Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Em agosto de 2007, o especialista em segurança Dan Egerstad, um sueco de 22 anos, informou em seu site ter conseguido as informações de acesso de mil contas de correio eletrônico de embaixadas, partidos políticos, órgãos de governo, ONGs, ativistas de direitos humanos e grandes corporações.

Boa parte das mensagens armazenadas nessas contas continha informações sensíveis como assuntos militares e de segurança nacional, comunicações do alto escalão de multinacionais, informações sobre vistos e passaportes, identidades de funcionários de governos e de executivos de empresas etc. Com receio de ser acusado de espionagem ou que o serviço de inteligência sueco passasse a monitorar essas contas de e-mail, Egerstad decidiu não repassar as informações às autoridades de seu país.

Após tentar, sem sucesso, contatar os responsáveis pela contas, Egerstad tomou uma atitude polêmica: colocou no site os nomes, senhas e endereços de cem contas, entre as quais as das embaixadas do Usbequistão (40 contas!), Irã, Índia, Japão, Rússia e Cazaquistão ? o que lhe valeu o apelido embassy hacker. Foram também “contemplados” o Ministério do Exterior iraniano, dois partidos políticos e uma ONG de direitos humanos de Hong Kong e duas repartições do Ministério da Defesa indiano.

Usando as informações liberadas por Egerstad, um repórter entrou na conta do embaixador da Índia e conseguiu obter a ata da reunião entre um ministro chinês e um governante indiano (o mesmo caminho também poderia ser percorrido, porém com objetivos bem menos nobres, por crackers, criminosos, espiões e terroristas).

Criticado por divulgar informações sigilosas, o sueco alegou que não havia violado nenhuma lei para obter as informações, mas apenas observado o conteúdo de mensagens de e-mail desprotegidas. Embora o perfil mostrado no LinkedIn (um site de relacionamentos profissionais) informe que Egerstad presta serviços de pen test, ele negou, na ocasião, ter invadido alguma máquina (pen test, ou teste de penetração, é um método de avaliação da segurança de uma rede ou de uma máquina em que um hacker simula os ataques que poderiam ser realizados por um cracker).

Egerstad não explicou como as informações chegaram às suas mãos, mas disse apenas, de forma enigmática, que “as vítimas usaram uma técnica [para ler seus emails] que não sabem como realmente funciona”.

As senhas utilizadas nessa contas eram, obviamente, triviais. As embaixadas iranianas adotavam como senha o nome do país ou da cidade em que estavam localizadas. As senhas escolhidas pelo Partido Liberal em Hong Kong (“123456” e “12345678”), pelas embaixadas indianas (a indefectível “1234”) e pela embaixada da Mongólia nos EUA (“temp”) dispensam comentários.

Posteriormente o sueco revelou que havia garimpado as informações com ajuda de um software chamado Tor. Usado principalmente para navegação na web, o Tor (iniciais de The Onion Router) impede que o site visitado identifique o internauta, oferecendo o que se chama de “serviço de anonimato”. Seu conceito foi criado em 1996, no Laboratório de Pesquisa Naval dos EUA, para permitir ao pessoal da Marinha norte-americana acessar sites em qualquer parte do mundo sem revelar sua identidade e localização.

Aparentemente, para evitar que a utilização do Tor denunciasse a condição militar de seus usuários, a U.S. Navy teria decidido liberar sua utilização como software livre.

De acordo com o Projeto Tor, responsável pela evolução e distribuição do software, o Tor é usado (com finalidades bem distintas, porém) por um contingente heterogêneo que reúne cidadãos comuns, ativistas de direitos civis, jornalistas, executivos, autoridades policiais, agências de inteligência e instituições militares (infelizmente, também fazem parte dessa lista pedófilos, criminosos e terroristas).

Como funciona o Tor? Inicialmente, o cliente Tor residente na máquina do internauta escolhe, a partir dos nós disponíveis na rede Tor, uma seqüência aleatória com alguns nós, criando um “circuito”, após o que o cliente negocia uma chave de sessão com cada um dos nós escolhidos.

