Investigando o cenário das ameaças digitais

A vigilância digital está agora por todo o lado: desde o momento em que você abre seu telefone pela manhã, a sua atividade gera dados através dos aplicativos que você usa, das antenas às quais o seu telefone se conecta e das chamadas que você faz. A maior parte destes dados é registrada, armazenada e processada por empresas para gerar lucros ou por entidades estatais para investigar crimes e outras atividades ilegais. Neste capítulo, concentro-me nas formas comuns de vigilância digital que você pode encontrar como jornalista e falo brevemente sobre como investigá-las e combatê-las.

O que é vigilância digital e quem está por trás dela?

Para compreender melhor a vigilância digital, é importante diferenciar entre duas formas: vigilância em massa e vigilância direcionada.

A vigilância em massa é o processo de vigiar indiscriminadamente uma grande parte da população, independentemente de serem suspeitas de irregularidades. Isso pode ser feito, por exemplo, capturando todas as comunicações telefônicas dentro de um país ou usando o reconhecimento facial em câmeras de vídeo posicionadas em uma cidade.

A vigilância direcionada é a vigilância de indivíduos específicos, muitas vezes utilizando técnicas significativamente mais intrusivas, como spyware ou microfones na casa de uma pessoa.

A maior parte da vigilância que afeta a sociedade civil é feita por agências governamentais (normalmente de aplicação das leis ou serviços de inteligência), mas é frequentemente apoiada por uma indústria de vigilância que trabalha com muito pouca regulamentação ou limites éticos. A vigilância estatal tem uma gêmea maligna: a vigilância corporativa usada para gerar lucros no que muitas pessoas chamam agora de capitalismo de vigilância. O objetivo do capitalismo de vigilância é gerar receitas através da coleta em massa de dados privados. O seu objetivo principal não é monitorar jornalistas e a sociedade civil, portanto não será um foco central para nós. No entanto, é certamente verdade que as empresas podem estar envolvidas na vigilância digital direcionada de jornalistas e que a vigilância corporativa pode ser utilizada para inteligência de ameaças.

A vigilância estatal é muitas vezes discreta e clandestina. Os serviços de inteligência preferem não revelar as suas capacidades e procuram evitar a supervisão e o escrutínio. Ainda assim, é possível reunir informações sobre a indústria de vigilância em diversos locais.

• Eles querem se esconder, mas precisam existir. Embora vendam vigilância, essas empresas também precisam operar como empresas normais em alguns aspectos. Isso significa que eles têm uma pessoa jurídica registrada em algum lugar, recrutam funcionários e publicam ofertas de emprego no LinkedIn ou em outro lugar e, em alguns casos, precisam atrair investidores. Todas as ferramentas jornalísticas tradicionais utilizadas para rastrear empresas podem ser aplicadas.
• Eles querem se esconder, mas precisam se promover. Os vendedores de vigilância e as agências de aplicação da lei reúnem-se anualmente para uma dúzia de convenções de vigilância em todo o mundo, como a ISS World ou a Milipol. Embora a maioria desses eventos seja bastante restrita para jornalistas, a lista de empresas, patrocinadores e palestras, às vezes disponível publicamente, fornece informações interessantes sobre produtos e empresas. Por exemplo, o NSO Group foi o principal patrocinador da ISS World Europe em junho de 2023, em Praga. Muitas vezes é possível encontrar folhetos de produtos de vigilância ou catálogos da indústria de defesa mantidos por alguns países, como o Defense and HLS Directory do Ministério da Defesa de Israel. Em muitos casos, a forma de vigilância não é claramente explicada, sendo utilizados eufemismos como “extração remota de dados” em vez de “spyware”.
• Eles querem se esconder, mas precisam funcionar. Qualquer forma de vigilância digital requer uma infraestrutura digital que muitas vezes deixa rastros online. (Veja nosso capítulo separado sobre investigação por meio de infraestrutura digital.)

Diferentes formas de vigilância estatal

O cenário complexo e em evolução da vigilância digital pode dificultar a elaboração de um quadro completo e preciso do setor. Mas é importante compreender as principais formas de vigilância digital que os estados utilizam para monitorar a sociedade civil.

Monitoramento de rede telefônica

O monitoramento da rede telefônica é provavelmente uma das formas mais antigas e legitimadas de vigilância digital. Quase todos os países possuem um sistema pronto para escutar chamadas telefônicas padrão e SMS para investigações policiais. Tais sistemas também são amplamente utilizados pelos serviços de inteligência, com vários graus de supervisão.

