Como parte da bolsa do Programa Infuse, recentemente facilitei uma série de oficinas sobre triagem e detecção de malware.
Na última sessão, tive o prazer e a honra de ter como palestrante convidado Etienner Mainier, que atualmente trabalha com segurança da informação na Human Rights Watch e já foi pesquisador e investigador da Amnesty Tech, a área de tecnologia da Anistia Internacional. Etienne, que também atende pelo apelido de tek, conversou comigo e com os alunos sobre malware, como conter spyware como o Pegasus, privacidade, o perigo dos corretores de dados e muitos outros tópicos sobre segurança digital e tecnologia de interesse público.
Meu muito obrigado ao Etienne por sua generosidade em comparecer a esta conversa comigo e com meus alunos.
Celso Bessa (Tecnologia Humanista): Seja bem-vindo oficialmente a esta última sessão[…], por favor, apresente-se e conte-nos como se tornou um pesquisador em segurança, sua carreira, e então começaremos a partir daí. Obrigado.
Etienne: Trabalhei no setor privado há cerca de 15 anos. Fiz várias coisas para empresas, como testes de intrusão e detecção de intrusão (pentesting), e acabei me perdendo no caminho. Em certo momento, desenvolvi vários projetos técnicos para empresas. Cheguei a um ponto em que estava trabalhando para uma grande empresa na Europa, onde fazia detecção de intrusão, mas não me sentia muito útil e, por isso, queria fazer algo ético e útil.
Então, entrei para o Citizen Lab em 2016, trabalhando especialmente com as comunidades tibetanas, que têm sido alvo de malware chinês há muito tempo, pelo menos desde 2008, e é um dos casos mais documentados de ataques patrocinados pelo Estado contra ONGs. Foi ótimo porque, se você falar sobre ataques atribuídos às autoridades chinesas, dependendo de quem é o alvo, você entra em ataques mais ou menos complexos, e geralmente os tibetanos sofrem ataques bem simples.Analisei um malware chinês muito mal escrito, o que foi uma ótima maneira de entrar na análise de malware, porque eles se limitam às coisas mais básicas, como não tentar ofuscar, não tentar esconder, etc. Eles se limitam às coisas fáceis: um pouco de persistência aqui, um pouco de envio de dados ali, mas, no geral, são técnicas bastante simples. Fiz muitas análises de malware sobre isso e, depois disso, trabalhei para a Anistia Internacional por alguns anos em ataques mais avançados, um pouco sobre pescagem (phishing) e depois todo o trabalho da Pegasus. Portanto, não posso dizer que sou um bom analista de malware porque nunca fiz isso em tempo integral e não como malware no café da manhã, mas já vi o suficiente para saber como é. Em algum momento, uma coisa que se tornou bastante óbvia para mim é que, mesmo que a análise de malware seja bastante difícil, muitas vezes é possível identificar rapidamente do que se trata e o que está fazendo.
Mas senti que faltava uma etapa muito simples de análise forense e acho que foi nisso que você concentrou seu treinamento.
Acho que, ao analisar os processos em execução, a persistência e coisas do gênero, poucas pessoas olham para isso, porque se você está em uma grande empresa, tem ferramentas que fazem isso por você, mas em [organizações] sociedade civil não fazemos isso. É uma espécie de segurança de informação aplicada a pequenas organizações e indivíduos, e achei que isso estava faltando.
Por isso, passei algum tempo desenvolvendo um currículo e treinamentos sobre como fazer análise forense em algum momento.Achei que olhar para isso dessa forma é ótimo porque você entende o que pode procurar ao verificar um computador.
Uma coisa que nunca aconteceu no setor privado, mas que acontecia o tempo todo na sociedade civil, era alguém vir até mim com um laptop ou um dispositivo dizendo: “Ei, isso está comprometido? Você pode dar uma olhada?” Então, senti que isso não era muito difícil, mas faltavam recursos sobre como fazer isso.
Agora estou trabalhando para a Human Rights Watch, que, voltando à segurança da informação (Infosec), está mais equipada do que muitas organizações pequenas da sociedade civil. Não tão grandes quanto as grandes corporações, então temos de usar com ferramentas corporativas de segurança de informação, mas também fazer com que funcione na base do improviso ou como dá.
