Nossa função não é dar dicas financeiras, mas, se você tá na pindaíba e manja de tecnologia, a luz no fim do túnel pode ser a caça por vulnerabilidades em softwares. Pode acreditar: assim que descobrir uma ou mais falhas, é possível vendê-las a empresas como a Zerodium, especializada no comércio de brechas desconhecidas pelos desenvolvedores do produto – as chamadas 0days –, por valores que podem chegar a US$ 1.5 milhão.
Publicidade
Tanta grana pode, porém, provocar uma crise de consciência: os bugs são, afinal, a matéria-prima para uma indústria de vigilância e monitoramento que serve a interesses escusos ao redor do mundo, incluindo o Brasil.O mercado é tão novo que é difícil sacar quando exatamente começou. Até pouco tempo, quem seguia esse caminho ganhava apenas notoriedade e credibilidade nas ruas virtuais. No entanto, em 95, a Netscape – do finado navegador – lançou o primeiro programa de bug bounty (recompensas por bugs) e colocou dinheiro na parada. Em 2002, por sua vez, a IDefense mudou o jogo ao se tornar a primeira intermediadora desse mercado. Ela comprava cada falha por até US$ 400 e as revendia para os desenvolvedores. "O início da atividade da IDefense foi um marco. Não que ela tenha inaugurado o que vemos hoje, mas ela deu ideia para muita gente", diz Carlos Cabral, consultor em segurança da informação.Um dos influenciados pela IDefense foi Chaouki Bekrar, o fundador da Zerodium, conhecido como "Darth Vader da Cibersegurança". Ele criou a companhia em 2015 após o fechamento da sua primeira empresa, a Vupen, que era, a princípio, uma intermediadora de 0days semelhante à IDefense. Mas a voracidade por controle de informação por parte de governos logo mostrou que a venda dessas falhas a quem estava mais interessado em aproveitá-las do que corrigi-las era muito mais lucrativo. Enquanto a Zerodium paga US$ 1.5 milhões por um falha no iOS 10, por exemplo, a Apple oferece, no máximo, US$ 200 mil. De olho nas altas recompensas, Bekrar virou defensor do mercado e um dos únicos atores que fala abertamente sobre o tema.
Publicidade
Ainda assim, após topar uma conversa por e-mail com o Motherboard, Bekrar voltou atrás e afirmou que "preferia não contribuir para o artigo" quando leu as questões. Entre as perguntas, estava um pedido de comentário sobre uma enquete que ele havia postado no seu Twitter no começo de outubro. O enunciado dizia: "Se você tivesse um 0day valioso, você o venderia para alimentar sua família ou daria de graça para desenvolvedores de software alimentarem seus acionistas?". A amostra não foi lá muito grande: só 422 pessoas responderam. Mesmo assim, o resultado foi representativo: 80% disseram que "Banca a família totalmente" em contrapartida aos 20% que optaram pelos acionistas.
Ainda que a Zerodium atua às claras, ela é apenas a transmissora. Quem inocula as falhas encontradas em sistemas operacionais são empresas especializadas em ataques precisos e sofisticados contra alvos dos seus clientes. No jargão, enquanto tentativas de golpes simples pela internet são chamados de phishing (de pesca com rede), estes seriam spearphishing (de pesca com arpão).O aumento do preço declarado por um 0day para o celular da Apple, por exemplo, veio na esteira da tentativa de invasão, em agosto, do iPhone de Ahmed Mansoor, ativista de direitos humanos que vive às turras com o governo dos Emirados Árabes Unidos. Nos dias 10 e 11 daquele mês, Mansoor recebeu um SMS com um link que prometia informações sobre prisioneiros políticos torturados pelo país. Ele desconfiou dessa conversa e a enviou para o Citizen Lab, laboratório canadense de pesquisa em segurança da informação, que destrinchou a mensagem e encontrou três 0days que permitiriam espionar o ativista de maneira integral.
