OPINIÃO
14/07/2015 15:36 -03 | Atualizado 26/01/2017 22:40 -02

O que o vazamento da Hacking Team pode revelar sobre a espionagem à brasileira

No domingo, 5, vazaram 400GB em dados da empresa de segurança Hacking Team. Fazem parte do pacote: e-mails, códigos fonte de seus produtos, propostas, contratos, cópias de cheques, planilhas e tudo o mais que você pode encontrar em uma empresa comum. Mas esta não é uma empresa comum.

Other

No domingo, 5, vazaram 400GB em dados da empresa de segurança Hacking Team. Fazem parte do pacote: e-mails, códigos fonte de seus produtos, propostas, contratos, cópias de cheques, planilhas e tudo o mais que você pode encontrar em uma empresa comum. Mas esta não é uma empresa comum.

Existem assuntos que podem ser explorados por anos à medida que surgem novos argumentos ou evidências. O vazamento de informações da Hacking Team com certeza será um deles. Não tenho a pretensão (nem a capacidade) de encerrar este tema por aqui. Há muito que analisar, mas já compartilho nesse texto o que encontrei. Isso representa só a casca do que estes dados oferecem. Sou só uma das centenas de pessoas que está analisando estes dados. Então, muita coisa ainda vai aparecer.

Já que publicar coisas somente com base em indícios é algo bem comum na mídia tradicional brasileira, me sinto no direito mostrar aqui o que já vi e o que consigo deduzir sobre isso. Pelo menos eu me baseio em dados disponíveis a todos.

A empresa

A Hacking Team é uma empresa italiana que produz softwares para investigação e os vende a forças policiais ou outros órgãos de governo. Explicando de forma simples, quando um órgão governamental quer investigar ou espionar pessoas ou empresas, eles contratam empresas como a Hacking Team que elabora softwares para que seja possível obter informações do "alvo". Conceitualmente não é nada diferente do que houve no escândalo envolvendo a Kroll em 2004, entretanto o pessoal da Kroll pode ser considerado como "old school" se os compararmos com o "time" (perdoem o pleonasmo) da Hacking Team.

Essa empresa já era conhecida do Reporters Without Borders que os colocaram na lista de "inimigos da internet" porque, embora eles dissessem de maneira pomposa que fazem análises antes de escolher os clientes para quem irão trabalhar, privilegiando a democracia, lutando contra o terrorismo e etc., já haviam indícios (que foram confirmados por este vazamento) de que a empresa estava mesmo ligada no que todas estão: dinheiro, muito dinheiro.

A verdade é que eles tinham em sua "carteira de clientes" regimes barra pesada, reconhecidamente citados como países que não respeitam os direitos humanos, a liberdade de expressão e de imprensa, censores da internet e perseguidores de ativistas como Sudão, Rússia, Azerbaijão, Egito, e Emirados Árabes Unidos.

"Rely on us", #sqn -- Propaganda do produto da Hacking Team

O leak

Não é possível saber desde quando o atacante está coletando informações da empresa. Entretanto a divulgação do vazamento se deu pelo próprio twitter da Hacking Team que também foi invadido.

Em tom de ironia o atacante diz "Como não temos nada a esconder, estamos publicando todos os nossos emails, arquivos e códigos fonte". No tweet o atacante divulga dois links em que é possível baixar os torrents para o pacote de 400 GB.

Em seguida, os links foram divulgados também pelo Wikileaks. Aí a notícia se disseminou pela comunidade de segurança e ativistas. Os dados foram multiplicados em outros sites e agora há muita gente analisando estas informações e tuitando novidades com as hashtags #HackedTeam, #HackingTeam e #HackingTeamTransparencyReport.

Minha primeira reação foi a de desconfiar de tudo, imaginando que esse poderia ser o maior golpe da Hacking Team. Extrair 400 GB de um ambiente é algo que leva tempo, o pacote está cheio de malwares (lógico, isso é o que eles fazem) e por ser uma empresa "de segurança", esta deveria ter controles e mecanismos de monitoramento decentes em seu ambiente. Mas depois foi ficando claro que eles vacilaram mesmo.

Brasil

É de se esperar que qualquer vazamento que ocorra hoje ou no futuro, terá em seu conteúdo dados de empresas ou do governo brasileiro. Vivemos no que chamam de globalização e as empresas tendem a se espalhar pelo mundo.

Com a Hacking Team não foi diferente. Em meio ao material, há uma planilha chamada "3685-brasile visit.xlsx" com diversos contatos no Brasil, Equador, Nigéria, Venezuela, Paraguai, Chile, Estados Unidos e Índia.

Não é possível ter certeza se todos os contatos da planilha são clientes, prospects ou até mesmo alvos. Entretanto existem atas de reunião com várias instituições policiais com o objetivo de apresentar produtos, aqui a coisa é um pouco mais clara.

