WSJ Americas
Por JENNIFER VALENTINO-DEVRIES, JULIA ANGWIN e STEVE STECKLOW
Documentos obtidos pelo The Wall Street Journal abrem uma janela inusitada para um novo mercado global de tecnologia comercial de vigilância, que surgiu depois dos ataques terroristas de 11 de setembro de 2001.
As técnicas descritas em mais de 200 páginas de documentos de marketing, abrangendo 36 empresas, incluem ferramentas de invasão que possibilitam aos governos vasculhar computadores e celulares, e um mecanismo de "interceptação em massa" que pode reunir todas as comunicações de internet em um país. Os documentos foram obtidos de participantes de uma conferência sobre vigilância secreta realizada perto de Washington, no mês passado.
Agências de inteligência nos EUA e de outros países tiveram por muito tempo seus próprios métodos de vigilância. Mas, nos últimos anos, um mercado de varejo para ferramentas de vigilância saiu de "praticamente zero" em 2001 para cerca de US$ 5 bilhões por ano, disse Jerry Lucas, presidente da TeleStrategies Inc., organizadora da conferência.
Críticos dizem que o mercado representa um novo tipo de comércio de armas que abastece tanto governos do Ocidente como nações repressoras. "Todos os países da Primavera Árabe tinham mais recursos de vigilância sofisticados do que eu imaginava", disse Andrew McLaughlin, que recentemente deixou seu posto de vice-diretor de tecnologia na Casa Branca, fazendo referência às nações do Oriente Médio e da África marcadas pela violenta repressão aos dissidentes.
Este ano o WSJ revelou a existência de um centro de vigilância de internet instalado por uma empresa francesa na Líbia, e descobriu que o software fabricado pela britânica Gamma International UK Ltd. havia sido usado no Egito para interceptar conversas de dissidentes no Skype. Em outubro, uma companhia americana que produz equipamentos para filtragem na internet admitiu ao WSJ que seus equipamentos estavam sendo usados na Síria.
As companhias que fabricam e vendem este tipo de equipamento afirmam que essas ferramentas têm como objetivo identificar criminosos e estão disponíveis apenas para governos e agências de policiamento. Segundo essas empresas, as leis de exportação são obedecidas e elas não são responsáveis por como essas ferramentas são usadas.
Lucas, organizador da exposição, acrescentou que seu evento não é político. "Realmente não ficamos perguntando, 'isso é de interesse público'?", disse.
A TeleStrategies organiza as conferências ISS World (sigla para Sistemas de Apoio à Inteligência) no mundo todo. A conferência realizada na região de Washington é destinada principalmente às autoridades dos EUA, do Canadá, do Caribe e da América Latina. A conferência anual de Dubai há muito tempo serve como uma oportunidade para nações do Oriente Médio encontrarem fornecedores de equipamentos de vigilância.
Muitas tecnologias apresentadas na conferência na região de Washington são relacionadas ao monitoramento de "interceptação em massa", que podem capturar grandes quantidades de dados. A Telesoft Technologies Ltd., do Reino Unido, promoveu seu equipamento nos documentos com a oferta de "captura em massa ou direcionada para dezenas de milhares de conversas simultâneas de redes fixas ou móveis de telefonia." A Telesoft não quis comentar.
A Net Optics Inc., sediada na Califórnia, cujas ferramentas tornam os equipamentos de monitoramento mais eficientes, participou da conferência. A empresa oferece um caso de estudo em seu site, que descreve a ajuda a uma "grande operadora de celulares na China" a conduzir um "monitoramento em tempo real" de conteúdo de internet de celulares. O objetivo era ajudar a "analisar a atividade criminal" bem como "detectar e filtrar conteúdos indesejáveis."
O diretor-presidente da Net Optics, Bob Shaw, disse que a companhia cumpre "a letra da lei" dos regulamentos das exportações dos EUA. "Temos certeza de que não estamos exportando para nenhum país que seja proibido ou que esteja na lista de embargo", disse o executivo.
Entre as tecnologias mais polêmicas apresentadas na conferência estavam basicamente ferramentas de invasão, que possibilitam aos agentes dos governos entrarem em computadores e celulares, logar nos principais acessos e acessar dados. Apesar de as técnicas de invasão serem em geral ilegais nos EUA, as agências de policiamento podem usá-las com uma autorização apropriada, disse Orin Kerr, professor da Faculdade de Direito da Universidade George Washington e ex-promotor para crimes de informática do Departamento de Justiça.
Os documentos mostram que pelo menos três empresas — Vupen Security SA da França, HackingTeam SRL da Itália e a FinFisher, controlada pela britânica Gamma — promoveram suas habilidades com os tipos de técnicas frequentemente usadas em "malware", softwares usados por criminosos que tentam roubar dados financeiros ou detalhes pessoais. O objetivo é superar o fato de que a maioria das técnicas de vigilância é "inútil contra a encriptação e não pode alcançar as informações que nunca saem do aparelho", disse Marco Valleri, gerente de segurança ofensiva da HackingTeam. "Podemos vencer isso."
