Interceptação legal - Lawful interception

Interceptação legal ( LI ) refere-se às instalações em redes de telecomunicações e telefonia que permitem que agências de aplicação da lei com ordens judiciais ou outra autorização legal façam escuta telefônica seletiva para assinantes individuais. A maioria dos países exige que as operadoras de telecomunicações licenciadas forneçam às suas redes gateways e nós de interceptação legal para a interceptação de comunicações. As interfaces desses gateways foram padronizadas por organizações de padronização de telecomunicações. Tal como acontece com muitas ferramentas de aplicação da lei, os sistemas de LI podem ser subvertidos para fins ilícitos.

Com a rede telefônica pública comutada (PSTN) legada , sistemas sem fio e a cabo, a interceptação legal (LI) era geralmente realizada acessando os comutadores mecânicos ou digitais que suportavam as chamadas dos alvos. A introdução de redes de comutação de pacotes, tecnologia de softswitch e aplicativos baseados em servidor durante as últimas duas décadas alterou fundamentalmente a forma como a LI é realizada.

A interceptação legal difere da vigilância em massa do tipo rede de arrasto às vezes feita por agências de inteligência , onde todos os dados que passam por uma emenda de fibra óptica ou outro ponto de coleta são extraídos para armazenamento ou filtragem. Também é separado da retenção de dados de metadados, que se tornou um requisito legal em algumas jurisdições.

Terminologia

Interceptação legal é a obtenção de dados da rede de comunicações de acordo com autoridade legal para fins de análise ou evidência . Esses dados geralmente consistem em sinalização ou informações de gerenciamento de rede ou, em menos casos, o conteúdo das comunicações. Se os dados não forem obtidos em tempo real, a atividade é denominada acesso aos dados retidos (RD).

Existem muitas bases para esta atividade que incluem proteção de infraestrutura e segurança cibernética. Em geral, o operador de infraestrutura de rede pública pode realizar atividades de LI para esses fins. Os operadores de infraestruturas de rede privada nos Estados Unidos têm o direito inerente de manter os recursos de LI em suas próprias redes, a menos que seja proibido de outra forma.

Uma das bases da LI é a interceptação de telecomunicações por órgãos de cumprimento da lei (LEAs), órgãos reguladores ou administrativos e serviços de inteligência, de acordo com a legislação local. Em alguns sistemas jurídicos, as implementações - particularmente o acesso em tempo real ao conteúdo - podem exigir o devido processo e o recebimento da autorização adequada das autoridades competentes - uma atividade que era conhecida anteriormente como "escuta telefônica" e existe desde o início das comunicações eletrônicas. O material abaixo trata principalmente deste segmento estreito de LI.

Descrição técnica

Quase todos os países têm requisitos de capacidade de interceptação legais e os implementaram usando requisitos e padrões globais de LI desenvolvidos pelo European Telecommunications Standards Institute (ETSI) , Third Generation Partnership Project (3GPP) ou organizações CableLabs - para wireline / Internet, wireless e cabo sistemas, respectivamente. Nos EUA, os requisitos comparáveis ​​são habilitados pelo Communications Assistance for Law Enforcement Act (CALEA), com as capacidades específicas promulgadas em conjunto pela Federal Communications Commission e pelo Departamento de Justiça. Nos EUA, a tecnologia de interceptação legal é atualmente patenteada por uma empresa chamada Voip-pal.com sob a publicação USPTO #: 20100150138.

Os governos exigem que as operadoras de telefonia instalem um gateway de interceptação legal (LIG), junto com os nós de interceptação legal (LIN), que permitem interceptar em tempo real chamadas, mensagens SMS, e-mails e algumas transferências de arquivos ou mensagens instantâneas. Essas medidas de LI para vigilância governamental estão em vigor desde o início da telefonia digital.

Para evitar que as investigações sejam comprometidas, os sistemas LI podem ser projetados de forma a ocultar a interceptação da operadora de telecomunicações em questão. Este é um requisito em algumas jurisdições.

Para garantir procedimentos sistemáticos para realizar a interceptação, ao mesmo tempo em que reduz os custos das soluções de interceptação, grupos da indústria e agências governamentais em todo o mundo têm tentado padronizar os processos técnicos por trás da interceptação legal. Uma organização, a ETSI , tem sido um importante impulsionador dos padrões de interceptação legais não apenas na Europa, mas em todo o mundo.

