Como se defender contra ataques do spyware israelense Pegasus

Um grupo internacional de jornalistas detalhou em julho novas evidncias de que o software espio feito pela empresa israelense NSO Group foi utilizado contra ativistas, executivos, jornalistas e advogados em todo o mundo. Mesmo o iPhone da Apple, frequentemente elogiado por sua rgida segurana, no foi considerado preo para o software de vigilncia, levando o criptgrafo Matthew Green, da Universidade Johns Hopkins, a se preocupar que as revelaes levaram alguns especialistas em hackers a cair em uma postura de niilismo de segurana.O niilismo de segurana a ideia de que os ataques digitais se tornaram to sofisticados que no h nada a ser feito para impedir que eles aconteam ou para diminuir o seu impacto. Mas esse tipo de concluso seria um erro. Por um lado, ele d aos hackers mal intencionados exatamente o que eles gostariam, que seus alvos parem de se defender. Tambm um erro factual: voc pode se defender contra o spyware do NSO por exemplo, seguindo tcnicas de segurana operacional, como no clicar em links desconhecidos, praticar a compartimentalizao de dispositivos (como usar dispositivos separados para aplicativos diferentes), e ter uma rede privada virtual, ou VPN, em seus dispositivos mveis. Essas tcnicas so eficazes contra toda sorte de ataques digitais e, portanto, teis mesmo se o NSO Group estiver correto em suas alegaes de que as supostas evidncias contra a empresa no so vlidas. Pode at no haver segurana perfeita, como afirma um ditado clssico na rea, mas isso no desculpa para a passividade. Aqui, ento, esto alguns passos prticos que voc pode seguir para reduzir sua superfcie de ataque e se proteger contra spywares como o do NSO. O Pegasus oferece acesso ilimitado aos dispositivos mveis do alvo As recentes revelaes dizem respeito a um spyware especfico da NSO, conhecido como Pegasus. Elas vm aps extensos estudos anteriores do software da empresa feitos por entidades como Citizen Lab, Amnesty International, Article 19, R3D, e SocialTIC. A seguir vai o que sabemos especificamente sobre o Pegasus. Os recursos do software foram descritos no que parece ser um folheto promocional do NSO Group datado de 2014 ou anterior e disponibilizado quando o WikiLeaks publicou uma coleo valiosa de e-mails relacionados a uma empresa de spyware diferente, a Hacking Team, da Itlia. A autenticidade do panfleto no pode ser confirmada, e o NSO disse que no far mais comentrios sobre o Pegasus. Mas o documento vende o Pegasus de forma agressiva, dizendo que ele fornece acesso ilimitado aos dispositivos mveis do alvo e permite que os clientes coletem remota e secretamente informaes sobre os relacionamentos, localizao, ligaes, planos e atividades de seu alvo quando e onde quer que eles estejam. A brochura tambm afirma que o Pegasus pode: Monitorar chamadas de voz e VoIP em tempo real.Extrair contatos, senhas, arquivos e contedo criptografado do telefone.Funcionar como um grampo ambiental, ouvindo pelo microfone.Monitorar as comunicaes feitas por aplicativos como WhatsApp, Facebook, Skype, Blackberry Messenger, e Viber.Rastrear a localizao do telefone via GPS. Apesar de todo o hype, porm, o Pegasus apenas uma verso glorificada de um tipo antigo de malware conhecido como Cavalo de Troia de Acesso Remoto, ou RAT na sigla em ingls: um programa que concede a uma parte no autorizada o acesso total a um dispositivo-alvo. Em outras palavras, embora o Pegasus possa ser potente, a comunidade de segurana sabe bem como se defender contra esse tipo de ameaa. Vejamos as diferentes maneiras como o Pegasus pode potencialmente infectar telefones seus vrios vetores de instalao de agentes, na prpria linguagem do panfleto e como se defender contra cada um.Driblando o caa-clique de engenharia social H inmeros exemplos nos relatos de ataques do Pegasus de jornalistas e defensores dos direitos humanos que receberam mensagens de SMS e WhatsApp como isca, ordenando-os a clicar em links maliciosos. Os links baixam spyware que se aloja nos dispositivos por meio de falhas de segurana em navegadores e sistemas operacionais. Esse vetor de ataque chamado Mensagem de Engenheiro Social Aprimorado, ou ESEM na sigla em ingls, no folheto que vazou. Ele afirma que as chances de o alvo clicar no link so totalmente dependentes do nvel de credibilidade do contedo. A soluo Pegasus fornece uma ampla gama de ferramentas para compor uma mensagem personalizada e inocente para atrair o alvo a abrir a mensagem.As chances de o alvo clicar no