O desenvolvimento dos telefones celulares ampliou essas capacidades, uma vez que, por design, os celulares precisam interagir com torres de celular próximas para se comunicarem. Isso permite que pessoas de fora localizem geograficamente a posição de um telefone celular a qualquer momento. Esta geolocalização está disponível com diferentes graus de precisão. Os principais fatores incluem se o sistema está verificando apenas a última torre de celular à qual o telefone foi conectado (o que fornece uma localização entre algumas centenas de metros e algumas centenas de quilômetros, dependendo da densidade das torres de celular); ou se estiver fazendo geolocalização ativa triangulando o sinal usando múltiplas torres de celular (nas quais uma localização pode ser identificada até alguns metros).

Os telefones celulares são projetados para se conectar à torre de celular mais próxima para maximizar o sinal. Assim, é possível criar torres de celular portáteis capazes de sequestrar comunicações de dispositivos próximos. Essas ferramentas são chamadas de IMSI Catchers (ou às vezes, coloquialmente, Stingrays, usando como sinônimo um dos produtos IMSI Catcher mais conhecidos) e estão disponíveis para autoridades policiais em muitos países. Protocolos móveis mais recentes dificultaram esses ataques. Hoje, o nível de intrusão depende do hardware e da configuração. Sistemas simples só conseguem identificar telefones celulares em uma área, enquanto sistemas mais complexos são capazes de grampear e modificar as comunicações de dados desses telefones.

O tradicional Stingray IMSI Catcher. Imagem: US Patent and Trademark Office

A rede telefônica internacional depende de um protocolo antigo denominado Sinalização por canal comum número 7 (SS7), e é conhecido por ter sérios problemas de segurança, em parte porque há pouco incentivo para as companhias telefônicas investirem na segurança das suas redes. Esta vulnerabilidade de segurança permitiu que algumas empresas de vigilância (como a Circles) se registrassem como operadores SS7 (ou pagassem aos operadores existentes para utilizarem o seu acesso à rede) e usarem este acesso para rastrear remotamente celulares em todo o mundo. Este tipo de vigilância foi usado para rastrear a princesa Latifa al-Maktoum enquanto ela tentava escapar do seu pai, o Xeique Mohammed, governante do Dubai, em 2018.

É importante notar que os metadados (como número do chamador, número do destinatário e horário da chamada) podem ser mais interessantes e fáceis de analisar do que os próprios dados. Estes dados estão frequentemente disponíveis com menos supervisão à polícia e podem permitir-lhes identificar redes de pessoas trabalhando em conjunto.

Monitoramento de Redes de Internet

Em 2011, durante a guerra civil na Líbia que viu o fim do reinado de Muammar Gaddafi, um pequeno   de ativistas descobriu um centro de vigilância governamental secreto equipado com sistemas instalados pela empresa francesa Amesys (mais tarde renomeada como Nexa Technologies). Esses sistemas foram capazes de monitorar e registrar todos os dados que passavam pela Internet da Líbia, extraindo e-mails, bate-papos, chamadas de voz sobre IP (VoIP) e históricos de navegação. Em muitos casos, os dados extraídos destes sistemas de vigilância foram usados para prender, interrogar e, por vezes, torturar ativistas.

A vigilância em toda a Internet tornou-se uma ferramenta regular usada por países para monitorar a atividade dos cidadãos. As revelações de Snowden proporcionaram a primeira visão das capacidades de monitoramento da Internet nos Estados Unidos, com programas secretos como o XKEYSCORE permitindo ao Estado procurar detalhes nestes dados. Estes tipos de ferramentas tornaram-se mais amplamente disponíveis para países com orçamentos menores, em grande parte graças às tecnologias desenvolvidas na América do Norte, na Europa e em Israel. Por exemplo, em 2021, a Anistia Internacional mostrou que a empresa israelita Verint vendeu equipamentos de monitoramento de redes ao Sudão do Sul e documentou o efeito inibidor que esta vigilância permanente tem sobre os ativistas.

Ataques de phishing e spyware

Com o uso crescente da criptografia, muitos estados estão recorrendo a ataques a dispositivos finais ou contas por meio de ataques de phishing ou spyware. Phishing é uma forma de engenharia social na qual invasores enviam mensagens ou e-mails para induzir a pessoa visada a abrir um arquivo malicioso (na maioria das vezes contendo spyware) ou para induzi-la a inserir seu login e senha em um site malicioso. Spyware são programas maliciosos que monitoram secretamente as atividades de dispositivos e coletam dados.