Celso Bessa: Você tocou em um ponto interessante, que é a diferença entre os recursos disponíveis no setor privado e na sociedade civil. A sociedade civil e talvez também os governos e as organizações multinacionais de cooperação enfrentam riscos diferentes dos das empresas. Por exemplo, APTs, agentes patrocinados pelo Estado ou até mesmo espionagem do setor privado sobre as organizações — Bem, o setor privado provavelmente também espiona seus concorrentes, mas as intenções e os incentivos aqui são diferentes-, e a sociedade civil não tem os mesmos recursos. Você vê outras diferenças?
Etienne: É evidente que há uma grande diferença entre o risco e os meios que você tem para se proteger. Em uma grande corporação, por exemplo, você tem um grande orçamento para infose e é mais ou menos visado dependendo do que faz. Mas o problema é que, na sociedade civil, você é muito mais visado por agentes persistentes, o que significa que as pessoas querem ir atrás de você e você realmente não tem nenhum meio de se proteger.
Mas trabalhei com muitos jornalistas individuais e independentes que, às vezes, não tinham dinheiro nem para trocar seus laptops, entende? Pessoas que têm um laptop de 10 anos de idade e eu digo“realmente você não pode continuar trabalhando com eles”. Mas eles não têm dinheiro para trocar. Então, de fato, a diferença de orçamento e conhecimento é enorme. Acho fantástico ver que há cada vez mais organizações trabalhando com jornalistas e ativistas para preencher essa lacuna, mas ainda é uma lacuna muito grande e também é muito improvável que você possa centralizar a segurança da mesma forma.
Assim, encontramos uma grande parte deles focada na China, na Rússia, na Coreia do Norte e, às vezes, no Vietnã. Assim, você perde completamente alguns países que são muito agressivos com a sociedade civil, mas muito menos com as empresas e, em muitos casos, você perde completamente a parte da sociedade civil.
Há uma série de relatórios como esses em que vemos destes grupos de ameaças persistentes avançadas (APT, Advanced persistet threat), que na verdade têm como alvo a sociedade, mas ninguém está relatando sobre ou prestando atenção à sociedade civil.
O mistério maior para para mim é que, quando trabalhamos na Pegasus, ninguém estava prestando atenção. Os primeiros relatórios sobre a Pegasus foram publicados em 2016 e, até onde sabíamos, não era uma ameaça para as empresas, mas uma ameaça para os jornalistas e políticos da sociedade civil.
Mas quando publicamos um grande relatório em 2021, por exemplo, as autoridades francesas não tinham a menor ideia da dimensão do problema, ninguém o analisou e ninguém procurou saber como combatê-lo ou mesmo como verificar se você está infectado ou algo assim. E esses casos são realmente estranhos para mim, as autoridades não perceberam isso. E uma observação que fiz em um artigo em francês foi que organizações dasociedade civil não são suficientemente protegidas e que elas são o canário na mina.
Acho que agora vemos mais pessoas trabalhando nisso. Portanto, é preciso equilibrar isso. eMas é difícil e, quando leio um relatório técnico, sinto que perdemos parte da história. Quem é o alvo e por quê?
Vi outro bom relatório hoje sobre a Ocean Lotus que tem como alvo as ONGs e isso é ótimo. Mas por que eles estão visando as ONGs? O que está acontecendo? O contexto político está realmente faltando em muitas dessas reportagens.
Celso Bessa: Você acha que há algo específico a ser melhorado no que se refere ao jornalismo ou talvez ao fornecimento de habilidades técnicas para organizações da sociedade civil, habilidades sobre como se comunicar e investigar um pouco mais e relatar os conteúdos? Você vê alguma maneira, alguma estratégia nesse sentido? Como deveríamos estar falando sobre isso? O que poderíamos fazer para preencher essa lacuna que você mencionou?
