Monday, 25 de November de 2024 ISSN 1519-7670 - Ano 24 - nº 1315

Quem lucra com a espionagem digital

As revelações de que a presidenta Dilma Rousseff tornou-se um alvo direto da vigilância da NSA, a Agência Nacional de Segurança dos Estados Unidos, acenderam um alerta de emergência no alto escalão do governo. Documentos vazados por Edward Snowden, ex-analista da CIA (Agência Central de Inteligência), mostram que a espionagem tem como foco números de telefone e e-mails, além do rastreamento do IPs por meio de softwares como o “DNI selectors”, capazes de fazer uma varredura por todos os dados de navegação de um usuário na internet, incluindo seus e-mails.

Mesmo depois de o vazamento de documentos secretos da NSA jogar luz sobre a espionagem massiva realizada pela agência de segurança norte-americana, continuam nas sombras as empresas que fabricam e vendem essas tecnologias de vigilância e fazem lobby para o seu uso. Não há nenhuma estimativa que mostre o tamanho desse mercado. Sabe-se que apenas a área de spyware – um software-espião instalado sorrateiramente no computador – movimenta US$ 5 bilhões, e tem potencial para crescer cerca de 20% ao ano.

Segundo levantamento do jornal The Washington Post, o “black budget”, o orçamento destinado aos serviços de inteligência do governo dos Estados Unidos, soma US$ 52,6 bilhões ao ano – mais de 68% disso vai para a CIA, a NSA e o NRO (Escritório Nacional de Reconhecimento, órgão responsável por desenvolver, construir e operar satélites de reconhecimento). O valor reservado para as áreas de inteligência e vigilância dobrou em relação a 2001. A maior parcela de gastos é com coleta, exploração e análise de dados. Apenas a CIA tem um gasto previsto de US$ 11,5 bilhões para coleta de dados em 2013.

Quem lucra com tanta vigilância

Mas quem são as empresas que fabricam e vendem a tecnologia que permite tamanha vigilância digital e fazem lobby para o seu uso? Algumas informações vêm à luz hoje, com a nova publicação do WikiLeaks, uma continuação do “Spy Files”, publicado em 2011.

São 249 documentos de 92 empresas de vigilância, entre brochuras, contratos e metadados referentes a algumas das principais empresas do ramo. “A publicação Spy Files 3 faz parte do nosso compromisso contínuo de jogar luz nessa indústria obscura de vigilância. E a base de dados do Spy Files continuará a crescer, tornado-se um recurso para jornalistas e cidadãos, detalhando as condições orwellianas sob as quais levamos nossas vidas supostamente privadas”, diz Julian Assange. Além da Agência Pública, outro 18 veículos internacionais são parceiros na publicação, incluindo Pagina 12, da Argentina, La Jornada, no México, e o canal RT, da Rússia.

Os documentos mostram, por exemplo, que empresas como Glimmerglass e Net Optics oferecem tecnologia para “grampear” o tráfego de dados em cabos ultramarinos de fibra ótica. Outras empresas fornecem equipamentos sofisticados de gravação e reconhecimento de voz, além de softwares que analisam diversas gravações ao mesmo tempo; outras permitem analisar diversos materiais (vídeos, fotos, gravações) simultaneamente. Há ainda empresas que se especializam em descobrir falhas em sistemas operacionais e vendem essas “dicas” a governos – eles podem, com essa informação, hackear um computador “alvo”. Outras empresas vendem tecnologias que permitem monitorar a atividade online de ativistas e manifestantes.

Muitas delas vendem tecnologia para diversos órgãos do governo americano, como a Cyveillance, pertencente à empresa QinetiQ, usada pelo Serviço Secreto dos Estados Unidos para monitorar a rede 24 horas por dia. E muitas já têm forte presença no Brasil, seja vendendo tecnologia e serviços para empresas como Vale e Petrobras, seja abocanhando contratos de vigilância para a Copa do Mundo e a Olimpíada. Por conta dos megaeventos – e das manifestações de junho – o Brasil tem se tornado um mercado prioritário para essas empresas de vigilância.

