sexta-feira, 5 de junho de 2009

'Detetives' da web se mobilizam para caçar criminosos virtuais

A partir da esquerda: Ronald J. Deibert, Greg Walton, Nart Villeneuve e Rafal A. Rohozinski, especialistas em segurança na internet (Foto: Tim Leyes/The New York Times)

Especialistas investigam invasão e quebra de privacidade na China.
Analista lidera dois grupos na Universidade de Toronto, no Canadá.

Para os detetives da velha guarda, o problema sempre era adquirir informações. Para aqueles da versão cibernética, os capazes de coletar as evidências na confusão de dados da internet, o problema é outro.

“O cálice sagrado é saber como diferenciar as informações inúteis das valiosas”, disse Rafal Rohozinski, cientista social formado pela Universidade de Cambridge e envolvido em questões de segurança virtual.

Oito anos atrás, ele fundou dois grupos, o Information Warfare Monitor e o Citizen Lab, ambos montados na Universidade de Toronto e contando com a parceria de Ronald Diebert, um cientista político de lá. Os grupos perseguem esse cálice sagrado e esforçam-se para colocar ferramentas investigativas, normalmente reservadas a agências da lei e investigadores de segurança de computadores, a serviço de grupos que não possuem tais recursos.

“Achamos que falta capacidade de inteligência a grupos de sociedade civil”, disse Diebert.

Eles obtiveram alguns importantes sucessos. No ano passado, Nart Villeneuve, de 34 anos, um pesquisador de relações internacionais que trabalha para os dois grupos, descobriu que uma versão chinesa do software Skype era usada para violar a confidencialidade de conversas dadas através de uma das maiores operadoras wireless da China, provavelmente em benefício das agências chinesas de imposição da lei.

Neste ano, Villeneuve ajudou a revelar um sistema espião, conhecido como Ghostnet por sua equipe, que parecia uma operação de espionagem gerenciada pelo governo da China em computadores de propriedade do governo sul-asiático de todo o mundo.

As duas descobertas foram o resultado de um novo gênero de trabalho detetivesco, e ilustram os pontos fortes e os limites do trabalho de detetive no espaço cibernético.

C:\Meus documentos\Dalai lama

O caso Ghostnet começou quando Greg Watson, editor da Infowar Monitor e membro da equipe de pesquisa, foi convidado para o cargo de auditor da rede do escritório do Dalai lama, em Dharamsala, na Índia. Sob constantes ataques – possivelmente vindos de hackers financiados pelo governo chinês –, os exilados haviam se voltado aos pesquisadores canadenses em busca de ajuda para combater as ameaças cibernéticas. Os espiões digitais foram plantados em seu sistema de comunicações durante muitos anos.

Tanto no escritório particular do Dalai Lama, quanto na base do governo tibetano exilado, Watson usou um poderoso software – conhecido como Wireshark – para capturar o tráfego virtual de entrada e saída dos computadores do grupo.

O Wireshark é um software de código livre disponibilizado gratuitamente a investigadores de segurança em computadores. Ele se destaca pela simplicidade de uso e por sua habilidade de classificar e decodificar centenas de protocolos comuns de internet, usados em diferentes tipos de comunicações de dados. Ele é conhecido como um farejador. Esse tipo de software é essencial para detetives que rastreiam criminosos e espiões cibernéticos.

O Wireshark torna possível assistir a uma sessão não-criptografada de bate-papo na internet em tempo real, ou no caso da pesquisa de Watson na Índia, observar o momento em que os malfeitores virtuais copiavam arquivos da rede do Dalai Lama.

Em quase todos os casos, quando os administradores do sistema Ghostnet assumiam controle de um computador remoto, eles instalavam um software clandestino, criado pelos chineses, chamado GhOst RAT – sigla em inglês para Terminal de Administração Remota. O GhOst RAT permite o controle de um computador distante via internet, chegando a ser capaz de ligar recursos de gravação de áudio e vídeo e capturar os arquivos resultantes. Os operadores do sistema – sejam quem fossem –, além de roubarem arquivos digitais e mensagens de e-mail, poderiam transformar PCs de escritório em postos de audição remota.

