Na primeira semana de março, o grupo Wikileaks publicou na internet um conjunto de 8.761 documentos do Vault7, projeto secreto da CIA que buscava acesso a dados de aparelhos como telefones celulares e TVs conectadas. A CIA é o órgão de inteligência dos Estados Unidos que age contra alvos no exterior.

Consulte a íntegra dos documentos no site do Wikileaks (em inglês) e confira nas perguntas e respostas abaixo como você pode tornar sua vida digital um pouco menos insegura.

O que é?

Segundo o resumo do Wikileaks, os documentos mostram que a CIA tem um "arsenal de hacking", que inclui vírus, cavalos de tróia, software malicioso e sistemas de controle remoto malicioso. Esse material, que circulou entre ex-colaboradores do governo americano, poderia dar ao seu possuidor o mesmo tipo de capacidade digital desenvolvida pela CIA. Estão documentadas maneiras de explorar a segurança de aparelhos iPhone, Android, Windows e TVs conectadas da Samsung, que têm microfones ambientais. Os documentos incluem dados sobre como evitar que os ataques sejam identificados como vindos dos EUA. Ainda não foi liberado todo o material.

Tem muita novidade ali?

O material é bastante técnico, e boa parte das revelações já era uma suspeita de quem acompanha segurança digital. São táticas que exploram vulnerabilidades presentes nos aparelhos desde sua concepção —"dia zero", no jargão da área. Segundo Edward Snowden, que revelou programas globais de espionagem em 2013, os documentos agora revelados trazem a primeira prova de que o governo dos EUA pagou para que equipamentos fossem mantidos inseguros.

Esse tipo de espionagem é permitido por lei?

A "Wired" lembra que a existência de tantos planos de ataque sugere violações do Processo de Equidade de Vulnerabilidades, regulamentação criada em 2010 pelo governo Obama para que as agências que identificassem brechas de segurança em equipamentos eletrônicos colaborassem para fechá-las, em vez de explorá-las.

Devo me preocupar com a espionagem da CIA?

A situação é preocupante, mas há mal-entendidos sobre como isso afeta o cidadão comum. Antes de mais nada, os ataques são planejados para espionar aparelhos individuais, não todos de uma vez. Depois, é bastante improvável que as agências globais de espionagem estejam curiosas pelas fotos que estão em seu celular ou pelas conversas que a TV de alguém de resto anônimo pode captar na sala. Mas, fora desse vazamento, já apareceram indicações de que bonecas e até aparelhos eróticos podem coletar dados e imagens de maneira indevida, por defeito de fábrica.

O problema, porém, é que as brechas abertas ou descobertas para fins de espionagem de suspeitos podem ser aproveitadas por criminosos digitais que desejam roubar ou extorquir dinheiro de gente comum. E isso é um problema especialmente grande em se tratando de um mundo onde aparelhos digitais cada vez mais fazem parte da sua vida e "123456" é a senha mais comum. Quanto mais dependemos da conveniência dos aparelhos conectados, mais brechas se abrem.

Como os aparelhos podem ser invadidos?

Aparentemente, na maior parte dos casos é necessário que alguém tenha acesso físico ao aparelho e insira um conector USB para que o software espião seja instalado. Alguns analistas de segurança que leram os arquivos afirmaram à imprensa internacional que não está descartada a possibilidade de ataque remoto. Vários dos métodos de ataque poderiam, estando próximos, invadir redes de alta segurança desconectadas da internet, como bancos de dados policiais.

Em alguns casos, a infecção de aparelhos se dá via aparelhos USB com malware espião. Em outros, pode ocorrer por meio de aplicativos aparentemente inocentes. As falhas de segurança descritas na documentação se referem a versões antigas dos sistemas operacionais iOS (do iPhone) e Android (de aparelhos Samsung, LG, Motorola e outros). Constantemente, as empresas liberam novas atualizações do sistema para corrigir vulnerabilidades detectadas. Mas dois a cada três celulares Android, que dominam o mercado, usam versões do sistema anteriores à 6.0, lançada em setembro de 2015. No iOS, um a cada 20 aparelhos usam versões do sistema operacional anteriores à 9.0, lançada no mesmo mês. Com isso, na prática, os modelos mais baratos são os mais expostos.

