Quanto você pagaria para descobrir um segredo guardado a sete chaves? Governos e autoridades nacionais estão desembolsando quantias consideráveis quando o assunto é obter informações.

1. Mas o que é lawful hacking?

Para explicarmos o que é lawful hacking, primeiramente teríamos que entender o contexto em que este termo se insere. Com o desenvolvimento tecnológico e, consequentemente, de novos meios de comunicação, técnicas e ferramentas anteriormente utilizadas para a interceptação e monitoramento de comunicações em trânsito tornaram-se insuficientes e obsoletas.

No Brasil, a segurança das nossas comunicações está respaldada pela nossa Constituição Federal, em seu art. 5º, inciso XII, que fala da inviolabilidade do sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas. Apesar da Lei de Interceptações falar da possibilidade da interceptação de comunicações em andamento, no âmbito de investigações, mediante ordem judicial, ainda não há clareza quanto à possibilidade de obtenção de um acesso legal a dados armazenados em dispositivos móveis ou em comunicações em trânsito ocorridas no âmbito de aplicativos. 

A questão encontra desafios técnicos, jurisdicionais e lacunas legislativas, pois, na maioria das vezes, a viabilidade técnica passa pelo acesso a serviços e servidores encontrados fora do Brasil ou é impossibilitada pela arquitetura da aplicação, que conta, muitas vezes, com criptografia de ponta a ponta, ou seja, aquela que não permite acesso ao conteúdo da mensagem a outros indivíduos que não sejam os emissores e receptores da mensagem, nem mesmo aos desenvolvedores da aplicação. 

É preciso lembrar também que, a partir da conjuntura legislativa brasileira atual, empresas desenvolvedoras ou detentoras dos aplicativos em questão não são obrigadas a prever a habilidade de quebra da criptografia em seus produtos.  Assim, em meio à discussão que foca na dificuldade de acesso por forças policiais e autoridades a conteúdos criptografados, – nomeada por alguns de Going Dark devido à suposta diminuição da capacidade de investigação de autoridades – muitos têm apresentado como alternativa promissora o lawful hacking. 

Assim, em vez de exigir a instalação de um backdoor ou exigir que a empresa desenvolvedora do software realize alterações que concedam acesso imediato a informações criptografadas, por meio do lawful hacking agentes do governo buscam outras técnicas – geralmente envolvendo códigos maliciosos e a exploração de vulnerabilidades – e outras estruturas legais para obter acesso a um sistema. 

2. Clientela VIP

A partir de pesquisas produzidas pela Electronic Frontier Foundation, Citizen Lab, Anistia Internacional e Privacy International, constatou-se que a prática vem se popularizando e gerando grandes margens de lucro por meio de produtos chamados de “software de interceptação legal”, que são produzidos por empresas privadas com sede em diversos países como no Reino Unido e na Alemanha (FinFisher), nos Estados Unidos (Verint), na Itália (Hacking Team) e em Israel (NSO Group, Ability, e Elbit Systems). Essas empresas possuem como clientes governos de todos os continentes.

Mais recentemente, uma nova aliança de empresas lançou a Intellexa, um consórcio que espera desafiar o NSO Group e a Verint no crescente mercado de “interceptação legal”. No final de maio de 2019, a Senpai, uma empresa de consultoria e P&D especializada em soluções de inteligência cibernética e inteligência artificial, juntou-se à Intellexa como o quarto parceiro oficial (cinco outros não são nomeados publicamente). Durante a presente pandemia ocasionada pela Covid-19, a Intellexa oferece até uma “abordagem holística para ajudar os países a gerenciar e monitorar a crise na esfera geográfica e digital” por meio de ferramentas de vigilância que se utilizam de dados de geolocalização e monitoramento de atividades em redes sociais para fins de detecção de “parentes e pessoas próximas de pessoas infectadas”.

Particularmente preocupante para a sociedade civil é a incerteza jurídica dessas ferramentas de spyware. Enquanto centros de pesquisa continuam descobrindo casos de abusos e advogados de indivíduos monitorados tentam ​​levar a briga aos tribunais, os contratos com governos e autoridades para venda e implantação dessas ferramentas de vigilância continuam com pouca ou nenhuma transparência ou supervisão.