Etienne: Acho que uma das coisas que aconteceu com o Pegasus é que ele recebeu muita cobertura, o que era necessário. Mas, em algum momento, a cobertura se tornou excessiva e passou a ser “tudo é spyware”. Isso é algo que realmente mudou desde quando ninguém prestava atenção a isso. Mas agora vejo com frequência coisas que tecnicamente não são spyware sendo chamadas apenas de spyware e, não sei, acho que quando se coloca algo na mídia, perde-se a complexidade e poucas pessoas e jornalistas realmente entendem o contexto completo e têm tempo para entender o contexto completo. Em muitos lugares, tenho visto um jornalismo técnico cada vez melhor, mas não em todos os lugares. E grande parte dele é muito simplificado.
Acho que a única coisa que realmente podemos fazer é continuar falando sobre esse problema e trazendo nuances para esse trabalho. Por exemplo, em muitos lugares, há muitos problemas com os recursos forenses disponíveis para polícia e que são usados de forma abusiva. Por exemplo, ativistas são presos e o telefone é clonado para obter dados e assim por diante. Não se trata de uma questão de spyware, mas de privacidade e segurança da informação.
E acho que precisamos continuar mostrando a nuances disso, sobre outros spywares ou outros problemas, e sobre coisas novas que aparecerão. Não sei se existe uma maneira perfeita de fazer isso, mas concordo que precisamos ter certeza de que temos um conjunto mínimo de conhecimento sobre isso, que temos pessoas que podem cobrir esse assunto de uma forma que os direitos humanos e os ativistas estejam no centro da história. Isso não resolverá tudo, mas acho que precisamos nos certificar de que não cairemos na simplificação dos problemas, pois isso não ajudará ninguém.
Acho que um dos problemas é que, para muitos jornalistas e ativistas, é improvável que sejam alvo de algo tão avançado como o Pegasus, mas é muito provável que sejam alvo de algo tão simples como o phishing, e o phishing funciona. Muitos jornalistas ainda caem em phishing por e-mail, sofrem algum dano e tudo mais. Precisamos garantir que as pessoas não prestem atenção apenas a ataques como o Pegasus e que tenham uma visão holística da segurança digital.
E o outro ponto crítico que eu acho é que, por exemplo, muitas pessoas vêm até mim e dizem: “Ei, você pode verificar se há Pegasus no meu telefone?” E, em geral, o que você precisa é falar sobre segurança digital. Você não deve se preocupar [apenas] com o Pegasus se não souber o que é phishing ou se não tiver autenticação de múltiplos fatores. Você precisa ter as camadas sólidas primeiro e considerar tudo. Portanto, de certa forma, as pessoas se preocupam com a segurança digital de uma forma que não faziam antes, mas se você responder apenas sobre o Pegasus e não sobre as ameaças mais amplas que elas enfrentam, isso provavelmente não ajudará em nada.
Celso Bessa: Isso remete a uma consideração sobre recursos. Quer dizer, usar um spyware tão poderoso quanto o Pegasus é caro. Há muita coisa para fazê-lo funcionar da maneira que funciona e, considerando que se trata de um produto comercial, há muitos custos envolvidos na venda para governos ou para quem quer que o esteja comprando, portanto, é caro. E, em relação ao que você disse sobre o malware chinês, eles fizeram as coisas fáceis e de baixo custo, porque isso é eficiente na maioria das vezes. Portanto, se cobrirmos o básico, estaremos mais bem protegidos e estaremos criando atrito, e uma pequena quantidade de atrito para os adversários é melhor do que nenhum atrito, e nunca se sabe em que tropeçaremos.
Etienne: Sim.
Celso Bessa: Você mencionou bons exemplos de reportagens. Poderia compartilhar um exemplo de veículo ou de um país que tenha melhores reportagens e no qual possamos nos inspirar?
Etienne: Acho que há mais reportagens boas da sociedade civil. Acho ótimo que esse tópico não seja mais apenas do CitizenLab ou da Anistia. Agora vemos relatórios de muitas organizações em diferentes idiomas e organizações fora do Norte Global. Acho que isso é muito bom. Depende muito do país, mas na França, os relatórios sobre tecnologia são muito melhores do que costumavam ser. Internacionalmente, há alguns repórteres que estão realmente atentos a esse tópico.
