A Polícia Judiciária (PJ), o Serviço de Estrangeiros e Fronteiras (SEF) e a Guarda Nacional Republicana (GNR) compraram as ferramentas da polémica empresa Cellebrite, que permitem aceder e extrair informações de equipamentos eletrónicos, incluindo smartphones protegidos por código de bloqueio.
Segundo dezenas de páginas de documentos analisados pela Exame Informática, as principais forças de segurança e investigação em Portugal já gastaram, pelo menos, 510 mil euros, desde 2014, na aquisição de ferramentas da Cellebrite, empresa de origem israelita. E deste valor, cerca de 375 mil euros foram em contratos por ajuste direto à Código Azul, uma pequena empresa sediada na Parede, concelho de Cascais.
Além das três forças de segurança já mencionadas – são as que têm mais contratos de aquisição de dispositivos e software Cellebrite segundo os documentos vistos pela Exame Informática e foram aquelas às quais enviámos questões sobre este tema –, também a Polícia de Segurança Pública (PSP) e a Procuradoria-Geral da República (PGR) já compraram ferramentas da Cellebrite à Código Azul.
Numa resposta enviada à Exame Informática, o SEF confirma que é utilizador das ferramentas da Cellebrite desde 2011, “exclusivamente em processos crime tutelados pelo Ministério Público e quando é determinada judicialmente a realização de exame forense”. Os equipamentos e software da Cellebrite já foram usados mais de 100 vezes do lado do SEF e só são usados por dois inspetores, “devidamente credenciados e amiudamente auditados”, sublinha ainda o Serviço de Estrangeiros e Fronteiras na sua resposta.
A Polícia Judiciária e a Guarda Nacional Republicana não responderam às questões enviadas pela Exame Informática.
Contornar a segurança
A Cellebrite apresenta-se como uma empresa especializada em tecnologias de investigação forense. A tecnológica disponibiliza várias ferramentas de análise digital , mas é pelos produtos que permitem aceder e extrair dados de smartphones, incluindo bloqueados, que a marca é mais conhecida. O principal produto chama-se Universal Forensic Extraction Device (UFED), que em tradução livre significa dispositivo universal de extração forense.
O UFED está disponível em diferentes formatos: um software para computadores Windows (UFED 4PC) ou um pequeno tablet que permite fazer a extração de dados mesmo fora dos laboratórios forenses (UFED Touch2), ao qual deve ser ligado, por cabo (fornecido também pela Cellebrite), o dispositivo do qual se quer a informação. Em material promocional, a empresa diz que o UFED pode ser ligado a mais de 31 mil dispositivos diferentes, incluindo smartphones Android e iOS.
É o UFED que permite aceder a smartphones bloqueados, extrair informações como mensagens, e-mails, registos de chamadas, fotografias, localizações e até recuperar alguns ficheiros que já foram apagados do smartphone. Além da extração dos dados armazenados pelo smartphone em si, o sistema também é capaz de extrair informação de 40 das principais aplicações disponíveis para o sistema operativo Android.
Mas para usar o software da Cellebrite, as forças de segurança e investigação têm, primeiro, de obter uma autorização judicial. Depois, as provas recolhidas pelas ferramentas são ‘seladas’, para garantir que não há manipulação dos dados depois da extração, podendo assim ser usados como meio de prova na investigação de crimes.
Além da eficácia e do vasto número de dados que permitem recolher de dispositivos eletrónicos, as ferramentas da Cellebrite destacam-se pela facilidade de utilização: é quase tão simples como ligar dois dispositivos entre si e seguir um guia de instruções dado pela empresa. Mas a Exame Informática também sabe que é a própria Cellebrite quem trata da formação aos inspetores ou agentes das forças de segurança. Em ocasiões raras, há mesmo peritos da Cellebrite que se deslocam a Portugal para fazer essas formações. O molde mais comum, no entanto, é a empresa organizar eventos internacionais de formação, no qual participam elementos de forças de segurança de diversos países. Nos últimos anos, a empresa também tem apostado em formações online.
A empresa israelita tem depois outras ferramentas de extração de dados e análise forense: Physical Analyser, que inclui funcionalidades de descodificação e quebra de cifras de segurança; Cellebrite Premium, que destina-se ao acesso e extração de dados de smartphones topo de gama (e que, por isso, são mais vezes atualizados pelos fabricantes); UFED Chinex, mais focado no acesso e extração de dados de smartphones de fabricantes chineses; e ainda o UFED Cloud, que permite extrair informações de redes sociais, plataformas de mensagens instantâneas, páginas web e outros serviços baseados na cloud.
Segundo as informações apuradas pela Exame Informática, as forças de segurança portuguesas já compraram uma grande variedade de ferramentas da Cellebrite: entre as mais requisitadas estão as UFED Touch, UFED 4PC, UFED Cloud Analyzer, UFED Ultimate e UFED Link Analysis. Por exemplo, recentemente a GNR equipou o Comando Territorial de Coimbra e o Comando Territorial de Setúbal com as versões mais avançadas do software da Cellebrite para computador (UFED 4PC Ultimate).
