Fonte próxima do processo garante que a tecnologia usada pelo gestor fugido à justiça é israelita, e uma notícia do fim de semana adiantava mesmo que a plataforma usada dá pelo nome de Kindite. Mas em ambos os casos, por muito boa que seja, a cifra não dá garantias de que os utilizadores não podem ser localizados pelas autoridades.
“Até acredito que não tenha havido acesso aos conteúdos (da entrevista), mas não me surpreenderia nada que as autoridades nacionais consigam o acesso aos metadados gerados durante a entrevista à CNN, se quiserem”, explica Henrique Corrêa da Silva, líder da Privus, empresa portuguesa que tem vindo a explorar comercialmente uma plataforma encriptada para entidades nacionais e que teve como primeira grande prova de fogo uma solução usada durante a Presidência Portuguesa da UE.
Fonte próxima da investigação assegura ao Expresso que a tecnologia de encriptação usada por João Rendeiro enquanto esteve foragido na África do Sul era israelita permitia comunicar "de forma indetetável" com a família e amigos. Logo após a detenção do banqueiro em Durban, no sábado, Luís Neves, o diretor da Polícia Judiciária, referiu em conferência de imprensa que o ex-banqueiro usava uma tecnologia avançada que custa "uma exorbitância".
O Expresso perguntou a várias fontes da Polícia Judiciária qual o tipo de tecnologia e empresa israelita que era usada nas comunicações do ex-banqueiro mas o assunto é considerado delicado na investigação e não houve explicações detalhadas sobre o assunto. "É um trabalho de cooperação com as autoridades judiciárias sul-africanas que está longe de terminado", refere uma dessas fontes.
Pouco depois da detenção, a SIC Notícias dava conta de que a plataforma usada por João Rendeiro durante a entrevista dada à CNN se chama Kindite – uma marca de origem israelita que foi comprada recentemente pela americana RingCentral e que os especialistas dizem não ser propriamente um sucesso comercial retumbante nem ser muito mais sofisticada quando que outras plataformas como Whatsapp ou Signal.
Fontes contactadas pelo Expresso admitem, porém, que a descrição de Luís Neves, sobre uma plataforma que apresenta uma complexidade tecnológica acrescida e tem também origem israelita encaixa mais no perfil de uma empresa conhecida por Kaymera.
As soluções da Kaymera juntam à cifra garantida pelos algoritmos a proteção de componentes de hardware. O que tanto pode ser garantido através de um cartão SIM que liga à rede telefónica, um qualquer chip no interior que garante a segurança das chaves criptográficas, ou apenas um cartão com tecnologia smartcard que ativa autenticações ou garante a aplicação de chaves criptográficas.
“Há telemóveis com estes componentes de segurança que tornam quase impossíveis a interceção por parte das autoridades”, refere Manuel Eduardo Correia, professor da Faculdade de Ciências da Universidade do Porto e especialista em segurança da informação.
“Mesmo que apanhem estes telemóveis especiais, as autoridades podem não conseguir aceder ao sistema de autenticação (que permite aceder comunicações ou repositórios cifrados), no caso de a chave criptográfica privada de cada utilizador estar bem implementada dentro do chip que a protege. Já é um trabalho para os laboratórios como os da NSA (sigla em inglês da Agência Nacional de Segurança dos EUA), e mesmo assim…”, acrescenta.
Plataformas dão apoio às autoridades
A cifra pode ser especialmente robusta em sistemas como aqueles que são produzidos e comercializados pela Kaymera, mas isso não evita que essas empresas sejam obrigadas a ceder dados às autoridades. O que deixa uma porta aberta para uma potencial cooperação com as autoridades portuguesas, caso descubram que a plataforma é usada por um qualquer suspeito e pretendam aceder a metadados, que podem revelar os números de IP (do Protocolo Internet), que podem revelar localizações e serviços comerciais usados nas comunicações, entre outros dados úteis para fins de investigação criminal.
A PJ não revela qual a plataforma usada por Rendeiro, mas é possível confirmar no site oficial da Kaymera que os dados associados aos utilizadores podem ser retidos por questões legais e que a empresa colabora mesmo com as autoridades locais. “Em algumas circunstâncias, a Kaymera Technologies LTD pode ser obrigada revelar Dados Pessoais se exigido para o fazer por lei ou em resposta a solicitações válidas das autoridades públicas (por exemplo de um tribunal ou de uma agência governamental)”, refere o endereço da Kaymera.