Uma indústria nas sombras

“Confidencialidade é essencial para o negócio de segurança”, diz o site da empresa alemã Elaman, uma subsidiária do grupo Gamma Group, um dos mais famosos grupos que vendem tecnologias para vigilância digital na rede. Famoso não por iniciativa própria, mas por ter se envolvido em diversos escândalos recentes, o Gamma está sendo investigado pela OCDE (Organização para a Cooperação e Desenvolvimento Econômico) por ter tido alguns dos seus softwares espiões usados contra ativistas no Bahrein.

Seu principal produto, o software-espião FinFisher, infecta computadores para capturar informações, enviadas a uma central interceptadora. Pesquisadores da Universidade de Toronto descobriram servidores de monitoramento do FinFisher em 36 países – incluindo Turquia, Paquistão, Panamá, Etiópia, Malásia, Qatar e Vietnã. Também encontraram o spyware “disfarçado” do navegador Mozilla Firefox, uma isca para levar “alvos” a fazer o download em seus computadores. ( Veja o mapa)

O diretor da Gamma – que tem sedes na Alemanha e na Inglaterra –, Martin J. Muench, reafirmou que a empresa coopera com as regulações dos dois países e que o produto teria sido roubado durante uma apresentação. Segundo o executivo, uma cópia do software foi feita no evento e, depois, o spyware foi modificado e usado em outras partes do mundo. O vazamento do WikiLeaks, porém, mostra que os executivos da Gamma teriam viajado recentemente para países com governos autoritários, como Guiné Equatorial, Turcomenistão, Malásia, Egito e Qatar. Contratos indicam ainda que a empresa negociou o fornecimento de componentes de software e hardware para Omã, num projeto que seria chamado de “sistema de monitoramento para i-proxy”, em parceria com a empresa alemã Dreamlab. A mesma Dreamlab chegou a negociar um sistema de monitoramento semelhante com o Turcomenistão.

Outras empresas de peso do setor também fornecem software para governos repressivos pelo mundo, como mostra um mapa desenvolvido pela agência de notícias Bloomberg em 2010. Mais de dois anos depois, o vazamento do WikiLeaks mostra que executivos dessas empresas continuam a visitar países do Oriente Médio, incluindo Emirados Árabes, Líbano, Qatar e Kuait.

“A indústria de vigilância caminha de mãos dadas com governos de todo o mundo para permitir a espionagem ilegítima dos seus cidadãos. Com pouca fiscalização e nenhuma regulação, essa ampla rede de espionagem envolve a todos nós contra a nossa vontade e, geralmente, sem o nosso conhecimento”, explica Assange.

Quem é quem

Glimmerglass e Net Optics oferecem tecnologias para “grampear” tráfego de conexões de até 10 Gbps. A Glimmerglass é uma empresa privada financiada por investidores, localizada no Vale do Silício, nos Estados Unidos. A principal tecnologia que a empresa americana oferece, o CyberSweep (algo como “cibervarredura” em português), serve para interceptar o sinal em cabos de fibra ótica. Com isso, é capaz de selecionar, extrair e monitorar todo e qualquer tipo de dado que trafega pelos cabos, como vídeo, áudio e ligações de celular e telefone fixo, entre outros. Também consegue fazer a sondagem de conteúdo do Gmail, Yahoo!, Facebook e Twitter. Esse tipo de tecnologia é usado por agências nacionais de segurança nacional. A GlimmerGlass alega que os serviços de inteligência dos Estados Unidos utilizam os produtos da empresa há pelo menos cinco anos, mas não revela nem quais deles foram adquiridos nem como são usados.

