terça-feira, 16 de dezembro de 2008

A criptografia dos arquivos de Dantas

Quando, há algumas semanas, li notícias dizendo que a polícia estava tentando decifrar arquivos criptografados encontrados nos computadores apreendidos de Daniel Dantas, tomei a notícia com enorme ceticismo. Na segunda-feira passada, a manchete que vejo na Folha Online é: "FBI ajudará Brasil a abrir arquivos de Daniel Dantas".

Diz a notícia:

"O Instituto Nacional de Criminalística, em Brasília, jogou a toalha. Cinco meses depois de a Polícia Federal ter apreendido cinco discos rígidos de computador no apartamento do banqueiro Daniel Dantas, o órgão concluiu que não tem condições de quebrar a senha que protege os arquivos ali guardados. Vai pedir ajuda ao FBI, a polícia federal dos EUA.

...........................

Não é exatamente uma vergonha, como imagina o senso comum, que o Instituto Nacional de Criminalística não tenha conseguido decifrar os códigos que protegem os discos rígidos encontrados no apartamento de Dantas, dentro de um armário, num corredor que dá acesso ao quarto do banqueiro."

Realmente, não é vergonhoso para nossos investigadores. A criptografia moderna, bem aplicada, pode tornar arquivos informáticos ou mensagens eletrônicas praticamente indecifráveis. Por "praticamente", entenda o leitor a impossibilidade de decifrar seu conteúdo antes de muitos e muitos anos de esforços consecutivos, talvez décadas até, considerada a atual capacidade de processamento dos computadores. E essa dificuldade atinge também o FBI, que ao lado da CIA e da NSA (National Security Agency) deve estar entre os órgãos mais capacitados no mundo todo para a execução de tal tarefa; mas, mesmo assim, pode não obter êxito na empreitada. Tanto é que, segundo a mesma reportagem, já se trabalha com um "plano B":

"O plano B prevê que a Justiça americana peça à empresa que produziu a criptografia usada por Dantas para fornecer a senha. Numa comparação ligeira, seria como pedir a um fabricante de cadeado que fornecesse a senha de abertura.

Há precedentes legais nos EUA para esse tipo de pedido. O Departamento de Justiça dos EUA já conseguiu ordens judiciais para que empresas que trabalham com dinheiro virtual fornecessem a senha da criptografia que protegia os arquivos porque havia suspeita de que essa tecnologia era usada por terroristas.

A legislação criada após os ataques de 11 de setembro de 2001 prevê que o dono de um computador portátil forneça a senha em vistorias em aeroporto caso o funcionário requisite".

A publicação ora comentada não divulgou que tipo de criptografia, ou com qual aplicativo, Dantas cifrou seus arquivos. Mas, se a empresa que o produziu tiver condições técnicas de decifrar mensagens criptografadas com seu produto, isso é sinal que algum tipo de "porta traseira" foi propositalmente inserida no software criptográfico. "Porta traseira", ou "backdoor", significa na linguagem técnica alguma forma oculta de acesso às mensagens cifradas por um determinado sistema, que tenha sido ali inserida pelo desenvolvedor justamente para esse fim. Um meio possível seria cifrar os arquivos, simultaneamente, com uma segunda chave de conhecimento exclusivo do produtor, que serviria como uma espécie de chave-mestra. Se, no entanto, o produto não tiver "portas traseiras", nem o "fabricante" terá meios técnicos de abrir tais arquivos de modo mais fácil do que mediante ataques de força bruta, isto é, tentar experimentar todas as senhas possíveis.

As "portas traseiras", porém, se podem parecer úteis para perseguir e punir criminosos e terroristas, deixam brechas de segurança em sistemas que, paradoxalmente, usam criptografia para obter... segurança. É por razões assim que a literatura técnica e acadêmica sobre criptografia vai sugerir que somente programas de segurança de código-fonte aberto (open source) podem assegurar que não há nenhuma brecha de segurança, involuntária ou intencional, no produto.

