Introdução
No dia 30 de agosto de 2024, uma decisão do Ministro Alexandre de Moraes determinou a suspensão imediata da rede X, anteriormente conhecida como Twitter. A mesma decisão também prevê a proibição e imposição de multas em caso de uso de softwares que possam contornar tais restrições, como as conhecidas VPN (virtual private network).
Diante desse cenário, o operador do direito vê surgir a possibilidade de indagar a respeito da legalidade dos atos praticados pelos envolvidos no presente imbróglio, o que certamente trará uma série de análises para aprofundar nossa compreensão sobre tal tema. Não obstante, no presente trabalho opta-se por tomar uma direção diferente, a fim de indagar sobre a efetivação e aplicabilidade das sanções judiciais elencadas pelo Ministro Moraes no despacho em análise.
Já é de amplo conhecimento a existência de discussões sobre uma pretensa impossibilidade de o Judiciário brasileiro ter acesso as informações dos serviços de VPN, de modo a também ficar impossibilitado de identificar eventuais infratores. Portanto, o presente artigo busca conceituar as questões técnicas envolvidas por detrás das referidas tecnologias, além de antever os desdobramentos jurídicos e políticos possíveis, trazendo ao operador do direito melhores subsídios para posicionar-se diante desse empasse.
Além disso, reforçamos que o presente parecer tampouco visa anuir ou manifestar discordância com a decisão tomada pelo Supremo Tribunal Federal, mas somente trazer a baila um exercício científico e multidisciplinar, em razão da presente controvérsia demandar um nível de detalhamento técnico que foge da formação jurídica convencional.
Serviços de anonimização de conteúdo na web
Virtual Private Network
Uma rede virtual privada, também conhecida como virtual private network ou vpn, pode ser conceituada como uma tecnologia que cria uma conexão segura e criptografada entre seu dispositivo (como um computador ou smartphone) e a internet 1. O uso de uma VPN possibilita a ocultação do endereço IP da máquina e a aplicação de criptografia para tornar ilegíveis os pacotes de dados ao seu provedor de internet.
Ao operar dessa forma, o usuário comum conecta-se ao provedor local contratado, mas todos os dados de navegação passam através de um túnel gerado pela rede virtual privada. Via de consequência, existe a possibilidade de o provedor de internet saber que o cliente está conectado a uma VPN, mas fica sem poder registrar os dados de navegação 2.
A título exemplificativo, poderia um indivíduo estar acessando a internet na cidade de São Paulo a partir da rede 5G de sua operadora comum, mas tal operadora não seria capaz de identificar se o usuário acessou redes como X (antigo Twitter) Facebook, Gmail, dentre outras.
A ocultação de tais dados de navegação costuma gerar uma apreensão inicial nos usuários mais leigos, já que a possibilidade de ficar invisível e não ser pego é geralmente associada com intenções maléficas. Esse sentimento foi inclusive abordado por Platão ao tratar do Anel de Giges, um personagem de sua obra A República, o qual detinha um anel capaz de torná-lo invisível e fazia uso dele com objetivos pouco louváveis 3.
Mas apesar das questões éticas eventualmente envolvidas, o fato é que o uso de uma rede virtual privada já é fato comum do nosso cotidiano. Empresas trabalham com VPN’s para interagir com empregados em home office, programas antivírus fornecem VPN’s para fortalecer a segurança de senhas bancárias, além de que as próprias instituições governamentais já vêm fazendo uso dessa tecnologia 4.
Fato é que a anonimização pode muito bem ser usada para finalidades lícitas, mas também pode servir para a prática de crimes cibernéticos, como roubo de dados e infecção por ransomware.
Porém, para além de um posicionamento meramente binário, existem certos usos dessa tecnologia que podem se situar dentro de uma zona cinzenta. Seria o caso do uso de uma VPN por ativistas, dissidentes políticos, jornalistas e outros indivíduos potencialmente alvo de perseguição ideológica.
