O que o caso Hacking Team nos ensina sobre a vigilância no Brasil?

logo "Hacked Team"Desde que o debate sobre a espionagem governamental ganhou destaque na mídia com o caso de Edward Snowden e outras denúncias, discute-se as implicações da vigilância para o regime democrático e as possíveis consequências da ampliação do alcance do acesso das forças de segurança sobre informações e dados privados da população. Mas muito do que se publica diz respeito ao governo dos EUA (com seus aliados mais próximos) e sua atuação pelo mundo. Pouco se sabe sobre a extensão dessas práticas no Brasil. A recente publicação de milhares de documentos de uma das maiores empresas fabricantes de software de vigilância nos permite perceber que o governo Brasileiro está sim interessado nesse tipo de tecnologia e também joga alguma luz na relação das agências governamentais com a indústria da espionagem, inclusive no Brasil.

A fabricante de software de espionagem Hacking Team tem contra ela um longo histórico de denúncias. Por vender seu software para regimes reconhecidos por violações de direitos humanos, chegou a entrar na lista de inimigos da internet, compilada pela organização Repórteres Sem Fronteiras. Em Junho deste ano, os servidores da empresa foram atacados e 400gb de dados internos da mesma foram disponibilizados anonimamente na internet. Os dados – que incluem e-mails corporativos, o código fonte para os seus software, planilhas de faturamento, notas fiscais, agendas e uma série de outros documentos – confirmam muitas das acusações anteriores e permitem enxergar a estratégia da empresa.

A empresa surgiu para atender uma demanda do departamento de polícia de Milão: a modificação de uma ferramenta já existente para que ela fosse capaz de gravar conversas do Skype. Depois dessa primeira empreitada, num excelente exemplo do tipo de expansão que falamos num post anterior, a Hacking Team expandiu suas operações vendendo ferramentas para vários outros clientes, que incluem agências governamentais em dezenas de países diferentes (dos EUA ao Sudão).

A principal ferramenta de espionagem vendida pela empresa é o “Da Vinci”, um programa que permite o monitoramento em tempo real de computadores e celulares. Depois de infectar o sistema da vítima (usando falhas de segurança em outros software), o aplicativo permite monitorar todas as comunicações (e-mails, chats, ligações), ligar microfones e câmeras (transformando o celular em uma escuta), copiar fotos e outros documentos armazenados no aparelho etc. Basicamente, depois que o acesso foi estabelecido o programa permite acesso a todas as atividades feitas usando o celular ou computador (ou em volta dele).

Além de todos os enormes problemas envolvidos nesse tipo de acesso por parte de agências governamentais a informações (acesso estabelecido, inclusive, explorando falhas de segurança em outros software que ainda não são conhecidas por seus fabricantes), um outro problema é que a Hacking Team também tem acesso a esses dados. Assim, entrega-se na mão de uma empresa privada estrangeira todo o conteúdo recolhido dessa forma. Uma empresa que, apesar de se apresentar como especialista em segurança da informação, não conseguiu impedir que 400GB de seus próprios dados fossem disponibilizados na internet. A criação desse tipo de ferramenta (especialmente sob a forma de software proprietário, cujo código não está disponível para o usuário) torna impossível o controle sobre os dados de terceiros recolhidos durante seu uso. É possível que a mesma pessoa que publicou os documentos que estamos discutindo aqui tenha tido também acesso a informações de pessoas espionadas usando o “Da Vinci”.

No Brasil, a atuação da empresa parece ter tido sucesso apenas recentemente. Uma reportagem da agência Pública aponta que após várias tentativas de contato com órgãos de segurança brasileiros, um contrato foi firmado com a Polícia Federal no final de Maio desse ano para um projeto piloto de três meses (ao custo de R$25mil por mês). O contrato foi feito através da representante da Hacking Team no Brasil, a YasniTech. A representante brasileira, sediada em São Paulo, foi fundada em 2013 com o nome de “YASNI – PLANEJAMENTO FINANCEIRO E ADMINISTRATIVO LTDA – M.E.” mas em 19 de Maio de 2015 (depois do contrato com a polícia federal já ter sido negociado) alterou o nome para “YASNITECH – SERVICOS DE TECNOLOGIA LTDA.” e o objeto social para “Consultoria em tecnologia da informação”.

imagem de uma fatura da Hacking Team para a Yasnitech

Fatura da Hacking Team para a Yasnitech no valor de €25000 para 3 meses de uso da ferramenta.

A mesma reportagem mostra que a SESGE (Secretaria Extraordinária de Segurança para Grandes Eventos, um órgão do Ministério da Justiça criado em caráter temporário mas que já teve seu período de existência estendido) está interessada em usar produtos da empresa italiana na segurança das Olimpíadas. Considerando a prisão arbitrária de militantes durante a Copa do Mundo, é de se esperar que uma ferramenta tão poderosa seja usada para reprimir os movimentos sociais. A Delegacia de Repressão a Crimes de Informática (DRCI) que comandou a operação policial que levou às prisões (e subsequente processo judicial) aparece, inclusive, nos e-mails da Hacking Team. Primeiro solicitando uma demonstração do software e depois em um evento de calendário marcando a data de uma apresentação na Cidade da Polícia no dia 17 de fevereiro do ano passado.

Uma lista de perguntas feita antes de uma demonstração da ferramenta a policiais brasileiros (pelo menos dois da DRCI) mostra alguns dos interesses mais específico deles: captura de dados do Whatsapp, blackberry, wickr e viber (incluindo mensagens de voz e conversas em grupo), de arquivos baixados e também nas formas de infecção dos alvos (por exemplo: como invadir um dispositivo através de uma rede wifi).

imagem parcial da lista de clientes  da hacking team, incluindo a Polícia Federal brasileira com o codinome BRENDA.

BRENDA é o codinome da Polícia Federal na lista de clientes da Hacking Team

Com uma breve análise dos documentos, fica evidente que existe um grande interesse de várias agências governamentais brasileiras nesse tipo de ferramenta (não apenas na “Da Vinci”, um dos e-mails menciona a existência de uma oferta em negociação com a FINFISHER, já citada aqui no blog). O caráter descentralizado das negociações também chama atenção: cada uma das agências esteve em contato em momentos e por motivos diferentes, negociando por conta própria. Isso traz questões sobre como e por quem esses dados seriam acessados. Outro ponto de discussão importante que surge desses e-mails é a existência de (pelo menos) uma empresa brasileira envolvida nesse tipo de mercado. A Yasnitech está tão certa do interesse pela ferramenta que está disposta a assumir 100% do risco caso o projeto piloto da Polícia Federal não resulte em um contrato maior.

É fundamental que a população conheça os métodos de investigação usados pelos órgãos de segurança e, principalmente, conheça e tenha controle sobre as formas de fiscalização desse poder investigativo. Especialmente quando se trata de tecnologias com um potencial tão devastador à privacidade.

Esse post foi publicado em Uncategorized. Bookmark o link permanente.

Comentários

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s