Por outro lado, como já tive oportunidade de discutir em meu livro sobre o tema, obrigar a fornecer senha de seus arquivos atenta contra os direitos do acusado, de não produzir prova contra si mesmo. Com este parágrafo encerrei o terceiro capítulo dessa obra, publicada em 2002:

"Pode-se questionar o uso da criptografia quando for ela utilizada para proteger dados não garantidos pela absoluta inviolabilidade jurídica, e forem eles necessários para instrução processual. Nestes casos, porém, é de se aplicar as regras já existentes na legislação. No processo civil, aplicam-se as regras quanto à exibição de documento, de modo que o não fornecimento de dados legíveis pode acarretar para a parte ou para o terceiro as conseqüências da recusa, à falta de motivo legítimo para não exibir: para a parte, a pena de confissão ficta; para o terceiro, a incursão no crime de desobediência, apenas, já que a medida de busca e apreensão seria inócua. No processo penal, a recusa de terceiro em decifrar o documento eletrônico pode igualmente configurar o crime de desobediência, caso a recusa não seja legítima; quanto ao próprio acusado, eventual recusa haverá de ser compreendida como exercício de seu direito a permanecer calado, não podendo o silêncio ser havido como prova de sua culpa". (Direito e Informática - uma aborgadem jurídica sobre a criptografia, Forense, 2002, p. 151-152).

Diga-se que, neste caso, a legislação norte-americana pós 11 de setembro, infelizmente, não parece ser um bom modelo a seguir, eis que o medo que se seguiu ao ataque às torres gêmeas fez aquele país flertar perigosamente com a violação institucionalizada de importantes direitos individuais. Sem contar que a imposição de restrições à criptografia é algo completamente inócuo para o fim de combate ao crime ou ao terrorismo.

E, tentando esclarecer a dificuldade de decifrar tais mensagens, diz a notícia:

"Essas senhas são feitas com combinações de zero e um, como toda a linguagem de computadores. Para se calcular a possibilidade de combinações de uma senha de 128 bits, por exemplo, basta pegar o número 2 e elevá-lo a 128. Para se ter uma idéia da ordem de grandeza, daria algo como o número dez seguido de 128 zeros" (grifei).

É incrível como a matemática ainda atrapalha... O número "dez seguido de 128 zeros" seria obtido elevando-se dez, e não dois, à potência 128... Para informação do leitor, dois elevado a 128 é igual a 340.282.366.920.938.463.463.374.607.431.768.211.456. É claro que não é qualquer calculadora que faz essa conta! Esse seria o número de senhas possíveis, a serem experimentadas uma a uma, em um ataque de força bruta...

sexta-feira, 12 de dezembro de 2008

Do direito dos animais ao direito dos andróides

Com o fim de ano chegando e um sabor de férias na boca, permito-me adentrar uma discussão um pouco mais, digamos... descontraída. Chego em casa, na sexta-feira, vindo de uma reunião de professores que orientam monografia e, ao ligar o computador para ler as notícias do dia, deparo-me com o insólito destaque, logo na home page da Folha Online:

"PERFEITA - Homem constrói esposa robótica"

Como na reunião em que acabara de participar surgiu uma discussão paralela sobre a existência de novas teses jurídicas sustentando a existência de um "direito dos animais", a leitura da notícia sobre a robô Aiko (sim, ela tem nome!) trouxe-me à mente o seguinte pensamento: uma vez que há quem sustente que animais podem ser sujeitos de direito, logo poderemos nos deparar com a existência de um direito dos andróides. Confesso que a primeira tese me soa algo absurdo até mesmo em termos conceituais, mas talvez isso seja fruto de minha falta de atualização quanto às modernas tendências da Teoria Geral do Direito...

A robô Aiko é uma mistura de silicone, fios, motores, circuitos e um software de Inteligência Artificial. A "moça" conversa (veja vídeo), lê jornais para seu "marido" e criador, fala dois idiomas (inglês e japonês) e ainda limpa a casa. Não come e não dorme. Se algum dia animais forem reconhecidos como sujeitos de direitos, talvez Aiko também possa vir a postular os seus... Afinal, está mais próxima da forma humana, que o Direito Romano exigia como pressuposto da personalidade, e da capacidade de manifestar sua vontade do que a imensa maioria do gênero animal.

Em "Blade Runner", um clássico da ficção científica, andróides se rebelam contra sua condição, análoga à de escravos, e a pouca duração de suas vidas. Reivindicam seus direitos. E numa das cenas mais chocantes (para os padrões estéticos dos anos 80, pois talvez hoje seja mais "leve" do que alguns desenhos infantis...), de forte conteúdo simbólico, um deles se encontra com seu criador, pede mais tempo de vida... e o mata horrivelmente.

