Você já deve ter ouvido falar do Flipper Zero. É comercializado como um "Dispositivo Multiferramenta Portátil para Geeks"—um dispositivo portátil programável embalado com hardware que facilita os testes de penetração sem fio e o hacking. O dispositivo, que saúda seu proprietário com um adorável ciberdolphin em sua tela monocromática de 128x64 pixels, está enfrentando problemas no Brasil: apesar de produtos com características similares estarem disponíveis para os brasileiros, a agência reguladora de telecomunicações, Anatel, sinalizou o Flipper Zero como um dispositivo que serve para fins ilícitos, ou facilita um crime ou contravenção. Assim como em outros dispositivos emissores de rádiofreqüência, quando o Flipper Zero é enviado para o país, os correios interceptam e redirecionam o dispositivo para a Anatel para certificação. A Anatel decidiu então não certificar o equipamento e apreendê-lo como resultado - não permitindo que o Flipper Zero prossiga para seu destino final.
O dispositivo em si não introduz nenhuma tecnologia fundamentalmente nova. Todos as funcionalidades de hardware - o transceptor infravermelho, leitor/emulador RFID, SDR e Bluetooth LE - estão disponíveis em outros produtos, talvez mais especializados. O que é novidade no Flipper Zero é seu modelo e interface, que o torna portátil e fácil de usar no dia a dia.
O Flipper Zero tem sido chamado de multiferramenta para hacking. E como uma multiferramenta física, não há dúvida de que há utilizações que facilitariam a prática de um crime. Mas também como uma multiferramenta física, isto não é justificativa para proibir o acesso ao dispositivo de forma geral. Já existem leis em vigor que criminalizam atos de hacking malicioso. A proibição de ferramentas comerciais só tornará os sistemas de segurança mais vulneráveis ao limitar o acesso daqueles que trabalham para proteger esses sistemas. O hacking malicioso que preocupa a Anatel e que o Flipper Zero permitiria depende da existência de vulnerabilidades nos sistemas—estas são os problemas de fato que merecem uma correção. Mas só podemos corrigir as falhas de segurança quando soubermos que elas existem, e é para isso que serve a pesquisa de segurança.
O Flipper Zero tem usos claros: testes de penetração para facilitar o fortalecimento de uma rede doméstica ou infra-estrutura organizacional, pesquisa de hardware, pesquisa de segurança, desenvolvimento de protocolos, uso por radioamadores, e muitos outros. Mas é provavelmente seu design único que fez o produto ganhar notoriedade e atrair a atenção da mídia—esta última contribuiu parcialmente para um retrato negativo de suas capacidades como "problemas à espera de acontecer e muito mais".
É por esta notoriedade e tratamento do dispositivo que a Anatel tem focado nele como um dispositivo ilícito, enquanto outros equipamentos permanecem disponíveis no país. Apesar dos usos legítimos de um Flipper Zero, a Anatel optou por focar na possibilidade de seu uso ilegal. A proibição total do dispositivo resultará em danos tangíveis. Os profissionais terão o acesso às ferramentas relevantes ao seu trabalho arbitrariamente limitado, e (ao contrário do objetivo declarado da Anatel) poderão ser incapazes de desenvolver técnicas para mitigar os danos potenciais de ações de hackers maliciosos usando os mesmos dispositivos.
A criação, posse ou distribuição de ferramentas relacionadas à pesquisa de segurança não deve ser criminalizada ou de outra forma restringida. Como explicamos, com base nos direitos reconhecidos pela Convenção Americana de Direitos Humanos, as ferramentas de segurança cibernética são cruciais para a prática da segurança defensiva e têm usos legítimos, tais como identificar e testar vulnerabilidades. A programação é uma atividade expressiva protegida e o uso de código de computador para examinar sistemas de computador e encontrar falhas de segurança é um passo essencial para que sejam corrigidas e melhorem a privacidade e a segurança para todos nós.
Negar a certificação ao Flipper Zero não impede o uso de outras ferramentas para explorar as mesmas vulnerabilidades, pois não impede que as pessoas tragam um Flipper Zero do exterior em sua bolsa sem ter que enviá-lo através da fronteira brasileira. Embora a lei brasileira proíba o uso de dispositivos emissores de radiofreqüência que não tenham a certificação da Anatel, tal ilegalidade dificilmente impediria um hackermalicioso. Aqueles com intenção maliciosa encontrariam maneiras de usar o dispositivo sem ter que deixar um rastro de papel. As ações da agência dificultam o trabalho das pessoas envolvidas em pesquisas de segurança. Pedimos às autoridades brasileiras que reconsiderem sua decisão e permitam o acesso a ferramentas comerciais técnicas úteis à pesquisa de segurança, incluindo o Flipper Zero.