Você pode ter ouvido falar do barbatana zero. Ele é comercializado como um “Multi-Tool Handheld for Geeks”, um dispositivo portátil programável repleto de hardware que torna mais fácil fazer testes de penetração sem fio e hackear em movimento. O dispositivo, que saúda seu dono com um adorável golfinho cibernético em sua tela monocromática de 128 x 64 pixels, enfrenta problemas no Brasil: embora produtos com características semelhantes estejam disponíveis para os brasileiros, o regulador nacional de telecomunicações Anatel Você marcou o Flipper Zero como um dispositivo que serve a propósitos ilegais ou facilita um crime ou contravenção. Assim como acontece com outros aparelhos emissores de radiofrequência, quando o Flipper Zero é enviado para o país, os correios nacionais interceptam e encaminham o aparelho à Anatel para homologação. A Anatel decidiu então não certificar o equipamento e consequentemente confiscá-lo, impedindo que o Flipper Zero chegasse ao seu destino final.
Maciej Łutczyk, CC BY-SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0), via Wikimedia Commons
O dispositivo em si não introduz nenhuma tecnologia fundamentalmente nova. Toda a hardware—transceptor infravermelho, leitor/emulador RFID, funções SDR e Bluetooth LE—estão disponíveis em outro, talvez avançar especializado produtos. O que há de novo no Flipper Zero é seu formato e interface, que o tornam portátil e fácil de usar em campo.
O Flipper Zero foi chamado de multi-ferramenta de hacking. E, assim como uma multiferramenta física, não há dúvida de que ela tem usos que facilitariam a prática de um crime. Mas também como uma multiferramenta física, isso não é uma justificativa para proibir o acesso ao dispositivo por atacado. Já existem leis que criminalizam atos de hacking malicioso. A proibição de ferramentas comerciais apenas tornará os sistemas de segurança mais vulneráveis, limitando o acesso àqueles que trabalham para proteger esses sistemas. A invasão maliciosa que preocupa a Anatel e que o Flipper Zero permitiria depende das vulnerabilidades dos sistemas: esses são os problemas reais que merecem uma solução. Mas só podemos corrigir falhas de segurança quando sabemos que elas existem, e é para isso que serve a pesquisa de segurança.
O Flipper Zero tem usos claros: teste de penetração para ajudar a fortalecer uma rede doméstica ou infraestrutura organizacional, pesquisa de hardware, pesquisa de segurança, desenvolvimento de protocolo, uso por entusiastas de rádio e muito mais. Mas seu design exclusivo de UX provavelmente trouxe notoriedade ao produto e a conquistou. atenção da mídia– o último dos quais contribuiu parcialmente para uma descrição negativa de suas capacidades como “problemas esperando para acontecer e muito mais”.
É essa notoriedade e representatividade que levaram a Anatel a enfocá-lo como um dispositivo ilícito enquanto outros hardwares permanecem disponíveis no país. Apesar dos usos legítimos de um Flipper Zero, a Anatel optou por focar no possibilidade de uso ilegal do dispositivo. Banir o dispositivo completamente resultará em danos tangíveis. Os profissionais terão acesso arbitrariamente limitado às ferramentas de seu ofício e (ao contrário da meta declarada pela Anatel) podem não ser capazes de desenvolver técnicas para mitigar possíveis danos causados por hackers mal-intencionados usando os mesmos dispositivos.
A criação, posse ou distribuição de ferramentas relacionadas à pesquisa de segurança não deve ser penalizada ou restringida de outra forma. Como nós explicamosCom base nos direitos reconhecidos pela Convenção Americana de Direitos Humanos, as ferramentas de segurança cibernética são cruciais para a prática de segurança defensiva e têm usos legítimos, como identificar e testar vulnerabilidades práticas. A criptografia é uma atividade expressiva protegida, e usar código de computador para examinar sistemas de computador e encontrar falhas de segurança é uma etapa essencial para corrigi-los e melhorar a privacidade e a segurança para todos nós.
Negar a certificação do Flipper Zero não impede o uso de outras ferramentas para explorar as mesmas vulnerabilidades, assim como não impede que as pessoas tragam um Flipper Zero do exterior na bolsa sem precisar despachá-lo pela fronteira brasileira. Embora a lei brasileira proíba o uso de aparelhos emissores de radiofrequência não certificados pela Anatel, tal ilegalidade dificilmente impediria um hacker mal-intencionado. Aqueles com intenções maliciosas encontrariam maneiras de usar o dispositivo sem ter que deixar rastros de papel. As ações da agência atrapalham os envolvidos em pesquisas de segurança. Pedimos às autoridades brasileiras que reconsiderem sua decisão e permitam o acesso às ferramentas técnicas de negociação, incluindo o Flipper Zero.
