Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

>>> Perguntas sobre a web
Poderia me ajudar com as dúvidas abaixo?
1) Páginas web que estão na Deep Web devem ser construídas de forma diferente das que estão na internet normal, ou seja, é necessária uma linguagem diferente de HTML?
2) Na internet normal, você precisa registrar um domínio para ter um site. Como funciona isto na Deep Web?
3) Existem sites de busca na Deep Web, como um Google por exemplo?
4) Qual é o protocolo utilizado na deep web, http ou outros?
5) Qual é o motivo de ninguém conseguir rastrear os donos dos sites na Deep Web?
6) Como funcionam os IP das máquinas na Deep Web? Eles ficam de alguma forma escondidos?
Obrigado,
Sérgio Luís Melchiori

Suas perguntas envolvem uma série de detalhes técnicos, Sérgio. Mas, antes, é preciso esclarecer o seguinte: o termo "deep web" se refere a qualquer conteúdo existente na rede e que não é fácil de ser encontrado.

Recentemente, esse termo tem sido confundido com o termo "dark web" ou "darknet", que se refere a sites ou recursos que exigem software específico para serem acessados. De maneira ainda mais grosseira, o termo "deep web" tem sido usado como sinônimo da rede Tor. Por causa desse uso incorreto dos termos, eles têm perdido o seu sentido original e até a sua utilidade.

Por exemplo, não há dificuldade nenhuma para que uma autoridade policial rastreie um acesso simples em um conteúdo da "deep web" que esteja disponível na web comum (sentido original). Mas o Tor, que é considerado a "deep web", é uma rede projetada para evitar rastreamentos desse tipo. Os termos, tais como são usados hoje, confudem a tecnologia e o propósito.

De fato, quem pensa que a "deep web" se restringe ao Tor acaba não percebendo a grande quantidade de informações que está na web comum e fora do alcance de mecanismos de pesquisa.

Pelo teor das suas perguntas, que envolvem bastante a questão do rastreamento, me parece que você está interessado no funcionamento do Tor e não da deep web ou darknet como conceito. Mas a coluna vai buscar responder as perguntas nesses três sentidos.

Feito esse esclarecimento, podemos prosseguir com as respostas:

1. Estritamente falando, a "web" se refere a documentos de hipertexto, ou seja, "HTML". Nesse sentido, todo o conteúdo da "deep web" utiliza alguma forma de hipertexto HTML. No entanto, existem diversos outros meios para transmissão de dados na rede. No caso do Tor, as páginas usam HTML, sim; a única diferença é que essas páginas tendem a evitar certas tecnologias consideradas perigosas para rastreamento, de modo a desobrigar o navegador dos visitantes a suportar esses recursos e aumentar a segurança do ambiente. Mas o Tor também pode transferir outros tipos de dados e protocolos.

2. Como explicado acima, "Deep Web" pode ser conteúdo da web normal, inclusive conteúdo disponível somente em um endereço IP, por exemplo, e não em domínio. A disponibilidade de conteúdo em redes secundárias (darknet) depende da tecnologia de cada rede. No Tor, existe um procedimento específico para disponibilizar um serviço oculto com base em uma chave criptográfica e não é preciso comprar nada. Na verdade, também não é preciso adquirir domínios na web comum - você só teria que divulgar o endereço IP do acesso. No caso do Tor, o que mantém a identidade do site é a chave criptográfica associada a ele, de modo que o IP da conexão não seja relevante.

3. Mais ou menos. Em definição estrita, a "deep web" é tudo que não pode ser facilmente encontrado. Logo, um conteúdo que existe em um mecanismo de pesquisa deixaria de ser parte da "deep web". No caso do Tor e outras redes da dark web, existem mecanismos de pesquisa. E também o próprio Google consegue indexar várias páginas do Tor, graças a serviço que fazem a intermediação do Tor para a web comum. Mas nem todas as páginas podem ser encontradas por esses recursos, claro.

