Pegasus: Perigoso para a democracia

Pegasus , o cavalo alado da lenda grega, está a assombrar o governo Modi. Dezassete novas organizações, incluindo The Wire, Washington Post, The Guardian, bem como duas ONGs – Amnesty International e Forbidden Stories – passaram meses a examinar uma lista de 50 mil números telefónicos de 45 a 50 países. Eles descobriram quem na verdade eram os possíveis alvos de ciber ataques nestes países. Fizeram então uma perícia para examinar os telefones da lista de alvos de algumas das pessoas que se dispuseram a testar os seus telefones. Os resultados mostraram que 85 por cento dos aparelhos mostravam sinais de estarem hackeados pelo software de espionagem Pegasus.

Os alvos incluem não só jornalistas e activistas como também responsáveis governamentais. A coroar isto tudo, incluem-se 14 chefes de estados e de governos: três presidentes – Emmanuel Macron da França, Barham Salih do Iraque e Cyril Ramaphosa da África do Sul; três actuais e sete antigos primeiro-ministros e um rei, Mohammed VI do Marrocos. Os três primeiro-ministros são Imran Khan do Paquistão, Mostafa Madbouly do Egipto e Saad-Eddine El Othmani do Marrocos. Entre os sete antigos primeiro-ministros estão Saad Hariri do Líbano, Édouard Philippe da França, Noureddine Bedoui da Argélia e Charles Michel da Bélgica.

Quem quer que tenha instalado o malware nos telefones alvos, obteve acesso pleno não só aos dados no telefone como também aos controles do seu microfone e câmara. Ao invés de dispositivo para utilização do seu possuidor, ele tornou-se um espião no seu bolso que regista não simplesmente as chamadas telefónicas como toda conversação física incluindo imagens dos participantes. O aparelho transmite esta informação de volta àqueles que instalaram o Pegasus.

Sucessivos ministros de Tecnologia da Informação – Ravi Shankar Prasad e Ashwini Vaishnaw – declararam que não existia "intercepção não autorizada" no país. Como então o governo comprou software de hacking à NSO e autorizou que cidadãos indianos se tornassem alvo? E pode a utilização do software de espionagem Pegasus para infectar smart phones e alterar suas funções básicas ser considerada como autorização legal sob as Regras da Lei das TI para "intercepção, monitoramento ou desencriptação de qualquer informação através de qualquer recurso computacional"?

Vou deixar as questões legais para aqueles que estão melhor qualificados para manuseá-las. Ao invés disso, vou examinar os novos perigos que o malware usado como arma por estados-nação apresenta para o mundo. O Pegasus não é o único exemplo de tal software, as revelações de Snowden mostram-nos o que fazem a National Security Agency (NSA) dos EUA e os governos dos Cinco Olhos.

A diferença chave entre estados-nação e ciber criminosos que desenvolvem malware são os recursos a muito maiores que os estados-nação possuem para desenvolver este malware. Tome-se o exemplo do Shadowbrokers , que em 2017 despejaram na net um gigabyte de software utilizado como arma da National Security Agency. Matthew Hickey, um perito de segurança bem conhecido contou à ArsTechnica: "É muito significativo pois isto efectivamente colocou ciber armas nas mãos de qualquer um que as descarregue". O ransomware atingiu grande intensidade logo após com o software WannaCry e NotPetya, ambos usando os feitos da caixa de ferramentas da NSA e criando devastação.

Por que conto outra vez das ferramentas de malware da NSA no momento em que discuto o Pegasus? Porque o Pegasuas pertence à NSO, uma companhia israelense com laços muito estreitos à Unidade 8200, o equivalente israelense da NSA. A NSO, como muitas outras companhias comerciais israelenses de ciber inteligência, é fundada e dirigida por ex-responsáveis de inteligência da Unidade 8200. É este elemento – introduzir qualificações e conhecimentos de estados-nação na esfera civil – que torna estes software espiões tão perigosos.

A NSO também parece ter desempenhado um papel na melhoria das relações de Israel com as duas petro-monarquias do Golfo, os Emirados Árabes Unidos (EAU) e a Arábia Saudita. Portanto, Israel encara a venda de software espião para tais países como uma extensão da sua política externa. O Pegasus foi usado amplamente pelos EAU e pela Arábia Saudita para alvejar vários dissidentes internos e mesmo críticos estrangeiros. O mais conhecido, naturalmente, é Jamal Khashoggi, o dissidente saudita e colunista do Washington Post que foi morto no Consulado saudita em Istambul.