Embora o recente embate entre o Ministro Moraes e a rede X tenha sido acompanhada de alegações de que as decisões das autoridades devem sempre ser respeitadas, o fato é que ao redor do globo já foram observados diversos exemplos de figuras usando do anonimato para a defesa de causas justas, ou que não fossem explicitamente danosas, e que ainda assim, poderiam representar certo grau de desafio aos seus respectivos governos. São exemplos dignos de menção: Edward Snowden, Nadia Tolokonnikova e Nicholas Merrill.
No próprio Brasil não faltam exemplos de pessoas que ocultaram suas reais identidades para driblar a censura e a perseguição dos anos de chumbo da ditadura e da era Vargas, como já é de conhecimento público e notório.
Todo este raciocínio serve ao propósito de demonstrar que usuários de VPN podem apresentar diversas motivações, algumas delas lícitas, outras flagrantemente criminosas, e tantas outras com finalidades bastante nebulosas.
De todo modo, a lista de ativistas supracitada também é um indicativo de que o uso de uma VPN nem sempre significa que o usuário poderá considerar-se invisível para sempre. Devemos retomar mais adiante tal raciocínio, com o fito de especificar os limites do uso de tais tecnologias.
Antes, porém, devemos apresentar algumas questões relativas ao uso da rede TOR, cujo sistema possui um visível potencial de uso para usuários que busquem evadir-se das sanções do caso Twitter.
TOR - The Onion Router
O navegador Tor (The Onion Router) é uma ferramenta gratuita e de código aberto que permite navegar na internet de forma anônima. Ele foi desenvolvido para proteger a privacidade dos usuários, ocultando sua localização e atividades online através de uma rede de servidores voluntários que criptografam e redirecionam o tráfego da internet 5.
A utilização do TOR possui similaridades ao ocultamento realizado com uma VPN. No entanto, algumas diferenças essenciais se destacam, como o fato da principal ferramenta do TOR ser um navegador de internet baseado em Firefox, porém com incrementos de anonimização. O TOR também permite aos usuários o acesso à Dark Web e pode ser usado separadamente ou em conjunto com uma VPN, adicionando mais camadas de proteção. Por fim, já existem até mesmo sistemas operacionais de privacidade que possuem o TOR pré-instalado, permitindo ao usuário acessar a rede mundial com um dispositivo que não fará qualquer armazenamento dos seus dados 6.
Em razão das discussões ocorridas em anos anteriores sobre a dark web, o TOR já é uma ferramenta mais conhecida que os serviços de VPN, e sua familiaridade pode ser atrativa para usuários que busquem contornar interdições ou limitações de acesso em certos países.
Naturalmente, sabendo do potencial danoso da ocultação de dados de crimes praticados na rede mundial de computadores, poderia o usuário questionar se não seria o caso de se proibir ou regular mais fortemente o uso de tais ferramentas.
A pergunta é razoável, todavia parte de uma suposta necessidade de regulamentação, ao mesmo tempo em que ignora os aspectos técnicos envolvidos.
Em se tratando do navegador TOR, por ser um software de código aberto, qualquer programador pode ter acesso ao código e disponibilizar o software, com ou sem modificações. Por isso, mesmo que seus principais idealizadores fossem alvo de sanção, tal medida se revelaria inócua, já que o TOR não depende de um gestor centralizado para continuar funcionando.
A título de exemplo, se anteriormente a operação do site Megaupload foi comprometida com a prisão de seu proprietário Kim Dotcom cerca de doze anos atrás 7, o mesmo não seria verdade em relação ao TOR ou outras ferramentas de código aberto.
De igual sorte, se uma ordem judicial ordenasse que os provedores bloqueassem o acesso ao site TOR Project, ainda assim os usuários teriam a hipótese de fazer o download do arquivo .exe por meio de outros serviços de hospedagem, inclusive a rede Torrent.
Ainda que a título provisório, já é possível indicar que a existência das redes descentralizadas tem se mostrado um desafio à altura dos sistemas de inteligência dos grandes governos.
Isso não quer dizer que o TOR ofereça uma blindagem completa, como as diversas operações policiais contra crimes virtuais bem exemplificam.
