Sua mensagem foi passear — mas olha, o lobo já vem!

Por 01010001

Faça um teste antes de continuar a ler: fique ao lado de uma pessoa que você tem nos contatos de seu WhatsApp, mande uma mensagem e preste atenção para ver quanto tempo demorou para a mensagem sair de seu celular e chegar no outro. Demorou muito?

Neste tempo quase instantâneo, sua mensagem rodou por lugares onde você nem imagina. Não pense que a mensagem “pulou” de um celular para o outro, porque não é assim que as coisas funcionam. O WhatsApp usa o sistema arquive-e-encaminhe (“store-and-forward”), o nome técnico para um sistema de transmissão de informações onde a mensagem sai do seu celular, vai para um data center intermediário (data center é um lugar com muitos computadores, bem mais potentes que os computadores que você conhece, que funcionam juntos e ao mesmo tempo para fazer as mesmas tarefas), e só depois é enviada para o celular de sua amiga. Deste modo, primeiro, sua mensagem tem de ir até algum data center da empresa WhatsApp (que foi comprada pelo Facebook em 2014). A mensagem fica no data center do WhatsApp, de onde ela “pede” ao celular de sua amiga que a receba; assim que o celular de sua amiga aceitar, a mensagem é enviada e apagada dos computadores da empresa, mas enquanto ela não aceitar a mensagem pode ficar lá aguardando desde menos de um segundo até 30 dias, quando é enfim apagada.

(Quem tiver maior curiosidade terá interesse em saber que o WhatsApp funciona com uma versão bastante modificada do protocolo XMPP (Protocolo Estendido de Presença e Mensagens), que é o padrão internacional de onde vem este modelo de funcionamento.)

Agora você pode dizer que sabe para que servem os “v” da mensagem do WhatsApp. O primeiro “v” mostra que a mensagem foi enviada para algum data center da empresa; o segundo “v” mostra que a mensagem saiu do data center e chegou no celular para onde deveria ir; quando os “v” ficam azuis, isto quer dizer que a mensagem foi lida (se o WhatsApp de quem recebe a mensagem estiver configurado para isso).

Uau! É muita volta para uma mensagem tão pequena mandada para alguém do seu lado! Vamos acompanhar essa viagem passo a passo? Para facilitar, vamos imaginar que seu celular e o desta outra pessoa estão conectados no wi-fi de algum lugar. O processo quando o celular está conectado pelo plano de dados da operadora é parecido, mas o wi-fi permite entender mais etapas.

No exemplo que estamos trabalhando, será sempre mencionada a “mensagem de WhatsApp”, porque foi com ela que começamos a analisar o passo a passo da transmissão de informações aqui. Ela pode ser substituída, entretanto, por um e-mail, por um vídeo do YouTube, por uma conversa no Messenger, por uma reunião no Skype, ou por qualquer outra forma de comunicação que use a internet.

Primeiro, a mensagem de WhatsApp sai do seu celular e vai para o modem. É daí que ela é lançada para o mundo.

O problema é que todo modem é vulnerável a uma técnica de invasão chamada sniffing, ou análise de pacotes. Para resumir muito uma explicação complexa, esta técnica usa um programa, ou mesmo um aparelho chamado analisador de pacotes, para investigar o tráfego de informações numa rede wi-fi doméstica ou empresarial. Com a análise de pacotes é possível saber quem se conectou numa rede, quando se conectou, quanto tempo ficou conectado, quanta informação transmitiu ou recebeu, para quem transmitiu ou recebeu etc.

Justo hoje, quando parece que vivemos num filme de ficção científica, ainda se pode ver como a tecnologia mais moderna depende de uma estrutura física às vezes antiquada. Ao sair do modem, a mensagem de WhatsApp vai para o cabo que liga o modem à tomada da internet, e daí segue para os cabos de fibra ótica que passam pelos postes ou em algum duto subterrâneo.

Neste ponto a conexão está sujeita a todo tipo de grampo físico, quase à moda antiga – mas com técnicas mais complexas, porque o cabo de fibra ótica funciona de modo diferente dos velhos cabos telefônicos de cobre.

