Ir direto ao conteúdo

A ‘bagunça’ da segurança digital das autoridades brasileiras

Práticas de operadoras e descuidos de autoridades criam oportunidades para invasores, segundo a programadora e pesquisadora Yasodara Cordova

     

    Quatro pessoas foram presas em 23 de julho de 2019 como parte das investigações do hackeamento das comunicações do ministro da Justiça Sérgio Moro e de procuradores do Ministério Público Federal.

    Os suspeitos presos são Walter Delgatti Neto, Danilo Cristiano Marques, Gustavo Henrique Elias Santos e Suelen Priscila de Oliveira. A ordem de prisão partiu do juiz Vallisney de Souza Oliveira, da 10ª Vara Federal de Brasília. Ele baseou sua decisão em investigações da Polícia Federal, órgão submetido ao Ministério da Justiça que deu início à apuração a pedido do próprio Moro, chefe da pasta.

    Conversas por mensagem entre Moro e os procuradores, especialmente Deltan Dallagnol, alimentam uma sequência de reportagens publicadas pelo site The Intercept Brasil, sozinho ou em parceria com outros veículos, como o jornal Folha de S. Paulo e a revista Veja e o site El Pais.

    Em depoimento divulgado pela imprensa no dia 26 de julho, o hacker Delgatti Netto declarou que procurou o jornalista Glenn Greenwald, diretor do Intercept, por causa de sua premiada série de reportagens que expôs o sistema de vigilância mantida pela NSA, agência do governo americano.

    “Qual o tipo de medida de segurança que o Ministério Público toma, qual a especificação técnica na hora de montar a rede corporativa interna e qual é o tipo de aparelhos de comunicação pessoal dentro de um ambiente de trabalho”

    Yasodara Córdova

    Programadora e pesquisadora

    Segundo ele, o conteúdo repassado a Greenwald veio exclusivamente de contas do Telegram. Além disso, negou ter recebido qualquer pagamento pelo fornecimento do material ao jornalista.

    À polícia, o suspeito detalhou o método que usou para penetrar no aplicativo das autoridades. Segundo ele, o ponto de partida foi o Telegram do promotor Marcel Zanin Bombardi, de Araraquara. Bombardi foi responsável por oferecer uma denúncia contra ele por tráfico de drogas. De Telegram em Telegram de integrantes do Judiciário, ele teria chegado em Moro, Dallagnol e outros integrantes da Operação Lava Jato.

    A desenvolvedora de software e pesquisadora brasileira Yasodara Córdova se diz “cética” a respeito do método descrito no depoimento do hacker. Córdova estuda governo, internet, inovacão e sociedade na Digital Kennedy School, na Universidade de Harvard, nos Estados Unidos. Ela também já foi especialista em internet do W3C e consultora técnica da ONU (Organização das Nações Unidas).

    Em entrevista ao Nexo, ela falou sobre vulnerabilidades e descuidos na esfera digital que podem facilitar a ação de hackers mal-intencionados.

    Como é possível ter acesso a tantos números de telefones celulares de autoridades, incluindo o presidente da República?

    Yasodara Córdova Número de telefone no Brasil é igual CPF. Ninguém nunca disse que é informação privada, então a coisa vai rolando. No marketing, é praxe usar listas e listas para segmentar [o público-alvo]. Na internet, é comum pegar os dados de todo mundo via listas de e-mail, por serviços de empresas, por exemplo. Tem vastas opções de sites que fazem isso na internet. Se você ligar e dizer que é jornalista, vão dizer que não vendem número de telefone. Mas, obviamente vendem. Até porque o WhatsApp Business [app voltado para proprietários de pequenas empresas] é um negócio no Brasil que vai muito bem, obrigada.

    Outro jeito de comprar números de telefones já segmentados é baixar bases de dados que estão na internet, vazadas de fontes oficiais como o INSS e o Bolsa Família. Nesses sites, é possível conseguir, além dos e-mails, os números de telefone celular.

    Também tem outras técnicas. Por exemplo, na época das eleições o povo usava plugin de navegador [um tipo de plugin são as extensões baixadas para bloquear anúncios, por exemplo] para capturar os números de telefone de todo mundo que estava dentro de grupos públicos de WhatsApp. Depois, é só segmentar por estado e disparar a notícia que convém, segmentando. Uma coisa de que não tenho certeza, teria de perguntar para a operadora, é se o IMEI [código único que cada dispositivo tem] transfere quando o dono adquire outro celular. RG, CPF e endereço geralmente estão atrelados ao chassi do aparelho que nem carro.