Se Aiko é feita de compostos inorgânicos e age por Inteligência Artificial, mera simulação por software que reproduz uma vontade pré-programada por algum humano, os andróides de Blade Runner eram biologicamente construídos, órgão por órgão (será que o desenvolvimento da pesquisa em células tronco um dia chegará a isso?), tinham uma inteligência "natural" e, isso era a fonte do problema central do filme, acabavam por desenvolver uma vontade própria, a ponto de se rebelarem. Se algum dia porventura produzirmos algo assim, biologicamente iguais a nós mesmos, será sem dúvida um dilema ético e filosófico terrível negar-lhes a condição de sujeitos de direito. "Blade Runner", sob o manto da ficção científica, é no fundo uma sofisticada paródia sobre a nossa difícil relação com a morte e sobre a exploração do homem pelo homem. Mas seu lado ficção parece estar se aproximando de nossa realidade.

Contudo, atribuir a condição de sujeito de direitos a animais é mesmo uma idéia difícil de assimilar. Mesmo porque proteção à Natureza, que também a mim interessa, não exige este tipo de ginástica conceitual. Se atribuímos personalidade jurídica aos bichos, fica difícil excluir a situação de Aiko; ou, se o aspecto humano também for dispensável, a qualquer sistema informático mais sofisticado, que simule inteligência e vontade. Pode ser melhor não usar seu GPS à noite, ou a "mocinha" que lhe dita o caminho poderá exigir horas extras e adicional noturno...

quarta-feira, 10 de dezembro de 2008

Zona Azul Eletrônica: mais dados pessoais sem controle?

Segundo matéria publicada na imprensa, a CET (Companhia de Engenharia de Tráfego) colocou em funcionamento, em fase de testes, um sistema de "Zona Azul Eletrônica" em dois bairros da Cidade de São Paulo. A chamada "Zona Azul" atinge especialmente ruas comerciais, estabelecendo uma forma de estacionamento pago e rotativo nas vias públicas. Atualmente, o pagamento se faz mediante a compra de talões, nos quais o usuário anota o número da placa do carro, data e hora de chegada, inutilizando o respectivo bilhete. O novo sistema, ora em testes, está descrito em matéria publicada na Folha Online (disponível aqui). Transcrevo alguns detalhes (os grifos são meus):

"O sistema permite que o usuário compre créditos de estacionamento através do telefone celular, em vez dos atuais talões de papel (que continuarão sendo vendidos e aceitos normalmente). O teste será feito pelos próximos seis meses.

................................

Cada região terá um sistema diferente. Na Cidade Jardim, o usuário deverá ligar para o telefone 0/xx/11/3065-5252 e cadastrar dados pessoais e o número do seu celular. A aquisição de créditos será feita durante a própria ligação, mediante fornecimento do número do cartão de crédito. Ao estacionar, o motorista liga para a central telefônica e digita a placa do carro e o código da vaga, informado em uma plaqueta da CET instalada no meio-fio".

Nenhuma informação foi divulgada sobre quais, como, ou por quanto tempo os dados pessoais serão armazenados, nem os eventuais mecanismos para sua proteção, nem tão pouco quem é responsável pela guarda destas informações. Nenhum esclarecimento neste sentido foi encontrado no website da CET. Aliás, isso não causa espanto, pois este tipo de preocupação com a privacidade individual praticamente inexiste no nosso país.

É claro o problema que isso pode gerar. O cadastramento em bases informáticas de todos os veículos estacionados pela cidade, com lugar, data e horário de chegada, pode se constituir, se mal utilizado, em um grande risco à segurança do cidadão, pois permite rastrear deslocamentos, mapear hábitos padronizados, enfim, permite saber onde estamos ou para onde vamos. E diga-se que a ressalva que fiz, "se mal utilizado", não minimiza em nada o problema: uma vez que bases de dados populacionais sejam formadas sem critério ou controle, seu vazamento e uso indevido se tornam um fato a espera de acontecer.

Mas o final da notícia também causou-me um certo espanto:

"A fiscalização é feita pelos marronzinhos por meio de palmtops, que mapeiam as vagas ocupadas e tempos de uso."

Bem... se continuamos a precisar dos "marronzinhos" para controlar visualmente quem parou ali, até novos esclarecimentos parece duvidoso o ganho de produtividade; se é assim, por que não instalar um parquímetro, onde moedas anônimas paguem pela estadia? Para que toda essa parafernália eletrônica, se no final das contas o sistema é "semi-automático" pois depende da atitude do "marronzinho"?

Está mais do que na hora do país discutir seriamente o estabelecimento de regras claras de proteção à privacidade individual, especialmente no que toca à formação de bases de dados com informações pessoais. O fato ora comentado é só mais uma gota no mar.


quinta-feira, 4 de dezembro de 2008

Ainda os crimes informáticos

A discussão sobre os chamados crimes informáticos não é nova. Embora anteriores à massificação da Internet, foi a partir desta que o assunto passou a merecer maior destaque.