Publicidade
A investigação sobre a infraestrutura usada no ataque revelou a participação de uma empresa israelense chamada NSO Group, cuja atuação ainda era incógnita. Assim, a NSO se juntou a um grupo que inclui Circles, Cellebrite (que tem contratos com a Polícia Federal brasileira para extração forense de informações em celulares apreendidos), Nice Systems, Elbit, Wols Intelligence, AeaSPA, Aglaya, Exodus Intelligence, Ability Inc, FinFisher e Hacking Team.As duas últimas empresas citadas, FinFisher e Hacking Team, também participaram de ataques semelhantes contra Ahmed Mansoor em 2011 e 2012, respectivamente. Além disso, um gigantesco vazamento de informações do Hacking Team em 2015 mostrou que diversas instituições de segurança brasileiras, entre elas a Polícia Federal, negociaram e testaram os programas de monitoramento de ambas as empresas – assim como uma solução chamada sec21, descrito como uma parceria de uma companhia espanhola, talvez a S21Sec, com uma universidade brasileira.Em resposta a um pedido feito via Lei de Acesso à Informação, a Polícia Federal respondeu que dados sobre o uso ou não de programas de monitoramento são informação sigilosa, já que descreveriam uma capacidade técnica da instituição. Após recurso, a PF afirmou que os documentos que responderiam a essas afirmações são classificados como secretos. Na mesma resposta, a PF afirma que ações do tipo poderiam ser feitas a partir de autorização judicial com base na Lei nº 9.296/96.
Vendas a órgãos de governos – incluindo o brasileiro
Publicidade
"Isso não está correto. Uma coisa é a interceptação do fluxo de duas partes, que é o que a lei regula, a outra é a possibilidade de invadir o celular ou o computador e inclusive corromper provas que encontrar", afirma Guilherme Goulart, consultor em direito e tecnologia e um dos autores do podcast Segurança Legal.Goulart cita um artigo do ministro do STF Gilmar Ferreira Mendes e do juiz federal Jurandi Borges Pinheiro chamado "Interceptações e Privacidade: novas tecnologias e a Constituição", em que os autores avaliam que "em face a inexistência da lei específica sobre a matéria e da manifesta insuficiência das disposições da Lei nº 9.296/96, a infiltração clandestina em computadores pessoais mostra-se de difícil conformação com a garantia constitucional com o direito à privacidade.".
"Não é que eu acho que uma ferramenta dessas nunca possa ser utilizada, mas nós temos que saber como isso é feito, temos que entender quais as capacidades da polícia com isso, para não ser descontrolado", diz Guilherme. "Mas há esse descompasso da velocidade com avanço da tecnologia e a necessidade das leis que a regulem. O mesmo vale para a venda dos 0days: não é criminoso, mas é ilegal já que não há nenhum dispositivo que trate disso."Essa indefinição resulta em situações curiosas, como na disputa entre Apple e FBI sobre o iPhone de Syed Farook, um dos autores do atentado de San Bernardino que matou 14 pessoas em dezembro de 2015. O FBI queria que o Apple criasse uma ferramenta para acessar os dados do celular, mas a empresa se negava com a afirmação de que isso resultaria numa diminuição de segurança para todos os os outros usuários do aparelho. Em abril, a agência de investigação conseguiu hackear o iPhone depois de contratar uma ferramenta desconhecida, por estimados US$ 1 milhão. Com isso, o jogo virou: a Apple deseja descobrir como isso foi feito, mas o FBI se recusa a revelar a informação.Em um momento de instabilidade política em que o Exército infiltra oficias em operações de inteligência mal explicadas e estudantes de São Paulo relatam sofrer perseguição pelas polícias militar e civil do estado, o Brasil é um terreno fértil para esse mercado. "Em todo o mundo, há um tendência de uso desses dispositivos contra ativistas e jornalistas. Aqui não é diferente", diz Carlos Cabral. No país, há quem venda 0days no mercado internacional, apesar dessas pessoas prezarem pelo anonimato, e há quem utilize ferramentas semelhantes às que utilizam essas falhas inclusive para fazer ataques a países vizinhos.Segundo outro levantamento feito pelo Citizen Lab, um grupo denominado Packrat atuou pelo menos entre 2008 e 2015 em campanhas de monitoramento remoto na Argentina, Brasil, Venezuela e Equador. Apesar de não chegar à conclusões precisas sobre a origem dos ataques, a pesquisa indica que grande parte deles era oriunda de IPs localizados no Brasil e alguns dos materiais utilizados como isca eram em português, como falsos currículos e faturas bancárias. Os alvos? Ativistas, promotores, jornalistas e outras vozes proeminentes de ambos os lados do embate político que tem bagunçado o continente.Ou seja, meu caro: há um mercado bem lucrativo que pode se beneficiar dos seus dons de hacking; do outro lado da moeda há uma série de pessoas que estão sendo monitoradas, vigiadas, espionadas e censuradas. Será que vale o quanto pesa?"Em todo o mundo, há um tendência de uso desses dispositivos contra ativistas e jornalistas. No Brasil não é diferente"