Em agosto de 2007, o especialista em segurança
Dan Egerstad, um sueco de 22 anos, informou em seu site ter conseguido
as informações de acesso de mil contas de correio eletrônico de
embaixadas, partidos políticos, órgãos de governo, ONGs, ativistas de
direitos humanos e grandes corporações.
Boa parte das mensagens armazenadas nessas contas continha informações
sensíveis como assuntos militares e de segurança nacional, comunicações
do alto escalão de multinacionais, informações sobre vistos e
passaportes, identidades de funcionários de governos e de executivos de
empresas etc. Com receio de ser acusado de espionagem ou que o serviço
de inteligência sueco passasse a monitorar as contas de e-mail,
Egerstad decidiu não repassar as informações às autoridades de seu país.
Após tentar, sem sucesso, contatar os responsáveis pela contas,
Egerstad tomou uma atitude polêmica: colocou no site os nomes, senhas e
endereços de cem contas, entre as quais as das embaixadas do
Usbequistão (40 contas!), Irã, Índia, Japão, Rússia e Cazaquistão – o
que lhe valeu o apelido embassy hacker. Foram também “contemplados” o
Ministério do Exterior iraniano, dois partidos políticos e uma ONG de
direitos humanos de Hong Kong e duas repartições do Ministério da
Defesa indiano.
Usando as informações liberadas por Egerstad, um repórter entrou na
conta do embaixador da Índia e conseguiu obter a ata da reunião entre
um ministro chinês e um governante indiano (o mesmo caminho também
poderia ser percorrido, porém com objetivos bem menos nobres, por
crackers, criminosos, espiões e terroristas).
Criticado por divulgar informações sigilosas, o sueco alegou que não
havia violado nenhuma lei para obter as informações, mas apenas
observado o conteúdo de mensagens de e-mail desprotegidas. Embora o
perfil mostrado no LinkedIn (um site de relacionamentos profissionais)
informe que Egerstad presta serviços de pen test, ele negou, na
ocasião, ter invadido alguma máquina (pen test, ou teste de penetração,
é um método de avaliação da segurança de uma rede ou de uma máquina em
que um hacker simula os ataques que poderiam ser realizados por um
cracker). Egerstad não explicou como as informações chegaram às suas
mãos, mas disse apenas, de forma enigmática, que “as vítimas usaram uma
técnica [para ler seus emails] que não sabem como realmente funciona”.
As senhas utilizadas nessa contas eram, obviamente, triviais. As
embaixadas iranianas adotavam como senha o nome do país ou da cidade em
que estavam localizadas. As senhas escolhidas pelo Partido Liberal em
Hong Kong (“123456” e “12345678”), pelas embaixadas indianas (a
indefectível “1234”) e pela embaixada da Mongólia nos EUA (“temp”)
dispensam comentários.
Posteriormente, o sueco revelou que havia garimpado as informações com
ajuda de um software chamado Tor. Usado principalmente para navegação
na web, o Tor (iniciais de The Onion Router) impede que o site visitado
identifique o internauta (“serviço de anonimato”). Seu conceito foi
criado em 1996, no Laboratório de Pesquisa Naval dos EUA, para permitir
ao pessoal da Marinha norte-americana acessar sites
em qualquer parte do mundo sem revelar sua identidade e localização.
Aparentemente, para evitar que a utilização do Tor denunciasse a
condição militar de seus usuários, a U.S. Navy teria decidido liberar
sua utilização como software livre.
Como funciona o Tor? De forma simplificada, inicialmente o cliente Tor,
que reside na máquina do internauta, escolhe, entre os nós Tor
disponíveis na rede Tor, uma seqüência aleatória de alguns nós, criando
um “circuito”. Em seguida, o cliente Tor negocia uma chave de sessão
com cada um dos nós escolhidos.
Definido o circuito, o cliente Tor cifra as informações a serem
transmitidas (payload) com a chave apropriada e adiciona uma camada
para cada nó do circuito, formando (como indica o nome em inglês) uma
“cebola”. Para que a “cebola” possa percorrer o circuito, o cliente Tor
armazena em cada camada, devidamente cifrado, o endereço do próximo nó
do circuito. Despachada para o primeiro nó, a “cebola” vai sendo
descascada à medida que passa de um nó para outro até alcançar o último
nó, o nó de saída, instante em que o payload é enviado ao destinatário
final.
