Um conjunto de programas de computador e equipamentos capaz de realizar perícias em celulares e extrair dados dos aparelhos para investigações. Esse é o produto vendido pela Cellebrite, empresa fundada em Israel, país referência em cibersegurança, que ganhou destaque nas investigações do caso do menino Henry Borel, que faria 5 anos nesta segunda-feira (3).
Essa não foi a primeira vez que os produtos da Cellebrite foram utilizados no Brasil: relatórios da Polícia Federal indicam que os equipamentos periciaram celulares na Operação Lava Jato e o próprio site da empresa destaca uma colaboração na Operação Enterprise, que investigou tráfico internacional de drogas.
Aliado em investigações de crimes, esse tipo de software também é alvo de polêmicas e preocupações de abusos de autoridades por causa de seu poderio – até mesmo dados apagados podem ser recuperados em algumas situações (veja mais abaixo).
O G1 entrevistou Mark Gambill, executivo de marketing da Cellebrite, que defendeu o uso dos equipamentos pelas autoridades.
“Se formos vítimas de um crime, gostaríamos que a polícia pudesse usar toda a tecnologia à disposição para descobrir quem fez isso e resolver o caso”, afirmou.
Segundo ele, as soluções da empresa podem ser utilizadas em várias fases de investigação como coleta, análise e gerenciamento de informações.
“Em relação à tecnologia, todas as coisas deixam uma pegada digital”, disse o executivo, se referindo à capacidade de recuperar informações apagadas.
Além de extrair dados de aparelhos, os softwares podem indicar trechos mais importantes utilizando inteligência artificial, por exemplo.
A companhia ficou famosa em 2016, quando ofereceu ao FBI a possibilidade de desbloquear o iPhone do terrorista Syed Farook, envolvido na ação que matou 14 pessoas e feriu 17 em San Bernardino, na Califórnia.
A informação de que a tecnologia da empresa foi usada não foi confirmada pela polícia dos EUA, mas desde então o uso de equipamentos da Cellebrite passou a chamar atenção – principalmente pelo fato de desbloquearem até smartphones da Apple, que têm boa reputação em segurança digital.
Os detalhes do funcionamento dos produtos são segredos comerciais – a companhia utiliza de brechas de segurança nos aparelhos para obter os acessos, o que incomoda desenvolvedores de aplicativos e sistemas operacionais.
- SAIBA MAIS: O que é o software usado no caso Henry Borel
A utilização de vulnerabilidades é um dos pontos controversos dos equipamentos do gênero.
O NSO Group, outra empresa israelense que desenvolve soluções para extração de dados, ficou conhecido pelo software espião Pegasus-3, supostamente utilizado para invadir o celular do fundador da Amazon, Jeff Bezos.
Embora as empresas ofereçam soluções diferentes, o NSO Group afirma que também vende serviços voltados para governos e autoridades policiais.
A principal diferença é que a solução da Cellebrite exige acesso físico ao aparelho, enquanto a NSO criou um mecanismo de espionagem remoto.
Questionado sobre eventuais abusos no uso dessas ferramentas, Gambill afirmou que todos os clientes assinam um termo de uso e que todos os dados precisam obtidos por meio de um mandado judicial ou autorização voluntária do dono do aparelho.
“Nossa organização tem clientes ao redor do mundo, são quase 670 clientes, predominantemente autoridades públicas”, disse o executivo.
Além de oferecer produtos para autoridades, a Cellebrite vende produtos para empresas, mas com finalidades diferentes. Entre os exemplos citados pelo executivo Mark Gambill estão auxílio em investigações sobre roubo de propriedade intelectual e acusações de assédio.
Apesar das restrições previstas em contrato, investigações de ONGs já apontaram que os produtos da Cellebrite foram utilizados em cenários questionáveis.
Em 2017, o site americano “Vice” disse ter recebido um vazamento com informações relacionadas à Cellebrite – a companhia confirmou o incidente na época.
Segundo a publicação, os dados sugeriam que a companhia vendeu suas tecnologias para países como a Rússia, Emirados Árabes Unidos e Turquia – locais com histórico de desrespeito aos direitos humanos.
Uma reportagem do jornal americano “Washington Post” de 2019 mostrou que as ferramentas da empresa foram utilizadas em celulares de dois jornalistas da agência Reuters em Mianmar, de acordo com documentos e depoimento de um advogado de defesa.
As autoridades locais acusaram os repórteres de violarem leis de segredo de Estado depois de relataram violência contra a minoria muçulmana Rohingya do país.
O Comitê para a Proteção dos Jornalistas (CPJ), ONG sediada nos EUA, relatou casos similares de buscas em celulares de jornalistas na Nigéria e em Gana, em 2019 e 2020, respectivamente.
“Trabalhamos estreitamente em Israel com o Ministério da Defesa que identifica países malfeitores. A mesma coisa vale nos EUA”, disse Mark Gambill, da Cellebrite.
Ao G1, a companhia enviou uma lista de 29 países com os quais afirmou não fazer negócios, entre eles a Rússia, Turquia e Mianmar, que foram citados em reportagens internacionais.
Na América Latina, a Cellebrite disse não fazer negócios com Bolívia, Cuba e Venezuela.
“Temos um comitê de ética que está continuamente analisando este tipo de situação para ser o mais transparente possível e em uma situação improvável em que você tenha uma mudança de regime em um país”, disse o executivo.
Ele afirmou ainda que a companhia desabilitou dispositivos em Hong Kong após a China apertar o cerco contra o movimento pró-democracia.
“Temos componentes dentro de nossa tecnologia que nos permitem, por falta de um termo técnico melhor, desligá-la”, completou o executivo.
A advogada especialista em direito digital Jacqueline Abreu destacou ao G1 os riscos de ferramentas poderosas como as da empresa.
“Em um país com instituições sólidas e mecanismos regulatórios que funcionam bem, há mais segurança de que o uso desse tipo de dispositivo será legítimo”, disse.
“Mas essa é uma ferramenta que pode cair nas mãos de alguém que não é confiável. Mesmo em um país democrático pode permitir abusos”, comentou.
Segundo ela, os critérios com os quais são deferidas ordens judiciais e de quebra de sigilo no Brasil “com muita frequência são frágeis”.
“A partir do celular, você consegue acessar todo o tipo de aplicativo instalado, obter informações que estão na nuvem, armazenadas em servidores de empresas”, afirmou.
A advogada usou como exemplo situações em que são necessárias ordens judiciais para que grandes empresas de tecnologia liberem informações relacionadas a e-mails. A partir das ferramentas de extração não seria mais preciso passar por esse trâmite, já que a conta estaria logada no aparelho.
Ela apontou ainda que os equipamentos de perícia como os da Cellebrite têm uso amplo em polícias dos Estados Unidos, mas ainda não há detalhes sobre o Brasil.
Abreu afirmou que o uso dos equipamentos da Cellebrite no país ganhou destaque em casos de grande repercussão, como na Lava Jato, nas investigações da morte da deputada Marielle Franco e na morte do menino Henry. Com isso, esse tipo de extração de dados pode ganhar apoio da opinião pública.
Porém, ela se preocupa com a banalização na extração dos dados – o que poderia, segundo a advogada, acarretar perseguições ou abusos das autoridades.
“É preciso pensar em políticas de uso [no Brasil]. De a polícia começar, por exemplo, a catalogar as instâncias em que utiliza esse tipo de informação extraída e que isso seja tornado público”, disse.
“Além de regulamentações para dizer o que pode ou não pode se fazer com os dados obtidos a partir dos celulares, para que as informações não sejam mantidas ou alimentem um banco de dados”, completou.
Expectativa de privacidade
O executivo da Cellebrite admitiu que há um dilema entre a expectativa de privacidade das pessoas e os serviços oferecidos pela empresa.
A companhia utiliza falhas de segurança para burlar proteções como bloqueios de tela e criptografia de informações.
Muitas fabricantes de aparelhos celulares, como a Apple, ressaltam os aspectos de segurança e privacidade de seus produtos. Parte do trabalho da Cellebrite é encontrar maneiras de superar essas medidas.
Gambill disse que a Apple é uma das empresas que estão tentando criar criptografias capazes de proteger a privacidade de dados e que compreende que esse é o trabalho deles, mas defende que sua empresa também tem uma missão.
“A Apple é uma empresa com a qual trabalhamos muito”, afirmou o executivo, sem dar detalhes sobre as interações entre as companhias.
Ele contou que a companhia possui um comitê de ética responsável por discutir questões de privacidade e até mesmo com quais países a Cellebrite faz negócios.
“Acho que essa [a presença do comitê] é uma das formas de tentarmos encontrar esse equilíbrio é ter diálogos com indivíduos, com grupos que defendem a privacidade, entendendo as necessidades de uma comunidade”, afirmou.
As vulnerabilidades utilizadas pela Cellebrite geralmente incomodam empresas que desenvolvem aplicativos e sistemas operacionais.
Em dezembro passado, a Cellebrite disse ter encontrado uma forma de acessar dados de mensagens do Signal, burlando medidas de segurança do aplicativo, que é famoso por elas.
- WhatsApp, Telegram e Signal: COMPARE os apps de mensagens
No final de abril, o fundador e presidente-executivo do Signal, aplicativo de mensagens rival do WhatsApp e conhecido por suas opções de segurança e privacidade divulgou um texto em que expõe brechas em um dispositivo da Cellebrite.
O executivo do Signal disse que o UFED (Dispositivo de Extração Forense Universal, em tradução da sigla em inglês) possui “diversas vulnerabilidades” que poderiam “adulterar o dispositivo escaneado e os dados que poderiam ser acessados” – o que poderia comprometer a integridade de perícias.
O CEO do Signal disse estar disposto a revelar para a Cellebrite todas as falhas de segurança que encontrou, mas a empresa precisaria se comprometer revelar as brechas que usa para desbloquear celulares “agora e no futuro”.
Fonte: G1
