Sign up to save your podcasts
Or
Share Episódio #352 – Abin e o monitoramento estatal
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Episódio #352 – Abin e o monitoramento estatal
Ajude o Segurança Legal a continuar existindo. Visite nossa campanha de financiamento coletivo e nos apoie!
Neste episódio, com Guilherme Goulart e Vinícius Serafim, falamos sobre o esquema de espionagem da Abin que, segundo a Polícia Federal, usou a ferramenta FirstMile para monitorar ilegalmente milhares de pessoas. O tema central é o uso do sistema israelense FirstMile para monitoramento e geolocalização em massa, que teria sido utilizado para vigiar adversários políticos, advogados e jornalistas durante o governo Bolsonaro, explorando uma vulnerabilidade no protocolo de telefonia SS7. A discussão aprofunda os aspectos técnicos por trás da ferramenta de vigilância, o andamento da investigação da Polícia Federal, a compra de softwares de espionagem por governos estaduais e as implicações do caso para a segurança da informação, a privacidade de dados e o direito à tecnologia no Brasil, levantando um debate sobre o controle da atividade de inteligência e o risco do abuso dessas ferramentas pelo poder estatal. Para continuar acompanhando análises aprofundadas sobre tecnologia e segurança, assine o podcast e siga o Segurança Legal na sua plataforma de áudio favorita.
ShowNotes
Transcrição do Episódio
(00:02) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes e aos nossos YouTubers. YouTubers somos nós que estamos gravando. Mas quem navega no YouTube é o quê? Telespectadores? Ninguém mais navega, cara, esse é um termo muito antigo. Telespectadores é igual aos nossos amigos que nos acompanham. Pronto.
(00:36) Sempre lembrando para esses amigos e amigas que é fundamental para a gente a participação de todos por meio de perguntas, críticas e sugestões de tema. Para isso, estamos à disposição dos ouvintes pelo Twitter no @segurancalegal, no e-mail [email protected].
(00:56) no youtube.com/segurancalegal e no Mastodon @[email protected]. Também temos a nossa campanha de financiamento coletivo no PicPay, picpay.me/segurancalegal, e também no Apoia-se, apoia.se/segurancalegal. Considere apoiar um projeto independente de produção e compartilhamento de conhecimento. Ficamos à disposição de vocês para escolher uma das modalidades de apoio e ter a oportunidade de participar do nosso grupo do Telegram, onde conversamos e trocamos ideias e notícias. Bom, Vinícius, esse tema, o tema…
(01:35) de hoje é espinhoso, porque envolve também alguns aspectos até mesmo políticos, embora nós vamos nos focar nos aspectos técnicos aqui. É essa última descoberta que já vinha, na verdade, sendo discutida na imprensa e nos meios especializados, mas que envolveu o uso de uma ferramenta para o monitoramento, na verdade, a identificação do posicionamento de pessoas por meio do uso dos seus celulares. A notícia é que foi feita uma operação da Polícia Federal nesse mês que prendeu dois oficiais e afastou cinco dirigentes.
(02:11) da Abin. A Abin, essa ainda sob o governo Bolsonaro, teria, segundo a PF, usado a ferramenta FirstMile para monitorar milhares de pessoas. A gente vai explicar um pouquinho sobre como essa ferramenta estaria funcionando e o que potencialmente teria acontecido é que, entre as milhares de pessoas que tiveram a sua geolocalização verificada pela Abin, o que tudo indica, contra a lei, contra a legislação brasileira, advogados e até mesmo ministros do Supremo Tribunal Federal teriam sido monitorados. Inclusive, o The Intercept ainda obteve informação de que…
(02:51) o Glenn Greenwald e o David Miranda, seu esposo que faleceu recentemente, também estiveram entre as pessoas que foram espionadas por esta ferramenta. E aí, Vinícius, dá pra gente fazer uma breve cronologia aqui desse caso e da contratação dessa ferramenta? Porque veja, embora esse caso tenha ficado mais evidente agora, por conta evidentemente da operação da Polícia Federal que envolveu até mesmo prisões, na verdade, essa cronologia precisa retornar lá em 2018, porque foi lá em 2018, ainda no governo Temer, que esse sistema foi adquirido por R$5.700.000,00 inicialmente.
(03:34) A indicação foi que ele seria usado na intervenção federal de segurança no Rio de Janeiro. Diga. E só lembrando que nós temos alguns indícios da tentativa de compra desses dispositivos — não dispositivos, desses softwares — e que, eventualmente, podem envolver também dispositivos de monitoramento tanto pelo governo federal quanto por alguns estados. Isso, inclusive, a gente registrou…
(04:20) lá no episódio 80, uma dessas situações que foi o Hacking Team, em 2015. E aí tu começas aí com 2018, que foi a compra efetiva ali no governo Temer. Em 2015, teve uma situação envolvendo o vazamento de dados do Hacking Team, que era um desses grupos, dessas empresas que vendia esse tipo de serviço e que tem os vazamentos, tem as negociações que estavam sendo feitas. Sim, com a diferença, Vinícius, e a gente também vai chegar lá, mas acho que já dá para dizer isso agora…
(04:58) que as ferramentas do Hacking Team e outras que já foram inclusive negociadas pelo governo envolviam a invasão, a interceptação de fluxos de dados. Essa aqui, ao que tudo indica, e você vai explicar melhor isso depois, envolveu somente, com as informações que temos, a informação da geolocalização das pessoas. Bom, depois de 2018, pulamos para 2023. Lá em março de 2023, os repórteres Patrick Camporez, Dimitrius Dantas e Thiago Bronzato, do Globo, publicaram uma…
(05:38) reportagem falando justamente sobre o uso do First Mile, destacando que esse uso secreto estaria revelando que ele estaria sendo utilizado pela Abin, destacando que não há uma legislação que regule o uso desse tipo de ferramenta. A reportagem, já na época, informou que o sistema foi usado nos três primeiros anos do governo Bolsonaro e que essa ferramenta poderia monitorar até 10.000 celulares por ano. Eu imagino aqui, Vinícius, que essa informação de que poderia monitorar até 10.000 celulares por ano deve ser uma limitação da própria ferramenta, de comprar uma licença para tantos mil e tudo mais. Imagino. Logo depois, dois dias depois, em 16 de março, o Data Privacy Brasil enviou um ofício assinado por um dos seus diretores, nosso amigo Rafael Zanatta, que já participou aqui do podcast, para a Procuradoria-Geral da República, alertando sobre o uso do First Mile pela Abin. Depois, em 23 de março desse mesmo ano de 2023, o…
(06:48) MPF encaminha um pedido de informações para a Abin e para a Cognyte, a empresa israelense que desenvolve o First Mile. A Abin respondeu que ela teria feito uma correição extraordinária para verificar o uso dessa solução e ela também indicou que estaria colaborando com as investigações na época. Pulamos para 19 de abril de 2023, uma reportagem do Paulo Motoryn, do The Intercept, falou justamente…
(07:29) com o título “Hacking do Governo” e ele indicou também que a Abin teria adquirido, Vinícius, outro sistema, o Webint, que permitiria aí sim o rastreamento digital, inclusive com capturas de cookies e de credenciais. Bastaria informar o endereço IP, segundo essa reportagem, para obter essas informações, o que daí estaríamos diante de um sistema de hacking muito mais invasivo do que o First Mile. Alguma coisa? Não, que essa coisa às vezes… Acho que “basta saber o endereço IP” não é tão simples assim. Normalmente envolve fazer algum tipo de comunicação com a pessoa, mandar algum…
(08:11) executável ou explorar alguma vulnerabilidade no celular ou mesmo computador que não exige clique nenhum. A gente… isso está relacionado, por exemplo, gente, para quem nos acompanha nos últimos episódios, principalmente quando a gente gravou… esse não é o último, pelo contrário, esse que vou citar agora é antigo, que é o mercado de vulnerabilidades, que é… eu já digo até qual o episódio. Não vou dizer que não estou encontrando aqui. Tu cata para mim aí, Guilherme, por favor. O… então tem o mercado de vulnerabilidades, que é justamente o…
(08:46) esquema de vender vulnerabilidades para essas empresas poderem fazer esse tipo de ataque, para explorar alguma coisa no computador ou no celular e poder invadir, e aí instalar um software ou algum recurso que vai fazer monitoramento. Ou também está relacionado, nessa mesma linha, ao que a gente comentou esses dias daquela vulnerabilidade que envolvia um codec de vídeo nos navegadores e em diversos outros softwares que permitiam execução de código. São coisas, é esse tipo de vulnerabilidade…
(09:22) de situação que é explorada para fazer essas invasões. Não é tão simples, “aponta um IP e deu”. Mas, a não ser que haja alguma colaboração de uma empresa de telefonia, mesmo assim, porque ela tem… Claro que, em geral, as pessoas não têm muito controle das suas redes residenciais. O provedor tem controle, normalmente o próprio provedor gerencia o roteador nas casas das pessoas, mas até daria para fazer algumas coisas ali, mas aí seria com cooperação do provedor. Aí a gente já está falando de outro…
(09:57) nível. Mas não é só apontar o IP, não é pegar a ferramenta, botar o IP e bum, não é assim que funciona. O que envolve também, porque as operadoras, com ordem judicial, elas fazem as interceptações tanto telefônicas quanto telemáticas. Então, aí estaríamos diante de uma outra questão. Ainda no dia 19 de abril, a reportagem do The Intercept que nós comentamos obteve informação de um termo de referência que foi utilizado pela Abin para contratação dessa ferramenta, e esse termo apontava como requisito que a ferramenta colete dados por meio de malware, termo…
(10:35) utilizado para descrever um software de computador com intenção maliciosa, entre outras formas. Ainda foi registrado que esse sistema foi operado propositalmente em um servidor hospedado no exterior, sem a produção e registro de logs, justamente para não deixar rastros. Pelo visto, deixou. E o André, claro, porque você tem também nesses casos aí, provavelmente, fontes desses jornalistas que indicaram essa informação para eles. O André Ramiro, também nosso amigo do Idec, ele foi enfático falando para essa reportagem, dizendo que pela descrição do serviço do…
(11:12) Webint, eles desenvolveriam a sua tecnologia com base em mecanismo de acesso ilegal e malicioso a dados de navegação e comunicações privadas, bem como dados referentes ao tráfego de internet. E ele foi enfático aqui nesse ponto. Me pareceu muito claro concluir que a Abin está contratando uma organização criminosa. Esta conclusão é possível, logicamente comprovada pelo fato de que o modelo de negócios da empresa é baseado em coleta ilegal de dados. E aí, Vinícius, nós fazemos um breve retorno no tempo nessa cronologia, porque em 2015 nós…
(11:50) falamos sobre isso e sobre esse tema no episódio 75, “Cavalos de Troia do Estado”. A gente comentou na época da intenção da Polícia Federal de querer instalar malwares em telefones celulares com o uso do FinFisher. Depois vou fazer algumas observações sobre esse tema. Já em 20 de outubro, Vinícius, quando foi feita a operação da PF, agora, neste mês que estamos gravando, indicou-se que a Abin estaria por trás do uso do First Mile para monitoramentos. Nessa época, é importante dizer, apenas para destacar algumas pessoas envolvidas, o órgão era chefiado pelo Alexandre Ramagem…
(12:29) hoje deputado pelo PL do Rio, mas na época era ex-delegado, hoje também ex-delegado da Polícia Federal. Essa operação… Guilherme, tivemos uma pequena queda, vamos ver se a gente consegue retomar. Vamos ver aqui. Está voltando. Alô, alô. Foi alguma coisa aqui do meu lado, eu não estou conseguindo pingar o Google. Agora o Google voltou a pingar. Deixa eu ver aqui. Eu estou te ouvindo bem. Eu estou te vendo e ouvindo bem agora. Agora voltou. Só deixa eu ver aqui, mas eu já até gravei…
(13:28) Deu uma interrompida aqui. Só deixa eu conectar aqui, ver se… Eu não voltei a pingar o Google ainda. Tu estás me ouvindo ainda, Guilherme? Nunca parei de te ouvir. Beleza, então. Acho que entrou. Não está pingando o Google. Tu podes continuar, eu te chamo. Deu uma interrompida aqui, daí o Mateus consegue aproveitar. Só deixa eu ajeitar aqui para ficar tudo certo. Beleza, pronto. Estamos de volta. Voltamos. Vamos lá, segue então, Vinícius. Eu dizia que essa operação envolveu 25 mandados de busca e apreensão em São…
(14:19) Paulo, Santa Catarina, Paraná, Goiás e Distrito Federal, o que incluiu buscas na sede da Abin. Foram presos nesta data dois suspeitos de coerção, além do afastamento desses quatro servidores. A prisão desses dois teria sido feita porque eles estavam utilizando o conhecimento sobre o uso indevido do sistema como meio de coerção indireta para evitar a sua demissão. Lembra que eu comentei que a Abin disse que já estava com processo interno para apurar essas ações? Também é importante dizer, para destacar os envolvidos…
(14:56) aqui, que a Cognyte do Brasil ainda tem como um dos seus representantes o filho do General Santos Cruz, que foi ex-ministro do governo passado. A PF conseguiu levantar informação de que esse software foi usado 33.000 vezes, o que não significa dizer que foi em 33.000 pessoas, mas sim que ele foi utilizado 33.000 vezes.