A quantidade de informação que é possível extrair varia de dispositivo para dispositivo, assim como o tempo necessário para essa operação. “Depende muito do equipamento e das versões que o equipamento está a correr. Vai desde conseguirem angariar toda a informação mesmo do equipamento bloqueado até conseguirem só alguns dados mais básicos”, diz Sérgio Silva, diretor da CyberS3c, empresa especializada em formação, consultoria e auditoria em cibersegurança, e que já viu um dos sistemas da Cellebrite em funcionamento. “Em telemóveis mais antigos vão ter mais sucesso, em telemóveis mais recentes o sucesso vai ser mais diminuto. Baseia-se muito em vulnerabilidades [de segurança] que ninguém conhece”, explica.
O que também varia bastante é o valor pago pelas forças de segurança e investigação pelas diferentes ferramentas. Uma única licença para uma única ferramenta chega a custar às autoridades portuguesas vários milhares de euros – a Secretaria-Geral do Ministério da Administração Interna pagou, no final de 2019, 7940 euros por uma licença do UFED Analytics Desktop 8.0, que teve como destino a GNR. E existem mesmo aquisições de grande volume: no final de 2020, a Polícia Judiciária gastou perto de 100 mil euros na renovação de licenças do software UFED da Cellebrite.
E todas estas compras de software e hardware não são feitas à própria Cellebrite, mas sim à Código Azul – Sistemas tecnológicos e Produções Artísticas LDA.
O homem forte da Cellebrite em Portugal
A Cellebrite tem um executivo que supervisiona de forma oficial o mercado português – a Exame Informática solicitou uma entrevista, mas não recebeu qualquer resposta até ao momento de publicação deste artigo –, mas o homem forte da marca em Portugal é outro: Luís de Castro, fundador e diretor da Código Azul.
A Código Azul, que emprega diretamente outras duas pessoas, é a única revendedora oficial da Cellebrite em Portugal. Isso significa que nenhuma outra empresa pode vender as soluções daquela que é considerada a empresa líder em tecnologias forenses, como Luís de Castro não pode vender outras soluções que sejam diretamente concorrentes das da Cellebrite. “Esta é a minha atividade, mas eu não a promovo, não a divulgo muito”, começa por contar, numa rara entrevista, à Exame Informática.
A Código Azul é um revendedor oficial e não há qualquer participação da Cellebrite, direta ou indireta, na empresa. O contrato que tem com os israelitas não permite a Luís de Castro falar à imprensa da Cellebrite ou das soluções que comercializa. “É um contrato extremamente exigente. A minha função é ser uma espécie de linha de frente da Cellebrite. A minha função é acompanhar os clientes, promover os novos produtos e manter os clientes informados dos desenvolvimentos [das ferramentas Cellebrite]”, sublinha o executivo.
Com experiência sobretudo na área das telecomunicações, Luís de Castro fundou a Código Azul em 2003 e na época para projetos mais ligados à aeronáutica. Quanto à parte das “Produções Artísticas”, diz que sempre gostou das artes e que tinha planos para também desenvolver negócio neste setor, mas esta parte da ideia nunca chegou a avançar.
Luís de Castro tem acesso a muitas conferências e feiras à porta fechada, só acessíveis por convite, e foi assim que conseguiu tornar-se no rosto das ferramentas da Cellebrite em Portugal. O responsável da Código Azul garante à Exame Informática que, no País, só vende as ferramentas para as forças de segurança e investigação do Estado e também só depois de uma aprovação do lado da Cellebrite, que sabe quais são as forças oficiais portuguesas. “Só trabalho com as forças de segurança. Não trabalho com privados”.
Sobre os vários contratos de ajuste direto que a Código Azul conseguiu nos últimos anos – o interesse pelas ferramentas da Cellebrite tem aumentado de forma significativa desde 2019, sobretudo por parte da PJ e da GNR –, Luís de Castro remete a resposta a esta questão para as forças de segurança contratantes.
Acontece que o contrato rígido pelo qual a Código Azul tem de se guiar acaba por ser, de forma indireta, o segredo do seu sucesso. Em vários dos contratos firmados com a empresa da Parede, é enumerado o artigo nº 24 do Código das Contratações Públicas (CCP), que prevê que o contrato só possa “ser confiado a determinada entidade” caso “não exista concorrência por motivos técnicos” – que é o acontece com as ferramentas da Cellebrite em Portugal, apenas disponíveis através da Código Azul. Noutros casos, é invocado o artigo nº 26 do CCP, que prevê o ajuste direto quando “se trata de novos serviços que consistam na repetição de serviços similares que tenham sido objeto de contrato anteriormente celebrado pela mesma entidade adjudicante com o mesmo adjudicatário, desde que, de forma cumulativa” – ou seja, renovações de licenças ou atualizações de licenças para versões mais avançadas. E noutros casos, os ajustes diretos também são justificados com o artigo nº 20 do CCP, que prevê esta tipologia de contratos para a aquisição de bens móveis ou serviços quando o valor é inferior a 20.000 euros.
