O que justifica um governo hackear os cidadãos? Especialista cobra limites

A falha de segurança no WhatsApp divulgada no começo da semana trouxe à tona a discussão sobre os limites de como um governo pode hackear seus próprios cidadãos. A empresa israelense NSO, acusada de ter criado o vírus, desenvolve ferramentas para acessar celulares remotamente, sem que ninguém perceba.

Para Malte Spitz, consultor em proteção de dados, membro do Partido Verde alemão e secretário-geral da Gesellschaft für Freiheitsrechte (Sociedade para os Direitos Civis), a escalada de ações do tipo é preocupante. O UOL Tecnologia conversou com ele na CryptoRave, que ocorreu em São Paulo nos dias 3 e 4. Na agenda, um dos principais pontos de discussão era justamente o aumento de ataques hackers orquestrados por governos.

A Alemanha aprovou em 2017 uma lei que regula essas práticas em casos de terrorismo, contrabando, suborno e tráfico de drogas, entre outros crimes. Na avaliação da Sociedade para os Direitos Civis, isso poderia resultar em até 30 mil invasões cibernéticas anuais feitas pela polícia alemã --um número absurdo, segundo Spitz.

No Brasil não há regulação para ações como essa. Mas um vazamento feito pelo WikiLeaks com documentos da Hacking Team, que vende softwares de hacking para governos, mostrou que a Polícia Federal negociava e chegou a testar a solução da empresa. No vazamento, também havia menções às polícias militares de diversos estados, como São Paulo e Rio de Janeiro.

Por aqui, a PF já afirmou que em casos onde é necessário hackear um suspeito a autorização judicial é obtida por meio da Lei de Interceptação Telefônica --a mesma que é utilizada para grampear o telefone de alguém. Mas pesquisadores da área contestam a validade legal desse dispositivo.

Para Malte Spitz, além da falta de critérios no uso de recursos do tipo, as táticas do governo para invasões cibernéticas, como a exploração de falhas de sistemas de cibersegurança, deixa a população como um todo vulnerável.

Um exemplo do tipo foi o Wannacry, um ransomware que bagunçou a internet em maio de 2017. Na época, ele só conseguiu se espalhar de uma maneira tão rápida porque utilizou uma vulnerabilidade do Windows descoberta pela NSA (a Agência de Segurança Nacional dos Estados Unidos) e que nunca tinha sido tornada pública.

UOL: Dez anos atrás você pediu acesso aos dados que a Telekom tinha sobre você e recebeu quase 36 mil linhas de dados. Se isso ocorresse hoje, esse volume seria maior ou menor?

Malte Spitz: Maior, sem dúvida. Essas 36 mil linhas de metadados diziam respeito a seis meses. Hoje, acho que seriam 36 mil para cada mês. Em 2013 eu fiz um pedido semelhante, e na época eu já recebi cerca de 15 mil linhas para cada mês, três vezes mais do que em 2009. Agora é preciso levar em consideração que hoje nós estamos muito mais conectados. A primeira vez que fiz o pedido de acesso aos dados eu nem usava um smartphone, era um Nokia que tinha no máximo um navegador de internet.

UOL: Você fala em metadados, como horário de ligações, para quem ligou, IP de conexão, geolocalização. Mas você acha que hoje a operadora também teria acesso ao conteúdo da sua conversa?

Malte Spitz: Na verdade, não. Acho que quando falamos de acesso ao conteúdo, o grande perigo são os aplicativos. Hoje eu tenho entre 75 e 80 aplicativos no meu celular, e é muito difícil entender quais dados cada um deles coleta. Grande parte deles pode acessar suas fotos, muitos outros conseguem fazer gravações com o microfone. Então se a preocupação é dados de conteúdo, a questão são os aplicativos. Se são metadados de conexão, as operadoras de telefonia têm um volume maior de informações.

Mas mesmo a partir dos metadados já é possível tirar muitas informações sobre uma pessoa. Eles sabem os lugares pelos quais você anda, eles têm o IP e sabem quais sites se conectou, elas sabem para quem você liga e por quanto tempo conversa.

