.
Cansado de trabalhar para um chefe de startup egomaníaco ou para um negócio empresarial enfadonho? Uma nova organização foi proposta, chamada Tech Lab, onde você investigaria os piores tipos de vigilância dos governos sobre seus cidadãos. Em que estado despótico, você pergunta? Surpresa! Você pode se basear em qualquer cidade europeia.
Os eurodeputados da UE querem iniciar o órgão público – juntamente com uma série de outras recomendações contidas em um relatório que chegou ontem à noite – depois que o chamado comitê PEGA passou mais de um ano analisando o uso do Pegasus e spyware equivalente.
O pessoal de TI empregado pelo proposto EU Tech Lab terá a tarefa de rastrear dispositivos e realizar pesquisas forenses – provavelmente incluindo testes de exploração de vulnerabilidades. Haverá também advogados e suporte técnico na folha de pagamento. O comitê disse que quer novas leis para regular a descoberta, compartilhamento, resolução e exploração de vulnerabilidades – referindo-se ao “comércio” de falhas do sistema. O relatório [PDF] apela à proibição da venda de vulnerabilidades num sistema para qualquer outro fim que não seja o reforço da segurança desse sistema. Podemos apenas presumir que essa regulamentação ocorre do lado da compra, quando praticada por um dos fabricantes de spyware – embora não esteja claro como pretende regular isso. Pedimos, mas para nós parece uma proposta complicada.
Ele também pede que as organizações “públicas e privadas” criem um ponto de contato publicamente disponível onde as vulnerabilidades possam ser divulgadas de maneira padronizada e que as organizações que recebem informações sobre vulnerabilidades em seu sistema atuem imediatamente para corrigi-las. Não, digamos, use-o para colocar seu spyware em um dispositivo. Certo?
Em abril, o Citizen Lab e Microsoft ambos relatado que uma exploração de clique zero supostamente desenvolvida pela empresa israelense de spyware QuaDream – chamada “Reign” – foi usada para fornecer spyware em dispositivos executando o iOS 14 da Apple nos telefones das vítimas. A exploração abusou do aplicativo de calendário do iOS, levando o spyware a comprometer os dispositivos e roubar dados, disseram os pesquisadores.
Um ano produzindo
O relatório segue uma investigação de um ano que começou depois que os estados membros foram suspeitos de usar spyware para intimidar a oposição política, silenciar a mídia crítica e manipular eleições. Os supostos alvos do spyware de vigilância Pegasus da NSO incluem empresários, políticos, agentes da lei, diplomatas, advogados, atores da sociedade civil e muito mais. O relatório afirma que reformas são necessárias porque as estruturas de governança da UE “não podem lidar efetivamente com tais ataques”.
O documento e suas recomendações ainda precisam passar pelo olhar atento do parlamento em junho; a votação do comitê não era vinculativa. O executivo até agora tem se mantido bem fora disso e está claro que o uso de spyware ainda estará muito presente nos kits de ferramentas das agências nacionais de inteligência, quer o relatório seja aprovado ou não. O projeto de resolução tenta impor algumas regras sobre isso. Os regulamentos propostos permitirão que o spyware seja usado apenas em estados da UE “onde as alegações de abuso de spyware foram minuciosamente investigadas, a legislação nacional está alinhada com as recomendações da Comissão de Veneza e do Tribunal de Justiça da UE e da jurisprudência do Tribunal Europeu de Direitos Humanos, Europol está envolvido em investigações e as licenças de exportação que não estão de acordo com as regras de controle de exportação foram revogadas.”
Eles prestaram atenção especial à Hungria e à Polônia, cujos governos “desmantelaram mecanismos de supervisão independentes”. Os eurodeputados também tiveram “preocupações” com o uso de spyware na Espanha e na Grécia – observando que Chipre desempenhou “um papel importante como centro de exportação de spyware”. Os eurodeputados exortaram Chipre a revogar todas as licenças de exportação que emitiu que não estivessem em conformidade com a legislação da UE.
Falando em exportações, o Reino Unido se tornou um paraíso offshore para a indústria de inteligência privada, de acordo com um relatório divulgado pela Privacy International final da semana passada [PDF]embora o documento também abranja agências de inteligência corporativa e aquelas do chamado jogo de “gerenciamento de reputação”, em vez de destacar fabricantes de coletores de IMSI e fornecedores de spyware, por exemplo.
‘Nenhum governo foi realmente responsabilizado’
A relatora Sophie in ‘t Veld disse sobre o relatório do comitê da UE: “Os estados membros e a Comissão Européia não devem dormir tranquilos, porque pretendo continuar neste caso até que a justiça seja feita.”
Ela acrescentou: “Nenhuma vítima de abuso de spyware recebeu justiça. Nenhum governo foi realmente responsabilizado.
“O uso desimpedido de spyware comercial sem supervisão judicial adequada representa uma ameaça à democracia europeia, desde que não haja responsabilidade. As ferramentas digitais nos capacitaram de várias maneiras, mas tornaram os governos muito mais poderosos. brecha.”
O presidente do comitê, Jeroen Lenaers, observou que o relatório ainda permitia o uso de spyware pelos estados membros, dizendo: “É necessário um escrutínio mais rigoroso no nível da UE para garantir que o uso de spyware seja a exceção, para investigar crimes graves, e não a norma. Porque nós reconhecer que pode – quando usado de maneira controlada – ser uma ferramenta importante para combater crimes como o terrorismo”. Ele acrescentou: “Nosso comitê formulou uma ampla gama de propostas para regulamentar o uso de spyware, respeitando as competências de segurança nacional”.
De acordo com dados coletados pelo inventário global da Carnegie de spyware comercial e forense digital entre 2011 e 2023, pelo menos 74 dos governos do mundo contrataram empresas comerciais para obter spyware ou tecnologia forense digital.
A mudança da UE demorou para acontecer, oito anos completos depois que os governos do Oriente Médio caíram nas revoltas da Primavera Árabe e certas práticas por fornecedores de spyware comercial veio à tona. Nesse mesmo ano, o ex-Supervisor Europeu de Proteção de Dados (EDPS) Giovanni Buttarelli avisou que se os estados membros não regulamentassem, o comércio de spyware comercial poderia prejudicar os direitos de privacidade e proteção de dados dos europeus. Mas mesmo que esses controles sejam adotados, eles não serão vinculativos.
Você pode pensar que a regulamentação está sendo feita melhor nos Estados Unidos, onde o presidente Joe Biden assinado uma ordem executiva em março proibindo o uso “pelo governo dos Estados Unidos de spyware comercial que represente riscos à segurança nacional”. Mas releia esse título e o qualificador. A legislação que acompanha é provavelmente tão cheia de buracos quanto parece, como relatamos na época.
Embora o comitê pareça ter trabalhado arduamente nas resoluções, parece extremamente improvável que qualquer um dos governos europeus, e certamente não aqueles que já violam as regras, cumpram totalmente. Isso é especialmente verdade, como alguns apontaram, porque tais são os negócios das agências de segurança que mesmo o financiamento para tais ferramentas não é mencionado explicitamente nos orçamentos nacionais, muito menos o fato de sua implantação. Lembra quando a NSA era disse ter bugado O telefone de Angela Merkel e como a Alemanha rapidamente desistiu de sua investigação sobre isso? Como você luta contra o que não pode ver?
Quando se trata de abuso de spyware, disse o comitê, não apenas o spyware deve ser permitido apenas quando condições estritas são atendidas, mas também é necessária uma definição uniforme de segurança nacional. Bastante. ®
.
