Por que o mundo está recorrendo a aplicativos de mensagens criptografadas como nunca visto antes?

Já foi dito que “a confiança leva anos para ser desenvolvida, segundos para ser rompida e eternamente para ser reparada”. No mundo acelerado de hoje, somos bombardeados com frases de efeito, hype da mídia e informações de todos os lados; às vezes, é difícil saber em quem confiar. Atualmente, essa falta de confiança se manifesta de várias maneiras.

Infelizmente, de acordo com a Pew Research, apenas 20% dos americanos afirmam confiar no governo. O barômetro de confiança da Edelman de 2021 constatou diminuições históricas na confiança do CEO e de redes sociais, rede própria e rede tradicional, durante o que foi apelidado de “infodemia” – o dilúvio digital de desinformação no mundo todo que caracterizou grande parte dos últimos anos.

No mundo corporativo, o nível de alerta em função de crimes cibernéticos é alto e por um bom motivo. O recente ataque à SolarWinds mostrou o quão pervasivos eles podem ser. E o quase incidente com um hacker russo na Tesla foi um lembrete de que ataques cibernéticos em nível de estado-nação, governo a governo, estão apenas se tornando mais sofisticados e perigosos. Previsivelmente, tudo isso aflige qualquer profissional que lida com informações confidenciais ou segredos comerciais. Minhas mensagens são realmente privadas? Quem pode acessá-las? Quem pode lê-las?

Todos querem apenas sentir que têm sua privacidade – e as mensagens criptografadas os ajudam a se sentir seguros. Nas empresas, os riscos podem ser ainda maiores em termos financeiros e informativos. O uso de mensagens criptografadas parece uma escolha óbvia para aqueles que estão preocupados com dados confidenciais. Milhões e milhõesde pessoas estão se juntando a serviços de aplicativos criptografados novos e legados como forma de se sentirem mais protegidas. Soma-se a tudo isso uma agitação social recorde, uma pandemia global e um enorme aumento na atividade e no crime digital, já que as pessoas estão confinadas em casa. Dessa forma, não é surpreendente que esta se tornou a era das mensagens criptografadas.

O debate: privacidade versus proteção e a eficácia da segurança pública

De uma perspectiva diferente, as mensagens totalmente criptografadas, disponíveis a todos, podem ser vistas (e divulgadas) como um triunfo: para os consumidores privados, uma garantia de privacidade absoluta e nenhuma preocupação com o que as empresas de tecnologia ou o governo estão fazendo com os seus dados pessoais. Para a multidão do Vale do Silício, que avança em tecnologia, isso pode ser considerado um salto no design e na implementação centrados no consumidor.

Uma maneira de conquistar a confiança pública é instruir os cidadãos sobre o processo pelo qual os dados são coletados e enfatizar que a coleta legal de dados é sempre feita sob um mandado que limita o escopo do que pode ser examinado.

A empresa de pesquisa IDC, que identificou “dados de plataformas de redes sociais e o aumento da criptografia” como uma tendência importante com ramificações na segurança pública, resume sucintamente o ponto crucial do problema: “A mudança para o conteúdo de redes sociais criptografado como padrão ocultaria efetivamente todas essas informações das agências de investigação”.

É nesse ponto que está o problema: as evidências digitais, seja na forma de fotos, comunicações e documentos, entre outras, agora são usadas em quase todos os processos criminais que vão a julgamento. Como quase toda a comunicação é realizada de forma digital, é bom senso concluir que também é daí que vem uma quantidade significativa de evidências. A criptografia de ponta a ponta existe com o objetivo de tornar toda e qualquer comunicação completamente privada – e que nunca possa ser acessada por ninguém que não sejam os destinatários pretendidos.