As ferramentas e competências para estes ataques são, em alguns casos, desenvolvidas por estados que investem tempo e recursos para contratar criadores de spyware. Mas muitos países acham mais fácil confiar na indústria comercial de spyware. Historicamente, esta indústria surgiu na Europa com empresas como FinFisher e Hacking Team, e depois em Israel com empresas como NSO Group e Paragon. A vigilância possibilitada por esta indústria foi documentada ao longo dos últimos 15 anos e incluiu o ataque a centenas de jornalistas e ativistas. A indústria de spyware geralmente fornece ferramentas avançadas como o Pegasus do NSO Group, que pode comprometer um smartphone ao explorar vulnerabilidades em software que são desconhecidas para o desenvolvedor (geralmente chamadas de vulnerabilidades de dia zero). Nos seus primeiros anos, o Pegasus infectava um dispositivo por meio de links enviados por SMS às vítimas que, uma vez clicados, comprometiam silenciosamente o telefone.

Links infectados com spyware Pegasus usados ​​para atingir o defensor dos direitos humanos Ahmed Mansoor, baseado nos Emirados Árabes Unidos, em agosto de 2016. Imagem: Captura de tela, Citizen Lab

Por volta de 2018-19, o NSO Group supostamente mudou para o que é conhecido como explorações de clique zero – ataques realizados sem qualquer interação com o usuário. Em outras palavras, o telefone de um usuário pode ser infectado silenciosamente, mesmo que ele não clique em um link malicioso. Esses ataques exploram vulnerabilidades em aplicativos (como o WhatsApp em 2019) ou usam injeção de rede, que redireciona os navegadores e aplicativos de um alvo para sites maliciosos.

Embora esses ataques sejam tecnicamente avançados e suscitem manchetes, a maioria dos ataques de spyware e phishing direcionados a jornalistas e ativistas são menos complexos. A grande maioria dos ataques que vi na minha carreira assumem formas mais simples, como variações de phishing. Um ataque clássico é o envio de e-mails que se fazem passar por plataformas online (como Google ou Yahoo) para induzir o usuário a fornecer seu login e senha. Outra é enviar arquivos ou até mesmo aplicativos em chats de aplicativos, tentando fazer com que a vítima abra ou instale os arquivos maliciosos.

Um invasor de phishing tentando enganar uma vítima para instalar um aplicativo malicioso. Imagem: Screenshots, Anistia Internacional

Muitos dos ataques dirigidos à sociedade civil baseiam-se na engenharia social, uma tática que envolve a manipulação de um alvo para convencê-lo a tomar uma atitude, como entregar a sua senha ou outra informação valiosa. Isto pode ser feito personificando organizações confiáveis ​​existentes ou mesmo criando ONGs falsas. Uma técnica, chamada spoofing, mascara links ruins como endereços de e-mail familiares. Todos estes ataques, mesmo que sejam muito menos complicados tecnicamente do que o Pegasus, são muito mais baratos de realizar e muitas vezes ainda bastante eficazes contra a sociedade civil.

Ferramentas forenses

O dispositivo Cellebrite UFED é uma das ferramentas forenses mais comuns usadas pela polícia. Imagem: Wikipedia, Creative Commons

Quando jornalistas ou ativistas são presos, as autoridades frequentemente confiscam dispositivos para extrair dados utilizando ferramentas forenses digitais. Mesmo que estas ferramentas possam por vezes ser desenvolvidas internamente pelas autoridades, elas são normalmente adquiridas de empresas de análise forense digital, como a Cellebrite ou a Magnet Forensics.

Empresas forenses como a Cellebrite têm sido criticadas por venderem os seus produtos a governos autoritários em Bangladesh, na Bielorrússia e em Myanmar.

A eficiência dessas ferramentas depende de muitos fatores, como a idade e a segurança do telefone, e o preço e a complexidade das ferramentas utilizadas pela polícia. Em 2015-16, por exemplo, houve um importante debate em torno de um caso legal em que o governo dos EUA, liderado pelo FBI, tentou obrigar a Apple a enfraquecer a encriptação dos seus iPhones. Isso aconteceu depois que o FBI não conseguiu extrair dados de um telefone que pertencia ao suspeito de um tiroteio em massa. Após uma longa batalha jurídica, o FBI retirou o pedido porque encontrou uma empresa terceirizada que conseguiu extrair os dados por meio de um problema de segurança no dispositivo. Casos como este fornecem uma visão interessante das capacidades disponíveis para as autoridades policiais. Mas deve-se notar que, em muitos casos, as autoridades tentarão forçar um usuário a conceder acesso a um dispositivo através de ameaças legais ou físicas. É, por exemplo, um crime se recusar a fornecer a senha de um dispositivo móvel à polícia na França.

