UM GRUPO INTERNACIONALde jornalistas detalhou em julho novas evidências de que o software espião feito pela empresa israelense NSO Group foi utilizado contra ativistas, executivos, jornalistas e advogados em todo o mundo. Mesmo o iPhone da Apple, frequentemente elogiado por sua rígida segurança, não foi considerado “páreo” para o software de vigilância, levando o criptógrafo Matthew Green, da Universidade Johns Hopkins, a se preocupar que as revelações levaram alguns especialistas em hackers a cair em uma postura de “niilismo de segurança”.

O niilismo de segurança é a ideia de que os ataques digitais se tornaram tão sofisticados que não há nada a ser feito para impedir que eles aconteçam ou para diminuir o seu impacto. Mas esse tipo de conclusão seria um erro. Por um lado, ele dá aos hackers mal intencionados exatamente o que eles gostariam, que seus alvos parem de se defender. Também é um erro factual: você pode se defender contra o spyware do NSO — por exemplo, seguindo técnicas de segurança operacional, como não clicar em links desconhecidos, praticar a compartimentalização de dispositivos (como usar dispositivos separados para aplicativos diferentes), e ter uma rede privada virtual, ou VPN, em seus dispositivos móveis. Essas técnicas são eficazes contra toda sorte de ataques digitais e, portanto, úteis mesmo se o NSO Group estiver correto em suas alegações de que as supostas evidências contra a empresa não são válidas.

Pode até não haver segurança perfeita, como afirma um ditado clássico na área, mas isso não é desculpa para a passividade. Aqui, então, estão alguns passos práticos que você pode seguir para reduzir sua “superfície de ataque” e se proteger contra spywares como o do NSO.

O Pegasus oferece “acesso ilimitado aos dispositivos móveis do alvo”

As recentes revelações dizem respeito a um spyware específico da NSO, conhecido como Pegasus. Elas vêm após extensos estudos anteriores do software da empresa feitos por entidades como Citizen Lab, Amnesty International, Article 19, R3D, e SocialTIC. A seguir vai o que sabemos especificamente sobre o Pegasus.

Os recursos do software foram descritos no que parece ser um folheto promocional do NSO Group datado de 2014 ou anterior e disponibilizado quando o WikiLeaks publicou uma coleção valiosa de e-mails relacionados a uma empresa de spyware diferente, a Hacking Team, da Itália. A autenticidade do panfleto não pode ser confirmada, e o NSO disse que não fará mais comentários sobre o Pegasus. Mas o documento vende o Pegasus de forma agressiva, dizendo que ele fornece “acesso ilimitado aos dispositivos móveis do alvo” e permite que os clientes “coletem remota e secretamente informações sobre os relacionamentos, localização, ligações, planos e atividades de seu alvo — quando e onde quer que eles estejam”. A brochura também afirma que o Pegasus pode:

• Monitorar chamadas de voz e VoIP em tempo real.
• Extrair contatos, senhas, arquivos e conteúdo criptografado do telefone.
• Funcionar como um “grampo ambiental”, ouvindo pelo microfone.
• Monitorar as comunicações feitas por aplicativos como WhatsApp, Facebook, Skype, Blackberry Messenger, e Viber.
• Rastrear a localização do telefone via GPS.

Apesar de todo o hype, porém, o Pegasus é apenas uma versão glorificada de um tipo antigo de malware conhecido como Cavalo de Troia de Acesso Remoto, ou RAT na sigla em inglês: um programa que concede a uma parte não autorizada o acesso total a um dispositivo-alvo. Em outras palavras, embora o Pegasus possa ser potente, a comunidade de segurança sabe bem como se defender contra esse tipo de ameaça.

Vejamos as diferentes maneiras como o Pegasus pode potencialmente infectar telefones — seus vários “vetores de instalação de agentes”, na própria linguagem do panfleto — e como se defender contra cada um.

