Embargo dos EUA contra o software espião Pegasus não torna ambiente cibernético mais seguro

Nos últimas dias, se tornou pública a informação de que pelo menos nove funcionários do Departamento de Estado dos Estados Unidos tiveram seus iPhones hackeados com o Pegasus, um software usado para espionar pessoas em todo o mundo, sobretudo por meio dos seus celulares.

O Pegasus é um produto que faz parte da efervescente indústria de spyware e cuja venda não é ilegal. Pelo contrário, seu principal público-alvo são entidades de segurança e defesa, como agências de inteligência, exércitos e forças policiais, entidades com a função de fazer cumprir as leis.

Organizações como estas demandam o mercado por facilidades em coletar provas no ciberespaço, sobretudo de crimes que causam grande impacto na sociedade, tais como a pornografia infantil e o terrorismo.

Mas a história da internet é fortemente marcada pelo abuso das boas intenções, seja na concepção de novas tecnologias, em seu discurso de venda, ou em seu uso. Em cibersegurança, tão abundante quanto o volume de dinheiro que circula na indústria é a ambiguidade no uso de suas ferramentas. O Pegasus é apenas um dentre vários outros produtos concebidos para proteger atacando.

A NSO Group, empresa israelense que desenvolveu o Pegasus, nasceu do desejo de dois de seus sócios originais —Shalev Hulio e Omri Lavie— de fornecer serviços de suporte remoto a celulares. Foi Niv Carmi, o terceiro sócio, com vida pregressa na Mossad —o serviço de inteligência de Israel— que apontou onde estava o pote de ouro: em hackear os aparelhos e vender o acesso a eles a Governos de todo o mundo.

Já foi documentado o uso do Pegasus por países como México, Emirados Árabes Unidos, Arábia Saudita, Casaquistão e Bahrein, dentre outros. A NSO Group participou, inclusive, de uma licitação com o objetivo de vender o Pegasus ao Brasil, em um processo que, segundo apuração do Portal UOL, teve o vereador do Rio de Janeiro, Carlos Bolsonaro (Republicanos), operando como intermediador da negociação do produto com o Governo federal. O processo terminou com a empresa abandonando as negociações em meio a divergências entre o filho “02″ do presidente, militares e a Agência Brasileira de Inteligência (ABIN).

Autoridades dos países que adquiriram o Pegasus e se dispõem a comentar o uso da ciberarma, adotam argumentos padrão, como o de que ela foi adquirida para combater narcotraficantes, terroristas ou pedófilos. No entanto, o que vem sendo documentado é o uso da ferramenta para vigiar e perseguir jornalistas, ativistas e oposicionistas de regimes autoritários.

Em um momento de democracia minguante, o Pegasus tem sido uma “mão na roda” para regimes que buscam se manter no poder. O caso mais emblemático envolveu o jornalista Jamal Khashoggi, assassinado a mando do príncipe saudita Mohammed bin Salman. Evidências sugerem que Khashoggi foi monitorado com o uso do Pegasus, o que teria facilitado a operação que culminou em sua morte.

Como funciona

Há poucas informações técnicas detalhadas e atuais sobre o funcionamento do Pegasus. No entanto, um manual do produto, obtido e publicado em 2019 pela diretora da ONG Electronic Frontier Foundation (EFF), Eva Galperin, demonstra como era a ferramenta em versões pré-2019.

O manual contempla a perspectiva do operador, esse conhecimento pode ser complementado com dezenas de relatórios do think tank canadense Citizen Lab, muitos deles detalhando o que acontece nos celulares das vítimas. Ou seja, a perspectiva do alvo.

De modo geral, o Pegasus é uma plataforma que permite lançar ataques contra os dispositivos das pessoas, os quais, se forem bem sucedidos, resultam no controle do aparelho. Ou seja, o operador do Pegasus teria acesso a tudo que é armazenado no dispositivo (fotos, arquivos, mensagens, etc.), bem como monitorar a localização da vítima, capturar chamadas de áudio e vídeo, coletar tudo que é digitado, ativar escuta do som ambiente e extrair imagens, ativando a câmera. Todo material é enviado de forma periódica e furtiva para os seus servidores.

A forma pela qual o Pegasus conduz o primeiro ataque à vítima pode variar de acordo com o sistema operacional do usuário (Android, iOS, etc.) e também com o status de atualização do aparelho.