(15:18) O que quer dizer 33.000 vezes? 33.000 consultas, 33.000 aparelhos monitorados, 33.000 logins? O que eu tenho lido até em outros locais aqui é que ele foi utilizado 33.000 vezes, ou seja, eu quero saber onde o Vinícius está agora é uma vez. Eu quero saber onde o Vinícius está agora, 33.000 consultas, independente se repete o aparelho ou não. Sim, é o que é a informação que a gente tem. E que isso teria sido utilizado para 1.800 alvos diferentes. Pulando agora para o dia 23, a gente teve uma reportagem da Agência Pública, do…
(15:56) Thiago Domenici, que indica que governos de nove estados contrataram os serviços da Cognyte, totalizando 57 milhões de reais em contratos. Esses estados não deram informações muito precisas sobre o uso desses serviços. Foi utilizada a Lei de Acesso à Informação pelo jornalista para fazer esses pedidos. No estado de Goiás, o delegado-geral da Polícia Civil disse que o conhecimento dessas informações possibilitaria ações direcionadas pela criminalidade, a neutralização de ações de inteligência, dificultando a atuação da Polícia Judiciária e comprometendo a segurança do estado e da…
(16:34) sociedade. É só um breve parêntese: se nós formos admitir que essa informação e esses sistemas estão sendo usados à margem da lei, que é o que a grande maioria dos especialistas tem apontado, inclusive do mundo jurídico, me parece que essa justificativa de não fornecer as informações não se sustenta. Enquanto isso, São Paulo e Mato Grosso afirmaram que o sistema utilizado é outro, é o G2S, e que essa utilização envolveria a realização de varreduras de frequências em um local, revelando o número de série de aparelhos, ou seja, um tanto quanto…
(17:12) parecido aqui com as funcionalidades do First Mile. Mas veja, contratar a Cognyte não significa dizer que você está contratando o First Mile, então é preciso destacar isso. No caso desse G2S, ele estaria fisicamente mais limitado, entende? Tu podes fazer rastreamento de equipamento por Bluetooth e também por Wi-Fi. E também pelo Wi-Fi, que ele fica se anunciando o tempo todo. Inclusive, há vários anos, não sei se tu vais lembrar o ano, nós estivemos na Procergs ou na…
(17:57) Procempa? Procergs, provavelmente. Procergs. Será que é o que eu estou pensando? A gente foi fazer uma palestra lá para o pessoal sobre segurança da informação, lembra disso? Lembro, claro. E, naquele momento, eu demonstrei justamente essa captura de dados de Wi-Fi. Era um TCC, inclusive, uma vez que eu estava orientando há muito tempo. E, justamente na questão do Wi-Fi, de que o telefone fica anunciando todas as redes que ele já viu, aquela coisa toda, e tu começas a conseguir estabelecer relações entre os…
(18:26) telefones pelas redes que eles conhecem e aos locais onde esses telefones estiveram, onde essas pessoas estiveram com seus telefones, obviamente. Sim. E o pessoal ficou bastante assustado na época quando a gente fez a demonstração lá para eles. Para mostrar “olha, esse é o risco de coleta de informação”, e a gente fez com o pessoal ali na hora, pessoal que estava no evento. Esse tipo de coleta de informação, como a G2S deve fazer, eles devem se utilizar justamente desses anúncios diversos que os celulares fazem…
(19:08) para conseguir rastreá-los, mas numa… nota que isso já é mais localizado, isso é mais limitado fisicamente. O First Mile não, depois vemos, não tem limite. E, além do fato de que essa questão das redes sem fio, como você já comentou, você não consegue por meio dela saber quando que a pessoa esteve conectada naquela rede. Você consegue saber que aquela pessoa esteve conectada em algum momento, mas é uma informação que pode, eventualmente, ser utilizada por…
(19:45) agências de inteligência. O “quando” é só quando o cara se conectou numa rede que tem o ano, tipo “Vinicius_2018”. Bom, foi de 2018 para cá. Possivelmente. Ainda, Vinícius, em 25 de outubro, o The Intercept descobriu que dois agentes da Abin, esses dois que foram presos, prestaram consultoria para a empresa Harpia Tech, que tinha contrato com o Exército brasileiro, com outros estados do Brasil, além de contratos com tribunais de justiça, com o STF e com a Câmara. Veja, trata-se de uma outra…
(20:24) empresa. Claro, a gente está falando do mundo da inteligência, mas é necessário dizer que a Harpia Tech disponibiliza uma plataforma de OSINT, ou Open Source Intelligence, ou seja, tenta agregar e buscar dados abertos na internet para, enfim, produzir informações com base nesses dados. Após pedido de informações feito pelo jornalista pela LAI ao Exército, eles disseram também que não poderiam responder sob pena de prejudicar ou causar risco a planos e operações estratégicas das Forças Armadas. Lembremos, também é um problema as Forças…
(21:02) Armadas estarem utilizando isso, porque é a Abin, são as Forças Armadas, são os estados, ou seja, você tem diversos órgãos potencialmente utilizando isso. É preciso lembrar, Vinícius, que em 2021 a Abin esteve envolvida no edital de compra de ferramentas de inteligência, na época também foi muito divulgado. Tanto que ela saiu depois. Mas informou-se à época que essas tentativas de compra das ferramentas estariam relacionadas àquilo que se divulgou muito na imprensa, na tentativa de montar uma “Abin paralela” para o gabinete…
(21:39) da presidência. Nessa época também, Vinícius, em 2020, fazendo um breve retorno, e me perdoem por essa cronologia um pouco longa, mas acho que ela é importante para a gente entender como chegamos até aqui. Ou seja, não foi algo que apareceu do dia para a noite. Eu acho que é o mais importante para organizar todas as informações. Para quem tiver mais interesse ainda, eu sugiro dois episódios aqui, além do que eu já sugeri antes, que é o “Cavalos de Troia do Estado”, que, por sinal, estava ouvindo hoje, Vinícius. Preciso dizer, sem falsa modéstia, que ficou um episódio…
(22:13) sensacional, lá no episódio 75, onde a gente discutiu bastante sobre essa questão dos Estados utilizarem malwares. Mas agora, em 2021, dois episódios se destacam: o 289, que nós falamos do Projeto Pegasus, e o 284, “Caso Pegasus e a Vigilância Estatal”. Lembrando que esse 284 foi um mashup com o pessoal da Data Privacy Brasil, que possuem o podcast Dadocracia, e nesse episódio participaram o Rafael Zanatta, aquele autor do ofício encaminhado para o Ministério Público, e também o Renato Leite Monteiro, com a produção executiva do João Vicente.
(22:57) Vinícius, depois… acabou o fôlego. Fala um pouco para nós, basicamente, o que era possível fazer, ou seja, dentro do que a gente sabe ou tem acesso. Eu consegui levantar… lembrando também, Vinícius, que essa questão do protocolo que você vai comentar, que é o SS7, ela é também… Esqueci de uma coisa muito importante. Volta a fita. Dia 26, saiu uma reportagem no Globo dizendo que a PF descobre na Abin esquema de espionagem para invasão em massa. E aí…
(23:38) sim, o César Tralli traz essa informação de que haveria uma outra ferramenta, uma ferramenta de invasão por meio de malware, segundo fontes que informaram para ele. Ou seja, aí sim estaríamos diante de uma intrusão clandestina, que pode se dar por via de disparo de um e-mail ou mensagem de texto, WhatsApp, ou seja, aquilo que a gente já conhece. Eventuais situações de explorações de vulnerabilidades que ficam escondidas e mantidas por essas empresas e depois vendem para os governos soluções que exploram essas vulnerabilidades. Isso ontem.