Driblando o caça-clique de engenharia social

Há inúmeros exemplos nos relatos de ataques do Pegasus de jornalistas e defensores dos direitos humanos que receberam mensagens de SMS e WhatsApp como isca, ordenando-os a clicar em links maliciosos. Os links baixam spyware que se aloja nos dispositivos por meio de falhas de segurança em navegadores e sistemas operacionais. Esse vetor de ataque é chamado Mensagem de Engenheiro Social Aprimorado, ou ESEM na sigla em inglês, no folheto que vazou. Ele afirma que “as chances de o alvo clicar no link são totalmente dependentes do nível de credibilidade do conteúdo. A solução Pegasus fornece uma ampla gama de ferramentas para compor uma mensagem personalizada e inocente para atrair o alvo a abrir a mensagem”.

Como o Comitê para Proteção de Jornalistas detalhou, as mensagens-isca do tipo ESEM vinculadas ao Pegasus se enquadram em várias categorias. Algumas afirmam ser de organizações conhecidas, como bancos, embaixadas, agências de notícias, ou serviços de entrega de encomendas. Outras se referem a questões pessoais, como trabalho ou suposta evidência de infidelidade, ou afirmam que o alvo está enfrentando algum risco de segurança imediato.

Ataques ESEM futuros podem usar tipos diferentes de mensagens como isca, por isso é importante tratar com cautela qualquer uma que tente convencê-lo a realizar uma ação digital. Alguns exemplos do que isso significa na prática:

• Se você receber uma mensagem com um link, particularmente se ela incluir um senso de urgência (informando que um pacote está para chegar ou que seu cartão de crédito vai ser cobrado), evite o impulso de clicar imediatamente nele.
• Se você confia no site do link, digite o endereço manualmente.
• Se for a um site que você visita com frequência, salve-o em uma pasta de favoritos e acesse o site apenas a partir do link em sua pasta.
• Se você decidir clicar no link ao invés de digitá-lo ou visitar o site através dos seus favoritos, pelo menos examine o link para confirmar que ele realmente leva a um site que você conhece. E lembre-se que ainda assim é possível ser enganado: alguns links de phishing utilizam letras de aparência semelhante de um conjunto de caracteres de outro alfabeto, no que é conhecido como ataque homógrafo. Por exemplo, um “O” cirílico pode ser utilizado para imitar o “O” latino que vemos em inglês e português.
• Se o link parece ser uma URL encurtada, use um um serviço expansor de URL, como o URL Expander ou o ExpandURL para revelar o link longo real antes de clicar.
• Antes de clicar em um link aparentemente enviado por alguém que você conhece, confirme que aquela pessoa realmente o enviou; a conta dela pode ter sido hackeada ou seu número de telefone falsificado. Confirme usando um canal de comunicação diferente daquele em que você recebeu a mensagem. Por exemplo, se o link veio por email ou mensagem de texto, telefone para o remetente. Isso é conhecido como verificação ou autenticação fora de banda.
• Pratique a compartimentalização de dispositivos, utilizando um dispositivo secundário sem nenhuma informação confidencial para abrir links não confiáveis. Lembre-se de que, se o dispositivo secundário estiver infectado, ele ainda pode ser usado para monitorar você por meio do microfone ou da câmera, portanto, mantenha-o em uma bolsa Faraday quando não estiver em uso — ou, pelo menos, longe de onde você mantiver conversas confidenciais (uma boa ideia mesmo se estiver em uma bolsa Faraday).
• Use navegadores que não são padrão. De acordo com a seção intitulada “Falha de instalação” na brochura vazada da Pegasus, a instalação pode falhar se o alvo estiver utilizando um navegador não compatível e, em particular, um diferente daquele navegador “padrão do dispositivo”. Mas o documento já tem vários anos e é possível que o Pegasus hoje suporte todos os tipos de navegadores.
• Se há qualquer dúvida sobre um link, a melhor medida de segurança operacional é evitar abrir o link;

Frustrando ataques de injeção de rede

Outra maneira pela qual o Pegasus infectou dispositivos em vários casos foi interceptando o tráfego de rede de um telefone usando o que é conhecido como ataque de intermediário, ou MITM na sigla em inglês. Nele, o Pegasus interceptou o tráfego de rede não criptografado, como solicitações HTTP da web, e o redirecionou para cargas maliciosa. Fazer isso envolvia enganar o telefone para que ele se conectasse a um dispositivo portátil que fingia ser uma torre de celular próxima ou obter acesso à operadora de celular do alvo (plausível se o alvo está em um regime repressivo onde o governo fornece os serviços de telecomunicações). Esse ataque funcionou mesmo se o telefone estivesse no modo apenas para dados móveis e não estivesse conectado ao wifi.