Representantes da HackingTeam disseram que adaptam seus produtos ao país onde estão sendo vendidos. Entre os produtos da empresa estão sistemas de auditoria destinados a prevenir o uso inapropriado por autoridades. "Um autoridade não pode usar nosso produto para espionar sua esposa, por exemplo", disse Valleri.
Valleri disse que a HackingTeam pede que os governos assinem uma licença na qual concordam em não fornecer tecnologias para países não autorizados.
A Vupen, que fez uma apresentação na conferência sobre a "exploração de vulnerabilidades de computadores e redes móveis para a vigilância eletrônica", disse que suas ferramentas se aproveitam de falhas de segurança em computadores ou celulares de que os fabricantes não estão cientes. Os documentos de marketing da Vupen descrevem seus pesquisadores como "dedicados" a encontrar "vulnerabilidades não corrigidas" em programas criados pela Microsoft Corp., Apple Inc., entre outras. No site da companhia, os visitantes têm acesso a um "exemplo gratuito de exploração da Vupen" baseado numa falha de segurança já corrigida.
Segundo a Vupen, suas vendas são restritas a Austrália, Nova Zelândia, membros e parceiros da Organização do Tratado do Atlântico Norte e da Associação de Nações do Sudeste Asiático. A empresa informa que não vende produtos para países em embargo internacional, e que sua pesquisa deve ser usada apenas com propósitos de segurança nacional e em obediência às práticas éticas e às leis aplicáveis.
Os documentos sobre o FinFisher, um produto da Gamma, dizem que ele "envia atualizações falsas de software para programas populares." Em um exemplo, a FinFisher explica que os agentes de inteligência distribuíram seus produtos "dentro do principal provedor de serviço de internet do país" e infectaram computadores pessoais "secretamente injetando" o código FinFisher em sites que as pessoas visitavam.
A empresa alega ainda que possibilitou a uma agência de inteligência fazer com que os usuários baixassem o software da companhia em aparelhos BlackBerry "para monitorar todas as comunicações, incluindo [mensagens de texto], emails e o Blackberry Messenger." Seus documentos de marketing dizem que os programas possibilitam a espionagem usando ferramentas e softwares da Apple, da Microsoft da Google Inc., entre outras firmas. Documentos FinFisher foram oferecidos na conferência em inglês, árabe e outros idiomas.
Um porta-voz da Google não quis comentar sobre o FinFisher especificamente, acrescentando que o Google não "tolera o abuso de seus serviços."
Uma porta-voz da Apple disse que a companhia trabalha para "encontrar e corrigir qualquer problema que possa comprometer os sistemas [de usuários]." Semana passada, a Apple lançou uma atualização de segurança para o iTunes que impediria um ataque semelhante ao tipo que a FinFisher alega usar — que oferece programas falsos de atualização para instalar spyware.
A Microsoft e a Research In Motion Ltd., que fabrica o BlackBerry, não quiseram comentar.
Os documentos descobertos no Egito no começo deste ano indicaram que a revendedora da Gamma estava oferecendo sistemas FinFisher no país por cerca de US$ 560 mil. O advogado da Gamma disse ao WSJ em abril que a empresa nunca vendeu produtos ao governo do Egito.
A Gamma não respondeu aos pedidos de comentários para este artigo. Como a maioria das empresas entrevistadas, a Gamma se recusou a divulgar os nomes de seus clientes, citando acordos de confidencialidade.
Defensores da privacidade dizem que os fabricantes deveriam ser mais transparentes sobre suas atividades. Eric King, da organização não governamental britânica Privacy International, disse que "a rede complexa de cadeias de fornecimento e subsidiárias envolvidas neste negócio permite que haja um contínuo 'passar de bola', fazendo com que [as empresas] abdiquem de suas responsabilidades." King costuma frequentar eventos do setor de vigilância para coletar informações sobre esse comércio.
Durante as conferências realizadas este ano em Washington e em Dubai, que são geralmente fechadas ao público, os repórteres do WSJ foram impedidos de participar das sessões ou de entrar nas salas de exibição.
A conferência de Dubai, em fevereiro, aconteceu num momento de agitação em outros países da região. Quase 900 pessoas participaram, um número ligeiramente inferior ao da edição anterior, devido à turbulência regional, segundo um organizador.
As apresentações em Dubai incluíram como interceptar tráfego de internet móvel, monitorar redes sociais e rastrear usuários de celulares. "Todas as companhias envolvidas em interceptação legal estão tentando vender para o Oriente Médio", disse Simone Benvenuti, da RCS SpA, uma companhia italiana que vende centros de monitoramento e outras "soluções de interceptação", a maioria para governos. Ele não quis identificar nenhum cliente na região.
Em entrevistas em Dubai, executivos de várias empresas disseram que estavam cientes de que seus produtos poderiam ser usados por regimes autoritários, mas que eles não podiam controlar o uso depois da venda. "Esse é o dilema", disse Klaus Mochalski, cofundador da ipoque, uma empresa alemã especializada em inspeções "deep-packet", uma tecnologia poderosa que analisa o tráfego na internet. "É como uma faca. Você sempre pode cortar legumes, mas também pode matar seu vizinho."
Nenhum comentário:
Postar um comentário