Tech by VICE

Ninguém está a salvo no milionário mercado de compra e venda de bugs da internet

Hackers ganham milhões de dólares comercializando falhas de softwares para empresas de vigilância. O preço de custo? A espionagem governamental ao redor do mundo.

por João Paulo Vicente
16 Novembro 2016, 4:54pm

Hackers ganham milhões de dólares comercializando falhas de softwares a empresas de vigilância. O preço de custo? A espionagem governamental de ativistas, promotores e jornalistas ao redor do mundo. Crédito: miniyo73/ Flickr

Nossa função não é dar dicas financeiras, mas, se você tá na pindaíba e manja de tecnologia, a luz no fim do túnel pode ser a caça por vulnerabilidades em softwares. Pode acreditar: assim que descobrir uma ou mais falhas, é possível vendê-las a empresas como a Zerodium, especializada no comércio de brechas desconhecidas pelos desenvolvedores do produto – as chamadas 0days –, por valores que podem chegar a US$ 1.5 milhão.

Tanta grana pode, porém, provocar uma crise de consciência: os bugs são, afinal, a matéria-prima para uma indústria de vigilância e monitoramento que serve a interesses escusos ao redor do mundo, incluindo o Brasil.

O mercado é tão novo que é difícil sacar quando exatamente começou. Até pouco tempo, quem seguia esse caminho ganhava apenas notoriedade e credibilidade nas ruas virtuais. No entanto, em 95, a Netscape – do finado navegador – lançou o primeiro programa de bug bounty (recompensas por bugs) e colocou dinheiro na parada. Em 2002, por sua vez, a IDefense mudou o jogo ao se tornar a primeira intermediadora desse mercado. Ela comprava cada falha por até US$ 400 e as revendia para os desenvolvedores. "O início da atividade da IDefense foi um marco. Não que ela tenha inaugurado o que vemos hoje, mas ela deu ideia para muita gente", diz Carlos Cabral, consultor em segurança da informação.

Um dos influenciados pela IDefense foi Chaouki Bekrar, o fundador da Zerodium, conhecido como "Darth Vader da Cibersegurança". Ele criou a companhia em 2015 após o fechamento da sua primeira empresa, a Vupen, que era, a princípio, uma intermediadora de 0days semelhante à IDefense. Mas a voracidade por controle de informação por parte de governos logo mostrou que a venda dessas falhas a quem estava mais interessado em aproveitá-las do que corrigi-las era muito mais lucrativo. Enquanto a Zerodium paga US$ 1.5 milhões por um falha no iOS 10, por exemplo, a Apple oferece, no máximo, US$ 200 mil. De olho nas altas recompensas, Bekrar virou defensor do mercado e um dos únicos atores que fala abertamente sobre o tema.

Ainda assim, após topar uma conversa por e-mail com o Motherboard, Bekrar voltou atrás e afirmou que "preferia não contribuir para o artigo" quando leu as questões. Entre as perguntas, estava um pedido de comentário sobre uma enquete que ele havia postado no seu Twitter no começo de outubro. O enunciado dizia: "Se você tivesse um 0day valioso, você o venderia para alimentar sua família ou daria de graça para desenvolvedores de software alimentarem seus acionistas?". A amostra não foi lá muito grande: só 422 pessoas responderam. Mesmo assim, o resultado foi representativo: 80% disseram que "Banca a família totalmente" em contrapartida aos 20% que optaram pelos acionistas.


Tabela de preços da Zerodium. Crédito: Divulgação

Ainda que a Zerodium atua às claras, ela é apenas a transmissora. Quem inocula as falhas encontradas em sistemas operacionais são empresas especializadas em ataques precisos e sofisticados contra alvos dos seus clientes. No jargão, enquanto tentativas de golpes simples pela internet são chamados de phishing (de pesca com rede), estes seriam spearphishing (de pesca com arpão).

O aumento do preço declarado por um 0day para o celular da Apple, por exemplo, veio na esteira da tentativa de invasão, em agosto, do iPhone de Ahmed Mansoor, ativista de direitos humanos que vive às turras com o governo dos Emirados Árabes Unidos. Nos dias 10 e 11 daquele mês, Mansoor recebeu um SMS com um link que prometia informações sobre prisioneiros políticos torturados pelo país. Ele desconfiou dessa conversa e a enviou para o Citizen Lab, laboratório canadense de pesquisa em segurança da informação, que destrinchou a mensagem e encontrou três 0days que permitiriam espionar o ativista de maneira integral.

A investigação sobre a infraestrutura usada no ataque revelou a participação de uma empresa israelense chamada NSO Group, cuja atuação ainda era incógnita. Assim, a NSO se juntou a um grupo que inclui Circles, Cellebrite (que tem contratos com a Polícia Federal brasileira para extração forense de informações em celulares apreendidos), Nice Systems, Elbit, Wols Intelligence, AeaSPA, Aglaya, Exodus Intelligence, Ability Inc, FinFisher e Hacking Team.

