1.

A primeira coisa que faço quando compro um telefone novo é desmontá-lo. Não faço isso para satisfazer um desejo de inventor (tinkerer) ou por princípio político, mas simplesmente porque ele não é seguro para usar. Consertar o hardware, ou seja, remover cirurgicamente os dois ou três microfones minúsculos escondidos dentro, é somente o primeiro passo de um processo árduo e, no entanto, mesmo depois dessas melhorias de segurança “faça você mesmo”, meu smartphone continuará sendo o item mais perigoso que eu tenho.

Antes do Projeto Pegasus, um esforço global de reportagem de grandes jornais para expôr as consequências fatais do NSO Group — o novo rosto do setor privado de uma Indústria da Insegurança fora do controle –, a maioria dos fabricantes de smartphones e grande parte da imprensa mundial coletivamente reviravam os olhos para mim sempre que identifiquei publicamente um iPhone recém-saído da caixa como uma ameaça letal em potencial.

Apesar de anos de reportagens que implicaram a lucrativa invasão de telefones do NSO Group em mortes e prisões de jornalistas e defensores de direitos humanos; apesar de anos reportando que os sistemas operacionais de smartphones estavam crivados de falhas de segurança catastróficas (uma circunstância piorada pelo fato de seus códigos terem sido escritos em linguagens de programação mais antigas que há muito tempo são consideradas inseguras); e apesar de anos reportando que mesmo quando tudo funciona como planejado, o ecossistema móvel é uma paisagem infernal distópica de monitoramento e manipulação direta do usuário final, ainda é difícil para muitas pessoas aceitar que algo que parece bom pode na verdade não ser. Nos últimos 8 anos, sempre me senti como alguém tentando convencer seu único amigo que se recusa a parar de fumar e a reduzir seu consumo de bebidas alcoólicas — enquanto isso, os anúncios em revistas ainda dizem “9 a cada 10 médicos fumam iPhones!” e “A navegação insegura em celulares está sendo atualizada!”

Em meu otimismo infinito, entretanto, não posso deixar de considerar a chegada do Projeto Pegasus como um ponto de inflexão — uma reportagem bem pesquisada, com fontes exaustivas e, francamente, enlouquecedora sobre um Cavalo de Tróia “alado” chamado “Pegasus”, que basicamente torna o telefone no seu bolso num dispositivo super poderoso de rastreamento que pode ser ligado e desligado, remotamente, sem o conhecimento de você, o dono do bolso.

É assim que o Washington Post o descreve:

Em resumo, o telefone nas suas mãos existe num estado permanente de insegurança, aberto à infecção por qualquer pessoa que queira colocar dinheiro na mão dessa nova Indústria da Insegurança. A totalidade dos negócios dessa indústria envolve preparar novos tipos de infecções que irão contornar as mais recentes vacinas digitais — também conhecidas como atualizações de segurança — e então vendê-los para países que ocupam a interseção do diagrama de Venn entre “anseia desesperadamente por ferramentas de opressão” e “carece de sofisticação para produzí-las domesticamente”.

Uma indústria como essa, cujo único propósito é a produção da vulnerabilidade, deveria ser desmantelada.

2.

Mesmo se acordássemos amanhã e o NSO Group e toda sua laia no setor privado tivessem sido dizimados pela erupção de um vulcão de interesse público, isso não mudaria o fato de que estamos no meio da maior crise de segurança computacional da história dos computadores. As pessoas que criam o software por trás de um dispositivo importante — as pessoas que ajudam a fazer Apple, Google, Microsoft uma amálgama de fabricantes de chip que querem vender coisas, não consertar coisas e os desenvolvedores de Linux bem intencionados que querem consertar coisas, não vender coisas — estão todos felizes em escrever código em linguagens de programação que nós sabemos que são inseguras, porque, bem, isso é o que eles sempre fizeram, e a modernização requer um esforço significativo, sem mencionar gastos significativos. A vasta maioria das vulnerabilidades que são depois descobertas e exploradas pela Indústria da Insegurança são introduzidas, por razões técnicas relacionadas a como um computador mantém um registro do que ele deve fazer, no tempo exato em que o código é escrito, o que torna escolher uma linguagem mais segura uma proteção crucial… e ainda assim é algo que poucos empreendem.

Se você quer ver mudanças, é necessário incentivá-las. Por exemplo, se você deseja que a Microsoft tenha um ataque cardíaco, fale sobre a ideia de definir responsabilidade legal por código incorreto num produto comercial. Se você quer dar pesadelos ao Facebook, fale sobre a ideia de torná-lo legalmente responsável por qualquer e todos os vazamentos dos nossos dados pessoais que um júri possa ser persuadido de ter sido coletado desnecessariamente. Imagine a rapidez com que Mark Zuckerberg começaria a apertar a tecla “Delete”.

Onde não há responsabilidade legal, não há obediência… e isso nos leva ao Estado.

3.

O hackeamento patrocinado pelo estado se tornou uma competição tão regular que deveria ter sua própria categoria olímpica em Tóquio. Cada país denuncia os esforços dos outros como crime, enquanto se recusa a admitir a culpa por suas próprias infrações. Como, então, podemos ficar surpresos quando a Jamaica aparece com seu próprio time de corrida de trenó? Ou quando uma empresa privada que se autodenomina “Jamaica” aparece e reivindica o mesmo direito a participar de corridas no frio do que um estado-nação? [N.T. Este parágrafo faz referência a um filme de comédia americano chamado “Jamaica abaixo de zero”]

Se hackear não é ilegal quando o fazemos, então não vai ser ilegal quando eles fazem — e “eles” estão cada vez mais se tornando o setor privado. É um princípio básico do capitalismo: são apenas negócios. Se todo mundo está fazendo, por que não eu?