Depois de passar pelo mundo dos cabos, a mensagem de WhatsApp agora vai parar no provedor local de internet, que é a empresa que fornece a internet para aquela rede em cujo wi-fi você se conectou: Vivo/GVT, Oi, TIM, NET/Claro, Algar Telecom, Sky, qualquer uma. Isto acontece por causa da infraestrutura física que faz a internet funcionar.

Sua mensagem de WhatsApp não fica ali muito tempo, passa bem rápido para o ponto seguinte, mas neste pouco tempo ela abre as portas para tantas vulnerabilidades e riscos que fica difícil listar.

Primeiro, há os riscos de escutas legalmente permitidas. Com uma autorização judicial, tudo o que você acessa na internet usando esta conexão pode ser conhecido. Esta é uma situação extrema, em caso de suspeita de violação às leis, mas é um risco que precisa ser conhecido.

Segundo, há os muitos riscos ilegais. Um funcionário da empresa pode (ilegalmente, mas pode) querer futucar o tráfego só por diversão. Um grupo de funcionários da empresa pode estar monitorando o tráfego de algum lugar para vender as informações a quem pagar mais – como foi o caso de uma empresa brasileira de telecomunicações onde um grupo de funcionários pegou informações de clientes e vendeu para call centers, que depois contatavam as pessoas para vender pacotes de televisão a cabo, internet e de telefonia fixa ou móvel, inclusive de empresas concorrentes. A própria empresa pode estar colaborando voluntariamente com operações ilegais do governo para monitorar cidadãos – como a AT&T dos EUA colabora com a Agência de Segurança Nacional (NSA), com o Escritório Federal de Investigação (FBI) e com a Agência de Inteligência Central (CIA).

A mensagem de WhatsApp continua sua jornada: agora ela vai sair do país por meio de cabos internacionais e de satélites, ainda a caminho dos data centers do WhatsApp.

Este seria, em tese, o momento mais seguro da “viagem”, porque, afinal de contas, quem teria condições de invadir um satélite, ou de grampear um cabo que passa a centenas de metros de profundidade no mar? Aqui fica evidente como tudo depende do tipo de interesse que suas comunicações geram, do tipo de ameaça que o que você faz representa, e da capacidade de mobilizar recursos para conseguir as informações.

Invadir um satélite é mais fácil do que se imagina: um grupo de brasileiros invadiu os satélites estadunidenses FLEETSAT-8 e UFO.O, usados para repetição de sinais de rádio da Marinha dos EUA – tudo com equipamento barato de radioamadorismo modificado especialmente para alcançar os satélites.

Por outro lado, é quase impossível grampear cabos submarinos – a não ser que você seja o presidente dos Estados Unidos. Em 1971 os EUA lançaram a operação Ivy Bells, em que três submarinos – o USS Parche (SSN-683), o USS Richard B. Russell (SSN-687) e o USS Seawolf (SSN-575) – foram encarregados de fazer um grampo num cabo telegráfico soviético; a operação funcionou até 1981. Anos depois, em 2005, os EUA lançaram ao mar o submarino USS Jimmy Carter (SSN-23), que tem todos os equipamentos necessários para grampear cabos submarinos de fibra ótica.

A partir da etapa dos cabos internacionais, a mensagem começa a fazer um caminho já conhecido – mas em outro país. Ela vai passar pela empresa fornecedora de acesso à internet de lá, da mesma forma que antes de sair do Brasil ela passou pela Oi, ou pela TIM, ou pela Claro etc. Ao passar por esta empresa, a mensagem é encaminhada para… o data center da WhatsApp, claro! Pensou que já ia chegar no celular de sua amiga? Aqui valem as mesmas questões já mencionadas quanto às empresas nacionais.

A mensagem continua viajando… e agora saiu do provedor de internet no outro país para a malha de cabos de fibra ótica. Ainda não chegou ao data center do WhatsApp, e mais uma vez está sujeita aos grampos na rede de cabos, como já esteve aqui no Brasil.

