O presidente dos EUA, Joe Biden, assinou nesta segunda-feira uma ordem executiva que restringe o uso de spyware comercial por agências do governo federal.
A ordem afirma que o ecossistema de spyware "representa riscos significativos de contrainteligência ou segurança para o governo dos Estados Unidos ou riscos significativos de uso impróprio por um governo estrangeiro ou pessoa estrangeira".
Também busca garantir que o uso dessas ferramentas pelo governo seja feito de maneira "consistente com o respeito pelo Estado de Direito, pelos direitos humanos e pelas normas e valores democráticos".
Para isso, a ordem estabelece vários critérios nos quais o spyware comercial pode ser desqualificado para uso por agências do governo dos EUA.
Eles incluem a compra de spyware comercial por um governo estrangeiro ou pessoa para atacar o governo dos EUA, um fornecedor de spyware comercial que usa ou divulga dados sensíveis obtidos da ferramenta de vigilância cibernética sem autorização e opera sob o controle de um governo estrangeiro que está envolvido em atividades de espionagem direcionadas aos EUA, um ator ameaça estrangeira que usa spyware comercial contra ativistas e dissidentes com o objetivo de limitar a liberdade de expressão ou perpetrar abusos aos direitos humanos, um ator ameaça estrangeira que usa spyware comercial para monitorar um cidadão dos EUA sem autorização legal, salvaguardas e supervisão, e a venda de spyware comercial para governos que têm um histórico de envolvimento em atos sistemáticos de repressão política e outras violações dos direitos humanos.
"Esta Ordem Executiva também servirá como base para aprofundar a cooperação internacional para promover o uso responsável da tecnologia de vigilância, combater a proliferação e o uso indevido de tal tecnologia e estimular a reforma da indústria", disse a Casa Branca em comunicado.
Cerca de 50 funcionários do governo dos EUA em cargos de liderança em pelo menos 10 países estima-se que tenham sido infectados ou alvo de tal spyware até o momento, número maior do que o conhecido anteriormente, segundo o Wall Street Journal.
Embora a ordem não seja uma proibição total, o desenvolvimento ocorre à medida que ferramentas de vigilância sofisticadas e invasivas estão sendo cada vez mais implantadas para acessar dispositivos eletrônicos remotamente usando exploits de zero-click e extrair informações valiosas sobre alvos sem o conhecimento ou consentimento deles.
Na semana passada, o New York Times informou que Artemis Seaford, ex-gerente de política de segurança da Meta, teve seu telefone grampeado e hackeado pela agência de inteligência nacional da Grécia usando o Predator, um spyware desenvolvido pela Cytrox.
Dito isso, a ordem também deixa aberta a possibilidade de outros tipos de dispositivos de spyware, incluindo IMSI catchers, sendo usados por agências governamentais para obter inteligência valiosa.
Visto sob essa perspectiva, também é um reconhecimento de que a indústria de spyware à venda desempenha um papel importante nas operações de inteligência, mesmo que a tecnologia constitua um risco crescente de contrainteligência e segurança nacional para o pessoal do governo.
No início deste mês, o Federal Bureau of Investigation (FBI) confirmou que a agência comprou no passado dados de localização de cidadãos dos EUA de corretores de dados como meio de contornar o processo tradicional de mandado.
A DEA também usa o Graphite, uma ferramenta de spyware produzida por outra empresa israelense chamada Paragon, em operações de combate às drogas.
Não está imediatamente claro se outras agências federais dos EUA atualmente usam algum spyware comercial.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...