(24:12) Agora, e as questões técnicas, Vinícius? Como isso funciona? O que está envolvido? Existe uma vulnerabilidade nas empresas de telefonia que permite isso? Eu gostaria, antes de entrar nas questões, que eu acho, de verdade, menos importantes. São detalhes, é bom para a curiosidade, para a gente entender como funciona. Mas, nesse caso, eu vejo em todas essas situações que estão surgindo a cristalização ou concretização daquilo que a gente já comentava nos episódios que tu citaste, Guilherme, que é o abuso…
(24:44) dessas ferramentas. E nesse caso aqui aconteceu, o que está se pegando aí foi no governo Bolsonaro e tal, mas o problema é que não importa quem é o governo. Essas ferramentas têm que ser muito bem monitoradas, o uso delas tem que ser muito bem controlado, porque senão a tentação de usar, seja pelo governo que for, vai ser grande. Se o cara pode usar um negócio que fica sem registro, que ninguém descobriria e que pode dar algum tipo de vantagem estratégica, as pessoas se justificam de…
(25:18) várias maneiras. Ou até pelos próprios funcionários que têm acesso a essas ferramentas, poderiam usar sem um controle para vender essa informação, alguma coisa assim. Alguém, de repente, se sente pessoalmente atingido por uma matéria, uma reportagem, e aí daqui a pouco ameaça as pessoas da matéria e, se tem acesso aos recursos, ainda utiliza esses recursos para causar algum problema para a pessoa. Inclusive, a gente discutiu essa questão de quando tu invades um…
(25:50) computador, lá no “Cavalos de Troia do Estado”, que tu podes inclusive jogar informação na máquina do cara. Claro, tu comprometes a integridade do ambiente. Exato. Então, foi essa a nossa grande crítica à invasão para investigação, porque tu comprometes o ambiente. “Ah, que eu só vou olhar”. Quem garante que tu só vais olhar? Você está instalando um malware que potencialmente pode fazer qualquer coisa, pode potencialmente pôr qualquer coisa na máquina do cara lá e depois dizer “ó, é pedófilo”. Dependendo do que o cara faz, do que o cara trabalha…
(26:21) destrói a vida do cara. Então, o mau uso potencial das ferramentas é bem relevante. Por isso que eu digo que é uma coisa mais importante a gente entender os usos do que tecnicamente como funciona, embora também seja relevante. E, então, tem esse primeiro aspecto: é o governo da vez. Se não tiver controle, se a gente tiver o pessoal usando esse tipo de ferramenta o tempo todo e de forma descontrolada — parece que nem tanto, que conseguiram pegar —, é um problema. Hoje é…
(27:00) um problema. Foi um problema para quem é adversário do Bolsonaro, amanhã pode ser um problema para quem é adversário do governo que está no poder no momento, da força política. Precisamos reconhecer também que foi o governo atual que descobriu isso também. Sim, mas aquela história… mas dá para dizer “descobriu isso agora, interessante para detonar com…”. Enfim, eu não quero entrar nas questões políticas, porque para mim é sempre um problema tu teres uma ferramenta dessas, porque tu vais ter alternância de poder.
(27:34) E alternância de poder não é um problema, é uma coisa boa. Não, não é esse o problema. O fato de você ter alternância… o problema é que, se tu tens um negócio desse sem controle, ou sem controle adequado, ou sem uma auditoria adequada, ou sem uma prestação de contas adequada sobre o uso dessas ferramentas, hoje está o “bonzinho”, entre aspas, no governo; amanhã entra o outro “bonzinho”. Todos podem abusar desse tipo de coisa. Então eu acho isso ruim de qualquer maneira, independente do governo.
(28:10) É especialmente preocupante com relação ao que aconteceu, claro. Porque, veja, foi utilizada a ferramenta para a perseguição ou para o provento de opositores políticos. Exato. Porque veja, e aí tem uma questão interessante, antes de… Viramos a Venezuela. Pois é. Mas veja, Vinícius, que curioso: a Cognyte, ela já atendeu o governo de Myanmar um mês antes do golpe de estado e também o governo do Sudão, onde dissidentes políticos foram perseguidos. Em Myanmar, sumiu um monte…
(28:48) de gente, morreu um monte de gente antes do golpe. Enfim, eu acho que essa é a verdadeira importância desse assunto, no sentido do emprego desse tipo de ferramenta. Um outro aspecto que eu quero destacar também é que essas ferramentas, para conseguir invadir, elas se baseiam em fragilidades que não foram corrigidas.
(29:24) Tanto a questão do SS7, que nós vamos comentar agora, do protocolo, que ele tem certas fragilidades na arquitetura da rede de telefonia, há certas fragilidades nela, inerentes à sua forma de funcionamento. Há outras coisas que podem ser corrigidas. E essas coisas que a gente fala de invasão de celular, invasão de computador, envolvem fragilidades, vulnerabilidades não corrigidas também. Nota que, mesmo que tu tenhas uma autorização judicial para usar uma ferramenta dessas para invadir o computador de alguém, para que essas ferramentas funcionem, alguém tem que manter em segredo vulnerabilidades bastante críticas, que às vezes permitem…
(30:00) que, sem clicar em nada, tu tenhas um celular invadido. E isso coloca todo mundo em risco. E aí, de novo, cai naquela velha história, naquela velha discussão de ter uma porta dos fundos para se fazer investigação. Se fragiliza tudo. Mas e o SS7, Vinícius? Já chego lá, não adianta querer ficar empurrando. Então, tu tens esse aspecto de tornar as comunicações e os recursos mais vulneráveis para poderem ser invadidos, para usar essas ferramentas. Aí, depois, alguém vai lá e compra essas ferramentas…
(30:41) e explora isso. Esse é o cenário. O SS7, e eu não vou entrar em muitos detalhes aqui, a gente tem livro para indicar, a gente tem uma dissertação de mestrado sobre isso. O show notes está muito legal para quem quiser fuçar na parte técnica. Mas, para você entender, você pega o telefone, liga para a pessoa que você quer falar e você não sabe onde essa…
(31:12) pessoa está e não sabe nem que operadora ela está utilizando. A pessoa pode estar em qualquer parte do mundo, usando qualquer operadora; você pega o número dela e você consegue ligar para ela. Tu precisas, de alguma maneira, que as companhias telefônicas consigam realizar a conexão entre um telefone e outro.
(31:55) De alguma maneira, quando alguém disca para o Guilherme, todas essas empresas de telefonia precisam se comunicar entre si e conseguir olhar: “Bom, Vinícius é da empresa tal, está em tal localização, tal antena. Ele está tentando ligar para o Guilherme, que está em tal lugar, em tal antena”, e tem que estabelecer o circuito entre esses dois. E vamos supor que no meio do caminho, então estou passando pela minha… vamos supor que eu estou em casa mesmo, não estou em roaming.
(32:29) Estou usando a minha companhia telefônica. A minha companhia telefônica, para chegar até a empresa de telefonia que está atendendo o Guilherme naquele momento — o Guilherme está em roaming, está no exterior, não está nem na empresa de telefonia dele, então está em roaming —, a minha empresa de telefonia vai ter que passar por uma empresa intermediária, talvez, que vai ter tráfego, links e tudo mais. E essa vai fazer o contato com a empresa na qual o Guilherme está conectado naquele momento em roaming e vai estabelecer o…
(33:02) circuito. E aí, gente, tem que saber onde o celular está, onde o Guilherme está, tem que saber qual é o aparelho, no caso o IMEI dele, que é um identificador internacional, ou seja, ele é único no mundo para cada celular. Você tem um IMEI associado ali. Então, tem que saber, tem que ter esses dados para conseguir estabelecer o circuito na direção correta ou com as partes corretas para ser possível isso. E também para poder fazer a contabilidade disso, o accounting disso, ou o billing, se preferirem, que é: cada um vai querer ganhar o seu pedaço na prestação do…
(33:38) serviço. E tem três, quatro, cinco, seis empresas envolvidas no meio. Então, o SS7 é um protocolo que tem diversas funcionalidades, mas é um protocolo de sinalização, ou seja, de controle, em que ele te permite, entre outras coisas, buscar onde está um determinado celular. Ele está vinculado a que torre, em que circuito, em que lugar? Ele te permite estabelecer efetivamente as ligações, fazer conferência, redirecionamento de chamadas e tantas outras coisas. É isso que esse…
(34:13) protocolo faz. E esse protocolo é da década de 70. E devo lembrar, para quem conhece TCP/IP, que também é por ali, década de 60, 70. Nessa época, a preocupação não era com segurança, a preocupação era em reduzir ao máximo possível o uso de dados, que os links não eram tão bons. Então a segurança era uma coisa meio… Tanto que o TCP/IP não tinha segurança nenhuma e até hoje a gente tem problemas de segurança relacionados a coisas que persistem ainda nos protocolos. E o SS7 não foi diferente. Desde então…
(34:52) ele sofreu algumas atualizações, mas ele tem alguns problemas. E você precisa, para conseguir usar esse protocolo para falar com o sistema e conseguir localizar um celular, por exemplo, na rede de telefonia mundial, o que você precisa é de acesso a essa rede. E você tem várias maneiras de conseguir esse acesso. Uma delas é corromper alguém de uma empresa de telefonia que tenha acesso. Essa é uma forma. Outra: abre tu uma empresa de…
(35:23) telefonia fajuta para ter acesso a esse sistema. E hoje, lembrando… era isso que eu ia falar. Hoje nós temos diversos operadores. Vocês devem ver… eu não estou chamando esses operadores de fajutos, estou dizendo fajutos no sentido de criar um falso. E esses não são falsos. Vocês devem ver que um monte de provedor de internet começou a oferecer telefonia celular. VoIP, não sei o quê, sim, mas telefonia fixa e celular. E esses caras, eles não têm uma infraestrutura própria, eles são operadores virtuais nessa…
(36:02) história. Mas então eles entram também, se conectam a esses circuitos e também têm acesso a esses protocolos, essa sinalização. Porque toda empresa que entra no sistema de telefonia para prestar serviço, ela vai ter que falar esse protocolo. Embora tenha protocolos novos, quase ninguém usa. Mas há protocolos novos. Como é que é o nome dele lá? Esqueci o nome do protocolo, caramba, que tem aquele nome estranho, porque é um nome que eu não sei por que inventaram, usaram esse nome ruim pra caramba. Não lembras esse nome aí, Vini? Eu tenho ele aqui, calma que eu…
(36:39) calma que eu vou… eu tenho ele aqui para os nossos ouvintes. Ele é o… Diâmetro. É esse mesmo. É o Diameter. Tá. Depois da gente tirar do ar, dá uma pesquisada. O nome realmente não é de protocolo. Se em português seria diâmetro.
(37:40) Eu não fui atrás do porquê inventaram esse nome para esse protocolo, talvez tenha uma boa explicação por trás. A Wikipedia em italiano diz que o Diameter é um protocolo AAA de Authentication, Authorization e Accounting, sucessor do RADIUS. Sim, e estaria utilizando ele no lugar do SS7. Mas, retornando para o SS7 aqui, o que acontece é que tu precisas de acesso à rede de telefonia para fazer esse tipo de pesquisa ou esse tipo de acesso ao SS7. E não é muito difícil conseguir hoje. Não precisa ser…
(38:20) uma grande operadora do porte da Vivo para ter acesso a isso. Tu podes ser um pequeno provedor que vai virar um participante virtual, não com uma estrutura de uma Vivo. Dessa estrutura, ele vai ter acesso ao SS7. E uma outra coisa interessante, Guilherme, é que o pessoal fala em firewall para SS7, para filtrar as mensagens. Para quem conhece rede de computadores, gente, é a mesma ideia de um firewall para IP. Tem um firewall TCP/IP, é a mesma ideia: tu tens os pacotes, tem o protocolo, tem as características do protocolo e tu filtras.
