espionagem
Pegasus, a ponta do iceberg da fragilidade no controle de inteligência
Desde 2017, organizações vêm reportando de forma sistemática os abusos na implementação de programas que coletam informações pessoais ou confidenciais de forma ilícita —no Brasil, o debate sobre os chamados ‘spyware’ está só começando
Louise Marie Hurel, Pedro Augusto P. Francisco e Daisy Teles / El País
O desenvolvimento de novas tecnologias de informação e comunicação tem sido acompanhado pela consolidação de uma infraestrutura de vigilância global. A revelação de que mais de 180 jornalistas estavam na mira do software de espionagem cibernética Pegasus é mais um alerta preocupante dos riscos crescentes que a utilização dessas tecnologias por governos apresenta para ativistas, organizações da sociedade civil e profissionais de imprensa.
O debate sobre os chamados spyware —programas que coletam informações pessoais ou confidenciais de usuários de computadores e celulares de forma ilícita— no Brasil aponta para uma discussão maior sobre compra e utilização de tecnologias pelo Estado. Há linhas tênues entre a atuação de órgãos na parte de inteligência operacional e estratégica, e mecanismos de controle das atividades de inteligência e compras de tecnologias ainda são frágeis. Para essa tarefa, o nosso sistema de freios e contrapesos é fundamental.
MAIS INFORMAÇÕES
Empresa israelense é acusada de ajudar Arábia Saudita a espionar jornalista assassinado
Vírus para espionagem política denunciado pelo WhatsApp foi usado no Brasil
Vazamento revela espionagem de governos contra jornalistas e opositores com o programa Pegasus
Conhecido por seu grau de sofisticação, seu alto preço no mercado e sua oferta exclusiva para agências de governos, o Pegasus não surgiu agora: desde 2017, organizações da sociedade civil e academia já vêm reportando de forma sistemática os abusos na implementação de spyware em diferentes países. O software, fornecido pela empresa israelense NSO Group, ficou internacionalmente conhecido por ter sido utilizado em casos como o do jornalista saudita Jamaal Kashoggi, assassinado em 2018.
Tratar o Pegasus como um caso isolado é perigoso. Apesar de ser uma tecnologia altamente seletiva e intrusiva, não é a primeira a ser utilizada para espionar grupos e Estados. Faz-se necessário olhar para aquelas que já estão sendo utilizadas e integram as práticas de vigilância, investigação criminal e inteligência. Essas outras tecnologias abrangem desde softwares de reconhecimento facial até as chamadas tecnologias de uso dual (que podem trazer benefícios na provisão de serviços bem como facilitar o abuso de direitos) como softwares que filtram conteúdo.
Precedentes
Em 2013, foi revelado um esquema de espionagem de milhares de e-mails e ligações de cidadãos brasileiros por parte do governo norte-americano, algo classificado como extremamente grave e inconstitucional pela então presidente Dilma Rousseff, que também foi grampeada. Contudo, dois anos após essa denúncia, a polícia federal adquiriu “um projeto piloto de três meses” para o uso do software de espionagem RSC Galileo, da empresa italiana Hacking Team. O pacote incluía o software e o treinamento que seria usado pela Diretoria de Investigação e Combate ao Crime Organizado (DICOR) e a Diretoria de Inteligência Policial (DIP), de acordo com dados da organização Derechos Digitales.
Um exemplo mais recente é o uso do programa Cellebrite Premium para resolução do caso do menino Henry Borel. Pertencente à empresa israelense Cellebrite, especializada em vender ferramentas para perícia eletrônica, o programa consegue desbloquear diversos celulares. Produtos da empresa já foram usados no Brasil anteriormente, como em perícias da Lava Jato através do dispositivo UFED.
Episódios como o da Lava Jato e a resolução do caso do menino Henry mostram como o uso de tecnologias é importante para o processo de resolução e persecução criminal. Há nesses casos, contudo, um processo legal corrente que justifica a utilização de ferramentas de perícia eletrônica para acessar provas; o grande alerta que o Pegasus acende é que essas tecnologias, apesar de seletivas, aumentam a capacidade de vigilância sem supervisão sobre o processo e escopo de implementação.
O Caso Pegasus no Brasil
Essa ambiguidade também se apresenta em processos de aquisição de tecnologias para atividades de inteligência operacional e persecução criminal. Também ficou evidente no pregão do Ministério da Justiça e Segurança Pública para aquisição de “solução de inteligência em fontes abertas, mídias sociais, Deep e Dark Web” para a Secretaria de Operações Integradas (SEOPI).
