O uso de spyware como ferramenta de hacking governamental e vigilância estatal, com André Ramiro
por Paulo Faltay
O Intercept Brasil divulgou recentemente que, durante o governo Bolsonaro, a Agência Brasileira de Inteligência (Abin) adquiriu a ferramenta Augury, que segundo a revista Vice pode monitorar a navegação dos usuários e dados de e-mails. O caso se soma à denúncia feita por O Globo, em março, da compra do programa FirstMile, pelas Forças Armadas. Os casos relevados não são acontecimentos isolados, mas como aponta o pesquisador André Ramiro, revelam um inédito investimento público em ferramentas de hacking governamental e vigilância estatal. Em entrevista à Lavits, Ramiro, atualmente pesquisador visitante do Humboldt Institute for Internet and Society, discorre sobre estes casos, sobre o uso de ferramentas de spyware por agentes e organizações do estado, suas conexões com o crescente mercado privado de vigilância, bem como do conceito de ‘hacking governamental’, suas implicações, riscos e violações aos direitos.
Lavits: O que estas revelações nos comunicam sobre o uso de tecnologias de spyware e sobre a vigilância de Estado praticada pelo governo brasileiro durante o período 2019-2022?
André Ramiro: Por um lado, infelizmente, vemos uma escalada ampla e ininterrupta do interesse das forças de segurança pública e inteligência por tecnologias de spyware em todo o mundo, mesmo em governos ditos democráticos. Por outro lado, durante o período, me parece que um elemento político-ideológico passa a compor os processos de aquisição e uso de tecnologias de vigilância, um claro reflexo do interesse do espectro autoritário pela supressão de opositores e críticos. Isso se percebe, por exemplo, nas idas de comitivas bolsonaristas à Israel (epicentro de exportação dessas tecnologias), logo no começo do governo, para a negociação com fabricantes de tecnologias de vigilância; com a interferência do clã do ex-presidente em processos de licitação públicos para tentar adquirir spywares como o Pegasus; com um pico vertiginoso e inédito no investimento público para a contratação desses fornecedores; e também com as revelações de que, recorrentemente, os alvos de monitoramento são jornalistas, funcionários públicos e agentes políticos que se opuseram ao governo antidemocrático. Nesse quesito, o Brasil passou a se somar ao time de países cujos líderes autocráticos fazem uso desse arsenal de espionagem com esses mesmos fins, como a Arábia Saudita, Rússia, e Hungria.
Isso também significa que a Abin ainda funciona, na prática, em um modelo quase clandestino, longe de fiscalização, controle democrático ou obrigações de transparência e prestação de contas a órgãos competentes. Estruturalmente, a regulação das atividades do órgão passou longe do processo de negociação da redemocratização na passagem para a década de noventa e, portanto, herdou um modus operandi da ditadura militar. Some-se a isso, atualmente, a visão borrada sobre o que seriam ações que atentariam contra a segurança nacional e do Estado – área na qual a Abin atua – o que põe em risco manifestações democráticas e o exercício de direitos políticos, abrindo margem para a vigilância generalizada sobre cidadãos pelo sistema de inteligência, enquanto manifestações que efetivamente puseram risco à segurança do Estado, como os acampamentos do ano passado nas portas dos quartéis, não despertaram tanto interesse na Agência. Durante a última administração, essa visão borrada virou, efetivamente, uma agenda do governo, o que acentuou o investimento em ferramentas como a FirstMile e a Augury.
Lavits: As redes sociais e o modelo de negócios delas – estruturado pelo monitoramento constante do comportamento e pela ampla coleta de dados, que a Shoshana Zuboff nomeou como ‘capitalismo de vigilância’ -, de certa forma banalizou o imaginário e os perigos da vigilância digital. É comum escutarmos pessoas falando que já não há mais privacidade na internet, que todos os nossos dados estão acessíveis, que não há muito a se fazer em relação à proteção digital, etc. Quais são os riscos e violações que o uso pelo Estado de ferramentas como estas trazem para a democracia, para os movimentos sociais, o ativismo e para a população em geral?
André Ramiro: Cabe pontuar que esse tipo de operação de hacking orbita, fundamentalmente, o capitalismo de vigilância. Historicamente, a lógica do acúmulo de dados cria um contexto muito bem aproveitado pelas agências de inteligência, que fomentam o mercado e, em alguns países, desenvolvem tecnologias próprias de exploração de vulnerabilidades. Por essa razão, em um relatório recente, o Comitê especial do Parlamento Europeu que investiga o uso do Pegasus na região elenca o capitalismo de vigilância entre uma das três determinantes para que os Estados tenham continuado a usar spywares (as outras duas sendo um processo de securitização com o uso de um discurso de emergência e crise social contínua para justificar seu uso, bem como uma visão “tecno-solucionista” que enxerga nessas tecnologias o único meio possível para atingir um determinado resultado, sem levar em consideração se seriam proporcionais ou mesmo necessárias).
Mas penso que, do ponto de vista do impacto aos direitos, não somente o uso pode trazer um dano coletivo à população do ponto de vista da privacidade e da resiliência do ecossistema de segurança (podem dar ensejo a fraudes e ataques diversos por grupos criminosos, inclusive a instituições públicas), mas a mera existência desse fenômeno já causa, de antemão, um efeito de inibição nas capacidades de participação política da sociedade civil, inibindo as ações de justiça e transformação social. Caso não haja um debate amplo sobre a proporcionalidade e necessidade desses meios – estabelecendo protocolos altamente restritivos, avaliações de riscos aos direitos e à segurança ou mesmo os proibindo – as rotinas de hacking governamental vão alimentar ainda mais um imaginário coletivo de deterioração da privacidade e a ruptura na relação de confiança, já abalada, do cidadão com o Estado.