Além disso, o uso de uma rede de anonimato pode não ser efetiva se o usuário permite a existência de outros tipos de rastros, como detalhes de sua vida pessoal ou endereços de e-mail. Até mesmo o uso de uma corretora de criptomoedas pode ser indício da identidade do indivíduo que se encontra por detrás de uma VPN ou rede TOR.
Assim, agora que já ofertamos uma conceituação preliminar sobre as ferramentas de anonimato e suas funcionalidades, passaremos a discutir os cenários mais prováveis de embate entre as ordens de bloqueio e restrição de acesso ao X por parte do Judiciário e as estratégias possivelmente utilizadas por aqueles que eventualmente pretendam desafiar tais restrições.
Limites da anonimização da rede TOR
Embora o Tor seja uma ferramenta poderosa para proteger a privacidade online, ele não oferece anonimato absoluto. Seu provedor de internet pode ver que você está conectado à rede Tor, e seus dados podem ser expostos nos nós de entrada e saída. O roteamento Onion, que mascara seu endereço IP, é uma técnica eficaz, mas não é infalível.
Para reforçar a segurança, os usuários do TOR podem optar por fazer uso de uma VPN em conjunto com o Tor. A VPN criptografa seu tráfego antes mesmo de ele entrar na rede Tor, protegendo seus dados dos nós de entrada e saída. Ao combinar essas duas tecnologias, você cria uma camada extra de segurança, propiciando que suas atividades online permaneçam confidenciais.
Ainda que as ferramentas em questão dificultem bastante a exposição do usuário, há casos em que a identificação é possível em razão de comportamentos dos usuários na própria rede TOR, como o acesso a uma conta de e-mail pessoal. Assim, seria possível associar determinadas atividades ao proprietário de determinado login e senha, e desta forma conseguir tais dados a partir da empresa do referido e-mail.
Outra falha de segurança seria o fornecimento de um endereço real para recebimento de encomendas online, além de qualquer outro dado que possa ser associado com a real identidade do usuário. Por esta razão transações na rede TOR são feitas preferencialmente com criptomoedas em lugar do sistema bancário tradicional.
Não é objeto deste estudo, mas vale menção de que também existem comportamentos no uso de criptomoedas que podem denunciar sua identidade, como o uso de corretoras centralizadas.
Para melhor ilustrar esse ponto traremos como exemplo o caso de Ross Ulbricht, proprietário do mercado mais famoso da deep web, o Silk Road.
Ulbricht administrava o Silk Road, o qual se destacava por ser uma área virtual de comércio desregulamentado, no qual poderiam ser negociados artefatos controlados ou proibidos pelos governos, a exemplo de armas e entorpecentes.
Por dois anos, o anonimato da deep web funcionou como um escudo impenetrável. O Silk Road, o maior mercado negro online da história, foi inaugurado em 2011 e movimentou mais de US$ 1,3 bilhão em Bitcoins. Atrás do pseudônimo Dread Pirate Roberts (DPR), o criador do site, escondia-se Ross Ulbricht, um físico de 29 anos com um interesse peculiar em economia e libertar a humanidade da coerção.
A investigação que o levaria à prisão começou com uma simples postagem em um fórum. Um usuário com o apelido "altoid" perguntava sobre o Silk Road e, pouco depois, buscava um especialista em TI. O e-mail de contato? [email protected]. A partir daí, as evidências se acumularam: referências a sites frequentados por DPR em seu perfil no Google+, um endereço IP que o conectava ao Silk Road e um café próximo à sua casa em San Francisco, onde o último login foi registrado.
Ao fim da investigação Ulbricht foi preso e sentenciado a prisão perpétua 8. Seu caso até hoje vem servindo tanto para evidenciar a possibilidade de punição de hackers, como para evidenciar que as ferramentas de anonimato ofertam um desafio considerável às autoridades.
Existem também aquelas figuras politicamente engajadas e com grande exposição midiática cujo uso de uma rede social bloqueada seria perceptível independente das ferramentas de anonimato. Seria o caso de deputados, jornalistas nacionalmente conhecidos, artistas e outras celebridades que ostentam um amplo histórico de postagens a partir de uma conta específica.