O cliente cifra, então, as informações a serem transmitidas (payload) com a chave apropriada e adiciona uma camada para cada nó do circuito, formando (como indica o nome em inglês) uma “cebola”. Para que a “cebola” possa percorrer o circuito, o cliente Tor armazena em cada camada, também cifrado com a chave adequada, o endereço do próximo nó do circuito. Despachada para o primeiro nó, a “cebola” vai sendo descascada à medida que passa de um nó para outro até alcançar o último nó, o nó de saída, instante em que o payload é enviado ao destinatário final.

Esse esquema (no qual o cliente trabalha muito e os servidores, pouco 🙂 faz com que cada nó do circuito conheça apenas seu antecessor e seu sucessor. Além disso, como o payload é cifrado pelo cliente Tor antes de chegar ao nó inicial, seu conteúdo é ilegível para todos os nós do circuito (e também para observadores externos), com exceção do nó de saída (ou seja, o payload sai do circuito tal qual entrou: cifrado ou legível).

Outro benefício oferecido pelo Tor: a criação dinâmica de circuitos e a cifração do payload (e das informações de roteamento) frustram a análise de tráfego, impedindo, por exemplo, que um espião externo ou um nó Tor comprometido consigam descobrir quem está se comunicando com quem.

Voltando a Egerstad, o sueco disse sua intenção inicial não era bisbilhotar o conteúdo de mensagens alheias, mas sim obter estatísticas sobre o número de usuários que protegiam o sigilo de suas mensagens. Para isso, instalou um nó de saída na rede Tor para observar se as mensagens, em seu trajeto das caixas postais para as máquinas dos usuários, saíam cifradas ou não (o conteúdo em si das mensagens não era relevante). Nós desse tipo são chamados rogue nodes, uma vez que sua finalidade original foi desvirtuada.

Entretanto, quando estava prestes a finalizar o trabalho, Egerstad reparou casualmente numa mensagem, legível, destinada a um órgão de governo. Movido pela curiosidade, o sueco decidiu instalar outros quatro nós de saída e monitorar por um período mais longo o conteúdo propriamente dito das mensagens. Em cada máquina instalou também um packet sniffer, configurado para filtrar apenas as mensagens destinadas a domínios como “gov” ou “mil” ou que contivessem palavras como “war”, “terrorism”, “military” etc.

Por acaso ou não, as palavras escolhidas por Egerstad parecem saídas do dicionário do Echelon, o sistema global de coleta e análise de informações operado por agências de inteligência da Austrália, Canadá, EUA, Nova Zelândia e Reino Unido.

Num primeiro momento, Egerstad atribuiu o vazamento de informações ao uso inadequado da rede Tor por usuários que acreditavam, erroneamente – apesar dos alertas publicados no site do Projeto Tor – que o sigilo de suas comunicações estaria protegido. Mais adiante, afirmou que tinha evidências de que as contas de e-mail já teriam sido comprometidas por crackers, que estariam deliberadamente usando a rede Tor para acessá-las outras vezes sem deixar rastros. Neste caso, ao divulgar o vazamento de informações, Egerstad estaria colaborando para interromper o uso ilegítimo das contas.

Egerstad conseguia ler tanto os nomes e senhas das contas como as mensagens porque o acesso às caixas postais era feito – por usuários legítimos ou não – sem a utilização de um protocolo criptográfico como SSL ou de S/MIME. Assim, todas as informações trafegavam de forma legível, permitindo sua interceptação.

Assim como Egerstad, qualquer outro indivíduo, instituição ou agência de inteligência pode instalar um nó Tor para bisbilhotar as comunicações alheias. O próprio Projeto Tor incentiva que voluntários criem novos nós (“bem comportados”, obviamente), pois o aumento de banda torna a rede Tor mais rápida.

Talvez com a intenção de minimizar ou justificar seu “experimento”, Egerstad afirmou numa entrevista saber da existência de cinco ou seis grandes servidores com grande capacidade de banda e de armazenamento (40 ou 50 terabytes cada) hospedando nós Tor, localizados na capital norte-americana. Quem, pergunta Egerstad, estaria por trás dessa operação? (provavelmente o Echelon 🙂

Levando em conta a contribuição dos serviços de anonimato para a proteção da privacidade individual, vale a pena fazer um breve um parêntese sobre o status desta última no mundo. Uma ONG baseada em Londres, a Privacy International, publica anualmente, desde 1997, um ranking de países baseado na privacidade de seus cidadãos com o objetivo de “monitorar a vigilância e a invasão da privacidade individual conduzidas por governos e organizações”.