4. Novamente, na definição estrita da "deep web", essa pergunta não faz sentido, porque o conceito de "web" envolve especificamente tecnologias como o HTTP. Já programas da "dark web", como o Tor, utilizam protocolos próprios para transportar outros protocolos, inclusive o HTTP, mas nem todos os programas precisam necessariamente funcionar assim e por isso existe também o termo "dark net".

5. Em redes de dark web, como o Tor, a principal dificuldade são os sistemas intermediários. No caso específico do Tor, os sistemas com informação mais privilegiada sobre o local desses sites são escolhidos com base em um sistema de reputação. Se esse sistema de reputação for enganado, é possível que uma máquina de espionagem ocupe posições sensíveis na rede para identificar os endereços verdadeiros dos sites. Quanto mais sistemas intermediários relevantes um atacante controlar, mais fácil será o rastreamento da conexão.




Imagem demonstra funcionamento de intermediação e criptografia na rede Tor. (Foto: EFF/Creative Commons)

6. Em redes "dark net", é normalmente comum que todos os acessos sejam intermediados por um ou mais sistemas. Nessa intermediação, o IP verdadeiro da origem e do destino da comunicação ficam ocultados e cada sistema intermediário sabe muito pouco da conexão - ou eles não sabem o conteúdo, ou não sabem o destino, ou não sabem a origem, por exemplo. Mas, novamente, se um espião conseguir controlar vários desses sistemas, ele pode acabar conseguindo juntar as peças do quebra-cabeças e rastrear a comunicação.

Espero que as respostas tenham esclarecido suas dúvidas, Sérgio!

O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!

A Suprema Corte dos Estados Unidos aprovou nesta quinta-feira (28) emendas para as regras aplicadas pelo FBI para a investigação de crimes. Uma das mudanças permite que um juiz norte-americano autorize a obtenção de dados de qualquer computador do mundo caso o endereço do IP verdadeiro do sistema não possa ser determinado. Na prática, a regra passa a permitir que qualquer juiz norte-americano autorize o uso de "qualquer meio" (inclusive programas espiões) contra usuários anônimos da internet e também contra sistemas que a autoridade policial acredita terem sido invadidos por um criminoso.

A nova regra começa a valer em dezembro deste ano. Até lá, o Congresso dos Estados Unidos pode se manifestar para bloquear as emendas. Um senador democrata, Ron Wyden, já disse que tentará impedir essa revisão das regras. "Sob as regras propostas, o governo poderia obter um único mandado para acessar e investigar milhares ou milhões de computadores e a vasta maioria dos computadores afetados pertenceria a vítimas, não aos autores, de um cibercrime", disse o senador, em comunicado.

Pela regra atualmente em vigor, o FBI precisa demonstrar que o endereço IP pertence a um computador localizado dentro do território no qual o juiz tem o direito de atuar (jurisdição). Pela nova regra, caso haja razão para crer que o endereço IP verdadeiro foi ofuscado, qualquer juiz está autorizado a permitir que o FBI extraia informações daquele computador.

Essa obtenção de dados é realizada por meio do uso de programas espiões instalados no computador do investigado. A regra chama a técnica de "busca por acesso remoto" e diz que o agente do FBI deve realizar um "esforço razoável" para entregar ao internauta uma cópia do mandado. O "serviço", diz a nova regra, "pode ser realizado por qualquer método, inclusive métodos eletrônicos".

Na prática, o sistema é invadido pelo FBI. O órgão utiliza falhas de segurança para investigar usuários do Tor pelo menos desde 2013

Os principais afetados são usuários de redes anônimas como o Tor. Elas ocultam o endereço IP real do usuário. Se a revisão não for bloqueada, qualquer juiz norte-americano poderá autorizar o FBI a acessar esses computadores.

Foto: Divulgação
Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

O juiz norte-americano Richard Jones confirmou que o Departamento de Defesa dos Estados Unidos patrocinou uma pesquisa da Universidade Carnegie Mellon que atacou a rede anônima Tor para identificar usuários da rede e que a informação foi utilizada pelo FBI para identificar e processar Brian Farrell, acusado de administrar o site de venda de drogas Silk Road.