Fico um pouco frustrado com o fato de haver também um modelo de reportagens do setor privado, porque tudo o que eles focam são os aspectos técnicos. Eles se dedicam à este tipo de alvo (setor privado) porque querem clientes. Você vê reportagens e relatórios em que eles se concentram em todos esses sites que foram hackeados, mas você não sabe quais sites, e então percebe que o contexto era realmente muito mais interessante do que o ato em si, às vezes. Acho que, muitas vezes, não temos o tema dos direitos humanos em muitos desses relatórios. É melhor do que costumava ser, mas acho que precisamos ter certeza de que temos contexto nos relatórios, contexto sobre quem são os alvos, quais são os defensores dos direitos humanos e as vozes dos jornalistas.
Celso Bessa: Você mencionou que muitas coisas estão sendo relatadas como spyware e, na verdade, não são. Você tem exemplos disso?
Etienne: O exemplo do que se perde quando tudo é tratado como spyware é que, muitas vezes, ferramentas forenses como a Celebrite e todas essas empresas são um grande problema e, na verdade, não é um spyware, pois a infecção funciona de maneira diferente. Funciona de forma realmente diferente. Há muitos problemas de direitos humanos nisso. Acho que essa é a principal questão que gera conflitos. Mas houve algumas reportagens muito bons sobre o uso de publicidade digital para o direcionamento de spyware. E e eu acho que não há muitas reportagens sobre isso ainda, mas há alguns problemas importantes de privacidade.
[O convidado A da sessão fez perguntas sobre o uso e a aquisição do Pegasus e de softwares semelhantes no México. Para preservar a privacidade e a segurança do convidado, não publicamos a pergunta para evitar detalhes sobre ele, apenas uma versão editada dos comentários de Etienne]
Etienne: É difícil saber se ele ainda é usado. Acho que o México foi um dos primeiros clientes do grupo NSO. Ele também foi adquirido por vários órgãos estaduais no México e, como resultado, foi também revendido a vários órgãos estaduais, e estava sendo amplamente utilizado. Quer dizer, não sei exatamente quantos casos comprovados temos agora no México, mas acho que já são mais de 50. Há alguns anos atrás muitas pessoas pensaram que, com o novo governo, os contratos haviam sido interrompidos, mas, na verdade, as pessoas descobriram ativistas no México sendo alvos do Pegasus mesmo sob o novo governo. E o presidente realmente disse que o contrato com o grupo NSO foi interrompido. É difícil porque não é como se o Estado fosse uma entidade centralizada, certo? Você tem várias agências diferentes trabalhando em várias coisas. Seja na luta contra a máfia, contra o tráfico de drogas, etc.
A NSO tem sede em Israel e precisa ter uma licença de exportação concedida pelas autoridades israelenses. Parece que, após a revelação do abuso do Pegasus, eles limitaram a licença de exportação a alguns países. Portanto, não sabemos o quanto as autoridades israelenses aceitam exportar para o México. É possível que elas não aceitem. MAs basicamente não há transparência. Não há transparência na exportação por parte das autoridades israelenses e, definitivamente, não há transparência por parte das autoridades mexicanas.
Como podemos confiar nas autoridades, que dizem não ter tais ferramentas, quando temos visto abusos mesmo depois de terem dito que interromperam o contrato com o grupo NSO? Acho que a situação no México está melhor agora, mas preciso verificar novamente e dar uma olhada nos relatórios.
Celso Bessa: Gostaria de enfatizar a questão de o governo não ser uma entidade única, de haver diferentes agências e órgãos no país e em seus estados. Pelo menos pelos relatórios que vi, não é de forma alguma algo exclusivo de qualquer órgão estatal, porque você vê muito uso indevido dessa tecnologia tanto pelo poder executivo quanto pelo judiciário. E a questão da transparência, que é algo que está faltando nos relatórios, não é considerada com frequência pelo público em geral. Comecei meu trabalho em tecnologia de interesse público trabalhando com transparência e isso é algo muito difícil de fazer: disseminar a ideia de responsabilizar o governo. Isso está mudando, mas ainda temos um longo caminho a percorrer. Portanto, acho interessante que você tenha mencionado isso.