(38:57) Tem algumas coisas que dá para filtrar. Ou seja, quando tem algumas outras que não dá para filtrar. Mensagens anômalas, coisas estranhas. O Guilherme está em Porto Alegre e eu estou dizendo que o Guilherme está em Três de Maio — o celular dele. Dá para pegar esse tipo de situação. Você ainda tinha mensagens tipo “anytime interrogation”, que a gente viu aqui, que o Lucas escreveu sobre isso no Coding Rights, que você poderia…
(39:27) bloquear por um firewall algumas mensagens. Mas veja, como você tem muitas coisas envolvidas no SS7, não é totalmente eficaz para o firewall. Exato, reduz. Mas tu pegas um player desses, que cobra milhões por uma solução que faz monitoramento de pessoas, esse cara vai ter interesse, tempo e dinheiro para investir na exploração, ainda que mais difícil, desse protocolo ou de qualquer outro que apareça na frente. Conclui, que depois eu tenho… E aí, o SS7…
(40:07) uma das coisas que ele tem é te permitir justamente localizar um aparelho na rede de telefonia. E existe, inclusive, uma base de dados que faz esse armazenamento dessas últimas posições, que ela pode servir tanto de ponto de partida para uma pesquisa quanto ela pode dar direto a posição do cara na rede. E quando a gente fala em posição, a gente não está só falando de uma possível triangulação de sinal, que a…
(40:44) gente já ouviu falar muitas vezes, que te diz mais ou menos a área onde o celular está, mas pode chegar até, se o celular tiver GPS ativado e tiver sinal de GPS, a uma localização precisa. Está dizendo que o sistema operacional do celular entregaria a posição de geolocalização via o protocolo SS7 quando solicitado? Exatamente. Segundo o que nós levantamos, de várias fontes diferentes, isso é perfeitamente possível. E, no caso de tu não teres essa localização precisa…
(41:28) aí sim tu apelas para uma triangulação. Porque são duas coisas. Primeiro, você falou do nome Diameter. O Diameter vem de uma brincadeira com o nome do seu antecessor, o RADIUS, pois o diâmetro é o dobro do raio. Gostei do nome, foi boa. Algumas reportagens falaram que haveria uma colaboração das empresas de telefonia. Não necessariamente, porque faz parte das características do uso do SS7. Pode ter colaboração, porque o que eles podem fazer? Eles…
(42:10) podem chegar até uma Vivo da vida — estou citando a Vivo, mas pode ser a Oi, pode ser a operadora XY — e cooperam, dando acesso à rede. Pode ser. Mas, ao mesmo tempo, tu podes criar um provedor ou comprar um provedor de fachada. E tu fazes através dele. Tu não precisas ir numa grande empresa. E precisa da cooperação de quem tem o acesso, ou tu mesmo tens o acesso, tu mesmo contratou o acesso de alguma maneira, construiu, abriu uma empresa. O que não é… para uma agência de…
(43:01) inteligência, pensando numa coisa mais… vão precisar de acesso ao SS7. “Bom, a gente não quer que as empresas de telefonia fiquem sabendo que a gente está fazendo essas operações, considerando que seja tudo perfeitamente legal”. Beleza. Então, o que a gente faz? “Ah, vamos fazer uma empresa, um provedor de internet de fachada”. Esse provedor de internet vai ter serviço de telefonia e vai ter acesso ao SS7. Mais um de não sei quantos mil provedores que existem por aí que têm esse serviço. E tem uma outra coisa. Estou lendo até na…
(43:38) dissertação que você falou antes, Vinícius. O nome da autora é Luísa Odete Herbach de Carvalho Macedo, e a dissertação é “Ataques a redes móveis usando vulnerabilidades do SS7: uma análise do tráfego real e propostas de auditoria”. Vai estar no show notes, excelente. Nas conclusões, eu vou ler só uma passagem aqui, Vinícius. Ela diz essa relação de confiança sobre os problemas do SS7. Ou seja, como eram também os problemas da internet que você sempre comenta aqui. A internet enquanto rede militar…
(44:10) e acadêmica, e mesmo assim, acadêmica restrita, ficava lá com poucas pessoas usando. Então, a segurança ficava concentrada em face de você ter poucas pessoas usando. Me parece que isso, segundo ela aqui, é o que ocorre com a rede SS7, porque ela diz: “Essa relação de confiança foi quebrada a partir do crescimento do número de operadores e do acesso à internet, trazendo à tona problemas de segurança que antes não existiam. Os atacantes podem explorar as vulnerabilidades do SS7, como os…
(44:40) problemas advindos da falta de segurança na especificação do protocolo, e gerar vários tipos de ataques de forma combinada”. E é isso aqui que eu quero que tu expliques, Vinícius: “Apesar da evolução tecnológica, mesmo as gerações mais modernas como o 4G permanecem à sombra da insegurança do SS7, por não possuir ainda a totalidade da rede com o protocolo Diameter e por não permitir o serviço de voz nativamente em sua tecnologia”. Ou seja, tudo bem, algumas podem ter o Diameter, só que a partir do…
(45:15) momento que você precisa se conectar com operadores que não possuem o Diameter, a vulnerabilidade aparece novamente. É isso? Claro, exatamente. É que nem a velha história do Wi-Fi. A gente já usou esse exemplo, com certeza, em algum momento. Mas, volta e meia, as empresas utilizam Wi-Fi, principalmente no interior. A fibra, aos poucos, está chegando nos recantos mais distantes. Mas, “ah, aqui é tudo rede local”. Mas tem um link de Wi-Fi ligando duas unidades, por exemplo.
(45:48) Cooperativas têm muito isso aqui na região onde eu moro. No momento em que tens Wi-Fi, todo o teu tráfego que estava seguro na tua rede local, restrito, ele está exposto no Wi-Fi para quem quiser. Então não adianta imaginar que tu tens empresas de telefonia que estão utilizando o Diameter, o novo protocolo seguro, só que ela precisa se comunicar com outras estruturas que…
(46:23) no destino, muitas vezes estão usando SS7. A maioria delas ainda está usando o SS7, e as estruturas intermediárias também estão usando SS7. Então, tu sais de um… A TIM é uma que, pelo que eu levantei, está usando o protocolo Diameter. Só que, se tu saíres dali, acabou. Até que todo mundo esteja falando o mesmo protocolo atualizado, tu vais ter problemas. E o que a Luísa coloca ali que tu citou…
(47:03) na conclusão dela, é justamente o que aconteceu com o TCP/IP, exatamente a mesma coisa. O TCP/IP, a arquitetura dele, o projeto dele inicialmente não se voltou para a segurança. O SS7 é a mesma coisa. Tem coisas que eram vulnerabilidades que foram mal implementadas. Tem coisas que foram mal planejadas. Algumas dessas coisas, as vulnerabilidades, foram corrigidas, aquelas coisas que envolviam má implementação. E ainda, volta e meia, aparece alguma coisa. Mas nós temos decisões de projeto que foram tomadas naquele…
(47:44) momento, naquele cenário, que neste momento são muito ruins. Elas são extremamente frágeis e dizem respeito à própria característica de funcionamento do protocolo. Então, tem pouca coisa que tu possas fazer. A gente toma uma série de medidas, mas elas continuam existindo. E eu dou um exemplo: esse exemplo é muito bom para quem não gosta de segmentar a rede, para quem gosta de criar nas suas empresas uma rede só com todo mundo conectado. Isso é ruim por…
(48:22) diversas razões. A própria ISO 27002 traz lá nos requisitos a questão da separação das redes. Mas a gente tem um probleminha fundamental, básico, envolvendo endereço IP e endereço MAC, que nos permite, com um celular, paralisar uma rede inteira, derrubar um evento. Essas feiras que têm acesso à internet ou fazem um evento e põem Wi-Fi para a galera tirar foto e postar, tu tens como derrubar essas redes brincando, a não ser que o pessoal tenha se preocupado e tomado alguma medida de…
(49:00) contenção de certos tipos de ataques. E esses ataques são possíveis por quê? Porque há fragilidades desde a década de 70 conhecidas que tu ainda hoje exploras. Hoje tu podes usar, se quiser chegar na tua faculdade onde dás aula, Guilherme, chegar lá e querer derrubar tudo, se for uma rede só, tu derrubas hoje, com um celular. Não que tu vás fazer isso. Vinícius, olha só, eu até tinha programado aqui falar alguns aspectos jurídicos, mas eu acabei me dando conta de uma coisa: lá no episódio…
(49:37) em que nós falamos do “Cavalos de Troia do Estado”, nós falamos extensamente sobre esses aspectos jurídicos, sobre a falta de autorizações judiciais, sobre os aspectos das infiltrações clandestinas em sistemas à luz do cenário jurídico brasileiro. Não mudou muito, apesar da antiguidade do episódio. Eu só quero destacar aqui, para uma questão de fontes, que a gente comentou que o Tribunal Constitucional Alemão, lá em 2008, julgou um caso que considerou…
(50:14) inconstitucional a instalação de softwares para investigações remotas e secretas. E isso fez nascer um novo direito fundamental, que é o direito fundamental à garantia da confidencialidade e da integridade dos sistemas, também chamado de direito fundamental do computador. E no Brasil aqui, nós temos pessoas que já escreveram sobre isso. Eu mesmo já escrevi uma ou outra coisa sobre isso em artigos que publiquei, em capítulos. Mas…
(50:44) tem um livro, “Direito, Inovação e Tecnologia”, lá de 2015, que tem dois artigos que falam sobre isso: um do nosso querido amigo Fabiano Menke, aqui professor da UFRGS, aqui do Rio Grande do Sul, e também do ministro Gilmar Mendes, que nós comentamos isso lá naquele episódio. Para que a gente não se repita aqui e também para que você possa ter uma visão até mesmo histórica, para ver o que mudou de 2015 para cá, são 8 anos, então já é bastante tempo. Fica a recomendação desse…
(51:18) episódio. Com uma última questão, que são as perguntas que ainda estão sem respostas, Vinícius. Porque, no final das contas, apesar de tudo isso, a Carolina Botelho, lá do portal Headline, e também o próprio ofício do Data Privacy, fazem alguns questionamentos. Então, a gente sugere que você leia, vá lá no show notes, leia o ofício que o Data Privacy encaminhou. Mas, basicamente, é o seguinte: a gente precisa saber ainda quem mandou monitorar, por que mandou, quem foi monitorado, o que se fez com essas informações. Eu acho que esse é o ponto agora, que as autoridades vão…
(51:57) chegar a essas conclusões, porque daí vai dar um fechamento em toda essa história. Beleza, Vinícius? É, eu vou só recomendar que, por favor, escutem os episódios anteriores sobre isso, porque senão a gente vai se repetir de novo. A gente já falou isso mais de uma vez. Então é muito importante que você que está interessado nesse tema escute aqueles outros episódios, porque está bem encadeado. É bem interessante o desenvolvimento da coisa como veio se dando.
(52:34) A gente está falando isso desde 2015. O primeiro episódio foi de um vazamento, não foi de monitoramento. Mas, enfim. Tá bom, pessoal, fiquem bem, até… Valeu, um abraço, pessoal. Até mais, tchau, tchau.
View all episodes
By Guilherme Goulart e Vinícius Serafim
4
77 ratings
Ajude o Segurança Legal a continuar existindo. Visite nossa campanha de financiamento coletivo e nos apoie!
