “Interceptações e privacidade: novas tecnologias e a Constituição”. In: MENDES, Gilmar Ferreira; SARLET, Ingo Wolfgang; COELHO, Alexandre Zavaglia P. (coord.). Direito, Inovação e Tecnologia. Volume 1. São Paulo: Saraiva, 2015, pp. 231-250, p. 237-40.

[3] Sobre o tema, ver MENDES, Laura Schertel, “Uso de softwares espiões pela polícia: prática legal?”, Jota, publicada em 04 de junho de 2015, disponível em http://jota.info/uso-de-softwares-espioes-pela-policia-pratica-legal, Acesso: 03.08.15. Mendes ressalta que a infecção de dispositivos eletrônicos por cavalos de troia é capaz de levantar todas as informações armazenadas no aparelho. Isso vai além da interceptação do fluxo da comunicação, restrição regulamentada pela Lei de Interceptações Telefônicas. Ressalta também que, na Alemanha, a análise da constitucionalidade deste tipo de procedimento levou o Tribunal Constitucional Federal alemão a concluir pela existência de um direito fundamental à confiabilidade e integridade de sistemas informáticos. Ver também MENDES, Gilmar Ferreira; PINHEIRO, Jurandi Borges. “Interceptações e privacidade: novas tecnologias e a Constituição”. In: MENDES, Gilmar Ferreira; SARLET, Ingo Wolfgang; COELHO, Alexandre Zavaglia P. (coord.). Direito, Inovação e Tecnologia. Volume 1. São Paulo: Saraiva, 2015, pp. 231-250, p. 237-40 (argumentando que em face “da inexistência de lei específica sobre a matéria e da manifesta insuficiência das disposições da Lei n. 9.296/96, a infiltração clandestina em computadores pessoais mostra-se de difícil conformação com a garantia constitucional do direito à privacidade”).

Por Dennys Antonialli e Jacqueline de Souza Abreu