Para a segurança pública, é o mesmo que imaginar que as evidências de DNA se tornaram inadmissíveis – ou completamente inacessíveis da noite para o dia. Os desafios iminentes que a segurança pública pode enfrentar, à medida que as mensagens criptografadas aumentam em popularidade, possivelmente representam um grande problema para agências e governos em todo o mundo. E a preocupação não se restringe apenas à segurança pública…

No mundo dos negócios corporativos, investigar fraudes ou localizar uma violação de dados pode ser muito difícil quando tudo está escondido por trás da criptografia. Em casos de espionagem corporativa ou roubo de propriedade intelectual, as investigações costumam seguir as linhas de comunicação entre os suspeitos com o objetivo de reconstruir o que realmente ocorreu. Sem essas trilhas, as empresas enfrentarão uma tarefa muito mais difícil na identificação e proteção contra roubo da propriedade intelectual no nível corporativo.

Os problemas já ocorrem em todo o mundo

Infelizmente, isso não é uma previsão – esses problemas já estão acontecendo, em todo o mundo. Tem havido cooperação no combate a grupos terroristas internacionais que usam aplicativos criptografados, com a Europol e o Telegram trabalhando em conjunto para derrubar grupos de propaganda e recrutamento. A polícia francesa usou seu próprio malware inteligente para acessar mensagens criptografadas privadas. Esse recurso nunca deixava o bloqueio ocorrer em aplicativos de criptografia específicos.

Atualmente, a polícia e a segurança pública em todo o mundo ganharam experiência de acesso a alguns canais de bate-papo criptografados.
De acordo com a Fox News, em um caso de tráfico de armas em Nova York, o FBI parece ter adquirido a capacidade de visualizar bate-papos criptografados. No entanto, ainda existem problemas e pontos cegos: na trama fracassada do sequestro da governadora de Michigan, Gretchen Whitmer, o FBI testemunhou que algumas evidências podem nunca ser vistas, pois estão criptografadas e armazenadas em servidores no exterior, onde as agências nacionais têm poucas chances de recuperá-las.

Os princípios básicos da abordagem da segurança pública para serviços de mensagens criptografados

Como as autoridades de segurança pública coletam evidências de aplicativos de mensagens criptografadas?

Em primeiro lugar, a busca por evidências digitais requer um mandado, independentemente do formato, localização em um dispositivo ou se estão armazenadas na nuvem. E, assim como os mandados usados em buscas físicas, eles exigem um escopo específico: o que a polícia está procurando, onde é mais provável que seja encontrado e onde faz sentido procurar? Quaisquer equívocos ou erros no procedimento nas primeiras etapas de uma investigação podem ser irreparáveis para o caso. Portanto, uma das bases mais importantes é o escopo legal e os mandados que permitem que as autoridades policiais utilizem os diferentes métodos usados na obtenção legal de evidências, mesmo por meio de aplicativos de mensagens criptografadas.

Existem dois métodos para superar a criptografia que podem ser simplesmente descritos como: a) ter a chave de desbloqueio; ou b) garantir que o bloqueio nunca ocorra. As ferramentas que usam força bruta ou outros métodos inteligentes para a descriptografia podem ser consideradas como as primeiras. Várias ferramentas foram criadas com o propósito de tentar replicar “a chave” e muitas se mostraram eficazes. Uma abordagem comum é a “força bruta”, que usa unidades de processamento gráfico (GPUs) robustas que podem tentar aplicar dezenas de milhares de chaves por segundo até que a criptografia seja revelada. No entanto, o poder e a complexidade da criptografia aumentam no ritmo alucinante da tecnologia e nenhum método permanece relevante por muito tempo.

Alternativas de acesso permanentes de aplicativos criptografados podem ser consideradas nos casos em que o bloqueio nunca ocorreu. Pode ser simples: em alguns aplicativos, se o telefone estiver desbloqueado, o aplicativo também estará desbloqueado, o que significa que pode ser aberto e as mensagens visualizadas se o usuário o tiver deixado aberto e conectado. Em outros, o desenvolvedor do aplicativo pode ser o único com uma alternativa de acesso – e, em alguns casos, até mesmo eles podem não conseguir realizar a descriptografia após a criptografia.