Mas, saindo do Pegasus novamente, vamos falar sobre o desenvolvimento de habilidades, já que esta é uma série sobre desenvolvimento de habilidades. O que seria um dia normal para você? Tanto como analista de malware quanto como pesquisador de segurança digital? E com base nno programa desta série, que compartilhei com você, o que você acha que está faltando ou algo em que alguém que trabalha com triagem de malware deveria se concentrar?
Etienne: [quando eu estava na triagem/análise de malware], foi um desafio. Quero dizer, é um pouco mais próximo do que o Access Now está fazendo agora, garantindo que as pessoas trabalhem para a sociedade civil e assim por diante. Grande parte da triagem é sobre o quê era alvo.
Isso ainda faz parte do meu trabalho. Alguns funcionários de ONGs chegam todos os dias com coisas novas, e às vezes é estranho. Na verdade, muitos deles não são tão especificamente visados, é um golpe [geral]. Por exemplo, neste momento, há pessoas que nos dizem que estão recebendo e-mails dizendo que foram hackeadas e esse tipo de coisa deixa as pessoas estressadas, mas depois que conhecemos a ameaça, a maioria é um golpista tentando assustar as pessoas. [e manipulá-las a fazer algo]
Especificamente sobre a triagem, acho que essa é uma ótima pergunta, pois acho que é isso que está faltando. Acho que o primeiro passo para se tornar um analista de ameaças é realmente ser capaz de fazer a triagem e, em seguida, desenvolver habilidades em alguns tipos específicos de vigilância. Seja spyware ou qualquer outra coisa.
Há algumas coisas que são realmente importantes. A primeira é entender o ataque, e cada ataque é um pouco diferente. Você precisa ser curioso e ter uma boa base sobre como os sistemas funcionam e tentar entender o que o invasor quer alcançar, certo? Quando você recebe um PDF [malicioso], existe a ideia de ataque, mas se você não vê o objetivo final, se você não vê o que eles querem fazer? Se você está vendo um site malicioso, qual é o objetivo final? Se você não entender isso, não vai ver as perguntas reais: O que ele pretende fazer? Costumávamos ter exploits em Javascript para PDF e coisas do gênero, muita coisa com PDFs, mas agora vemos muita utilização de códigos QR, na expectativa pessoas escaneiem e assim contornem muitas proteções.
Portanto, a primeira pergunta é: “Ok, o que está tentando fazer”? Depois de saber que é mal-intencionado e entender isso, acho que a segunda pergunta geralmente é: “É para um alvo específico? ”E é um pouco difícil entender e realmente responder a isso às vezes. Por exemplo, a grande diferença é que os ataques direcionados visam muito poucas pessoas, enquanto o crime cibernético visa muitas pessoas.
Portanto, se você encontrar um domínio usado para phising, poderá consultar os bancos de dados de ameaças, verificar o URLscan, o VirusTotal ou outros. E se esses domínios aparecerem em qualquer relatório de phishing, provavelmente é crime cibernético. Porque, por definição, os ataques direcionados realmente atacam muito poucas pessoas. Vinte, cinquenta no máximo. Isso significa que, muito provavelmente, eles não são mencionados em nenhum banco de dados de ameaças existente.
Às vezes, você descobre que isto foi relatado no último mês, como uma organização de crime cibernético, ou talvez encontre algo que foi relatado há alguns meses como uma APT. Esse tipo de coisa é realmente útil e, quando você tem isso, precisa analisar o contexto. Às vezes, o e-mail é muito personalizado, por exemplo, se o e-mail está fingindo ser de alguém que trabalha com você e é realmente personalizado para o contexto e para a pessoa visada, então é muito provável que seja direcionado. Caso contrário, é possível que seja um crime cibernético. E quando você tem isso, é muito útil, pois o crime cibernético visa a todos.
Portanto, se você é um jornalista sendo atingindo por crime cibernético, isso é normal, certo? Todo mundo é alvo de crime cibernético. Mas se alguém é alvo de outra coisa, como algo que parece ser patrocinado pelo Estado, então é preciso ter mais cuidado porque, em muitos casos, isso significa que você está na lista de alguém, que alguém está tentando entrar em sua conta. Alguns jornalistas sabem que isso acontece com eles regularmente e são muito cuidadosos com isso. Mas, para algumas pessoas, isso pode ser um sinal de que estão correndo um risco maior, e esse risco maior pode vir de várias maneiras. Ataques direcionados, e ataques em geral, não acontecem fora do mundo físico. Portanto, para os jornalistas, isso pode ser um sinal de que há uma ameaça e que talvez eles devam tomar cuidado com as medidas de segurança física.
