Tech by VICE

​O hacker ‘Phineas Fisher’ vem a público pela 1ª vez – mas na forma de marionete

"Entrei no mundo hacker criando malware em visual basic graças ao meu grupo da igreja."

por Lorenzo Franceschi-Bicchierai
21 Julho 2016, 3:42pm

Há pouco mais de um ano, o silencioso Twitter da Hacking Team, empresa italiana que vende ferramentas de espionagem para governos do mundo todo, começou a se comportar de um jeito esquisito.

"Já que não temos nada a esconder, estamos publicando todos nossos emails, arquivos e códigos-fonte", dizia um tuíte de domingo, 5 de julho de 2015.

O tuíte vinha junto de um link para um torrent de cerca de 400 gigabytes com tudo que o Hacking Team tinha em seus servidores: emails internos, documentos confidenciais e até mesmo o código-fonte da empresa. A Hacking Team, conhecida por vender seus produtos para regimes e governos opressores tais como os da Etiópia, Marrocos e outros, havia sido hackeada.

Horas depois, o hacker revelou ser a mesma pessoa que no ano anterior havia promovido ataque semelhante contra outra empresa que vende spyware para governos, a Finfisher.

"Li os relatórios do Citizen Lab sobre as empresas FinFisher e Hacking Team e pensei 'isso é escroto'."

Desde então, o hacker, sob o pseudônimo Phineas Fisher, ficou na dele, com exceção de algumas postagens em seu Twitter, e um texto sobre como hackeou a Hacking Team, que também serviu como uma espécie de manifesto de seu movimento hacker político "hackeie de volta".

Antes de tudo isso, porém, algumas semanas após sua invasão, perguntei se ele gostaria de conceder uma entrevista aos colegas da VICE Canadá, que estavam fazendo um documentário sobre o mercado crescente de mercenários cibernéticos, empresas que vendem ferramentas de espionagem e hacking para autoridades em todo o mundo.

Depois de alguma conversa, Phineas Fisher topou – com uma condição bizarra.

"Farei uma entrevista em vídeo se você conseguir Caco, o Sapo (ou uma marionete caseira que não fira direitos autorais) e um dublador para ler o que digito num chat", disse Phineas Fisher.

E assim, nossos amigos no Canadá descolaram uma marionete e bateram um papo com Phineas Fisher em sua primeira entrevista. Você pode assistir ao vídeo abaixo ou ler em português a transcrição completa abaixo (levemente editada para fins de clareza).

BEN MAKUCH: Por que você hackeou a Hacking Team?

PHINEAS FISHER: Li os relatórios do Citizen Lab sobre as empresas FinFisher e Hacking Team e pensei "isso é escroto" e hackeei a empresa.

Foi fácil assim? Como você fez isso?

Escrevi como fiz com o Gamma Group. Com o tempo escrevo sobre a Hacking Team. [Nota: esta entrevista foi conduzida meses antes de Phineas Fisher publicar uma explicação detalhada de como o fez]

Qual o objetivo de vazar todos os dados da Hacking Team? Você estava tentando pará-la?

Pela zoeira. Não espero que vazar dados vá impedir uma empresa de qualquer coisa. Mas com sorte isso vai atrapalhar um pouco e dar uma folga pra quem era alvo de seus softwares.

Por falar nisso, conversamos com jornalistas etiópios que eram vigiados pelo governo com software da Hacking Team. Eles agradecem.

Que massa. Meio doido ver meu vício/hobby de invadir coisas afetando gente no mundo real de um jeito positivo.

Pra quem hackeia por hobby, você manda muito bem. Então pergunto: isso tem algo a ver com combater a vigilância?

Claro, senão não invadiria empresas de vigilância.

Qual é a sua opinião sobre empresas de vigilância? E a Hacking Team em especial?

Diria que tem gente sem qualquer ética fazendo qualquer coisa que o dinheiro pague, mas talvez não seja bem por aí. Imagino que eu não deva ser diferente dos funcionários da Hacking Team, tenho a mesma piração pelo pulso eletrônico e a beleza do baud [referência ao notório manifesto Hacker]. Só tive experiências muito diferentes ao crescer: ACAB [Todos os Policiais São Cretinos, em inglês] pichado em todas as paredes. Imagino como deve ser você vir de um lugar em que você encara a polícia como uma força do bem e então criar ferramentas hacker para eles faz algum sentido, mas aí o Citizen Lab dá evidências claras de que elas estão sendo usadas de forma como um vilão dos quadrinhos faria. São coisas como espiar jornalistas, dissidentes, opositores políticos, etc e meio que ignoram isso aí e continuam fazendo seu trabalho. Ok, nenhuma ética, mas a maioria na mesma situação faria o mesmo. É fácil racionalizar as coisas quando rende muita grana e seu círculo social, sua família e tudo mais, dependem daquilo.