Essa arquitetura tenta definir um meio sistemático e extensível pelo qual os operadores de rede e os agentes de aplicação da lei (LEAs) possam interagir, especialmente à medida que as redes crescem em sofisticação e escopo de serviços. Observe que esta arquitetura se aplica não apenas a chamadas de voz “tradicionais” com e sem fio, mas a serviços baseados em IP, como voz sobre IP , e-mail, mensagens instantâneas, etc. A arquitetura agora é aplicada em todo o mundo (em alguns casos, com pequenas variações na terminologia ), inclusive nos Estados Unidos no contexto da conformidade com a CALEA . Três estágios são necessários na arquitetura:

  1. coleta em que dados e conteúdo de "chamada" relacionados ao objetivo são extraídos da rede
  2. mediação onde os dados são formatados de acordo com padrões específicos
  3. entrega dos dados e conteúdo à agência de aplicação da lei (LEA).

Os dados da chamada (conhecidos como informações relacionadas à interceptação (IRI) na Europa e dados da chamada (CD) nos EUA) consistem em informações sobre as comunicações direcionadas, incluindo o destino de uma chamada de voz (por exemplo, número de telefone da parte chamada), origem de um chamada (número de telefone do chamador), hora da chamada, duração, etc. O conteúdo da chamada é, nomeadamente, o fluxo de dados que transporta a chamada. Incluída na arquitetura está a função de gerenciamento de interceptação legal, que cobre a configuração e desmontagem da sessão de interceptação, programação, identificação do alvo, etc. As comunicações entre a operadora de rede e a LEA são feitas por meio de interfaces de transferência (HI). Os dados e o conteúdo das comunicações são normalmente fornecidos da operadora de rede para a LEA em um formato criptografado por meio de uma VPN baseada em IP. A interceptação de chamadas de voz tradicionais ainda depende frequentemente do estabelecimento de um canal ISDN que é configurado no momento da interceptação.

Conforme declarado acima, a arquitetura ETSI é igualmente aplicável a serviços baseados em IP, onde IRI / CD depende de parâmetros associados ao tráfego de um determinado aplicativo a ser interceptado. Por exemplo, no caso de e-mail IRI seria semelhante às informações do cabeçalho de uma mensagem de e-mail (por exemplo, endereço de e-mail de destino, endereço de e-mail de origem, hora de transmissão do e-mail), bem como informações de cabeçalho pertinentes dentro dos pacotes IP que transmitem a mensagem ( por exemplo, endereço IP de origem do servidor de e-mail que origina a mensagem de e-mail). Obviamente, informações mais detalhadas seriam obtidas pelo sistema de interceptação, de modo a evitar a falsificação de endereço de e-mail usual que ocorre com frequência (por exemplo, falsificação de endereço de origem). Da mesma forma, a voz sobre IP tem seu próprio IRI, incluindo dados derivados de mensagens do protocolo de iniciação de sessão (SIP) que são usadas para configurar e encerrar uma chamada VOIP.

O trabalho do Comitê Técnico da ETSI LI hoje concentra-se principalmente no desenvolvimento de novas especificações de transferência de dados retidos e de rede de última geração , bem como no aperfeiçoamento do inovador conjunto de padrões TS102232 que se aplica à maioria dos usos de rede contemporâneos.

Os padrões de interceptação dos EUA que ajudam as operadoras de rede e provedores de serviços a se conformarem com a CALEA são principalmente aquelas especificadas pela Federal Communications Commission (que tem autoridade legislativa e de revisão plenária sob a CALEA), CableLabs e Alliance for Telecommunications Industry Solutions (ATIS). Os padrões da ATIS incluem novos padrões para acesso à Internet de banda larga e serviços VoIP, bem como o J-STD-025B legado, que atualiza o J-STD-025A anterior para incluir voz em pacotes e interceptação sem fio CDMA.

Para garantir a qualidade das evidências, a Comissão de Credenciamento de Agências de Aplicação da Lei (CALEA) delineou padrões para vigilância eletrônica assim que um pedido de vigilância Título III for aprovado:

  1. Garanta um acesso claro a todos os dados, sem qualquer perda de informações ou impacto na rede que está sendo monitorada
  2. Crie um filtro para aderir aos parâmetros de garantia - intervalo de tempo, tipos de comunicações que podem ser monitorados, evidências a serem coletadas, etc.
  3. Defina o dispositivo de interceptação legal para capturar e / ou armazenar dados de acordo com os parâmetros de garantia.
  4. Entregue dados diretamente da fonte para o dispositivo de mediação sem qualquer intervenção humana ou perda de pacotes

Padrões globais genéricos também foram desenvolvidos pela Cisco por meio da Internet Engineering Task Force (IETF), que fornece um meio de front-end de suporte à maioria dos padrões de transferência em tempo real da LI. Todos esses padrões foram questionados como "deficientes" pelo Departamento de Justiça dos EUA de acordo com a CALEA.