    Qual a vulnerabilidade das operadoras de telefonia que pode ter permitido a clonagem dos números desses aparelhos?

    Yasodara Córdova Não chamaria de vulnerabilidade, mas de uma prática das operadoras de telefonia. Como no Brasil o número fica passando para frente sempre, trocando de mão, o número fica meio público. Como falei ali do CPF. O número vai embora, fica circulando na internet.

    Vamos supor que você adquiriu uma linha nova e que outra pessoa tivesse colocado seu número antigo numa lista de e-mails desses, o número fica lá e você já trocou de celular. Por exemplo, empresas que fazem fraude, que fazem clonagem, que ficam ligando para velhinho do INSS, essas empresas se aproveitam dessa prática, de distribuição de telefone, porque o telefone não está definido como informação conectada à pessoa. Não sei nem se ele está coberto pela Lei de Privacidade. Ainda mais porque você tem um número, pode perder o chip e depois comprar outro número. Pode também desistir da operadora, e então a operadora toma aquele número e passa para outra pessoa.

    “Não está certo o juiz conversar com procuradores em um grupo fechado, em um app desenvolvido por uma empresa que não tenha passado por um processo de escolha pública. Isso é completamente fora de qualquer regra de segurança para autoridades.”

    Yasodara Córdova

    Programadora e pesquisadora

    Temos então um campo cinza em que o número não está atrelado a sua pessoa e, ao mesmo tempo, é um dado pessoal, muito conectado com sua intimidade, ainda mais hoje em dia que usamos celular para tudo.

    Então tem um problema que é essa prática das operadoras de distribuir números como se não fossem dados pessoais e temos um problema das empresas [de aplicativos de mensagens]. Ano passado, o WhatsApp distribuiu, distribuiu mesmo, números de telefone completos online porque eles têm um recurso que permite que as pessoas criem um link para um grupo e postem esse link no Facebook, em sites de discussão. Daí você entra em um grupo desses e tem acesso a esse conjunto de telefones celulares porque o WhatsApp não conseguiu mascarar o número naquela interface, tornando possível, via extensão no Google Chrome, entrar e baixar todos os números de telefone e ainda combinar com os detalhes das conversas. Você, pode detectar se a pessoa é mais de esquerda, mais de direita, se está com mais raiva ou menos raiva. Eu chamo isso de “Cambridge Analytica jabuticaba” porque ficou bem mais fácil segmentar mensagens instantâneas no WhatsApp.

    Qual a vulnerabilidade dos aplicativos de mensagens instantâneas que pode ter permitido o acesso a diálogos privados?

    Yasodara Córdova Temos de olhar isso de modo mais amplo. Eu acho que houve uma vulnerabilidade da prática da TI [Tecnologia da Informação] do Ministério Público. Meu chute é que quando os procuradores abriram o aplicativo deles no navegador [aplicativos como WhatsApp e Telegram têm uma “versão web”, que permite uso fora do celular, no computador] eles abriram a possibilidade de que dentro da rede corporativa do Ministério Público alguém tenha interceptado essas mensagens lá de dentro.

    Porque não faz sentido que eles tenham hackeado o telefone do Moro. Não tem mensagens divulgadas a partir do celular dele. Não tem nada que seja só do Moro, nenhuma linha que não seja conectada com o Ministério Público. Sempre as mensagens partem de uma fonte a partir do Ministério Público. Por isso, acho que veio de dentro da rede corporativa do Ministério Público. Por isso pergunto: qual o tipo de medida de segurança que o Ministério Público toma, qual a especificação técnica na hora de montar a rede corporativa interna e qual é o tipo de aparelhos de comunicação pessoal dentro de um ambiente de trabalho.

    Hoje, eu trabalho num lugar que me dá um telefone exclusivo para assuntos de trabalho e, além disso, eu tenho um telefone pessoal. Então, essas coisas não se misturam. Geralmente, para email, você tem um corporativo. Quando você vai embora, aquilo fica guardado para eventuais processos de auditoria. Foi assim com a Odebrecht. Quando a Lava Jato precisou investigar a Odebrecht anos depois, até hoje, está garantido que essas mensagens ainda existam.

