O DEA Vem Comprando Material Hacker de Uma Empresa Italiana Na Surdina
​Crédito: Associated Press

FYI.

This story is over 5 years old.

Tecnologia

O DEA Vem Comprando Material Hacker de Uma Empresa Italiana Na Surdina

Documentos revelam que a Drug Enforcement Administration e o Exército dos EUA tem comprado spywares da Hacking Team através de um revendedor.

​O DEA, órgão norte-americano responsável pelo combate ao tráfico de drogas tem comprado spywares criados pela controversa empresa de tecnologia e vigilância italiana Hacking ​Team desde 2012, de acordo com informações apuradas pelo Motherboard.

O software, conhecido como Remote Control System ou "RCS", é capaz de interceptar ligações telefônicas, mensagens de texto, mensagens em redes sociais, sendo capaz ainda de ligar a webcam e microfone de determinado usuário clandestinamente, bem como coletar senhas.

Publicidade

O DEA fez um pedido de compra do programa em agosto de 2012, de acordo com registros of​iciais e fontes que sabiam da transação.

O contrato, que não havia sido revelado previamente, mostra que o FBI não é a única agência governamental dos EUA envolvida com táticas ha​ckers, e que o DEA vinha comprando esse tipo de malware que poderia ser usado para espiar suspeitos.

Esta revelação surge uma semana após o USA Today ter desc​oberto um programa secreto do DEA que registrou ligações telefônicas de milhões de americanos durante mais de 20 anos, que inspirou o próprio programa da NSA (Agência de Segurança Nacional) de registros telefônicos, sugerindo que o DEA é uma espécie de pion​eiro no campo da vigilância.

Especialistas em segurança dizem que a relação do DEA com o Hacking Team evidencia ainda mais os métodos e ferramentas que já foram de uso exclusivo dos militares, agências de inteligência e até mesmo ciber-criminosos – tais como drones e StingRays – estão se tornando lugar-comum na atuação das autoridades também.

"Software de hackeamento é outro exemplo de tecnologia criada para a comunidade ligada à inteligência que acabou, discretamente, fazendo parte da rotina das autoridades"

"Software de hackeamento é outro exemplo de tecnologia criada para a comunidade ligada à inteligência que acabou, discretamente, fazendo parte da rotina das autoridades" declarou Christopher Soghoian, diretor tecnólogo da American Civil Liberties U​nion e especialista em tecnologia de vigilância.

Publicidade

E levando em conta quão poderosos podem ser tais spywares, Soghoian adicionou, "precisamos discutir publicamente esta tecnologia invasiva".

O RASTRO

O contrato, de acordo com registros públicos, foi assinado em 20 de agosto de 2012 no valor total de 2,4 milhões de dólares entre o Setor de Tecnologia Investigativa do DEA e um fornecedor do governo chamado Cicom USA.

Os registros foram trazidos à tona pelo Motherboard e pelo Privacy ​International, um grupo de direito digital com sede em Londres, em investigações independentes.

O contrato, que de acordo com os registros, deve ser concluído em agosto de 2015, é identificado apenas como "Sistema de Interceptação por Controle Remoto Baseado no Host"

Esse sistema, de acordo com fontes, não é nada mais nada menos que o Remote Control System do Hacking Team, também conhecido como Galileo, que a própria empresa vend​e como "o conjunto de soluções de invasão para intercepção governamental".

"Você não pode impedir que seus alvos se movam. Como você os perseguirá? O que você precisa é de um jeito de burlar a criptografia, coletar dados relevantes de qualquer dispositivo e monitorar seus alvos onde quer que estejam, mesmo fora do seu domínio. O Remote Control System faz exatamente isso", gaba-se o material de ​divulgação da empresa.

A Cicom USA, de acordo com o que descobrimos, era apenas uma revendedora do Hacking Team, uma fabricante de spywares acusada de vender seus produtos para alguns go​vernos com registros questionáveis quanto aos direitos humanos. Alguns destes governos, tais como o da Etió​pia, Emirados Árab​es Unidos, ou Marroc​os, usaram software da Hacking Team tendo como alvo dissidentes e jornalistas.

Publicidade

À luz destes incidentes, revelados por pesquisadores do Citizen Lab na Escola Munk de Assuntos Globais da Universidade de Toronto, a empresa foi incluída em uma lista negr​a​ de "Inimigos da Internet" corporativos da ONG Repórteres Sem Fronteiras.

