0
0
Após as recentes revelações sobre o spyware Pegasus do Grupo NSO, o mundo aparentemente ficou impressionado com a enorme escala das capacidades de vigilância da empresa israelense. No entanto, Pegasus é apenas uma pequena parte de um problema muito mais permeado que se espalha pelo mundo. E só vai piorar antes de melhorar.
O fato de os governos espionarem as pessoas não é surpreendente. Durante a maior parte da história, tanto os regimes autocráticos quanto os estados democráticos têm empregado exércitos de agentes governamentais dedicados a ficar de olho naqueles que consideravam potencialmente subversivos.
Mas na última década, as coisas mudaram. À medida que nos tornamos nativos digitais, smartphones e computadores, por sua vez, se tornaram partes integrantes e quase inescapáveis de nossas vidas.
Ao mesmo tempo, novos tipos de ferramentas digitais entraram no mercado, feitas por empresas privadas e comercializadas aos governos como spyware de ponta com recursos de vigilância e hacking de dar água na boca.
Esses novos aplicativos prontos para uso podem transformar nossos dispositivos em balcões únicos para as agências de inteligência examinarem nossas vidas privadas. Tudo sem ter que usar programas complicados de vigilância em massa, acessar redes de telecomunicações ou obter a papelada necessária, como mandados e intimações.
Pioneira em roupas como Hacking Team, com sede na Itália, e FinFisher, com sede na Alemanha, nos anos 2000 e 2010, as ferramentas de vigilância direcionadas agora são feitas por dezenas de empresas originárias de um amplo espectro de países.
A vigilância digital direcionada, outrora um empreendimento difícil, tornou-se quase sem esforço. E com a crescente demanda por esse tipo de software dos atores estatais, o mercado de spyware privado não regulamentado está agora experimentando um boom sem precedentes, mesmo que a indignação global sobre o spyware Pegasus continue a fazer ondas na mídia.
Callum Duncan, diretor da Sencode Cyber Security, argumenta que, nos últimos sete a dez anos, a vigilância privada se tornou uma indústria massiva, que ainda está sobrecarregada pela regulamentação.
“Com o advento de empresas que começaram a comprar exploits de dia zero de hackers a preços altos, as empresas receberam um fluxo de infinitos dias zero que podem ser usados onde quiserem em qualquer software que quiserem”, diz Duncan.https://www.youtube.com/embed/G7H9uo3j5FQ
“Costumava ser que enormes quantidades de pesquisa e desenvolvimento entravam na criação dessas façanhas. Mas agora que eles podem ser comprados, as empresas privadas de vigilância conseguiram expandir suas capacidades e alcançar dramaticamente.”
E parece que o Grupo NSO e sua laia, financiados por fundos de private equity que “não têm responsabilidade por violações de direitos humanos por empresas de portfólio”, só continuarão acelerando sua produção.
Um problema endêmico
De acordo com o banco de dados global de spyware comercial, ferramentas de vigilância privada estão sendo feitas por dezenas de empresas e usadas por pelo menos 65 governos em todo o mundo, incluindo Polônia, Itália, Espanha e EUA.
Com casos de uso que vão desde espionagem de políticos por agências anticorrupção na Polônia até compilação de bancos de dados de cidadãos LGBT e minorias religiosas na Indonésia, empresas comerciais de spyware agora estão sendo implantadas pelos estados como agências de inteligência privada.https://www.youtube.com/embed/ZcrnN-A2c60
Enquanto a maioria dos regimes autocráticos usa essas ferramentas poderosas para contornar sua falta de know-how tecnológico, as democracias tendem a empregar empresas privadas para contornar suas próprias leis que proíbem a vigilância sem mandado por seu aparato de segurança do estado.
“Existem empresas com acesso a muito mais dados de pessoas do que o Grupo NSO. Plataformas de mídia social como Weibo ou Wechat estão trabalhando com o governo chinês para censurar e destacar indivíduos que devem ser alvo antes mesmo que o governo saiba sobre eles”, disse Callum Duncan à CyberNews.