Farrell pediu que a corte obrigasse o FBI a dar mais detalhes sobre as técnicas de investigação usadas para identificá-lo.

Em uma decisão datada do dia 23 de fevereiro, o juiz Jones nega o pedido de Farrell e argumenta que o réu já sabe da relação entre o Instituto de Engenharia de Software (SEI, na sigla em inglês) da Universidade Carnegie Mellon e o Departamento de Defesa dos Estados Unidos.

Com isso, o juiz confirma a alegação do projeto Tor de que a universidade agiu, na prática, como investigadora do governo. A instituição recebeu dinheiro para realizar a pesquisa que identificou os usuários para então ser obrigada por uma ordem judicial a revelar as informações obtidas ao FBI.

A validade da pesquisa acadêmica como prova no processo criminal depende da legalidade da ação dos pesquisadores. Para isso, Jones também argumenta que Farrell, ao utilizar o Tor, estava "tomando um risco significativo" de ter sua identidade exposta e que seu endereço IP era comunicado à rede no momento da conexão. Seu computador também não foi acessado ilegalmente. Logo, os pesquisadores não infringiram seus direitos realizando a pesquisa.

Os responsáveis pelo Tor publicaram um comunicado no blog do projeto afirmando que o juiz não compreende o funcionamento do Tor, que a separação entre a identidade e o trajeto dos dados é crucial para a rede anônima e que por isso os casos anteriores sobre a privacidade de endereços IP na internet não se aplicam.

Para estabelecer a ligação entre o endereço de origem da comunicação e o destino - o que foi necessário para vincular Farrell ao site Silk Road -, os pesquisadores exploraram uma vulnerabilidade e e interferiram com o tráfego na rede. Para o projeto Tor, que também é financiado pelo Departamento de Defesa, isso não deveria ser permitido sem autorização da Justiça em uma investigação.

Pesquisa acadêmica x investigação
O projeto Tor acusou a Universidade de Carnegie Mellon de receber ao menos US$ 1 milhão do FBI para realizar a pesquisa que usou uma vulnerabilidade na rede Tor para identificar usuários. Essa alegação foi negada pela universidade, que disse não ter recebido nada do FBI para realizar o trabalho.

De fato, o dinheiro tem outra origem: o Departamento de Defesa. No governo dos Estados Unidos, o FBI fica no Departamento de Justiça.

A pesquisa foi realizada em 2014 e chamou atenção quando uma palestra sobre os resultados que seria apresentada no evento de segurança Black Hat - um dos mais importantes da indústria - foi cancelada.

Os dados da pesquisa, na ocasião, foram compartilhados com o FBI para a investigação de condutas ilícitas na rede Tor após a autoridade policial conseguir uma ordem judicial a seu favor.

Imagem: Logo do projeto Tor (Divulgação)

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Quatro pesquisadores do Instituto de Tecnologia de Massachusetts nos Estados Unidos propuseram um novo conceito de rede anônima que utiliza "barulho digital" - fluxo de dados alto e constante - para impedir o rastreamento da comunicação entre usuários. A equipe batizou a rede de "vuvuzela", em homenagem à barulhenta corneta que ganhou fama durante a Copa do Mundo de 2010 na África do Sul.

O conceito pode ser explicado em termos simples: os usuários da rede constantemente se conectam aos servidores (chamados de "caixas de correio") para que não seja possível determinar quem está falando com quem ou quando.

Na teoria da informação, dados importantes são chamados de "sinal", enquanto "ruído" é tudo aquilo que compromete a transmissão desse sinal. A rede Vuvuzela, portanto, cria anonimato através do ruído.

Os pesquisadores simularam uma rede com 1 milhão de participantes para saber se a ideia funcionaria em larga escala e, para eles, o resultado foi positivo. Com um milhão de usuários, a rede ainda conseguia trocar 15 mil mensagens por segundo. No entanto, a latência média - tempo necessário para que um usuário finalmente recebesse uma mensagem destinada a ele - foi de 44 segundos. Começar uma conversa com outro participante também leva tempo - cerca de 10 minutos.

Isso significa que a rede serve para trocar de mensagens, mas não para navegação. Por isso, a Vuvuzela não é exatamente uma alternativa a redes como Tor, I2P e Freenet, que permitam tanto a comunicação anônima como a navegação web com velocidades aceitáveis.

Segundo os especialistas, um atacante precisaria comprometer todos os servidores para saber quem está "falando" com quem dentro da rede. Enquanto um único servidor não estiver sob o controle do atacante, a comunicação continua protegida.

A rede "Vuvuzela" não leva em conta a necessidade de uma troca de chaves criptográficas entre os participantes - uma tarefa difícil e necessária para uma comuncação segura. Outro problema ainda mais grave é que todo esse "barulho" tem um custo: por causa do alto consumo de tráfego de rede, os pesquisadores estimam que um servidor da rede Vuvuzela custaria US$ 10 mil por mês ao seu operador.

Por essas razões é pouco provável que a "rede anônima do barulho" tome o lugar de outras já existentes, a não ser que novas pesquisas a deixem mais fácil de usar e mais barata.

Imagem: AFP

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A Universidade de Carnegie Mellon (CMU, na sigla em inglês) negou ter recebido US$ 1 milhão (cerca de R$ 3,7 milhões) do FBI para quebrar o anonimato de usuários da rede Tor. A universidade disse que foi intimada a colaborar com as autoridades e revelar todas as informações sobre a pesquisa, mas que não houve qualquer pagamento envolvido.

A acusação de que a instituição teria recebido dinheiro para colaborar com uma investigação do FBI foi realizada por desenvolvedores do Tor. O Tor é um programa de computador usado para formar redes anônimas dentro da internet, em que cada conexão passa por diversos outros membros da rede antes de chegar ao destino, dificultando o rastreamento da conexão. A ferramenta pode ser usada para driblar perseguição política e censura, mas também é utilizada para atividades ilícitas.

A polêmica começou com uma reportagem do site "Motherboard", da "Vice", que identificou a pesquisa como a fonte do FBI em dois casos de pornografia infantil e o envolvimento de Brian Richard Farrell com o site de venda de drogas "Silk Road 2.0". A informação foi comprovada em documentos apresentados pelo FBI aos tribunais. Nick Mathewson, cofundador do projeto Tor, afirmou ao "Motherboard" que isso "não é ciência".

"Se você está realizando um experimento sem o conhecimento ou consentimento das pessoas em que você está experimentando, você pode estar fazendo algo questionável - e se você está fazendo isso sem o consentimento delas porque você sabe que elas não dariam o consentimento delas a você, então você quase que certamente está fazendo algo errado", afirmou Mathewson ao portal da "Vice".

Os pesquisadores da Carnegie Mellon realizaram o ataque em 2014. Na época, o projeto Tor identificou a presença de mais de 100 computadores suspeitos na rede envolvidos em uma tentativa de rastrear conexões tentativa de rastrear conexões. Ao mesmo tempo, uma palestra programada para a conferência de segurança Black Hat envolvendo o Tor foi cancelada. Não se sabia, na ocasião, se havia uma relação entre os dois fatos.

No entanto, os computadores identificados pelo projeto Tor tinham sido mesmo colocados na rede por pesquisadores da universidade para identificar vulnerabilidades no Tor. A novidade agora, segundo os desenvolvedores do programa, é que a pesquisa teria sido realizada em uma parceria com o FBI: usuários envolvidos em atividades ilegais foram identificados para depois serem investigados pelas autoridades.

A universidade não respondeu a essas alegações, afirmando apenas que rotineiramente realiza pesquisas para encontrar vulnerabilidades em programas e redes de computadores. A instituição disse ainda que às vezes recebe intimações para prestar esclarecimentos ou informações sobre as pesquisas, mas que não recebe dinheiro por cumprir essas ordens.

A Carnegie Mellon é parceira do Departamento de Segurança Interna dos Estados Unidos na operação do CERT, um grupo que que coordena a distribuição de informações sobre vulnerabilidades (uma "defesa civil" digital). O CERT é financiado pelo governo dos Estados Unidos e os pesquisadores envolvidos trabalham para o CERT.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.

Esta coluna comentou há duas semanas sobre a confiança aparentemente inabalável na rede Tor, que, embora sirva de refúgio para pessoas que sofrem restrições à liberdade de expressão, também abriga sites de comércio de substâncias ilícitas. A partir de agora, no entanto, algo pode mudar: uma operação de autoridades norte-americanas e europeias prendeu 17 pessoas e tirou do ar 414 serviços "anônimos" protegidos pela rede Tor durante o fim de semana. Há ainda mais um mistério: ninguém sabe como isso aconteceu.

Serviços na rede Tor são protegidos por intermediários. Os endereços IP dos usuários e servidores não ficam expostos, o que dificulta a realização de investigações. A segurança da rede atrai serviços e conteúdo que não ficariam muito tempo no ar na web "comum". Por esse motivo, a rede Tor é parte da chamada "deep web" (web profunda, em português), ou seja, a parte da web que está "abaixo da superfície".

A primeira e mais notória prisão anunciada pelo FBI foi a de Blake Benthall, um engenheiro de software de 26 anos. Ele é acusado de manter e administrar o site Silk Road 2.0, sucessor do site de venda de drogas Silk Road. Era o maior site de venda de substâncias ilícitas na internet.

Além do Silk Road 2.0, diversos outros sites foram tirados do ar pelas autoridades. Eles vendiam drogas, e alguns também armas e serviços de matador de aluguel. Um dos sites, Doxbin, era especializado em hospedar documentos com informações pessoais de usuários ou suas famílias. As vítimas costumam ser usuários que não usam seus nomes reais na rede. A prática é conhecida na web pela gíria "dox".

Outros sites apreendidos vendiam notas falsas de euro e dólar, além de cartões de crédito falsificados. Um dos sites, o "Fake ID", vendia passaportes forjados.

Batizada de "Operação Onymous", a ação contou com a participação de autoridades policiais de 17 países, a maior parte deles trabalhando em conjunto com a Europol. Um total de R$ 2,5 milhões em moeda virtual Bitcoin e cerca de R$ 820 mil em dinheiro, ouro e prata foram apreendidos.

"Conforme a atividade ilícita na internet torna-se mais prevalente, os criminosos não podem esperar que eles podem se esconder nas sobras da 'web negra'", afirmou o promotor norte-americano Preet Bharara em comunicado do FBI.

Já Troels Oerting, chefe da divisão de crimes eletrônicos da Europol, comentou que a operação mostra que os criminosos "não são invisíveis, nem intocáveis". "Os criminosos podem fugir, mas não podem se esconder", declarou.

Ninguém sabe como a polícia chegou ao endereço real dos serviços. No caso de apreensões isoladas – como ocorreu com o primeiro "Silk Road" –, falhas do próprio site são as principais suspeitas. Agora, no entanto, com centenas de serviços tirados do ar, nasce a possibilidade de que a polícia tenha desenvolvido alguma técnica que permita tirar qualquer serviço do anonimato.

No domingo, um desenvolvedor do Tor levantou algumas hipóteses sobre como a polícia pode ter chegado aos serviços. Falhas de programação e segurança operacional são algumas das possibilidades, assim como problemas na moeda virtual Bitcoin. O desenvolvedor comentou ainda sobre vulnerabilidades conhecidas na maneira que o Tor oculta serviços, mas não se sabe se a polícia usou qualquer um desses métodos.

"De certo modo, é até surpreendente que os serviços ocultos tenham sobrevivido tanto tempo", afirmou o desenvolvedor, que se identifica como "phobos". Ele diz que esse recurso do Tor não tem recebido tanta atenção, o que aumenta a possibilidade de problemas e que o Tor hoje não tem dinheiro para investir em desenvolvimento e pesquisas para melhorar a situação.

Imagem: Aviso colocado pelo FBI em sites tirados do ar. (Divulgação)

Siga a coluna no Twitter em @g1seguranca.