Hacking governamental e a indústria da insegurança digital

Em julho, a comunidade internacional recebeu com choque as revelações de que jornalistas, ativistas e políticos de oposição de diversos países tiveram seus smartphones invadidos por governos utilizando um software de espionagem. O Pegasus, como a ferramenta é conhecida, é fornecido pela empresa israelense  NSO Group para agências de inteligência, instituições policiais e órgãos militares no mundo  todo, supostamente com a finalidade exclusiva de combater terroristas e outros criminosos. Na prática, contudo, a investigação jornalística evidenciou que o software era amplamente utilizado para outros objetivos, como monitoramento e repressão política.

Assim como ocorreu com as revelações de Edward Snowden em 2013 sobre os programas de vigilância massivos do governo estadunidense, o caso Pegasus vem provocando repercussões políticas consideráveis. Entre outras, lançou luz sobre a ameaça aos direitos humanos representada pelas interações entre governos desejosos de expandir suas capacidades vigilantistas e empresas cujo modelo de negócios é baseado na exploração comercial da insegurança de nossos dispositivos. O post de hoje discute esses riscos, examinando as implicações do acontecido para o debate sobre a institucionalização do hacking governamental no Brasil.

Entendendo o escândalo Pegasus 

O Pegasus é um software malicioso (malware) capaz de comprometer a maioria dos dispositivos móveis com sistemas operacionais Android e iOS. A infecção do smartphone alvejado pode ocorrer através de um simples clique da vítima em um link suspeito. Alternativamente, pode dispensar qualquer ação do usuário – um mecanismo conhecido como “zero clique” – sendo realizada por transmissão de rede, bastando apenas que haja proximidade física e conhecimento do número telefônico da vítima para tanto.

Uma vez que o alvo tenha sido comprometido, o atacante ganha acesso total às informações do dispositivo, incluindo mensagens de texto, e-mails, senhas, fotos, vídeos, áudios, histórico de buscas e de localização. Adicionalmente, passa a ser capaz de ativar, de forma remota e oculta, a câmera, o microfone e a geolocalização do alvo, bem como interceptar chamadas e mensagens em tempo real.

Embora a existência do Pegasus já fosse conhecida, as revelações recentes lançaram luz sobre a extensão potencial do abuso da ferramenta. A investigação do caso – conduzida por um consórcio internacional de 17 veículos de imprensa em parceria com as ONGs Forbidden Stories e Anistia Internacional – revelou a existência de uma lista com mais de 50 mil números telefônicos de indivíduos considerados como “pessoas de interesse” por governos interessados na ferramenta. 

A investigação identificou os donos de pelo menos mil dos números da lista, que incluíam 14 chefes de Estado, mais de 180 jornalistas e mais de 600 políticos e funcionários públicos. Outros alvos potenciais da vigilância incluíam ativistas, advogados, executivos, professores, pesquisadores acadêmicos, juízes e médicos. Ainda, 67 dispositivos suspeitos de comprometimento passaram por uma análise forense conduzida pelo laboratório de segurança da Anistia Internacional, que encontrou evidências de violação em 37 deles. O número total de dispositivos comprometidos é desconhecido.

A NSO Group, fornecedora do aplicativo, negou as acusações, alegando não ter qualquer relação com a lista, cujo número classificou como “exagerado”. Adicionalmente, declarou não ter acesso a dados sobre os alvos de seus clientes e não operar a tecnologia que vende.

As revelações provocaram reações múltiplas e imediatas. Em um comunicado de imprensa, a Apple condenou os ciberataques contra jornalistas e ativistas dos direitos humanos. A Amazon Web Services, plataforma de serviços de nuvem da empresa, bloqueou as contas do NSO Group. A Alta Comissária de Direitos Humanos das Nações Unidas considerou o ocorrido “extremamente alarmante”, sugerindo que governos regulem a distribuição, uso e exportação de tecnologia de vigilância privada.