Também há recursos legais: no Reino Unido, de acordo com a Lei de regulamentação dos poderes de investigação de 2000, Seção 49, a segurança pública tem autoridade para obrigar as pessoas a fornecerem senhas de dados criptografados com pena máxima de dois anos de prisão em caso de não cumprimento. Entretanto, o detetive inspetor David Greenhalgh, da Polícia de Leicestershire, diz que o know-how técnico e a cooperação com empresas de tecnologia não são as únicas maneiras de acessar dados criptografados: “Como um exemplo prático, a maioria das pessoas usa as mesmas senhas em vários dispositivos e contas. Pode parecer pouco tecnológico, mas, provavelmente, é a maneira mais comum de acessar dados criptografados.”

Segurança pública e big tech

As empresas de tecnologia não podem alegar ignorância quando se trata de como as pessoas usam os serviços de mensagens criptografadas. Embora a privacidade pessoal seja fundamental, especialmente em um ambiente digital com tantas ameaças e um ambiente global de desconfiança, essas empresas estão cientes de que proteger todas as mensagens significa que estão invariavelmente protegendo alguns criminosos e comportamentos criminosos. É uma fração cada vez menor, mas, no entanto, é uma ameaça real que precisa ser tratada.

Embora as grandes corporações tenham equipes internas que podem auxiliar nas investigações, elas podem não conseguir agir com rapidez suficiente para proteger vidas e acelerar a justiça.

A maioria das grandes empresas tem equipes profissionais jurídicas e de segurança com protocolos que auxiliam a segurança pública, especialmente em casos urgentes ou mesmo em crimes em andamento, onde o acesso a informações criptografadas pode evitar a perda de vidas. Entretanto, nos casos em que eles não conseguem agir com rapidez suficiente, cabe à segurança pública usar seus próprios métodos, conforme descrito acima, a fim de proteger vidas e acelerar a justiça, preservando a privacidade dos dados.

A Cellebrite tem uma estrutura robusta e transparente que governa o uso legal de nossa tecnologia e mantém um equilíbrio adequado entre os interesses da segurança pública e a privacidade pessoal. Como sempre, é importante ressaltar que estamos falando sobre o acesso legal e a coleta de dados com solidez forense no âmbito de um mandado legal.

Nossas soluções somente podem ser usadas de forma legal – conforme as leis das jurisdições locais, uma ordem ou mandado judiciais – e somos firmes em garantir que apenas clientes licenciados e treinados usem nossas ofertas para os fins legais e necessários a investigações sérias.

Uma perspectiva global sobre a criptografia em ascensão

Obviamente, a criptografia representa um problema para a segurança pública internacional, já que a tecnologia desconhece fronteiras e a população, cada vez mais conectada, pode acessar praticamente qualquer aplicativo de qualquer lugar do planeta.

Em todo o mundo, a segurança pública equilibra a necessidade de realizar a investigação digital com seus privilégios de acordo com o estado de direito nacional e o respeito pela privacidade dos cidadãos. O escopo da pesquisa tornou-se um fator importante nas investigações que envolvem dados criptografados. Assim como os policiais são treinados no escopo do mandado para buscas físicas, eles também estão sendo continuamente treinados para gerenciar o escopo em investigações digitais. Como afirma inspetor-detetive Greenhalgh da Polícia de Leicestershire: “Quando essas táticas são consideradas, devemos trabalhar em etapas proporcionais, legais, necessárias e éticas para garantir que temos as autoridades corretas em vigor para agir.”

Kevin Levy, comandante da Divisão Cibernética do Departamento de Polícia Móvel no Gulf Coast Technology Center (GCTC), expande as complexidades: “Não é suficiente apenas apreender legalmente o próprio dispositivo: é preciso haver uma perspectiva virtual, em nuvem e global na busca pelas evidências investigativas. Muitas vezes, os aplicativos são meros portais que permitem acesso digital a dados e imagens armazenados em servidores a milhares de quilômetros de distância, ou como parte de ambientes virtuais em nuvem.”

