No dia 19 de junho de 2019, mesmo dia em que o Ministro Sérgio Moro prestava esclarecimentos na Comissão de Constituição e Justiça do Senado Federal, a força tarefa da Lavajato, encabeçada pelo Ministério Público Federal (MPF) de Curitiba, publicou uma nota para imprensa esclarecendo que, diante da detecção de que os procuradores estariam sendo vítimas de ataque cibernético direcionado especificamente ao aplicativo Telegram, algumas contramedidas técnicas de proteção foram tomadas. Pelo que sustenta a nota, essas contramedidas foram tomadas para melhor proteção de dados dos procuradores. O objetivo deste artigo é discutir o impacto dessas contramedidas realizadas pelo MPF no tocante ao caso das revelações publicadas pelo Intercept Brasil.
Para organizar melhor o raciocínio, vamos primeiro construir uma linha de tempo para as contramedidas executadas pelo MPF. Em perícia forense computacional, a técnica de linha de tempo ajuda a estabelecer uma sequência de eventos que muitas vezes parecem confusos e desassociados quando não organizados temporalmente. É como se estivéssemos desemaranhando um novelo de lã. Organizar temporalmente é particularmente importante na questão que estamos discutindo, pois o “quando” foram apagadas as contas de Telegram dos procuradores da Lavajato pode ser muito significativo e revelador quanto às intenções deles. A tabela abaixo tenta estabelecer essa linha de tempo para as contramedidas mencionadas na nota:
| Contramedida | Referência na Nota do MPF | Quando |
|---|---|---|
| Trocar aparelhos e números funcionais | Também, imediatamente após as constatações, e antes que houvesse notícia, pública sobre a investida hacker, a força-tarefa comunicou os ataques à PGR e à Polícia Federal em Curitiba, que, uma vez que não prejudicaria, as linhas investigatórias em curso, orientou a troca dos aparelhos e dos, números de contato funcionais dos procuradores. | Entre abril e junho de 2019. Antes do primeiroartigo do Intercept* |
| Descontinuar o uso e desativar Telegram, com respectivo vapagamento das mensagens | os procuradores descontinuaram o uso e desativaram as contas do, aplicativo “Telegram” nos celulares, com a exclusão do histórico de, mensagens tanto no celular como na nuvem.’ | Não informado na nota. |
| Reativar Telegram | Houve reativação de contas para evitar sequestros de identidade virtual | Não informado na nota. |
*Em abril teria ocorrido o primeiro ciberataque, mas não é claro o que o MPF considera como “notícia pública sobre a investida hacker”, que representa o fim do marco temporal. Portando, consideraremos esse fim como sendo “antes que o Intercept tenha publicado o primeiro artigo”.
Devido aos termos usados pela nota, algumas pessoas, incluindo alguns jornalistas como o caro Plinio Bortolotti, ficaram na dúvida se a força tarefa da Lavajato teria de fato “apagado” as contas do Telegram ou se apenas teriam apagado as mensagens. Possivelmente, essa confusão se deve ao fato da nota ter usado o termo “desativar” para indicar o apagamento de contas. Contudo, o termo “desativar” (deactivate, em inglês) é justamente o jargão usado pelo Telegram para indicar o ato de apagar uma conta. Se lermos a FAQ do Telegram acerca desse tópico, somos orientados a acessar a página de “desativação” para conseguir apagar uma conta. Uma vez apagada a conta, o mesmo número de telefone pode ser reutilizado para realizar uma nova ativação, contudo sem nenhum acesso às mensagens antigas, pertencentes à ativação anterior que foi apagada. Além disso, a nota deixa claro que, posteriormente, os procuradores reativaram suas contas sem possibilidade de recuperação de backup. Essa reativação (sem backup) só ocorre quando a conta foi anteriormente apagada. Portando, é razoável dizer que a nota afirma que os procuradores apagaram suas contas do Telegram completamente, resultando no apagamento das respectivas mensagens. Salta aos olhos, porém, o que a nota não diz, que é o “quando” se deu esse apagamento de contas e, por conseguinte, das mensagens nelas contidas.