Plataformas de código aberto

Finalmente, um tipo mais recente de vigilância vem de plataformas de inteligência de código aberto e de inteligência web. Essas plataformas coletam dados online de sites e redes sociais disponíveis publicamente. Elas organizam tudo em bancos de dados centralizados para mapear a atividade de uma pessoa. Embora isto possa parecer relativamente benigno, visto que os dados já estavam públicos desde o começo, os dados são frequentemente enriquecidos com informações privadas, tais como chamadas telefônicas de fornecedores de telecomunicações ou dados de geolocalização obtidos por rastreadores escondidos em aplicativos de smartphones. Isso permite que os usuários rastreiem com precisão a atividade de um indivíduo.

O relatório sobre a indústria de vigilância da Meta, de dezembro de 2022, e relatórios do consórcio Forbidden Stories sugerem que esta indústria está crescendo. Revelações da Colômbia, por exemplo, mostram claramente que estas ferramentas podem ser utilizadas de forma abusiva para atingir jornalistas e a sociedade civil.

Dicas e ferramentas de segurança digital

Depois de ler este guia sobre o cenário assustador da vigilância digital, você pode ficar com uma sensação de insegurança e pensar que a segurança digital é uma batalha perdida. Não é.

Mesmo que seja um desafio manter-se seguro durante um longo período contra um adversário dedicado e com bons recursos, existem muitas ferramentas que você pode usar e etapas que você pode seguir para melhorar significativamente sua segurança digital. E você nem sempre precisa estar perfeitamente seguro – você só precisa estar seguro o suficiente para combater a vigilância de pessoas que desejam monitorar você.

Um guia completo sobre segurança digital está além do escopo deste capítulo, mas deixe-me usar esta última seção para destacar métodos e ferramentas importantes que você deve conhecer como jornalista profissional.

Ferramentas

Use aplicativos de bate-papo criptografados de ponta a ponta. A criptografia ponta a ponta significa que o servidor que gerencia os dados entre os usuários não consegue ver o conteúdo dos dados trocados. Isso é fundamental porque significa que você não precisa confiar na empresa ou nas pessoas por trás do aplicativo, desde que a criptografia seja feita corretamente. O aplicativo de bate-papo criptografado de ponta a ponta mais famoso e respeitado é o Signal. Mas cada vez mais aplicativos estão sendo desenvolvidos com criptografia de ponta a ponta, inclusive para transferência de arquivos (como Tresorit) ou até mesmo documentos compartilhados (como CryptPad). Em aplicativos de bate-papo como o Signal, certifique-se de habilitar mensagens que desaparecem para evitar manter um histórico de conversas confidenciais em seu telefone.

Proteja seu telefone tanto quanto possível. Mesmo que ainda haja muito trabalho a ser feito, a segurança dos smartphones continua a melhorar. Você pode seguir alguns passos simples para manter seus dispositivos seguros. Se você estiver usando um Android, certifique-se de usar um telefone que receba atualizações de segurança rotineiramente do fabricante e de atualizar o sistema e os aplicativos que usa. (Se você tiver conhecimento técnico, pense em migrar para o GrapheneOS.) Para usuários do iPhone, certifique-se de atualizar seu telefone para o software mais recente. Se você corre o risco de receber spyware avançado, certifique-se de ativar o modo de Isolamento da Apple, que o Citizen Lab descobriu que pode ajudar a bloquear um ataque de exploração de dia zero do NSO Group. Em ambos os casos, tente limitar o número de aplicativos instalados e tente ter telefones pessoais e comerciais separados.

Use autenticação de dois fatores. A autenticação de dois fatores (2FA) exige que você insira informações adicionais junto com sua senha para fazer login em uma conta. Pode ser um código enviado por SMS (que não é perfeito, mas é melhor que nada), um código gerado por um aplicativo do seu telefone como o FreeOTP (que é confiável) ou até mesmo um número gerado automaticamente por uma chave de hardware como Yubikey (que é bastante seguro). 2FA é uma das ferramentas mais fortes contra ataques de phishing e recomendo fortemente ativá-la em qualquer conta sensível. Se você já foi alvo de ataques de phishing, recomendo investir um pouco de tempo e dinheiro para usar chaves de hardware. Também conhecidas como chaves de segurança ou chaves U2F, são pequenos pedaços de hardware que normalmente cabem em uma porta USB e podem tornar suas contas quase impossível de hackear.

Métodos

Como jornalista, seu objetivo não é se tornar um especialista em segurança digital, mas sim ter conhecimentos básicos.