Leis

O principal instrumento jurídico baseado em tratado global relacionado à LI (incluindo dados retidos) é a Convenção sobre Crime Cibernético (Budapeste, 23 de novembro de 2001). O secretariado da Convenção é o Conselho da Europa. No entanto, o próprio tratado tem signatários em todo o mundo e oferece um escopo global.

Cada país tem diferentes requisitos legais relacionados à interceptação legal. O Fórum Global da Indústria de Interceptação Legal lista muitos deles, assim como o secretariado do Conselho da Europa. Por exemplo, no Reino Unido a lei é conhecida como RIPA (Regulation of Investigatory Powers Act), nos Estados Unidos há uma série de leis criminais federais e estaduais, nos países da Comunidade dos Estados Independentes como SORM .

Europa

Na União Europeia , a Resolução do Conselho Europeu de 17 de Janeiro de 1995 sobre a Intercepção Legal de Telecomunicações (Jornal Oficial C 329) impôs medidas semelhantes à CALEA numa base pan-europeia. Embora alguns países membros da UE tenham aceitado relutantemente esta resolução por questões de privacidade (que são mais pronunciadas na Europa do que nos EUA), parece agora haver um acordo geral com a resolução. Os mandatos de interceptação na Europa são geralmente mais rigorosos do que os dos Estados Unidos; por exemplo, os operadores de rede pública de voz e ISP na Holanda foram obrigados a oferecer suporte a recursos de interceptação por anos. Além disso, as estatísticas disponíveis publicamente indicam que o número de interceptações na Europa excede em muitas centenas de vezes as realizadas nos Estados Unidos.

A Europa continua a manter o seu papel de liderança global neste setor através da adoção pelo Parlamento Europeu e o Conselho em 2006 da Diretiva de Retenção de Dados de longo alcance . As disposições da diretiva aplicam-se amplamente a quase todas as comunicações eletrónicas públicas e exigem a captura da maior parte das informações relacionadas, incluindo a localização, para todas as comunicações. As informações devem ser armazenadas por um período de pelo menos seis meses, até dois anos, e disponibilizadas às autoridades policiais mediante solicitação legal. A diretiva foi amplamente emulada em outros países. Em 8 de abril de 2014, o Tribunal de Justiça da União Europeia declarou a Diretiva 2006/24 / CE inválida por violação dos direitos fundamentais.

Estados Unidos

Veja também: Vigilância em massa nos Estados Unidos

Nos Estados Unidos , três estatutos federais autorizam a interceptação legal. O Omnibus Crime Control and Safe Streets Act , Título III, de 1968 , refere-se principalmente a investigações criminais de interceptação legal . A segunda lei, a Lei de Vigilância de Inteligência Estrangeira de 1978 , ou FISA, conforme alterada pela Lei Patriota , rege a escuta telefônica para fins de inteligência em que o sujeito da investigação deve ser um estrangeiro (não americano) ou uma pessoa que trabalha como agente em nome de um país estrangeiro. Os relatórios anuais do Administrador dos Tribunais dos Estados Unidos indicam que os casos federais estão relacionados à distribuição ilegal de drogas , sendo os telefones celulares a forma dominante de comunicação interceptada.

Durante a década de 1990, como na maioria dos países, para ajudar a aplicação da lei e o FBI de maneira mais eficaz a realizar operações de escuta telefônica, especialmente em vista da voz digital emergente e das redes sem fio da época, o Congresso dos Estados Unidos aprovou a Lei de Assistência à Comunicação para Cumprimento da Lei ( CALEA) em 1994. Esta lei fornece a estrutura legal federal para a assistência do operador de rede às LEAs no fornecimento de evidências e informações táticas. Em 2005, o CALEA foi aplicado em redes públicas de banda larga de acesso à Internet e serviços de Voz sobre IP interligados à Rede Pública de Telefonia Comutada (RTPC).