Desde quando presidi, pela primeira vez, a Comissão de Informática da OAB-SP, lá no triênio 1998-2000, este tema já transitava em nossa pauta. Mas, desde aquela época, chegamos à conclusão de que o maior problema a impedir a punição de tais crimes não era a falta de tipos penais, mas de instrumentos para a investigação. E, assim, a Comissão apresentou propostas neste sentido, tendentes a auxiliar a investigação, mas sempre ressalvando que a obtenção de dados concernentes à vida privada deve ser objeto de prévia e fundamentada autorização judicial.

Passada quase uma década, estas questões estão longe de se sedimentarem em nosso país. O projeto de lei de crimes informáticos tramita há anos no Congresso Nacional, provocou acaloradas discussões, já sofreu largas modificações em seu texto, entrou e saiu de pauta de votação, e mesmo assim continua a ser um texto problemático.

É o que aponta a Comissão de Informática da OAB-SP, em relatório recém divulgado, elaborado pelo seu atual Presidente (e meu colega deste Blog!), Augusto Marcacini, e o advogado João Fábio Azeredo.

O relatório foi publicado no website da OAB-SP. Veja também a notícia sobre o relatório.

quarta-feira, 3 de dezembro de 2008

Privacidade é disponível?

Na semana passada, concedi uma entrevista por telefone sobre a privacidade do e-mail. A pauta do jornalista, desta vez, tinha como foco alguns sistemas gratuitos de correio eletrônico que fazem uma espécie de "leitura dinâmica" das mensagens, para o fim de vender anúncios direcionados. A coisa funciona mais ou menos assim: algum tipo sofisticado de filtro informatizado "pesca" palavras nas suas mensagens, faz associações com produtos e serviços dos anunciantes e, como mágica, inserem propaganda que se relaciona com o assunto ali tratado. Se está falando de automóveis, aparecerá um anúncio de alguma concessionária; se de viagem, aparecerá anúncios de hotéis na cidade ou país mencionados na conversa; se de fotografia, câmeras e outros produtos relacionados dividirão espaço com seu texto; e assim por diante. Fica evidente, portanto, que "algo" está lendo a sua correspondência eletrônica.

Mas o próprio jornalista me adiantou que os "termos de serviço" que regem a contratação destas caixas postais virtuais prevêem expressamente que este tipo de filtro poderá ser feito: é a contrapartida que o internauta oferece à gratuidade do serviço. "Mas ninguém lê" estes contratos, adianta-me o meu interlocutor.

Embora a privacidade seja tema que desperte profundamente o meu interesse e, talvez mais do que o meu interesse, a minha preocupação, não podemos chegar ao ponto de supor que a privacidade seja um bem indisponível. E não é. Assim como, por exemplo, a propriedade, a privacidade é disponível. A propriedade é garantida pelo ordenamento jurídico; assim como a privacidade, a propriedade está protegida na Constituição. Mas podemos doar nossos bens, não podemos? Penso o mesmo da privacidade. Pessoas contam detalhes de sua vida privada em websites, em programas de TV, ou onde mais conseguirem se expor... Tenho profundo desprezo por tudo isso, mas não se pode proibi-las de fazê-lo. Não é ilícito, portanto, aceitar termos de uso de uma caixa postal eletrônica que, sendo gratuita, põe seus grandes olhos automatizados sobre sua correspondência pessoal.

De fato, para aparente espanto do meu entrevistador, disse-lhe que não via qualquer ilegalidade na prática comercial em questão.

O importante, claro, é assegurar que o usuário saiba que isso pode, ou melhor, vai acontecer! Ele, então, é livre para aceitar ou não a contratação deste tipo de serviço. Por alguns poucos reais, pode-se contratar um serviço de correio eletrônico que preserve (na medida do possível... mas essa questão fica para um outro dia!) a privacidade de suas mensagens. Mas pode ser que o internauta não se importe com a bisbilhotice, seja porque mediu o risco e não pretende usar o sistema para mensagens sigilosas ou íntimas, ou seja porque ele é mais um dos que pensam que Big Brother é só o nome de um programa de TV (e morre de vontade de participar dele...).

"Mas o usuário não lê o contrato"... Bem, o mundo está ficando muito sofisticado; se as pessoas não aprenderem a ler o que contratam (e aqui no Brasil, em especial, se não aprenderem a ler e a ENTENDER...) tudo fica muito difícil. A verdade é que é muito difícil defender alguém de si próprio...