Associação Brasileira dos Jornalistas

Seja um associado da ABJ. Há 12 anos lutando pelos jornalistas (2)
Edward Snowden: “O caso Pegasus revela novo mercado privado de espionagem”

Edward Snowden: “O caso Pegasus revela novo mercado privado de espionagem”

Ativistas, advogados, jornalistas e políticos têm sido alvos de várias entidades por meio do spyware Pegasus, da empresa israelense NSO. Questionado pelo consórcio por trás dessas revelações, o americano Edward Snowden resolveu falar sobre isso.

É uma ciberespionagem planetária que foi trazida à luz por um consórcio de jornalistas de todo o mundo desde este domingo, que inclui a investigação Cellule de Radio France. Mais de 50.000 números de telefone foram potencialmente alvos de Pegasus, um poderoso spyware israelense, em nome de uma dúzia de países.

Via France Culture

Sem dúvida o caso mais importante desse tipo conhecido desde a onda de choque das revelações de Edward Snowden, em junho de 2013. O denunciante e ex-funcionário da CIA e da NSA acertadamente reagiu às perguntas da equipe que liderava o projeto Pegasus.

Qual é a sua primeira impressão sobre as revelações do Projeto Pegasus?

É chocante quando você vê a escala de algo como 50.000 números de telefone de pessoas em dez países. E alguns são muito agressivos, você sabe, como o México. Vemos jornalistas visados, funcionários do governo, figuras da oposição, ativistas de direitos humanos. Isto é terrível.

Para mim, isso levanta um problema do qual suspeito há muito tempo: o sequestro de recursos de vigilância. Foi o que vimos em 2013. Mas foi exclusivamente por governos trabalhando em grande parte internamente, contando com fornecedores comerciais. Eles tinham um verniz de legitimidade ou legalidade, um processo e um procedimento. Não foi o suficiente, ainda era um conceito fracassado. Mas nós tínhamos algo.

E o que o Projeto Pegasus revela é que o Grupo NSO é verdadeiramente representativo de um novo mercado de malware, onde é uma empresa com fins lucrativos. Eles não se importam com a lei, eles não se importam com os regulamentos. Eles vão vender para qualquer um que seja um cliente confiável, com quem eles acham que podem se safar, eles acham que não vamos descobrir. Eles dizem: “Não sabemos para que eles servem, não somos responsáveis ​​por isso. Nós os vendemos e eles assinam este contrato e irão cumprir o contrato, e se não o fizerem, é não. não é realmente nosso problema porque eles estão em violação de contrato “. Mas, ao mesmo tempo, eles já foram pegos e envolvidos em escândalos. No assassinato de Jamal Khashoggi, pelo qual disseram: “Oh, não temos nada a ver com isso. Investigamos e descobrimos que nossos produtos não estavam sendo usados.” Mas como pode ser que eles ignorem quem seus clientes estão almejando usando seu software? Uma de duas coisas. Ou eles conhecem todos os alvos de seu software e, portanto, são responsáveis ​​por ele, porque veem isso acontecendo e não fazem nada. Mas eles podem negar que Khashoggi foi o alvo porque procuraram em seu banco de dados os números de alvos de todos e viram que ele não estava lá. Ou eles não sabem quem foi o alvo, o que significa que sua negação de envolvimento no assassinato de Khashoggi foi o tipo mais cínico de mentira. E isso é realmente o que acho que será agora.

Toda essa indústria, a indústria de software de intrusão com fins lucrativos, é construída sobre uma mentira. Dizem que é para salvar vidas, para impedir crimes, mas é usado todos os dias em muitos países diferentes para espionar pessoas que não são alvos legítimos.

É uma indústria que está em todos os lugares que não deveria existir. Vemos o que o Grupo NSO, que é o mais famoso dessas empresas, está fazendo. Mas o Grupo NSO é apenas um entre muitos. E se um negócio cheira tão mal, o que acontece com todos os outros? Quando vejo isso, o que o Projeto Pegasus revelou é uma área onde seus únicos produtos são vetores de infecção. Eles não são produtos de segurança. Eles não fornecem nenhum tipo de proteção, nenhum tipo de profilaxia. Eles não fazem vacinas. A única coisa que vendem é o vírus. E eu acho que dizer que eles vendem isso apenas para governos não torna as coisas melhores quando você olha quem são os alvos que acabaram de ser revelados.

“Somos todos visados ​​nesta história”

Como você compararia essas revelações com aquelas que você mesmo fez ao longo dos anos?

