Para a ONG Privacidade Internacional, trata-se de uma grande vitória na luta contra a venda ilegal de software espião. Nesta segunda-feira (12/05), a Alta Corte de Justiça do Reino Unido decidiu que o Departamento de Receita e Alfândega (HMRC) – órgão responsável por controlar a regulamentação de exportações no Reino Unido – agiu ilegalmente ao se recusar a repassar à ONG informações sobre a investigação relacionada à empresa Gamma International.
Apesar de não possuir a licença de exportação, o famoso software espião (spyware) da Gamma, o FinFisher, está sendo usado, segundo a Privacidade Internacional, em no mínimo 36 países, incluindo alguns que possuem regimes repressores, como Egito, Bahrein, Etiópia e Turcomenistão.
O FinFisher foi desenvolvido na Alemanha e é essencialmente um vírus que se instala secretamente no computador ou celular. Ele possibilita a ligação de câmeras e microfones à distância, faz fotografias, além de monitorar e-mails, mensagens de texto e chamadas de voz, inclusive no Skype. Ele também pode rastrear a localização do aparelho.
O software é comandado por controle remoto. Seus criadores em Munique não responderam a uma solicitação de entrevista. Mas, no seu site, a empresa se gaba por empregar alguns dos melhores especialistas do mundo em "TI de intrusão ofensiva".
"É quase impossível detectar o FinFisher. O que aconteceu nos exemplos que conhecemos é que as pessoas suspeitaram porque a infecção começou por um e-mail fingindo ser alguém que eles conheciam, e logo a máquina desligou, ou devido a um e-mail enviado para várias pessoas e, mais uma vez, viu-se algo desligar", afirma o diretor de pesquisa da Privacidade Internacional, Eric Kingm, à DW.
Negócio ilegal
Através da análise digital forense, a ONG consegui determinar que o spyware instalado nos computadores de alguns ativistas era o FinFisher, e que ele estava passando informações para governos no mundo inteiro. Devido a seus componentes criptográficos, sua exportação a partir do Reino Unido sem uma licença do governo é ilegal.
Porém, há poucos anos, a organização já havia confirmado que nenhuma licença havia sido concedida à Gamma International. Em novembro de 2012, o grupo enviou ao HMRC, a pedido do governo britânico, um dossiê de 186 páginas com evidências de que a Gamma International havia exportado ilegalmente a tecnologia de espionagem.
O relatório contém o relato de Ala'a Shehabi, uma economista britânica nascida no Bahrein e ativista de defesa da democracia que foi presa por autoridades do país árabe com detalhes técnicos dos seus servidores.
"Agora a Alta Corte afirmou legalmente que as ações do HMRC eram ilegais. Eu espero que o governo tome providências para fazer justiça para as vítimas que tiveram seus direitos violados por causa de spywares intrusos", diz Shehabi.
"Não conseguíamos nem mesmo ter a confirmação do HMRC de que eles haviam recebido as cartas, mas meses depois eles finalmente afirmaram que nós enviamos. Mas nós não sabíamos o que eles iriam fazer com elas, não tínhamos uma confirmação de que eles iriam investigar. Após uma longa correspondência, decidimos levá-los ao tribunal", conta King.
E, nesta semana, a Alta Corte concordou com a Privacidade Internacional que as vítimas da espionagem, assim como o público, tinham o direito de saber o que o governo estava fazendo para que as diretrizes de exportação fossem cumpridas.
Roubo excluído
A Justiça considerou a recusa do HMRC em dar informações como irracional e simplesmente incompatível com a legislação.
"Estamos analisando as particularidades do julgamento. A revisão judicial confirma que só podemos revelar informações que a lei permite, e o HMRC continua comprometido com o dever legal do sigilo", escreveu por e-mail um porta-voz do departamento, respondendo a uma solicitação de entrevista.
"O HMRC recebe informações de várias fontes, e nós sempre checamos qualquer alegação de delito criminoso", completou. Mas, na resposta por e-mail, a principal preocupação da Privacidade Internacional, o comércio potencialmente ilegal de software espião, não foi abordada.
Para King, a ideia de que a Gamma International não tenha deliberadamente vendido o FinFisher para o Bahrein e outros países é implausível.
"É impossível que o software tenha sido roubado. Isso requereria meses de consultoria e contratos para saber onde colocar caixas específicas na rede, para ter certeza de que tudo funcionava corretamente. Isso requer uma quantidade considerável de instalações e ajustes. Se o Bahrein quisesse espionar pessoas usando o software e se fossem tecnicamente sofisticados para roubá-lo, eles poderiam ter simplesmente criado um para eles. Seria mais fácil", opina King.