A nota da Força Tarefa da Lavajato está escrita de forma que, em primeira leitura, pode-se entender que o marco temporal exposto (depois do primeiro ataque, mas antes da revelação pública das mensagens) se refere a todas as contramedidas citadas. Contudo, uma leitura mais atenta esclarece que apenas a contramedida de troca de aparelhos e números funcionais é que está associada a esse marco temporal. Ou seja, o MPF apenas informa o “quando” para o ato de troca de números e aparelhos, deixando todo o resto (inclusive o apagamento de contas) sem indicação de quando ocorreu. Dessa forma, a nota opta por não dar detalhes de quando de fato houve a desativação de contas no Telegram dos procuradores da Lavajato. Não se sabe, também, se a omissão dessa informação foi intencional ou se foi resultado de algum lapso na produção da nota, mas, ainda assim, o fato da nota ser confusa quanto a essas datas merece destaque. Especialmente, porque o momento preciso no qual foram apagadas as contas dos procuradores é muito significativo. Havendo investigação em curso e, especialmente, havendo enorme interesse público acerca dessas mensagens, porque não preservar as contas intactas? As possíveis justificativas dependem muito do marco temporal, o “quando” as mensagens foram apagadas. Será que apagaram antes de iniciadas as revelações do Intercept ou será que foi depois? Será que apagaram antes de iniciadas as investigações da Polícia Federal (PF), ou será que foi depois? Felizmente, ainda é possível responder a essa pergunta e a resposta está nos metadados.
Metadados são pedaços de informação que estão associados aos nossos dados e que apresentam características importantes a respeito deles, mas não são exatamente o foco principal. A hora de envio ou o destinatário de uma mensagem são exemplos de metadados, muito embora o texto do conteúdo da mensagem seja o foco principal. Assim, existem vários metadados registrados nos servidores do Telegram a respeito de nossas interações com seu serviço de mensagens. Existe um registro que indica quando fizemos nosso primeiro cadastro, existe outro dizendo quando adicionamos um novo contato em nossa agenda, existem metadados para todas as mensagens que enviamos, com hora, data e até o tamanho em bytes da mensagem. A questão dos metadados é o principal calcanhar de Aquiles dos aplicativos de mensagens pois, mesmo usufruindo de técnicas criptográficas avançadas, esses serviços ainda guardam em seus registros esses rastros do que fazemos em suas plataformas. Assim, existe um registro preciso de quando os procuradores usaram o Telegram pela última vez e de quando apagaram suas respectivas contas na plataforma. Está tudo registrado nos servidores do Telegram e é mantido por 12 meses por eles, mesmo quando as contas ou as mensagens são completamente apagadas. Dessa forma, ainda que a informação de quando uma conta no Telegram tenha sido apagada não possa ser produzida de forma direta pelo usuário, essa informação pode ser obtida por meio pericial, sem grandes desafios técnicos, através dos metadados contidos nos servidores do telegram.