Quando Maati Monjib, cofundadora da ONG Freedom Now e da Associação Marroquina de Jornalismo Investigativo, abriu o navegador Safari de seu iPhone e digitou yahoo.fr, o Safari primeiro tentou acessar http://yahoo.fr. Normalmente, isso teria redirecionado para https://fr.yahoo.com, uma conexão criptografada. Mas, como a conexão de Monjib estava sendo interceptada, ela a redirecionou para um site malicioso de terceiros que, por fim, invadiu seu telefone.

Digitar apenas o domínio do site (como yahoo.fr) na barra de endereços do navegador sem especificar um protocolo (como https://) abre a possibilidade para ataques MITM, porque seu navegador, por padrão, vai tentar uma conexão HTTP não criptografada ao site. Normalmente, você chega ao site verdadeiro, que imediatamente o redireciona a uma conexão HTTPS segura. Mas, se alguém está rastreando para hackear seu dispositivo, a primeira conexão HTTP é uma abertura suficiente para sequestrar a conexão.

Alguns sites protegem contra isso usando um recurso de segurança complicado conhecido como HTTP Strict Transport Security, que evita que o navegador faça uma solicitação não criptografada para eles, mas você nem sempre pode contar com isso, mesmo para alguns sites que o implementam corretamente.

Essas são algumas coisas que podem ser feitas para prevenir esse tipo de ataques:

• Sempre digite https:// ao acessar os sites.
• Favorite URLs seguras (HTTPS) dos seus sites mais acessados, e use elas em vez de digitar o domínio diretamente.
• Como alternativa, use um VPN em seus dispositivos desktop e móveis. Um VPN canaliza todas as conexões com segurança para o servidor VPN, que então acessa sites em seu nome e os retransmite de volta para você. Isso significa que um invasor que monitora sua rede provavelmente não será capaz de realizar um ataque MITM bem-sucedido, pois sua conexão está criptografada para VPN — mesmo se você digitar um domínio no navegador diretamente sem o “https://”.

Se você usa um VPN, lembre-se que seu provedor de VPN tem a capacidade de espionar o tráfego da internet, por isso é importante escolher um confiável. O blog Wirecutter publica uma comparação completa e atualizada regularmente dos provedores de VPN com base em seu histórico de auditorias de segurança feitas por terceiros, suas políticas de privacidade e termos de uso, a segurança da tecnologia VPN utilizada e outros fatores.

Exploits sem cliques

Ao contrário das tentativas de infecção que exigem que o alvo execute alguma ação, como clicar em um link ou abrir um anexo, os exploits (no sentido de “explorar” uma vulnerabilidade do sistema) sem cliques recebem esse nome porque não exigem interação do alvo. Tudo o que é necessário é que a pessoa visada tenha um aplicativo ou sistema operacional vulnerável específico instalado. O relatório forense da Anistia Internacional sobre as evidências recentemente reveladas do Pegasus afirma que algumas infecções foram transmitidas através de ataques sem cliques, utilizando os aplicativos Apple Music e iMessage.

Seu dispositivo deveria ter o mínimo necessário de aplicativos

Esta não é a primeira vez que as ferramentas do NSO Group são vinculadas a ataques sem cliques. Uma queixa de 2017 contra o ex-presidente do Panamá, Ricardo Martinelli, afirma que jornalistas, figuras políticas, ativistas sindicais e líderes de associações civis foram alvos do Pegasus e notificações desonestas recebidas em seus dispositivos, enquanto em 2019 o WhatsApp e o Facebook registraram queixa alegando que o NSO Group desenvolveu um malware capaz de explorar uma vulnerabilidade sem cliques do WhatsApp.