Em 2018, pesquisadores descobriram que o spyware Pegasus, produzido pelo NSO Group, foi utilizado em 45 países, incluindo no Brasil. Destes, seis países (Cazaquistão, Bahrain, México, Marrocos, Arábia Saudita e Emirados Árabes) tinham histórico de uso de softwares de espionagem e perseguição contra civis. A Polícia Federal (PF) brasileira, no entanto, negou o uso do software e explicou que esse tinha sido utilizado “apenas em um teste de conceito”, procedimento em que o produto é testado nos aparelhos de policiais. Não se sabe, contudo, se foi o “teste conceito” o responsável pelo rastro captado pelos pesquisadores no Brasil. De acordo com o delegado Alexandre Custódio Neto, em 2018, a pedido do Ministério Público Federal (MPF) e da Procuradoria-Geral da República (PGR), a NSO Group buscou uma maneira de tornar o software auditável pelas autoridades brasileiras, uma vez que, do contrário, “seria impossível usar o conteúdo captado pelo spyware como prova judicial”. Entretanto, quando procuradas novamente por jornalistas, a PF e a PGR negaram ter participado de negociações com o NSO Group.

Esse não foi o primeiro caso de uma possível contratação destes tipos de serviços por autoridades brasileiras. Em 2015, por exemplo, descobriu-se, por meio de documentos publicados pelo WikiLeaks, que a empresa italiana Hacking Team, especializada em “tecnologia de segurança ofensiva” – ou seja, vigilância e monitoramento digital – atuava fortemente, desde o ano de 2011, junto à Polícia Federal, ao Exército brasileiro e a diversas polícias estaduais. Segundo mensagens de e-mail trocadas em maio de 2015, por exemplo, por meio de um contrato com a representante nacional YasniTech, um dos polêmicos softwares de espionagem da Hacking Team foi usado para uma investigação da Polícia Federal, em um projeto piloto de três meses. É importante lembrar que essa não é a única empresa com quem autoridades brasileiras mantém negociações e contratos: softwares espiões das empresas israelense Elbit Systems e da britânica Gamma Group também já foram utilizados.

3. A ética também está à venda?

O lawful hacking também é um dos responsáveis por um sério dilema ético criado para governos ao redor do globo que o utilizam. Para que a tática funcione, autoridades não podem informar as empresas, pelo menos algumas, das vulnerabilidades que descobriram. Os governos são simultaneamente encarregados de, por um lado, ajudar a proteger o público de explorações no âmbito digital e, por outro, adquirir informações úteis a agências de inteligência, aplicação da lei e missões militares. Entretanto, a decisão de não publicizar uma vulnerabilidade zero-day provavelmente compromete a segurança cibernética do público, empresas e até agências governamentais.  

Na última década, ataques como Stuxnet, WannaCry e NotPetya aumentaram a demanda por explorações de vulnerabilidades, criando um mercado altamente lucrativo e, muitas vezes, antiético. Em 2012, países ocidentais ofereciam de 10 a 100 vezes as recompensas oferecidas pelas empresas de software. Assim, o surgimento de grandes fornecedores de malware privados foi apenas uma questão de tempo. Embora os próprios governos descubram muitas das vulnerabilidades que usam, eles também dependem fortemente deste mercado. Quando o FBI tentou forçar a Apple a desbloquear o iPhone de um dos atiradores do atentado de San Bernardino, o que acabou com o impasse foi a ajuda prestada à agência por hackers profissionais anônimos. Da mesma forma, o malware do NSO Group foi utilizado em operações policiais de alta complexidade como na prisão do traficante mexicano El Chapo em 2016. 

Em 2010, a fim de gerenciar o uso e a divulgação destas vulnerabilidades, um grupo de trabalho liderado pelo Diretor de Inteligência Nacional do governo Obama contribuiu para a criação do Vulnerabilities Equities Process (VEP). No entanto, só em 2014 que o VEP se tornou público, em parte devido a uma postagem no blog do então Assistente Especial do Presidente e Coordenador de Segurança Cibernética, Michael Daniel e uma ação movida pela Electronic Frontier Foundation. Com fundamentação legal no Freedom of Information Act, a ação buscava acesso ao funcionamento do VEP. Finalmente, em janeiro de 2016, o governo lançou uma versão editada do VEP de 2010. Após insistência do público, seguiu-se uma “carta” substituta do VEP divulgada pelo governo Trump em novembro de 2017.

Uma das maiores preocupações sobre o VEP é que ele fornece um impulso para um mercado crescente de vulnerabilidades não reveladas. Mas esse é um mercado que já existe há algum tempo, sendo anteriormente dominado por empresas que ofereciam “bug-bounties” para aqueles que encontravam vulnerabilidades de segurança em seus produtos. Isso incentivava hackers a divulgar vulnerabilidades que poderiam ser corrigidas, melhorando a segurança do software. Também incentivou os fornecedores a desenvolver produtos mais seguros, em vez de arcar com os prejuízos e o dano a sua imagem envolvidos no anúncio e correção de cada nova vulnerabilidade. 