UOL: No ano passado, entrou em vigor na Europa a GDPR (Regulamento Geral de Proteção de Dados, da sigla em inglês). A lei trouxe impactos positivos na área da proteção de dados?

Malte Spitz: Sim, trouxe. Uma coisa importa de se falar é que os efeitos da GDPR vão além da União Europeia. Quer dizer, em grande parte nós estamos falando de multinacionais, e elas acabam aplicando as mesmas políticas de dados em países diferentes. Ela também serviu como incentivo ao surgimento de outras regulamentações, como na Califórnia, que prepara sua própria lei geral de proteção de dados.

UOL: E no Brasil.

Malte Spitz: No Brasil também, apesar da discussão da Lei Geral de Proteção de Dados Pessoais de vocês ser anterior à GDPR entrar em vigor, houve uma influência no formato da lei.

Ele previu o infocalipse, agora teme pela democracia

Leia a entrevista

Claro, ainda há uma certa dificuldade em aplicar a lei de uma forma generalizada. Mas ela é muito importante para mostrar que é possível sim regular grandes empresas da internet. Por outro lado, não podemos nos esquecer de cobrar as mesmas responsabilidades sobre coleta e armazenamento de dados de companhias offline.

Empresas como seguradoras, por exemplo, trabalham com um volume gigantesco de informações sobre nós.

UOL: Quando falamos no governo hackeando sobre seus próprios cidadãos, seja por meio de órgãos de inteligência, seja por meio das forças policiais, essa é uma tendência em crescimento no mundo?

Malte Spitz: Com certeza.

UOL: Ainda que a nova lei alemã que regula como o governo pode hackear suspeitos seja muito flexível, ainda é melhor ter uma lei do que trabalhar em um cenário em que a polícia faz isso sem nenhum tipo de regulamentação, certo?

Malte Spitz: Isso é verdade. Quer dizer, quando a gente tem essa regulamentação no papel, entidades como a nossa podem questionar a amplitude legal dela, tentar redimensionar e adequar essa lei.

Países que não tem dispositivos do tipo costumam justificar legalmente a invasão de dispositivos como celulares e computadores por meio de leis de interceptação telefônica. Nesse casos, você poderia ir à Justiça diretamente para argumentar que essas práticas são ilegais. Se isso vai funcionar, é outra história.

UOL: Durante a sua palestra, você falou sobre como é problemático governos usarem vulnerabilidades de sistema desconhecidas para hackear as pessoas.

Malte Spitz: Sim. Uma das maneiras pelas quais órgãos de inteligências conseguem invadir e hackear um celular, por exemplo, é por meio de vulnerabilidades que os desenvolvedores ainda desconhecem. O problema é que se o governo é capaz de explorar essas vulnerabilidades, outros atores também são. Podem ser forças governamentais de outros países ou mesmo criminosos.

Na verdade, deveria ser uma responsabilidade de um governo para com seus cidadãos tornar públicas quaisquer vulnerabilidades descobertas para que as pessoas não corram riscos.

UOL: Você acha que é possível lutar contra o hacking feito pelo governo? Temos como voltar atrás nesse caminho?

Malte Spitz: Não acho que isso seja possível. Para ser sincero, acredito que há ocasiões em que é justificado o estado hackear uma pessoa. Mas é preciso encontrar as diretrizes certas sobre como isso será feito. Não é possível que seja que nem a lei da Alemanha, que permitiria que isso ocorresse até 30 mil vezes por ano.

Nós precisamos garantir que o governo só hackeie aparelhos em casos extremamente necessários. Não use vulnerabilidades desconhecidas que deixem o público em geral exposto. E crie mecanismos específicos para oferecer proteção extra a profissões que demandam um grau elevado de sigilo, como jornalistas, advogados e parlamentares.

Para mim, não é mais uma questão de discutir se o governo pode ou vai hackear as pessoas. É sobre como garantir que isso seja feito da forma adequada.

Você é o produto: cada passo que você dá na web gera rastros e essas informações são usadas para te vigiar e influenciar o seu comportamento

Entenda