Por 01010001
Dos primeiros celulares até os smartphones passaram-se mais de quarenta anos. O smartphone já não é mais apenas um telefone: é um computador de bolso que, entre outras coisas, funciona como um telefone. Compare um smartphone com um celular simples: o smartphone permite ler e-mails, escrever textos, acessar internet, um monte de funções que, antes, precisavam de um computador. Os smartphones, antes caríssimos, têm hoje modelos populares, mais caros que os celulares simples mas mesmo assim ao alcance do orçamento de pessoas mais pobres. Há uma vulnerabilidade, entretanto, que os smartphones compartilham até mesmo com os telefones movidos a manivela: a interceptação telefônica, ou grampo.
Você com certeza já viu em algum filme antigo cenas em que a ligação telefônica era bem “diferente”: a pessoa ligava para uma telefonista e dizia o número da pessoa com quem queria falar; a telefonista atendia, recebia o número destinatário, conectava uma ponta de um fio num painel gigantesco e depois a outra ponta em outro buraco do mesmo painel. Nas ligações telefônicas atuais a telefonista foi substituída por centrais que automatizaram todo o processo, mas o funcionamento é bastante semelhante. Você também deve ter visto muito filme de espionagem com várias “técnicas” de interceptar ligações telefônicas, desde um sujeito pendurado num poste mexendo nos fios até invasão de satélites. Há um pouco de verdade e um pouco de exagero, de licença poética em cada uma destas cenas; o fato por trás delas, a interceptação telefônica (ou grampo), é bastante real.
Para entender como funciona a interceptação telefônica, veremos noções básicas do funcionamento de um telefonema, depois algumas técnicas de interceptação de ligações feitas por smartphones e celulares, e por último aquela que parece ser a principal, senão a única, técnica de defesa ao alcance de pessoas sem conhecimento técnico especializado.
Como funciona a ligação de um celular
Digamos que você queira ligar para uma amiga. Você digita o número dela, e ouve no seu aparelho que o telefone começou a chamar. O telefone chama algumas vezes, sua amiga atende, e vocês começam a conversar. Mas o que acontece, no plano técnico, para que vocês possam conversar?
O número de um telefone é único. Ele serve como um “endereço” para que a ligação telefônica possa ter um “remetente” e um “destinatário”, do mesmo jeito que uma carta precisa do endereço de quem envia e do endereço de quem recebe. Sem um número, um aparelho não pode usar a rede telefônica para fazer ou receber chamadas. Num telefone fixo, este endereço é dado dentro de uma complexa hierarquia técnica de equipamentos, dos quais o armário de distribuição é a parte mais conhecida do público, interligada por uma igualmente complexa hierarquia de cabos telefônicos. E num celular, como isto funciona?
O telefone celular tem este nome por causa da sua técnica de comunicação. Para resumir uma explicação bastante complexa, basta dizer que a rede telefônica usada pelos celulares é praticamente a mesma que a dos telefones fixos até chegar naquelas enormes torres de celular, chamadas de estação rádio base (ERB). Cada ERB cobre uma área, chamada de célula no jargão técnico das telecomunicações: quanto mais ERB houver, maior será a quantidade de células.
Na periferia de uma cidade e nas zonas rurais, as células podem ser bem grandes, com quilômetros de diâmetro. Na cidade, elas são bem menores, chegando a poucas dezenas de metros nos centros mais movimentados. Isso porque obstáculos como prédios altos bloqueiam as ondas de rádio, limitando seu alcance. Além disso, quanto mais pessoas circulam por um local, mais células ele precisa ter, senão corre-se o risco de não haver frequências de rádio disponíveis para todas as ligações efetuadas dentro da célula.
O telefone se comunica com a ERB através de ondas de rádio, com um canal especial só para telefones. O uso do rádio como parte integrante da técnica de comunicação dos celulares é tão importante que os walkie-talkies são hoje considerados um seu antecessor bem remoto. Em cada ligação existem dois canais de rádio, cada um transmitindo de um celular para o outro — do contrário, se houvesse apenas um canal por ligação, somente uma pessoa falaria a cada vez, como se fosse um walkie-talkie.