Já a Net Optics, também localizada no Vale do Silício, oferece um programa de monitoramento chamado Spyke, que tem a capacidade de monitorar uma rede por completo, indo dos registros de ligações à análise de tráfego de informação em tempo real. A empresa tem mais de 7.500 organizações como clientes, inclusive 85 das 100 empresas mais ricas do ranking da revista Fortune – como a própria Net Optics destaca em seu texto institucional.

Mas o setor das empresas de vigilância e segurança digital não se resume à interceptação de dados. A Agnitio, uma empresa privada espanhola, é líder em fornecer programas de leitura biométrica de voz a setores de diversos governos e empresas ao redor do mundo, em mais de 35 países. A tecnologia da Agnitio pode reconhecer a voz de um suspeito em tempo real, rastreando milhões de ligações e sem deixar rastros do grampo. Outra que atua na área da biometria é a Human Recognition Systems. A empresa oferece uma variedade de tipos de reconhecimento biométrico que vão desde a análise de padrões (íris, tamanho dos membros do corpo, etc) até a análise de comportamento e de padrão de veias humanas.

Outro exemplo é a Vupen, que identifica falhas em sistemas de segurança de internet e revende essas informações para governos e grandes corporações. Como diz o próprio CEO da empresa, Chaouki Bekrar, em livreto de propaganda , as “agências policiais precisam da mais avançada pesquisa de intrusão em TI e das ferramentas de ataque mais confiáveis para secretamente e remotamente acessarem sistemas de computador. Usar vulnerabilidades de software anteriormente desconhecidas poderia ajudar os investigadores a alcançar essa tarefa com êxito”.

Algumas dessas empresas também possuem escritórios ou estão presentes no Brasil por meio de parceiras. Das que aparecem nos documentos vazados pelo WikiLeaks, 16 têm ligação com o Brasil. Dentre essas, nove têm escritórios subsidiários aqui.

É o caso da Autonomy, que em 2011 foi comprada pela gigante HP, e que, em 2010, vendeu seu programa de análise de dados IDOL para o Banco do Brasil . O IDOL monitora e rastreia vários tipos de informação coletados por uma empresa ou governo. Ao buscar uma palavra-chave, o sistema irá rastrear registros de reconhecimento facial, gravações de áudio e vídeo, todos os tipos de dados disponíveis e até a análise comportamental para produzir um monitoramento unificado.

Outras empresas, como o i2 Group, comprado por outra gigante, a IBM, possui empresas brasileiras parceiras que mediam a contratação de tecnologias. Através da Tempo Real Group, a empresa fechou contratos com a Controladoria-Geral da União, o Ministério Público Federal e organizações de segurança, como a Secretaria de Segurança Pública de São Paulo. A empresa desenvolve softwares de coleta e análise de informações.

Contra manifestações

A Cyveillance, uma subsidiária da empresa americana QinetiQ, especializa-se em monitoramento 24 horas da internet e, segundo ela mesma define em sua brochura, análises de inteligência sofisticadas para “identificar e eliminar ameaças a informações, infraestruturas e indivíduos, permitindo aos nossos clientes preservar a sua reputação, receita e a confiança dos clientes”. A empresa afirma servir a maioria das empresas mais ricas do mundo “e mais de 30 milhões de consumidores através de sua parceria com provedores que incluem AOL e Microsoft”.

A brochura da empresa, vazada pelo WikiLeaks, mostra bem o uso dessa tecnologia: uma foto traz manifestantes portando bandeiras num protesto. O texto explica: “Protestos, boicotes e ameaças contra seus empregados, oficinas e escritórios causam caos na sua organização”. Por meio de monitoramento 24 horas por dia, sete dias por semana, a empresa afirma que resolver ameaças requer incorporar inteligência à segurança. A Cyveillance garante que tem pessoas, processos e tecnologias para prover inteligência sobre as atividades relacionadas a uma empresa. “É a linha de defesa mais efetiva para dar segurança às suas operações, permitindo que você aja antes que um evento ocorra”. Também garante monitoramento contra vazamentos.