É interessante porque eles dizem que o que eles fazem é legal e o que você faz é ilegal.

Bem, é verdade. Mas legal versus ilegal é quase inversamente proporcional a certo e errado.

Eles disseram pra gente que o que estavam fazendo era legítimo. O que você acha que o público pensa da Hacking Team agora?

Provavelmente o público nem ouviu falar da Hacking Team. Com sorte o pessoal hacker/programador os conhece o bastante de forma a dificultar contratarem gente nova. As pessoas provavelmente entram lá numa boa e as contradições e racionalizações que se precisava fazer para continuar sãos enquanto fazem seu trabalho acabam as deixando cada vez mais sem noção, como [o CEO da Hacking Team, David] Vincenzetti.

Você acredita que outras empresas de vigilância temem você agora? Você já saiu na frente duas vezes.

Não me vejo como uma pessoa assustadora. Mas dá pra ver nos emails da Hacking Team que eles fizeram testes de intrusão após o [ataque de FinFisher a] Gamma Group. E não são só empresas de vigilância. Deixou muita gente do setor temerosa. Tipo, eles se dizem "hackers éticos" e a Hacking Team estava criando softwares para atos hackers obviamente nada éticos, logo, muita gente ficou feliz após a minha invasão. Agora reconhecemos que os responsáveis pela segurança de bancos e prestadores de serviços de defesa e a Hacking Team fornecendo ferramentas ofensivas para as autoridades e militares estão do mesmo lado, o que os faz lembrar de ~el8, zf0, phc etc.

Você acha que o software vendido pela Hacking Team era bom? Como você avaliaria isso?

Acho que cumpre bem sua funcionalidade. Considerando o número de técnicos trabalhando ali em tempo integral, poderia ser melhor. Mas o software é o de menos, há RATs melhores [Ferramentas de Acesso Remoto]. O que eles fazem é fornecer tudo com uma interface simples e com suporte técnico total. Assim, ditadores amerdalhados que mal sabem ligar um PC conseguem invadir e espiar seus opositores.

É, foi basicamente assim que a Citizen Lab avaliou o software. A agência de inteligência etiópia INSA mandou mal pra caralho ao tentar se esconder, bem como seus rastros.

É, lendo alguns emails de suporte técnico me impressionei com como as pessoas operando os softwares são ruins com computadores. Sério, INSA, paga pra um dos funcionários aí fazer uma graduação em informática, sei lá.

Boa! E o que você achou de mais engraçado?

[Um tuíte com os dizeres "Enquanto isso na Embaixada de Londres" em espanhol. Trata-se de uma piada em relação à situação embaraçosa da Embaixada do Equador em Londres, que estava hospedando o WikiLeaks na mesma época que o WikiLeaks estava vazando os emails da Hacking Team. Os emails revelavam que a agência de inteligência equatoriana havia comprado o spyware italiano, utilizando-o para espionar adversários políticos.]

Se essas empresas de vigilância continuarem vendendo seus produtos para ditadores mesmo após terem sido hackeadas, há algo que a lei possa fazer para impedí-las de comercializar armas no exterior?

A pergunta me deixou meio confuso. Não entendo porque legisladores tentariam impedir uma empresa cujo trabalho é ajudá-los a fazerem com que a lei seja cumprida.

Bom argumento.

Talvez você queira dizer algo no sentido do que o Citizen Lab falou sobre "bons" e "maus" governos, e os países "bons" teriam usos legítimos para tais ferramentas e precisam impedir que elas caiam nas mãos dos países "maus"?

Acho que estou me referindo a "regimes autoritários" e governos "democráticos".

