A anatomia de um spyware: por que o Pegasus afeta a todos nós

As autoridades de segurança já estavam de olho no Grupo NSO e em seu spyware Pegasus há algum tempo. Entretanto, em julho de 2021, ficou claro que a empresa israelense permite que os governos espionassem jornalistas, políticos e ativistas de direitos humanos. O software, que deveria ser usado para combater o terrorismo, tornou-se assim uma ferramenta de poder para governos totalitários.

Mas a maioria de nós não é ativista ou jornalista escrevendo reportagens sobre governos corruptos. No entanto, o CEO do WhatsApp, Will Cathcart, destacou que o perigo representado pelo Pegasus não está limitado às pessoas com o spyware no celular. Uma declaração com a qual muitos leitores do NextPit concordam.

Mas por que devo me preocupar se não sou jornalista investigativo, nem político, nem ativista dos direitos humanos? Para isso, falei com especialistas em segurança cibernética e descobri que o perigo do Pegasus não é apenas político ou mesmo simbólico.

Mas para entender o perigo real por trás do Pegasus, precisamos primeiro descobrir como o Grupo NSO e o próprio Pegasus funcionam. Afinal, nossos celulares são seguros, não?

Como funciona o Pegasus e o que o spyware pode fazer

O Pegasus é um trojan que foi descoberto por um ativista de direitos humanos em 2016, que percebeu como o spyware se infiltra em novos dispositivos. Ahmed Mansoor recebeu um SMS em 2016 que lhe prometia informações sobre violações dos direitos humanos, de acordo com o Citizen Lab. Para acessar esses dados, ele deveria abrir um link para um site que não conhecia.

Em vez de clicar no link, ele encaminhou o SMS aos pesquisadores do Citizen Lab. E eles foram capazes de relacionar este caso individual com casos anteriores que se referiam ao mesmo endereço do site. Assim, como nos e-mails de phishing, o Grupo NSO distribui seu spyware através de mensagens SMS. A vantagem aqui é que tudo o que você precisa é o número de telefone do alvo e uma isca válida.

A visita ao site, que Ahmed Mansoor evitou em 2016, teria então desencadeado uma série dos chamados "ZETAs". Isto se refere a ataques a falhas de dia-zero — ataques que visam uma falha de segurança ainda desconhecida. A rigor, os ataques de dia-zero descrevem vulnerabilidades que são exploradas no dia em que são descobertas. Entretanto, como descobriremos mais tarde, as falhas utilizadas pelo Pegasus permaneceram vulneráveis por um período de tempo mais longo.

Em 2016, o Pegasus explorou nada menos do que três bugs de dia-zero (confira os detalhes exatos nas fontes) que no final das contas permitiam fazer um jailbreak. No iOS, o jailbreak concede acesso irrestrito à maioria das funções de um iPhone ou iPad. Este "jailbreak escondido" dificilmente poderia ser detectado pelo usuário. Somente o navegador.

Dica em vídeo: os iPhones estão desprotegidos com o Pegasus?

A instalação do Pegasus tinha uma consequência bastante inteligente: o spyware desativa as atualizações automáticas do iOS. Isto significa que uma atualização não poderia mais fechar as brechas de segurança exploradas — o dispositivo comprometido permanecia vulnerável.

Isto era seguido pela criação de uma conexão criptografada a um servidor do Grupo NSO — e ativando um mecanismo de autodestruição para evitar o rastreamento.

Neste ponto, é importante mencionar que, nos casos conhecidos, não somente os dispositivos iOS foram afetados. Celulares Android também podiam ser comprometidos pela Pegasus — em vez de um jailbreak, o acesso root era liberado usando bugs de dia-zero. O que é mais importante, no entanto, é a grande variedade de dados que podem ser lidos com o Pegasus.

O Pegasus pode ler estes dados do celular invadido

Se você sabe um pouco sobre o iOS e Android, os termos "root" e "jailbreak" provavelmente causaram uma pequena indignação. Já que, a princípio, quase nenhuma falha permanece fechada para um invasor. O que oferece a você recursos bem legais não é nada bem-vindo nas mãos de um hacker.

• Relacionado: Atualize seu iPhone para iOS 14.7.1 agora e corrija falha grave de segurança

Porque além de gravar conversas, copiar a agenda de contatos e acessar documentos e fotos, o que mais foi manchete em 2021 com o Pegasus foi a espionagem de mensageiros como o WhatsApp, Telegram, Signal e cia. Mesmo recursos de proteção como a criptografia de ponta a ponta não adiantam muito se os invasores podem puxar os dados do celular usando direitos de administrador.

Em poucas palavras: se o Pegasus se instalou no celular, você está encurralado. Isto é especialmente crítico se a agenda contém informações sobre informantes secretos, denunciantes ou outras pessoas importantes — ou se eles lhe enviaram informações importantes ou confidenciais.