Ao mesmo tempo, Duncan acredita que, embora os governos democráticos tenham a infraestrutura para se envolver em vigilância secreta, a contratação de atores privados permite que esses países deixem espiões privados fazerem seu trabalho sujo espionando os cidadãos sem o devido processo legal.
“Grande parte dos países ’14 Olhos’ tem pouco uso para empresas como o grupo NSO, pois podem usar sua própria infraestrutura de espionagem ou podem se alavancar mutuamente para contornar as leis do país. Mas isso quase certamente não impede que os países usem empresas privadas de vigilância para remover a atribuição deles”, diz Duncan.
“Os serviços de inteligência odiariam ser pegos, então usar uma empresa que lhes dê negação é um grande impulso.”
Callum Duncan
Senhores da guerra cibernética
Devido ao seu know-how tecnológico único, os estados que hospedam empresas de spyware tendem a tratá-los como fabricantes de armas e veem seus produtos como ativos estratégicos que podem exportar em troca de dinheiro, recursos ou alavancagem diplomática.
Como tal, Callum Duncan não acredita que empresas como o Grupo NSO serão atingidas por penalidades severas porque são muito valiosas para os países que as usam. Por outro lado, as revelações recentes podem estimular um novo mercado de produtos anti-spyware que podem ajudar os usuários a neutralizar essas ferramentas de vigilância privada.
“Como acontece com todas as coisas em segurança e privacidade, será uma corrida armamentista. Empresas defensivas agora provavelmente trabalharão com alvos de alto perfil e criarão potes de mel e arenques vermelhos para capturar essas empresas de vigilância em flagrante”, diz Duncan.
“Isso permitirá que eles desenvolvam contadores e correções para quaisquer explorações que essas empresas de vigilância estejam usando. No entanto, como essas empresas agem quase exclusivamente com alvos específicos e não com uma ampla gama de pessoas, suas ações serão difíceis de detectar.”
Enquanto isso, Stel Valavanis argumenta que uma regulamentação robusta de divulgação de vulnerabilidades poderia ajudar a privar espiões privados de façanhas de dia zero que eles usam para se infiltrar nos dispositivos de suas vítimas.
“Eu diria até que os pesquisadores que encontram vulnerabilidades são obrigados a divulgá-las. Deixe-o se transformar em uma indústria e, da noite para o dia, eliminará a indústria legal de spyware para compra que depende de vulnerabilidades que descobrem ou adquirem”, diz Valavanis.
Não existe publicidade ruim?
Infelizmente, mesmo ser pego em flagrante pode não necessariamente resultar em nada mais substancial do que um proverbial tapa no pulso para empresas como o Grupo NSO.
Como a última década mostrou, o público ficou cada vez mais dessensibilizado a relatórios perenes e revelações sobre incidentes chocantes de ferramentas de vigilância direcionadas (e em grande parte ilegais) usadas contra jornalistas, ativistas e dissidentes por atores institucionais e privados. E, de acordo com Callum Duncan, o escândalo Pegasus parece não ser exceção.
“A publicidade que essas empresas receberam é provavelmente a melhor coisa que já aconteceu com elas. Seus lucros só aumentarão e, com o tempo, o ciclo de notícias seguirá em frente e, com isso, a pressão para mudar”, disse Callum Duncan à CyberNews.
Enquanto isso, Stel Valavanis, fundador e CEO da onShore Security, está mais otimista em iluminar os abusos perpetrados pela indústria de vigilância privada. “Pegasus está no noticiário há vários anos. Entrar no radar agora é apenas o resultado de implicações documentadas dessa prática questionável”, diz Valavanis.
“Ainda é ilegal exportar tecnologia de criptografia para fora dos EUA (é classificada como munições), mas o efeito é nulo e spyware é muito mais perigoso. Pelo menos agora, alguns chefes estão se virando e percebendo que precisamos de regulamentação e certamente de cooperação entre governos e o setor privado.”
FONTE: CYBERNEWS