O renascimento do Cavalo de Troia

Em 12 de maio de 2017, o sistema de saúde do Reino Unido entrou em colapso. Pessoas que buscaram ajuda em hospitais foram mandadas embora e pacientes dentro de ambulâncias não chegaram aos seus destinos. Nas telas dos computadores dos hospitais, uma mensagem: “Ops! Seus arquivos foram criptografados!”. Fabricantes de automóveis com produções paradas, empresas de transporte com carros estacionados, trens funcionando precariamente… O ransomware Wannacry – software malicioso, que sequestra dados e arquivos do computador e exige uma quantidade de dinheiro como resgate – fabricado por um coletivo de hackers, tornou realidade o que mais parecia o roteiro de um filme B de Hollywood: parte da infraestrutura global foi temporariamente paralisada.

No entanto, o ataque poderia ter sido facilmente evitado se uma arma tivesse sido tirada dos criminosos: o Eternal Blue. O Eternal Blue é aquilo que se conhece como ponto de exploração, uma vulnerabilidade num sistema de TI que ainda não é conhecida pelo fabricante. Qualquer um, ciente de tal vulnerabilidade, pode obter acesso aos sistemas de tecnologia de informação com potencial de atingir  milhões de usuários.

Após o ataque do Wannacry, o presidente da Microsoft, Brad Smith, relatou que a Agência Nacional de Segurança dos EUA (NSA) estava ciente da vulnerabilidade sistemática do Windows há anos. O NSA, no entanto, deixou de reportá-la para a Microsoft – o que permitiria que milhões de usuários fossem protegidos. Em vez disso, eles torceram para que informações assimétricas resultassem em vantagens estratégicas. A lacuna de segurança não resolvida deveria facilitar a atividade de vigilância descoberta em 2013 por Edward Snowden, para que ela continuasse em grande escala. Contudo, apesar de sua vasta experiência, a NSA não foi capaz de proteger sua informação exclusiva: os hackers tiveram acesso ao Eternal Blue e o Wannacry se tornou realidade.

Um leitor ingênuo pode pensar que o Wannacry serviu de alerta para a comunidade internacional. O oposto aconteceu. De acordo com o relatório Uma Resposta dos Direitos Humanos para Hacking Governamental, da ONG Access Now, o mercado internacional de pontos de exploração continua a crescer significativamente. Acredita-se que EUA, Reino Unido, China, Rússia, Austrália, Argentina, Egito, Itália, Coreia do Sul, Turquia, México, Índia e Colômbia, entre outros, tenham comprado informações exclusivas nos últimos dez anos – e as vêm mantendo em confidencialidade desde então.

Essas informações recém-compradas sobre vulnerabilidades sistemáticas são então geralmente usadas para que hackers transformados em funcionários do governo programem softwares Cavalos de Troia, que permitem que serviços de inteligência e autoridades policiais infiltrem em sistemas de TI de suspeitos de crimes. Assim, em nome do aumento da segurança, os governos não intencionalmente colocam o público em risco.

É fácil formular abordagens políticas que combatam o uso governamental cada vez maior de malware do tipo Cavalo de Troia. Os governos poderiam ser legalmente obrigados a relatar aos fabricantes qualquer vulnerabilidade sistemática descoberta por eles e os serviços de inteligência poderiam obter acesso a sistemas de TI caso a caso, explorando vulnerabilidades causadas por falhas em sistemas individuais. Como as pessoas tendem a postergar atualizações de segurança, elas existem aos milhões.

Em 2017, como muitos outros países, a Alemanha criou uma base jurídica para o uso governamental estratégico de malware do tipo Cavalo de Troia. Foi estabelecido o “Cavalo de Troia estatal” no código nacional de processos criminais, que permite o seu uso até várias dezenas de milhares de casos por ano. Hoje, seu o uso é permitido, por exemplo, em casos que anteriormente teria sido realizada uma vigilância clássica de telecomunicações – interceptar uma chamada telefônica.

Esta reforma se mostrou problemática não apenas por incentivar a ocultação de lacunas na segurança. Serão confiadas à polícia comum competências que de outra forma teriam sido dadas apenas a serviços de inteligência. É tendência geral da política de segurança transformar polícias num serviço de inteligência em miniatura, embora, especialmente na Alemanha, a separação entre polícia e serviços de inteligência tenha surgido como lição central da era nazista. Mas, conforme o uso de software de Cavalo de Troia governamental se estendeu a pequenos delitos – como falsificação de dinheiro e roubo por quadrilha – ele também invadiu liberdades civis clássicas de forma desproporcional.

A ONG alemã GFF (sigla para Sociedade pelos Direitos Civis), que utiliza o litígio estratégico para defender direitos humanos e fundamentais, conseguiu barrar a reforma na Alemanha, país que oferece cultura jurídica adequada para ação contra o uso de um Cavalo de Troia estatal. Além disso, o Tribunal Federal Constitucional alemão demonstrou alta sensibilidade para a autodeterminação informacional e a segurança de TI no passado e, em uma decisão revolucionária em 2008, o Tribunal criou um direito constitucional independente a computadores, que garante a confidencialidade e a integridade dos sistemas de tecnologia da informação.

Este direito fundamental contém uma obrigação legal objetiva da parte do Estado, de fechar lacunas de segurança sistemáticas em sistemas de TI, em vez de explorá-las em detrimento de seus cidadãos. O Tribunal enfatizou que a não transmissão de informações relevantes pelo governo aos fabricantes de TI poderia prejudicar a confiança pública na segurança da tecnologia da informação como um todo.

Depois desta vitória, a GFF espera que o veredito contra o uso de Cavalos de Troia estatais na Alemanha gere reflexos que se estendam para além de suas fronteiras. Assim, o litígio aberto pela ONG poderia enviar à comunidade internacional as palavras com que Laocoonte tentou alertar os troianos na Odisseia: Equo ne credite, Teucri! (Não confiem no cavalo, troianos!)

Malte Spitz é Secretário Geral da ONG alemã GFF, ativista pela privacidade de dados e da segurança de TI e membro do Partido Verde alemão