Esse é o raciocínio superficialmente lógico que produziu praticamente todos os problemas de proliferação na história do controle de armas, e a mesma destruição mútua implícita implicada por um conflito nuclear não é garantida num conflito digital devido à interconectividade e à homogeneidade da rede.

Lembre-se do nosso tópico anterior do Pegasus do NSO Group, que visa especialmente mas não exclusivamente iPhones. Embora os iPhones sejam mais privados por padrão e, ocasionalmente, melhor projetados do ponto de vista da segurança do que o sistema operacional Android do Google, eles também constituem uma monocultura: se você encontrar uma maneira de infectar um deles, poderá (provavelmente) infectar todos eles, um problema agravado pela recusa da Apple de permitir aos seus clientes que façam quaisquer modificações significativas na forma como os dispositivos iOS funcionam. Quando você combina essa monocultura e caixa preta com a popularidade quase universal da Apple entre a elite global, as razões para a fixação do NSO Group com o iPhone tornam-se óbvias.

Os governos devem entender que permitir — muito menos subsidiar — a existência do NSO Group e seus pares malévolos não serve aos seus interesses, independentemente de onde o cliente, ou o Estado-cliente, esteja situado ao longo do eixo autoritário: o último presidente dos EUA passou todo o tempo no cargo, quando não estava jogando golfe, tuitando de um iPhone e eu apostaria que metade dos funcionários mais seniors e seus colegas em todos os outros países estavam lendo esses tuítes nos seus iPhones (talvez em campos de golfe).

Quer queiramos ou não, adversários e aliados compartilham um ambiente comum e, a cada dia que passa, nós nos tornamos mais dependentes de dispositivos que rodam um código comum.

A ideia de que as grandes potências da nossa era — Estados Unidos,o China, Rússia, até mesmo Israel — estejam interessadas em, digamos, o Azerbaijão atingir a paridade estratégica na coleta de informações é, claro, profundamente equivocada. Esses governos simplesmente falharam em compreender a ameaça, porque a lacuna de capacidade não desapareceu — ainda.

4.

Na tecnologia como na saúde pública, para proteger uma pessoa nós devemos proteger a todos. O primeiro passo nessa direção — pelo menos o primeiro passo digital — deve ser proibir o comércio do software de intrusão. Não permitimos um mercado de infecções biológicas como serviço, e o mesmo deve ser verdade para infecções digitais. Eliminar a motivação do lucro reduz os riscos de proliferação enquanto protege o progresso, deixando espaço para pesquisas voltadas para o público e trabalho inerentemente governamental.

Embora remover software de intrusão do mercado comercial não o afaste dos estados, garante que traficantes de drogas imprudentes e produtores de Hollywood criminosos sexuais que conseguem sacar alguns milhões das almofadas dos seus sofás não sejam capazes de infectar um ou todo iPhone no planeta, pondo em risco as placas brilhantes de status da classe média-alta.

Tal moratória, no entanto, é mera triagem: ela apenas nos dá tempo. Após a proibição, o próximo passo é a responsabilidade legal. É crucial entender que nem a escala do negócio do NSO Group nem as consequências que infligiu à sociedade global teriam sido possíveis sem acesso ao capital global de empresas amorais como Novalpina Capital (Europa) e Francisco Partners (EUA). O slogan é simples: se as empresas não perderem os investimentos, os proprietários devem ser presos. O produto exclusivo dessa indústria é o dano intencional e previsível, e essas empresas são cúmplices astutas. Além disso, quando se descobre que uma empresa está engajada em tais atividades sob a direção de um estado, a responsabilidade deve ir além dos códigos civis e criminais mais prosaicos para invocar uma resposta internacional coordenada.

5.

Imagine que você é do conselho editorial do Washington Post (primeiro você terá que se livrar da sua espinha). Imagine ter seu colonista assassinado e responder com um sussurro apelando aos arquitetos daquele assassinato que a próxima vez eles precisam preencher um pouco mais de papelada. Francamente, a resposta do Washington Post ao escândalo da NSO é tão embaraçosamente fraca que é um escândalo em si mesma: quantos dos seus escritores precisam morrer para eles serem persuadidos de que processo não substitui proibição?

A Arábia Saudita, usando o Pegasus, hackeou os telefones da ex-esposa de Jamal Khashoggi e da sua noiva, e usou as informações coletadas para se preparar para o seu assassinato monstruoso e seu posterior encobrimento.

Mas Khashoggi é apenas a mais proeminente das vítimas do Pegasus — devido à natureza macabra e de sangue-frio do seu assassinato. O “produto” (leia-se: “serviço criminal”) do NSO Group tem sido usado para espiar incontáveis outros jornalistas, juízes e até professores; candidatos da oposição, esposas e filhos dos alvos, seus médicos, seus advogados e até seus sacerdotes. Isso é o que as pessoas que pensam que uma proibição é “muito extrema” sempre perdem: essa indústria vende a oportunidade de atirar em repórteres que você não gosta num lava-rápido.

Se nós não fizermos nada para parar a venda dessa tecnologia, não serão apenas 50 mil alvos: serão 50 milhões, e vai acontecer muito mais rápido do que qualquer um de nós espera.

Este será o futuro: um mundo de pessoas ocupadas demais com seus telefones para perceberem que outra pessoa as controla.

Publicado originalmente em inglês no blog do autor e traduzido pela Revista Movimento.