Um grupo internacionalde jornalistas detalhou em julho novas evidências de que o software espião feito pela empresa israelense NSO Group foi utilizado contra ativistas, executivos, jornalistas e advogados em todo o mundo. Mesmo o iPhone da Apple, frequentemente elogiado por sua rígida segurança, não foi considerado “páreo” para o software de vigilância, levando o criptógrafo Matthew Green, da Universidade Johns Hopkins, a se preocupar que as revelações levaram alguns especialistas em hackers a cair em uma postura de “niilismo de segurança”.
O niilismo de segurança é a ideia de que os ataques digitais se tornaram tão sofisticados que não há nada a ser feito para impedir que eles aconteçam ou para diminuir o seu impacto. Mas esse tipo de conclusão seria um erro. Por um lado, ele dá aos hackers mal intencionados exatamente o que eles gostariam, que seus alvos parem de se defender. Também é um erro factual: você pode se defender contra o spyware do NSO — por exemplo, seguindo técnicas de segurança operacional, como não clicar em links desconhecidos, praticar a compartimentalização de dispositivos (como usar dispositivos separados para aplicativos diferentes), e ter uma rede privada virtual, ou VPN, em seus dispositivos móveis. Essas técnicas são eficazes contra toda sorte de ataques digitais e, portanto, úteis mesmo se o NSO Group estiver correto em suas alegações de que as supostas evidências contra a empresa não são válidas.
Pode até não haver segurança perfeita, como afirma um ditado clássico na área, mas isso não é desculpa para a passividade. Aqui, então, estão alguns passos práticos que você pode seguir para reduzir sua “superfície de ataque” e se proteger contra spywares como o do NSO.
As recentes revelações dizem respeito a um spyware específico da NSO, conhecido como Pegasus. Elas vêm após extensos estudos anteriores do software da empresa feitos por entidades como Citizen Lab, Amnesty International, Article 19, R3D, e SocialTIC. A seguir vai o que sabemos especificamente sobre o Pegasus.
Os recursos do software foram descritos no que parece ser um folheto promocional do NSO Group datado de 2014 ou anterior e disponibilizado quando o WikiLeaks publicou uma coleção valiosa de e-mails relacionados a uma empresa de spyware diferente, a Hacking Team, da Itália. A autenticidade do panfleto não pode ser confirmada, e o NSO disse que não fará mais comentários sobre o Pegasus. Mas o documento vende o Pegasus de forma agressiva, dizendo que ele fornece “acesso ilimitado aos dispositivos móveis do alvo” e permite que os clientes “coletem remota e secretamente informações sobre os relacionamentos, localização, ligações, planos e atividades de seu alvo — quando e onde quer que eles estejam”. A brochura também afirma que o Pegasus pode:
Apesar de todo o hype, porém, o Pegasus é apenas uma versão glorificada de um tipo antigo de malware conhecido como Cavalo de Troia de Acesso Remoto, ou RAT na sigla em inglês: um programa que concede a uma parte não autorizada o acesso total a um dispositivo-alvo. Em outras palavras, embora o Pegasus possa ser potente, a comunidade de segurança sabe bem como se defender contra esse tipo de ameaça.
Vejamos as diferentes maneiras como o Pegasus pode potencialmente infectar telefones — seus vários “vetores de instalação de agentes”, na própria linguagem do panfleto — e como se defender contra cada um.
Há inúmeros exemplos nos relatos de ataques do Pegasus de jornalistas e defensores dos direitos humanos que receberam mensagens de SMS e WhatsApp como isca, ordenando-os a clicar em links maliciosos. Os links baixam spyware que se aloja nos dispositivos por meio de falhas de segurança em navegadores e sistemas operacionais. Esse vetor de ataque é chamado Mensagem de Engenheiro Social Aprimorado, ou ESEM na sigla em inglês, no folheto que vazou. Ele afirma que “as chances de o alvo clicar no link são totalmente dependentes do nível de credibilidade do conteúdo. A solução Pegasus fornece uma ampla gama de ferramentas para compor uma mensagem personalizada e inocente para atrair o alvo a abrir a mensagem”.
‘As chances de o alvo clicar no link são totalmente dependentes do nível de credibilidade do conteúdo’.
Como o Comitê para Proteção de Jornalistas detalhou, as mensagens-isca do tipo ESEM vinculadas ao Pegasus se enquadram em várias categorias. Algumas afirmam ser de organizações conhecidas, como bancos, embaixadas, agências de notícias, ou serviços de entrega de encomendas. Outras se referem a questões pessoais, como trabalho ou suposta evidência de infidelidade, ou afirmam que o alvo está enfrentando algum risco de segurança imediato.