Independentemente dos desafios, a segurança pública permanece comprometida com o resultado final: a justiça. Como Tuan Liang Lim, Diretor perícia digital e da informação da Home Team Science and Technology Agency (HTX) do Ministério de Assuntos Internos de Singapura, disse: “O aumento de aplicativos criptografados não é surpreendente, dada a demanda por privacidade, falta de confiança na segurança pública e desinformação crescentes. A segurança pública sempre responde a esses desafios de frente, contando com o trabalho árduo e a colaboração com parceiros que compartilham a mesma opinião. Nossa missão de fazer justiça é o que continua a nos motivar”.

Como evoluirá a resposta legal, policial e governamental à criptografia?

É fácil prever que os consumidores exigirão ainda mais privacidade e segurança nos próximos anos. Em resposta, as empresas privadas produzirão aplicativos de mensagens criptografadas mais variados e robustos. Ao mesmo tempo, os órgãos legisladores exigirão responsabilidade das empresas de tecnologia e da segurança pública, ao mesmo tempo em que esperam que a polícia continue a fazer o seu trabalho de prevenção e solução de crimes, além de garantir que a justiça seja feita. Mas mesmo que valorizem a privacidade, a tecnologia e a segurança pública devem trabalhar em conjunto para instruir o público em geral sobre como a tecnologia pode ser usada de forma legal para proteger e salvar vidas, acelerar a justiça e preservar a privacidade dos dados no combate ao crime, bem como impedir os piores criminosos.

O escopo da pesquisa tornou-se um fator importante nas investigações que envolvem dados criptografados. Os policiais precisam ser continuamente treinados para lidar com o escopo em investigações digitais, da mesma forma que são treinados no escopo do mandado para buscas físicas.

Como sociedade digital, precisamos encontrar um equilíbrio entre legislação, expectativa cultural, limites tecnológicos e nossos próprios anseios pessoais de segurança e privacidade. É um equilíbrio complicado de se atingir, mas ficaremos mais seguros e protegidos quanto mais conhecermos e entendermos o vaivém de um mundo com tantos serviços de mensagens criptografadas que oferecem diferentes subterfúgios para se esconder.

A segurança deve continuar a evoluir com o treinamento voltado para o futuro e um compromisso contínuo com as perspectivas técnica e logística (ou seja, as ferramentas e os métodos que permitem lidar diretamente com a criptografia e garantir bons resultados em todos os casos que envolvem evidências digitais) e, acima tudo, uma continuação das parcerias produtivas com agências governamentais, órgãos legisladores e a indústria de tecnologia.

Para institutos como o GCTC, esse trabalho já começou. O GCTC tem observado um aumento drástico nas solicitações de acesso e recuperação legais de evidências digitais de ambientes virtuais criptografados e seguros. É esta a principal razão por trás do investimento em pesquisa e desenvolvimento em tecnologias de segurança pública de última geração que permitam que os investigadores e os analistas tenham maior precisão por meio de práticas e soluções forenses digitais refinadas.

Na Cellebrite, temos o compromisso de ajudar nossos clientes a solucionar os desafios de criptografia e obter acesso aos dados em investigações criminais de acordo com o exigido pela lei. Vivemos em um mundo em constante evolução, em que a privacidade e a segurança devem ser continuamente contrabalançadas e equilibradas em relação à necessidade de as agências internacionais de segurança pública cumprirem, com rapidez e eficiência, o dever de proteger o público e cumprirem as leis e costumes que permitem que a sociedade continue a fazer esses incríveis avanços tecnológicos.

Sobre o autor: Mark Gambill supervisiona a organização global de marketing da Cellebrite, incluindo: marketing de produtos, publicidade, promoções, relações públicas e com analistas, marketing de campo, mídias sociais e digitais, gestão de marca e eventos corporativos. Mark tem mais de 20 anos de experiência em marketing executivo em um conjunto diversificado de setores de tecnologia, com concentração em Big Data, IA, aprendizagem de máquina e Augmented Analytics. Antes de ingressar na Cellebrite, atuou como CMO na MicroStrategy e ocupou cargos executivos de liderança em marketing em empresas privadas e públicas ao longo de sua carreira empresarial.

Share this post