A função essencial das autoridades é a mesma. Os clientes nos ataques FinFisher e da Hacking Team tinham como alvos de espionagem pessoas no Bahrain, Equador, México, Etiópia, todos jornalistas investigativos, dissidentes, opositores políticos, nunca "criminosos comuns". A maioria dos recursos das autoridades em todo lugar se dedica a monitorar ameaças a quem está no poder, num raro lampejo de como a polícia gasta seu dinheiro em um governo "democrático". Antes de tudo estar em discos rígidos e você poder hackear geral só de pijama, tudo estava em armários e você teria que acessar os arquivos fisicamente. Mas quando os cidadãos pagam pra ver com que o FBI gastou eles se deparam com dados que afirmam que 1% do orçamento foi dedicado ao crime organizado, em grande parte jogos de azar; 30% para "manuais, formulários e demais gastos ligados a procedimentos"; 40% dedicados a vigilância política e afins, incluindo dois casos com grupos de direita, dez imigrantes, e mais de 200 casos com grupos de esquerda ou liberais. Outros 14% dos documentos tinham a ver com resistir ao alistamento militar e "deixar o exército sem permissão do governo". O resto tinha a ver com assaltos, assassinato, estupro e roubos interestaduais. Resistência ao alistamento e abandono do exército são coisas que considerarei como "não-crimes", e sim ameaças a quem está no poder. Ou seja, mais ou menos 70% do orçamento se volta a questões políticas, 30% crimes de fato. A diferença entre regimes autoritários e "democráticos" é que os clientes da Hacking Team prendem, torturam e matam, ao passo em que os "democráticos" tem maneiras mais gentis de lidar com dissidentes.

"A diferença entre regimes autoritários e 'democráticos' é que os clientes da Hacking Team prendem, torturam e matam, ao passo em que os "democráticos" tem maneiras mais gentis de lidar com dissidentes."

Acho que, se você leva em consideração as informações vazadas por Snowden e a lista de clientes da Hacking Team, os governos estão basicamente fazendo o mesmo. Dinheiro e tecnologia é tudo que os separa.

É por aí. A tendência natural de todos no poder é querer mais poder e controle, e é preciso de vigilância para isso.

Estou pensando aqui: o que você diria para Eric Rabe? O cara da comunicação da Hacking Team.

Bem, com certeza ele consegue retratar as situações da melhor forma. Vale bem a grana se você se vê exposto colaborando com abuso a direitos humanos e precisa de um bom RP.

Que frieza. Queria saber como é o RP da Lockheed Martin (empresa de veículos aeroespaciais também envolvida em questões de vigilância).

A Lockheed Martin só fabrica os drones que alguém usa pra matar gente numa lista que outra pessoa escreveu. A Hacking Team foi só uma parte que foi removida. Ter duas partes removidas te poupa de quaisquer problemas com RP, certo?

Tenho certeza que é isso que eles repetem pra si mesmos pra poder dormir à noite. Só mais uma pergunta, se você não se incomodar: como saber que você é Phineas Fisher?

Você não tem como, todos somos Phineas Fisher. É um nome meio bobo, um trocadilho com FinFisher que bolei e faz tempo que não os hackeio. Devia tentar criar um nome novo.

Devia mesmo. Usa algo forte, tipo "Laser Tiger".

Precisa ser uma parada mais cibernética.

"Hacking Team Hackeada Novamente pelo Infame Laser Tig3r". Ok, valeu mesmo por tirar um tempo pra conversar comigo. Agradeço mesmo. E a marionete deu duro também, você vai gostar.

Esquadrão Vice de Jornalismo Ciber-Investigativo.

Curti.

Mas, de verdade, no artigo do Motherboard sobre Variety Jones consta várias vezes que "uma fonte ganhou acesso de forma independente a", um provável eufemismo para uma invasão ilegal. Como consigo ser pago pra fazer estes trampos especiais de "jornalismo investigativo".

Imagino que você cobre pelo serviço em Bitcoin. Rola Dogecoin ou Kanyecoin?

Bitcoin, Dogecoin, Faircoin. Uma curiosidade pra você incluir na entrevista: entrei no mundo hacker criando malware em visual basic graças ao meu grupo da igreja quando minha mãe me inscreveu em um curso de verão.

Então podemos agradecer à igreja? E valeu por essa. Baita curiosidade mesmo.

Por nada. Assim que sair da cadeia após ser preso por hackear, em vez de virar um hacker do bem, vou tentar stand-up. Você acha que rola?

Siga seu coração, Phineas.

Tradução: Thiago "Índio" Silva