A Agência Nacional de Telecomunicações (Anatel) abriu uma investigação interna sobre o “FirstMile”, programa usado de forma sigilosa pela Agência Brasileira de Inteligência (Abin) para monitorar a localização de qualquer pessoa por meio do número de telefone celular.
Segundo pessoas com acesso à tecnologia, essa ferramenta só funciona porque explora uma brecha antiga no sistema de telecomunicações do país que permite violar a privacidade de clientes das operadoras de telefonia.
Como mostrou O GLOBO, a Abin operou a ferramenta secreta durante os três primeiros anos do governo de Jair Bolsonaro. O programa permitia, sem qualquer protocolo oficial, vigiar os passos de até 10 mil proprietários de celulares a cada 12 meses. O órgão, contudo, não possui autorização legal para acessar dados privados.
A revelação do uso do programa secreto levou à abertura de investigações no Ministério Público Federal, na Polícia Federal, no Tribunal de Contas da União e na Controladoria-Geral da União, mas também jogou luz sobre as fragilidades do sistema de telecomunicações no Brasil em relação à privacidade de seus usuários.
Desenvolvido pela empresa israelense Cognyte (ex-Verint), esse tipo de rastreamento é feito a partir de dados transferidos do celular para torres de telecomunicações instaladas em diferentes regiões, as chamadas Estação Rádio Base (ERB).
Como mostrou O GLOBO, a Abin operou a ferramenta secreta durante os três primeiros anos do governo de Jair Bolsonaro. O programa permitia, sem qualquer protocolo oficial, vigiar os passos de até 10 mil proprietários de celulares a cada 12 meses. O órgão, contudo, não possui autorização legal para acessar dados privados.
A revelação do uso do programa secreto levou à abertura de investigações no Ministério Público Federal, na Polícia Federal, no Tribunal de Contas da União e na Controladoria-Geral da União, mas também jogou luz sobre as fragilidades do sistema de telecomunicações no Brasil em relação à privacidade de seus usuários.
Desenvolvido pela empresa israelense Cognyte (ex-Verint), esse tipo de rastreamento é feito a partir de dados transferidos do celular para torres de telecomunicações instaladas em diferentes regiões, as chamadas Estação Rádio Base (ERB).
Ao obter essas informações, que deveriam ser de acesso exclusivo das operadoras, o programa oferecia aos agentes da Abin opções para que um alvo fosse monitorado em tempo real, com informações sobre seus deslocamentos, ou por área, que permitia a criação de alertas quando entrasse ou saísse de uma zona pré-definida pelo operador da Abin.
Ou seja, seria possível receber alertas sempre que uma pessoa espionada estivesse na Avenida Paulista, em São Paulo, ou, por exemplo, na região do Palácio da Alvorada, em Brasília. Como a utilização do programa pela Abin era sigiloso, e não há previsão legal de como ele deve ser utilizado, ainda não é possível saber quem foram os alvos monitorados pela agência.
Nos últimos dias, o GLOBO conversou com especialistas que confirmaram a vulnerabilidade no sistema de telecomunicações que permite esse tipo de monitoramento. Por se tratar de uma solução privada, a Cognyte não revela detalhes de seu funcionamento.
Ou seja, seria possível receber alertas sempre que uma pessoa espionada estivesse na Avenida Paulista, em São Paulo, ou, por exemplo, na região do Palácio da Alvorada, em Brasília. Como a utilização do programa pela Abin era sigiloso, e não há previsão legal de como ele deve ser utilizado, ainda não é possível saber quem foram os alvos monitorados pela agência.
Nos últimos dias, o GLOBO conversou com especialistas que confirmaram a vulnerabilidade no sistema de telecomunicações que permite esse tipo de monitoramento. Por se tratar de uma solução privada, a Cognyte não revela detalhes de seu funcionamento.
Entretanto, documentos públicos obtidos pela reportagem e investigações ao redor do mundo sobre o sistema usado apontam para o fato de que a companhia lucrava no Brasil aproveitando a falha.
— O sistema viola as expectativas de privacidade dos usuários dos serviços de telecomunicações, que são assegurados pelas regulamentações do setor. Portanto, é imperativo que a Anatel produza um relatório técnico sobre a ilicitude desse tipo de ataque e recomende a não contratação desse tipo de serviço — afirma Rafael Zanatta, diretor da Data Privacy Brasil.
Na sexta-feira, a entidade enviou um ofício ao MPF pedindo a investigação de exploração ilícita da vulnerabilidade. Zanatta destaca ainda que apenas autoridades de telecomunicações de países autoritários, como Myanmar e Sudão, permitem que esses dados sigilosos sejam acessados por programas externos como o “FirstMile”.