Desse modo, cada nó do circuito conhece apenas seu antecessor e seu
sucessor. Além disso, como o payload é cifrado pelo cliente Tor antes
de chegar ao nó inicial, seu conteúdo é ilegível para todos os nós do
circuito (e também para observadores externos), com exceção do nó de
saída (ou seja, o payload sai do circuito tal qual entrou: cifrado ou
legível).
Há ainda um outro benefício oferecido pelo Tor: a criação dinâmica de
circuitos e a cifração do payload (e das informações de roteamento)
implementadas pelo Tor frustram a análise de tráfego, impedindo, por
exemplo, que um espião externo ou ou um nó Tor comprometido consigam
inferir quem está se comunicando com quem.
Voltando a Egerstad, o sueco disse sua intenção inicial não era
bisbilhotar o conteúdo de mensagens alheias, mas sim obter estatísticas
sobre o número de usuários que protegiam o sigilo de suas mensagens.
Para isso, instalou um nó de saída na rede Tor para observar se as
mensagens (em seu trajeto das caixas postais para as máquinas dos
usuários) saíam cifradas ou não (o conteúdo em si das mensagens não era
relevante). Nós desse tipo são chamados rogue nodes, uma vez que sua
finalidade original foi desvirtuada.
Entretanto, quando estava prestes a finalizar o trabalho, Egerstad
reparou casualmente numa mensagem, legível, destinada a um órgão de
governo. Movido pela curiosidade, o sueco decidiu instalar outros
quatro nós de saída e monitorar por um período mais longo o conteúdo
propriamente dito das mensagens. Em cada máquina, instalou também um
packet sniffer, configurado para filtrar apenas as mensagens destinadas
a domínios como “gov” ou “mil” ou que contivessem palavras como “war”,
“terrorism”, “military” etc. Por acaso ou não, as palavras escolhidas
por Egerstad parecem saídas do dicionário do Echelon, o sistema global de coleta e análise de informações operado por agências de inteligência da Austrália, Canadá, EUA, Nova Zelândia e Reino Unido.
Num primeiro momento, Egerstad atribuiu o vazamento de informações ao
uso inadequado da rede Tor por usuários que acreditavam, erroneamente,
apesar dos alertas publicados no site do Projeto Tor, que o sigilo de
suas comunicações estaria protegido. Mais adiante, disse que tinha
evidências de que as contas de e-mail já teriam sido comprometidas por
crackers, que estariam deliberadamente usando a rede Tor para
acessá-las outras vezes sem deixar rastros. Ao divulgar o vazamento de
informações, Egerstad estaria, portanto, colaborando para interromper o
uso ilegítimo das contas.
Egerstad conseguia ler tanto os nomes e senhas das contas como as
mensagens porque o acesso às caixas postais era feito por seus usuários
(legítimos ou não) sem a utilização de um protocolo criptográfico como
SSL ou de S/MIME. Assim, todas as informações trafegavam de forma
legível, permitindo sua interceptação.
De acordo com o Projeto Tor,
responsável pela evolução e distribuição do software, o Tor é usado
(com finalidades bem distintas, porém) por um contingente heterogêneo
que reúne cidadãos comuns, ativistas de direitos civis, jornalistas,
executivos, autoridades policiais, agências de inteligência e
instituições militares (infelizmente, também fazem parte dessa lista
pedófilos, criminosos e terroristas).
Assim como Egerstad, qualquer outro indivíduo, instituição ou agência
de inteligência pode instalar um nó Tor para bisbilhotar as
comunicações alheias. O próprio Projeto Tor incentiva a criação de
novos nós Tor (“bem comportados”, obviamente) por voluntários, pois o
aumento de banda torna a rede Tor mais rápida. Talvez com a intenção de
minimizar ou justificar seu “experimento”, Egerstad afirmou numa
entrevista saber da existência de cinco ou seis grandes servidores com
grande capacidade de banda e de armazenamento (40 ou 50 terabytes
cada), localizados na capital norte-americana, que hospedam nós Tor.
Quem, pergunta Egerstad, estaria por trás dessa operação? Provavelmente
o Echelon.