As capitalização de mercado da NSO é relatada como sendo de mais de um milhão de milhões de dólares, tornando-a talvez uma das mais caras companhias civis de ciber inteligência. E suas ferramentas são alarmantes pois não parece haver qualquer protecção contra elas. A maior parte destas ferramentas são classificadas como ciber-armas e exigem a aprovação do governo israelense para exportação, o que mostra mais uma vez a ligação entre o Estado israelense e a NSO.

O que é o Pegasus? E por que é tão perigoso? O Pegasuas não está simplesmente a ouvir ou monitorar nossas comunicações. Uma vez que ele infecte nossos smart phones, ele "modifica" o software do telefone para acessar todas as suas funções. Efectivamente, ele passa a possuir o seu telefone e pode ouvir às escondidas qualquer conversação física que esteja a ter; não apenas uma conversação telefónica. Ele pode tomar quaisquer fotos que a câmara no telefone possa "ver" e registá-las todas no telefone. Estes ficheiros gravados são então enviados para um servidor Pegasus, a partir do qual o comprador da licença Pegasus pode recuperá-los.

A outra razão porque o Pegasus é tão perigoso é que não necessita de qualquer acção da sua parte para o telefone ser infectado. A maior parte das infecções dos nossos dispositivos verifica-se quando clicamos um link que nos foi enviado através do email/SMS; ou indo a um sítio e clicando alguma coisa ali. O Pegasus explorou um problema de segurança com o WhatsApp e foi capaz de infectar o telefone apenas através de uma chamada falhada. Apenas um toque é suficiente para carregar o software espião Pegasus no telefone. Isto agora foi estendido utilizando outras vulnerabilidade que existem dentro do iMessage, WhatsApp, FaceTime, WeChat, Telegram e várias outras aplicações que podem receber dados de fontes desconhecidas. Isto significa que o Pegasus pode comprometer um telefone sem que o utilizador tenha de clicar um único link. Estes feitos são chamados de zero-click na ciber comunidade.

Uma vez instalado, o Pegasus lê as mensagens do utilizador, emails, chamadas, capturas de écran, teclas pressionadas, histórico do browser e contactos. Ele envia ficheiros para o seu servidor. Basicamente, ele pode espiar todo aspecto da vida do alvo. Encriptar emails ou utilizar serviços encriptados, como o Signal por exemplo, não adianta pois ele lê o que você lê ou captura o que você tecla no telefone.

Muitas pessoas utilizam iPhones com a crença de que são mais seguros. A triste verdade é que o iPhone é tão vulnerável a ataques do Pegasus quanto os telefones Android, embora de modos diferentes. É mais fácil descobrir que um iPhone está infectado, pois ele regista o que o telefone está a fazer. Como os sistemas Android não mantêm tais registos, o Pegasus pode ocultar melhor os seus rastos.

Snowden descreveu os desenvolvedores de malware motivados pelo lucro como "uma indústria que não deveria existir... Se não se fizer qualquer coisa para travar a venda desta tecnologia, não serão apenas 50 mil alvos. Virão a ser 50 milhões de alvos e isto está a acontecer muito mais rapidamente do que se poderia esperar". Ele apelou a uma imediata moratória global no comércio internacional de softwares espiões.

O apelo de Snowden pelo banimento da venda deste software espião não é suficiente. Precisamos ao invés de encarar o desarmamento de todo o ciber-espaço, incluindo o software espião. O dilúvio de ciber-ataques recentes – estima-se serem dezenas de milhares por dia – é um risco para toda a nossa ciber infraestrutura da qual dependem nossas instituições. Após a fuga das ciber-armas da NSA e da CIA, e agora com o uso indiscriminado do Pegasus da NSO, deveríamos perguntar se estados-nação podem realmente ser confiáveis para desenvolver tais armas.

Brad Smith, o presidente da Microsoft, que não é nenhum pacifista ou esquerdista, em 2017 escreveu: "Reiteradamente, proezas nas mãos de governo escaparam para o domínio público e provocaram dano generalizado..." Foi esta preocupação que certas companhias líderes dentro da indústria – Microsoft, Deutsch Telekom e outras levantaram em 2017, clamando por uma nova Covenção de Genebra banindo ciber-armas. Isto tem sido também um apelo muito mais antigo da Rússia e da China. Ele foi rejeitado peremptoriamente pelos EUA, acreditando que tinha uma vantagem militar no ciberespaço que não deveria desperdiçar.

O Pegasus recorda mais uma vez o perigo de estados-nação desenvolverem ciber-armas. Embora aqui não seja uma fuga mas uma utilização deliberada de uma tecnologia perigosa para lucro privado que põe em risco jornalistas, activistas, partidos de oposição e em última análise a democracia. É uma questão de tempo até que os smart phones se tornem vectores para atacar a ciber infraestrutura da qual dependemos.