Eles estão, sem dúvida, entre os mais importantes. Esse é o tipo de informação que a gente nunca tem, e quando a gente tem acesso todo mundo fica com medo: “É muito sério, não devemos falar nisso, você vai investigar o perigo …” Mas o caminho o consórcio trabalha em conjunto, pegando os números e determinando a quem pertencem, para confirmar a identidade de certas pessoas sem necessariamente entrar em contato com elas … Há ministros, jornalistas, em jornais e grandes instituições, nos quais contamos. Elevamos uma ponta da cortina a um nível sem precedentes.

Você já chamou os smartphones de “espiões em nosso bolso”. Este caso confirma isso?

É pior, na verdade. Quando digo “espia no nosso bolso” é o potencial, a possibilidade, o fato de essas coisas se comunicarem através da rede móvel, e saberem sua localização. O Facebook está espionando você, por exemplo. Mas isso é para programas comerciais, para fins comerciais. O que descobrimos são pessoas que criaram uma indústria dedicada a hackear esses telefones, que vão além da espionagem que sabíamos que existia, e que assumem o controle desses telefones, totalmente., Para virá-los contra as pessoas que os compraram, que não Eu realmente não os possuo mais.

O fato é que todos esses telefones são clones. Se você pegar o iPhone, eles estarão executando o mesmo software em todo o mundo. Então, se eles encontram uma maneira de hackear um iPhone, eles encontram uma maneira de hackear todos eles. E não apenas fazem isso, mas vendem essa habilidade! É um ataque cuidadoso e intencional à infraestrutura da qual todos dependemos. Não importa a bandeira sob a qual vivemos, não importa o idioma que falamos, todos nós somos afetados nesta história.

O ex-relator de direitos humanos da ONU David Kaye diz que a indústria de vigilância global está fora de controle. Você acha que ele está certo?

É obvio. Essa ideia de vigilância com fins lucrativos é algo que já existia. As empresas conseguiram criar bugs, microfones ocultos e vendê-los. O governo usa, a polícia local usa, e se eles tiverem que revistar uma casa, um carro, um escritório, você acha que vai precisar de um mandado. São operações caras e difíceis, por isso só o fazem quando realmente necessário, de uma forma amplamente proporcional à ameaça apresentada pela pessoa que estão investigando. Mas se eles podem fazer a mesma coisa à distância, por pouco e sem risco, passam a fazer o tempo todo, contra qualquer um que seja vagamente interessante. É o que mostra esta lista de 50.000 pessoas dirigidas: não ouvimos 50.000 casas, não há especialistas suficientes na área para o fazer. Mas se houver apenas necessidade de pegar algo em seu bolso, eles podem e farão.

Você acha que os governos teriam a mesma capacidade de espionar sem a indústria de vigilância privada?

Tudo depende do país em questão. Em um país sofisticado, com mercado tecnológico desenvolvido, é claro. Mas na maioria dos países autoritários, como Cazaquistão, Uzbequistão, Bahrein, com uma sociedade muito fechada, você não promove esse desenvolvimento técnico, que é difícil de garantir. Mas se você só precisa pagar alguém para fornecer tudo isso como um serviço, então eles podem fazer o que quiserem. Não custa muito mais manter seu poder no lugar. Se tais empresas não existissem, qual seria a alternativa? Os governos desistiriam de todas as idéias de espionagem, investigação, procura de criminosos e terroristas? Obviamente, não. Eles contratariam seus próprios desenvolvedores, trabalhariam internamente, desenvolveriam suas próprias ferramentas. Seria difícil e caro, ineficiente, mas seria a coisa certa a fazer. Mas o que essas pessoas estão criando, não são engenheiros, não estão fazendo nada de útil. Eles são “infectantes”. Eles criam formas de causar doenças em nossos dispositivos. Eles encontram pontos fracos, pontos de entrada. É como se uma indústria estivesse criando suas próprias variantes da Covid, para contornar as vacinas. E é isso que eles vendem, contra seu telefone ou computador. Não podemos impedir que os governos o façam, como no campo da pesquisa de armas biológicas. Mas, graças a Deus, é proibido comercializá-lo, e o primeiro a chegar não pode comprar a melhor versão do Covid do mercado e fazer o que quiser com ele.

Porém, quando falamos em dispositivos digitais, não vemos que o risco para a saúde pública é o mesmo. A NSO criou grupos em comunidades, com um paciente zero infectado que começa a infectar seus amigos, colegas e todos que encontra. E nunca teria acontecido em tantos lugares, com tanta facilidade, com o mesmo custo, sem essas empresas que podem fazer isso com lucro. A única razão pela qual a NSO está fazendo isso não é para salvar o mundo. É para ganhar dinheiro.

Quão sofisticado é Pegasus?

