Um contrato de US$ 2 milhões que o Departamento de Imigração e Controle de Alfândega dos Estados Unidos assinou com o fornecedor israelense de spyware comercial Paragon Solutions foi pausado e colocado sob revisão de conformidade, soube a WIRED.
A revisão do contrato pela Casa Branca marca o primeiro teste da ordem executiva da administração Biden que restringe o uso de spyware pelo governo.
O contrato de um ano entre a subsidiária da Paragon em Chantilly, Virgínia, e a Divisão de Investigações de Segurança Nacional (HSI) do ICE foi assinado em 27 de setembro e divulgado pela primeira vez pela WIRED em 1º de outubro. Poucos dias depois, em 8 de outubro, a HSI emitiu uma ordem de parada para o trabalho do prêmio “para revisar e verificar a conformidade com a Ordem Executiva 14093”, informa um porta-voz do DHS à WIRED.
A ordem executiva assinada pelo presidente Joe Biden em março de 2023 visa restringir o uso de tecnologia de spyware comercial pelo governo dos EUA, ao mesmo tempo que promove seu “uso responsável” que se alinha à proteção dos direitos humanos.
O DHS não confirmou se o contrato, que diz cobrir uma “solução proprietária totalmente configurada, incluindo licença, hardware, garantia, manutenção e treinamento”, inclui a implementação do produto principal da Paragon, Graphite, uma ferramenta de spyware poderosa que supostamente extrai dados principalmente de backups na nuvem.
“Imediatamente nos envolvemos com a liderança do DHS e trabalhamos de maneira muito colaborativa para entender exatamente o que foi implementado, qual era o escopo deste contrato e se ele atendia aos procedimentos e requisitos da ordem executiva”, diz um alto funcionário da administração dos EUA com conhecimento direto sobre o funcionamento da ordem executiva, que pediu anonimato para falar de maneira franca sobre a revisão do contrato do ICE.
A Paragon Solutions não respondeu ao pedido da WIRED para comentar sobre a revisão do contrato.
O processo delineado na ordem executiva exige uma revisão robusta da devida diligência em relação tanto ao fornecedor quanto à ferramenta, para ver se surgem preocupações, como riscos de contrainteligência, segurança e uso impróprio. Também estipula que uma agência não pode fazer uso operacional do spyware comercial até pelo menos sete dias após fornecer essas informações à Casa Branca ou até que o conselheiro de segurança nacional do presidente consinta.
“Em última análise, deve haver uma determinação feita pela liderança do departamento. O resultado pode ser – com base nas informações e fatos que temos – que este fornecedor e ferramenta específicos não provocam uma violação dos requisitos da ordem executiva”, diz o alto funcionário.
Embora os detalhes publicamente disponíveis do contrato do ICE com a Paragon sejam relativamente escassos, sua existência levantou alarmes entre grupos de defesa das liberdades civis, com o watchdog sem fins lucrativos Human Rights Watch dizendo em um comunicado que “dar acesso ao spyware ao ICE aumenta o risco de” práticas problemáticas do departamento. A HRW também questionou o que chama de “abordagem fragmentada” da administração Biden em relação à regulação de spyware.
O nível de seriedade com que o governo dos EUA aborda a revisão de conformidade do contrato da Paragon influenciará a confiança internacional na ordem executiva, dizem especialistas.
“Sabemos dos perigos que o spyware mercenário representa quando vendido a ditaduras, mas também há muitas evidências de danos em democracias”, diz John Scott-Railton, pesquisador sênior do Citizen Lab da Universidade de Toronto, que tem sido um elemento importante na exposição de abusos relacionados ao spyware. “É por isso que a supervisão, transparência e responsabilidade em torno de qualquer tentativa de uma agência dos EUA de adquirir essas ferramentas são essenciais.”