    No caso do Moro e dos procuradores, como exercem funções públicas, toda a atividade profissional deles precisa estar registrada nos sistemas institucionais. Não é bagunça. Isso a gente vê que é muito levado a sério em outros países, mas o Brasil não leva isso nada a sério. E não é de hoje. [Bolsonaro] não é o primeiro presidente, [nem os alvos do ataque digital são os primeiros] juízes ou procuradores que preferem usar um celular sem segurança. Quem já trabalhou na esfera pública sabe que o Brasil não tem uma estratégia de segurança digital, muito menos para autoridades. Precisa haver uma discussão pública sobre a vulnerabilidade do Judiciário, sobre a falta de conhecimento técnico dos juízes que se reflete quando se conhece casos em que são julgados os chamados “crimes virtuais”. Quando se lê os processos se percebe o despreparo do Judiciário.

    Lembro de um caso que pedia ao Google e WhatsApp que apagasse todas as imagens “da internet” da boneca Momo [uma personagem que teria incitado crianças a cometer suicídio]. Isso mostra um desconhecimento completo.

    Que tipo de nível de conhecimento alguém precisa ter para poder fazer isso tudo?

    Yasodara Córdova Não é um conhecimento tão absurdo e rebuscado quanto estão querendo fazer crer. Tem muita empresa desses hackers estelionatários, que a gente chama de “micreiro” [de microcomputador]. Na minha hipótese, o caso de alguém ter invadido a rede interna corporativa do Ministério Público já é um pouco mais complicado, é necessário um conhecimento maior. No caso de ser alguém de dentro, basta conhecimento básico de administração de sistemas e já daria para a pessoa fazer uma coisa dessas.

    No caso desse “micreiro” [o hacker Walter Delgatti Neto] que foi preso ou de criminosos que praticam crimes via celular não é complicado, dá até para achar na internet ferramentas e tutoriais para aprender a fazer isso.

    O que as operadoras e empresas de aplicativos podem fazer para fechar essas brechas?

    Yasodara Córdova As empresas de telecomunicação brasileiras operam sob leis e regulamentos antigos. As regulações precisam de mais agilidade, de acordo com a velocidade do desenvolvimento tecnológico. Do mesmo modo, essas empresas têm de investir em segurança do cliente.

    Mas a nossa Lei Geral de Proteção de Dados só começa a valer mesmo a partir do ano que vem. Já a Anatel (Agência Nacional de Telecomunicações) simplesmente não menciona números de telefones colocados à disposição do público. Quanto às empresas que fabricam aplicativos, usa quem quer. Foi uma escolha dessas pessoas utilizar um aplicativo estrangeiro, cuja empresa não tem escritório no Brasil, que usa uma tecnologia própria, apesar de aberta e portanto auditável (o que não aconteceu), para executar funções do Estado. Quem tem que responder é o funcionário público, que tem as contas pagas pelo cidadão, não a empresa privada.

    Existe diferença de segurança entre celulares de altas autoridades e celulares de pessoas comuns? Quais medidas as autoridades brasileiras tomam para proteger suas comunicações?

    Yasodara Córdova Essa diferença deveria existir. Deveríamos seguir protocolos rígidos para comunicação institucional, especialmente para autoridades como o presidente, ou membros do Ministério Público. Essas pessoas deveriam ter um número para uso pessoal e outro para uso institucional, destituído de conexão com a internet.

    Juízes já têm aplicativos de agendamento eletrônico e existe agendamento eletrônico em alguns tribunais, assim como aplicativos que permitem a transparência da agenda do juiz para as partes envolvidas no processo.

    Não está certo o juiz conversar com procuradores em um grupo fechado, em um app desenvolvido por uma empresa que não tenha passado por um processo de escolha pública. Isso é completamente fora de qualquer regra de segurança para autoridades. Pelo visto, nossas autoridades misturam vida privada com profissional, colocando em risco suas atividades profissionais e, portanto, o seu dever cívico.

    Todos os conteúdos publicados no Nexo têm assinatura de seus autores. Para saber mais sobre eles e o processo de edição dos conteúdos do jornal, consulte as páginas Nossa Equipe e Padrões editoriais. Percebeu um erro no conteúdo? Entre em contato. O Nexo faz parte do Trust Project. Saiba mais.

    Mais recentes

    Você ainda tem 2 conteúdos grátis neste mês.

    Informação com clareza, equilíbrio e qualidade.
    Apoie o jornalismo independente. Junte-se ao Nexo!