Quando você olha o que este software pode fazer, os hacks que ele permite … O foco principal do kit de ferramentas Pegasus, e é o mesmo para todos os fornecedores de malware, mesmo os não comerciais usados ​​por hackers para instalar ransomware em PCs ao redor do mundo , é roubar seus usuários. Isso é chamado de “execução remota de código”. É uma forma de tocar em um dispositivo sem nenhuma ação de seu usuário: há um defeito no software que roda nesses dispositivos, e sem que o usuário sequer cometa um erro ou manuseio indevido, ele pode lançar seu próprio código, o seu programas, seus próprios comandos no dispositivo de destino. É isso que Pegasus faz. Eles, portanto, cumpriram sua missão. A questão é: a que custo para a sociedade?

Quem mais temer: a NSA ou a NSO?

Isso remete a uma velha questão de quando fiz minha revelação em 2013. As pessoas diziam, por que se preocupar com o que o governo está fazendo, quando as empresas estão espionando as pessoas da mesma forma? Eles estavam pensando no Facebook, Google, Amazon … Minha resposta foi que não importa quanta vigilância essas empresas tenham, elas não podem colocá-lo na prisão. Eles não podem disparar um míssil contra o seu carro. Eles não podem lançar um ataque de drones. Portanto, vamos nos concentrar primeiro no governo e, em seguida, lidaremos com as empresas, uma vez que o governo tenha sido reformado. Exceto que os governos abandonaram todos os planos de reforma e não houve nenhuma reforma nas práticas de vigilância do comércio.

E o problema é que, em quase dez anos, vimos nascer empresas como o grupo NSO, cuja atividade é fazer coisas que as empresas não faziam antes. Eles não apenas vendem coisas. Eles mandam pessoas para a prisão, eles as matam. Eles podem não fazer isso diretamente, mas fornecem as ferramentas aos governos que as usam para esse fim, e eles sabem disso. O envolvimento do grupo NSO no assassinato de Jamal Khashoggi é inegável, mesmo que eles o neguem. Eles dizem que não visaram Khashoggi diretamente: mas se você visar a pessoa mais próxima a ele, obterá as mesmas conversas, as mesmas informações sobre suas intenções. É uma empresa privada que hackeia da mesma forma que a NSA faria. E isso deve nos assustar mais do que tudo, porque não é só uma dessas empresas: é para todas elas.

Quem deve ser responsabilizado? Para a empresa ou para os governos que usam seu software?

Para todos. Mas não é apenas a questão da responsabilidade, por exemplo, de Israel ou daquela empresa em particular. Deve haver, em minha opinião, responsabilidade criminal por qualquer envolvimento neste mercado. Precisamos de uma moratória global sobre o uso comercial dessas ferramentas. Devemos banir esse comércio, remover a motivação de lucro para as pessoas que dele participam. Porque o grupo NSO fecharia as portas amanhã se não trouxesse nada, como outras empresas da área.

Mas também devemos nos fazer uma pergunta na Europa e nos Estados Unidos: como é que essas empresas são tão bem-sucedidas? Como eles poderiam ter se espalhado tanto, se não porque nossas regras falharam? Nos últimos dez anos, a Europa disse a si mesma que podemos controlar essas coisas, com métodos que datam da Guerra Fria, com controles de exportação. Mas existe uma falha completa em evitar o impacto público dessa indústria de malware comercial. E se essas regras não funcionaram, precisamos pensar em regras mais rígidas. A única maneira de lidar com tudo isso, em minha opinião, é uma moratória abrangente sobre a exploração comercial de qualquer tecnologia desse tipo.

O que deve acontecer agora?

Temos que parar com isso. A inação não é mais uma opção. Se não fizermos nada para impedir o comércio dessas tecnologias, não teremos mais 50.000, mas 50 milhões de alvos, e isso acontecerá muito mais rápido do que imaginamos. Devemos, portanto, parar com esse comércio, sem abrir mão da pesquisa, que pode ser usada para tornar nossos dispositivos mais seguros. Mas quando essas tecnologias são vendidas para um propósito ofensivo, ou mesmo simplesmente vendidas, é aí que o lobo é trazido para o redil.

O que as pessoas podem fazer para se proteger?

O que as pessoas podem fazer para se proteger das armas nucleares? Armas químicas ou biológicas? Existem indústrias, setores para os quais não existe proteção, por isso procuramos limitar a sua proliferação. A venda comercial de armas nucleares, químicas ou biológicas não é permitida. Mas no caso dessas armas digitais, nada é feito! Todas as vendas dessas tecnologias intrusivas devem ser interrompidas. Esta é a única maneira de nos proteger.

FONTE:

https://estrategiaglobal.org/2021/07/20/edward-snowden-o-caso-pegasus-revela-novo-mercado-privado-de-espionagem