Lavits: O que sabemos sobre o funcionamento destas ferramentas – o escopo e alcance delas – e sobre as empresas que vendem estas ferramentas? É um mercado extremamente atrelado aos estados, certo?
André Ramiro: Sim, depende fortemente dos Estados enquanto clientes. Não à toa, recentemente o Presidente dos Estados Unidos, Joe Biden, publicou um decreto que barra a negociação do país com empresas do ramo que não cumprirem determinadas regras (como não serem usadas abusivamente e sistematicamente para repressão política ou contra cidadãos americanos, etc). Isso não somente significa que esse mercado é prioritário para a geopolítica dos Estados Unidos, como também que o país representa parte significativa dos contratos dessas empresas. A Nicole Perlroth, repórter investigativa do New York Times, conta a história da indústria de brokers de informações sobre vulnerabilidades e da criação dos programas de recompensa (bug bounties) sobre essas informações, do começo dos anos 2000 até os dias de hoje. Desde o início, os clientes primordiais são atores estatais, que, na prática, deram causa à legitimação e legalidade da indústria do spyware. Então o que vemos é a comoditização da insegurança, animada por clientes governamentais que promovem competitividade, dinamismo e o surgimento de novos agentes econômicos. E não é raro que os fundadores dessas empresas já tenham servido às forças armadas ou às agências de inteligência de seus países, tendo visto o potencial e a emergência desse mercado e partindo para a iniciativa privada. Os laços com o Estado são bastante sugestivos, para dizer o mínimo.
Em razão da própria natureza da atividade, toda a cadeia produtiva é protegida por sigilo e cláusulas de confidencialidade, desde o indivíduo que descobre a vulnerabilidade, passando por intermediários e pelo desenvolvedor, até chegar no órgão governamental, todos os pontos de contato deixando quase nenhum vestígio. Então vemos uma dupla dimensão do segredo: uma delas de caráter jurídico (contratos indisponíveis, confidenciais ou propositalmente genéricos) e outra de caráter técnico (ferramentas imperceptíveis ao alvo e que muitas vezes não deixam logs de acesso). E apesar da discrição, como apontamos no “Mercadores da Insegurança”, as capacidades variam de produto para produto, mas basta dizer que uma solução padrão do mercado supera com considerável facilidade bloqueios de celular, acesso a aplicações protegidas com senha como email, aplicativo de comunicação ou rede social. É difícil pensar em alguma área da vida digital cujos dados não consigam ser interceptados e extraídos.
Lavits: Na matéria do Intercept, você usa a noção de ‘hacking governamental’. O que este termo define e qual a importância dele?
André Ramiro: Penso que a nomeação desse fenômeno é bastante necessária para que a gente consiga problematizá-lo. No campo internacional acadêmico e político, várias formas de abordar surgiram nos últimos dez anos – hacking governamental, lawful hacking, hacking estatal, equipment interference, law enforcement hacking etc – para designar a mesma prática: a exploração de vulnerabilidades, por parte de uma autoridade estatal, para superar um sistema de segurança e, assim, ganhar acesso a um dispositivo, rede ou software para coletar dados e comunicações. O termo surge em meio ao debate sobre a legalidade da criptografia forte (se um provedor de aplicação ou fabricante de dispositivo deveria ou não ser compelido judicialmente a auxiliar uma autoridade investigativa a acessar informações encriptadas) e chegou a ser proposto como uma alternativa viável, menos problemática se comparada a uma porta clandestina (backdoor), que dá acesso às comunicações de todos os usuários – o que caracterizaria, efetivamente, uma sistema de vigilância em massa – e assim funcionaria como uma válvula de escape para a pressão sobre a criptografia. Outro vetor que contribui para a disseminação da prática é uma espécie de tendência de esvaziamento do procedimento investigativo, que via de regra pode ser burocrático e precisa ser feito por meio de acordos diplomáticos, envolvendo a justiça de outros países. Ou seja, sob essa racionalidade, seria mais prático invadir um dispositivo do que requisitar os dados a um provedor internacional (Google, Meta etc), o que pode demorar ou mesmo resultar em uma negativa. A vigilância por hacking, então, superaria o debate sobre criptografia e criaria um corredor direto entre a autoridade e os dispositivos.
O problema é que esse corredor também leva a práticas abusivas, como temos visto. Dependemos, invariavelmente, de certo elo de confiança em relação às big tech, que, em condições ideais, respeitariam procedimentos legais para fornecer a autoridades públicas dados nossos (o que, sabemos, nem sempre é verdade). Mas a virada que o hacking governamental inaugura é a retirada das big tech de vez da equação, explorando suas brechas de segurança com apoio de uma indústria em expansão por trás dedicada somente a isso. Ou seja, o nível de violação da privacidade é sem precedentes. Mas esse debate ainda está no começo no país e precisa ser endereçado com mais ênfase tanto pela academia, explorando os fundamentos sociopolíticos, sociotécnicos e econômicos desse circuito, como pelos atores envolvidos com políticas públicas, que vão precisar decidir se e como essas práticas vão ser incorporadas pelo ordenamento jurídico.