Levando em conta a contribuição dos serviços de anonimato para a
proteção da privacidade individual, vale a pena fazer um breve um
parêntese sobre o status desta última no mundo. Uma ONG baseada em
Londres, a Privacy International,
publica anualmente, desde 1997, um ranking de países baseado na
privacidade de seus cidadãos com o objetivo de “monitorar a vigilância
e a invasão da privacidade individual conduzidas por governos e
organizações”.
O índice de cada país, que vai de 1 (“pior”) a 5 (“melhor”), é
calculado a partir de catorze atributos como proteção constitucional,
salvaguardas democráticas, interceptação de comunicações, vigilância
visual, monitoração de locais de trabalho, acesso a informações por
parte do governo etc.
No ranking de 2007, China (1,3) e Índia (1,9) são classificadas,
respectivamente, como “sociedade de vigilância endêmica” e “sociedade
de vigilância extensiva”. As nações mais bem posicionadas são Grécia
(3,1), Romênia (2,9) e Hungria (2,9). O Brasil (2,1) aparece numa
posição intermediária, a de “sociedades que fracassam de modo
sistemático em apoiar salvaguardas”, mas perde para a Argentina (2,8),
uma “sociedade com algumas salvaguardas, mas com proteções reduzidas”.
O baixo índice atribuído aos EUA (1,5), embora reflita as medidas
tomadas pelo governo norte-americano após os incidentes de 11 de
setembro, não faz jus à tradição de respeito às liberdades democráticas
da Grande Nação do Norte e muito provavelmente deixaria envergonhados
os Founding Fathers (os mentores da Constituição norte-americana).
Em dezembro passado investigadores da polícia sueca foram à casa de
Egerstad, em Malmö, e confiscaram computadores, HDs portáteis e CDs.
Levado à delegacia, foi interrogado por duas horas e depois liberado.
Embora nenhuma acusação pese sobre Egerstad, ele ainda não recebeu seus
equipamentos de volta.
Ao menos três lições podem ser extraídas do episódio:
Para finalizar, uma constatação: é preferível a ausência de segurança à falsa segurança.
Dan Egerstad, um sueco de 22 anos, informou em seu site ter conseguido
as informações de acesso de mil contas de correio eletrônico de
embaixadas, partidos políticos, órgãos de governo, ONGs, ativistas de
direitos humanos e grandes corporações.
Boa parte das mensagens armazenadas nessas contas continha informações
sensíveis como assuntos militares e de segurança nacional, comunicações
do alto escalão de multinacionais, informações sobre vistos e
passaportes, identidades de funcionários de governos e de executivos de
empresas etc. Com receio de ser acusado de espionagem ou que o serviço
de inteligência sueco passasse a monitorar as contas de e-mail,
Egerstad decidiu não repassar as informações às autoridades de seu país.
Após tentar, sem sucesso, contatar os responsáveis pela contas,
Egerstad tomou uma atitude polêmica: colocou no site os nomes, senhas e
endereços de cem contas, entre as quais as das embaixadas do
Usbequistão (40 contas!), Irã, Índia, Japão, Rússia e Cazaquistão – o
que lhe valeu o apelido embassy hacker. Foram também “contemplados” o
Ministério do Exterior iraniano, dois partidos políticos e uma ONG de
direitos humanos de Hong Kong e duas repartições do Ministério da
Defesa indiano.
Usando as informações liberadas por Egerstad, um repórter entrou na
conta do embaixador da Índia e conseguiu obter a ata da reunião entre
um ministro chinês e um governante indiano (o mesmo caminho também
poderia ser percorrido, porém com objetivos bem menos nobres, por
crackers, criminosos, espiões e terroristas).
Criticado por divulgar informações sigilosas, o sueco alegou que não
havia violado nenhuma lei para obter as informações, mas apenas
observado o conteúdo de mensagens de e-mail desprotegidas. Embora o
perfil mostrado no LinkedIn (um site de relacionamentos profissionais)
informe que Egerstad presta serviços de pen test, ele negou, na
ocasião, ter invadido alguma máquina (pen test, ou teste de penetração,
é um método de avaliação da segurança de uma rede ou de uma máquina em
que um hacker simula os ataques que poderiam ser realizados por um
cracker). Egerstad não explicou como as informações chegaram às suas
mãos, mas disse apenas, de forma enigmática, que “as vítimas usaram uma
técnica [para ler seus emails] que não sabem como realmente funciona”.
