Por Deivi Kuhn *
O Ministério da Justiça lançou uma licitação para aquisição de uma ferramenta de espionagem e invasão que permite monitorar toda a atividade de dispositivos móveis. Esse edital causou grande impacto nos especialistas, pois claramente direciona para aquisição do software Pegasus, da israelense NSO Group. Conforme reportagem da UOL[1] essa aquisição teria o envolvimento do vereador do Rio de Janeiro Carlos Bolsonaro, filho do presidente.
O Pegasus possui um histórico de uso em ataques a opositores e jornalistas, de diferentes locais do mundo. O seu uso pelo governo do ex-presidente do México Enrique Peña Neto para vigiar jornalistas[2] e pela Arábia Saudita para assassinar o jornalista Jamal Khasoggi[3] demonstram o perigo que estamos correndo.
Para entender melhor essa aquisição e seu ataque ao Estado de Direito, é fundamental entendermos que, em qualquer democracia, há um mecanismo de proteção e que foi completamente ignorado nessa aquisição. O chamado uso de pesos e contrapesos, ou seja, para a polícia ou Ministério Público interceptar telefones deveria haver uma ordem judicial.
Não é de hoje que órgãos de polícia tentam burlar o Estado de Direito, muitas vezes buscando alterar a lei para que a espionagem possa ocorrer sem necessitar de autorização. Eu mesmo tive que lidar com péssimos argumentos ao discutir com policiais em mais de um momento.
O Judiciário deve imediatamente ter controle sobre a utilização desses softwares para evitar que seu uso ocorra sem supervisão, monitorando adversários políticos, jornalistas, advogados e quem sabe até o próprio STF.
Esse tipo de ferramenta atua através de ataque a um determinado dispositivo, com o intuito de instalar o software espião que passa a reportar toda e qualquer atividade realizada. Sendo executado pelo próprio sistema operacional, mesmo informações criptografadas são acessadas pois a chave utilizada é armazenada localmente.
Para instalar o software espião são utilizadas várias técnicas para crackear[4] Os dispositivos que, supostamente, são pertencentes ao alvo a ser monitorado. São realizados ataques utilizando falhas de segurança, tanto conhecidas, aproveitando um sistema desatualizado, como não conhecidas. Uma das estratégias utilizadas é enviar um link via SMS para enganar o usuário e acionar uma página que realiza o ataque (phishing).
Depois de instalado o software passa a registrar todas as atividades realizadas no celular, incluindo mensagens de texto, ligações e qualquer arquivo armazenado, como fotos e vídeos. Ainda é possível ligar remotamente o microfone e a câmera para acompanhar o que está acontecendo no exato momento.
Se proteger desse ataque, que abre brechas de segurança que podem ser exploradas até por outras pessoas, não é tarefa fácil. Devemos manter os celulares sempre atualizados, em especial os sistemas operacionais, instalar apenas softwares conhecidos e não acessar links recebidos, especialmente via SMS[5].
Um grupo de ativistas, chamado The Citzen Lab[6] monitorou o funcionamento da ferramenta e descobriu 1.400 pessoas monitoradas, incluindo ativistas da sociedade civil e jornalistas de importantes veículos de comunicação. Essa descoberta levou o WhatsApp a abrir um processo contra a companhia[7].
Por explorar falhas de segurança de forma massiva, podemos supor que Iphone, sistema completamente padronizado, é mais exposto a esse tipo de acesso. A própria NSA, agência de espionagem dos EUA, criou uma ferramenta própria para essa finalidade[8]. Como o sistema Android possui uma diversidade maior, ele demanda um esforço maior para ser invadido.
O fato é que o sistema da NSO Group deve possuir catalogadas falhas de segurança dos dispositivos que, associado ao descuido dos usuários e a informações privilegiadas obtidas por outros meios, deve possibilitar o acesso à maior parte dos alvos pretendidos.
O processo de aquisição do Ministério da Justiça espanta todos os especialistas, principalmente por ser realizado fora do âmbito dos seus possíveis usuários. Com ele será possível atacar todos os alvos, seus amigos e familiares, que terão seus dados expostos não só para a quem o executa, mas para a empresa desenvolvedora, quem conhece a falha e mesmo usuários não autorizados institucionalmente.
Com acesso a esse tipo de ferramenta, atitudes de repressão à democracia, como a que levou à prisão do ativista Rodrigo Pilha, com quem já estive junto em inúmeras atividades, pode se tornar ainda mais comum. Esse ato covarde ocorreu porque ele estava portando um cartaz que chamava o presidente de genocida. Ele foi espancado de forma covarde pelo aparato de repressão[9]. Minha solidariedade, logo estaremos juntos em novas lutas. Eles não passarão.
Devemos cobrar de maneira enérgica que esse tipo de ferramenta não possa ser utilizada de forma política e indiscriminada. Para isso, o Judiciário deve notificar os representantes da empresa e o executivo para que seu uso ocorra apenas com autorização de um Juiz. Já o legislativo deve estabelecer regras mais claras para garantir nossa liberdade.
A constituição é clara:
“é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;”
O completo descaso das tecnologias atuais com a privacidade acaba por apoiar estados autoritários a realizar prisões injustas e assassinatos em todo mundo. Devemos proteger nosso Estado de Direito antes que seja tarde demais.
Com colaboração de Yuri Formiga
*Deivi Kuhn é analista de sistemas, ativista por um mundo com conhecimento e tecnologias livres e compartilhadas.
**Este artigo não reflete, necessariamente, a opinião da Revista Fórum.
[1] https://www.youtube.com/watch?v=YRp5h_9d2Ek
[2] https://www.nytimes.com/2017/06/19/world/americas/mexico-spyware-anticrime.html
[3] https://www.haaretz.com/israel-news/.premium-israeli-spyware-was-used-to-track-saudi-journalist-khashoggi-edward-snowden-says-1.6633745
[4] Hacker não possui sentido negativo na nossa área. Quem tira proveito de falhas de seguranças para obter vantagens é chamado de Cracker.
[5] https://www.youtube.com/watch?v=JICbzG8DZd4
[6] https://citizenlab.ca/
[7] https://citizenlab.ca/category/research/targeted-threats/
[8] https://www.forbes.com/sites/erikkain/2013/12/30/the-nsa-reportedly-has-total-access-to-your-iphone/?sh=34a569822ad1
[9] https://revistaforum.com.br/noticias/exclusivo-pilha-foi-espancado-e-torturado-na-prisao/