Em 2017, Lucs Teixeira, especialista em segurança digital escreveu um artigo para a organização Coding Rights denunciando as falhas no sistema de telecomunicação brasileiro. Ao GLOBO, Teixeira afirmou que as especificações de funcionamento do FirstMile são compatíveis com o que ele encontrou.
— Quando o sistema foi desenhado, havia apenas poucos operadores de celular, que eram estatais ou grandes empresas. Era um sistema que se baseava na confiança entre essas entidades, na institucionalidade. Hoje, esse acesso é muito mais simplificado, e esse protocolo não acompanhou com incrementos de segurança — diz ele.
— O sistema viola as expectativas de privacidade dos usuários dos serviços de telecomunicações, que são assegurados pelas regulamentações do setor. Portanto, é imperativo que a Anatel produza um relatório técnico sobre a ilicitude desse tipo de ataque e recomende a não contratação desse tipo de serviço — afirma Rafael Zanatta, diretor da Data Privacy Brasil.
Na sexta-feira, a entidade enviou um ofício ao MPF pedindo a investigação de exploração ilícita da vulnerabilidade. Zanatta destaca ainda que apenas autoridades de telecomunicações de países autoritários, como Myanmar e Sudão, permitem que esses dados sigilosos sejam acessados por programas externos como o “FirstMile”.
Em 2017, Lucs Teixeira, especialista em segurança digital escreveu um artigo para a organização Coding Rights denunciando as falhas no sistema de telecomunicação brasileiro. Ao GLOBO, Teixeira afirmou que as especificações de funcionamento do FirstMile são compatíveis com o que ele encontrou.
— Quando o sistema foi desenhado, havia apenas poucos operadores de celular, que eram estatais ou grandes empresas. Era um sistema que se baseava na confiança entre essas entidades, na institucionalidade. Hoje, esse acesso é muito mais simplificado, e esse protocolo não acompanhou com incrementos de segurança — diz ele.
Aberto a acessos externos
O nome técnico do mecanismo é “Sistema de Sinalização Nº 7”, ou SS7. Esse protocolo, na prática, é como se fosse a internet das operadoras de telefonia, usado por todas as empresas que oferecem linhas de celulares. É por meio dele que um celular da operadora A consegue ligar para outro da operadora B. É só quando isso ocorre, por exemplo, que a ligação começa a “chamar”.
O que Teixeira e outros especialistas descobriram é que o que era para ser usado internamente entre as operadoras estava aberto também para requisições de acesso vindas de servidores externos.
— Se você paga o suficiente, você consegue emitir comandos internos para conseguir informações sobre outros aparelhos, o que inclui a possibilidade de fazer pedidos de localização, mas não somente isso.
De acordo com a Anatel, a Lei Geral de Telecomunicações e demais normas da telefonia em vigor preveem que as operadoras de telefonia devem utilizar recursos tecnológicos necessários para assegurar a inviolabilidade do sigilo das comunicações.
“Quanto ao caso concreto questionado, informa-se que a agência não teve ciência anterior sobre o serviço de monitoramento empenhado pela Agência Brasileira de Inteligência e que iniciou a apuração do caso”, diz a Anatel, em nota.
Procurada, a Conexis, associação que representa as operadoras de telefonia, afirmou que as empresas atuam de acordo com a legislação vigente. Também questionadas, as três principais operadoras que atuam no país, TIM, Claro e Vivo, não responderam.
O que é o programa de espionagem?
Qual o problema de usar o programa?
— Se você paga o suficiente, você consegue emitir comandos internos para conseguir informações sobre outros aparelhos, o que inclui a possibilidade de fazer pedidos de localização, mas não somente isso.
De acordo com a Anatel, a Lei Geral de Telecomunicações e demais normas da telefonia em vigor preveem que as operadoras de telefonia devem utilizar recursos tecnológicos necessários para assegurar a inviolabilidade do sigilo das comunicações.
“Quanto ao caso concreto questionado, informa-se que a agência não teve ciência anterior sobre o serviço de monitoramento empenhado pela Agência Brasileira de Inteligência e que iniciou a apuração do caso”, diz a Anatel, em nota.
Procurada, a Conexis, associação que representa as operadoras de telefonia, afirmou que as empresas atuam de acordo com a legislação vigente. Também questionadas, as três principais operadoras que atuam no país, TIM, Claro e Vivo, não responderam.
O que é o programa de espionagem?
- O programa, chamado “FirstMile”, identifica a localização aproximada de celulares.
- Foi comprado no final de 2018 e utilizado durante o governo Bolsonaro até 2021.
- Por meio do programa, é possível monitorar até 10 mil celulares a cada 12 meses.
Qual o problema de usar o programa?
- A agência não possui autorização legal para acessar dados privado.
- Não se sabe quem foi monitorado pelo aparelho.
- Pode ter sido usada para espionar desafetos políticos.
Fonte: O GLOBO
0 Comentários