Ataques ESEM futuros podem usar tipos diferentes de mensagens como isca, por isso é importante tratar com cautela qualquer uma que tente convencê-lo a realizar uma ação digital. Alguns exemplos do que isso significa na prática:
Outra maneira pela qual o Pegasus infectou dispositivos em vários casos foi interceptando o tráfego de rede de um telefone usando o que é conhecido como ataque de intermediário, ou MITM na sigla em inglês. Nele, o Pegasus interceptou o tráfego de rede não criptografado, como solicitações HTTP da web, e o redirecionou para cargas maliciosa. Fazer isso envolvia enganar o telefone para que ele se conectasse a um dispositivo portátil que fingia ser uma torre de celular próxima ou obter acesso à operadora de celular do alvo (plausível se o alvo está em um regime repressivo onde o governo fornece os serviços de telecomunicações). Esse ataque funcionou mesmo se o telefone estivesse no modo apenas para dados móveis e não estivesse conectado ao wifi.
Quando Maati Monjib, cofundadora da ONG Freedom Now e da Associação Marroquina de Jornalismo Investigativo, abriu o navegador Safari de seu iPhone e digitou yahoo.fr, o Safari primeiro tentou acessar http://yahoo.fr. Normalmente, isso teria redirecionado para https://fr.yahoo.com, uma conexão criptografada. Mas, como a conexão de Monjib estava sendo interceptada, ela a redirecionou para um site malicioso de terceiros que, por fim, invadiu seu telefone.
‘Digitar apenas o domínio do website em um navegador abre espaço para ataques, porque o navegador vai tentar realizar uma conexão não criptografada ao site’.
Digitar apenas o domínio do site (como yahoo.fr) na barra de endereços do navegador sem especificar um protocolo (como https://) abre a possibilidade para ataques MITM, porque seu navegador, por padrão, vai tentar uma conexão HTTP não criptografada ao site. Normalmente, você chega ao site verdadeiro, que imediatamente o redireciona a uma conexão HTTPS segura. Mas, se alguém está rastreando para hackear seu dispositivo, a primeira conexão HTTP é uma abertura suficiente para sequestrar a conexão.
Alguns sites protegem contra isso usando um recurso de segurança complicado conhecido como HTTP Strict Transport Security, que evita que o navegador faça uma solicitação não criptografada para eles, mas você nem sempre pode contar com isso, mesmo para alguns sites que o implementam corretamente.
Essas são algumas coisas que podem ser feitas para prevenir esse tipo de ataques:
Se você usa um VPN, lembre-se que seu provedor de VPN tem a capacidade de espionar o tráfego da internet, por isso é importante escolher um confiável. O blog Wirecutter publica uma comparação completa e atualizada regularmente dos provedores de VPN com base em seu histórico de auditorias de segurança feitas por terceiros, suas políticas de privacidade e termos de uso, a segurança da tecnologia VPN utilizada e outros fatores.
Ao contrário das tentativas de infecção que exigem que o alvo execute alguma ação, como clicar em um link ou abrir um anexo, os exploits (no sentido de “explorar” uma vulnerabilidade do sistema) sem cliques recebem esse nome porque não exigem interação do alvo. Tudo o que é necessário é que a pessoa visada tenha um aplicativo ou sistema operacional vulnerável específico instalado. O relatório forense da Anistia Internacional sobre as evidências recentemente reveladas do Pegasus afirma que algumas infecções foram transmitidas através de ataques sem cliques, utilizando os aplicativos Apple Music e iMessage.
Esta não é a primeira vez que as ferramentas do NSO Group são vinculadas a ataques sem cliques. Uma queixa de 2017 contra o ex-presidente do Panamá, Ricardo Martinelli, afirma que jornalistas, figuras políticas, ativistas sindicais e líderes de associações civis foram alvos do Pegasus e notificações desonestas recebidas em seus dispositivos, enquanto em 2019 o WhatsApp e o Facebook registraram queixa alegando que o NSO Group desenvolveu um malware capaz de explorar uma vulnerabilidade sem cliques do WhatsApp.
Como as vulnerabilidades de clique zero, por definição, não precisam de nenhuma interação do usuário, elas são as mais difíceis de se defender. Mas os usuários podem reduzir suas chances de sucumbir ao reduzir o que é conhecido como “superfície de ataque” e praticando a compartimentalização de dispositivos. Reduzir a superfície de ataque significa simplesmente minimizar as possíveis formas de infecção do dispositivo. A compartimentalização de dispositivos significa espalhar seus dados e aplicativos em vários dispositivos.
Especificamente, os usuários podem:
Uma última maneira pela qual um invasor pode infectar seu telefone é interagindo fisicamente com ele. De acordo com o folheto, “quando o acesso físico ao dispositivo é uma opção, o agente Pegasus pode ser injetado manualmente e instalado em menos de cinco minutos” — embora não esteja claro se o telefone precisa ser desbloqueado ou se os invasores são capazes de infectar até mesmo um telefone protegido por PIN.
Parece não haver casos conhecidos de ataques do Pegasus lançados fisicamente, mas esses exploits podem ser difíceis de detectar e serem distinguidos dos ataques online. Algumas maneiras de mitigá-los:
Outras recomendações gerais:
Embora o Pegasus seja um spyware sofisticado, há passos tangíveis que você pode dar para minimizar a chance de seus dispositivos serem infectados. Não existe um método infalível para eliminar o risco por completo, mas certamente há coisas que você pode fazer para diminuir esse risco, e com certeza não há necessidade de recorrer à visão derrotista de que “não somos páreo” para o Pegasus.
Tradução: Maíra Santos