Na década de 2000, o foco da vigilância voltou-se para o terrorismo. A vigilância sem mandado da NSA fora da supervisão do tribunal da FISA causou considerável controvérsia. Foi revelado em 2013 divulgações de vigilância em massa que desde 2007, a Administração de Segurança Nacional tem coletado metadados de conexão para todas as chamadas nos Estados Unidos sob a autoridade da seção 215 da Lei PATRIOTA, com a cooperação obrigatória das companhias telefônicas e com a aprovação do Tribunal da FISA e briefings ao Congresso. O governo afirma que não acessa as informações de seu próprio banco de dados sobre contatos entre cidadãos americanos sem mandado.

A interceptação legal também pode ser autorizada pelas leis locais para investigações policiais estaduais e locais.

Canadá

A capacidade da polícia de interceptar legalmente comunicações privadas é regida pela Parte VI do Código Penal do Canadá (invasão de privacidade). Ao avaliar a posição do Canadá sobre a interceptação legal, os tribunais canadenses emitiram duas decisões importantes sobre esta questão. Em junho de 2014, a Suprema Corte decidiu que os policiais precisam de um mandado de busca antes de acessar informações de provedores de serviços de Internet sobre as identidades dos usuários. O contexto por trás dessa decisão 8-0 é um adolescente de Saskatchewan acusado de posse e distribuição de pornografia infantil. A polícia usou o endereço IP do homem para acessar suas informações pessoais de seu provedor de serviços online - tudo isso sem um mandado de busca. Os advogados do queixoso alegaram que os direitos do seu cliente foram violados, uma vez que foi vítima de busca e apreensão ilegal. Apesar da decisão do tribunal, as provas recolhidas na busca injustificada foram utilizadas como prova no julgamento, uma vez que o tribunal alegou que a polícia estava a agir de boa fé. De acordo com a decisão, o tribunal declara que um mandado não é necessário se:

  1. “Existem circunstâncias exigentes, como onde as informações são necessárias para evitar danos corporais iminentes.”
  2. “Se houver uma lei razoável autorizando o acesso.”
  3. “Se as informações solicitadas não geram uma expectativa razoável de privacidade.”

O segundo processo judicial a que se refere é do mesmo ano, mas em dezembro. Essencialmente, a Suprema Corte do Canadá argumentou que a polícia tem permissão para acessar o celular de um suspeito, mas deve obedecer a diretrizes muito rígidas. Esta decisão surgiu a partir do argumento de Kevin Fearon, que foi condenado por assalto à mão armada em 2009. Depois de roubar um quiosque de joalheria de Toronto, Fearon argumentou que a polícia violou ilegalmente seus direitos legais ao revistar seu celular sem um mandado. Embora dividida, a Suprema Corte estabeleceu critérios muito detalhados para os policiais seguirem ao revistar o telefone de um suspeito sem um mandado. Existem quatro regras que os oficiais devem seguir nestes casos:

  1. “A prisão deve ser legal - é o caso para qualquer situação; significa apenas que se a prisão não for legal, a busca também não será. ”
  2. “A busca deve ser secundária à prisão e a polícia precisa de um motivo“ objetivamente razoável ”para conduzir a busca. Isso inclui: proteger a polícia / o acusado / o público; preservação de evidências; descobrir evidências, como encontrar mais suspeitos. ”
  3. “A natureza e a extensão da pesquisa são adaptadas ao propósito da pesquisa. Isso significa que a atividade policial no telefone deve estar diretamente ligada ao propósito que eles dão. ”
  4. “A polícia deve fazer anotações detalhadas sobre o que olhou no dispositivo, bem como como foi pesquisado (por exemplo, quais aplicativos ou programas eles examinaram, a extensão da pesquisa, o tempo da pesquisa, sua finalidade e duração)”

Para continuar uma busca sem um mandado, a situação em questão precisaria atender a três das quatro diretrizes declaradas acima. No entanto, o tribunal incentiva veementemente a aplicação da lei a solicitar um mandado antes de pesquisar um telefone celular para promover e proteger a privacidade no Canadá.

Rússia

Devido à Lei Yarovaya , as autoridades policiais têm o direito de armazenar dados de comunicação privados.

Em outro lugar

A maioria dos países em todo o mundo mantém os requisitos de LI semelhantes aos da Europa e dos EUA, e mudou para os padrões de transferência ETSI. A Convenção sobre Crime Cibernético exige esses recursos.