As senhas utilizadas nessa contas eram, obviamente, triviais. As
embaixadas iranianas adotavam como senha o nome do país ou da cidade em
que estavam localizadas. As senhas escolhidas pelo Partido Liberal em
Hong Kong (“123456” e “12345678”), pelas embaixadas indianas (a
indefectível “1234”) e pela embaixada da Mongólia nos EUA (“temp”)
dispensam comentários.
Posteriormente, o sueco revelou que havia garimpado as informações com
ajuda de um software chamado Tor. Usado principalmente para navegação
na web, o Tor (iniciais de The Onion Router) impede que o site visitado
identifique o internauta (“serviço de anonimato”). Seu conceito foi
criado em 1996, no Laboratório de Pesquisa Naval dos EUA, para permitir
ao pessoal da Marinha norte-americana acessar sites
em qualquer parte do mundo sem revelar sua identidade e localização.
Aparentemente, para evitar que a utilização do Tor denunciasse a
condição militar de seus usuários, a U.S. Navy teria decidido liberar
sua utilização como software livre.
Como funciona o Tor? De forma simplificada, inicialmente o cliente Tor,
que reside na máquina do internauta, escolhe, entre os nós Tor
disponíveis na rede Tor, uma seqüência aleatória de alguns nós, criando
um “circuito”. Em seguida, o cliente Tor negocia uma chave de sessão
com cada um dos nós escolhidos.
Definido o circuito, o cliente Tor cifra as informações a serem
transmitidas (payload) com a chave apropriada e adiciona uma camada
para cada nó do circuito, formando (como indica o nome em inglês) uma
“cebola”. Para que a “cebola” possa percorrer o circuito, o cliente Tor
armazena em cada camada, devidamente cifrado, o endereço do próximo nó
do circuito. Despachada para o primeiro nó, a “cebola” vai sendo
descascada à medida que passa de um nó para outro até alcançar o último
nó, o nó de saída, instante em que o payload é enviado ao destinatário
final.
Desse modo, cada nó do circuito conhece apenas seu antecessor e seu
sucessor. Além disso, como o payload é cifrado pelo cliente Tor antes
de chegar ao nó inicial, seu conteúdo é ilegível para todos os nós do
circuito (e também para observadores externos), com exceção do nó de
saída (ou seja, o payload sai do circuito tal qual entrou: cifrado ou
legível).
Há ainda um outro benefício oferecido pelo Tor: a criação dinâmica de
circuitos e a cifração do payload (e das informações de roteamento)
implementadas pelo Tor frustram a análise de tráfego, impedindo, por
exemplo, que um espião externo ou ou um nó Tor comprometido consigam
inferir quem está se comunicando com quem.
Voltando a Egerstad, o sueco disse sua intenção inicial não era
bisbilhotar o conteúdo de mensagens alheias, mas sim obter estatísticas
sobre o número de usuários que protegiam o sigilo de suas mensagens.
Para isso, instalou um nó de saída na rede Tor para observar se as
mensagens (em seu trajeto das caixas postais para as máquinas dos
usuários) saíam cifradas ou não (o conteúdo em si das mensagens não era
relevante). Nós desse tipo são chamados rogue nodes, uma vez que sua
finalidade original foi desvirtuada.
Entretanto, quando estava prestes a finalizar o trabalho, Egerstad
reparou casualmente numa mensagem, legível, destinada a um órgão de
governo. Movido pela curiosidade, o sueco decidiu instalar outros
quatro nós de saída e monitorar por um período mais longo o conteúdo
propriamente dito das mensagens. Em cada máquina, instalou também um
packet sniffer, configurado para filtrar apenas as mensagens destinadas
a domínios como “gov” ou “mil” ou que contivessem palavras como “war”,
“terrorism”, “military” etc. Por acaso ou não, as palavras escolhidas
por Egerstad parecem saídas do dicionário do Echelon, o sistema global de coleta e análise de informações operado por agências de inteligência da Austrália, Canadá, EUA, Nova Zelândia e Reino Unido.
