Coluna

Pegasus: da inspiração poética à perseguição a jornalistas e ativistas

Imagem de perfil do Colunistaesd
O sistema Pegasus jamais deveria ter esse nome, de pureza e inspiração, ou mesmo o de Medusa, vítima da violência; talvez merecesse ser chamado de Poseidon, o estuprador que navega imperceptível - MICHAEL M. SANTIAGO / AFP
Pegasus é um programa espião desenvolvido por uma empresa israelense de cibersegurança

Por José Carlos Garcia*

 

Poucas figuras da mitologia grega antiga são tão fascinantes quanto o cavalo alado Pégasus. Com pelagem alva, amplas asas e uma beleza incrível, ele seria fruto do sangue de Medusa, que, decapitada por Perseu, tocou as águas do mar, dando origem à criatura. Responsável por levar a Zeus os raios e os trovões que caracterizam o poder do rei dos deuses do Olimpo, Pégasus simboliza a imortalidade e a inspiração poética. Que essa figura lendária seja utilizada para nomear um malware espião que vem sendo utilizado por regimes autoritários contra jornalistas e ativistas de direitos humanos, parece-nos uma zombaria de péssimo gosto.

Pegasus é um programa espião desenvolvido por uma empresa israelense de cibersegurança, a NSO Group, para ser utilizado no combate a organizações criminosas e terroristas. Exatamente por isso, não é vendido a particulares, segundo diz, mas apenas a órgãos de segurança de países aprovados pelo governo de Israel. Ocorre que vários países do mundo que adquiriram o programa têm histórico de perseguição a opositores, jornalistas e ativistas de direitos humanos — os quais, obviamente, não são terroristas ou criminosos. A partir de sua utilização, notícias cada vez mais preocupantes de invasão a celulares e a outros dispositivos móveis destas pessoas, em vários cantos do mundo, foram ganhando espaço na imprensa internacional e, com isso, deflagrando reações de autoridades de países e organizações democráticas.

Projeto Pegasus

Em julho de 2021, a Anistia Internacional divulgou um Relatório de Metodologia Forense sobre “Como agarrar o Pegasus do Grupo NSO”, elaborado a partir de uma investigação colaborativa que envolveu mais de 80 jornalistas de 17 órgãos de imprensa de dez países. Chamada de Projeto Pegasus, a iniciativa foi coordenada por Forbidden Stories com suporte técnico do Laboratório de Segurança da Anistia Internacional. O laboratório da Anistia analisou ataques utilizando aquele malware de 2014 até julho de 2021, tendo sempre por alvos defensores dos direitos humanos e jornalistas de vários países. A iniciativa se intensificou após a descoberta de ataques utilizando aquele programa contra o pessoal da Anistia e o ativista saudita Yahja Assiri, em 2018. Como demonstra o Relatório, o redirecionamento de informações de acessos e mensagens dos alvos para o sistema Pegasus se fazia em tempo real, com atraso de apenas milésimos de segundos.

Ao contrário do que se poderia supor, não se tratavam de celulares obsoletos ou que lidavam com desleixo com sua segurança digital — envolviam modelos recentes e sofisticados, com as últimas atualizações de seus sistemas operacionais, inclusive das marcas tidas como menos propensas a ataques hackers. Em uma de suas seções, descreve a evolução da rede de infraestrutura do Pegasus desde 2016, que se valeu de pelos menos 700 servidores e domínios listados. Para proteger a segurança de vários dos alvos do malware, muitos foram mantidos anônimos, identificados apenas por um código alfanumérico.

50 mil smartphones invadidos

Na esteira desse relatório, autoridades de diversos países e blocos mostraram grande preocupação com a proteção de dados, intimidade e mesmo da vida de jornalistas e ativistas mundo afora. A considerarem-se corretos os dados levantados pela Anistia — e sua descrição é minuciosa, com metodologia auditada pelo Laboratório Cidadão da Universidade de Toronto, no Canadá —, ao menos 50 mil smartphones de pessoas localizadas em 50 países teriam sido invadidos. No México, por exemplo, um jornalista cujo número de telefone estava naquela lista e que investigava o crime organizado, foi assassinado, e o aparelho, jamais encontrado. A maior parte dos contatos está concentrada em dez países: Arábia Saudita, Azerbaijão, Bahrein, Cazaquistão, Emirados Árabes Unidos, Índia, Hungria, Marrocos, México e Ruanda.

Esses fatores levaram a França e a União Europeia a abrirem investigações a respeito. O governo francês descobriu, por exemplo, que ao menos cinco de seus ministros de Estado e um diplomata tiveram seus smartphones hackeados pelo Pegasus, ao passo que o governo dos Estados Unidos, em novembro de 2021, incluiu a NSO Group em uma lista de restrições do Departamento de Comércio.