O pregão virou notícia devido à oferta do NSO Group, do software Pegasus, por meio de um revendedor brasileiro, no valor de 60,9 milhões de reais. No entanto, após o escândalo nas redes, a empresa brasileira responsável por comercializar o Pegasus se retirou do processo licitatório e as demais soluções e empresas integrantes do processo receberam pouca atenção.
Também causou estranhamento o fato de o edital não ter incluído nas tratativas os órgãos oficiais de investigação, como GSI e Abin, que seriam diretamente beneficiados pela ferramenta contratada. A licitação, no valor de 25,4 milhões de reais, foi questionada judicialmente pela vagueza e amplitude de seu objeto, que permitiria a aquisição de recursos voltados ao controle indevido da população e a violação de garantias fundamentais.
O Termo de Referência do edital, quando analisado com cautela, indica que a solução teria potencial de coletar um grande número de informações sobre as pessoas, inclusive oriundas de redes sociais. Não se trata, portanto, de mera automação ou aprimoramento da coleta de informações disponíveis em fontes abertas, mas a exploração e coleta massiva de dados, a fim de instituir um amplo e generalizado monitoramento sem que seja necessária decisão judicial. Em resumo, o uso do sistema dependeria tão somente do senso ético de quem o opera.
Diante de tamanha ameaça, cinco organizações da sociedade civil - Instituto Igarapé, Conectas, Instituto Sou da Paz, Rede Liberdade e Transparência Internacional Brasil - se mobilizaram para apresentar uma representação ao TCU contra o pregão e aguardam a decisão do ministro Bruno Dantas. Ele poderá revogar o procedimento licitatório e evitar que as violações elencadas se concretizem.
O que o caso do Ministério da Justiça e Segurança Pública nos mostra é que ainda temos uma grande abertura para que aquisições de tecnologias altamente intrusivas como spyware passem “desapercebidas”. O edital previa solução de Inteligência em Fontes Abertas (OSINT) mas essa foi a abertura necessária para a oferta do Pegasus - que utilizou da brecha no edital para ofertar uma solução que utiliza código malicioso na medida que utiliza vulnerabilidades em dispositivos e sistemas para garantir a efetividade de uma mirada direcionada a dissidentes e opositores de governos.
O Pegasus é um caso evidente de uma tecnologia que contém funcionalidades que são claramente utilizadas para infringir direitos humanos em diversos países. Mas, na grande maioria, o chamado spyware não é tão detectável e se ‘mistura’ com outras tecnologias dependendo da solução tecnológica. OSINT, por exemplo, é um recurso altamente utilizado por jornalistas investigativos e pesquisadores que trabalham com desinformação para auxiliar na identificação e validação de fontes, imagens, áudios e entre outras informações. No entanto, OSINT também é utilizada por agências de inteligência. Definir o que é um código malicioso tampouco é sempre um processo objetivo e fácil, o que não significa que não seja necessário que governos tomem uma atitude para garantir maior transparência e responsabilização sobre o uso dessas tecnologias tanto pelo setor público quanto pelo privado.
O caminho à frente
No âmbito das atividades ligadas à segurança nacional, é preciso reforçar as ações de controle interno e externo. O primeiro é exercido pelo Poder Executivo Federal, uma vez que é o responsável direto pelas atividades de inteligência. Este deve garantir que o GSI e a ABIN operem dentro dos princípios democráticos da Constituição. O Poder Legislativo, por sua vez, tem que assumir sua prerrogativa no exercício do controle externo às instituições de inteligência. No caso, o espaço no qual essas questões precisam ser levantadas e debatidas é a Comissão Mista de Controle das Atividades de Inteligência (CCAI). Integrada por membros do Senado e da Câmara dos Deputados, ela é responsável pela fiscalização e controle dessas atividades.
Além disso, há a necessidade de se discutir um arcabouço legal que regulamente de maneira mais específica os procedimentos para aquisição e emprego de tecnologias de monitoramento e estabeleça princípios norteadores das atividades de inteligência. A União Europeia, por exemplo, lançou em 18 de julho de 2021 uma atualização de seu Regulamento de Tecnologias de Uso Dual (2009), que inclui controles de exportação e aquisição para tecnologias de vigilância cibernética (cyber surveillance). O documento também reconhece o risco que essas tecnologias apresentam para repressão de grupos e violações de direitos humanos.
Por fim, quando se fala na inteligência necessária para as atividades de segurança pública, o Ministério Público deve assumir seu papel de fiscalizador e o Poder Judiciário deve salvaguardar os direitos fundamentais dos cidadãos, garantindo que ações nocivas sejam suspensas ou revogadas.