Num primeiro momento, Egerstad atribuiu o vazamento de informações ao
uso inadequado da rede Tor por usuários que acreditavam, erroneamente,
apesar dos alertas publicados no site do Projeto Tor, que o sigilo de
suas comunicações estaria protegido. Mais adiante, disse que tinha
evidências de que as contas de e-mail já teriam sido comprometidas por
crackers, que estariam deliberadamente usando a rede Tor para
acessá-las outras vezes sem deixar rastros. Ao divulgar o vazamento de
informações, Egerstad estaria, portanto, colaborando para interromper o
uso ilegítimo das contas.
Egerstad conseguia ler tanto os nomes e senhas das contas como as
mensagens porque o acesso às caixas postais era feito por seus usuários
(legítimos ou não) sem a utilização de um protocolo criptográfico como
SSL ou de S/MIME. Assim, todas as informações trafegavam de forma
legível, permitindo sua interceptação.
De acordo com o Projeto Tor,
responsável pela evolução e distribuição do software, o Tor é usado
(com finalidades bem distintas, porém) por um contingente heterogêneo
que reúne cidadãos comuns, ativistas de direitos civis, jornalistas,
executivos, autoridades policiais, agências de inteligência e
instituições militares (infelizmente, também fazem parte dessa lista
pedófilos, criminosos e terroristas).
Assim como Egerstad, qualquer outro indivíduo, instituição ou agência
de inteligência pode instalar um nó Tor para bisbilhotar as
comunicações alheias. O próprio Projeto Tor incentiva a criação de
novos nós Tor (“bem comportados”, obviamente) por voluntários, pois o
aumento de banda torna a rede Tor mais rápida. Talvez com a intenção de
minimizar ou justificar seu “experimento”, Egerstad afirmou numa
entrevista saber da existência de cinco ou seis grandes servidores com
grande capacidade de banda e de armazenamento (40 ou 50 terabytes
cada), localizados na capital norte-americana, que hospedam nós Tor.
Quem, pergunta Egerstad, estaria por trás dessa operação? Provavelmente
o Echelon.
Levando em conta a contribuição dos serviços de anonimato para a
proteção da privacidade individual, vale a pena fazer um breve um
parêntese sobre o status desta última no mundo. Uma ONG baseada em
Londres, a Privacy International,
publica anualmente, desde 1997, um ranking de países baseado na
privacidade de seus cidadãos com o objetivo de “monitorar a vigilância
e a invasão da privacidade individual conduzidas por governos e
organizações”.
O índice de cada país, que vai de 1 (“pior”) a 5 (“melhor”), é
calculado a partir de catorze atributos como proteção constitucional,
salvaguardas democráticas, interceptação de comunicações, vigilância
visual, monitoração de locais de trabalho, acesso a informações por
parte do governo etc.
No ranking de 2007, China (1,3) e Índia (1,9) são classificadas,
respectivamente, como “sociedade de vigilância endêmica” e “sociedade
de vigilância extensiva”. As nações mais bem posicionadas são Grécia
(3,1), Romênia (2,9) e Hungria (2,9). O Brasil (2,1) aparece numa
posição intermediária, a de “sociedades que fracassam de modo
sistemático em apoiar salvaguardas”, mas perde para a Argentina (2,8),
uma “sociedade com algumas salvaguardas, mas com proteções reduzidas”.
O baixo índice atribuído aos EUA (1,5), embora reflita as medidas
tomadas pelo governo norte-americano após os incidentes de 11 de
setembro, não faz jus à tradição de respeito às liberdades democráticas
da Grande Nação do Norte e muito provavelmente deixaria envergonhados
os Founding Fathers (os mentores da Constituição norte-americana).
Em dezembro passado investigadores da polícia sueca foram à casa de
Egerstad, em Malmö, e confiscaram computadores, HDs portáteis e CDs.
Levado à delegacia, foi interrogado por duas horas e depois liberado.
Embora nenhuma acusação pese sobre Egerstad, ele ainda não recebeu seus
equipamentos de volta.
Ao menos três lições podem ser extraídas do episódio:
- Não se deve usar senhas triviais;
- Convém preservar o sigilo de comunicações sensíveis;
- É bom não ignorar o aviso de alguma vulnerabilidade.
Para finalizar, uma constatação: é preferível a ausência de segurança à falsa segurança.
Powered by ScribeFire.
Postagens
Postar um comentário