À FolhaLeaks falta pelo menos Tor e HTTPS

Visitando o site da Folha de São Paulo, não pude deixar de notar uma chamada para o serviço FolhaLeaks que eles lançaram para aceitar denúncias e informações "vazadas" de interesse jornalístico. Mas o que me chamou a atenção foi a aparente falta de cuidados técnicos para proteger a anonimidade das fontes. Para a galera do tl;dr, eis aqui o resumo da ópera: a) o anonimato parece ser opcional – há um botão "sim/não" para a pergunta "Gostaria de manter o anonimato?"; b) não há instruções sobre mitigação de rastreabilidade para os que querem manter o anonimato; e c) eles não usam HTTPS nem mencionam o Tor.

No restante deste artigo vou discorrer em mais detalhe sobre esses pontos e alguns outros. Antes, porém, algumas ressalvas:

  • Primeiro, não gostaria de que esse artigo fosse interpretado como se eu estivesse dizendo que sou a favor de sites de denúncias. Meu objetivo aqui não é fazer juízo de valor, nem tampouco oferecer um posicionamento ético ou político;

  • Também não gostaria que esse artigo fosse interpretado como encorajamento para delatores. Pelo contrário: se você está pensando em vazar informações confidenciais, minha recomendação é: não faça. A razão é simples: mesmo tomando todas as precauções técnicas e procedimentais (coisa que quase ninguém faz), é quase certo que você venha a ser descoberto e punido por isso. E no caso extremamente improvável de você não ser descoberto, algum bode expiatório (que talvez seja alguém com quem você se importe) vai acabar pagando o pato. O risco pessoal é altíssimo. Raríssimos são os casos em que vale a pena. Nesse artigo você vai ver algumas maneiras pelas quais você pode ser descoberto e o que os sites de denúncia deveriam estar fazendo a respeito, mas aparentemente não estão.

  • Nada tenho eu contra a Folha de São Paulo. Muito pelo contrário, tenho muito a favor: eu leio o site deles quase todo dia e os considero senão o melhor jornal do país, pelo menos um dos melhores. Desejo à iniciativa deles todo o sucesso e é justamente com a finalidade de contribuir positivamente para isso que eu ofereço gratuitamente esses comentários (lembrem-se: via de regra eu sou pago pra fazer análises desse tipo).

Rastreabilidade do Remetente

Sempre que a gente visita um site, nossos endereços IP de origem (que identificam os computadores na Internet) são registrados. Quem trabalha com informática e webdesign está cansado de saber disso, mas quando eu explico isso pros "leigos", muitos ainda parecem se surpreender. Todavia, é algo tão banal quanto o que acontece com os telefones celulares: quando você liga para alguém, seu número aparece na tela do celular da pessoa para o qual ligou (caso se interesse pelos detalhes, eu discuti isso timtim por timtim em um artigo anterior.)

Assim sendo, todo site web, e o da FolhaLeaks em particular, mantém um "histórico de chamadas" de todas as visitas que recebeu. Normalmente, esse histórico fica sob a posse dos operadores do site e de ninguém mais. Todavia, juízes, policiais e demais autoridades investigativas rotineiramente intimam provedores e donos dos sites para revelarem esses dados, para servirem de evidências como parte de inquéritos e litígios.

A diferença entre um blogueiro e um site de denúncias é que ninguém sabe qual ver ser o próximo blogueiro a passar da medida, ao passo que o site de denúncias está anunciando a priori que vai receber material "quente". Isso o torna um alvo perfeito: tudo que uma autoridade de vigilância precisa fazer é colocar uma infra-estrutura técnica para "grampeá-los" continuamente, 24 horas por dia, sete dias por semana, e nem sequer precisar intimá-los.

Esse tipo "grampo" é relativamente fácil de instalar e quase totalmente automatizado; ou seja, é barato, pois ninguém precisa ficar de plantão. Por isso mesmo, é feito rotineiramente e em larga escala em países com regimes opressivos (o "Projeto Escudo Dourado" da China é o exemplo mais famoso), que, inclusive, vão muito além: eles costumam rastrear e manter prontuários de todas as pessoas que acessam o tais sites de denúncias. Os que vivenciaram a ditadura militar aqui no Brasil há algumas décadas devem perceber as similaridades.

Em português claro: precisamos presumir a priori o pior caso possível – o que o site de denúncias está sendo continuamente grampeado.

E isso tudo considerando um site convencional. No caso da FolhaLeaks, a coisa ainda é mais complicada, porque o site parece estar integrado ao portal do UOL, no qual muita gente se identifica por login e senha. Em outras palavras: apesar da página da FolhaLeaks em si não te pedir nome e senha, se você postar algo lá após ter acessado o webmail ou algum dos serviços do UOL, provavelmente constará nos logs o nome do usuário.