Neste episódio, com Guilherme Goulart e Vinícius Serafim, falamos sobre o esquema de espionagem da Abin que, segundo a Polícia Federal, usou a ferramenta FirstMile para monitorar ilegalmente milhares de pessoas. O tema central é o uso do sistema israelense FirstMile para monitoramento e geolocalização em massa, que teria sido utilizado para vigiar adversários políticos, advogados e jornalistas durante o governo Bolsonaro, explorando uma vulnerabilidade no protocolo de telefonia SS7. A discussão aprofunda os aspectos técnicos por trás da ferramenta de vigilância, o andamento da investigação da Polícia Federal, a compra de softwares de espionagem por governos estaduais e as implicações do caso para a segurança da informação, a privacidade de dados e o direito à tecnologia no Brasil, levantando um debate sobre o controle da atividade de inteligência e o risco do abuso dessas ferramentas pelo poder estatal. Para continuar acompanhando análises aprofundadas sobre tecnologia e segurança, assine o podcast e siga o Segurança Legal na sua plataforma de áudio favorita.
ShowNotes
Transcrição do Episódio
(00:02) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? Olá aos nossos ouvintes e aos nossos YouTubers. YouTubers somos nós que estamos gravando. Mas quem navega no YouTube é o quê? Telespectadores? Ninguém mais navega, cara, esse é um termo muito antigo. Telespectadores é igual aos nossos amigos que nos acompanham. Pronto.
(00:36) Sempre lembrando para esses amigos e amigas que é fundamental para a gente a participação de todos por meio de perguntas, críticas e sugestões de tema. Para isso, estamos à disposição dos ouvintes pelo Twitter no @segurancalegal, no e-mail [email protected].
(00:56) no youtube.com/segurancalegal e no Mastodon @[email protected]. Também temos a nossa campanha de financiamento coletivo no PicPay, picpay.me/segurancalegal, e também no Apoia-se, apoia.se/segurancalegal. Considere apoiar um projeto independente de produção e compartilhamento de conhecimento. Ficamos à disposição de vocês para escolher uma das modalidades de apoio e ter a oportunidade de participar do nosso grupo do Telegram, onde conversamos e trocamos ideias e notícias. Bom, Vinícius, esse tema, o tema…
(01:35) de hoje é espinhoso, porque envolve também alguns aspectos até mesmo políticos, embora nós vamos nos focar nos aspectos técnicos aqui. É essa última descoberta que já vinha, na verdade, sendo discutida na imprensa e nos meios especializados, mas que envolveu o uso de uma ferramenta para o monitoramento, na verdade, a identificação do posicionamento de pessoas por meio do uso dos seus celulares. A notícia é que foi feita uma operação da Polícia Federal nesse mês que prendeu dois oficiais e afastou cinco dirigentes.
(02:11) da Abin. A Abin, essa ainda sob o governo Bolsonaro, teria, segundo a PF, usado a ferramenta FirstMile para monitorar milhares de pessoas. A gente vai explicar um pouquinho sobre como essa ferramenta estaria funcionando e o que potencialmente teria acontecido é que, entre as milhares de pessoas que tiveram a sua geolocalização verificada pela Abin, o que tudo indica, contra a lei, contra a legislação brasileira, advogados e até mesmo ministros do Supremo Tribunal Federal teriam sido monitorados. Inclusive, o The Intercept ainda obteve informação de que…
(02:51) o Glenn Greenwald e o David Miranda, seu esposo que faleceu recentemente, também estiveram entre as pessoas que foram espionadas por esta ferramenta. E aí, Vinícius, dá pra gente fazer uma breve cronologia aqui desse caso e da contratação dessa ferramenta? Porque veja, embora esse caso tenha ficado mais evidente agora, por conta evidentemente da operação da Polícia Federal que envolveu até mesmo prisões, na verdade, essa cronologia precisa retornar lá em 2018, porque foi lá em 2018, ainda no governo Temer, que esse sistema foi adquirido por R$5.700.000,00 inicialmente.
(03:34) A indicação foi que ele seria usado na intervenção federal de segurança no Rio de Janeiro. Diga. E só lembrando que nós temos alguns indícios da tentativa de compra desses dispositivos — não dispositivos, desses softwares — e que, eventualmente, podem envolver também dispositivos de monitoramento tanto pelo governo federal quanto por alguns estados. Isso, inclusive, a gente registrou…
(04:20) lá no episódio 80, uma dessas situações que foi o Hacking Team, em 2015. E aí tu começas aí com 2018, que foi a compra efetiva ali no governo Temer. Em 2015, teve uma situação envolvendo o vazamento de dados do Hacking Team, que era um desses grupos, dessas empresas que vendia esse tipo de serviço e que tem os vazamentos, tem as negociações que estavam sendo feitas. Sim, com a diferença, Vinícius, e a gente também vai chegar lá, mas acho que já dá para dizer isso agora…
(04:58) que as ferramentas do Hacking Team e outras que já foram inclusive negociadas pelo governo envolviam a invasão, a interceptação de fluxos de dados. Essa aqui, ao que tudo indica, e você vai explicar melhor isso depois, envolveu somente, com as informações que temos, a informação da geolocalização das pessoas. Bom, depois de 2018, pulamos para 2023. Lá em março de 2023, os repórteres Patrick Camporez, Dimitrius Dantas e Thiago Bronzato, do Globo, publicaram uma…
(05:38) reportagem falando justamente sobre o uso do First Mile, destacando que esse uso secreto estaria revelando que ele estaria sendo utilizado pela Abin, destacando que não há uma legislação que regule o uso desse tipo de ferramenta. A reportagem, já na época, informou que o sistema foi usado nos três primeiros anos do governo Bolsonaro e que essa ferramenta poderia monitorar até 10.000 celulares por ano. Eu imagino aqui, Vinícius, que essa informação de que poderia monitorar até 10.000 celulares por ano deve ser uma limitação da própria ferramenta, de comprar uma licença para tantos mil e tudo mais. Imagino. Logo depois, dois dias depois, em 16 de março, o Data Privacy Brasil enviou um ofício assinado por um dos seus diretores, nosso amigo Rafael Zanatta, que já participou aqui do podcast, para a Procuradoria-Geral da República, alertando sobre o uso do First Mile pela Abin. Depois, em 23 de março desse mesmo ano de 2023, o…
(06:48) MPF encaminha um pedido de informações para a Abin e para a Cognyte, a empresa israelense que desenvolve o First Mile. A Abin respondeu que ela teria feito uma correição extraordinária para verificar o uso dessa solução e ela também indicou que estaria colaborando com as investigações na época. Pulamos para 19 de abril de 2023, uma reportagem do Paulo Motoryn, do The Intercept, falou justamente…
(07:29) com o título “Hacking do Governo” e ele indicou também que a Abin teria adquirido, Vinícius, outro sistema, o Webint, que permitiria aí sim o rastreamento digital, inclusive com capturas de cookies e de credenciais. Bastaria informar o endereço IP, segundo essa reportagem, para obter essas informações, o que daí estaríamos diante de um sistema de hacking muito mais invasivo do que o First Mile. Alguma coisa? Não, que essa coisa às vezes… Acho que “basta saber o endereço IP” não é tão simples assim. Normalmente envolve fazer algum tipo de comunicação com a pessoa, mandar algum…
(08:11) executável ou explorar alguma vulnerabilidade no celular ou mesmo computador que não exige clique nenhum. A gente… isso está relacionado, por exemplo, gente, para quem nos acompanha nos últimos episódios, principalmente quando a gente gravou… esse não é o último, pelo contrário, esse que vou citar agora é antigo, que é o mercado de vulnerabilidades, que é… eu já digo até qual o episódio. Não vou dizer que não estou encontrando aqui. Tu cata para mim aí, Guilherme, por favor. O… então tem o mercado de vulnerabilidades, que é justamente o…
(08:46) esquema de vender vulnerabilidades para essas empresas poderem fazer esse tipo de ataque, para explorar alguma coisa no computador ou no celular e poder invadir, e aí instalar um software ou algum recurso que vai fazer monitoramento. Ou também está relacionado, nessa mesma linha, ao que a gente comentou esses dias daquela vulnerabilidade que envolvia um codec de vídeo nos navegadores e em diversos outros softwares que permitiam execução de código. São coisas, é esse tipo de vulnerabilidade…
(09:22) de situação que é explorada para fazer essas invasões. Não é tão simples, “aponta um IP e deu”. Mas, a não ser que haja alguma colaboração de uma empresa de telefonia, mesmo assim, porque ela tem… Claro que, em geral, as pessoas não têm muito controle das suas redes residenciais. O provedor tem controle, normalmente o próprio provedor gerencia o roteador nas casas das pessoas, mas até daria para fazer algumas coisas ali, mas aí seria com cooperação do provedor. Aí a gente já está falando de outro…
(09:57) nível. Mas não é só apontar o IP, não é pegar a ferramenta, botar o IP e bum, não é assim que funciona. O que envolve também, porque as operadoras, com ordem judicial, elas fazem as interceptações tanto telefônicas quanto telemáticas. Então, aí estaríamos diante de uma outra questão. Ainda no dia 19 de abril, a reportagem do The Intercept que nós comentamos obteve informação de um termo de referência que foi utilizado pela Abin para contratação dessa ferramenta, e esse termo apontava como requisito que a ferramenta colete dados por meio de malware, termo…
(10:35) utilizado para descrever um software de computador com intenção maliciosa, entre outras formas. Ainda foi registrado que esse sistema foi operado propositalmente em um servidor hospedado no exterior, sem a produção e registro de logs, justamente para não deixar rastros. Pelo visto, deixou. E o André, claro, porque você tem também nesses casos aí, provavelmente, fontes desses jornalistas que indicaram essa informação para eles. O André Ramiro, também nosso amigo do Idec, ele foi enfático falando para essa reportagem, dizendo que pela descrição do serviço do…
(11:12) Webint, eles desenvolveriam a sua tecnologia com base em mecanismo de acesso ilegal e malicioso a dados de navegação e comunicações privadas, bem como dados referentes ao tráfego de internet. E ele foi enfático aqui nesse ponto. Me pareceu muito claro concluir que a Abin está contratando uma organização criminosa. Esta conclusão é possível, logicamente comprovada pelo fato de que o modelo de negócios da empresa é baseado em coleta ilegal de dados. E aí, Vinícius, nós fazemos um breve retorno no tempo nessa cronologia, porque em 2015 nós…
(11:50) falamos sobre isso e sobre esse tema no episódio 75, “Cavalos de Troia do Estado”. A gente comentou na época da intenção da Polícia Federal de querer instalar malwares em telefones celulares com o uso do FinFisher. Depois vou fazer algumas observações sobre esse tema. Já em 20 de outubro, Vinícius, quando foi feita a operação da PF, agora, neste mês que estamos gravando, indicou-se que a Abin estaria por trás do uso do First Mile para monitoramentos. Nessa época, é importante dizer, apenas para destacar algumas pessoas envolvidas, o órgão era chefiado pelo Alexandre Ramagem…
(12:29) hoje deputado pelo PL do Rio, mas na época era ex-delegado, hoje também ex-delegado da Polícia Federal. Essa operação… Guilherme, tivemos uma pequena queda, vamos ver se a gente consegue retomar. Vamos ver aqui. Está voltando. Alô, alô. Foi alguma coisa aqui do meu lado, eu não estou conseguindo pingar o Google. Agora o Google voltou a pingar. Deixa eu ver aqui. Eu estou te ouvindo bem. Eu estou te vendo e ouvindo bem agora. Agora voltou. Só deixa eu ver aqui, mas eu já até gravei…
(13:28) Deu uma interrompida aqui. Só deixa eu conectar aqui, ver se… Eu não voltei a pingar o Google ainda. Tu estás me ouvindo ainda, Guilherme? Nunca parei de te ouvir. Beleza, então. Acho que entrou. Não está pingando o Google. Tu podes continuar, eu te chamo. Deu uma interrompida aqui, daí o Mateus consegue aproveitar. Só deixa eu ajeitar aqui para ficar tudo certo. Beleza, pronto. Estamos de volta. Voltamos. Vamos lá, segue então, Vinícius. Eu dizia que essa operação envolveu 25 mandados de busca e apreensão em São…
(14:19) Paulo, Santa Catarina, Paraná, Goiás e Distrito Federal, o que incluiu buscas na sede da Abin. Foram presos nesta data dois suspeitos de coerção, além do afastamento desses quatro servidores. A prisão desses dois teria sido feita porque eles estavam utilizando o conhecimento sobre o uso indevido do sistema como meio de coerção indireta para evitar a sua demissão. Lembra que eu comentei que a Abin disse que já estava com processo interno para apurar essas ações? Também é importante dizer, para destacar os envolvidos…
(14:56) aqui, que a Cognyte do Brasil ainda tem como um dos seus representantes o filho do General Santos Cruz, que foi ex-ministro do governo passado. A PF conseguiu levantar informação de que esse software foi usado 33.000 vezes, o que não significa dizer que foi em 33.000 pessoas, mas sim que ele foi utilizado 33.000 vezes.
