Descrição de chapéu Financial Times

Por que a invasão ao WhatsApp de Jeff Bezos é um alerta para os poderosos

Bilionário da Amazon teve o celular hackeado após receber mensagens supostamente enviadas por príncipe da Arábia Saudita

Richard Waters
San Francisco | Financial Times

Quando informações profundamente pessoais sobre um dos homens de negócios mais poderosos do planeta são expostas por meio de um ataque aparentemente originado da conta de WhatsApp de um futuro chefe de Estado, quem é que pode se sentir verdadeiramente seguro?

Esta semana, a revelação de que o iPhone X de Jeff Bezos foi provavelmente invadido a partir da conta pessoal de WhatsApp do príncipe herdeiro Mohammed bin Salman, da Arábia Saudita, causou choque considerável. Para qualquer pessoa que opere no nível mais elevado do mundo dos negócios ou do governo, ela certamente serve como alerta.

Três coisas confluíram para fazer do caso uma lição prática sobre como explorar vulnerabilidades digitais. A primeira envolve engenharia social. Ataques como esses sempre exploram fraquezas no sistema operacional humano, e não é fácil remediá-las.

Nos níveis mais elevados dos negócios e do governo, ego, oportunidade e responsabilidade disputam para determinar de que forma as redes pessoais operam. A confiança é um pré-requisito, e canais eletrônicos de comunicação são inevitáveis.

O empresário Jeff Bezos, dono da Amazon, durante conferência em Washington
O empresário Jeff Bezos, dono da Amazon, durante conferência em Washington - Joshua Roberts - 7.mar.17/Reuters

Mesmo amigos espionam uns aos outros. Os telefonemas da primeira-ministra alemã Angela Merkel foram alvo de escuta pela Agência de Segurança Nacional (NSA, na sigla em inglês), dos Estados Unido, de acordo com informações vazadas por Edward Snowden —ainda que as autoridades alemãs tenham abandonado sua investigação do caso por não terem encontrado provas claras.

Para qualquer pessoa que aspire ao poder e influência no mundo, isso desperta questões profundamente desconfortáveis. Por exemplo, o que é pior: que um futuro chefe de Estado não esteja lhe enviando memes de internet pelo WhatsApp ou que ele esteja? É uma aposta segura afirmar que o príncipe herdeiro saudita tem muito menos contatos ativos de WhatsApp hoje do que tinha no começo da semana.

A segunda fraqueza exposta pelo caso de Bezos é a ampla disponibilidade de poderosas armas cibernéticas, para qualquer pessoa que tenha dinheiro para pagar por elas —e esteja disposta a desconsiderar a ética e usá-las.

O especialista em segurança Bruce Schneier compara a situação à de qualquer outro ramo da indústria armamentista internacional. Os governos ricos podem ter acesso às armas mais efetivas, ele diz, mas ainda assim é possível estabelecer normas internacionais que impeçam a maioria dos combatentes de ter acesso a determinadas armas, como aconteceu com as minas terrestres.

Os investigadores de Bezos informaram que não foram capazes de determinar exatamente que tipo de “malware” foi implantado em seu telefone, mas disseram que o programa era típico dos produtos vendidos por organizações como o NSO Group e o Hacking Team.

A exposição pública pode limitar a capacidade de organizações como essas para operar com tamanha facilidade. A NSO tinha como acionista majoritário o grupo de capital privado Francisco Partners, do Vale do Silício, antes que a controversa companhia fosse revendida aos seus gestores em fevereiro do ano passado.

O Facebook no ano passado abriu um processo contra o NSO Group por um suposto ataque aos telefones de 1,4 mil usuários do WhatsApp, entre os quais funcionários de governos, jornalistas e ativistas dos direitos humanos. Esse tipo de pressão parece estar causando algum efeito.

Ao negar, esta semana, que sua tecnologia tenha sido usada no ataque a Bezos, o NSO afirmou que seu software não podia ser usado contra números de telefone dos Estados Unidos. Isso talvez possa ser considerado como progresso —embora ainda deixe cerca de 2,5 bilhões de celulares do restante do planeta expostos a ataques de usuários inescrupulosos.

O terceiro aspecto significativo do ataque a Bezos é o que ele demonstra sobre redes e serviços amplamente usados. Um dos focos vem sendo o WhatsApp. De acordo com os investigadores, o “malware” parece ter vindo de um servidor criptografado de mídia na rede controlada pelo Facebook. Isso pode indicar que a criptografia mesma beneficia os hackers e que, à medida que os negócios do Facebook avançam rumo a mensagens cifradas transmitidas por redes privadas, se tornará mais difícil bloquear esse tipo de ataque.

Mas mesmo que a criptografia torne mais difícil identificar o vetor preciso do ataque, depois que este aconteça, culpar uma companhia por não erradicar o “malware” que flutua pela rede é exigente demais. Seria como culpar pelo furto a rua que um ladrão tomou para chegar à casa que roubou, disse Schneier.
Isso devolve o foco vigorosamente ao iPhone X de Bezos —o que foi exatamente o que o Facebook tentou fazer, na quinta-feira (23), quando um de seus executivos apontou que os “sistemas operacionais” eram o ponto fraco real.

O sistema operacional iOS, da Apple, se provou mais seguro do que o software rival para smartphones Android, mas nada é completamente imune. Por exemplo, correções no iOS distribuídas pela Apple em agosto de 2016 e de novo em dezembro do ano passado apontavam para um risco de “execução arbitrária de códigos”, em determinadas circunstâncias —em outras palavras, de que “malware” pudesse operar automaticamente em aparelhos da Apple mesmo que o usuário não clicasse em um link suspeito.

O “malware” plantado no telefone de Bezos aparentemente veio de um vídeo que destacava as telecomunicações sauditas, mas pode ser que ele nem tenha clicado para assisti-lo.

Intrusões como essa representam, em seu cerne, um ataque à confiança mesma, e nos níveis mais elevados. Para os grandes e poderosos dos negócios e da política que estão reunidos em Davos esta semana para participar de seu ritual anual de socialização, isso deve oferecer motivo considerável para refletir.

Tradução de Paulo Migliacci

Tópicos relacionados

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.