A tecnologia da Cyveillance é amplamente utilizada pelo Departamento de Segurança Interna do governo americano. Tanto que, em dezembro de 2012, o órgão publicou um relatório sobre as ameaças do uso dessa tecnologia em cidadãos americanos. “Embora o propósito inicial da Cyveillance não seja coletar informações pessoais, o conteúdo de interesse do serviço secreto coletado pela Cyveillance pode conter esses dados”, diz o texto. Informação potencialmente relevante é enviada ao serviço secreto, que determina se é necessário mais investigação para avaliar o conteúdo (por exemplo, para descobrir se é uma ameaça viável ou potencialmente viável). O resultado pode ser compartilhado com outras agências do governo americano.

Gigantes da tecnologia também apostam na vigilância

O mercado em torno da análise qualificada de grandes bases de dados, o chamado big data, está em franca expansão. Para se ter ideia, analistas estimam que, em 2015, cerca de 4,4 milhões de pessoas estarão trabalhando nessa área . E um dos ramos que mais se beneficia disso é a vigilância eletrônica.

Atentas ao potencial lucrativo desse nicho de mercado, empresas como a IBM e a HP já investem na compra de empresas especializadas no desenvolvimento desse tipo de tecnologia.

 Em 2011, a HP anunciou a compra da Autonomy, uma empresa inglesa líder no campo de “desenvolvimento de softwares que ajudam organizações do mundo inteiro a entenderem o significado por trás da informação” . Como? Um time de analistas varre conteúdos de emails, documentos, fotos, redes sociais e outros tipos de mídia, atrás de informações relevantes, de acordo com a demanda do cliente. Segundo o site, organizações como KPMG, Philips, Oracle e T-Mobile já utilizaram os serviços da Autonomy, além de órgãos de governo, como o Parlamento inglês, o Departamento de Segurança Interna dos Estados Unidos e também o Banco do Brasil, que adotou o uso do software IDOL, desenvolvido pela empresa inglesa, em 2010 .

Fundada em 1996, a Autonomy está presente em três continentes, com uma lista de mais de 65 mil usuários mundo afora, além de 400 parceiros de produção e 400 parceiros de revenda de produtos, que incluem grandes empresas como Adobe e Novell. Há suspeitas de que a Autonomy tenha inflado dados de faturamento e receita para favorecer a compra pela HP .

A IBM também tem investido – e faturado – com o mercado de vigilância desde que, em 2011, anunciou a compra da i2 Limited, empresa inglesa de análise dados de segurança . A i2, que foi fundada em 1990, diz ter colaborado diretamente com a localização de Saddam Hussein, em 2003: as forças americanas utilizaram um dos seus softwares para rastrear o paradeiro do ex-ditador iraquiano.

Com mais de 4.500 clientes em cerca de 150 países, a i2 oferece tecnologia para “combater insurgência e terrorismo, e garantir a segurança nacional” . Organizações como a Interpol, FBI e OTAN utilizam os softwares da subsidiária da IBM para rastrear grandes quantidades de dados provenientes da internet, chamadas telefônicas e dados bancários e “coletar, integrar, analisar, visualizar e distribuir informações” a fim de interceptar indícios de atividade criminosa.

No Brasil, a Tempo Real Group, uma das distribuidoras da i2, presta serviços para diversos clientes, como Agência Nacional de Petróleo (ANP), Banco do Brasil, Bradesco, Controladoria-Geral da União, Ministério Público Federal, Ministérios Públicos do Espírito Santo, Maranhão, Mato Grosso, Mato Grosso do Sul e Paraná, Polícias Civis do Distrito Federal, Minas Gerais e São Paulo, Polícia Federal, Procuradoria-Geral da República e Receita Federal. O produto? Softwares de rastreamento e processamento de dados para fins diversos, que vão do combate à corrupção e investigação de fraudes à interceptação de crimes que coloquem em risco a segurança nacional.