Vendas a órgãos de governos – incluindo o brasileiro

As duas últimas empresas citadas, FinFisher e Hacking Team, também participaram de ataques semelhantes contra Ahmed Mansoor em 2011 e 2012, respectivamente. Além disso, um gigantesco vazamento de informações do Hacking Team em 2015 mostrou que diversas instituições de segurança brasileiras, entre elas a Polícia Federal, negociaram e testaram os programas de monitoramento de ambas as empresas – assim como uma solução chamada sec21, descrito como uma parceria de uma companhia espanhola, talvez a S21Sec, com uma universidade brasileira.

Em resposta a um pedido feito via Lei de Acesso à Informação, a Polícia Federal respondeu que dados sobre o uso ou não de programas de monitoramento são informação sigilosa, já que descreveriam uma capacidade técnica da instituição. Após recurso, a PF afirmou que os documentos que responderiam a essas afirmações são classificados como secretos. Na mesma resposta, a PF afirma que ações do tipo poderiam ser feitas a partir de autorização judicial com base na Lei nº 9.296/96.

"Isso não está correto. Uma coisa é a interceptação do fluxo de duas partes, que é o que a lei regula, a outra é a possibilidade de invadir o celular ou o computador e inclusive corromper provas que encontrar", afirma Guilherme Goulart, consultor em direito e tecnologia e um dos autores do podcast Segurança Legal.

Goulart cita um artigo do ministro do STF Gilmar Ferreira Mendes e do juiz federal Jurandi Borges Pinheiro chamado "Interceptações e Privacidade: novas tecnologias e a Constituição", em que os autores avaliam que "em face a inexistência da lei específica sobre a matéria e da manifesta insuficiência das disposições da Lei nº 9.296/96, a infiltração clandestina em computadores pessoais mostra-se de difícil conformação com a garantia constitucional com o direito à privacidade.".

"Em todo o mundo, há um tendência de uso desses dispositivos contra ativistas e jornalistas. No Brasil não é diferente"

"Não é que eu acho que uma ferramenta dessas nunca possa ser utilizada, mas nós temos que saber como isso é feito, temos que entender quais as capacidades da polícia com isso, para não ser descontrolado", diz Guilherme. "Mas há esse descompasso da velocidade com avanço da tecnologia e a necessidade das leis que a regulem. O mesmo vale para a venda dos 0days: não é criminoso, mas é ilegal já que não há nenhum dispositivo que trate disso."

Essa indefinição resulta em situações curiosas, como na disputa entre Apple e FBI sobre o iPhone de Syed Farook, um dos autores do atentado de San Bernardino que matou 14 pessoas em dezembro de 2015. O FBI queria que o Apple criasse uma ferramenta para acessar os dados do celular, mas a empresa se negava com a afirmação de que isso resultaria numa diminuição de segurança para todos os os outros usuários do aparelho. Em abril, a agência de investigação conseguiu hackear o iPhone depois de contratar uma ferramenta desconhecida, por estimados US$ 1 milhão. Com isso, o jogo virou: a Apple deseja descobrir como isso foi feito, mas o FBI se recusa a revelar a informação.

Em um momento de instabilidade política em que o Exército infiltra oficias em operações de inteligência mal explicadas e estudantes de São Paulo relatam sofrer perseguição pelas polícias militar e civil do estado, o Brasil é um terreno fértil para esse mercado. "Em todo o mundo, há um tendência de uso desses dispositivos contra ativistas e jornalistas. Aqui não é diferente", diz Carlos Cabral. No país, há quem venda 0days no mercado internacional, apesar dessas pessoas prezarem pelo anonimato, e há quem utilize ferramentas semelhantes às que utilizam essas falhas inclusive para fazer ataques a países vizinhos.

Segundo outro levantamento feito pelo Citizen Lab, um grupo denominado Packrat atuou pelo menos entre 2008 e 2015 em campanhas de monitoramento remoto na Argentina, Brasil, Venezuela e Equador. Apesar de não chegar à conclusões precisas sobre a origem dos ataques, a pesquisa indica que grande parte deles era oriunda de IPs localizados no Brasil e alguns dos materiais utilizados como isca eram em português, como falsos currículos e faturas bancárias. Os alvos? Ativistas, promotores, jornalistas e outras vozes proeminentes de ambos os lados do embate político que tem bagunçado o continente.

Ou seja, meu caro: há um mercado bem lucrativo que pode se beneficiar dos seus dons de hacking; do outro lado da moeda há uma série de pessoas que estão sendo monitoradas, vigiadas, espionadas e censuradas. Será que vale o quanto pesa?