Pensa que acabou? Não… agora a mensagem está chegando ao data center do WhatsApp. Ela vai passar da malha de cabos de fibra ótica para… o modem do data center. Claro, não é um modem como aquelas caixinhas miúdas que a Oi, a Claro, a Vivo e outras operadoras te alugam – mas ainda assim é um modem, sujeito a riscos bastantes parecidos, como a análise de pacotes.

Enfim! A mensagem chegou ao data center do WhatsApp! Muito bem! Agora ela vai passar um tempinho ali nos servidores da empresa antes de ser apagada, sejam alguns segundos, sejam os 30 dias de tempo máximo. Servidor é o nome dado a um computador cuja função é prestar um serviço a outros aparelhos (celulares, outros computadores, telefones fixos, impressoras etc.), chamados clientes.

Os problemas, entretanto, ainda não acabaram. Já vimos como o WhatsApp trata as comunicações segundo um modelo arquive-e-encaminhe (“store-and-forward”), e como o data center da empresa é um intermediário entre seu celular e o de sua amiga. Ele funciona de modo muito parecido ao que a Central de Comutação e Controle (CCC) faz com as ligações telefônicas de celular: identifica seu aparelho, recebe o pedido de envio da mensagem para o celular de sua amiga, localiza o celular de sua amiga e envia a mensagem até ela. Este modelo tem uma enorme vulnerabilidade: enquanto a mensagem estiver no servidor ela pode ser copiada, analisada etc. – e é o que fazem, em conjunto, os serviços secretos da Austrália, Canadá, Nova Zelándia, Reino Unido e Estados Unidos, os “cinco olhos” reunidos pelo Tratado de Segurança UK-USA assinado em março de 1946. Mais especificamente, o programa Muscular, operado conjuntamente pela Agência Nacional de Segurança dos EUA (NSA) e pelo Quartel-General de Comunicações do Governo do Reino Unido (GCHQ), permite a estas duas agências de inteligência explorar falhas de segurança interna do Google e da Yahoo, fazer um grampo gigantesco nas redes destas duas empresas e copiar todo o conteúdo de seus serviços prestados ao público (e-mails, redes sociais, fotos, vídeos, áudio etc.).

Pensa que acabou? Não! Agora que sua mensagem chegou ao data center do WhatsApp, ela vai fazer o mesmo caminho de volta!

Em menos de um segundo, sua mensagem foi exposta a tantas vulnerabilidades que se torna praticamente impossível exercer qualquer controle sobre algo que deveria ser – e é – privado. O tráfego de informações na internet é inseguro por padrão.

Por isto a enorme insistência por parte de especialistas em segurança digital para que as pessoas mudem suas comunicações para aplicativos de mensagens com criptografia ponta-a-ponta e que sejam construídos segundo os princípios do software livre. A criptografia garante que, caso sua comunicação seja interceptada por causa de alguma destas vulnerabilidades, ela seja totalmente incompreensível. Sendo ponta-a-ponta, as chaves que permitem decodificar as mensagens encontram-se apenas nos aparelhos remetente e destinatário, e em mais lugar nenhum. Além disto, sendo o aplicativo construído segundo os princípios do software livre, a liberdade de verificação do código-fonte – a “receita do bolo”, o conjunto de “ordens” dadas ao computador ou celular a cada clique ou gesto – permite a equipes especializadas auditar o software e apontar pontos positivos, pequenos erros, falhas graves etc., o que inclui dizer se, por exemplo, o aplicativo não tem algum “espião” embutido, se ele não está copiando informações privadas para lugares onde ela não deveria estar etc. Até a data de fechamento deste artigo, as principais recomendações da comunidade de segurança iam para o Signal, com alguns indicando o uso do Wire; entre os aplicativos pagos, o Threema costuma ser apontado, mas o fato de não ter sido feito segundo os princípios do software livre não permitem auditá-lo para garantir que ele entrega o que promete.