(15:18) O que quer dizer 33.000 vezes? 33.000 consultas, 33.000 aparelhos monitorados, 33.000 logins? O que eu tenho lido até em outros locais aqui é que ele foi utilizado 33.000 vezes, ou seja, eu quero saber onde o Vinícius está agora é uma vez. Eu quero saber onde o Vinícius está agora, 33.000 consultas, independente se repete o aparelho ou não. Sim, é o que é a informação que a gente tem. E que isso teria sido utilizado para 1.800 alvos diferentes. Pulando agora para o dia 23, a gente teve uma reportagem da Agência Pública, do…
(15:56) Thiago Domenici, que indica que governos de nove estados contrataram os serviços da Cognyte, totalizando 57 milhões de reais em contratos. Esses estados não deram informações muito precisas sobre o uso desses serviços. Foi utilizada a Lei de Acesso à Informação pelo jornalista para fazer esses pedidos. No estado de Goiás, o delegado-geral da Polícia Civil disse que o conhecimento dessas informações possibilitaria ações direcionadas pela criminalidade, a neutralização de ações de inteligência, dificultando a atuação da Polícia Judiciária e comprometendo a segurança do estado e da…
(16:34) sociedade. É só um breve parêntese: se nós formos admitir que essa informação e esses sistemas estão sendo usados à margem da lei, que é o que a grande maioria dos especialistas tem apontado, inclusive do mundo jurídico, me parece que essa justificativa de não fornecer as informações não se sustenta. Enquanto isso, São Paulo e Mato Grosso afirmaram que o sistema utilizado é outro, é o G2S, e que essa utilização envolveria a realização de varreduras de frequências em um local, revelando o número de série de aparelhos, ou seja, um tanto quanto…
(17:12) parecido aqui com as funcionalidades do First Mile. Mas veja, contratar a Cognyte não significa dizer que você está contratando o First Mile, então é preciso destacar isso. No caso desse G2S, ele estaria fisicamente mais limitado, entende? Tu podes fazer rastreamento de equipamento por Bluetooth e também por Wi-Fi. E também pelo Wi-Fi, que ele fica se anunciando o tempo todo. Inclusive, há vários anos, não sei se tu vais lembrar o ano, nós estivemos na Procergs ou na…
(17:57) Procempa? Procergs, provavelmente. Procergs. Será que é o que eu estou pensando? A gente foi fazer uma palestra lá para o pessoal sobre segurança da informação, lembra disso? Lembro, claro. E, naquele momento, eu demonstrei justamente essa captura de dados de Wi-Fi. Era um TCC, inclusive, uma vez que eu estava orientando há muito tempo. E, justamente na questão do Wi-Fi, de que o telefone fica anunciando todas as redes que ele já viu, aquela coisa toda, e tu começas a conseguir estabelecer relações entre os…
(18:26) telefones pelas redes que eles conhecem e aos locais onde esses telefones estiveram, onde essas pessoas estiveram com seus telefones, obviamente. Sim. E o pessoal ficou bastante assustado na época quando a gente fez a demonstração lá para eles. Para mostrar “olha, esse é o risco de coleta de informação”, e a gente fez com o pessoal ali na hora, pessoal que estava no evento. Esse tipo de coleta de informação, como a G2S deve fazer, eles devem se utilizar justamente desses anúncios diversos que os celulares fazem…
(19:08) para conseguir rastreá-los, mas numa… nota que isso já é mais localizado, isso é mais limitado fisicamente. O First Mile não, depois vemos, não tem limite. E, além do fato de que essa questão das redes sem fio, como você já comentou, você não consegue por meio dela saber quando que a pessoa esteve conectada naquela rede. Você consegue saber que aquela pessoa esteve conectada em algum momento, mas é uma informação que pode, eventualmente, ser utilizada por…
(19:45) agências de inteligência. O “quando” é só quando o cara se conectou numa rede que tem o ano, tipo “Vinicius_2018”. Bom, foi de 2018 para cá. Possivelmente. Ainda, Vinícius, em 25 de outubro, o The Intercept descobriu que dois agentes da Abin, esses dois que foram presos, prestaram consultoria para a empresa Harpia Tech, que tinha contrato com o Exército brasileiro, com outros estados do Brasil, além de contratos com tribunais de justiça, com o STF e com a Câmara. Veja, trata-se de uma outra…
(20:24) empresa. Claro, a gente está falando do mundo da inteligência, mas é necessário dizer que a Harpia Tech disponibiliza uma plataforma de OSINT, ou Open Source Intelligence, ou seja, tenta agregar e buscar dados abertos na internet para, enfim, produzir informações com base nesses dados. Após pedido de informações feito pelo jornalista pela LAI ao Exército, eles disseram também que não poderiam responder sob pena de prejudicar ou causar risco a planos e operações estratégicas das Forças Armadas. Lembremos, também é um problema as Forças…
(21:02) Armadas estarem utilizando isso, porque é a Abin, são as Forças Armadas, são os estados, ou seja, você tem diversos órgãos potencialmente utilizando isso. É preciso lembrar, Vinícius, que em 2021 a Abin esteve envolvida no edital de compra de ferramentas de inteligência, na época também foi muito divulgado. Tanto que ela saiu depois. Mas informou-se à época que essas tentativas de compra das ferramentas estariam relacionadas àquilo que se divulgou muito na imprensa, na tentativa de montar uma “Abin paralela” para o gabinete…
(21:39) da presidência. Nessa época também, Vinícius, em 2020, fazendo um breve retorno, e me perdoem por essa cronologia um pouco longa, mas acho que ela é importante para a gente entender como chegamos até aqui. Ou seja, não foi algo que apareceu do dia para a noite. Eu acho que é o mais importante para organizar todas as informações. Para quem tiver mais interesse ainda, eu sugiro dois episódios aqui, além do que eu já sugeri antes, que é o “Cavalos de Troia do Estado”, que, por sinal, estava ouvindo hoje, Vinícius. Preciso dizer, sem falsa modéstia, que ficou um episódio…
(22:13) sensacional, lá no episódio 75, onde a gente discutiu bastante sobre essa questão dos Estados utilizarem malwares. Mas agora, em 2021, dois episódios se destacam: o 289, que nós falamos do Projeto Pegasus, e o 284, “Caso Pegasus e a Vigilância Estatal”. Lembrando que esse 284 foi um mashup com o pessoal da Data Privacy Brasil, que possuem o podcast Dadocracia, e nesse episódio participaram o Rafael Zanatta, aquele autor do ofício encaminhado para o Ministério Público, e também o Renato Leite Monteiro, com a produção executiva do João Vicente.
(22:57) Vinícius, depois… acabou o fôlego. Fala um pouco para nós, basicamente, o que era possível fazer, ou seja, dentro do que a gente sabe ou tem acesso. Eu consegui levantar… lembrando também, Vinícius, que essa questão do protocolo que você vai comentar, que é o SS7, ela é também… Esqueci de uma coisa muito importante. Volta a fita. Dia 26, saiu uma reportagem no Globo dizendo que a PF descobre na Abin esquema de espionagem para invasão em massa. E aí…
(23:38) sim, o César Tralli traz essa informação de que haveria uma outra ferramenta, uma ferramenta de invasão por meio de malware, segundo fontes que informaram para ele. Ou seja, aí sim estaríamos diante de uma intrusão clandestina, que pode se dar por via de disparo de um e-mail ou mensagem de texto, WhatsApp, ou seja, aquilo que a gente já conhece. Eventuais situações de explorações de vulnerabilidades que ficam escondidas e mantidas por essas empresas e depois vendem para os governos soluções que exploram essas vulnerabilidades. Isso ontem.