É instrutivo comparar a página de submissão da FolhaLeaks com a da WikiLeaks: a desta última oferece (ou melhor, oferecia, pois estão sem aceitar novas submissões) o site através de um endereço .onion da rede Tor (veja a parte onde eles mencionam o endereço http://suw74isz7qqzpmgu.onion/). Isso mostra que eles entendem pelo menos um pouco do assunto: o Tor é um programa e um serviço que usa uma rede de intermediários para disfarçar o endereço IP do seu navegador (a técnica básica que eles usam eu descrevi aqui) e foi explícita e cuidadosamente projetada para tornar o rastreamento difícil.

Aliás, esse é um raro caso em que o auê sobre "usamos o estado da arte em sistemas de criptografia" é realmente justificado: a rede Tor é, de fato, um dos expoentes máximos no uso prático de criptografia visando anti-rastreamento, fruto de décadas de pesquisas acadêmicas, tendo sido durante um tempo custeado por uma entidade respeitadíssima, a Electronic Frontier Foundation. Hoje em dia eles criaram um ONG própria só para custear o sistema.

Já vi gente dizer que esse lance de oferecer o serviço via Tor é "irreal", porque a maioria das pessoas nunca sequer ouviu falar no Tor, que o Tor é muito difícil de usar, é muito lento e outras desculpas do tipo. Um deles, para a minha estupefação, foi o Daniel Domscheit-Berg, fundador do OpenLeaks (taxado por alguns de "concorrente" da WikiLeaks), na palestra dele no FISL12.

Não concordo. Pra mim, qualquer site de denúncias que pretenda ser levado a sério precisa necessariamente encorajar o uso o Tor como meio de mitigar os riscos de rastreamento por endereço IP. Nesse aspecto, o WikiLeaks dá um bom exemplo: imagine um denunciante que quisesse mandar algo para a WikiLeaks. Se ele minimamente lesse as instruções, pelo menos ouviria falar "desse tal de Tor". Haveria, portanto, pelo menos uma pequena chance de que ele baixasse, instalasse e usasse o programa, o que resultaria em uma melhora considerável nas suas chances de não ser rastreado (pelo menos no momento da submissão). Pode até ser que o denunciante resolva não usar, mas pelo menos a ele foi dada a chance.

Já o site da FolhaLeaks nem sequer menciona o Tor, nem os riscos associados ao rastreamento. Acho que não é nenhuma injustiça afirmar que essa omissão é uma imensa oportunidade perdida em educar o denunciante (que, afinal, arca com todos os riscos de retaliação) sobre como proteger a si próprio. O OpenLeaks também não menciona o Tor no seu site (por outro lado, aparentemente ainda não começaram a aceitar submissões).

Diante disso, minhas recomendações para a FolhaLeaks são:

  • Desassociem completamente o site do restante do portal do UOL. De preferência, hospedem em outro domínio, em outro provedor (embora eu imagino que essa seja uma coisa difícil de vender internamente) e sem nenhum sistema de login e senha.

  • Anunciem, expliquem e encorajem o uso do Tor e do TorButton.

Isso tudo não só ajudará a proteger a anonimidade das fontes, mas também tenderá a fazer a rede Tor brasileira crescer (quase todos os relays da rede Tor são nos EUA ou Europa), o que beneficiará a todos os seus usuários e, indiretamente, a propria FolhaLeaks.

Cuidados com os Tipos de Arquivo

Na página de submissão da Wikileaks há algumas explicações (rasteiras, verdade seja dita) sobre alguns cuidados que se precisa ter com alguns tipos de arquivos. Por exemplo, os arquivos do Word (e o Writer do LibreOffice também) costumam embutir dados como o nome do usuário e nome da organização pelo qual foram comprados (apesar de muita gente não preencher corretamente esses dados na hora da instalação do Office). Outra informação que costuma estar presente é o nome/modelo da impressora padrão configurada, o que frequentemente pode ser usado para descobrir ou pelo menos restringir hipóteses de onde o documento possa ter vindo.

A página da Wikileaks recomenda que sejam enviados arquivos tipo .PDF. Certamente é melhor do que não dizer nada, mas a verdade é que, dependendo como o arquivo .PDF for gerado, ele também pode conter diversas informações identificadoras que podem ajudar a descobrir de onde o documento veio. É preciso conhecer bem o funcionamento das funções de exportação de PDF e as características técnicas do formato para realmente poder garantir que eles resistam ao escrutínio de um especialista em análise forense digital.

Minha recomendação para a FolhaLeaks é explicar para o usuário que, se o material está na forma de documentos de computador, o melhor é imprimi-los e digitalizá-los de volta, salvando-os em formato .BMP – o formato BMP não tem nenhum metadado que identifique o computador onde ele foi gerado, nem nenhum campo de identificação do usuário. Alguns extra-paranóicos que eu conheço recomendam ainda usar impressoras e scanners emprestados, pois a maneira exata como eles imprimem e digitalizam, quando olhadas "no microscópio", apresentam tendenciosismos que podem ser usados para descobrir a marca/modelo do equipamento utilizado. Assim, usar a impressora e/ou scanner do trabalho aumenta muito as chances de rastreamento.