Em reunião com uma instituição ligada ao governo de São Paulo, o órgão sugere aos membros da Hacking Team o estudo para elaborar mecanismos de monitoramento para SmartTV e XBOX. O organizador da reunião diz, ao final da ata, que a conversa foi muito boa e o órgão pediu uma cotação de 5 agentes e 10 usuários para plataformas Windows, IOS e Android.

Ainda bem que eu não uso Kinect

Em outra ata de reunião, com uma instituição ligada ao governo do Amazonas, o representante do órgão diz que está muito interessado em soluções para dispositivos móveis e que tem interesse especial em monitorar telefones dentro das prisões. O saldo é o de mais uma cotação de 10 agentes para IOS, Blackberry e Android.

Aqui temos um cliente

Essas atas de reunião, somadas à planilha que mencionei anteriormente podem sugerir que os representantes da Hacking Team fizeram um tour pelo Brasil apresentando seus produtos para várias agências e outras empresas. No entanto, há muita coisa sobre um órgão brasileiro em especial, sugerindo que esta instituição é realmente um cliente da Hacking Team.

Existem toneladas de emails, em um se manifesta o interesse pelo produto:

Estamos lidando com forças bastante poderosas, por isso a supressão de alguns dados é importante

Depois surge um trecho de uma RFI (Request For Information). RFIs são documentos em que a entidade compradora pergunta a fornecedores se estes atendem a diversas características.

Por meio das perguntas da RFI (algumas eu grifei) é possível ter uma idéia das intenções de uso da ferramenta. Coletar tudo (audio, vídeo, anexos dentro e fora do país). Suprimi a identificação da entidade.

IV. SPECIFICATIONS

1. Allows remote data extraction and monitoring under item "II" above?

2. Present brief summary of the working tool (maximum 5 lines).

3. The product allows access to which operating systems? There are currently upgraded to which versions (oldest to newest)? Inform compatibility or need to "root", "jailbreak" or other changes in the original system.

4. The product is compatible with which devices (maximum 15 lines))?

5. As is physically the product (systems, equipment and accessories)?

6. Briefly, in what ways can give the process of inserting the monitoring agent ("infection") on the target machine (maximum 15 lines)?

7. It is possible the "infection" without any user action? In which cases?

8. Allow the "infection" through physical if possible access to the machine? In this case, the fact that the device be locked by password prevents such action?

9. Allow the "infection" of devices that have invalid IMEI number (which occurs with some Chinese brands)?

10. The "infection" resists restoration of the target device to factory settings?

11. What types of data can be extracted on target device with the product?

12. The product allows the extraction and monitoring of messages (and attachments) of communications applications? Which Are?

13. The product allows the extraction of photos or videos using both the target device cameras?

14. The product allows the ambient audio capture using the phone's microphone? Such functionality is allowed even if the user is using the device at the moment?

15. The product allows you to record phone calls? Records both parties?

16. It allows the interception of audio and video conversations via packet data (like Skype, Facetime etc.)?

17. The product allows you to locate the device using GPS or ERB (when you can not use satellite)? In the latter case, only locates the position of the base station performs or "triangulation" to enhance location?

18. What types of alerts are configurable in the product?

19. Allows alert configuration when two target devices approach (which could, for example, represent an encounter between targets)?

20. The product works (for "infection", extraction and monitoring) with appliances / Brazilian lines abroad?

21. The product works (for "infection", extraction and monitoring) with appliances / foreign lines in Brazil?

22. The product allows the definition of equipment or lines whose "infection" is not allowed? It is possible to issue alerts in case of attempted "infection" of such devices?

23. The product allows user activity control, such as amount of "infection" by industry (eg half for activities of the Board and half to another), administrator prior authorization for "infection" and "cleaning" limitations Data subject to extraction / monitoring (such as prohibiting the opening of without administrator authorization phone's microphone), among others?

24. The product makes reports and / or customizable files for target operation period or member?

25. The product produces / exports data suitable for use as evidence in legal proceedings? Produces "hash" code? It produces "watermark"?

26. The product allows the recording and auditing of all activities?

27. The product includes own servers and maintenance under responsibility of the for targeting and storage of the extracted data? In this case, it is feasible to ban any remote access by the supplier, although the title of maintenance?

28. What safeguards have the product in order to prevent or hinder the identification of the intrusion agent, identification and interception of the flow of the extracted data, the data stream tracking or other countermeasures capable of compromising the investigation (maximum 15 lines)?

29. Other aspects considered relevant on the product (maximum 20 lines).

V. TECHNICAL SUPPORT

1. It provided training for users and administrators?

2. How long can the company commit to providing consistent updates with new versions of these operating systems under "IV.3"?