Apesar da especulação baseada no fato de que a Hacking Team tem um escritório nos EUA, não existem evidências de que a empresa tenha vendido seus produtos em solo norte-americano, embora seu CEO David Vincenzetti tenha se gabado de ter clientes em mais de 40 países, incluindo os EUA, em uma entrevista de 2011 concedida para a revista italiana L'Espr​esso.

Esta ligação entre a Cicom Usa e Hacking Team foi confirmada pelo Motherboard junto à várias fontes com conhecimento da transação, que falaram conosco anonimamente pois não tinham autorização para discutir o conteúdo do contrato.

Eric Rabe, porta-voz da Hacking Team, não negou nem confirmou a existência de contrato com o DEA.

"Não divulgamos a identidade de nossos clientes. Com certeza não comentarei se o DEA ou seja quem for adquiriu software da Hacking Team."

"Não divulgamos a identidade de nossos clientes. Com certeza não comentarei se o DEA ou seja quem for adquiriu software da Hacking Team", disse ao Motherboard em entrevista telefônica. E pelo mesmo motivo, adicionou, se negou a esclarecer a relação entre Hacking Team e Cicom USA.

Alex Velasco, gerente geral da Cicom USA, não respondeu às nossas tentativas de contato.

Publicidade

Mas a ligação entre as duas empresas é clara. A Cicom USA tem sede em Annapolis, Maryland, no mesmo endereço do escritório da Hacking Team, de acordo com o próprio sit​e da empresa. O telefone da Cicom USA citado no contrato com o DEA, além do que, é o mesmo ex​ibido no site da Hacking Team até fevereiro deste ano.

Ao ser questionado se isto era coincidência, Rabe riu.

"Não sei porque isso seria uma coincidência", disse, mas negou-se a falar mais.

Não está claro o que o DEA tem feito com o malware adquirido da Hacking Team. Mas a relação entre a agência e a Cicom USA – e por consequência, Hacking Team – parece seguir em frente. O registro público mais recente mostra um pagamento do DEA feito a Cicom USA em setembro de 2014.

O porta-voz do DEA não respondeu a uma série de questionamentos específicos sobre o contrato e como esta tecnologia está sendo utilizada. Thomas L. Walden, chefe do Setor de Tecnologia Investigativa do DEA também não respondeu aos nossos contatos.

O RCS da Hacking Team pode ser instalado discretamente no computador ou celular do alvo em questão, assim passando a monitorar todas suas atividades, permitindo que policiais obtenham dados que de outra forma seriam criptografados ou estariam fora de seu alcance.

Programas como estes não são vendidos apenas pela Hacking Team. A empresa italiana é só mais uma em um crescente gr​upo de empresas de tecnologia em vigilância que vendem seus produtos exclusivamente para governos, polícia e agências de inteligência, como a francesa VUP​EN, ou a alemã Fin​Fisher e sua controladora Gamma International.

Publicidade

Este era exatamente o tipo de software que o DEA buscava, de acordo com edital ou "Pedido de Informações" publicado pela agência em março de 2012.

"O DEA está em busca de informações de possíveis fornecedores com produtos funcionais e operacionais capazes de fornecerem um Sistema de Interceptação por Controle Remoto Baseado no Host para determinado dispositivo ou coleta específica de informações de alvo em conformidade com o uso autorizado por parte das autoridades", co​nsta no documento.

Cerca de um mês depois, em 4 de maio de 2012, o DEA pôs as mãos naquilo que queria. Em outro documento, a agência anunc​iava que iria "solicitar e negociar" um contrato com a Cicom USA pelo decorrer de, no mínimo, quatro anos.

A Cicom USA, de acordo com o DEA, surgiu como a única empresa capaz de fornecer o serviço solicitado, com base em pesquisas de mercado conduzidas internamente pela agência. O DEA não respondeu aos questionamentos feitos sobre esta pesquisa.

É possível que a DEA tenha escolhido a Cicom USA porque o Exército norte-americano havia feito o mesmo um ano antes. De acordo com registros oficiais, o Exército fez um pedido do Remote Control System em março de 2012. O pedido mostra que o Exército pagaria 350.000 dólares pelo programa, e confirma a relação da Cicom USA com a Hacking Team, tendo em vista que a Itália é citada como país de origem do produto. (O Exército não respondeu aos nossos questionamentos quanto ao contrato.)

Publicidade

É LÍCITO QUE AS AUTORIDADES HACKEIEM SEUS ALVOS?

