País deveria se preocupar em defender o cidadão, não em comprar arma como o Pegasus

Repercutiu globalmente o escândalo do Pegasus, tecnologia que vem sendo usada para espionar pessoas como jornalistas e ativistas ao redor do mundo.

Sua operação é assustadora. Ele funciona no modelo “zero clique”. Não é preciso nenhuma ação ou clique por parte da vítima. Basta escolhê-la, e o celular dela praticamente se abre para o atacante, que passa a ter acesso a mensagens, fotos, listas de contatos e assim por diante. Mesmo que você use a versão mais moderna do iPhone ou de um celular Android, ele estará igualmente vulnerável.

O Pegasus é uma arma. Na hierarquia das armas tecnológicas, ele está no topo em termos de capacidade de dano e sofisticação. O sistema é vendido pela empresa israelense NSO. Ela afirma que só vende para governos que respeitam direitos humanos. No entanto, há evidências apontando que países que são contumazes violadores dos direitos humanos estão usando o sistema.

O Brasil tentou adquirir esse sistema recentemente da forma mais estranha possível. Foi utilizada a modalidade de aquisição chamada “pregão”, que por lei só pode ser usada para produtos simples como lápis, borracha, maços de papel e outros. Jamais para uma ferramenta estratégica militar com repercussões para a segurança nacional e impacto geopolítico. Após reportagem publicada no UOL, a representação da empresa israelense abandonou o procedimento de aquisição.

O Brasil deveria estar preocupado, primeiro, em defender seus cidadãos contra ataques de uma arma como essa. E não com a aquisição dessa arma para aplicá-la contra seus próprios cidadãos. O que, diga-se, é prática de constitucionalidade duvidosa e, no mínimo, requer autorização prévia do Poder Judiciário nos termos da lei de interceptação.

Outro ponto importante é que o Pegasus não é só um software. Ele é uma infraestrutura. Para funcionar nesse modelo “zero clique”, ele precisa de uma série de plataformas. Uma das vulnerabilidades mais exploradas não é no lado das empresas de tecnologia, mas sim no das empresas de telecomunicações.

É na ponta das teles, por exemplo, que o software explora protocolos de envio de mensagem antigos com o SS7, desenvolvido nos anos 1970 e usado até hoje, para invadir celulares. Ou ainda, a empresa infiltra funcionários duplos nas teles para abrir caminhos. Ou ainda, cria torres de celular falsas perto da casa das vítimas, para que se conectem nelas sem perceber, sendo assim atacadas.

Em outras palavras, a prevenção desses ataques passa não só pela parte de software como pela de infraestrutura da rede. Compartilhar ações de prevenção com as teles e criar um plano multissetorial de prevenção a esse tipo de ataque é essencial. Aliás, multissetorialidade é estratégia-chave para cibersegurança. Há muito pouco que o Estado pode fazer sozinho. É preciso trabalhar sempre em conjunto com a comunidade científica, com o terceiro setor e com o setor privado.

Foi o que aconteceu no caso do Pegasus. Foi graças à Anistia Internacional, organização do terceiro setor, e ao centro de pesquisa Citizen Lab, da Universidade de Toronto, que a estrutura do Pegasus e seu uso em larga escala foram revelados. Lições importantes para o Brasil, que está no 66º lugar no ranking de cibersegurança global, atrás de boa parte dos vizinhos latino-americanos.

READER

Já era Vírus de computador inofensivos

Já é A epidemia dos ataques de ransonware

Já vem Ataques de espionagem ‘zero clique’