3. How long the company can commit to providing consistent updates with new devices launched in the market?

4. How long the company can commit to match the product, by customer demand, perhaps with specific applications launched or are not compatible at the time the contract is concluded?

5. Other aspects considered relevant on technical support (maximum 20 lines).

Outros documentos do pacote já possuem um codinome de projeto, algo comum em corporações de TI. Existem documentos com senhas de dispositivos (não irei reproduzir eles aqui), vários emails, certificados digitais o que leva a crer que o projeto foi desenvolvido e entregue.

Não usei ferramentas para identificar datas nos metadados dos arquivos e não tenho a intenção de fazer análise forense desse conteúdo. Até porque não há como garantir qualquer cadeia de custódia, pois sabe se lá por quantas máquinas eles passaram até chegar a minha mão.

Ética e Crime

Em entrevista ao International Business Times, o porta-voz da Hacking Team, Eric Rabe disse que a empresa não cometeu nenhum crime em suas atividades comerciais. Pode ser verdade, somente arranhei a superfície destes documentos e pelo que vi essa empresa pode ser comparada a um fornecedor de armas e não com mercenários.

Entretanto, foram publicadas algumas suspeitas de que seu software pode contemplar outras técnicas, como a de plantar pornografia infantil em alvos de modo a obter informações por meio da chantagem. O que arrisco chamar aqui de tortura digital. Não foi confirmado que este software era comercializado pela empresa.

Os organismos policiais brasileiros que adquiriram a ferramenta cometeram algum crime? Essa é uma pergunta complexa, que depende das cenas dos próximos capítulos e possíveis comentários dos leitores para que cheguemos juntos a uma resposta.

Entretanto, minha leitura do Marco Civil da Internet é a de que a lei foca em registros de log e tráfego e aqui estamos falando da violação da segurança, invasão e extração de dados de dispositivos. É um cenário completamente diferente.

Se alguma coleta de provas dessas operações que repercutem na mídia foi feita com o uso dessas ferramentas, isso já é um prato cheio para os advogados de defesa dos envolvidos e aí esse país vai mesmo virar do avesso.

Mas há um componente nesse tipo de "ferramenta" que vale mais uma reflexão: Por mais que um juiz emita uma autorização para seu uso em uma operação policial, ele não tem como garantir que ela não será usada para outras coisas ligadas ao interesse do policial que pilota o software, seu chefe ou o governo. Estas ferramentas são silenciosas, não dá para comparar com "busca e apreensão".

No caso Snowden ficou claro que a estrutura criada para combater o terrorismo (Defesa = política de Estado) era também usada para atender aos interesses comerciais da gestão Obama (política de governo). Isso sem contar a espionagem pessoal feita pelos próprios analistas.

Ficou claro também que governos de todos os países querem ter ou já possuem estruturas semelhantes. Além disso, como é possível ver no pacote da Hacking Team, isso não compreende somente os "Governos Nacionais", mas também governos de estados e forças armadas. Todo mundo quer uma solução como a da Hacking Team para chamar de sua. Não há controle.

Sinceramente penso que este é um caminho sem volta. As vulnerabilidades sempre irão existir, sejam elas deixadas intencionalmente pelos fabricantes ou não. A tecnologia para explorar as vulnerabilidades estará sempre disponível para qualquer um com conhecimento. É como um prato de brigadeiro em festa de criança. Antes se tinha a decência de esperar pelo "parabéns a você", mas hoje é muito difícil impedir as crianças de atacarem o doce antes do combinado. O doce existe para ser comido.

Você pode estar sendo espionado nesse momento porque, tem ligação com ativistas, porque é muçulmano, porque não é nenhuma coisa nem outra mas esteve em uma manifestação pela liberdade religiosa. Ou só porque a pessoa que opera o sistema viu uma foto sua em alguma rede social, te achou gostosa(o) e quer te ver nu. As possibilidades são infinitas.

Lógico que é necessário cobrar mudanças, mas o caminho que temos que seguir agora é o de tentar se proteger. E é possível sentir o quanto estamos atrasados nisso quando vemos gente compartilhando segredos do WhatsApp (não se culpe, todo mundo já fez isso).

Costumo a dizer que nos tempos de hoje, ser "ownado" (hackeado na gíria hacker) é igual a ser "corno". Quem bate no peito dizendo que nunca foi, ou teve sorte, ou não tem conhecimento.

-

Publicado originalmente no Medium.

-

Se você gostou desse texto e quer nos ajudar a publicar mais histórias como esta, compartilhe nas redes sociais. Para saber mais sobre a Io visite essa página ou nos encontre no Facebook, Twitter ou Linkedin.

VEJA TAMBÉM:

Galeria de Fotos Wikileaks: os principais vazamentos Veja Fotos