Resolvida a questão da linha do tempo, especialmente de quando os procuradores apagaram suas contas, vamos discutir a pertinência dessa estratégia utilizada pelos procuradores (apagar a conta). Será que apagar de imediato a conta do Telegram é a melhor resposta para um ataque cibernético que potencialmente tivesse “clonado” uma conta do aplicativo? A resposta é não. Para entender esse “não”, vejamos o que acontecesse quando apagamos (desativamos) uma conta no Telegram. Quando apagamos nossa conta no Telegram, o que fazemos é apagar nossa identidade na plataforma. Por conta disso, o Telegram também apaga as mensagens que estavam diretamente relacionadas a essa identidade de seus servidores. Isso não significa, porém, que as mensagens sejam apagadas de outros telefones. Na verdade, optar por apagar a conta depois de ter sido vítima de um ataque como esse que teria acontecido com os procuradores da Lavajato é contraproducente. A primeira coisa que deveria ter sido feita deveria ter sido desconectar quaisquer “clones” da conta de Telegram afetada depois de fazer o registro pericial dos endereços IP de acesso desses clones. Concomitantemente, a ativação da verificação de duas etapas também deveria ter sido realizada. Esses procedimentos teriam preservado as evidências periciais do ataque, incluindo a própria conta de Telegram afetada, e seriam suficientes para destruir todos os “clones” que tivessem sido criados, além de apagar quaisquer mensagens privadas que estivessem em cache nesses clones. Se o objetivo é conter um ciberataque de “clonagem” de Telegram, essas são as melhores saídas. Contudo, os procuradores da Lavajato optaram por apagar suas contas no Telegram, uma estratégia inusitada que tem pouco efeito prático para identificar o atacante ou mesmo conter o vazamento de dados roubados. Na verdade, o resultado operacional da estratégia usada pelos procuradores (apagar suas contas no Telegram) diz respeito muito mais a um princípio da segurança da informação conhecido como “não repúdio”. O princípio do “não repúdio” relaciona-se à capacidade técnica de atribuição de autoria a determinado dado ou ação cibernética. É do que Bancos se utilização para impedir que alguns “clientes” neguem (ou repudiem) que fizeram uma compra com cartão de crédito, por exemplo. Nesse caso, o banco assegura o não-repúdio através de um rastro digital de que o cartão de crédito físico foi utilizado, mediante senha pessoal, durante a transação financeira. Esses elementos asseguram, em princípio, que o titular do cartão realizou a transação contestada e, assim, ele não pode “repudiar” a dívida. Quando apaga-se uma conta de Telegram, em suma, o que se faz é destruir a capacidade de aplicação direta do princípio do não-repudio para aquela conta apagada dentro da plataforma. Mais especificamente, apagar uma conta no Telegram faz com que seja removida a identificação do remetente de todas as mensagens já enviadas pela conta. Isso pouco ajuda na contenção do dano cibernético de expor dados sigilosos. As figuras abaixo mostram como ficam mensagens do Telegram que foram “roubadas em laboratório”, depois que a conta de respectiva titularidade foi apagada:
Onde deveria aparecer o identificador do remetente, aparece apenas “conta excluída”. Como podemos ver, o efeito prático resultante de se apagar uma conta de Telegram é dissociar a mensagem enviada da identidade de quem a enviou. Ou seja, o eventual responsável por subtrair as mensagens da Lavajato passa a ter mais dificuldades (apesar de ainda ser possível) em comprovar que tais mensagens vieram dos procuradores. Desse modo, a estratégia de apagar a conta do Telegram protegeria os procuradores apenas pelo sentido de que dificulta a determinação de autoria. Por outro lado, essa mesma estratégia não protege de forma adequada o sigilo dos dados vazados nem muito menos ajuda na determinação pericial da identidade do atacante.
Como discutido ao longo do artigo, o resultado concreto da iniciativa de apagar contas de Telegram, usada pelos procuradores da Lavajato, é, quase que exclusivamente, preservar o sigilo da(s) autoria(s) das mensagens vazadas, já que a identificação do remetente é destruída com o apagamento da conta. Felizmente, existem técnicas que podem ser usadas para atestar a autoria (e até mesmo o conteúdo) dessas mensagens, mesmo dentro deste cenário experimentado pelos procuradores. Tudo vai depender da forma com que as mensagens estão armazenadas atualmente e como elas foram repassadas ao Intercept Brasil. Deixarei essa discussão para um próximo artigo, onde falarei sobre a viabilidade de realização de perícia que possa legitimar as mensagens de Telegram no caso Vazajato, publicadas pelo Intercept Brasil, mesmo na situação onde as contas de Telegram dos procuradores tenham sido apagadas (e mesmo que todas as mensagens tenham sido excluídas dos servidores em nuvem).