Hoje, o crescente número de países, entre eles o Reino Unido e a Alemanha, que buscam criar os seus próprios VEP, representa, possivelmente, o estabelecimento de um novo padrão relacionado a como as nações podem e devem usar desse artifício para melhorar a segurança cibernética, criar transparência e incentivar a boa governança e administração de recursos. Entretanto, nos Estados Unidos, a falta de transparência no VEP continua sendo a maior crítica ao processo. Para alguns especialistas, o equilíbrio pode ser encontrado por meio de uma composição multissetorial do comitê. Por meio da inserção de um ou dois representantes eleitos e organizações representantes da sociedade civil, é possível combater possíveis abusos por parte de agências de inteligência e militares em relação a retenção de informações.

4. A liquidação da privacidade (e outros direitos)

Em 2018, durante o encontro do Sistema Nacional de Prevenção e Repressão a Entorpecentes (Siren), o delegado da Polícia Federal Alexandre Custódio Neto realizou uma apresentação acerca de um equipamento capaz de invadir um telefone celular à distância, sem que o alvo perceba, e captar absolutamente tudo que houver no aparelho. Produzido pelo NSO Group, este equipamento era o Pegasus, capaz de coletar desde o histórico de conversas do WhatsApp e do Telegram até os lugares por onde o alvo passou, quanto tempo permaneceu em cada um, sua localização exata, além do som e das imagens do ambiente por meio da ativação de microfone e câmera feita remotamente e em tempo real, tudo isso sem que um clique do usuário fosse necessário. 

Em outubro de 2019, a questão ganhou novos contornos e as primeiras páginas de diversos noticiários quando o WhatsApp decidiu processar a empresa israelense NSO Group por instalar um malware de vigilância nos telefones de mais de mil usuários do WhatsApp, incluindo jornalistas e ativistas defensores de direitos humanos. A vulnerabilidade do WhatsApp que o NSO Group explorou foi divulgada publicamente em maio de 2019 e corrigida pouco tempo depois. O instrumento legal no qual o WhatsApp baseou a sua ação foi principalmente a Computer Fraud and Abuse Act (CFAA), i.e., a Lei de Fraudes e Abusos de Computador norte-americana, a principal lei federal que criminaliza hackers e que também permite ações privadas.

Enquanto o site do NSO Group anuncia como objetivo principal do seu produto ajudar “agências governamentais a prevenir e investigar terrorismo e crime”, cada vez mais denúncias de relações entre o malware do NSO Group e violações de direitos humanos em todo o mundo são publicadas – principalmente ligadas ao assassinato do jornalista Jamal Khashoggi, embora o grupo negue que seu software esteja envolvido no caso. Apesar do Whatsapp ter estruturado a sua ação no contexto de violações de direitos humanos, as implicações desse julgamento podem ir além disso. 

Embora a CFAA não se aplique a “atividades de investigação, proteção ou inteligência legalmente autorizadas” pelo governo, não há exceção para atores privados, como é o caso das empresas de cibersegurança que encontram vulnerabilidades – ou malwares com base nessas vulnerabilidades – e as vendem ao governo. Se o caso WhatsApp vs. NSO conseguir inaugurar um novo precedente, é provável que o mercado de vulnerabilidades cibernéticas corra riscos, aumentando assim as quantias desembolsadas por governos para fins de lawful hacking.

Assim como Riana Pfefferkorn, diretora associada de vigilância e segurança cibernética do Centro de Internet e Sociedade da Stanford Law School, muitos afirmam que o WhatsApp já conseguiu uma significativa vitória. Ao revelar a extensão dos supostos ataques do grupo, introduzindo a questão acerca da possibilidade da empresa ter violado uma lei federal norte-americana, pode-se dizer que o golpe foi bastante sentido pela equipe de relações públicas e nas estruturas do NSO Group.

Apesar da grande repercussão na mídia, este não é o primeiro escândalo em que a empresa se envolve. Em 2017, pesquisadores do CitizenLab descobriram, ao analisar retrospectivamente mensagens de texto de dezenas de advogados, jornalistas, defensores de direitos humanos, políticos da oposição, advogados anticorrupção mexicanos, que estes foram alvo do spyware Pegasus produzido pela empresa. As revelações no México provocaram um grande escândalo político, que ficou conhecido como o #GobiernoEspía, e uma investigação criminal subsequente.