Se por um lado sabemos que o sigilo é característica inerente às atividades de inteligência, por outro é consenso que democracias precisam de transparência para garantir o seu pleno funcionamento. O equilíbrio entre esses dois aspectos só será possível por meio do controle institucional e da prestação de contas à sociedade.
Louise Marie Hurel, Pedro Augusto P. Francisco, Maria Eduarda de Assis e Daisy Teles são pesquisadores do Instituto Igarapé.
Merval Pereira: A orelha de Bolsonaro
A obsessão do presidente Jair Bolsonaro por informações dos serviços de inteligência faz com que se espalhe pela administração federal uma tendência à bisbilhotice que nos aproxima perigosamente de um estado policial.
Nada explica, a não ser esse ambiente, a existência de uma lista de funcionários públicos considerados “antifascistas”, isto é, opositores do governo, elaborada por uma tal de Secretaria de Operações Integradas (Seopi). Na maioria professores e policiais.
Além de implicitamente admitirem que são fascistas, os que organizaram a lista consideram que servidores públicos têm um dever de lealdade ao governo a que servem. Não é à toa que a Controladoria Geral da República editou recentemente uma norma técnica que proíbe servidores de usarem as redes sociais para críticas a medidas do governo.
Comentários que possam gerar “repercussão negativa à imagem e credibilidade à instituição” merecerão punição administrativa. Isso quer dizer que, além de estarem sujeitos a uma censura nas redes sociais que utilizam em nome pessoal, os funcionários públicos também não se sentirão seguros para utilizarem os canais internos de reclamação.
Esse clima de espionagem foi ampliado por um decreto editado na sexta-feira ampliando não apenas os quadros da Agência Brasileira de Inteligência (Abin), mas o escopo de sua atuação com a criação de um Centro de Inteligência Nacional que reunirá os órgãos do Sistema Brasileiro de Inteligência (Sisbin).
Esses movimentos todos respondem à exigência do presidente Bolsonaro naquela fatídica reunião ministerial do dia 22 de abril de ter um sistema de informações que não o deixe desprotegido. Vai daí, ao que tudo indica, o ímpeto com que o Procurador-Geral da República, Augusto Aras, se jogou na guerra contra a Operação Lava-Jato, pretendendo centralizar em seu gabinete todas as informações que foram coletadas nos últimos cinco anos de investigações e denúncias.
O ministro do Supremo Tribunal Federal (STF) Marco Aurélio Mello definiu bem a situação: compartilhamento tem que ter objeto específico, senão vira devassa. O jurista Joaquim Falcão, em live promovida pelo jornal Valor Econômico, chamou a atenção para o fato de que o governo Bolsonaro pretende neutralizar órgãos que têm autonomia funcional garantida pela Constituição, como o Ministério Público e a Polícia Federal que, por sinal, foi o primeiro a sofrer uma interferência direta do presidente da República que está sob investigação do Supremo.
Não tendo podido nomear o amigo de sua família, delegado Alexandre Ramagem, para a chefia da Polícia Federal, Bolsonaro trocou seu comando, provocando a saída de Sérgio Moro do ministério da Justiça, e agora ampliou as atribuições da Abin, aumentando o poder de Ramagem nesse universo, e na unificação dos serviços de informações do governo.
Esses movimentos só comprovam o acerto do STF ao barrar a transferência de dados das companhias telefônicas na integralidade para que o IBGE pudesse fazer pesquisas para o censo neste ano de pandemia. A relatora, ministra Rosa Weber, disse que a medida provisória “não apresenta mecanismo técnico ou administrativo apto a proteger os dados pessoais de acessos não autorizados, vazamentos acidentais ou utilização indevida”.
Foi seguida por 10 dos 11 ministros do STF. O ministro Lewandowski chamou a atenção para o fato de que a maior ameaça ao regime democrático hoje é a crescente possibilidade de que governos autoritários, de qualquer tendência ideológica, tenham acesso a dados pessoais dos cidadãos. Escrevi aqui a favor desse compartilhamento, mas vejo hoje que fui ingênuo. Não estava em análise ali a idoneidade e seriedade do IBGE como instituição, mas um governo que não é confiável.
Há na Sicília uma caverna que o pintor Caravaggio denominou de Orelha de Dionisio, não apenas por seu formato, mas principalmente pela lenda que diz que o tirano Dionisio I de Siracusa usava a caverna como prisão política dos dissidentes e, devido à acústica perfeita, ficava sabendo dos planos dos opositores.
Bolsonaro tem no Palácio da Alvorada uma imensa escultura azul em forma de orelha, que será leiloada num gesto nobre pela primeira-dama Michelle em benefício de associações que cuidam de pessoas com problemas auditivos.
Talvez Freud explique.