'Uma câmera no quarto de dormir'
6 de fevereiro de 2007
DW-WORLD: A Corte Federal de Justiça da Alemanha decidiu, em 5 de fevereiro de 2007, que a polícia não pode vasculhar os computadores de suspeitos sem o conhecimento destes. Os encarregados da proteção de dados podem respirar aliviados?
Jürgen Schmidt: A sentença tem um alto significado, pois, por enquanto, ao menos está impondo um limite claro à avidez das autoridades criminais. Mas certamente não é hora de os responsáveis pela proteção de dados relaxarem: Por um lado, já existe na Renânia do Norte-Vestfália uma lei estadual especial permitindo revistar computadores online. Por outro, o ministro do Interior, Wolfgang Schäuble, deixou claro que é este o seu desejo e, se necessário, se baterá por leis neste sentido, em nível federal.
Do ponto de vista técnico, como o Estado poderia revistar computadores online?
Não estou bem certo de como isso se daria concretamente, pois envolve algumas questões ainda não respondidas plenamente. Em casos individuais, é atualmente possível revistar online de forma análoga à dos vírus normais. Um exemplo: você recebe um e-mail, endereçado diretamente, quem sabe até com uma referência pessoal, um remetente em que você confia. Você é instado a abrir um documento Word anexado. No momento há cinco falhas conhecidas no programa Word que permitem a um software malicioso se infiltrar no seu PC. Em vez de um vírus, o documento traria algum software-espião, com a bênção do ministério, que se instalaria, permitindo a partir daí revistar de fora o seu computador.
Na qualidade de usuário, a pessoa está totalmente indefesa, ou tem como evitar tais ataques através dos chamados firewalls e programas antivírus?
Se a coisa for bem feita, é definitivamente possível contornar os programas de proteção usuais. Porém fazer em grande estilo, mas com um orçamento comparativamente pequeno, não é tão fácil assim. Aí eu diria que firewalls, antivírus e outros aplicativos de defesa interfeririam, impedindo a invasão. Isso, se o fabricante não for coagido a manter assim chamadas "listas brancas profiláticas". Quer dizer, reconhecer sinais de identificação que dizem "estes são 'do Bem', temos que deixar passar". Tal coisa, contudo, é muito difícil, pois há bem mais de 20 fabricantes de antivírus. E como convencer um fabricante na Rússia a incluir em sua lista um programa adotado por agentes penais alemães? Não sei como pôr conseqüentemente em prática uma coisa assim.
A internet não conhece fronteiras nacionais. É possível que serviços secretos ou outros órgãos estatais estrangeiros já tenham acesso a computadores na Alemanha? Afinal, na falta de uma regulamentação legal, tal procedimento também permaneceria impune para esses órgãos.
Isso já está acontecendo. Por um lado, é uma prática de serviços de informações que mantêm equipes de espionagem. Por outro, são as organizações privadas especializadas nesse tipo de coisa. No campo da espionagem industrial, é uma prática diária fazer uso de falhas de programação para vigiar computadores.
Seria paranóico partir do princípio de que haja cooperações entre fabricantes de software e repartições governamentais?
Tão logo uma lei obrigue um fabricante a criar certas "portas de trás" para o Estado, como condição para vender legalmente seu programa, os fabricantes forçosamente criarão essas portas de trás. É difícil julgar se tais tramóias já ocorrem, sem base jurídica. O problema é que seria impossível levar a cabo uma fraude dessas de forma abrangente. Seria preciso entrar em acordo com 30 fabricantes, simultaneamente, e confiar que nenhum deles vai dar com a língua nos dentes.
Os partidários de uma regulamentação por lei apelam com freqüência para o argumento de que o "cidadão honesto" não tem por que temer as medidas estatais. Além disso, uma invasão seria aceitável, se é uma forma de evitar crimes. Como responder a esse tipo de argumento?
Quanto ao "ser aceitável", eu colocaria o limite bem alto. Muitos usam o PC para coisas bem privadas e íntimas. O que você diria de ter uma câmera no seu quarto de dormir? É uma comparação drástica, mas eu utilizo meu PC para coisas muito pessoais. Há gente que mantém um diário no computador. É preciso levar isso em consideração, e foi o que fez a Corte Federal de Justiça.
Jürgen Schmidt é redator-chefe da Heise Security e diretor de departamento da revista de informática c't.