Avalie as ameaças que você está enfrentando. Você não precisa estar protegido contra tudo, apenas contra as ameaças que possam afetá-lo. Pense no trabalho que você realiza e no tipo de vigilância digital que poderá enfrentar. Pense no que você já enfrentou, consulte pessoas que fazem o mesmo tipo de trabalho e escreva uma lista de cenários. Depois, para cada caso, pense em como você pode melhorar sua segurança. (O Frontline Defenders Workbook on Security pode ajudá-lo a compreender esse processo.) Se você estiver trabalhando em uma redação ou como parte de uma rede de jornalistas, incentive todos a passarem por esse processo. A segurança digital é um esforço de equipe.

Se você não pode estar seguro o tempo todo, compartimente. Em alguns casos, talvez você não consiga tornar seus dispositivos ou contas seguros o suficiente para o trabalho que realiza. Nesse caso, pense em compartimentar. Por exemplo, use um telefone comercial e outro pessoal ou contas de e-mail diferentes para projetos diferentes. Se você estiver trabalhando em uma investigação muito delicada, considere ter dispositivos e contas dedicados a ela. Você também pode usar um sistema operacional separado, como o Tails, projetado para proteger contra censura e vigilância. Se estiver trabalhando com dados ou arquivos extremamente sensíveis, você pode usar um computador isolado. Este é um dispositivo que não pode se conectar a redes digitais como Wi-fi ou Bluetooth e, portanto, é incrivelmente difícil de ser invadido.

Entenda a segurança digital e saiba quando obter suporte. Como jornalista, seu objetivo não é se tornar um especialista em segurança digital, mas você deve ter conhecimentos básicos, como os descritos neste capítulo, e saber quando precisa procurar ajuda especializada. Se puder, desenvolva uma rede de profissionais de tecnologia em quem você confia e que possam ajudar quando você enfrentar um problema ou uma nova ameaça. Se você estiver se dedicando a pesquisas e reportagens de maior visibilidade do que o trabalho que você normalmente faz, certifique-se de antecipar o máximo possível. É sempre melhor prevenir do que remediar.

Você pode encontrar ótimos recursos de segurança digital no Surveillance Self-Defense, um portal da Electronic Frontier Foundation, ou no site Security in a Box (em português) da Frontline Defenders. A GIJN também possui alguns recursos úteis (em português) sobre este tema. Se você precisar de suporte de segurança digital como jornalista, também pode entrar em contato com a linha de apoio de segurança digital do Access Now.

Estudos de caso

As revelações de Snowden. É difícil falar de vigilância digital sem mencionar as revelações de Snowden, que mudaram totalmente o panorama da vigilância ao chamar a atenção global para a espionagem generalizada por parte da Agência de Segurança Nacional dos EUA (NSA). As revelações são extraordinariamente amplas e as reportagens duraram mais de um ano. Recomendo a leitura do resumo do Lawfare das revelações de Snowden e dos arquivos de Snowden do The Intercept. Para contextualizar, também vale a pena o premiado documentário Citizenfour de Laura Poitras.

Projeto Raven. Em Janeiro de 2019, a Reuters revelou que os Emirados Árabes Unidos contrataram antigos funcionários da NSA para desenvolver as capacidades ofensivas de espionagem digital do país. Estas ferramentas foram então utilizadas para atingir chefes de Estado e ativistas de direitos humanos.

Projeto Pegasus. Em Julho de 2021, um consórcio de jornalistas coordenado pela Forbidden Stories com o Laboratório de Segurança da Anistia Internacional como parceiro técnico, revelou os abusos permitidos pelo spyware Pegasus do NSO Group. A reportagem teve origem em uma lista de 50.000 números de telefone selecionados para vigilância por clientes da NSO em 11 países, incluindo Arábia Saudita, Marrocos, Hungria, Índia e México.

Por dentro da indústria global de hackers de aluguel. Em 2022, o Bureau of Investigative Journalism, com sede no Reino Unido, e o Sunday Times se infiltraram para conhecer pessoas no centro da crescente indústria de hackers de aluguel na Índia. Esta história fornece informações sobre como ferramentas de hacking que antes estavam disponíveis apenas para governos estão se tornando acessíveis para os setores privados.

Story Killers. Em 2023, o consórcio Forbidden Stories publicou Story Killers (Assassinos de histórias), uma série que investigou a indústria da desinformação de aluguel. Mesmo que não constitua diretamente vigilância digital, existe frequentemente uma sobreposição entre a obscura indústria da desinformação e as técnicas de vigilância digital.

Etienne “Tek” Maynier é um pesquisador de segurança no Laboratório de Segurança da Anistia Internacional. Ele vem investigando ataques digitais contra a sociedade civil desde 2016 e publicou muitas investigações sobre phishing, spyware e campanhas de desinformação. Ele pode ser encontrado em seu site ou no Mastodon.