Ao ligar para o número de sua amiga, seu celular enviou um pedido: “quero ser conectado ao número que foi digitado”. Este pedido é enviado por ondas de rádio, numa sintonia que só vai funcionar para esta ligação. O pedido é captado pela estação ERB da célula onde você está.
A ERB tenta localizar o número de sua amiga. Primeiro procura se ele está na mesma célula que você. Se estiver, ótimo, ela mesma completa a ligação. Se o número de sua amiga não estiver na mesma célula que você, a antena ERB “conversa” (via cabo ou micro-ondas) com a Central de Comutação e Controle (CCC), que tem um banco de dados atualizado a cada segundo, informando em qual célula está cada aparelho da cidade. Ao receber da ERB um pedido para achar um número, a CCC manda a informação da chamada para a estação da célula de destino, lá onde está o número de sua amiga. Tudo isto acontece em menos de um segundo.
Como um celular sabe identificar o outro? Onde ficam estas informações? No chip – ou cartão SIM, que é seu nome técnico. Ele serve para duas coisas: identificar você, e criptografar a ligação. A função principal do chip é armazenar dados básicos de identificação do aparelho, como informações do assinante, agenda, preferências (configurações), serviços contratados, SMS e outras informações. Outra função do cartão SIM é garantir um pouco de segurança e privacidade nas ligações. Por meio dele, o que se fala é criptografado, com o objetivo de embaralhar os dados da chamada para impedir que alguém próximo use um aparelho de escuta e ouça a conversa. Quando os dados chegam à operadora, eles precisam ser desembaralhados para serem novamente embaralhados de acordo com o código que será entendido pelo telefone de sua amiga. Entre essa decodificação e a nova codificação, a operadora possui os dados “limpos” da chamada, sem nenhuma segurança. Com uma ordem judicial, ela só precisa registrar esses dados em vez de simplesmente descartá-los.
Enquanto sua amiga não atende, antes mesmo de soar o tom de chamada, cada um dos dois aparelhos procura um canal de frequência que esteja livre. A estação ERB apresenta os canais livres aos aparelhos e informa a ambos os celulares quais serão os canais que cada aparelho usará durante a conversa. Isto feito, o som de chamada é ativado, e o celular de sua amiga começa a tocar. Isto é sinal de que a estação da célula onde ela está recebeu o comunicado da Central e transmitiu o pedido de seu celular: “quero ser conectado ao número que foi digitado”. Assim que sua amiga atende, os dois canais de rádio já definidos são ativados, e a conversa pode começar.
Se você ou sua amiga estão se movendo enquanto conversam, não tem problema. Como a área é coberta por várias antenas, cada uma na sua célula, o sinal da ligação vai sendo passado de uma célula para a outra. Os celulares são programados para perceber quando o sinal da sua célula está ficando fraco (são aquelas barrinhas do sinal); quando isto acontece, ele automaticamente busca outra célula mais próxima, que então procura um canal livre e avisa ao celular para trocar de frequência. Tudo é feito automaticamente, sem que o usuário perceba. Às vezes, porém, não há nenhum canal vago na nova célula — e então a ligação cai por falta de sinal.
Uma ligação grampeada
A ligação telefônica comum é a forma mais insegura de se comunicar, e o grampo hoje é muito mais sofisticado que o do passado. Antigamente era preciso fazer um grampo físico por meio de aparelhos de escuta inseridos em algum ponto da infraestrutura física das telecomunicações (cabos, centrais etc.), ou mesmo colocando microfones dentro dos telefones. Por este método, e a depender da técnica empregue, podia acontecer de se ouvir chiados e zumbidos, porque os fios dos microfones e dos aparelhos de escuta ralavam nos demais fios, interferiam na transmissão de sinais elétricos, causavam mau contato, etc. Era comum, também, que a escuta fosse feita por alguém no outro lado da linha, que ouvia tudo e depois colocava o telefone no gancho.
Acontece que dentro da empresa telefônica o áudio da ligação telefônica feita por celulares corre limpo: qualquer pessoa que tenha acesso a este áudio limpo poderá ouvir as ligações. Embora isto só possa acontecer com autorização judicial, isto não impede alguém interessado em escutar ligações de aproveitar esta brecha de segurança.
O problema, entretanto, não está apenas nas operadoras telefônicas. O celular também pode ser grampeado por meio de programas e aplicativos instalados sem sua autorização (ou te enganando), ou por torres falsas.
Existem muitos aplicativos disponíveis no mercado que prometem “espionar o WhatsApp de seus filhos”, “rastrear o telefone de sua namorada”, “pintar o WhatsApp de rosa” ou “abrir o WhatsApp com o telefone desligado”. Nunca, NUNCA, em hipótese alguma, instale estes aplicativos. Eles podem até fazer o que prometem, mas ninguém sabe o que mais eles fazem. É por meio deste tipo de aplicativo que pessoas mal-intencionadas instalam os chamados malwares, ou seja, softwares maliciosos, aplicativos que fazem o mal. Com eles, seu celular pode ser controlado à distância por outra pessoa; tudo o que você digitar no teclado (senha de banco, login e senha do e-mail ou da rede social etc.) é registrado para uso indevido; suas fotos, vídeos e áudios são copiados sem sua autorização etc. Da mesma forma, nunca, NUNCA, em hipótese alguma, abra áudios, vídeos ou fotos no WhatsApp ou no e-mail que pareçam estranhos, ou que tenham sido enviados por quem você não conhece.
Outro meio para grampear um celular são as torres falsas, que podem ser transportadas em maletas e até em uma bolsa. Funcionam imitando uma antena ERB – com a diferença de que elas não existem para fazer a ligação, mas para espionar o que seu celular transmite e recebe. Elas podem ser usadas para enganar seu celular e descobrir sua identidade, registrar e interceptar mensagens de texto e chamadas de voz, e em alguns casos até mesmo injetar malware.
Tais dispositivos, chamados IMSI catchers ou Stingrays, já foram utilizados por forças policiais ao redor do mundo, e também podem ser usados por criminosos para cometer fraude, roubo de identidade, espionagem e envio de SPAM. Tanto um quanto outro permitem informar o número dos aparelhos que estão em seu alcance; capturar informações sobre as chamadas feitas por estes aparelhos, como o tempo da chamada, para quem eles ligaram etc.; ouvir o áudio das chamadas e o texto dos SMS enviados pelos aparelhos a seu alcance; e interceptar o uso de internet pelos aparelhos ao seu alcance (que sites foram visitados, por quanto tempo etc.). Isto só é possível porque a segurança de sua ligação telefônica é o embaralhamento, a criptografia que a operadora telefônica coloca para funcionar em seu chip, pode ser contornada por diversos meios, resultando num sinal limpo, pronto para ser ouvido e gravado.
Um destes aparelhos custa entre 15 mil a 20 mil dólares (entre 61 mil a 81 mil reais), e pode aguentar 1.200 ligações simultâneas por minuto dentro de sua área de cobertura. Versões “de bolso” destes aparelhos custam entre 35 mil a 38 mil euros (entre 159 mil a 170 mil reais).
Técnica de defesa
Existem diversas técnicas de defesa contra escutas, com custo variado e também variada exigência de conhecimento técnico. Uma delas, entretanto, está ao alcance de qualquer usuário de smartphones sem conhecimento técnico especializado: sempre fazer ligações usando aplicativos de mensagem que usem criptografia ponta-a-ponta.
Diferentemente da ligação telefônica, em que a “chave” para “abrir” o segredo das ligações está nas mãos da operadora, nestes aplicativos a “chave” está em cada aparelho: o áudio que sai de seu telefone para o outro está embaralhado de um jeito que quem tente grampear sua ligação usando um IMSI catcher, um Stingray ou mesmo as brechas de segurança das operadoras telefônicas não vai conseguir nada além de ruído, zoada, barulho.
O aplicativo mais recomendado para esta finalidade, no momento, é o Signal. Outra alternativa, ainda que menos segura em outros aspectos, é o Wire. A principal, e talvez única, vantagem do Wire sobre o Signal é não precisar de um número de celular para ser usado: basta um e-mail para criar uma conta, e pronto. No resto, trata-se de um aplicativo que guarda em texto limpo a informação de todos os contatos que você já fez, havendo portanto um enorme trade off entre os dois aplicativos: dar o número de telefone para o Signal, ou dar ao Wire a lista aberta de todos os seus contatos. Como não existe mecanismo perfeito de segurança, são questões com que os usuários terão de lidar, e escolher, conforme as circunstâncias. Numa situação de risco baixo ou médio, que é a maioria dos casos, o Signal pode ser usado como o aplicativo de comunicações do dia-a-dia, e o Wire pode ser usado para ligações telefônicas entre pessoas que não querem expor seus respectivos números telefônicos.