Embora a NSO seja talvez a mais infame fabricante de spywares móveis, ela é apenas uma das muitas empresas obscuras que oferecem esses tipos de malware para smartphones. Embora oficialmente projetados para atacar criminosos e terroristas, podem ser usados para atacar ativistas, advogados e outros membros da sociedade civil. Dezenas de empresas de spyware oferecem uma variedade de ferramentas de vigilância por smartphone, desde gravação de vídeo e áudio até monitoramento de localização e texto ofertando os seus produtos a regimes  ditatoriais ou governos com históricos duvidosos de violações a direitos humanos. 

Percebe-se que a falta de transparência quanto ao funcionamento e adoção dessas ferramentas por países não é exclusividade do panorama brasileiro. É importante ressaltar que, em relatório publicado em 2019, o relator especial das Nações Unidas sobre liberdade de opinião e expressão, David Kaye, pediu a moratória imediata da venda, transferência e uso da tecnologia de vigilância até que estruturas regulatórias compatíveis com os direitos humanos sejam construídas. Em seu relatório, Kaye apontou para o discurso inaugural do Alto Comissariado para os Direitos Humanos, sobre privacidade na era digital,  e concluiu que, em muitos Estados, as práticas – que envolviam falta de legislação e/ou aplicação nacional adequada, fracas salvaguardas processuais e supervisão ineficaz – haviam contribuído para a falta de responsabilização pela vigilância digital ilegal.

5. Qual o preço a se pagar?

Com o advento e a preocupante implementação cada vez maior por parte de governos ao redor do mundo de novas tecnologias de monitoramento, devemos nos questionar se realmente o poder de investigação de autoridades policiais encontra-se reduzido. Será que o nível de monitoramento (invasivo) realizado por autoridades e agências de investigação, por meio de técnicas como o perfilamento e a coleta de dados não cresceu ao longo das últimas décadas? 

Até o momento, nem as estruturas jurídicas domésticas que governam a importação e a implantação destas tecnologias, nem a autorregulamentação do setor, estão efetivamente impedindo ou abordando os abusos ou temas aqui relatados. Apesar de determinadas atividades serem perfeitamente legais em certos países e criminalizadas em outros, especialmente no que se refere ao cerceamento do direito à privacidade e à aplicação da lei, devemos questionar e debater acerca destes “dilemas éticos” postos ao longo desta reflexão. Afinal, defendemos um Estado democrático de direito onde se garante o respeito às liberdades civis e aos direitos humanos por meio de garantias fundamentais e do estabelecimento de uma proteção jurídica. 

Quando abdicamos de direitos fundamentais e utilizamos a nossa privacidade como moeda de troca em transações que envolvem esquemas de vigilância opacos, o preço a se pagar parece ser exorbitante. A atual impossibilidade de criação de uma tecnologia ‘perfeita’ parece deixar muitos de nós “em paz” com a existência de vulnerabilidades – ocultas ou não – que continuarão a desempenhar um papel na segurança cibernética e na segurança nacional. No entanto, devemos vigiar os vigilantes a fim de evitar abusos que, frequentemente, comprometem não só a segurança cibernética de cidadãos e empresas como também a vida de milhares. As normas que envolvem transparência, participação e cooperação do governo com partes interessadas da sociedade civil, comunidade científica e do mercado devem ser encorajadas e implementadas como um passo inicial para informar, de maneira justa, as escolhas que propostas de segurança oferecem.

(Esse texto faz parte do projeto “Encriptação: liberdades e tensões no Brasil”)

Mariana Canto

Diretora e Secretária Geral do IP.rec. Mestra e Chevening Scholar 2021/22 em “Science and Technology in Society” pela Universidade de Edimburgo, no Reino Unido. Graduada em Direito pela Universidade Federal de Pernambuco, tendo estudado parte do seu curso na Universidade de Hamburgo, na Alemanha. É pesquisadora visitante e German Chancellor Fellow (Bundeskanzler-Stipendium) 2022/23 no Wissenschaftszentrum Berlin für Sozialforschung (WZB), na Alemanha. É Internet of Rights Fellow na ONG Article 19, no Reino Unido. Alumni da Escola de Governança da Internet do CGI.br (2018), trabalhou junto ao Secretariado do Internet Governance Forum na ONU. No IP.rec, participa de projetos nas áreas de “Privacidade e Vigilância” e “Multissetorialismo e Participação Popular”. Também tem interesse pelo estudo da regulação de algoritmos, assim como sua influência em relações assimétricas de poder.