Repensando a validade das coleta dos backups oriundos de nuvens nas investigações brasileiras

Imaginemos o seguinte caso analógico: ocorre um suposto homicídio dentro de um shopping center. O gerente do local determina que os seguranças privados, sem treinamento especializado em investigação, façam o recolhimento dos vestígios relevantes de sua escolha para serem entregues às autoridades policiais, obtendo possíveis armas brancas à volta do corpo e toalhas com vômito. A maleta da vítima não é recolhida e vestígios biológicos são ignorados. Removem tudo para acondicionamentos (sacolas plásticas do shopping) transportando-os aos policiais.

A polícia recebe o material e, sem questionar a cadeia de custódia ou os métodos empregados, presume que os itens são autênticos e representativos da cena do crime de homicídio, aceitando-os como vestígios originais e íntegros.

Contudo, o shopping center era dentro do embarque internacional do aeroporto. Equivocadamente a segurança do shopping não considerou a hipótese de morte acidental por overdose, deixando-se de recolher sangue, urina e suco gástrico, além da maleta da vítima, que continha informações sobre a entrega da droga no exterior. Então não era um homicídio, mas uma “mula” do tráfico que veio a óbito por morte acidental, eis que rompido os pacotes de cocaína no estômago.

Esse exemplo analógico introdutório serve de comparação para o que tem acontecido no cumprimento das ordens de requisição dos backups da Apple, Google etc. nas investigações brasileiras: deferimento de ordem judicial e ofício para empresa, resposta das empresas por e-mail para as polícias contendo links expiráveis para o download dos arquivos criptografados, normalmente baixados pelos policiais e juntados aos autos da investigação criminal depois de analisados.

O primeiro problema neste procedimento é que, apesar da fonte de prova digital original permanecer sob o domínio do provedor (big tech), deve-se possibilitar às partes o conhecimento da metodologia utilizada para a captura dos dados digitais. Hoje o que tem sido feito nas requisições de backups é a coleta por funcionários das empresas sem metodologia forense. Coletar dados significa capturar a fonte de prova digital original – ou seja, o dado em seu estado bruto e íntegro – sendo uma atividade típica do Estado. Não são peritos informáticos que fazem as coletas nos sistemas das empresas, por que existe uma substituição metodologicamente inadequada por motivos de conveniência das autoridades de investigação.

No exemplo analógico do shopping, a polícia não permitiria que os particulares fizessem a coleta e indiciaria os seguranças por fraude processual, pois é comezinho que a cena do crime deve ser preservada para os peritos analisarem. Jamais a polícia científica receberia o material e, sem questionar a cadeia de custódia ou os métodos empregados, presumiria que os itens são autênticos e representativos da cena do crime de homicídio, aceitando-os como vestígios originais e íntegros. E ainda seria, provavelmente, investigada possível existência do delito de  fraude processual, pela manipulação indevida do local do crime.

Como confiar?

O segundo problema é quando os dados digitais chegam ao policial por e-mail, que faz o download dos links e normalmente não realiza a duplicação forense, que nada mais é que um clone dos dados digitais, normalmente por meio de softwares, seguida da aposição do código hash na cópia e no original armazenado na central de custódia. Mesmo sem a cópia forense os dados já são prontamente analisados pelos investigadores, que depois os remetem para o Judiciário, acreditando que o hash enviado pelas empresas é suficiente para detecção de adulterações.

Mas se não existe metodologia forense na coleta e envio, como podemos confiar no tratamento dos dados até a disponibilização por meio de link para as policiais? Existe uma clara contradição lógica neste procedimento normalmente empregado nas investigações brasileiras. Tal como no exemplo analógico, não é porque a sacola de shopping estaria intacta e sem “furos” que os policiais poderiam confiar na integridade do que estariam transportando como vestígio. O perito deveria coletar os vestígios biológicos da vítima e registrá-los em laudo próprio, preservando amostras para contraprova.

No cotidiano digital, quantas vezes já aconteceu de estarmos trabalhando em nossos computadores e ocorrerem erros inesperados, bugs ou qualquer outro problema que encerre abruptamente a atividade, paralise o sistema operacional ou tranque o PC a ponto de exigir reinicialização? Quantas vezes fazemos downloads em duplicidade e sobrescritos ou backups incompletos? Condutas “culposas”, por falta de conhecimento ou de cuidados necessários, são recorrentes. Mas também existem alterações intencionais, utilizando as técnicas antiforenses para encobrir adulterações dolosas ou alterar o próprio código hash.