Como as vulnerabilidades de clique zero, por definição, não precisam de nenhuma interação do usuário, elas são as mais difíceis de se defender. Mas os usuários podem reduzir suas chances de sucumbir ao reduzir o que é conhecido como “superfície de ataque” e praticando a compartimentalização de dispositivos. Reduzir a superfície de ataque significa simplesmente minimizar as possíveis formas de infecção do dispositivo. A compartimentalização de dispositivos significa espalhar seus dados e aplicativos em vários dispositivos.

Especificamente, os usuários podem:

• Reduzir o número de aplicativos no telefone. Quanto menos portas destrancadas sua casa tem, menos oportunidades um ladrão tem para entrar; de forma similar, menos aplicativos significam menos portas virtuais para invadir o celular. O dispositivo deve ter o mínimo necessário de aplicativos de que você precisa para executar as funções do dia-a-dia. Há alguns aplicativos que não podem ser removidos, como o iMessage; nesses casos, muitas vezes é possível desativá-los, embora isso também faça com que as mensagens de texto não funcionem mais no seu iPhone.
• Monitore regularmente seus aplicativos instalados (e suas permissões), e remova aqueles de que não precisa mais. É mais seguro remover um aplicativo raramente usado e baixá-lo novamente quando realmente precisar dele do que deixá-lo permanecer no telefone.
• Atualize regularmente o sistema operacional do telefone e aplicativos individuais, uma vez que as atualizações corrigem vulnerabilidades, às vezes até de forma não intencional.
• Compartimentalize os aplicativos que sobrarem. Se o celular só tem o WhatsApp instalado e for invadido, o hacker vai pegar os dados do WhatsApp, mas não outras informações sensíveis como email, calendário, fotos ou mensagens do Signal.
• Mesmo um telefone compartimentalizado pode ser usado como um grampo e um dispositivo de rastreamento, então mantenha seus dispositivos fisicamente compartimentalizados — ou seja, deixe-os em outra peça da casa, idealmente em uma bolsa anti-sabotagem.

Acesso físico

Uma última maneira pela qual um invasor pode infectar seu telefone é interagindo fisicamente com ele. De acordo com o folheto, “quando o acesso físico ao dispositivo é uma opção, o agente Pegasus pode ser injetado manualmente e instalado em menos de cinco minutos” — embora não esteja claro se o telefone precisa ser desbloqueado ou se os invasores são capazes de infectar até mesmo um telefone protegido por PIN.

Parece não haver casos conhecidos de ataques do Pegasus lançados fisicamente, mas esses exploits podem ser difíceis de detectar e serem distinguidos dos ataques online. Algumas maneiras de mitigá-los:

• Sempre tenha seus dispositivos à vista. Perdê-los de vista abre a possibilidade de comprometimento físico. Obviamente há uma diferença entre um agente alfandegário pegando seu telefone no aeroporto e você deixar o laptop em uma peça da sua residência enquanto vai ao banheiro, mas todos envolvem algum risco, e você terá que calibrar sua própria tolerância ao risco.
• Coloque seu dispositivo em um saco anti-sabotagem quando precisar deixá-lo sem vigilância, especialmente em locais de maior risco, como quartos de hotel. Isso não impedirá que o dispositivo seja manipulado, mas pelo menos dará um alerta de que o dispositivo foi retirado da bolsa e pode ter sido adulterado, momento em que o dispositivo não deve mais ser usado.
• Use telefones descartáveis e outros dispositivos compartimentados ao entrar em ambientes potencialmente hostis, como prédios do governo, incluindo embaixadas e consulados, ou ao passar por pontos de controle fronteiriço.

Outras recomendações gerais:

• Use o Mobile Verification Toolkit da Anistia Internacional se você suspeita que seu telefone foi infectado com o Pegasus.
• Faça backups regulares dos arquivos importantes.
• Finalmente, não faz mal resetar regularmente seu telefone.

Embora o Pegasus seja um spyware sofisticado, há passos tangíveis que você pode dar para minimizar a chance de seus dispositivos serem infectados. Não existe um método infalível para eliminar o risco por completo, mas certamente há coisas que você pode fazer para diminuir esse risco, e com certeza não há necessidade de recorrer à visão derrotista de que “não somos páreo” para o Pegasus.