(24:12) Agora, e as questões técnicas, Vinícius? Como isso funciona? O que está envolvido? Existe uma vulnerabilidade nas empresas de telefonia que permite isso? Eu gostaria, antes de entrar nas questões, que eu acho, de verdade, menos importantes. São detalhes, é bom para a curiosidade, para a gente entender como funciona. Mas, nesse caso, eu vejo em todas essas situações que estão surgindo a cristalização ou concretização daquilo que a gente já comentava nos episódios que tu citaste, Guilherme, que é o abuso…
(24:44) dessas ferramentas. E nesse caso aqui aconteceu, o que está se pegando aí foi no governo Bolsonaro e tal, mas o problema é que não importa quem é o governo. Essas ferramentas têm que ser muito bem monitoradas, o uso delas tem que ser muito bem controlado, porque senão a tentação de usar, seja pelo governo que for, vai ser grande. Se o cara pode usar um negócio que fica sem registro, que ninguém descobriria e que pode dar algum tipo de vantagem estratégica, as pessoas se justificam de…
(25:18) várias maneiras. Ou até pelos próprios funcionários que têm acesso a essas ferramentas, poderiam usar sem um controle para vender essa informação, alguma coisa assim. Alguém, de repente, se sente pessoalmente atingido por uma matéria, uma reportagem, e aí daqui a pouco ameaça as pessoas da matéria e, se tem acesso aos recursos, ainda utiliza esses recursos para causar algum problema para a pessoa. Inclusive, a gente discutiu essa questão de quando tu invades um…
(25:50) computador, lá no “Cavalos de Troia do Estado”, que tu podes inclusive jogar informação na máquina do cara. Claro, tu comprometes a integridade do ambiente. Exato. Então, foi essa a nossa grande crítica à invasão para investigação, porque tu comprometes o ambiente. “Ah, que eu só vou olhar”. Quem garante que tu só vais olhar? Você está instalando um malware que potencialmente pode fazer qualquer coisa, pode potencialmente pôr qualquer coisa na máquina do cara lá e depois dizer “ó, é pedófilo”. Dependendo do que o cara faz, do que o cara trabalha…
(26:21) destrói a vida do cara. Então, o mau uso potencial das ferramentas é bem relevante. Por isso que eu digo que é uma coisa mais importante a gente entender os usos do que tecnicamente como funciona, embora também seja relevante. E, então, tem esse primeiro aspecto: é o governo da vez. Se não tiver controle, se a gente tiver o pessoal usando esse tipo de ferramenta o tempo todo e de forma descontrolada — parece que nem tanto, que conseguiram pegar —, é um problema. Hoje é…
(27:00) um problema. Foi um problema para quem é adversário do Bolsonaro, amanhã pode ser um problema para quem é adversário do governo que está no poder no momento, da força política. Precisamos reconhecer também que foi o governo atual que descobriu isso também. Sim, mas aquela história… mas dá para dizer “descobriu isso agora, interessante para detonar com…”. Enfim, eu não quero entrar nas questões políticas, porque para mim é sempre um problema tu teres uma ferramenta dessas, porque tu vais ter alternância de poder.
(27:34) E alternância de poder não é um problema, é uma coisa boa. Não, não é esse o problema. O fato de você ter alternância… o problema é que, se tu tens um negócio desse sem controle, ou sem controle adequado, ou sem uma auditoria adequada, ou sem uma prestação de contas adequada sobre o uso dessas ferramentas, hoje está o “bonzinho”, entre aspas, no governo; amanhã entra o outro “bonzinho”. Todos podem abusar desse tipo de coisa. Então eu acho isso ruim de qualquer maneira, independente do governo.
(28:10) É especialmente preocupante com relação ao que aconteceu, claro. Porque, veja, foi utilizada a ferramenta para a perseguição ou para o provento de opositores políticos. Exato. Porque veja, e aí tem uma questão interessante, antes de… Viramos a Venezuela. Pois é. Mas veja, Vinícius, que curioso: a Cognyte, ela já atendeu o governo de Myanmar um mês antes do golpe de estado e também o governo do Sudão, onde dissidentes políticos foram perseguidos. Em Myanmar, sumiu um monte…
(28:48) de gente, morreu um monte de gente antes do golpe. Enfim, eu acho que essa é a verdadeira importância desse assunto, no sentido do emprego desse tipo de ferramenta. Um outro aspecto que eu quero destacar também é que essas ferramentas, para conseguir invadir, elas se baseiam em fragilidades que não foram corrigidas.
(29:24) Tanto a questão do SS7, que nós vamos comentar agora, do protocolo, que ele tem certas fragilidades na arquitetura da rede de telefonia, há certas fragilidades nela, inerentes à sua forma de funcionamento. Há outras coisas que podem ser corrigidas. E essas coisas que a gente fala de invasão de celular, invasão de computador, envolvem fragilidades, vulnerabilidades não corrigidas também. Nota que, mesmo que tu tenhas uma autorização judicial para usar uma ferramenta dessas para invadir o computador de alguém, para que essas ferramentas funcionem, alguém tem que manter em segredo vulnerabilidades bastante críticas, que às vezes permitem…
(30:00) que, sem clicar em nada, tu tenhas um celular invadido. E isso coloca todo mundo em risco. E aí, de novo, cai naquela velha história, naquela velha discussão de ter uma porta dos fundos para se fazer investigação. Se fragiliza tudo. Mas e o SS7, Vinícius? Já chego lá, não adianta querer ficar empurrando. Então, tu tens esse aspecto de tornar as comunicações e os recursos mais vulneráveis para poderem ser invadidos, para usar essas ferramentas. Aí, depois, alguém vai lá e compra essas ferramentas…
(30:41) e explora isso. Esse é o cenário. O SS7, e eu não vou entrar em muitos detalhes aqui, a gente tem livro para indicar, a gente tem uma dissertação de mestrado sobre isso. O show notes está muito legal para quem quiser fuçar na parte técnica. Mas, para você entender, você pega o telefone, liga para a pessoa que você quer falar e você não sabe onde essa…
(31:12) pessoa está e não sabe nem que operadora ela está utilizando. A pessoa pode estar em qualquer parte do mundo, usando qualquer operadora; você pega o número dela e você consegue ligar para ela. Tu precisas, de alguma maneira, que as companhias telefônicas consigam realizar a conexão entre um telefone e outro.
(31:55) De alguma maneira, quando alguém disca para o Guilherme, todas essas empresas de telefonia precisam se comunicar entre si e conseguir olhar: “Bom, Vinícius é da empresa tal, está em tal localização, tal antena. Ele está tentando ligar para o Guilherme, que está em tal lugar, em tal antena”, e tem que estabelecer o circuito entre esses dois. E vamos supor que no meio do caminho, então estou passando pela minha… vamos supor que eu estou em casa mesmo, não estou em roaming.
(32:29) Estou usando a minha companhia telefônica. A minha companhia telefônica, para chegar até a empresa de telefonia que está atendendo o Guilherme naquele momento — o Guilherme está em roaming, está no exterior, não está nem na empresa de telefonia dele, então está em roaming —, a minha empresa de telefonia vai ter que passar por uma empresa intermediária, talvez, que vai ter tráfego, links e tudo mais. E essa vai fazer o contato com a empresa na qual o Guilherme está conectado naquele momento em roaming e vai estabelecer o…
(33:02) circuito. E aí, gente, tem que saber onde o celular está, onde o Guilherme está, tem que saber qual é o aparelho, no caso o IMEI dele, que é um identificador internacional, ou seja, ele é único no mundo para cada celular. Você tem um IMEI associado ali. Então, tem que saber, tem que ter esses dados para conseguir estabelecer o circuito na direção correta ou com as partes corretas para ser possível isso. E também para poder fazer a contabilidade disso, o accounting disso, ou o billing, se preferirem, que é: cada um vai querer ganhar o seu pedaço na prestação do…
(33:38) serviço. E tem três, quatro, cinco, seis empresas envolvidas no meio. Então, o SS7 é um protocolo que tem diversas funcionalidades, mas é um protocolo de sinalização, ou seja, de controle, em que ele te permite, entre outras coisas, buscar onde está um determinado celular. Ele está vinculado a que torre, em que circuito, em que lugar? Ele te permite estabelecer efetivamente as ligações, fazer conferência, redirecionamento de chamadas e tantas outras coisas. É isso que esse…
(34:13) protocolo faz. E esse protocolo é da década de 70. E devo lembrar, para quem conhece TCP/IP, que também é por ali, década de 60, 70. Nessa época, a preocupação não era com segurança, a preocupação era em reduzir ao máximo possível o uso de dados, que os links não eram tão bons. Então a segurança era uma coisa meio… Tanto que o TCP/IP não tinha segurança nenhuma e até hoje a gente tem problemas de segurança relacionados a coisas que persistem ainda nos protocolos. E o SS7 não foi diferente. Desde então…
(34:52) ele sofreu algumas atualizações, mas ele tem alguns problemas. E você precisa, para conseguir usar esse protocolo para falar com o sistema e conseguir localizar um celular, por exemplo, na rede de telefonia mundial, o que você precisa é de acesso a essa rede. E você tem várias maneiras de conseguir esse acesso. Uma delas é corromper alguém de uma empresa de telefonia que tenha acesso. Essa é uma forma. Outra: abre tu uma empresa de…
(35:23) telefonia fajuta para ter acesso a esse sistema. E hoje, lembrando… era isso que eu ia falar. Hoje nós temos diversos operadores. Vocês devem ver… eu não estou chamando esses operadores de fajutos, estou dizendo fajutos no sentido de criar um falso. E esses não são falsos. Vocês devem ver que um monte de provedor de internet começou a oferecer telefonia celular. VoIP, não sei o quê, sim, mas telefonia fixa e celular. E esses caras, eles não têm uma infraestrutura própria, eles são operadores virtuais nessa…
(36:02) história. Mas então eles entram também, se conectam a esses circuitos e também têm acesso a esses protocolos, essa sinalização. Porque toda empresa que entra no sistema de telefonia para prestar serviço, ela vai ter que falar esse protocolo. Embora tenha protocolos novos, quase ninguém usa. Mas há protocolos novos. Como é que é o nome dele lá? Esqueci o nome do protocolo, caramba, que tem aquele nome estranho, porque é um nome que eu não sei por que inventaram, usaram esse nome ruim pra caramba. Não lembras esse nome aí, Vini? Eu tenho ele aqui, calma que eu…
(36:39) calma que eu vou… eu tenho ele aqui para os nossos ouvintes. Ele é o… Diâmetro. É esse mesmo. É o Diameter. Tá. Depois da gente tirar do ar, dá uma pesquisada. O nome realmente não é de protocolo. Se em português seria diâmetro.
(37:40) Eu não fui atrás do porquê inventaram esse nome para esse protocolo, talvez tenha uma boa explicação por trás. A Wikipedia em italiano diz que o Diameter é um protocolo AAA de Authentication, Authorization e Accounting, sucessor do RADIUS. Sim, e estaria utilizando ele no lugar do SS7. Mas, retornando para o SS7 aqui, o que acontece é que tu precisas de acesso à rede de telefonia para fazer esse tipo de pesquisa ou esse tipo de acesso ao SS7. E não é muito difícil conseguir hoje. Não precisa ser…
(38:20) uma grande operadora do porte da Vivo para ter acesso a isso. Tu podes ser um pequeno provedor que vai virar um participante virtual, não com uma estrutura de uma Vivo. Dessa estrutura, ele vai ter acesso ao SS7. E uma outra coisa interessante, Guilherme, é que o pessoal fala em firewall para SS7, para filtrar as mensagens. Para quem conhece rede de computadores, gente, é a mesma ideia de um firewall para IP. Tem um firewall TCP/IP, é a mesma ideia: tu tens os pacotes, tem o protocolo, tem as características do protocolo e tu filtras.