Muito raramente você precisa fazer uma análise profunda do malware, acho que até mesmo para ataques avançados. Geralmente, isso consome muito tempo. O que você precisa saber são algumas coisas. É malicioso, é direcionado? Encontre algumas informações sobre o que está acontecendo. Por exemplo, encontre um domínio que se comunica ou onde ele está instalado nos discos rígidos, você pode verificar se os computadores estão comprometidos por ele. Mas você não precisa realmente entender todos os detalhes do malware. E isso é ótimo, pois consome muito tempo e, às vezes, você pode obter apenas as informações necessárias por meio de uma análise rápida. Quanto mais eu faço isso, mais eu gosto da ideia de fazer uma análise rápida. Eu passo, sei lá, duas ou três horas pesquisando algo e tenho informações suficientes e posso decidir se quero passar uma semana analisando ou encontrar alguém que possa fazer isso, certo? Agora na sociedade civil temos algumas pessoas, como a Anistia, que têm tempo para fazer isso e realmente focar seu trabalho nisso. Isso é ótimo.
Celso Bessa: Há tendências que você está vendo, mudanças na maneira como os grupos de ameaças persistentes avançadas e o crime cibernético trabalham, suas técnicas.?Quais são as tendências em malware e segurança cibernética às quais você acha que devemos prestar atenção?
Etienne: É uma boa pergunta. Uma pergunta muito ampla e boa. Estamos analisando o spyware agora e parece que ele não está crescendo muito. Está relativamente estabilizado, mas eles eram mais comuns há alguns anos. Uma tendência que está me assustando é que há um setor de vigilância cada vez mais amplo.
Descobrimos que há muitas novas maneiras de monitorar as pessoas que são adquiridas pelos governos. OSINT (Open Source Intelligence, inteligência em fontes aberta), por exemplo, foi usado desde o início por [defensores e jornalistas de] direitos humanos, certo? Imagens de satélite e tudo mais.
E agora há centenas de empresas que desenvolveram essas ferramentas e as vendem para os governos, para a polícia, para rastrear as pessoas. Também há muito de anúncio usado como vigilância. Há um bom livro que foi publicado há alguns meses sobre como os dados adquiridos por empresas comerciais foram coletados como parte da vigilância. E agora, esses dados foram vendidos ao governo. E temos essas empresas que coletam dados de centenas de outros corretores de dados e os vendem para o governo.
Eu estava falando sobre inteligência de publicidade, o que significa usar dados de publicidade para monitorar as pessoas. Essa é uma técnica assustadora. Agora temos uma compreensão de alguns desses mercados, um bom conhecimento sobre esse ecossistema de spyware, mas e o ecossistema de anúncios? Não sabemos o que está acontecendo lá. O mesmo acontece com tudo o que se refere a essas empresas que monitoram o tráfego da Internet. Atualmente, há empresas que simplesmente registram grande parte do tráfego da Internet, e a possibilidade de abuso é enorme.
O que me incomodoa é como estabelecer a ligação entre o abuso e o uso dessas tecnologias. Porque muitas vezes isso é muito difícil. Um jornalista está sendo preso, mas não entendemos o motivo. O que me assusta para o futuro é que temos vários tópicos novos que precisam ser abordados e que exigirão muito trabalho da sociedade civil para tentar manter o controle.
[O convidado B pergunta: Você tem mais alguma opinião sobre os corretores de dados? Quero dizer, são empresas privadas. E, às vezes, percebo que elas têm mais informações sobre as pessoas em geral do que o próprio governo e não há nenhuma regulamentação [nacional e forte] sobre privacidade nos EUA. Então, sim, você tem alguma opinião?]
