O vazamento pelo WikiLeaks de uma enorme quantidade de dados que descrevem as ferramentas de hacking da CIA reacendeu um debate sobre como o governo dos EUA equilibra a proteção da privacidade dos americanos contra suas necessidades de segurança nacional.
Algumas das ferramentas, segundo os documentos vazados, são baseadas em falhas de software previamente desconhecidas e que têm como alvo iPhones e o Android.
“Em um momento em que o hacking feito por cibercriminosos e governos é cada vez mais prejudicial, é essencial que as agências dos EUA não minem a segurança de nossos sistemas digitais”, disse Ben Wizner, diretor do American Civil Liberties Union’s Speech, Privacy and Technology Project. “Esses documentos, que parecem ser autênticos, mostram que a comunidade de inteligência deliberadamente manteve vulnerabilidades nos dispositivos mais comuns usados por centenas de milhões de pessoas”
Ele acrescentou: “Corrigir os furos de segurança imediatamente, não armazená-los, é a melhor maneira de tornar a vida digital de todos mais segura”.
Até o momento, o WikiLeaks não divulgou um código-fonte do hackeamento, ou as ferramentas construídas para tirar proveito das falhas, embora especialistas em segurança que revisaram os documentos internos digam que as descrições podem ser detalhadas o suficiente para recriar o código-fonte.
Antigos funcionários da administração Obama assumem uma visão mais moderada. “A ideia de que há uma necessidade operacional da CIA para atingir a Apple e o Google no exterior não deve surpreender ninguém, dada a disseminação do Android e do iPhone”, disse Rob Knake, ex-funcionário da Casa Branca que deixou a administração em 2015.
A administração Obama estabeleceu uma política no início de 2014 que exigia que agências como a CIA, a Agência de Segurança Nacional, o FBI e o Serviço Secreto apresentassem falhas de software que descobrissem ou comprassem para revisão por todas as agências com interesse em seu uso ou divulgação .
Ex-funcionários não puderam comentar se a CIA revelou as vulnerabilidades específicas citadas no WikiLeaks, mas, em geral, disseram, todas as agências, incluindo a CIA, participaram do processo.
Michael Daniel, ex-consultor de segurança cibernética do presidente Barack Obama, disse que, embora as autoridades “avaliem a divulgação” de uma falha de software encontrada em um software da Apple ou Microsoft ou outro produto amplamente utilizado, “não há uma regra dizendo que, porque este é um sistema da Apple, temos de divulgá-la”. A “suposição padrão”, disse ele, é a divulgação.
Mas em uma minoria de casos, disse ele, o governo vai optar por manter em segredo a falha para que ela possa continuar a ser usado em operações de hackeamento. “Você pode ter uma vulnerabilidade em um sistema que não é amplamente utilizado nos EUA, ou pode ser a única maneira que sabemos de ter acesso a certos tipos de redes”, disse ele.
Mesmo que uma decisão seja tomada para reter informações sobre uma falha, a política exige que a decisão seja revista periodicamente, disse ele.
Outros ficaram consternados com o que WikiLeaks expôs. “Os relatórios da CIA mostram que foram desenvolvidas vulnerabilidades em produtos dos EUA, depois intencionalmente manteve os buracos abertos”, twittou Edward Snowden, o ex-contratado da NSA que em 2013 publicou documentos sobre a vigilância do governo. “Imprudente além das palavras.”
Um dos documentos mostra que a CIA comprou algumas de suas ferramentas para explorar falhas, e algumas foram compradas pela NSA e compartilhadas com a CIA.
Sob a política da era Obama, uma agência que compra informações sobre uma falha deve concordar em submetê-la à revisão de vulnerabilidades, disse Daniel. Mas se uma agência comprou uma ferramenta de hacking sem os direitos para a falha subjacente, pode não ser capaz de fazê-lo, disse ele.
Um caso em questão envolveu o FBI, que no ano passado pagou centenas de milhares de dólares por uma solução para quebrar a segurança de um iPhone que tinha sido usado por um terrorista em San Bernardino, na Califórnia.
“Enquanto a CIA mantiver essas vulnerabilidades ocultas da Apple e do Google (que fabricam os telefones), elas não serão corrigidas e os telefones permanecerão hackeáveis”, disse a WikiLeaks em um comunicado de imprensa.
Na terça-feira, as empresas de tecnologia estavam lutando para revisar os documentos para determinar quais, se houver, das falhas de segurança mencionadas ainda podem existir. O porta-voz da Apple, Fred Sainz, disse em um comunicado: “Embora nossa análise inicial indique que muitas das questões vazadas hoje já foram corrigidas no iOS mais recente, vamos continuar trabalhando para resolver rapidamente qualquer vulnerabilidade identificada”.
O vazamento de dados da CIA, que vem na sequência de uma enorme divulgação de ferramentas de hacking da NSA no ano passado, ressalta a importância do processo de revisão de vulnerabilidades em uma nova administração, disse Ross Schulman, consultor do New America’s Open Technology Institute.
Ele observou que a revisão da política “existiu pela graça da administração Obama.” Funcionários da administração Trump indicaram que a política vai continuar. Mas não há nenhuma lei exigindo a revisão, e os críticos disseram que poderia ter requisitos mais fortes da transparência. “O Congresso deveria aprovar uma lei dizendo que a revisão deveria existir”, disse Schulman.