Mas a presença de um spyware como o Pegasus tem outras consequências que são muito menos óbvias.

É por isso que o Pegasus realmente afeta a "todos nós"

Dificilmente algum de nós é um alvo direto do Pegasus. Como jornalista de tecnologia, sou completamente desinteressante para o governo do Azerbaijão, e isto se deve a um fator além da minha irrelevância: o Pegasus é muito caro. Portanto, o software não é adequado para a vigilância em massa de populações inteiras.

Mas empresas como o NSO Group são capazes de atrair governos como sua base de clientes, colocando pessoas muito poderosas em um campo de atuação que de outra forma seria dominado por cibercriminosos, empresas de segurança e desenvolvedores.

Destaco abaixo dois pontos que surgiram na conversa com dois especialistas em segurança como tendo implicações para todos os usuários de Internet e celulares. Como o NextPit é um site de tecnologia, não entrei na questão política, bastante discutida desde as revelações de julho. Contudo, se você estiver interessado, sugiro ler o guia da BBC Brasil.

O mercado de bugs de segurança oferece grandes perigos

Governos e Estados não têm apenas um interesse muito grande em certas informações. Eles também têm muito dinheiro. De acordo com a empresa de segurança Lookout, um alvo no menu de vigilância do Pegasus custa em média 25 mil dólares (cerca de R$ 130 mil). Em um caso, o Grupo NSO chegou a vender 300 licenças por 8 milhões de dólares (R$ 41,5 milhões).

Assim, a empresa tem um orçamento de milhões à sua disposição para comprar os bugs de dia-zero já mencionados no mercado clandestino. Segundo Bodgan "Bob" Botezatu, Diretor de Pesquisa de Ameaças da Bitdefender, o nome dessa prática é "exploit-brokering" (algo como mercado de falhas de segurança). E empresas como o NSO Group estão causando vários problemas.

Por um lado, a compra reduz a probabilidade de que uma empresa de segurança ou mesmo seu próprio desenvolvedor obtenha informações sobre vulnerabilidades críticas. Afinal de contas, nem sempre é a ética que pauta os hackers e os descobridores de tais falhas de segurança, afirmou Bob.

Por outro lado, empresas como o Grupo NSO se beneficiam de manter as vulnerabilidades abertas o máximo de tempo possível. Afinal de contas, eles querem explorar as brechas de segurança. E mesmo que o Grupo NSO não torne as falhas públicas, as vulnerabilidades permanecem abertas. Isto significa que elas não apenas permanecem exploráveis, mas também disponíveis para outros hackers e ataques - um grande risco de segurança.

Portanto, embora o Grupo NSO não esteja visando um grande número de usuários com sua base de clientes, certamente há empresas e hackers que estão fazendo exatamente isso. Um exemplo, Bob aponta graficamente, foi a revelação de uma vulnerabilidade crítica no protocolo SMB - um protocolo para compartilhar arquivos de rede.

Uma subdivisão da Agência Nacional de Segurança (NSA) dos Estados Unidos havia usado esta vulnerabilidade durante cinco anos para monitorar certos indivíduos. A brecha, conhecida como "EternalBlue", foi eventualmente roubada por um grupo chamado "The Shadow Brokers" e publicada em partes da rede. A NSA foi forçada a relatar a falha de segurança à Microsoft.

Ser inocente não significa nunca estar sob suspeita

Bob levantou uma segunda questão que achei muito interessante em relação ao Pegasus. Como comentou um leitor em minha pesquisa sobre o spyware, quando se trata de proteção de dados, muitas vezes se ouve o argumento: pode me espionar à vontade, eu não tenho nada a esconder. No entanto, esta atitude é bastante perigosa.

Talvez você só tenha que estar no famoso "lugar errado na hora errada" em uma viagem para ser um alvo potencial para o software de espionagem. E mesmo que não haja informações críticas em seu celular, o Pegasus não muda as fechaduras das portas que teve que abrir durante o ataque. Por isso Bob adverte: "se o seu celular passou pelo root ou jailbreak, ele permanecerá assim".

Assim, juntamente com a interrupção das atualizações de software, seu celular fica desprotegido após um ataque de spyware. É verdade, os governos podem querer apenas procurar por informações secretas que não podem encontrar sobre você. Mas a porta também está aberta para criminosos cibernéticos que querem seus dados bancários e senhas.

Portanto, mesmo que você não se veja como um alvo do Pegasus, é importante se proteger contra esse e outros spywares.

Como se proteger contra o Pegasus e companhia

Depois de todo esse cenário pessimista, Filip Chytry diz que as coisas podem ser ainda piores. O especialista em segurança adverte: a polêmica na imprensa sobre o Pegasus se deve em grande parte porque envolve personalidades políticas e pessoas famosas estão ligadas a ela.

