Gigantes da tecnologia pedem que criadora do Pegasus seja punida

Gigantes da tecnologia, como Microsoft, Google, Cisco, GitHub, LinkedIn e VMWare, além da Internet Association, entraram na segunda-feira (21/12) com uma petição no Tribunal de Apelações dos EUA apoiando o Facebook no processo contra a empresa israelense NSO, criadora do spyware Pegasus, um exploits de clique zero, ou seja, o usuário não precisa baixar ou abrir algum anexo para se contaminar, basta receber uma mensagem. No ano passado, 1,4 mil pessoas tiveram seus celulares contaminados por esse spyware via WhatsApp e este foi o motivo do processo movido pelo Facebook, proprietária do aplicativo de mensagem. A NSO argumenta que vende suas ferramentas para a polícia e agências de espionagem, e por essa razão deve se beneficiar da “imunidade soberana”, um recurso jurídico que protege governos de ações judiciais. O argumento foi rejeitado por uma corte na Califórnia em julho e a NSO está apelando contra a decisão.
No domingo (20/12), o Citizen Lab, da Universidade de Toronto (Canadá), divulgou um relatório afirmando que 36 telefones pessoais, todos iPhone, pertencentes a jornalistas, produtores, âncoras e executivos da rede Al Jazeera foram hackeados pelo spyware Pegasus, que provavelmente gravou conversas, tirou fotos, rastreou localização e acessou senhas. Além disso, esse spyware foi associado ao assassinato do jornalista Jamal Khashoggi, do Washington Post, morto e esquartejado no consulado saudita em Istambul em 2018.

Posicionamento
A Microsoft vem se posicionando publicamente contra esses ataques cibernéticos patrocinados por governos, pedindo a punição dos responsáveis e propondo união dos governos democráticos e empresas privadas contra essas práticas. Na semana passada, Brad Smith, presidente da companhia, escreveu um longo post no blog da empresa abordando o caso envolvendo a SolarWinds e também a NSO. Nesta segunda-feira (21/12), Tom Burt, vice-presidente corporativo, explicou no mesmo blog as razões de a Microsoft apoiar o Facebook no processo contar a empresa israelense.
Segundo o executivo, uma crescente indústria está criando e vendendo armas cibernéticas que permitem que seus clientes invadam os computadores das pessoas, telefones e dispositivos conectados à Internet. “Agora, um desses mercenários do século 21, chamado de Grupo NSO, está tentando se ocultar na imunidade legal concedida a seus clientes do governo, o que o protegeria de responsabilidade quando suas armas infligissem danos a pessoas e empresas inocentes”, disse Burt. “A Microsoft também contribui para os desafios urgentes de segurança cibernética discutidos pelo nosso presidente Brad Smith na semana passada. Acreditamos que o modelo de negócios do Grupo NSO é perigoso e que tal imunidade permitiria a ele e a outras empresas continuarem seus negócios perigosos sem regras legais, responsabilidades ou repercussões. É por isso que hoje entramos com um amicus brief – junto com Cisco, GitHub, Google, LinkedIn, VMWare e a Internet Association – em um processo judicial movido pelo WhatsApp contra o Grupo NSO”, explicou.
Risco
Segundo Burt, há o risco de que ferramentas criadas por empresas como a NSO caiam em mãos erradas. Anteriormente, as sofisticadas capacidades de hackeamento de estado-nação residiam em um pequeno número de governos com agências bem financiadas, focadas no desenvolvimento dessas armas. “Mesmo assim, ferramentas de espionagem criadas pelo governo caíram nas mãos de outros governos, que as usaram em ataques como WannaCry e NotPetya, que se espalharam como um incêndio além das vítimas visadas e, por fim, devastaram vidas e interromperam negócios em todo o mundo. A redução da barreira de acesso a essas armas garantiria que tais catástrofes se repetissem”, disse Burt.
Mesmo que essas ferramentas de espionagens sejam vendidas somente para governos que as usam para ataques direcionados, há uma variedade de maneiras pelas quais elas podem cair em mãos erradas. Por exemplo, uma empresa italiana chamada Hacking Team – um dos concorrentes da NSO – foi hackeada em 2015. Além disso, os alvos dessas armas podem fazer engenharia reversa e usar essas ferramentas para seus próprios fins.
O executivo observa que as empresas do setor privado que criam essas armas não estão sujeitas às mesmas restrições que os governos. Muitos governos com capacidades cibernéticas ofensivas estão sujeitos às leis internacionais, às consequências diplomáticas e à necessidade de proteger seus próprios cidadãos e interesses econômicos do uso indiscriminado dessas armas. Além disso, alguns governos – como os Estados Unidos – podem compartilhar vulnerabilidades de alto risco que descobrem com provedores de tecnologia afetados para que os provedores possam corrigir a vulnerabilidade e proteger seus clientes. Atores privados como o Grupo NSO são apenas incentivados a manter essas vulnerabilidades para si próprios, para que possam lucrar com elas, e as explorações que eles criam são constantemente recicladas por governos e cibercriminosos.
Para Burt, a expansão da “imunidade soberana” que a NSO busca encorajaria ainda mais essa indústria de vigilância cibernética a desenvolver, vender e usar ferramentas para explorar vulnerabilidades, violando as leis dos EUA. “As empresas privadas devem permanecer sujeitas à responsabilidade quando usarem suas ferramentas de vigilância cibernética para infringir a lei ou permitir intencionalmente seu uso para tais fins, independentemente de quem são seus clientes ou o que estão tentando alcançar. Esperamos que essa ação em conjunto com nossos concorrentes hoje, por meio deste amicus brief, ajude a proteger nossos clientes coletivos e o ecossistema digital global de ataques mais indiscriminados”, enfatizou o executivo da Microsoft.