Esses são problemas da ordem do dia que impõem repensar a questão das coletas dos dados em nuvem como forma de preservação da integridade dos dados digitais.

Em nota técnica publicada pela Cloud Security Alliance, com o nome Mapping the Forensic Standard ISO/IEC 27037, a fase crucial da forense digital na computação em nuvem é a etapa de aquisição das provas, isto é, no processo de “contato” com o dado digital seguido da criação da cópia idêntica dos dados (clone ou duplicação forense).

A cópia ou duplicação forense é considerada um dos primeiros passos metodológicos essenciais das melhores práticas internacionais para identificação, coleta, aquisição e preservação de evidências digitais, conforme ISO/IEC 27037:2012 e também na RFC 3227 (“Guidelines for Evidence Collection and Archiving“), além do guia de passo a passo do Senasp sobre práticas forenses, vulgo POP 2013, em especial o ponto das provas digitais – “4.2. Duplicação dos dados”.

No equilíbrio entre a preservação da integridade dos dados e agilidade da investigação, o National Institute of Standards and Technology identificou quatro aspectos determinantes na admissibilidade das provas digitais em processos criminais:

“i) a definição da autoridade que realizará a pesquisa dos dados (o responsável legal por acessar e colher as informações);
ii) a preservação da cadeia de custódia (documentação cronológica do procedimento de aquisição dos dados e remessa para o processo, com identificação de todos usuários que interagem no processo);
iii) utilização da técnica de duplicação (image forense, algoritmo hash etc) e a elaboração de um procedimento auditável, isto é, que as ferramentas utilizadas possam ser validadas mediante repetição do procedimento com resultados iguais” [1].

A coleta de fontes de prova em nuvens deve ser operacionalizada por perito autorizado judicialmente através de acesso remoto controlado (timestamp; log; etc) e registrado (snapshot), apenas para realizar uma coleta ao conteúdo do usuário alvo e não de todo o servidor por período indeterminado. O perito é o encarregado de gerar a cópia forense e fazer a aposição do hash correspondente à fonte de prova digital original (dados e metadados). A lógica é de um lado garantir que técnicas forenses foram utilizadas de modo adequado com a verificação da aplicação metodológica utilizada, para posterior fornecimento da image ao investigador policial responsável pela análise e produção do relatório de informação policial.

Importante compreender que o acesso, por meio remoto, para um coleta dos dados em nuvem em tempo real não se confunde com a ordem de retenção de dados à revelia do portador, essa sim uma medida prospectiva e desproporcional, característica da vigilância informática.

Meios seguros

Trazendo para o caso brasileiro, existem softwares disponíveis no mercado, como por exemplo o Axiom da empresa Magnetic Forensics, muito utilizados pelo FBI e CIA, que possuem um canal seguro com as empresas de tecnologia e permitem a coleta dos dados por meio de acesso remoto, conforme screenshots para demonstrar o layout amigável:

Em comparação ao procedimento utilizado atualmente nas investigações brasileiras, diminuir-se-ia dois atos cruciais de custódia atualmente realizados pelos funcionários das big techs, que não dispõem de metodologia forense, e nem deveriam dispor: a identificação do alvo e a cópia do backup com criptografia e aposição de hash.

Por fim, como já explicamos inúmeras vezes: a quebra da cadeia de custódia significa que foi violado o artigo 158-A do CPP. Prova obtida com violação de norma legal é uma prova ilícita (artigo 157 do CPP) e as provas ilícitas são “inadmissíveis” diz de forma clara, categórica e unívoca a Constituição (artigo 5º, LVI da CF). Portanto, não é questão de valoração! Prova ilícita é inadmissível, não pode nem entrar. Não existe espaço interpretativo para dizer que “inadmissível” significa “admite e depois valora”. Ademais, não se pode esquecer da razão de existirem quatro momentos distintos da prova, não confundíveis em nenhuma hipótese, e de que o filtro de admissibilidade é binário (admite/não admite; lícito/ilícito), diferente do momento  valorativo, epistêmico (maior ou menor credibilidade, confiabilidade), que só ocorre “se” admissível. Logo, a quebra da cadeia de custódia conduz à ilicitude da prova, inadmissível.

[1] ADAM J. Brown et al., Cloud forecasting: Legal visibility issues in saturated environments, Computer Law & Security Review: The International Journal of Technology Law and Practice (2018), p. 5, https://doi.org/10.1016/j.clsr.2018.05.031