Para especialistas em vigilância, a grande pergunta é se o DEA tem autoridade legal para usar spywares como o do Hacking Team – e como este é usado exatamente. Um porta-voz do DEA afirmou que a agência "sempre cumpre as leis das jurisdições em que opera", mas adicionou aqui "porém, neste caso, esta é tecnologia disponível para compra por qualquer pessoa e usada no mundo todo por diversas organizações".

Mas os especialistas não se convencem só com isso.

"A estrutura legal que rege o uso de tais ferramentas nos EUA não é nada clara, ou seja, o uso do spyware da Hacking Team é potencialmente ilícito", disse ao Motherboard Edin Omanovic, pesquisador da Privacy International.

"O uso do spyware da Hacking Team é potencialmente ilícito"

O FBI é a única outra agência norte-americana da qual há relatos de uso de malware. O órgão tem usado estes programas desde 2001 quando o spyware do FBI, Magic Lantern, foi rev​e​lado. Mas a autoridade exata, bem como o processo empregado pelos agentes do FBI para obter autorização, ainda não é algo claro, e poucos casos em que o FBI de fato utilizou estes malwares vieram à tona.

Em 2011, emails internos obtidos pela Electronic Frontier Foundation mo​str​aram que no passado, agentes do FBI consideraram usar um malware conhecido como "Computer and Internet Protocol Address Verifier" (CIPAV) sem obtenção de mandado, ou em outros casos, omitiu detalhes essenciais sobre que tecnologia seria utilizada para aumentar as chances de um juiz conceder ao pedido.

Publicidade

De qualquer forma, a agência, após consultar o Conselho Geral e a Segurança Nacional finalmente pareceu te​r optado por um processo "em dois passos": a obtenção de um mandado que autorizaria o uso do software no computador do alvo em questão, e um pedido subsequente para autorizar a vigilância de fato.

Em 2013, um juiz do Texas impediu o FBI de usar malware, rejei​tando o pedido da agência porque era vaga demais e não especificava como os agentes instalariam o software.

Soghoian, o especialista em vigilância da ACLU, disse que tendo em mente a natureza desta tecnologia, e o fato de que o "Congresso e tribunais não receberam informações" sobre ela, os norte-americanos deveriam saber quando e como os federais estão usando este spyware.

"Se as autoridades podem invadir seu computador, ligar sua webcam, ligar seu microfone e roubar documentos do seu computador, esse é o tipo de coisa que deveria chamar a atenção do Congresso."

"Os tribunais não sabem como estas agências colocarão o malware nos computadores dos alvos", disse Soghoian. "De forma semelhante, as agências não discutiram o uso desta técnica em nenhuma audiência pública do Congresso."

"O povo norte-americano merece algumas respostas e penso que o Congresso deveria investigar isso", disse Soghoian.

Omanovic, da Privacy International, comentou ainda que os EUA precisam atualizar o quadro jurídico quanto às práticas de hackeamento e uso de spyware por estas agências e estabelecer "mecanismos eficazes de supervisão".

A Privacy International também divulgou um do​ssiê sobre a Hacking Team na quarta-feira passada, pedindo às autoridades italianas que investiguem a empresa e suas práticas à luz do controle europeu sobre a exportação de tecnologia de vigilância. (Rabe disse que a empresa "está agindo conforme todas as leis de exportação".)

Alguns especialistas legais, porém, argumentam que não há nada de ilegal no uso de spyware. Por mais que não haja legislação específica sobre hackeamento, Jonathan Mayer, cientista da computação e advogado da Universidade de Stanford, disse que as autoridades estão "amplamente autorizadas" a conduzir buscas nos EUA, incluindo o uso de técnicas de hackeamento.

"Eles não precisam de nenhuma permissão legislativa especial de alguma outra autoridade antes de poderem hackear algo", disse Mayer ao Motherboard, adicionado ainda que um mandado de busca apoiado em possível causa e descrevendo em particular o que os agentes buscam é tudo que precisam.

Mas para os críticos como Soghoian ou a Privacy International, deveria haver maior transparência e um debate público.

"Se as autoridades podem invadir seu computador, ligar sua webcam, ligar seu microfone e roubar documentos do seu computador, disse Soghoian, "esse é o tipo de coisa que deveria chamar a atenção do Congresso, especialmente antes que isso caia nas mãos de autoridades locais".

Tradução: Thiago "Índio" Silva