Como posso proteger meu celular?

Apple e Google dizem que já fecharam as brechas apontadas —mas isso ocorre por meio de atualizações do sistema, e muitos usuários de smartphones não atualizam. Como os documentos são antigos, é provável que novas vulnerabilidades já estejam no "arsenal digital" das agências de inteligência, portanto sempre vale a pena cuidar da própria segurança. Por isso, atualize seu sistema operacional e aplicativos sempre que puder. Algum tempo após o lançamento do aparelho, o fabricante deixa de atualizar o software, também. Quem tem o Samsung Galaxy S5, lançado em 2014, não pode atualizar o Android para o 7.1, versão mais recente. Manter o sistema atualizado pode demorar e temporariamente deixar seu aparelho lento, mas é importante em termos de segurança. Evite ao máximo instalar aplicativos de fora das lojas (Play Store e iTunes Store), e desconfie mesmo dos aplicativos aprovados pelas plataformas quando você não conhece a procedência.

*É sério que minha smart TV pode me espionar

É. Desde que foram lançadas, as TVs conectadas levantaram suspeitas de brechas para espionagem, por conterem microfones que captam conversas ambientes —originalmente, para poder direcionar anúncios. Há modelos rastreáveis feitos pela Sony, Samsung, LG e Vizio. Os documentos trazem a primeira evidência de que a brecha possa ter sido explorada para espionagem. Segundo os arquivos vazados, as smart TVs Samsung F8000 podem ser transformadas em "aparelhos clandestinos de escuta", parecendo que estão desligados mas ainda gravando. O ataque "Anjo Chorão", descrito nos documentos da CIA, também pode gravar as senhas de wi-fi usadas na TV para depois atacar a rede do alvo, além de acessar usernames e senhas armazenadas na TV. Como os documentos revelados são de 2014, não é impossível que outros aparelhos tenham sido comprometidos posteriormente. Na época, a CIA tentava fazer vídeos com a TV.

O que posso fazer a respeito?

A CNET publicou em 2015 um vídeo mostrando como desabilitar o microfone. Mas isso pode não ser suficiente se você for um alvo. Caso você desconfie, segundo a revista Wired, verifique se o led azul atrás da sua TV está ligado mesmo com a TV desligada. Esse é um sinal preocupante. "Se você ainda estiver preocupado, existe apenas um método garantido de evitar: desligue a TV da tomada", diz a "Wired".

Só agora a CIA conseguiu fazer com o Whatsapp o que o Judiciário brasileiro tenta todo ano?

Pois é. Como aplicativos tipo Whatsapp e Telegram têm criptografia ponta a ponta, ou seja, teoricamente só emissor e receptor sabem o que foi dito, a CIA buscou uma vulnerabilidade que permitisse captar as conversas nesses aplicativos antes de os dados serem protegidos pela criptografia. Ou seja: ela não quebrou a segurança dos aplicativos, e sim descobriu como agir no próprio aparelho antes de a criptografia ser aplicada. O problema é que, para poder fazer isso, é preciso que o espião consiga acesso ao aparelho para comprometê-lo, o que é bastante raro. É improvável que essa noção vá impedir o Judiciário brasileiro de bloquear os aplicativos outra vez em território nacional, porém.

Carros conectados

Os documentos mencionam vulnerabilidades relacionadas a veículos cujos sistemas de controle são conectados, como carros e caminhões. Quanto mais se aproxima a possibilidade de carros autônomos, sem motorista, baseados na navegação via satélite, maior é a chance de o sistema poder ser comprometido para prejudicar o passageiro. No ano passado, a Tesla Motors passou a ser investigada por uma morte
ocorrida em conexão com o uso do piloto automático do modelo S.

É improvável que os carros conectados se popularizem tão cedo, especialmente no Brasil. Caso você venha a dirigir um, vale estar bem informado sobre as possíveis vulnerabilidades do sistema. Em seu livro "Messy", lançado em 2016, o economista Tim Harford observa que os carros conectados unem a conveniência do piloto automático à navegação do GPS, e lembra que, embora tanto um quanto o outro sejam geralmente seguros, quando falham as consequências tendem a ser muito graves.

Fonte: Folha Online - 21/03/2017