Etienne: Acho que os corretores de dados nos Estados Unidos são um problema tão grande que não chega nem perto do que vemos na Europa, por exemplo. Na Europa, há muito menos problemas com esses corretores. Mas nos EUA, onde as empresas coletam dados para usar em contratos de aluguel e para o antigo ecossistema de crédito, é um ecossistema muito difícil de entender. Várias empresas estão obtendo dados de diferentes lugares e utilizando-os para usos muito diferentes, e é muito difícil entender exatamente a quantidade de dados que possuem. Existem alguns problemas reais com relação à forma como eles são usados
Comecei a ler um ótimo livro – não consigo encontrar o nome agora, mas vou dar uma olhada e compartilhar depois – sobre isso, por exemplo, quando aconteceu o 11 de setembro, o governo dos EUA percebeu que muitos dados sobre as pessoas que fizeram os ataques estavam disponíveis em empresas comerciais que os coletavam para vender a outras empresas. E houve uma mudança: essas empresas são definitivamente privadas, mas agora o Estado é um dos clientes.
Houve um escândalo enorme nos EUA com a X Mode e essa empresa que vendia dados de geolocalização para o Estado, e uma coisa que o FBI revelou foi que eles estavam realmente comprando esses dados porque não precisavam obter um mandado em sua investigação. Portanto, o fato de essas empresas serem privadas também evita toda a proteção que você tem dos Estados. Eles não precisam obter o mandado que precisariam pedir ao Google ou às empresas de telecomunicações e assim por diante para obter esses dados. E isso é um grande problema, pois assim você entra em um ecossistema completamente desprotegido de empresas completamente desreguladas
E se você acompanhou o caso do aplicativo Muslim Pro – sinceramente, é o exemplo mais assustador -, um aplicativo para que os muçulmanos encontrem a direção certa para Meca para suas orações. Para isso, ele precisa do GPS. Assim, ele encontra sua localização e lhe diz a direção de Meca. Naquela época, o aplicativo tinha, creio eu, 100 milhões de usuários. E a empresa coletou esses dados, o que as pessoas não sabiam, enquanto na verdade o aplicativo estava coletando a localização e vendendo-a para o Exército dos EUA. E no contexto atual, até que ponto isso pode ser usado de forma abusiva? Se o Exército dos EUA tem conhecimento da geolocalização de 100 milhões de muçulmanos no mundo, certo?
Portanto, é muito difícil estabelecer uma ligação entre o abuso e a vigilância. As pessoas podem ser presas ou mortas por causa de algumas coisas que fizeram e foram monitoradas pelo smartphone e não sabiam. Estamos falando de 100 milhões de pessoas que têm aplicativos como esse. Um aplicativo de previsão do tempo, por exemplo, requer sua localização na maior parte do tempo para que ele possa dizer onde você está. O aplicativo de clima que experimentei estava compartilhando minha geolocalização com 271 empresas.
É uma loucura termos esse ecossistema de publicidade, e quem sabe para quais empresas eles estão revendendo dados. Em última análise, será necessário passar por uma regulamentação melhor. A Europa tem o GDPR e melhorou algumas leis, mas vai levar muito tempo até que as coisas realmente mudem. E, geralmente, a regulamentação vem atrasada vários anos em relação aos problemas. Então, sim, não sei se você está lutando por isso nos EUA há muito tempo, mas é uma luta difícil.
Celso Bessa: Você mencionou que tem medo do mercado de vigilância. E o crime cibernético está aumentando. E agora temos as Convenções sobre Crimes Cibernéticos da ONU com algumas disposições que, de acordo com alguns meios de comunicação e organizações de direitos digitais, podem dificultar a pesquisa independente sobre segurança cibernética.
Etienne: Não analisei a fundo essa convenção. E ainda não tenho nenhuma boa resposta sobre as convenções, desculpe-me por isso.