Sistemas mudam constantemente, seja para incorporar novas funcionalidades ou para corrigir vulnerabilidades de segurança, isto demanda que a NSO Group siga adaptando o Pegasus às novidades, sobretudo buscando novas formas de atacar sistemas cujas vulnerabilidades foram corrigidas. Isso pode ser feito com uma equipe de pesquisa e desenvolvimento interna ou pagando a terceiros por novas formas de hackear tecnologias.

Imagine que uma hacker tenha descoberto uma vulnerabilidade no iPhone a qual é desconhecida para a Apple e que esta vulnerabilidade seja do tipo que permite o controle total do aparelho, sem que a vitima tenha que sequer clicar em um link para ser atacada (uma das falhas mais difíceis de se encontrar).

De posse desse conhecimento, a hacker tem algumas opções: ela pode usar a falha para conduzir seus próprios ataques; pode submeter o problema ao programa de recompensas da Apple com a chance de ganhar até um milhão de dólares com isso, bem como o reconhecimento da comunidade técnica e o agradecimento dos usuários, que terão seus dispositivos corrigidos; ou ela pode vender o conhecimento sobre como explorar a vulnerabilidade por até dois milhões para empresas que usarão a tática para abastecer sistemas como o Pegasus. No final, tudo se trata de uma questão de escrúpulos.

Hoje, há um mercado de vulnerabilidades em plena ebulição, cuja história foi recentemente documentada pela jornalista de cibersegurança do New York Times, Nicole Perlroth.

Esta indústria opera como um garimpo, em que uma pessoa com uma picareta pode bater em uma pedra e dar a sorte de encontrar uma pepita, mas é evidente que aqueles com recursos e bem treinados tem mais chances de achar grandes veios de ouro e dominar a extração.

NSO em dificuldades

Embora a demanda por ciberarmas seja crescente, a NSO Group atualmente passa por dificuldades.

Um vazamento de dados de julho, contendo os números de telefones de 50.000 possíveis alvos do Pegasus continha a referência a 14 chefes de Estado. Dentre eles, o presidente da França, Emmanuel Macron. O incidente criou complicações diplomáticas com Israel, fazendo o clima esquentar dentro empresa.

Seus executivos tentaram se defender usando argumentos evasivos, dentre eles o de que só produzem a arma e não controlam quem atira, mas isso não convenceu ninguém na cúpula dos Governos envolvidos, os quais perceberam no Pegasus um problema típico das armas de grande escala: sua volatilidade pode trazer impacto a todos.

A empresa acabou sofrendo um embargo dos Estados Unidos no mês passado e hoje não pode comprar nada de origem americana ou vender para clientes no país. Israel, por sua vez, pouco fez para defender a companhia.

Com as sanções, os ativos da NSO Group foram rebaixados à condição de tóxicos pelo mercado e a empresa hoje corre o risco de insolvência, pois acumula uma dívida de 500 milhões de dólares, resultado de uma gestão financeira baseada em baixa liquidez e forte alavancagem.

Em uma mudança na gestão, o CEO original da NSO Group, Shalev Hulio, foi para o conselho e contratou Isaac Benbenisti, um executivo de mercado, para conduzir o dia a dia da empresa em seu lugar. Com o embargo, Benbenisti deixou o cargo sem completar nem duas semanas na posição.

Ativistas pela privacidade têm algo a comemorar com este revés, mas infelizmente não é muito. Em primeiro lugar, porque o mercado de spyware continuará firme com um eventual fechamento da NSO Group e mesmo que a empresa seja desintegrada é muito importante estar atento ao destino do Pegasus, que pode continuar sendo tão nocivo quanto é hoje nas mãos de outra empresa.

É difícil se defender contra empresas com tamanho poder de fogo e que se adaptam dependendo das condições do alvo. Uma vítima do Pegasus, por exemplo, a jornalista mexicana Carmen Aristegui conseguiu se esquivar por um ano de tentativas de ataque, até que, segundo relatório do Citizen Lab, os operadores da ciberarma atacaram seu filho, Emilio, menor de idade à época, para alcançar a mãe.

Profissionais de segurança frequentemente são procurados em busca de um produto ou receita que previna todos os ataques. Lamentavelmente isso não existe. Assim como a segurança pessoal e patrimonial, cibersegurança é uma atividade contínua, a qual demanda mudanças no comportamento de uso da tecnologia e atualização constante. Há muitos guias com essa finalidade. Em minha opinião um dos melhores é o da EFF, disponível aqui.