Note que, caso uma postagem seja feita a partir do perfil @BarackObama, a identidade do autor da postagem será imediatamente conhecida, independentemente de qualquer utilização de VPN ou rede TOR.
Limites da anonimização a partir de uma VPN
Preliminarmente, podemos apontar que boa parte das questões que sabotam a anonimização pela rede TOR podem igualmente sabotar os usuários de uma VPN. Por isso, o uso de qualquer dado personalíssimo como senhas e números de cartão de crédito poderiam, em tese, ser associados aos dados de navegação.
Em se tratando de dados de pagamento, há que se reconhecer a possibilidade de um flanco aberto na estratégia das redes virtuais privadas, uma vez que o usuário pode cadastrar-se na empresa fornecedora de acesso com seus dados pessoais e informações bancárias para efetivar a contratação da VPN.
No caso supracitado, os dados pessoais do usuário podem identificá-lo como cliente de uma VPN, mas isso por si só não é suficiente para causar maiores transtornos, uma vez que a contratação de serviços de VPN ainda não é tipificado como crime 9.
A preocupação do usuário poderia partir de condições sui generis, tais como o despacho do Ministro Moraes que visava afastar os brasileiros das ferramentas de VPN para acesso ao X. Por tal razão alguns usuários podem optar pela adição de uma nova camada de anonimização, conforme detalharemos a seguir.
VPN sem KYC
A sigla KYC é referida como Know Your Customer e pode ser traduzida livremente como: conheça o seu cliente.
Em termos gerais, uma empresa que não trabalha com KYC é uma empresa que não pede qualquer informação pessoal dos seus usuários, fornecendo seus serviços a todos indistintamente.
Na prática, isso significaria dizer que uma VPN sem KYC irá fornecer a navegação criptografada aos seus clientes independentemente de estes terem ou não permissão de seus governos para o uso de tal ferramenta.
Como informações bancárias e de cartão de crédito poderiam identificar o usuário do serviço, tais empresas podem trabalhar com outras formas de pagamento, como as criptomoedas.
Os próprios usuários das criptomoedas podem tomar providências que dificultem sua identificação, como a realização de uma compra de criptomoedas sem o uso de exchanges monitoradas pelo governo, o uso de MIXERS 10 (softwares que embaralham o saldo de uma carteira misturando com outras transações) e até mesmo o uso de sistemas operacionais de privacidade que trabalham com carteiras de código aberto.
Em casos com tais peculiaridades, o resultado mais provável é que uma ordem judicial não conseguiria interceptar os dados do usuário, pois mesmo intimando os proprietários do serviço de VPN, fato é que nem mesmo estes teriam a posse dos dados que interessam ao governo.
Ainda que o caso analisado pudesse resultar em violação da legislação do Brasil e de outros países, a constatação no presente caso é que o cumprimento da ordem judicial seria impossível de ser atendida, por mais que eventualmente essa fosse a vontade dos proprietários da empresa de VPN.
Redes privadas com ou sem LOGS
Existem diversas empresas de VPN atuando no mercado, e tais empresas podem manter ou não os registros de LOG dos clientes em seus servidores. Caso a empresa mantenha os LOGS, poderia ser que uma busca e apreensão determinada pelas autoridades conseguisse obter as informações pretendidas nos equipamentos e servidores da empresa.
Nesse ponto, é bom notar que a localização dos servidores pode ou não estar no mesmo país sede da empresa de VPN. Assim, por exemplo, uma autoridade brasileira que buscasse estas informações poderia necessitar da cooperação do país sede da empresa (no continente europeu, por exemplo) e também de uma autoridade asiática, caso os servidores da empresa europeia se encontrem neste outro continente.
Veja-se que uma operação de tal dimensão começa atingir um nível de complexidade que foge em muito de uma operação padrão para requisitar informações de uma provedora ordinária de e-mail. Em vista de tal nível de complexidade, há quem aposte que seria difícil e custoso conseguir a colaboração de um número expressivo de autoridades ao redor do globo com o único objetivo de identificar quais brasileiros acessaram determinada rede social.