(38:57) Tem algumas coisas que dá para filtrar. Ou seja, quando tem algumas outras que não dá para filtrar. Mensagens anômalas, coisas estranhas. O Guilherme está em Porto Alegre e eu estou dizendo que o Guilherme está em Três de Maio — o celular dele. Dá para pegar esse tipo de situação. Você ainda tinha mensagens tipo “anytime interrogation”, que a gente viu aqui, que o Lucas escreveu sobre isso no Coding Rights, que você poderia…
(39:27) bloquear por um firewall algumas mensagens. Mas veja, como você tem muitas coisas envolvidas no SS7, não é totalmente eficaz para o firewall. Exato, reduz. Mas tu pegas um player desses, que cobra milhões por uma solução que faz monitoramento de pessoas, esse cara vai ter interesse, tempo e dinheiro para investir na exploração, ainda que mais difícil, desse protocolo ou de qualquer outro que apareça na frente. Conclui, que depois eu tenho… E aí, o SS7…
(40:07) uma das coisas que ele tem é te permitir justamente localizar um aparelho na rede de telefonia. E existe, inclusive, uma base de dados que faz esse armazenamento dessas últimas posições, que ela pode servir tanto de ponto de partida para uma pesquisa quanto ela pode dar direto a posição do cara na rede. E quando a gente fala em posição, a gente não está só falando de uma possível triangulação de sinal, que a…
(40:44) gente já ouviu falar muitas vezes, que te diz mais ou menos a área onde o celular está, mas pode chegar até, se o celular tiver GPS ativado e tiver sinal de GPS, a uma localização precisa. Está dizendo que o sistema operacional do celular entregaria a posição de geolocalização via o protocolo SS7 quando solicitado? Exatamente. Segundo o que nós levantamos, de várias fontes diferentes, isso é perfeitamente possível. E, no caso de tu não teres essa localização precisa…
(41:28) aí sim tu apelas para uma triangulação. Porque são duas coisas. Primeiro, você falou do nome Diameter. O Diameter vem de uma brincadeira com o nome do seu antecessor, o RADIUS, pois o diâmetro é o dobro do raio. Gostei do nome, foi boa. Algumas reportagens falaram que haveria uma colaboração das empresas de telefonia. Não necessariamente, porque faz parte das características do uso do SS7. Pode ter colaboração, porque o que eles podem fazer? Eles…
(42:10) podem chegar até uma Vivo da vida — estou citando a Vivo, mas pode ser a Oi, pode ser a operadora XY — e cooperam, dando acesso à rede. Pode ser. Mas, ao mesmo tempo, tu podes criar um provedor ou comprar um provedor de fachada. E tu fazes através dele. Tu não precisas ir numa grande empresa. E precisa da cooperação de quem tem o acesso, ou tu mesmo tens o acesso, tu mesmo contratou o acesso de alguma maneira, construiu, abriu uma empresa. O que não é… para uma agência de…
(43:01) inteligência, pensando numa coisa mais… vão precisar de acesso ao SS7. “Bom, a gente não quer que as empresas de telefonia fiquem sabendo que a gente está fazendo essas operações, considerando que seja tudo perfeitamente legal”. Beleza. Então, o que a gente faz? “Ah, vamos fazer uma empresa, um provedor de internet de fachada”. Esse provedor de internet vai ter serviço de telefonia e vai ter acesso ao SS7. Mais um de não sei quantos mil provedores que existem por aí que têm esse serviço. E tem uma outra coisa. Estou lendo até na…
(43:38) dissertação que você falou antes, Vinícius. O nome da autora é Luísa Odete Herbach de Carvalho Macedo, e a dissertação é “Ataques a redes móveis usando vulnerabilidades do SS7: uma análise do tráfego real e propostas de auditoria”. Vai estar no show notes, excelente. Nas conclusões, eu vou ler só uma passagem aqui, Vinícius. Ela diz essa relação de confiança sobre os problemas do SS7. Ou seja, como eram também os problemas da internet que você sempre comenta aqui. A internet enquanto rede militar…
(44:10) e acadêmica, e mesmo assim, acadêmica restrita, ficava lá com poucas pessoas usando. Então, a segurança ficava concentrada em face de você ter poucas pessoas usando. Me parece que isso, segundo ela aqui, é o que ocorre com a rede SS7, porque ela diz: “Essa relação de confiança foi quebrada a partir do crescimento do número de operadores e do acesso à internet, trazendo à tona problemas de segurança que antes não existiam. Os atacantes podem explorar as vulnerabilidades do SS7, como os…
(44:40) problemas advindos da falta de segurança na especificação do protocolo, e gerar vários tipos de ataques de forma combinada”. E é isso aqui que eu quero que tu expliques, Vinícius: “Apesar da evolução tecnológica, mesmo as gerações mais modernas como o 4G permanecem à sombra da insegurança do SS7, por não possuir ainda a totalidade da rede com o protocolo Diameter e por não permitir o serviço de voz nativamente em sua tecnologia”. Ou seja, tudo bem, algumas podem ter o Diameter, só que a partir do…
(45:15) momento que você precisa se conectar com operadores que não possuem o Diameter, a vulnerabilidade aparece novamente. É isso? Claro, exatamente. É que nem a velha história do Wi-Fi. A gente já usou esse exemplo, com certeza, em algum momento. Mas, volta e meia, as empresas utilizam Wi-Fi, principalmente no interior. A fibra, aos poucos, está chegando nos recantos mais distantes. Mas, “ah, aqui é tudo rede local”. Mas tem um link de Wi-Fi ligando duas unidades, por exemplo.
(45:48) Cooperativas têm muito isso aqui na região onde eu moro. No momento em que tens Wi-Fi, todo o teu tráfego que estava seguro na tua rede local, restrito, ele está exposto no Wi-Fi para quem quiser. Então não adianta imaginar que tu tens empresas de telefonia que estão utilizando o Diameter, o novo protocolo seguro, só que ela precisa se comunicar com outras estruturas que…
(46:23) no destino, muitas vezes estão usando SS7. A maioria delas ainda está usando o SS7, e as estruturas intermediárias também estão usando SS7. Então, tu sais de um… A TIM é uma que, pelo que eu levantei, está usando o protocolo Diameter. Só que, se tu saíres dali, acabou. Até que todo mundo esteja falando o mesmo protocolo atualizado, tu vais ter problemas. E o que a Luísa coloca ali que tu citou…
(47:03) na conclusão dela, é justamente o que aconteceu com o TCP/IP, exatamente a mesma coisa. O TCP/IP, a arquitetura dele, o projeto dele inicialmente não se voltou para a segurança. O SS7 é a mesma coisa. Tem coisas que eram vulnerabilidades que foram mal implementadas. Tem coisas que foram mal planejadas. Algumas dessas coisas, as vulnerabilidades, foram corrigidas, aquelas coisas que envolviam má implementação. E ainda, volta e meia, aparece alguma coisa. Mas nós temos decisões de projeto que foram tomadas naquele…
(47:44) momento, naquele cenário, que neste momento são muito ruins. Elas são extremamente frágeis e dizem respeito à própria característica de funcionamento do protocolo. Então, tem pouca coisa que tu possas fazer. A gente toma uma série de medidas, mas elas continuam existindo. E eu dou um exemplo: esse exemplo é muito bom para quem não gosta de segmentar a rede, para quem gosta de criar nas suas empresas uma rede só com todo mundo conectado. Isso é ruim por…
(48:22) diversas razões. A própria ISO 27002 traz lá nos requisitos a questão da separação das redes. Mas a gente tem um probleminha fundamental, básico, envolvendo endereço IP e endereço MAC, que nos permite, com um celular, paralisar uma rede inteira, derrubar um evento. Essas feiras que têm acesso à internet ou fazem um evento e põem Wi-Fi para a galera tirar foto e postar, tu tens como derrubar essas redes brincando, a não ser que o pessoal tenha se preocupado e tomado alguma medida de…
(49:00) contenção de certos tipos de ataques. E esses ataques são possíveis por quê? Porque há fragilidades desde a década de 70 conhecidas que tu ainda hoje exploras. Hoje tu podes usar, se quiser chegar na tua faculdade onde dás aula, Guilherme, chegar lá e querer derrubar tudo, se for uma rede só, tu derrubas hoje, com um celular. Não que tu vás fazer isso. Vinícius, olha só, eu até tinha programado aqui falar alguns aspectos jurídicos, mas eu acabei me dando conta de uma coisa: lá no episódio…
(49:37) em que nós falamos do “Cavalos de Troia do Estado”, nós falamos extensamente sobre esses aspectos jurídicos, sobre a falta de autorizações judiciais, sobre os aspectos das infiltrações clandestinas em sistemas à luz do cenário jurídico brasileiro. Não mudou muito, apesar da antiguidade do episódio. Eu só quero destacar aqui, para uma questão de fontes, que a gente comentou que o Tribunal Constitucional Alemão, lá em 2008, julgou um caso que considerou…
(50:14) inconstitucional a instalação de softwares para investigações remotas e secretas. E isso fez nascer um novo direito fundamental, que é o direito fundamental à garantia da confidencialidade e da integridade dos sistemas, também chamado de direito fundamental do computador. E no Brasil aqui, nós temos pessoas que já escreveram sobre isso. Eu mesmo já escrevi uma ou outra coisa sobre isso em artigos que publiquei, em capítulos. Mas…
(50:44) tem um livro, “Direito, Inovação e Tecnologia”, lá de 2015, que tem dois artigos que falam sobre isso: um do nosso querido amigo Fabiano Menke, aqui professor da UFRGS, aqui do Rio Grande do Sul, e também do ministro Gilmar Mendes, que nós comentamos isso lá naquele episódio. Para que a gente não se repita aqui e também para que você possa ter uma visão até mesmo histórica, para ver o que mudou de 2015 para cá, são 8 anos, então já é bastante tempo. Fica a recomendação desse…
(51:18) episódio. Com uma última questão, que são as perguntas que ainda estão sem respostas, Vinícius. Porque, no final das contas, apesar de tudo isso, a Carolina Botelho, lá do portal Headline, e também o próprio ofício do Data Privacy, fazem alguns questionamentos. Então, a gente sugere que você leia, vá lá no show notes, leia o ofício que o Data Privacy encaminhou. Mas, basicamente, é o seguinte: a gente precisa saber ainda quem mandou monitorar, por que mandou, quem foi monitorado, o que se fez com essas informações. Eu acho que esse é o ponto agora, que as autoridades vão…
(51:57) chegar a essas conclusões, porque daí vai dar um fechamento em toda essa história. Beleza, Vinícius? É, eu vou só recomendar que, por favor, escutem os episódios anteriores sobre isso, porque senão a gente vai se repetir de novo. A gente já falou isso mais de uma vez. Então é muito importante que você que está interessado nesse tema escute aqueles outros episódios, porque está bem encadeado. É bem interessante o desenvolvimento da coisa como veio se dando.
(52:34) A gente está falando isso desde 2015. O primeiro episódio foi de um vazamento, não foi de monitoramento. Mas, enfim. Tá bom, pessoal, fiquem bem, até… Valeu, um abraço, pessoal. Até mais, tchau, tchau.
More shows like Segurança Legal
View all
Braincast
108 Listeners
RapaduraCast - Podcast de Cinema e Streaming
111 Listeners
MacMagazine no Ar
179 Listeners
Xadrez Verbal
174 Listeners
Giro do Loop
91 Listeners
Tecnocast
43 Listeners
NerdCast
1,010 Listeners
Naruhodo
120 Listeners
Petit Journal
78 Listeners
Durma com essa
46 Listeners
História FM
30 Listeners
Ciência Suja
20 Listeners
Vortex
19 Listeners
Só no Brasil
4 Listeners
IA Sob Controle - Inteligência Artificial
0 Listeners