Entrevista: “O negócio delas é assassinar a democracia”

O ativista alemão Andy Müller-Mahuhn é membro de longa data do Chaos Computer Club, um dos clubes hackers mais atuantes do mundo, além de investigar assiduamente a indústria de vigilância para o site colaborativo Buggedplanet. Desenvolvedor virtuoso, Andy trabalha com comunicações criptográ?cas e é criador da empresa Cryptophone, que comercializa dispositivos de comunicação vocal segura. Foi cofundador da European Digital Rights (Edri), ONG que defende a garantia dos direitos humanos na era digital, e ocupou o cargo de diretor europeu da Corporação da Internet para Atribuição de Nomes e Números (Icann), responsável pela elaboração de políticas internacionais para os endereços adotados na internet. É um dos maiores nomes da filosofia cypherpunk, autor do livro de mesmo nome juntamente com Julian Assange. Ele deu esta entrevista à Pública através de chat criptografado.

Quem são os clientes dessas empresas de vigilância?

Andy Müller-Mahuhn – Falando genericamente, as empresas expostas no Spy Files do WikiLeaks fornecem na maioria para mercados nacionais, ou seja, os malucos por controle dos governos – seja no Oriente Médio, no coração da Europa e da África, na Ásia ou nas Américas do Sul, do Norte e Central. Quais dessas empresas têm contrato com a NSA? Há pelo menos uma, a Glimmerglass, que é contratada da NSA, segundo revelações dos documentos que o Snowden vazou. Quanto a outras, é muito provável que Vastech e Net Optics também estejam fornecendo tecnologia usada nos programas da NSA.

Por que provavelmente?

A.M-M. – A Vastech é uma empresa sul-africana que fornece tecnologia de monitoramento estratégico (interceptação e gravação) de todas as telecomunicações, não para alvos específicos. Não sabemos muito sobre os seus clientes (além de que eles foram flagrados na Líbia), mas eles estavam entre os primeiros a fornecerem tecnologia para gravar e arquivar todas as comunicações em um ambiente de rede específico. A Net Optics fornece equipamentos para “grampear” conexões de fibra ótica e fios elétricos até o nível de 10 Gbps, que é geralmente o tipo de velocidade usada para monitorar todo o tráfego de um provedor, um pouco similar à Glimmerglass. Muito provável que seja usada se você quer interceptar todo um país ou todas as comunicações de um provedor. A Speech Technology Center, na Russia, e Agnitio, da Espanha, são alguma das mais importantes empresas para sistemas de reconhecimento de voz, ambas fornecendo novas tecnologias para interceptação estratégica, ou seja, você pode analisar um conjunto de gravações e interceptações, e não apenas uma por vez. Então a Agnitio tem mais probabilidade de fornecer para a NSA do que a Speech Technology Center, mas ainda estamos pesquisando isso. A Vupen é muito provavelmente fornecedora da NSA. Eles vendem “exploits”, e há apenas um punhado de empresas fazendo isso profissionalmente.

O que são exploits?

A.M-M. – São falhas em programas de computador que podem ser usadas para explorar a máquina, ou seja, para adquirir controle sobre ela sem o dono tomar conhecimento. Esse é um mercado muito quente e especial. Podemos comparar isso com pessoas que vendessem informação sobre o seu bairro para criminosos: quem deixa às vezes a janela aberta, quem não tranca a porta etc. Então elas não invadem as casas nem roubam nada, mas vendem a informação para os governos fazerem isso. Não é um comércio muito ético, para colocar de maneira gentil. Eles compram essas informações no mercado negro, de quem encontra bugs nos sistemas da Microsoft e da Apple, por exemplo. Em vez de ajudar essas empresas a corrigir as falhas, usam as brechas para invadir. Você mencionou que considera algumas dessas empresas “malignas”.

Por quê?