O simples fato de usar qualquer destes dois aplicativos para fazer ligações telefônicas, ao invés da ligação telefônica comum, já envolve sua comunicação numa razoável camada de segurança.
Acontece, entretanto, que o uso destes dois aplicativos ainda não é, infelizmente, tão difundido quanto deveria, e as ligações feitas a partir dele funcionam apenas com quem também os tenha instalados em seus respectivos aparelhos — ou seja, não é possível usar o Signal ou o Wire para ligar para um telefone fixo, ou para o celular ou smartphone de uma pessoa que não o tenha instalado em seu aparelho.
Por isto, planeje as coisas com antecedência e recomende a instalação do Signal a todos os seus contatos. Recomende também a instalação do Wire como alternativa — para a finalidade específica apresentada acima, alertando sobre os riscos já expostos. Não use o WhatsApp para este tipo de comunicações de forma alguma; numa emergência extrema, em situação de vida ou morte, ele poderá ser cogitado como alternativa, mas apenas neste caso, e em nenhum outro. E fuja do Telegram, cuja segurança tem mais buracos que um queijo suíço.
Excelente matéria.
Parabéns pela belíssima reportagem. Não entendi como a reportagem recomenda aplicativos de criptografia, se referindo a áudios e chamadas, e, ao final adverte quanto ao uso do Whatszap. Não seria ele o melhor modelo atual de segurança ponta a ponta, só perdendo aos Signal e Wire?
Roneyson, o modelo de segurança do Whatsapp foi desenvolvido em parceria pela Whatsapp e pela Open Whisper Systems, mesma empresa que faz o Signal, entre 2014 e 2016. A diferença entre Whatsapp e Signal neste aspecto é que qualquer ligação, texto, áudio, foto ou outras mídias partilhadas pelo Whatsapp passam por servidores ligados à emprea Facebook, e não há garantia alguma sobre o que esta empresa faz com os dados e os metadados das chamadas. Pelo contrário, há um longo histórico de violações de privacidade. Tecnicamente o modelo é bom, mas não há por que confiar em quem está por trás da operação do sistema.
Nada a acrescentar, valeu pela atualização
Não faz diferença uma mensagem criptografada ponta a ponta passar ou não por um servidor do Facebook, mesmo que salvem a mensagem não conseguem descriptografar
Leandro, sua afirmação leva a algumas questões.
A primeira: quando você diz “mesmo que salvem a mensagem”, passa a impressão de que o Whatsapp não salva mensagens — mas salva, mesmo por breve período. Diferentemente do Manyverse, do Scuttlebutt, do Sessions, do Briar e outros mensageiros e redes sociais que funcionam num esquema “ponto-a-ponto”/”par-a-par” (peer to peer, ou P2P), o Whatsapp funciona num esquema “arquive e encaminhe” (store and forward) já explicado em outro artigo desta coluna. Lá mesmo se pode ver que o Whatsapp pode guardar estas mensagens por até 30 dias enquanto o aparelho destinatário não estiver disponível.
A segunda: metadados não são criptografados, apenas os dados. Mesmo criptografia PGP/GnuPG, que garante maior autonomia (diferente da criptografia do Whatsapp, que não te dá controle sobre suas próprias chaves), mesmo ela tem como vulnerabilidade campos como remetente, destinatário, assunto etc. Um exemplo de uso de metadados para perfilagem: monitorar se um Whatsapp recebe mais ou menos mensagens perto do Natal, do Ramadã ou da Hanucá permite ao Facebook, que é dono do Whatsapp, criar um “palpite” com alta probabilidade de certeza sobre a religião desta pessoa, ou das que lhe são próximas. Num momento em que Michael Hayden, general estadunidense ex-diretor da Agência Nacional de Segurança (National Security Agency/NSA), diz que “matamos pessoas com base em metadados”, e em que pessoas recém-contatadas pelo Whatsapp aparecem como sugestões de amizade no Facebook, isso deveria acender alertas.