link so totalmente dependentes do nvel de credibilidade do contedo.Como o Comit para Proteo de Jornalistas detalhou, as mensagens-isca do tipo ESEM vinculadas ao Pegasus se enquadram em vrias categorias. Algumas afirmam ser de organizaes conhecidas, como bancos, embaixadas, agncias de notcias, ou servios de entrega de encomendas. Outras se referem a questes pessoais, como trabalho ou suposta evidncia de infidelidade, ou afirmam que o alvo est enfrentando algum risco de segurana imediato. Ataques ESEM futuros podem usar tipos diferentes de mensagens como isca, por isso importante tratar com cautela qualquer uma que tente convenc-lo a realizar uma ao digital. Alguns exemplos do que isso significa na prtica: Se voc receber uma mensagem com um link, particularmente se ela incluir um senso de urgncia (informando que um pacote est para chegar ou que seu carto de crdito vai ser cobrado), evite o impulso de clicar imediatamente nele.Se voc confia no site do link, digite o endereo manualmente.Se for a um site que voc visita com frequncia, salve-o em uma pasta de favoritos e acesse o site apenas a partir do link em sua pasta.Se voc decidir clicar no link ao invs de digit-lo ou visitar o site atravs dos seus favoritos, pelo menos examine o link para confirmar que ele realmente leva a um site que voc conhece. E lembre-se que ainda assim possvel ser enganado: alguns links de phishing utilizam letras de aparncia semelhante de um conjunto de caracteres de outro alfabeto, no que conhecido como ataque homgrafo. Por exemplo, um O cirlico pode ser utilizado para imitar o O latino que vemos em ingls e portugus.Se o link parece ser uma URL encurtada, use um um servio expansor de URL, como o URL Expander ou o ExpandURL para revelar o link longo real antes de clicar.Antes de clicar em um link aparentemente enviado por algum que voc conhece, confirme que aquela pessoa realmente o enviou; a conta dela pode ter sido hackeada ou seu nmero de telefone falsificado. Confirme usando um canal de comunicao diferente daquele em que voc recebeu a mensagem. Por exemplo, se o link veio por email ou mensagem de texto, telefone para o remetente. Isso conhecido como verificao ou autenticao fora de banda.Pratique a compartimentalizao de dispositivos, utilizando um dispositivo secundrio sem nenhuma informao confidencial para abrir links no confiveis. Lembre-se de que, se o dispositivo secundrio estiver infectado, ele ainda pode ser usado para monitorar voc por meio do microfone ou da cmera, portanto, mantenha-o em uma bolsa Faraday quando no estiver em uso ou, pelo menos, longe de onde voc mantiver conversas confidenciais (uma boa ideia mesmo se estiver em uma bolsa Faraday).Use navegadores que no so padro. De acordo com a seo intitulada Falha de instalao na brochura vazada da Pegasus, a instalao pode falhar se o alvo estiver utilizando um navegador no compatvel e, em particular, um diferente daquele navegador padro do dispositivo. Mas o documento j tem vrios anos e possvel que o Pegasus hoje suporte todos os tipos de navegadores.Se h qualquer dvida sobre um link, a melhor medida de segurana operacional evitar abrir o link; Frustrando ataques de injeo de rede Outra maneira pela qual o Pegasus infectou dispositivos em vrios casos foi interceptando o trfego de rede de um telefone usando o que conhecido como ataque de intermedirio, ou MITM na sigla em ingls. Nele, o Pegasus interceptou o trfego de rede no criptografado, como solicitaes HTTP da web, e o redirecionou para cargas maliciosa. Fazer isso envolvia enganar o telefone para que ele se conectasse a um dispositivo porttil que fingia ser uma torre de celular prxima ou obter acesso operadora de celular do alvo (plausvel se o alvo est em um regime repressivo onde o governo fornece os servios de telecomunicaes). Esse ataque funcionou mesmo se o telefone estivesse no modo apenas para dados mveis e no estivesse conectado ao wifi. Quando Maati Monjib, cofundadora da ONG Freedom Now e da Associao Marroquina de Jornalismo Investigativo, abriu o navegador Safari de seu iPhone e digitou yahoo.fr, o Safari primeiro tentou acessar http://yahoo.fr. Normalmente, isso teria redirecionado para https://fr.yahoo.com, uma conexo criptografada. Mas, como a conexo de Monjib estava sendo interceptada, ela a redirecionou para um site malicioso de terceiros que, por fim, invadiu seu telefone.Digitar apenas o domnio do website em um navegador abre espao para ataques, porque o navegador vai tentar realizar uma conexo no criptografada ao site.