Hacker do STJ e ProtonMail: email criptografado contra rastreamento

Recentemente um hacker (ou talvez um grupo) “sequestrou” os servidores do Superior Tribunal de Justiça com um ransomware (um tipo de software nocivo que restringe o acesso ao sistema infectado com uma espécie de bloqueio e cobra um resgate para que o acesso possa ser restabelecido) e o e-mail deixado para contato era s1t2j3@protonmail.com

Mas o que é esse ProtonMail?

A ProtonMail é uma empresa fundada em 2013 por cientistas que foram atraídos por uma visão conjunta de uma internet mais segura e privada. Por isso, eles desenvolveram um serviço de e-mail de mesmo nome situado na suíça que oferece encriptação de dados para os seus usuários.

Por que é seguro?

O principal motivo se dá no fato da empresa estar estabelecida na Suíça, país onde as leis de privacidade de indivíduos e de empresas são mais fortes. Além disso, o serviço conta com criptografia ponta-a-ponta de código aberto, garantindo que os algoritmos de encriptação utilizados não têm portas ocultas.

A empresa não possui as chaves necessárias para descriptografar os e-mails dos usuários. Mesmo e-mails entre contas não ProtonMail não podem ser descriptografados nos servidores, graças ao uso de criptografia de acesso zero.

A autenticação e criptografia são segregadas, de modo que o ProtonMail não pode obter os seus dados. Como a empresa não pode acessar o seu email, ela também é incapaz de responder uma requisição do governo. A equipe afirma que o usuário estará 100% anônimo, não haverá rastreamento de IP e não ocorrerá nenhum log de dados no ProtonMail.

E o que tem demais na Suíça?

No caso do ProtonMail, todos os dados do utilizador estão protegidos pela lei federal de proteção de dados suíça (DPA) e pela portaria da proteção de dados suíça (DPO) que oferecem uma das proteções de privacidade mais fortes do mundo, tanto para indivíduos como para empresas. Como o ProtonMail está fora da jurisdição dos EUA e da UE, só uma ordem judicial do Tribunal Cantonal de Genebra ou do Supremo Tribunal Federal Suíço nos pode obrigar a fornecer as extremamente limitadas informações dos utilizadores que temos.

A Suíça também tem uma longa história de privacidade e segurança, que remonta a mais de um século, e suas leis protegem muito mais os direitos individuais de privacidade.

Suíça tem programa que ensina crianças sobre privacidade online

COVID-19 | Como a Suíça rastreia a doença sem ferir privacidade dos cidadãos

Quase todos os países do mundo possuem leis que regem a interceptação legal de comunicações eletrônicas para fins de aplicação da lei. Na Suíça, esses regulamentos são definidos na Lei Federal Suíça sobre Vigilância do Tráfego Postal e de Telecomunicações (SPTT), e a presente interpretação não sujeita ProtonMail a nenhuma diretiva de retenção de dados obrigatória; nem os impõe uma obrigação total de identificar os usuários. Além disso, como uma empresa suíça, a ProtonMail também não pode ser obrigada a realizar vigilância em massa em nome de agências de inteligência dos EUA, qualquer outra país ou Organização Internacional.

Lembrando que no Brasil (ou Ilha de Vera Cruz, ainda com a mentalidade de colónia) a interceptação de comunicações telefônicas e do fluxo de comunicações em sistemas de informática e telemática (o que abrange o e-mail) é regulada pela Lei de Interceptação Telefônica (9.296/96) que recentemente foi alterada pela Lei nº 13.964/2019 (lei simbólica apelidada de pacote anticrime, como se alguma lei penal não fosse anticrime).

Segundo a lei supracitada, a autorização judicial para a interceptação das comunicações exige alguns requisitos cumulativos:

  • Investigação criminal ou instrução processual penal;
  • Indícios razoáveis da autoria ou participação;
  • A prova ser o único meio disponível;
  • O fato investigado constituir infração penal punida com reclusão.

Como bônus se o Supremo Tribunal Federal achar necessário, abre um inquérito criminal de ofício para investigar o que bem entender, e o limite legal é desconhecido. Entenda o inquérito do Supremo que investiga ameaças à Corte e veja os pontos polêmicos.

Felizmente como a própria ProtonMail não pode acessar o seu e-mail, ela também seria incapaz de responder uma requisição judicial. Não temos um limite legal, mas temos um limite real.

E na prática?

Recentemente a Rússia decidiu que seria uma boa ideia bloquear o ProtonMail no país. Segundo o Serviço Federal de Supervisão de Comunicações, Tecnologia da Informação e Meios de Comunicação de Massa, Roskomnadzor, o ProtonMail se recusou a colaborar com o governo russo, que teria requisitado informações. É um bom sinal né? Vale citar que um bloquei desse tipo é inútil, já que qualquer internauta com um pouco mais de conhecimento técnico poderá usar uma VPN (Virtual Private Network) para continuar utilizando o serviço.

Então é só isso que os hackers usam?

Não. Há outros serviços de e-mails anônimos, inclusive mais “undergrounds”, além de usarem vários proxys, VPNs e/ou circuitos de retransmissão. Nada que torne o indivíduo 100% blindado, pois ainda são seres humanos e eventualmente cometem algum erro. É um divertido joguinho de gato e rato, com muita gente boa jogando.

Qual a utilidade?

Eu sei que agora você está pensando: mas eu sou um cara “do bem”, não preciso ficar usando um e-mail criptografado. Calma Tonho, toda ferramenta é útil em algum momento. Talvez HOJE você não precise, mas amanhã é um novo dia e do nada “Há algo de podre no reino da Dinamarca”.

Sendo um pouco mais direto e trabalhando com exemplos, você pode usar para algum tipo de denúncia anônima, ou para trocar informações com alguma fonte que precise de anonimato, ou simplesmente para garantir que as gigantes do vale do silício (Google, Microsoft, etc) não tenham acesso aos seus dados, etc.

A ferramenta está aí, a forma de usar vai da criatividade e necessidade do usuário, mas tente se manter dentro dos limites legais e evite problemas.

LEAVE A REPLY

Please enter your comment!
Please enter your name here