Os esforços internacionais para conter o spyware comercial estão ganhando força. Em 11 de outubro, durante a 57ª sessão do Conselho de Direitos Humanos, os Estados membros da ONU chegaram a um consenso para adotar uma linguagem que reconhece a ameaça que o uso indevido de spyware comercial representa para valores democráticos, bem como para a proteção dos direitos humanos e liberdades fundamentais. “Isso é uma norma importante, especialmente para países que afirmam ser democracias”, diz Natalia Krapiva, conselheira técnica-legal sênior da Access Now.
Embora os EUA estejam liderando os esforços globais para combater spyware por meio de sua ordem executiva, restrições comerciais e de visto, e sanções, a União Europeia tem sido mais permissiva. Apenas 11 dos 27 Estados membros da UE se juntaram à iniciativa liderada pelos EUA estipulada na “Declaração Conjunta sobre Esforços para Combater a Proliferação e o Uso Indevido de Spyware Comercial”, que agora conta com 21 signatários, incluindo Austrália, Canadá, Costa Rica, Japão e Coreia do Sul.
“Um mercado não regulado representa uma ameaça tanto para os cidadãos desses países quanto para esses governos e eu acho que, cada vez mais, nossa esperança é que haja um reconhecimento [na UE] disso também”, diz o alto funcionário da administração dos EUA à WIRED.
A Comissão Europeia publicou em 16 de outubro novas diretrizes sobre a exportação de itens de ciber-vigilância, incluindo spyware; no entanto, ainda não respondeu ao pedido do Parlamento Europeu para elaborar uma proposta legislativa ou admoestar países por seu uso indevido da tecnologia.
Enquanto a Polônia lançou uma investigação sobre o uso de spyware pelo governo anterior no início deste ano, uma investigação na Espanha sobre o uso de spyware contra políticos espanhóis até agora não resultou em acusações contra os envolvidos, e uma na Grécia inocentou as agências governamentais de qualquer irregularidade.
“A Europa está no meio de uma crise de spyware mercenário”, diz Scott-Railton. “Eu olhei com admiração perplexa enquanto instituições e governos europeus falham em abordar essa questão em grande escala, mesmo que haja problemas domésticos e internacionais relacionados à exportação.”
Com a ordem executiva, os EUA focam em seus interesses de segurança nacional e política externa na implantação da tecnologia de acordo com os direitos humanos e o estado de direito, além de mitigar riscos de contrainteligência (por exemplo, o direcionamento de funcionários dos EUA). A Europa – embora reconheça a dimensão da política externa – até agora se concentrou principalmente nas considerações de direitos humanos, em vez de ameaças de contrainteligência e segurança nacional.
Essa ameaça se tornou aparente em agosto, quando o Grupo de Análise de Ameaças do Google (TAG) descobriu que hackers do governo russo estavam usando exploits feitos por empresas de spyware como NSO Group e Intellexa.
Enquanto isso, a Access Now e o Citizen Lab especularam em maio que a Estônia pode ter estado por trás do hack de jornalistas russos exilados, dissidentes e outros com o spyware Pegasus do NSO Group.
“Na tentativa de se proteger da Rússia, alguns países europeus estão usando as mesmas ferramentas contra as mesmas pessoas que a Rússia está direcionando”, diz Krapiva, da Access Now. “Tendo acesso mais fácil a esse tipo de vulnerabilidades, porque elas são então vendidas no mercado negro, a Rússia pode comprá-las no final.”
“É uma grande bagunça”, acrescenta. “Ao tentar proteger a segurança nacional, eles, na verdade, a minam de muitas maneiras.”
Scott-Railton, do Citizen Lab, acredita que esses desdobramentos devem levantar preocupações entre os decisores europeus, assim como para seus colegas dos EUA, que enfatizaram o aspecto da segurança nacional na ordem executiva.
“O que vai fazer com que os chefes de estado europeus reconheçam que têm uma ameaça à segurança nacional proveniente dessa tecnologia?” pergunta Scott-Railton. “Até que reconheçam as ameaças gêmeas de direitos humanos e segurança nacional, da maneira que os EUA fizeram, eles estarão em uma desvantagem de segurança tremenda.