A.M-M. – A NICE – “bonzinho”, em inglês – tem um approach de vigilância de 360 graus. Isso não é compatível com o meu entendimento do que são direitos humanos, mas é uma empresa sediada em Israel, então talvez não devêssemos ficar muito surpresos. No entanto, o que eles fazem não é nada “bonzinho”. A Vastech está matando a privacidade de pessoas em nações inteiras… Isso também é muito do mal ao meu ver. Todo mundo é suspeito, isso muda a maneira que os governos veem seus cidadãos, e tem implicações muito amplas… E o pior é que isso é vendido como uma estratégia de marketing! Em uma palavra, o negócio delas é assassinar a democracia. Muitos dizem que essas tecnologias são necessárias para segurança – por exemplo, durante os megaeventos.

Qual é o limite entre segurança e invasão da privacidade?

A.M-M. – Qualquer tecnologia que trate seres humanos como objeto é maligna, ela não tem a natureza da humanidade. Vigilância e segurança não são a mesma coisa. A vigilância somente dá mais opções de ação àqueles que coletam os dados ou as filmagens. Então megaeventos requerem atenção humana entre aqueles que deles participam. A tecnologia não pode resolver problemas de natureza social. Pode amplificar esses problemas. Depende muito da situação saber qual é a melhor solução. Mas a vigilância é um conceito que traz muitos problemas para o indivíduo. A Alemanha sediou uma Copa do Mundo. No Brasil, muitas dessas empresas estão vendendo câmeras, software etc.

Houve um aumento da vigilância na Alemanha por causa da Copa?

A.M-M. – Sim, houve. Eles aumentaram as câmeras de CCTV nas ruas e outros tipos de vigilância, mas na maioria aumentaram a presença policial, porque tinham medo de vandalismo e ataques terroristas. Mas os alemães são muito sensíveis ao abuso da vigilância por causa dos tempos de nazismo e das atividades da Stasi (a polícia secreta do regime nazista).

Houve uma reação da população?

A.M-M. – Há um longo embate ocorrendo aqui entre cidadãos e autoridades, que constantemente está chegando até a Corte Suprema em relação a, por exemplo, retenção de dados e o direito à privacidade, também garantindo o direito à segurança do seu computador pessoal contra aqueles que podem querer invadi-lo (como agências de governo com vírus espiões, o que foi declarado ilegal na Alemanha).

Há algum risco para o governo brasileiro de comprar essas tecnologias de empresas que vendem para muitos países e muitas empresas? As informações coletadas por esses softwares poderiam, por exemplo, ser repassados para outros governos ou empresas?

A.M-M. – Olha, isso depende da tecnologia. Mas há algumas empresas – como a Gamma – que têm uma atuação muito global e que não apenas ajudam seu clientes a espionar alvos, mas também coletam dados em nome dos seus clientes! Isso sugere que eles podem ter seus próprios interesses, ou seguir os interesses de terceiros ao lidar com esses dados. Fornecer tecnologia de vigilância é um negócio muito sensível porque você aprende não apenas sobre a estrutura da segurança de um governo, mas também sobre os seus “medos” – e ambas são é informações muito interessantes para agências de inteligência de outros países. Além disso, quando você vê nos contratos que a Gamma (Alemanha-Reino Unido) está comprando tecnologia da Dreamlab (Suíça), que então está incorporando peças de uma empresa israelense… Seria muito ingênuo não pensar que a empresa israelense teria interesse se essa tecnologia fosse instalada em países do Oriente Médio. Para a Copa do Mundo de 2014, elas estão vendendo ao Brasil câmeras de helicópteros, softwares de monitoramento e análise, sistemas de rádio, antenas de telecomunicação… Esses exemplos já mostram que é toda uma indústria, com muitos componentes e obviamente interesses financeiros por trás deles. Se isso traz mais segurança ou somente dinheiro para aqueles que simulam prover segurança é algo que ainda vamos ver.

******

Bruno Fonseca, Natalia Viana, Jéssica Mota e Luiza Bodenmuller, da Agência Pública