O Escândalo Pegasus da NSO: Zero-Day, Zero-Clicks, Zero-Privacy?

Porque as armas cibernéticas devem ser proibidas, tal como as armas nucleares.

É um pássaro! É um avião! Não, é outra peça de software de vigilância. Esta semana fomos expostos ao escândalo da Pegasus. Pegasus é um pedaço de malware, anunciado publicamente e vendido pelo NSO Group que pode infectar dispositivos móveis com pouca ou nenhuma ação exigida pelo dono do telefone. A extensa escuta possibilitada pela Pegasus viola múltiplas leis e, portanto, deve ser banida - assim como o comércio de armas nucleares é banido.


Pegasus: Do Mito ao Malware

Em 18 de julho de 2021, o escândalo no Projeto Pegasus arrastou o misterioso Grupo NSO de volta à vista do público. Pegasus é um programa de spyware desenvolvido pelo NSO Group e é uma arma cibernética emblemática para a vigilância de dispositivos móveis.

Este pedaço de malware foi distribuído globalmente e tem sido usado para vigilância direta “de quase 200 jornalistas ao redor do mundo cujos telefones foram selecionados como alvos pelos clientes do NSO”, como relata Forbidden Stories. Sob o pretexto da segurança nacional, governos de todo o mundo compraram este programa para pressionar jornalistas, activistas e os seus opositores políticos.

Apesar da atual centelha de interesse da mídia, a Pegasus não é um jogador novo no cenário da vigilância internacional. Segundo o “Relatório da Metodologia Forense” da Anistia Internacional, a difusão da Pegasus começou já em 2016 e continua hoje, em 2021.

Como funciona a Pegasus

Em 2016, o ativista de direitos humanos Ahmed Mansoor recebeu uma mensagem de texto no seu iPhone, após uma investigação mais aprofundada da Citizen Lab, descobriu-se que este era um esquema clássico de pesca com lanças, procurando instalar o malware da Pegasus no seu dispositivo: “Se ele tivesse colocado uma escuta no link, o telefone teria sido saqueado. Enormes quantidades de dados privados: mensagens de texto, fotos, e-mails, dados de localização, até mesmo o que está sendo captado pelo microfone e pela câmera do dispositivo”.

A partir de 2019, a Pegasus não precisa mais de um alvo para tocar nesse link suspeito para cair vítima. A NSO explorou repetidamente as vulnerabilidades de dia zero em plataformas de mensagens como a WhatsApp e, mais recentemente, a iMessage. Estas explorações de dia zero tiram partido das vulnerabilidades de segurança em programas, sistemas operativos ou aplicações móveis. A iteração atual do Pegasus pode infectar dispositivos iOS rodando na versão 14.6 ou anterior. Uma vez que o dispositivo tenha sido infectado, o programa pode rapidamente estabelecer privilégios de root. O atacante que usar o Pegasus terá controle completo sobre o dispositivo.

Se você se tornar de interesse para algum dos clientes do NSO Group, tudo o que ele precisava era do seu número de telefone para infectar o seu dispositivo. Você não precisava clicar em um link ou baixar um arquivo para que a Pegasus fosse instalada remotamente no seu dispositivo Android ou iOS. De acordo com a Anistia Internacional, “um ataque bem sucedido de ‘clique zero’ foi observado explorando vários dias zero para atacar um iPhone 12 totalmente corrigido rodando iOS 14.6 em julho de 2021”. Uma lista completa dessas explorações pode ser encontrada no Relatório de Metodologia Forense da Anistia Internacional.

A Apple lançou o iOS versão 14.7 em 19 de julho e agora o mundo está em contagem regressiva até que o próximo dia zero esteja sendo descoberto. Entretanto, foi lançada uma nova ferramenta chamada Mobile Verification Toolkit, que pode ser usada para determinar se um dispositivo foi ou não comprometido pelo malware da Pegasus. No entanto, este kit de ferramentas é complicado de usar.

O crescimento da indústria de armas cibernéticas

À luz destas recentes revelações, estamos a ter um vislumbre da crescente indústria de armas cibernéticas. A tecnologia age como um vírus: Tudo o que ela faz é infectar os smartphones para espiar os seus donos. Se isso não for suficientemente mau como tal, esta tecnologia de vírus é vendida regularmente a qualquer pessoa que a possa pagar.

Você não precisa procurar por sites sem conteúdo para encontrar este software. O NSO Group opera como qualquer outro contratante do governo onde todos podem vê-los. Uma busca rápida o levará a “nsogroup.com” onde você pode entrar em contato com o NSO Group com perguntas sobre preços e descontos potenciais para armas de vigilância em massa. O banner principal em seu site está atualmente anunciando “Eclipse”: Proteja seus céus” que é uma plataforma de drones que pode ser usada para adquirir e confiscar “drones comerciais não autorizados”.

Advertisement for Eclipse by the NSO Group. Advertisement for Eclipse by the NSO Group.

Esta publicidade descarada mostra a legitimidade crescente de uma indústria que outrora existia em mercados obscuros ou fóruns de hacking.

Mas qual é a diferença entre uma organização como o NSO Group que tem permissão para trabalhar abertamente com entidades governamentais e o grupo hacker DarkSide que são processados pela distribuição de programas de resgate?

Parece que é apenas uma questão de clientela.

A Pegasus representa uma ameaça à privacidade

A Pegasus e a ascensão da indústria de vigilância representam uma ameaça imensurável para jornalistas, ativistas políticos e cidadãos como você. As vulnerabilidades de segurança não vão desaparecer e a segurança perfeita é coisa que não existe. Isto levanta a questão, o que podemos fazer como pessoas comuns para proteger nossos dispositivos, nossa privacidade e nossos dados pessoais à luz deste escândalo? O que Claudio Guarnieri, do Laboratório de Segurança da Anistia Internacional - que como especialista em segurança faz uso do Secure Connect em seu site - disse ao Guardian foi menos do que otimista,

“Esta é uma pergunta que me é feita praticamente sempre que fazemos a perícia com alguém: ‘O que posso fazer para impedir que isto volte a acontecer?’” disse Guarnieri. “A verdadeira resposta honesta não é nada.”

A Alemanha: O uso da Pegasus seria ilegal…

Correndo o risco de terminar com um tom de derrota, há algumas jóias de esperança a serem encontradas neste caso. Quando questionados pela NDR e WDR sobre se as autoridades alemãs compraram e utilizaram ou não este software espião, as autoridades alemãs responderam dizendo: “‘Pegasus’ ist schlichtweg zu mächtig, zu potent. Der Trojaner kann viel mehr, als es die deutsche Gesetzeslage erlaubt” (Pegasus é simplesmente demasiado poderoso, demasiado potente. O troiano pode fazer muito mais do que o permitido pela legislação alemã).

Como consequência, as autoridades alemãs recusaram a Pegasus quando o Grupo NSO tentou vendê-la a eles.

Esta atitude tomada pelas autoridades alemãs é admirável, quando comparada com outras agências globais de inteligência e de aplicação da lei que adotaram uma abordagem mais “espião agora - mude as leis depois”. O exemplo alemão mostra que a legislação pode restringir práticas de vigilância invasivas e desnecessárias. Se uma legislação de privacidade forte pode responsabilizar essas agências por suas ações, então todo cidadão votante ainda tem um meio de lutar contra a vigilância em massa.

Além do domínio do governo, a gigante tecnológica Amazon “fechou a infra-estrutura e as contas ligadas à empresa de vigilância israelense NSO Group”. Independentemente de ser simplesmente uma manobra de relações públicas para evitar críticas ou uma preocupação genuína com a privacidade, esta ação mostra que ainda há uma preocupação com a opinião pública negativa em relação à vigilância em massa.

As armas cibernéticas devem ser proibidas.

Temos de começar a tratar estas empresas de armas cibernéticas como tal. Elas estão fabricando e distribuindo ferramentas que são usadas para intimidar e silenciar. Estas armas estão prontamente disponíveis para qualquer um que possa arcar com os custos. Deve-se notar que quando Philip Zimmerman, o criador do PGP, lançou o seu programa de encriptação gratuita que procurava apenas fornecer uma plataforma de comunicações segura, foi investigado pelo Serviço de Alfândega dos Estados Unidos por violar potencialmente a Lei de Controlo de Exportação de Armas.

É escandaloso que o apoio à privacidade pessoal ganhe uma investigação federal, mas ignorando-a totalmente ganha um contrato bem financiado.

Em uma entrevista com o Guardian, Edward Snowden acerta o prego diretamente na cabeça: “Há certas indústrias, certos setores, dos quais não há proteção, e é por isso que tentamos limitar a proliferação dessas tecnologias. Nós não permitimos um mercado comercial de armas nucleares.”

Embora a maioria dos internautas não seja visada por este programa, há um efeito arrepiante sobre aqueles que temem chamar a atenção para si próprios. Alvos de alto perfil que temem a vigilância do governo seriam aconselhados a trocar regularmente dispositivos e números de telefone para evitar o rastreamento persistente por ferramentas de espionagem como a Pegasus.

Snowden encerrou esta entrevista com um apelo à solidariedade e ativismo contra a crescente indústria de vigilância: “A solução aqui para as pessoas comuns é trabalhar coletivamente. Isto não é um problema que queremos tentar resolver individualmente, porque é você contra uma empresa de um bilhão de dólares… Se você quer se proteger, você tem que mudar o jogo, e a maneira como fazemos isso é acabando com este comércio”.

Como uma empresa de privacidade, pedimos aos legisladores internacionais e ao público votante que apoiem a proibição da venda destas armas cibernéticas. Assim como não há um mercado consumidor para armas nucleares, não deve haver um mercado para a venda aberta de explorações de software e malware.