HTTPS ao invés de HTTP

Outra coisa bem óbvia no site da FolhaLeaks é que o formulário de sumissão está disponibilizado via HTTP comum, cujo tráfego não é cifrado. Isso o torna fácil o emprego de vários ataques técnicos clássicos: quase toda grande instituição já tem uma infra-estrutura montada para vigiar (e às vezes censurar) o que seus membros navegam (há diversos produtos comerciais pra isso; dentre os que já vi, o mais famoso é o WebSense). É facílimo simplesmente colocar a FolhaLeaks na lista de sites vigiados. Se algum desafeto for suficientemente incauto para usar a própria rede da instituição para denunciá-la (e, acredite, isso acontece bastante), será prontamente pego.

Há uma ampla discussão hoje em dia sobre o fato que tem sido encontradas vulnerabilidades no protocolo HTTPS e no sistema de "Autoridades Certificadoras" subjacente; e que há entidades que têm infra-estrutura montada para interceptar tráfego mesmo em HTTPS (aqui no Tempest Blog, o Victor já discutiu isso em um artigo há uns meses atrás). Eu poderia até arguir que esses casos estão sendo supervalorizados, mas isso fica pra outro artigo, outro dia; por hoje, acho que todos concordam que ter HTTPS, com todas as suas limitações, ainda é muitíssimo melhor que usar apenas o HTTP comum. Por isso o meu espanto em observar que não parece nem ter havido a preocupação em usar HTTPS no site da FolhaLeaks.

Minha recomendação para a FolhaLeaks: ofereçam o site exclusivamente via HTTPS (o HTTPS funciona perfeitamente por sobre um hidden service do Tor).

Conclusões

Eu não duvido que, se interpelados sobre o assunto, os responsáveis pela FolhaLeaks vão tentar focar mais na seriedade do seu processo editorial e bem menos nas fragilidades técnicas – nada mais natural, pois é no jornalismo que eles têm mais experiência. Mas o fato inescapável é que o funcionamento técnico da Internet cria riscos que tornam aceitar denúncias via web uma coisa mais complicada do que parece, pelo menos se for de forma a preservar a anonimidade da fonte.

Eu recomendo fortemente ao pessoal da FolhaLeaks (e de qualquer jornal ou ONG que pretenda lançar algum serviço de denúncias via web) assistirem a palestra do Daniel Domscheit-Berg que já citei acima. Apesar de eu, o Jake Appelbaum e um outro membro da audiência (cujo nome não lembro) termos discordado dele quanto ao lance do Tor, o resto da palestra dele é perfeita e os demais argumentos dele são excelentes – ele toca em todos os pontos certos.

Enfim: fazer um site de denúncias é muito mais do que simplesmente colocar no ar um formulário de submissão; imitar o modelo jornalístico da Wikileaks sem imitar também sua preocupação com a segurança técnica beira o temerário. Faz-se necessário não só uma consideração cuidadosa do modelo de ameaça, aliada a uma consciência aguda que esse tipo de serviço tende a atrair adversários poderosos, mas também a implantação de contramedidas técnicas eficazes e educar o usuário sobre como se proteger. Dadas as consequências nefastas para o denunciante caso sua anonimidade seja quebrada, nenhuma precaução é demais.

Parte anterior

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.
Manoel Garrido | 2011-10-06 11:27:13 | permalink | topo

Concordo que aqui a Folha deu uma bola fora...

Pior é o mau exemplo, agora todo jornal vai botar um formulariozinho qualquer sem nenhuma precauçao e depois dizer que todo mundo faz assim, até a Folha.

Marco Carnut | 2011-10-03 15:31:52 | permalink | topo

Marcelo,

Resposta curta: não muito. Para o caso específico de postagem em sites de denúncias, os modos de "navegação anônima" que os navegadores mais recentes oferecem não evitam rastreabilidade por grampeamento ou análise de logs.

Resposta longa: na realidade, os recursos de navegação anônima embutidos nos navegadores recents foram projetados para resolver outra coisa parecida mas diferente: a ideia é que os navegadores não guardem cookies, nem histórico de navegação, nem façam o preenchimento automático de formulários, entre outras pequenas firulas.

A idéia é que, se outra pessoa usar o mesmo computador ou navegador que você, não será imediatamente óbvio para ela saber por onde você andou navegando.

Note que é o navegador que deixa "voluntariamente" de registrar o que você faz. Mas vários plugins (como o Flash) não honram esse "modo anônimo" e continuam guardado vários tipos de dados que podem ser usados para reconstruir, pelo menos parcialmente, o que você andou fazendo.

O modo anônimo detém usuários leigos, mas pouco atrapalha um analista forense tarimbado, caso, por exemplo, sua máquina seja apreendida como parte de uma investigação policial.

Tendo dito isso, vale lembrar que o modo anônimo é melhor do que nada. E se você combiná-lo com o Tor e o TorButton, aí sim ficará difícil de rastrear, se ninguém desconfiar de você; se já desconfiarem, ainda assim você pode ser identificado. Anonimidade é difícil; requer conhecimento técnico, paciência e disciplina extremas.

Marcelo Uezu | 2011-09-27 22:41:57 | permalink | topo

Os navegadores que oferecem navegação anonima, ate que ponto podemos confiar neles? ex. crome e IE