22/07/2021 - 15:52
A empresa israelense NSO e seu polêmico programa Pegasus, envolvido num escândalo mundial de espionagem, ilustram o mercado de empresas especializadas na produção de armas digitais, uma tendência que preocupa muitos especialistas e organizações internacionais.
O Pegasus torna possível “comprar sua própria NSA”, ironiza, referindo-se à agência de inteligência dos Estados Unidos, Ron Deibert, diretor do Citizen Lab. Este laboratório da Universidade de Toronto desempenhou um papel fundamental na atual exposição do Pegasus na mídia.
“Você não tem os recursos em casa? Graças a empresas como a NSO, você pode sair e simplesmente comprá-los!”, insiste.
Em março, o ‘think tank’ Atlantic Council já havia alertado sobre o perigoso papel desempenhado pela NSO e outras empresas especializadas na venda de instrumentos para hackear telefones celulares e outros sistemas informáticos.
Estas empresas “de intrusão sob demanda (AaaS, Access as a service) criam e vendem capacidades ciberofensivas a um ritmo alarmante”, já ressaltava o relatório, que descreveu em particular o papel desempenhado por três empresas: NSO, uma empresa russa que o Atlantic Council preferiu não revelar o nome, e DarkMatter, com sede nos Emirados Árabes Unidos e criada com o apoio de especialistas americanos.
De acordo com o relatório, o surgimento destas empresas “contribuiu para comprometer infraestruturas nacionais críticas, e facilitou o desenvolvimento de novos instrumentos ofensivos para os Estados” que anteriormente não dispunham de condições técnicas para fazê-lo.
Para os especialistas do Atlantic Council, é hora de os Estados regulamentarem com mais rigor essas empresas privadas.
Recomendam, por exemplo, impor obrigações de transparência a seus clientes e fornecedores, bem como restringir suas capacidades para recrutar especialistas que tenham trabalhado em órgãos estatais.
A chanceler alemã, Angela Merkel, pediu na quarta-feira mais restrições à venda de programas do tipo Pegasus. “É importante” que tais programas “não caiam nas mãos erradas”, declarou.
– Mercado de bugs –
Questionado antes da declaração de Merkel, Ron Deibert não escondeu seu ceticismo sobre a disposição dos Estados de realmente agirem para conter a proliferação da espionagem cibernética.
“A realidade é que quase todos os governos têm interesse em manter esta indústria como ela é: secreta, não regulamentada”, disse à AFP.
Ele estima, porém, “ser necessário uma legislação que torne mais fácil para as vítimas processarem empresas e governos responsáveis” pela espionagem.
O caso Pegasus revela um problema recorrente: como descobrir e reparar falhas e vulnerabilidades em sistemas informáticos?
Esse é o combustível que alimenta empresas como a NSO para construir suas armas cibernéticas.
Um relatório da OCDE apontou em fevereiro os esforços insuficientes por parte dos Estados a esse respeito.
Destacou especialmente o papel por vezes nefasto desempenhado por agências estatais: serviços de inteligência ou policiais compram informações sobre essas falhas para suas próprias ferramentas de espionagem, alimentando assim um verdadeiro mercado de bugs.
A OCDE defendeu “um esforço coletivo”, o que sugere especialmente o desenvolvimento e o compartilhamento em grande escala de bancos de dados internacionais sobre falhas descobertas.
Na ausência de uma abordagem coordenada, algumas empresas se especializaram em comprar as informações de hackers que descobrem falhas e que as vendem para serviços estatais ou empresas como a NSO.
A americana Zerodium, uma das estrelas desse mercado, não hesita em publicar no Twitter e no seu site o tipo de vulnerabilidade que procura e o preço que está disposta a pagar.