Como essas reações evidenciam, o caso suscitou um debate mais amplo sobre as reações de retroalimentação entre o vigilantismo estatal e a exploração comercial da insegurança tecnológica. Na próxima seção, examino brevemente algumas das causas e implicações dessas conexões.

Hacking governamental e a insegurança como negócio

Desde Snowden, sabemos que a cooperação de empresas como Microsoft, Google, Facebook e Apple foi fundamental para a execução dos programas de vigilância massiva conduzidos por diversos governos. O episódio Snowden e outros escândalos, como o caso Cambridge Analytica, favoreceram uma transformação no discurso público sobre privacidade e segurança na última década. Como parte desse movimento, cresceu a pressão por mais privacidade e segurança nos bens e serviços ofertados pelas Big Techs, a exemplo da difusão da criptografia forte para proteção das informações.

Frente a um cenário em que mais segurança digital implica numa suposta redução da capacidade estatal de acessar os conteúdos de comunicações e dispositivos privados, governos recorrem cada vez mais a alternativas fornecidas por empresas especializadas em quebrar essa segurança, comprometendo dispositivos e sistemas. 

A notória disputa pública entre Apple e FBI em 2016 ilustra essa dinâmica: supostamente incapaz de acessar os conteúdos de um iPhone utilizado por um terrorista e diante da recusa da Apple em reduzir a segurança de seu sistema operacional, o FBI recorreu à empresa Cellebrite para desbloqueá-lo. Assim como o NSO Group, a Cellebrite é conhecida por vender a diversos governos tecnologia voltada a quebrar a segurança de dispositivos móveis para fins de extração e análise de dados.

A exploração de falhas de segurança por autoridades para fins de inteligência ou persecução penal é geralmente designada como hacking governamental ou hacking legalmente previsto (tradução livre de lawful hacking). Essas práticas podem envolver tecnologia produzida pelo próprio governo ou, como o caso Pegasus evidenciou ser frequente, ferramentas vendidas por empresas como NSO Group e Cellebrite.

Os riscos do hacking governamental para os direitos humanos já vêm sendo apontados pela comunidade internacional há algum tempo. Em 2018, David Kaye, então relator especial da ONU para a promoção da liberdade de expressão, alertou para uma tendência preocupante à legalização dessas práticas pelos países em instrumentos legais vagos e ambíguos, os quais garantem às autoridades poderes enormes com supervisão externa mínima.

Como exemplo do potencial lesivo dessas práticas, Kaye observa que a legislação estadunidense já permitiu ao FBI, por exemplo, a obtenção de uma autorização judicial para hackear 8700 dispositivos em 120 países ou territórios. Por essas razões, o relator conclamou em 2019 uma moratória imediata sobre a compra, venda e transferência dessas tecnologias até que as preocupações de direitos humanos tenham sido sanadas por arcabouços regulatórios.

Tal posicionamento ecoa críticas de outros atores, as quais ganharam novo fôlego diante do caso Pegasus. Snowden, por exemplo, vem defendendo uma proibição global da compra e venda de software espião, atividades que caracterizam o que ele classifica como uma “indústria da insegurança”. Ele compara esse comércio à venda de armas nucleares, algo contra o qual inexiste defesa, e a uma “indústria de infecções” que não produz segurança, somente insegurança. Em suas palavras:

“A totalidade dos negócios dessa indústria envolve desenvolver novas formas de infecção que neutralizam as últimas vacinas digitais – isto é, as atualizações de segurança – e em seguida vendê-las para países que ocupam a interseção entre “demandar desesperadamente ferramentas de opressão” e “notavelmente carente da sofisticação necessária à sua produção doméstica” (tradução livre).

Quando a indústria da insegurança encontra o tecnoautoritarismo brasileiro

No Brasil, o hacking governamental já é parte da realidade cotidiana das investigações criminais. Não são poucos os relatos de emprego da tecnologia da Cellebrite em inquéritos e operações nacionais. Em maio, veio a público uma tentativa do vereador carioca Carlos Bolsonaro de interferir em uma licitação para a compra do Pegasus pelo Ministério da Justiça. Após o escândalo, também foi publicizada uma negociação para potencial aquisição do programa pela força-tarefa da Operação Lava-Jato em 2018.

Se já é alarmante o emprego desse tipo de expediente na ausência de uma legislação processual penal que discipline a matéria de forma robusta no país, as tentativas de mudar o quadro legal atual parecem agravar o problema. A reforma do Código de Processo Penal brasileiro, objeto de mais de uma década de debates, atraiu críticas nacionais e internacionais de ativistas dos direitos digitais por conter previsões que, caso aprovadas, violariam gravemente os direitos humanos, inclusive no tocante ao hacking governamental.

A proposta de texto que vem embasando as discussões na Câmara dos Deputados autorizaria, em seu art. 304, duas hipóteses de hacking governamental como meio probatório: a “coleta remota, oculta ou não, de dados em repouso acessados à distância” e a “coleta por acesso forçado de sistema informático ou redes de dados”. No primeiro caso, pode-se imaginar sem dificuldade o uso de software espião, a exemplo do Pegasus. No segundo, a tecnologia vendida pela Cellebrite vem à mente.

Como argumentei anteriormente junto do pesquisador Pedro Amaral, essa redação equivale a uma autorização genérica para que o Estado brasileiro faça uso de ferramentas extraordinariamente lesivas sem quaisquer limites ou salvaguardas específicas. É quase como se o texto buscasse exemplificar o problema das redações vagas e ambíguas denunciado por David Kaye.

Mas, para além disso, é preciso considerar o contexto político-jurídico atual que o país enfrenta: um contexto de fragilidade das instituições democráticas, de supressão gradual e progressiva da liberdade de manifestação e de instrumentalização crescente da tecnologia para a efetivação de medidas autoritárias. Em síntese, um contexto de tecnoautoritarismo. Tal é o diagnóstico de relatórios produzidos por organizações como Artigo 19, Data Privacy Brasil e Centro de Análise da Liberdade e do Autoritarismo.

Nessa conjuntura, a legalização de uma prerrogativa genérica de hacking governamental se torna ainda mais perniciosa, pois o risco de abuso não é meramente aquele inerente ao uso dessas ferramentas por autoridades. Pelo contrário, os elementos que conformam a conjuntura brasileira atual oferecem indícios bastante concretos de que, caso o hacking governamental seja normatizado desse modo, a questão não será se os abusos ocorrerão, mas quando.

Conclusão

A existência de uma indústria cujo modelo de negócios é integralmente baseado na exploração de vulnerabilidades de segurança em nossos dispositivos digitais representa um profundo risco democrático a ser reconhecido por nossos formuladores de políticas. Se as ferramentas oferecidas por essas empresas são um terreno fértil para práticas autoritárias e governos vigilantistas, elas consequentemente representam uma ameaça inaceitável aos direitos fundamentais dos cidadãos.

Como alerta Snowden, simplesmente inexiste qualquer defesa contra as armas que tais empresas produzem. Consequentemente, o desenvolvimento de soluções envolve um duplo enfrentamento político: por um lado, é preciso estabelecer limites rígidos às capacidades governamentais de aquisição e emprego desses recursos; por outro, cumpre impor um freio à exploração comercial da insegurança digital, seja por meio de uma proibição ou de uma moratória, conforme vem sendo conclamado pelos relatores especiais da ONU e por Snowden. 

Se podemos aprender algo com o caso Pegasus, é que os riscos dessas soluções não são abstrações com potencial de concretização, elas já estão se concretizando diariamente. Considerando esse fato e a impossibilidade de defesa individual contra tais armas, nos resta demandar remédios ágeis, severos e coletivos contra tais problemas.

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.