A tal complexidade deve ainda se somar os casos de empresas que não possuem registros de LOGS. Neste caso estaríamos novamente diante da hipótese de uma determinação judicial impossível de ser acatada, já que a própria empresa não dispõe dos dados de interesse do governo.
Warrant Canary
Um outro desdobramento que é antecipado pelos entusiastas da criptografia é o comprometimento das atividades das fornecedoras de serviços de VPN. Em tal cenário, embora a empresa opere normalmente sem registro de LOGS, uma intervenção judicial sigilosa poderia obrigar seus proprietários a burlarem sua própria camada de anonimato, capturando os dados de um ou de vários clientes.
Imagine que um usuário da internet possui acesso a VPN da empresa A, e essa empresa não mantém LOGS. A hipótese de comprometimento se refere à coleta de dados a partir da data de intervenção governamental na empresa A.
Em vista de tal possibilidade, muitas empresas se prontificam a empregar maneiras encobertas de avisar seus clientes do comprometimento de suas operações. Tais medidas são popularmente conhecidas como Warrant Canary 11, que podem ser livremente traduzidos como "canários" de garantia.
Para fins do presente estudo, basta a explicação de que tal estratégia consiste em um estratagema da empresa de VPN que possa trazer desconfiança ao usuário, de forma que a partir da dica camuflada, este cliente opte por cessar o uso daquele serviço.
Jurisdição de VPN e a aliança quatorze olhos
No intuito de minimizar a hipótese de comprometimento das operações de VPN, os usuários mais avançados vem buscando contratar o uso de plataformas que se encontrem em jurisdições ditas “amigáveis à privacidade”.
Da mesma sorte que existem jurisdições amigáveis, também existem classificações que categorizam certas jurisdições como hostis ao anonimato e uso de uma VPN. Esse é o caso das alianças cinco, nove e quatorze olhos.
Existem diversos países com histórico de invasão de privacidade e alianças políticas para obtenção de dados de usuários. Os mais conhecidos fazem parte da aliança cinco olhos, que incluem Estados Unidos, Reino Unido, Canadá, Austrália e Nova Zelândia. A origem desse acordo vem desde o período da segunda guerra mundial e remonta ao acordo UKUSA. Recentemente, o caso Edward Snowden foi responsável por lançar alguma luz sobre o funcionamento do referido acordo.
Já a aliança nove olhos é uma evolução da aliança cinco olhos, porém com mais integrantes: França, Dinamarca, Noruega e Holanda, além dos cinco anteriormente citados. O mesmo se aplica à aliança quatorze olhos, que desta vez inclui também a Alemanha, Bélgica, Itália, Suécia e Espanha 12.
Através de tais acordos, torna-se factível que representantes de algum governo consigam acessar informações de empresas sediadas nas jurisdições que coletem e armazenem registros de atividade online.
Um exemplo dessa espécie de mecanismo em funcionamento se verificou no caso da prisão de um ativista climático francês em 2021, que teve seu IP identificado após as autoridades verificarem que o ativista utilizava o username “jmm18@protonmail.com”. Para tal objetivo, as autoridades francesas fizeram uso da Europol (serviço europeu de polícia, resultando em uma colaboração com as autoridades suíças e na prisão do investigado 13.
Outro caso semelhante foi a recente prisão de um ativista catalão ligado ao movimento Tsunami Democrático, que foi identificado por utilizar um e-mail Apple como e-mail de recuperação da sua conta Protonmail 14.
Os casos supracitados não são específicos do uso de VPN’s, mas ilustram que empresas focadas em privacidade podem ser induzidas a colaborarem com investigações criminais.
Em contraste, existem jurisdições que são rotuladas como “paraísos da privacidade”, geralmente por não manterem acordos de cooperação e compartilhamento de dados, ou ainda por ostentarem um regramento bastante robusto quanto a proteção de dados pessoais.
Segundo publicações especializadas 15, são exemplos desse tipo de jurisdição: Ilhas Virgens Britânicas, Panamá, Seychelles, Ilhas Cayman e Malásia. Muitas das mais famosas empresas de VPN são propositalmente sediadas nestes países, o que facilita em muito o cumprimento integral das suas promessas de privacidade.