Uso ilegal

Tal como acontece com muitas ferramentas de aplicação da lei, os sistemas de LI podem ser subvertidos para fins ilícitos, produzindo uma violação dos direitos humanos, conforme declarado pelo Tribunal Europeu de Direitos Humanos no caso Bettino Craxi III v. Itália . Também ocorreu na Grécia durante as Olimpíadas de 2004: a operadora de telefonia Vodafone Grécia foi multada em US $ 100 milhões em 2006 (ou € 76 milhões) por não proteger seus sistemas contra acesso ilegal. De acordo com Monshizadeh et al., O evento é representativo da vulnerabilidade de redes móveis e provedores de serviços de Internet a ataques cibernéticos por usarem mecanismo de LI desatualizado.

Mais informações: caso grego de escuta telefônica 2004–2005

Notas

Veja também

Referências

  • ETSI, interface de transferência para a interceptação legal de tráfego de telecomunicações, ETSI TS 101 671 , versão 3.15.1, junho de 2018. (Arquivo PDF, 728 KB)
  • ETSI, interface de transferência e detalhes específicos de serviço (SSD) para entrega de IP; Parte 1: Especificação de transferência para entrega IP, ETSI TS 101 232-1 , versão 3.7.1, 2014-07-25. (PDF, Word e zip)
  • ETSI, interface de transferência e detalhes específicos de serviço (SSD) para entrega de IP; Parte 2: Detalhes específicos do serviço para serviços de e-mail, ETSI TS 101 232-2 , versão 3.7.1, 2014-02-21. (HTML, Word e zip)
  • ETSI, interface de transferência e detalhes específicos de serviço (SSD) para entrega de IP; Parte 3: detalhes específicos do serviço para serviços de acesso à Internet, ETSI TS 102 232-3 , versão 2.2.1, janeiro de 2009. (Arquivo PDF, 430 KB)
  • ETSI, interface de transferência e detalhes específicos de serviço (SSD) para entrega de IP; Parte 4: detalhes específicos do serviço para serviços da Camada 2, ETSI TS 102 232-4 , versão 3.4.1, agosto de 2017. (arquivo PDF, 241 KB)
  • ETSI, interface de transferência e detalhes específicos de serviço (SSD) para entrega de IP; Parte 5: detalhes específicos do serviço para serviços de multimídia IP, ETSI TS 102 232-5 , versão 3.2.1, junho de 2012. (Arquivo PDF, 209 KB)
  • ETSI, interface de transferência e detalhes específicos de serviço (SSD) para entrega de IP; Parte 6: detalhes específicos do serviço para serviços PSTN / ISDN, ETSI TS 102 232-6 , versão 3.3.1, março de 2014. (Arquivo PDF, 90 KB)
  • ETSI, interface de transferência e detalhes específicos de serviço (SSD) para entrega de IP; Parte 7: detalhes específicos do serviço para serviços móveis, ETSI TS 102 232-7 , versão 2.1.1, agosto de 2008. (Arquivo PDF, 66 KB)
  • ETSI, interface de transferência para a solicitação e entrega de dados retidos, ETSI TS 102 657 , versão 1.7.1, outubro de 2010. (Arquivo PDF, 561 KB)
  • Interface de transferência para a intercepção legal de tráfego de telecomunicações, ETSI ES 201 671, ao abrigo da intercepção legal, segurança de telecomunicações, versão 3.1.1, maio de 2007.
  • Projeto de Parceria de 3ª Geração, Especificação Técnica 3GPP TS 33.106 V5.1.0 (2002–09), “Requisitos de Interceptação Legal (Versão 5),” setembro de 2003.
  • Projeto de Parceria de 3ª Geração, Especificação Técnica 3GPP TS 33.107 V6.0.0 (2003–09), “Arquitetura e funções de interceptação legal (Versão 6),” setembro de 2003.
  • Projeto de Parceria de 3ª Geração, Especificação Técnica 3GPP TS 33.108 V6.3.0 (2003–09), “Interface de transferência para interceptação legal (versão 6),” setembro de 2003.
  • Especificação de Vigilância Eletrônica PacketCable, PKT-SP-ESP-I03-040113 , Cable Television Laboratories Inc., 13 de janeiro de 2004.
  • T1.678, Vigilância Eletrônica Autorizada Legalmente (LAES) para Tecnologias de Voz sobre Pacotes em Redes de Telecomunicações Fixas.
  • Vigilância eletrônica legalmente autorizada, padrão conjunto ATIS / TIA, documento número J-STD-025B, dezembro de 2003 (embora contestado como deficiente).

links externos