Os sites de notícias publicaram em 20 de julho de 2021 que até mesmo políticos relevantes como o francês Emmanuel Macron ou o presidente iraquiano Barham Salih foram espionados com a ajuda do Pegasus. Os números de telefone dos amigos do jornalista assassinado Jamal Khashoggi também foram encontrados nas listas do Grupo NSO.

Ou seja: o Pegasus está nas manchetes dos principais jornais e revistas porque é uma boa história. Mas é apenas a ponta de um iceberg que inclui muitas outras empresas com um modelo de negócios semelhante. Sobre isso, Filip citou como exemplo o software alemão FinFisher (saiba mais sobre o FinFisher no site da DW Brasil).

Os problemas que abordei neste artigo, que ambos os especialistas em segurança mencionaram independentemente na conversa, apontam para um problema sistêmico. Portanto, lidar com sua própria proteção de dados é, mais uma vez, mais importante do que nunca.

• Qual fabricante Android atualiza seus celulares por mais tempo?

Descobrir se o Pegasus está instalado em seu celular não é uma tarefa muito fácil, mas os dois especialistas em segurança nos deram uma dica realmente simples: mantenha atualizados o seu smartphone e os aplicativos instalados.

Adiar atualizações é uma má ideia exatamente por esta razão. Mas, de acordo com uma das nossas recentes enquetes, poucos de vocês fazem isso no final das contas. Preparei uma pequena lista de verificação com base nas outras dicas de Bob Botezatu e Filip Chytry:

Lista de verificação de segurança: como se proteger contra spywares

1. Instale as atualizações assim que estiverem disponíveis;
2. Ative as atualizações automáticas dos aplicativos;
3. Verifique regularmente por atualizações das versões de apps instalados via APK;
4. Antes de viajar para o exterior: verifique ainda em casa se há uma nova atualização de segurança - se você estiver viajando para um país onde está preocupado com a espionagem, obtenha um segundo celular barato que você pode jogar fora depois;
5. Nunca abra links de fontes nas quais você não confia.

A dica de Bob para conseguir um "celular descartável" (burner phone) parece algo saído de um filme de Hollywood. Mas considerando as consequências de spywares como o Pegasus para a segurança futura de seu smartphone, este conselho não é tão absurdo. Além disso, a instalação de softwares de segurança pode proteger o seu smartphone.

• Estes são os melhores celulares Android por menos de R$ 1.000

De acordo com Bob, muitas soluções de segurança — incluindo a de seu empregador Bitdefender — utilizam inteligência artificial para detectar anomalias no tráfego de dados e no comportamento de certos apps. Mesmo que um novo spyware ainda não seja conhecido e, portanto, suas características ainda não estejam nos bancos de dados das empresas de segurança, você pode receber um aviso e se proteger.

Conclusão: colocar muitos em perigo para proteger muitos?

A existência de spywares como o Pegasus, também chamado de "Trojan governamental", aponta para uma contradição na segurança cibernética. Já que para monitorar a comunicação de certas pessoas, a segurança de inúmeros smartphones e PCs é posta em risco.

Não há apenas consequências diretas, como o perigo de pegar um trojan no celular pessoal. São muito mais as consequências indiretas, como as brechas de segurança que ficam abertas por maistempo, que afetam cada um de nós. Alimentar um mercado no qual falhas de segurança zero-day são vendidas para desenvolvedores de spyware cria mais insegurança no uso de sistemas operacionais e aplicativos.

O Pegasus é um caso extremo aqui, pois a espionagem serviu não apenas para "proteger a democracia", mas para auxiliar regimes autoritários, de modo que o argumento de que não se tem nada a esconder como um "cidadão inocente" em um país democrático, ou que o Pegasus é tão caro que apenas pessoas realmente relevantes são espionadas não conta.

"O Pegasus afeta a todos nós" — mesmo que não em sua forma direta, pelo menos no impacto que o spyware e a exploração comercial das falhas que ele aproveita tem sobre a segurança cibernética como um todo.

---

Fontes

• WhatsApp-chef über Pegasus: "Das betrifft uns alle" - Frankfurter Allgemeine Zeitung
• The Million Dollar Dissident NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender – Citizenlab
• Technical Analysis of Pegasus – Lookout (PDF)
• Revealed: leak uncovers global abuse of cyber-surveillance weapon – The Guardian
• Zero-Day-Exploits: CVE-2016-4657, CVE-2016-4655, CVE-2016-4656
• Pegasus: Android-Version des raffinierten Staatstrojaners aufgetaucht – Heise.de
• Übersicht der Artikel über das Pegasus-Projekt – Süddeutsche Zeitung
• What is EternalBlue? – Avast.com
• Durchsuchungen: Finfisher soll unerlaubt Staatstrojaner exportiert haben – T3N
• Frankreichs Präsident Macron im Visier der Spione – Zeit Online
• Crédito da imagem: Shutterstock