Também não há confirmação oficial de que o ex-banqueiro usou a Kindite, mas sabe-se que a Kindite foi comprada pela RingCentral, que é uma empresa americana, e nos EUA, desde os tempos das revelações de Edward Snowden, há muito que surgem notícias de acessos às comunicações através dos denominados backdoors, do mesmo modo que nunca esmoreceu um longo debate que tem por foco a renitência das empresas tecnológicas em fornecer dados às polícias.
No site da RingCentral pode ler-se o seguinte: “Agências governamentais dos EUA e as forças da lei podem exigir dados armazenados nos EUA". A RingCentral refere ainda que "está legalmente obrigada a cumprir as solicitações legais”. A empresa informa que tem servidores a operar na Europa – mas poderá enviar alguns dados para servidores localizados noutros pontos do Globo, entre eles EUA.
Ainda que não seja possível apurar que a PJ poderá ter chegado a Rendeiro devido à entrevista da CNN, torna-se possível concluir que, mesmo com a cifra, pode solicitar-se a cooperação de autoridades de origem das plataformas para aceder a dados reveladores das atividades dos suspeitos. E no caso de se confirmar que foi mesmo usada uma plataforma cifrada que tem origem israelita, torna-se pouco plausível que não haja cooperação com as autoridades locais, tendo em conta o histórico de medidas securitárias do País.
É devido às restrições aplicadas pela cooperação com as autoridades de diferentes países que a Privus optou por estabelecer sede na Suíça. Com esta opção, a empresa mantém as origens e os profissionais em Portugal, mas apenas responde ao direito suíço, quando se trata de dar acesso a metadados, que revelam contactos, locais, durações entre informações variadas que podem ajudar na localização e identificação de suspeitos.
“Uma vez que obedecemos à lei suíça não estamos obrigados a reter os metadados um ano ou ano e meio, como acontece noutros países da Europa. E por isso guardamos esses dados apenas durante cerca de uma semana, mas apenas por questões técnicas”, refere Henrique Corrêa da Silva. “Não estamos no negócio da proteção de bandidos. Apenas fornecemos a solução a entidades estatais e grandes empresas. Se houver um simples suspeita sobre um dos utilizadores, essa pessoa fica suspensa de usar a solução”, acrescenta o gestor da Privus.
As chaves criptográficas estão longe de ser fáceis de quebrar – mas não são mais do que matemática – e com sucessões que podem contemplar milhares de algarismos que, para serem apurados, podem exigir operações tão complexas quanto a fatorização de múltiplos números primos.
Nos anos 1970 surgiram os primeiros pares de chaves criptográficas públicas e privadas. As primeiras protegem o canal que é usado por mais de uma pessoa, e as segundas autenticam os utilizadores e dão acesso a esse canal. As apps de comunicações cifradas, como Whatsapp e Signal permitiram juntar chaves privadas e públicas no mesmo telemóvel – mas acrescentaram-lhes um caráter temporário, que permite eliminar as diferentes códigos de segurança sempre que termina uma sessão.
Manuel Eduardo Correia admite que, mesmo as polícias, “possam ficar um pouco às cegas, caso não tenham a colaboração dos provedores desses serviços”.
“É um problema que envolve liberdade e privacidade dos utilizadores, mas por outro lado também temos os traficantes, os pedófilos e outros que usam os mesmos sistemas. Diria que cada caso é um caso (para análise)”, acrescenta.
Jorge Pinto, dirigente da Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI), considera que cabe às polícia mudarem de processos de investigação. E por isso considera que a cifra das comunicações deve ser mantida – e defende também que as autoridades não tenham acesso a qualquer tipo de backdoor que permita vencer a cifra e escutar ou intercetar comunicações. “Importa recorda que em vários países, há perseguições a jornalistas, ativistas, ou pessoas devido à orientação sexual ou política. Se enfraquecermos os sistemas de cifra pomos também em causa essas pessoas. Ao criar uma porta e ao atribuir uma chave a alguém, o que garante outra pessoa não descobre aquela porta e tenta abri-la, mesmo sem ter chaves?”, conclui.
As plataformas de cifra estão na moda mais que nunca. E é possível que o debate não termine tão cedo quanto isso.