A espionagem foi de preocupação imediata aos Tibetanos, pois os documentos que estavam sendo roubados eram ligados a posições que os representantes políticos do Dalai Lama estavam planejando tomar em negociações nas quais o grupo estava envolvido.

Após retornar ao Canadá, Watson compartilhou seus dados capturados com Villeneuve e os dois usaram uma segunda ferramenta para analisar as informações. Eles carregaram os dados num programa de visualização oferecido ao grupo pela Palantir Technologies, uma empresa de software com um programa que permite a “fusão” de grandes grupos de dados para buscar correlações e ligações – que de outra forma passariam despercebidas.

A empresa foi fundada há vários anos por um grupo de tecnólogos pioneiros em técnicas de detecção de fraudes no PayPal, a empresa de pagamentos online do Vale do Silício. A Palantir desenvolveu uma ferramenta de reconhecimento de padrões que é usada por agências do governo e empresas financeiras. Os pesquisadores do Citizen Lab simplesmente a modificaram para adicionar funcionalidades específicas para dados de internet.

Villeneuve estava usando este software para visualizar arquivos de dados num porão da Universidade de Toronto quando percebeu uma série de 22 caracteres, aparentemente inócua, mas intrigante, recorrente em diferentes arquivos. Num palpite, ele digitou o grupo no mecanismo de busca do Google e foi instantaneamente redirecionado a arquivos similares, armazenados num enorme sistema de vigilância computadorizada localizado na Ilha de Hainan, na costa da China. Os arquivos tibetanos estavam sendo copiados para esses computadores.
Os pesquisadores não conseguiram determinar com segurança quem controlava o sistema. Ele pode ser uma criação de supostos hackers patriotas, ativistas independentes na China com ações alinhadas, porém independentes às do governo. Poderia também ter sido criado e administrado por espiões virtuais de um terceiro país.

Realmente, a descoberta levantou tantas questões quanto respondeu. Por que o poderoso sistema de espionagem não era protegido por senha, uma fraqueza que facilitou o trabalho de Villeneuve em descobrir seu funcionamento? Por que, entre os mais de 1.200 computadores comprometidos, representando 103 países, não havia um só sistema do governo dos Estados Unidos? Essas dúvidas permanecem.

Pensando fora da rede

A criminalística cibernética apresenta imensos desafios técnicos, complicados pelo fato de que internet expande facilmente as fronteiras de qualquer governo. É possível para um criminoso, por exemplo, ocultar suas atividades conectando-se a um computador-alvo através de uma série de terminais inocentes, cada um conectado à internet em diferentes continentes. Isso torna as investigações da lei trabalhosas ou até mesmo impossíveis.

A questão mais preocupante enfrentada, tanto pela lei quanto por outros investigadores do espaço cibernético, é esse problema da “atribuição”. O famoso cartum da revista New Yorker, onde um cachorro, sentado sobre um teclado de computador, aponta a um companheiro e diz, “Na internet, ninguém sabe que você é um cachorro”, não é nenhuma piada para os detetives cibernéticos.

Para lidar com o desafio, os pesquisadores de Toronto estão buscando o que descrevem como uma metodologia de fusão, na qual eles examinam dados da internet no contexto de acontecimentos do mundo real.

“Tivemos um forte palpite de que, para compreender o que acontecia no espaço cibernético, precisávamos coletar dois grupos completamente diferentes de dados”, disse Rohozinski. “Por outro lado, precisávamos também de dados técnicos gerados de arquivos de anotações da internet. O outro componente é tentar compreender o que está acontecendo no mundo virtual entrevistando pessoas, e entendendo como as instituições funcionam”.

Investigadores virtuais veteranos concordam que os melhores detetives de dados precisam ir além da internet. Eles podem até precisar usar luvas de couro.

“Não podemos ficar míopes acerca de nossas ferramentas”, disse Kent Anderson, investigador de segurança e membro do comitê de gerenciamento de segurança da Associação de Controle e Auditoria de Sistemas de Informações. “Eu constantemente me deparo com bons tecnólogos. Eles sabem como usar os softwares, mas não compreendem como suas ferramentas se encaixam no cenário mais amplo da investigação”.

Nenhum comentário: