John Markoff

Para detetives do passado, o problema era sempre a aquisição de informações. Para o ciberdetetive, que caça evidências no emaranhado de dados da internet, o problema é diferente. "A principal questão é: como distinguir entre informação lixo e informação valiosa?" disse Rafal Rohozinski, cientista social pela Universidade de Cambridge envolvido em assuntos de segurança de computadores.

Há oito anos, ele fundou dois grupos, Information Warfare Monitor e Citizen Lab, ambos com sede na Universidade de Toronto, com Ronald Diebert, cientista político da Universidade de Toronto. Os grupos buscam esse objetivo e lutam para colocar instrumentos investigativos normalmente reservados para agências de fiscalização e investigadores de segurança de computadores a serviço de grupos que não possuem tais recursos. "Acreditávamos que grupos da sociedade civil não tinham essa capacidade de investigação," Diebert disse.

Eles tiveram êxitos importantes. No ano passado, Nart Villeneuve, 34 anos, pesquisador de relações internacionais que trabalha para os dois grupos, descobriu que uma versão chinesa do software Skype estava sendo usada por uma das maiores operadoras de celular da China para escutas, provavelmente em nome de agências policiais chinesas.

Este ano, Villeneuve ajudou a desmascarar um sistema de espionagem que ele e outros pesquisadores apelidaram de Ghostnet, aparentemente uma operação do governo chinês para espionar a maior parte dos computadores governamentais sul-asiáticos ao redor do mundo. Ambas as descobertas foram o resultado de um novo gênero de trabalho de detetive, e ilustram os pontos fortes, bem como os limites desse ofício no ciberespaço.

O caso do Ghostnet começou quando Greg Watson, editor do Inforwar Monitor e membro da equipe de pesquisa, foi convidado para fazer a auditoria da rede de trabalho do escritório do Dalai Lama em Dharamsala, Índia. Sob constante ataque - possivelmente por hackers patrocinados pelo governo chinês -, os exilados recorreram aos pesquisadores canadenses para que ajudassem a combater os espiões digitais que haviam sido plantados em seu sistema de comunicação ao longo de vários anos.

Tanto no escritório particular do Dalai Lama quanto na sede do governo tibetano exilado, Watson usou um software poderoso, conhecido como Wireshark, para capturar o tráfego de entrada e saída dos computadores do grupo no exílio.

O Wireshark é um software aberto disponível gratuitamente para investigadores de segurança de computadores. Seu diferencial é a facilidade de uso e a capacidade de organizar e decodificar centenas de protocolos comuns da internet, usados para diferentes tipos de dados de comunicação. Ele é conhecido como um farejador, e tais softwares são essenciais para os detetives que rastreiam cibercriminosos e espiões na internet.

O Wireshark possibilita que se assista a uma sessão de chat não criptografada em tempo real, ou no caso da pesquisa de Watson na Índia, a invasores da internet copiando arquivos da rede de trabalho do Dalai Lama.

Em quase todos os casos, quando os administradores do sistema Ghostnet invadiam um computador remoto, eles instalavam um software clandestino desenvolvido pelos chineses, chamado GhOst RAT - Terminal de Administração Remota. O GhOst RAT permite o controle de computadores distantes através da internet, sendo até mesmo capaz de acionar as capacidades de áudio e vídeo e capturar os arquivos resultantes. Os operadores do sistema - quem quer que sejam -, além de roubar arquivos digitais e mensagens de e-mail, também conseguiam transformar PCs de escritório em pontos de escuta remotos.

A espionagem era de preocupação imediata para os tibetanos, porque os documentos que estavam sendo roubados diziam respeito à discussão de posições que os representantes políticos do Dalai Lama planejavam assumir em negociações no qual o grupo estava envolvido.

Depois de voltar ao Canadá, Watson compartilhou os dados capturados com Villeneuve e os dois usaram um segundo instrumento para analisar as informações. Eles carregaram os dados em um programa de visualização que havia sido fornecido ao grupo pela Palantir Technologies, uma empresa de software que desenvolveu um programa que permite a "fusão" de grandes conjuntos de dados para buscar correlações e conexões que, de outra forma, não seriam notadas.

A empresa foi fundada há vários anos por um grupo de tecnólogos pioneiro em técnicas de detecção de fraudes no PayPal, um serviço de pagamentos online do Vale do Silício. A Palantir desenvolveu um instrumento de reconhecimento de padrões que é usado por agências de inteligência e empresas de serviços financeiros, e os pesquisadores do Citizen Lab o modificaram acrescentando capacidades específicas para dados da internet.

Villeneuve usava esse software para examinar os arquivos de dados em um porão da Universidade de Toronto quando notou uma série de 22 caracteres aparentemente inofensiva, porém intrigante, que reaparecia em diferentes arquivos. Por intuição, ele pesquisou a série no Google e foi instantaneamente direcionado a arquivos similares armazenados em um vasto sistema computadorizado de vigilância, localizado na ilha Hainan da costa chinesa. Os arquivos tibetanos estavam sendo copiados para esses computadores.

Os pesquisadores não foram capazes de determinar com certeza quem controlava o sistema. O sistema pode ter sido criado pelos chamados hackers patrióticos, ativistas independentes da China cujas ações se alinham intimamente, mas de forma independente, ao governo chinês. Ele também pode ter sido criado e controlado por espiões da internet em um terceiro país.

De fato, a descoberta levantou tantas questões quanto respondeu. Por que o poderoso sistema de escuta não era protegido por senha, uma falha que facilitou a determinação de seu funcionamento por Villeneuve? E por que, entre os mais de 1,2 mil computadores governamentais comprometidos, representando 103 países, não havia nenhum sistema dos Estados Unidos? As questões permanecem.

A ciberinvestigação apresenta desafios técnicos imensos, que são complicados pelo fato da internet transpor sem esforço fronteiras locais e de governos nacionais. É possível um criminoso, por exemplo, esconder suas atividades ao se conectar a um computador alvo através de uma série de computadores inocentes, cada um conectado à internet em diferentes continentes, o que torna investigações policiais demoradas ou até mesmo impossíveis.

O ponto mais problemático enfrentado tanto pela polícia quanto pelos investigadores do ciberespaço é essa questão da "atribuição." O famoso desenho da revista New Yorker em que um cão sentado ao computador aponta para seu companheiro e diz "na internet, ninguém sabe que você é um cachorro" não é brincadeira para ciberdetetives.

Para lidar com o desafio, os pesquisadores de Toronto estão buscando o que descrevem como uma fusão de metodologias, em que observam os dados da internet no contexto de eventos reais. "Tivemos um palpite muito bom de que para entender o que estava acontecendo no ciberespaço precisávamos coletar dois conjuntos de dados completamente diferentes," Rohozinski disse.

"De um lado, precisamos de dados técnicos gerados por arquivos de log da internet. Já o outro componente é tentar entender o que está acontecendo no ciberespaço, entrevistando pessoas e entendendo como as instituições funcionam."

Investigadores de cibersegurança experientes concordam que os melhores detetives de dados vão além da internet. Eles podem até precisar gastar a sola do sapato.

"Não podemos ficar míopes quanto a nossos instrumentos," disse Kent Anderson, investigador de segurança que é membro do comitê de gerenciamento de segurança da Associação de Sistemas de Auditoria e Controle. "Continuamente, encontro bons tecnólogos que sabem usar os instrumentos, mas não entendem como eles se encaixam no panorama maior da investigação."

Tradução: Amy Traduções

The New York Times

Fonte: www.terra.com.br