O índice de cada país, que vai de 1 (“pior”) a 5 (“melhor”), é calculado a partir de catorze atributos como proteção constitucional, salvaguardas democráticas, interceptação de comunicações, vigilância visual, monitoração de locais de trabalho, acesso a informações por parte do governo etc.

No ranking de 2007, China (1,3) e Índia (1,9) são classificadas, respectivamente, como “sociedade de vigilância endêmica” e “sociedade de vigilância extensiva”. As nações mais bem posicionadas são Grécia (3,1), Romênia (2,9) e Hungria (2,9). O Brasil (2,1) aparece numa posição intermediária, a de “sociedades que fracassam de modo sistemático em apoiar salvaguardas”, mas perde para a Argentina (2,8), uma “sociedade com algumas salvaguardas, mas com proteções reduzidas”.

O baixo índice atribuído aos EUA (1,5), embora reflita as medidas tomadas pelo governo norte-americano após os atentados de 2001, não faz jus à tradição de respeito às liberdades democráticas da Grande Nação do Norte e muito provavelmente deixaria envergonhados os Founding Fathers (os mentores da Constituição norte-americana).

Em dezembro passado investigadores da polícia sueca foram à casa de Egerstad, em Malmö, e confiscaram computadores, HDs portáteis e CDs. Levado à delegacia, foi interrogado por duas horas e depois liberado. Embora nenhuma acusação pese sobre Egerstad, ele ainda não recebeu seus equipamentos de volta.

Ao menos três lições podem ser extraídas do episódio:

  • 1) não se deve usar senhas triviais;
  • 2) convém preservar o sigilo de comunicações sensíveis;
  • 3) é bom não ignorar o aviso de alguma vulnerabilidade.

Para finalizar, uma constatação – é preferível a ausência de segurança à falsa segurança – e uma pergunta: Egerstad é um hacker ético?

Qual a sua opinião? [Webinsider]

.

Avatar de João Henrique Franco

João Henrique A. Franco (jhafranco@acm.org), CISSP, é consultor em segurança da informação.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

4 respostas

  1. O conhecimento de como funciona a internet deve ser comparado com o de Direito, Medicina e mecânica de automóvel. Se sua profissão exige que você tenha um conhecimento básico sobre alguns assuntos, então estude! Se é taxista, não precisa consertar um carro, mas saiba como funciona para diminuir as chances de fazer besteira. Se trabalha com informações sigilosas, evite erros básicos.

    O hacker sueco Egerstad possui um conhecimento que, se fosse em Direito, seria como divulgar um brecha da legislação para espancar uma empregada doméstica e ser liberado. Se existe essa brecha da legislação, devemos discutí-la e consertar. A empregada, por sua vez, deve ser ensinada sobre seus direitos e o que fazer para não ficar vulnerável a pessoas ridiculamente covardes.

    Ele está incentivando o espancamento? Não, claro que não. Algumas pessoas vão ver isso como receita de como espancar sem punição? Sim, claro que sim. Então ele tem responsabilidade sobre os atos dos covardes? Não, pois a agressão já ocorria sem ele ter divulgado. O que vai aumentar é a probabilidade de diminuírem esse tipo de crime, pois levantou-se um debate e as vítimas atuais e futuras estão sendo alertadas.

    Bom, é isso o que eu acho. Bom carnaval !=)

  2. Kerber,

    Acredito que um usuário normal de Internet (não é o seu caso) não precisa entender como ela funciona para evitar a maior parte dos perigos a que está sujeito.

    Para isso, acho que basta conhecer algumas normas de comportamento como aquelas indicadas na Cartilha de Segurança para Internet publicada pelo CERT.br (cartilha.cert.br).

    Um abraço,

    João Henrique

  3. João, sempre que leio algo sobre segurança na Internet me bate uma sensação de que somos marionetes de quem realmente entende como uma rede funciona.
    Até que ponto um usuário normal de Internet deve conhecer desse funcionamento, não para se sentir seguro, mas para realmente alcançar um nível de segurança aceitável?

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *