Durante mais de uma década, dezenas de jornalistas e activistas dos direitos humanos foram alvo e pirateados por governos de todo o mundo. Policiais e espiões na Etiópia, Grécia, Hungria, Índia, México, Polónia, Arábia Saudita e Emirados Árabes Unidos, entre outros, usaram spyware sofisticado para comprometer os telefones destas vítimas, que por vezes também enfrentaram violência no mundo real, sendo intimidadas, assediadas e, em casos extremos, até assassinadas.
Nos últimos anos, na luta para proteger estas comunidades de maior risco, uma equipa de uma dúzia de especialistas em segurança digital, a maioria baseados na Costa Rica, Manila e Tunísia, entre outros locais, desempenhou um papel fundamental. Eles trabalham para a organização sem fins lucrativos Access Now, com sede em Nova York, especificamente para sua linha de ajuda de segurança digital.
A sua missão é ser a equipa de pessoas a quem jornalistas, defensores dos direitos humanos e dissidentes podem recorrer caso suspeitem que foram pirateados, como acontece com spyware mercenário fabricado por empresas como o NSO Group, Intellexa ou Paragon.
“A ideia é fornecer este serviço 24 horas por dia, 7 dias por semana à sociedade civil e aos jornalistas, para que possam contactá-los sempre que tiverem… um incidente de segurança cibernética”, disse Hassen Selmi, que lidera a equipa de resposta a incidentes na Helpline, ao TechCrunch.
De acordo com Bill Marczak, pesquisador sênior do Citizen Lab da Universidade de Toronto que investiga spyware há quase 15 anos, a Helpline do Access Now é um “recurso de linha de frente” para jornalistas e outras pessoas que possam ter sido alvo ou hackeados com spyware.
A linha de apoio tornou-se um funil crítico para as vítimas. Tanto é assim que, quando a Apple envia a seus usuários uma chamada “notificação de ameaça”, alertando-os de que foram alvo de spyware mercenário, a gigante da tecnologia há muito direciona as vítimas aos investigadores do Access Now.
Ao falar com o TechCrunch, Selmi descreveu um cenário em que alguém recebe uma dessas notificações de ameaças e onde o Access Now pode ajudar as vítimas.
“Ter alguém que possa explicar-lhes, dizer-lhes o que devem fazer, o que não devem fazer, o que isto significa… Isto é um grande alívio para eles”, disse Selmi.
De acordo com vários especialistas em direitos digitais que investigaram casos de spyware e conversaram anteriormente com o TechCrunch, a Apple geralmente está adotando a abordagem correta, mesmo que a ótica pareça uma gigante da tecnologia de um trilhão de dólares transferindo sua responsabilidade para uma pequena equipe de trabalhadores sem fins lucrativos.
Ser mencionado pela Apple nas notificações, disse Selmi, foi “um dos maiores marcos” para a linha de apoio.
Selmi e seus colegas analisam agora cerca de 1.000 casos de suspeitas de ataques de spyware do governo por ano. Cerca de metade desses casos transformam-se em investigações reais, e apenas cerca de 5% deles, cerca de 25, resultam num caso confirmado de infecção por spyware, segundo Mohammed Al-Maskati, diretor da linha de apoio.
Quando Selmi começou a fazer esse trabalho em 2014, o Access Now investigava apenas cerca de 20 casos de suspeita de ataques de spyware por mês.
Na época, havia três ou quatro pessoas trabalhando em cada fuso horário na Costa Rica, Manila e Tunísia, locais que lhes permitiam ter alguém online o dia todo. A equipe não é muito maior agora, com menos de 15 pessoas trabalhando na linha de apoio. A linha de apoio tem mais pessoas na Europa, Médio Oriente, Norte de África e região Subsaariana, visto que estes são pontos críticos para casos de spyware, segundo Selmi.
O aumento de casos, explicou Selmi, se deve a diversas circunstâncias. Por um lado, a linha de apoio é agora mais conhecida, por isso atrai mais pessoas. Então, com o spyware governamental se tornando global e cada vez mais disponível, há potencialmente mais casos de abuso. Finalmente, a equipa da linha de apoio tem feito mais divulgação às populações potencialmente visadas, encontrando casos de abuso que de outra forma não teriam encontrado.
Contate-nos
Você recebeu uma notificação da Apple, Google ou WhatsApp sobre ser alvo de spyware? Ou você tem informações sobre fabricantes de spyware? Adoraríamos ouvir de você. A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail.
Quando alguém entra em contato com a linha de apoio, disse Selmi ao TechCrunch, seus investigadores primeiro confirmam o recebimento e, em seguida, fazem uma primeira verificação para ver se a pessoa que os contatou está dentro do mandato da organização, ou seja, se faz parte da sociedade civil – e não, por exemplo, um executivo empresarial ou legislador. Em seguida, os investigadores avaliam o caso na triagem. Se um caso for priorizado, os investigadores fazem perguntas, como por que a pessoa acredita que foi o alvo (se não houve notificação) e qual dispositivo ela possui, o que ajuda a estabelecer que tipo de informação os investigadores podem precisar coletar do dispositivo da vítima.
Após uma verificação inicial e limitada do dispositivo, realizada remotamente pela Internet, os responsáveis pela linha de apoio e os investigadores podem solicitar à vítima que envie mais dados, como um backup completo do seu dispositivo, para fazer uma análise mais aprofundada, examinando sinais de invasões.
“Para cada tipo conhecido de exploração que foi usado nos últimos cinco anos, temos um processo sobre como verificar essa exploração”, disse Selmi, referindo-se às técnicas de hacking conhecidas.
“Sabemos mais ou menos o que é normal e o que não é”, disse Selmi.
Os manipuladores do Access Now, que gerenciam a comunicação e muitas vezes falam a língua da vítima, também aconselharão a vítima sobre o que fazer, como adquirir outro dispositivo ou tomar outras precauções.
Cada caso que a organização sem fins lucrativos analisa é único. “É diferente de pessoa para pessoa, de cultura para cultura”, disse Selmi ao TechCrunch. “Acho que deveríamos fazer mais pesquisas, atrair mais pessoas – não apenas técnicos – para saber como lidar com esse tipo de vítima.”
Selmi disse que a linha de apoio também tem apoiado equipas de investigação semelhantes em algumas regiões do mundo, partilhando documentação, conhecimento e ferramentas, como parte de uma coligação chamada CiviCERT, uma rede global de organizações que pode ajudar membros da sociedade civil que suspeitam ter sido alvo de spyware.
Selmi disse que esta rede também ajudou a alcançar jornalistas e outras pessoas em lugares onde de outra forma não conseguiriam chegar.
“Não importa onde estejam, (as vítimas) têm pessoas com quem podem conversar e denunciar”, disse Selmi ao TechCrunch. “Ter essas pessoas falando sua língua e conhecendo seu contexto ajudou muito.”