Agora, se você observar até mesmo no setor privado, pessoas muito diferentes trabalham com crimes cibernéticos em comparação com ameaças direcionadas, porque o crime cibernético exige cooperação entre os estados. E exige colaboração entre os Estados e o setor. Portanto, é muito comum, por exemplo, a colaboração entre empresas e a polícia de diferentes países. Quando você analisa os ataques patrocinados pelo Estado, a questão se torna muito mais política. Por exemplo, não sabemos ao certo, mas há uma forte suspeita de que os governos da Espanha e da França tiveram pelo menos alguns dos ministérios como alvos do Pegasus. E muitas pessoas acham que as autoridades marroquinas estão por trás disso. E estamos em um caso em que os Estados são os autores dos problemas. Muitos jornalistas na França foram alvo do Pegasus. Eles acham que as autoridades marroquinas estão por trás disso. E há muitas evidências que comprovam isso, mas como eles vão à polícia e de fato entram na justiça com isso? Como processar um Estado?
Celso Bessa: Voltando ao spyware, qual deve ser a mentalidade de alguém que está fazendo esse tipo de trabalho e prestando atenção às mudanças de técnicas e ferramentas?
Etienne: As técnicas não mudaram muito, a grande diferença é que agora temos maneiras de nos proteger parcialmente contra o Pegasus. Se alguém estiver correndo o risco de ser alvo do Pegasus, o uso do modo de bloqueio no iPhone oferece grande proteção contra esse tipo de ataque.
Uma lição é que, politicamente, tem sido muito difícil conseguir qualquer mudança política significativa. Surpreendentemente, os EUA foram praticamente um dos poucos Estados que realmente fizeram alguma diferença para limitar os problemas de spyware, provavelmente com algum interesse político nisso. Mas, por exemplo, na Europa, tivemos problemas enormes em muitos países com o abuso de spyware e não houve nenhuma mudança clara na regulamentação ou nas técnicas.
Passamos a ter um bom conhecimento de ataques contra o iPhone. Temos muito pouco conhecimento sobre ataques contra o Android, que é realmente o problema. Mas sobre o iPhone, parece que os ataques sem click (zero-click attacks) que vemos nos aplicativos estão ficando cada vez mais difíceis, e vemos empresas que só têm ataques de um clique, o que significa que, se você não clicar no link enviado por e-mail ou algo assim, não será comprometido. Portanto, será menos eficiente e ainda podemos continuar a dizer às pessoas para terem cuidado com o que clicam e assim por diante. Mas é realmente difícil ver como isso vai evoluir.
Li vários depoimentos de pessoas que estão fazendo pesquisas dizendo que está cada vez mais difícil comprometer os smartphones. Portanto, parece que, nesse espaço, será mais caro encontrar kits de abuso (exploits). Mas se alguns Estados estão dispostos a pagar 50 milhões para ter isso, eles provavelmente terão, e continuará a ser um jogo de gato e rato.
Dito isso, uma coisa que mudou nos últimos dois anos é que as grandes empresas agora estão prestando atenção. O Google está rastreando essas pessoas, a Apple está rastreando essas empresas, o que antes não era um problema para elas, não estava realmente no radar. Mas agora elas têm equipes dedicadas a isso. O Google publicou ontem outro relatório excelente sobre exploits de NSO, que é bastante novo. Isso não é algo que não teríamos visto em 2020/21. Portanto, acho que essa é uma mudança muito positiva. Portanto é ótimo, mas você não conseguirá fazer uma mudança realmente significativa sem essa mudança política. Não acredito muito que a mudança técnica realmente resolva esse problema.
Celso Bessa: Essa é uma ótima observação. Obrigado. Você tem alguma consideração final?
Etienne: Agradeço pelo convite e fico muito feliz em ver eventos e treinamentos como esse acontecendo na sociedade civil, porque acho que é uma necessidade enorme. E gosto muito da maneira como você estruturou o assunto, analisando não apenas a reversão “hardcore”, mas também a análise forense, analisando diferentes aspectos. Acho que é uma maneira eficiente de analisar as questões relacionadas a spyware.
Celso Bessa: Obrigado. Crédito onde o crédito é devido: o esboço da série foi adaptado de (a) minha experiência a fellowship do programa INFUSE, do qual esta série de oficinas e a entrevista fazem parte, (b) de conversas com meu mentor durante meu estudo e (c) de minhas próprias experiências. Agradeço muito por ter encontrado seu tempo para esta conversa.
Etienne: Obrigado.
Você pode encontrar o Tek em seu site e no fediverso em https://mastodon.social/@tek@todon.eu