É como se os celulares das autoridades tivessem se tornado lugares públicos. Peço perdão pelo título politicamente incorreto.
Mas o fato é que os celulares de muitas autoridades públicas brasileiras viraram uma espécie de casa da mãe joana. Em outras palavras, devido ao descaso absoluto com medidas básicas de segurança, muitas das informações desses aparelhos se tornaram totalmente vulneráveis.
Os fatos divulgados na semana passada sobre a invasão do celular do ministro Sergio Moro e outras autoridades do primeiro escalão podem indicar que o buraco é muito mais profundo.
A técnica empregada pelos "hackers" da cidade de Araraquara na verdade não requer nenhum conhecimento profundo em tecnologia para ser utilizada. Ao contrário, o procedimento é tão rudimentar e simples que há inúmeros vídeos na internet ensinando como fazer a mesma coisa que os golpistas que vazaram os dados da Lava Jato fizeram (boa parte desses vídeos tem menos de um minuto e meio de duração).
Ou seja, não é preciso ser hacker com conhecimentos técnicos para executar a modalidade de vazamento que aparentemente afetou centenas de pessoas públicas no país.
Dado o caráter rudimentar do golpe, é possível conjecturar que potencialmente inúmeros aventureiros —talvez centenas— possam ter resolvido brincar de hacker, experimentando para ver se conseguiriam obter informações de pessoas politicamente expostas.
É como se os celulares dessas autoridades tivessem se tornado lugares públicos, acessíveis a qualquer pessoa com a paciência de assistir a um vídeo de um minuto e meio e que obtenha o número de telefone de alguma autoridade pública (porque, assim que ela for hackeada, dará acesso também à sua lista completa de contatos para o golpista).
Então qual foi a falha? Como sempre, em casos como esse, o problema acontece em múltiplos pontos. O primeiro é o uso do aplicativo Telegram, que já foi apontado por instituições como a Electronic Frontier Foundation como tendo vários pontos vulneráveis.
Outro problema é não ter acionado o segundo fator de autenticação do aplicativo, dando-se por satisfeito em utilizar apenas o número do telefone.
Outra vulnerabilidade está no fato de que as caixas de mensagens de voz dos celulares, em regra, podem ser acessadas automaticamente quando recebem uma ligação do próprio número da linha. Como o caso da semana passada demonstrou, fazer spoofing ("simular") um número de telefone é prática trivial hoje.
Mas um dos pontos cruciais é o fato de que não há política de cibersegurança implementada na administração pública brasileira.
Quem lida com questões de segurança nacional (ou mesmo de interesse público) no primeiro escalão não deveria ter a opção de usar seu telefone comum, cheio de aplicativos comerciais com graus incertos de segurança. É o que acontece nos EUA, onde o presidente (e o primeiro escalão) passa a utilizar aparelhos especiais fornecidos pelas autoridades de segurança institucional, com exceção de Trump, que não topou todas as medidas.
Talvez a visibilidade que esse tema ganhou possa levar ao amadurecimento da cibersegurança na administração pública do país. Esse amadurecimento é tardio. Mas, se a lição da semana passada não foi suficiente, difícil dizer o que será.
Ronaldo Lemos - advogado, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro.
Fonte: coluna jornal FSP