Outros malwares espiões

Este caso não é o primeiro de uso de malwares espiões para remexer em dados sigilosos de pessoas importantes no mundo. Lembremos do escândalo, que veio à luz pelo vazamento do site Wikileaks, em 2015, de que a Presidenta Dilma Roussef e a Chanceler alemã Angela Merkel (dente várias outras autoridades, inclusive cinco presidentes franceses) haviam sido monitoradas pela agência de inteligência americana NSA, com a utilização de outro programa bastante parecido com o Pegasus – as chamadas invasões “zero clique”: uma das formas mais difundidas de invasão para clonagem de celulares e roubo de senhas e outros dados de usuários comuns é enviar-lhes uma mensagem aparentemente legítima para que eles cliquem no conteúdo (prática normalmente chamada de phishing); no caso do Pegasus e de outros malwares sofisticados como ele, o usuário não precisa ser “enganado” para clicar ou autorizar nada, o programa é apenas instalado à distância no alvo e passa a ter acesso e controle sobre todos os dados e informações, senhas, sites visitados, mensagens, ligações telefônicas, e-mails, inclusive acionamento remoto de câmera e microfone ambiente, sem que o dono do aparelho tenha conhecimento disso. 

Não é necessário ser nenhum grande jurista para se perceber toda sorte de abusos, ilegalidades e perseguições que o uso de um tal programa pode favorecer. Ainda que, sob certas circunstâncias, as comunicações telefônicas e telemáticas possam ser interceptadas para fins de investigação criminal, é indispensável, para o controle de legalidade desses procedimentos excepcionais, que o alvo seja formalmente investigado, que a acusação ou suspeita lançada sobre ele e que a autorização da investigação esteja clara quanto à probabilidade de materialidade e autoria, e que tudo isso seja autorizado por uma autoridade judicial. Sem essas garantias mínimas, governos, agentes públicos, grandes corporações ou outros atores movidos por interesses igualmente inconfessáveis podem perseguir, reprimir, constranger, agredir jornalistas ou ativistas indiscriminadamente, com grave dano à democracia, à liberdade de imprensa e às liberdades políticas.

Ainda que o Brasil não esteja na lista de países citados pela investigação da Anistia Internacional, não foi sem preocupação que se soube que um representante do NSO Group participava de procedimento licitatório do Ministério da Justiça para aquisição de tecnologia de coleta de dados.

Em um mundo onde as grandes corporações de comércio na internet e redes sociais já têm acesso quase indiscriminado a nossos dados pessoais — ainda que, nesses casos, em geral mediante nossa aprovação de enormes documentos de termos e condições que nunca lemos —, a possibilidade de que órgãos de segurança e governos, especialmente autoritários, possam, ao arrepio de qualquer tipo de controle judicial ou democrático, definir alvos indiscriminadamente e devassar suas vidas inteiramente é gerador de uma sombra adicional e preocupante de incertezas sobre as condições de possibilidade da democracia e dos direitos humanos.

Batizar de Pegasus — símbolo da imortalidade, beleza e poesia — o tal programa invasor é de uma desfaçatez brutal. Remontando à lenda da origem do belo cavalo alado, que seria filho de Medusa decapitada por Perseu, deveríamos também relembrar que Medusa não fora sempre um monstro com cabelos de serpente que petrificava aqueles que a fitassem. Bela mulher, filha mortal dos deuses Fócis e Creto, a górgona Medusa era uma virgem a serviço da deusa Atena. Cobiçada pelo deus do mar, Poseidon, tio de Atena, não correspondia aos seus desejos, antes mantendo seus votos de castidade para servir à deusa. Por conta disso, foi por ele estuprada no templo da deusa, diante de sua estátua. Atena, irada com a profanação, puniu não ao estuprador, mas à vítima, Medusa, com a maldição pela qual passou a ser conhecida. Por uma questão de justiça histórica, o malware Pegasus jamais deveria ter esse nome, de pureza e inspiração, ou mesmo o de Medusa, vítima da violência. Talvez merecesse mais a denominação de Poseidon, o estuprador que navega imperceptível no fundo dos mares.

 

*José Carlos Garcia é doutor em Direito Constitucional pela PUC-Rio, juiz federal, membro da Associação Brasileira de Juristas pela Democracia (ABJD) e da Associação Juízes para a Democracia (AJD).

**A coluna Avesso do Direito mostra uma visão mais ampla do Direito e suas relações com a vida, a democracia e a pluralidade. É escrita pelos juízes federais José Carlos Garcia e Cláudia Maria Dadico, ambos membros da Associação Brasileira de Juristas pela Democracia (ABJD). Leia outros textos.

***Este é um artigo de opinião. A visão do autor não necessariamente expressa a linha editorial do jornal Brasil de Fato.

Edição: Rodrigo Durão Coelho