Cellebrite, a empresa das polémicas
A designação de vender tecnologias forenses para forças de segurança não conta a história toda de como funciona a Cellebrite. É que para uma parte destas tecnologias funcionarem, a empresa israelita explora vulnerabilidades de software e hardware que não são conhecidas nem pelos fabricantes dos equipamentos, nem pelos utilizadores (as chamadas vulnerabilidades de dia zero ou ‘zero day’, em inglês). No seio da comunidade de segurança informática, são muitos os que optam por divulgações responsáveis: os peritos encontram vulnerabilidades de segurança, revelam-nas às empresas que fabricam os produtos, que corrigem os problemas num período estipulado entre as partes com o objetivo de proteger os utilizadores e evitar ataques informáticos maliciosos. A Cellebrite não revela as vulnerabilidades sobre as quais trabalha, pois é através delas que garante que parte dos seus sistemas forenses funcionam e, por consequência, é daí que vem o seu negócio.
“No fundo, tem tecnologia que explora determinado tipo de vulnerabilidades que permite aceder à informação que estão nos equipamentos”, explica Sérgio Silva, da CyberS3c.
Mas ao explorar vulnerabilidades existentes e ao não contribuir para a sua resolução, a Cellebrite ajuda a manter essas vulnerabilidades ‘ativas’, o que aumenta a probabilidade de também virem a ser usadas por piratas informáticos para explorar os dispositivos dos utilizadores.
“É sempre muito complicado, esta ponte entre a ética e o objetivo [das ferramentas]. Vamos supor que nós necessitamos de uma Cellebrite para deitar abaixo uma rede de pedofilia, o objetivo é mais importante. Mas se por outro lado houver um zero day que esteja a ser explorado num país que é uma ditadura para reprimir jornalistas e dissidentes… é sempre difícil este equilíbrio”, acrescenta o diretor da CyberS3c.
No mercado cinzento – em que empresas como a Cellebrite e outras compram vulnerabilidades zero day a investigadores independentes de segurança informática –, uma única falha pode render um ou mais milhões de dólares a quem a encontrar, sobretudo nos iPhone. “Quem as descobre, fala cada vez menos das descobertas, vai querer vendê-las para ter encaixe monetário e quem as compra não vai publicitar porque investiu muito dinheiro e o negócio deles depende de essa falha não ser corrigida”, detalha Sérgio Silva.
Mas a ética questionável do modelo de negócio da Cellebrite não fica por aqui. A publicação The Intercept, em 2016, denunciou um caso de um ativista político do Bahrain que foi condenado depois de o seu telemóvel ter sido ‘varrido’ pelas autoridades do país usando o sistema UFED. Já em 2017, a publicação Motherboard fazia ligação entre as ferramentas da Cellebrite e países como a Rússia, Turquia e Emirados Árabes Unidos, regimes mais autoritários e conhecidos também por casos de violação dos direitos humanos. Já em março de 2021, a Cellebrite anunciou que deixaria de comercializar as suas ferramentas à Rússia e à Bielorrúsia.
Quando confrontado com estes relatos, Luís de Castro, o homem forte da Cellebrite em Portugal, disse não conhecer a realidade do que acontece noutros países. “Só posso vender para Portugal e se um dia vender para fora do meu mercado, perco a transação. Não conheço esses casos”, justifica.
E, recentemente, o software da empresa viu-se envolvido em mais uma polémica. Moxie Marlinspike, o diretor executivo da aplicação de mensagens Signal – que tem estado numa luta pública com a Cellebrite, depois de esta ter dito publicamente que conseguia aceder às mensagens da app de comunicação –, encontrou mais de 100 vulnerabilidades naquele que é um dos produtos bandeira da Cellebrite. Segundo Marlinspike, estas falhas permitem contaminar a informação extraída pelos equipamentos da Cellebrite, não só no dispositivo que está a ser analisado, mas também em todos os futuros equipamentos analisados por aquele equipamento.
A descoberta já motivou, nos EUA, um pedido de reapreciação de um caso que tinha sido julgado com recurso a provas obtidas pelas ferramentas da Cellebrite, com a respetiva defesa a alegar que aquelas provas não devem ser consideradas, à luz das revelações feitas recentemente pela Signal.
A Cellebrite, até meados de 2016, era uma empresa desconhecida da esmagadora maioria das pessoas – para muitos, fora da área da segurança informática, ainda o é nos dias de hoje –, mas ganhou fama mundial nesse ano depois de ter sido associada ao caso que permitiu ao FBI desbloquear um iPhone de um terrorista (já depois de a Apple se ter recusado a fazê-lo). Apesar das várias notícias que diziam ter sido a Cellebrite a aceder ao ínfame iPhone, a marca nunca confirmou, mas também nunca desmentiu. A verdade só foi revelada recentemente, pelo The Washington Post: não foi a Cellebrite, foi uma outra empresa, a Azimuth, que desbloqueou o iPhone ao FBI.
São casos como este que têm feito uma empresa relativamente desconhecida, fundada em 1999 e atualmente liderada por Yossi Carmil, cada vez mais conhecida de todos. E à medida que cada vez mais informação pessoal existe nos smartphones, empresas como a Cellebrite vão ficar ainda mais conhecidas – pelos melhores e piores motivos.
