A inédita campanha do FBI contra hackers investigou mais de mil computadores

No verão de 2015, dois homens de Nova York foram indiciados por crimes de pornografia infantil. O site que os homens supostamente visitavam era um serviço oculto pela rede Tor que, também supostamente, protegia a identidade dos usuários e a localização do servidor. O que fez o caso se destacar foi o fato do FBI usar uma ferramenta de hacking para identificar os enderços IP dos indivíduos.

O caso recebeu atenção da mídia, e fragmentos de informações sobre outras detenções relacionadas pipocaram no decorrer do ano. Mas só agora é que a verdadeira extensão da campanha robusta do FBI veio à tona.

Para combater o que chamou de um dos maiores sites de pornografia infantil na dark web, o FBI hackeou mais de mil computadores, segundo documentos judiciais analisados pela Motherboard e entrevistas com as partes legais envolvidas.

"Esse tipo de operação simplesmente não tem precedentes", disse Christopher Soghoian, principal tecnólogo da União Americana de Liberdades Civis (ACLU), em uma entrevista por telefone.

Um novo site de sistema BBS foi lançado em agosto de 2014 na dark web, onde os usuários poderiam se registrar e subir as imagens que bem entendessem. De acordo com os documentos judiciais, o principal propósito do site era "a propagação e a distribuição de pornografia infantil". Documentos de outro caso mais tarde confirmaram que a página se chamava "Playpen" [Cercadinho, em inglês].

Apenas um mês após o lançamento, o Playpen tinha quase 60 mil membros. No ano seguinte, o número explodiu para quase 215 mil, com mais de 117 mil postagens e uma média de 11 mil visitantes por semana. Muitas dessas postagens, segundo um depoimento do FBI, continham as imagens de abuso infantil mais extremas que alguém pode imaginar; outras incluíam conselhos para agressores sobre como evitar detecção online.

Uma queixa do FBI descreveu o site como "o maior serviço oculto de pornografia infantil restante no mundo".

Um mês antes desse pico, em fevereiro de 2015, o servidor do Playpen foi apreendido por autoridades de um serviço de hospedagem de sites em Lenoir, na Carolina do Norte, segundo uma queixa registrada contra Peter Ferrell, um dos réus acusados em Nova York. (Os responsáveis pela hospedagem de dados contatados pela Motherboard se recusaram a comentar o caso. Um deles, a CentriLogic, escreveu: "Não temos comentários sobre a questão por vocês mencionada. Nossas obrigações para com os nossos clientes e as autoridades nos impedem de responder ao seu inquérito.")

Contudo, depois que o Playpen foi apreendido, o conteúdo não foi retirado imediatamente do ar, como outros sites da dark web fechados pelas autoridades no passado. Em vez disso, o FBI administrou o Playpen a partir de seus próprios servidores em Newington, Virgínia, de 20 de fevereiro a 4 de março, conforme aponta uma queixa registrada contra um réu em Utah. Durante esse período, o FBI implementou uma técnica de investigação em rede, ou NIT, termo da agência para uma ferramenta de hacking.

Enquanto o Playpen era administrado a partir de um servidor na Virgínia e a ferramenta de hacking contaminava alvos, "aproximadamente 1.300 endereços IP verdadeiros foram identificados durante o período", segundo a mesma queixa.

O advogado de um dos réus acredita que o número de casos pode até ser um pouco mais alto.

"Cerca de mil e quinhentos casos serão registrados com base na mesma investigação subjacente", contou Colin Fieman, defensor público que está lidando com vários desses casos, em uma entrevista por telefone. Fieman, que está representando Jay Michaud, um professor de Vancouver preso em julho de 2015, disse que a estimativa vem "do que nós já vimos, em termos de descobertas".

"Provavelmente o fluxo de casos se intensificará nos próximos seis meses, mais ou menos", Fieman acrescentou. "O bicho vai pegar."

Fieman tem três casos pendentes em seu escritório, disse ele. De acordo com documentos judiciais, acusações também foram feitas contra réus em Connecticut, Massachusetts, Illinois, Nova York, Nova Jersey, Flórida, Utah e Wisconsin.

Em arquivos judiciais, Fieman descreveu o uso dessa extensa NIT como uma "expansão extraordinária da vigilância do governo e do uso de métodos de buscas ilegais em grande escala".

NITs surgem em diversas formas e são usadas desde pelo menos 2002. Já enviaram malware a suspeitos de ameaças de bombas por meio de emails de phishing, e o FBI também se apoderou de serviços de hospedagem e explorou um bug conhecido do Firefox para identificar usuários conectados por meio do Tor Browser Bundle.

Em 2011, a "Operação Torpedo" foi lançada, e a agência implantou uma NIT nos servidores de três diferentes serviços de hospedagem oculta de pornografia infantil, o que atingiria qualquer pessoa que por acaso os acessasse. A NIT fez uso de um aplicativo Flash que enviava o verdadeiro enderço IP dos usuários a um servidor controlado pelo FBI, em vez de desviar o tráfego deles através da rede Tor e proteger suas identidades.

Quando a revista WIRED relatou a operação, em 2014, "mais de uma dúzia de supostos usuários de sites de pornografia infantil baseados na rede TOR" estavam prestes a ser julgados. E dentro de um período de duas semanas, o FBI supostamente coletou endereços IP de pelo menos 25 visitantes americanos do site.

Mas o caso do Playpen parece ter um escopo muito, muito mais vasto.

"Não estamos falando de buscas em um ou dois computadores. É o governo hackeando milhares de computadores com base em um único mandado", disse Soghoian, o tecnólogo da ACLU.

Em casos anteriores, os amplos ataques do FBI via NIT usavam vulnerabilidades remendadas já conhecidas. Mas, dado que o Tor Browser Bundle não tinha mecanismo de autoatualização em agosto de 2013 — época de um dos ataques do FBI —, apenas os usuários que se deram o trabalho ou se lembraram de remendar os sistemas permaneceram seguros. Evidentemente, algumas pessoas esqueceram.

O mesmo pode se dizer da NIT do Playpen: atualizações automáticas foram introduzidas ao Tor Browser Bundle em agosto de 2015, meses depois do FBI já ter obtido mais de mil endereços IP.

"Não há informações públicas que revelem se o FBI utilizou alguma vulnerabildade 0-day no caso, ou alguma façanha com base em alguma falha conhecida", disse Soghoian.

Há algumas pistas a respeito do NIT do Playpen, no entanto. A NIT provavelmente é diferente daquela usada na Operação Torpedo pois, segundo arquivos judiciais, não "está mais em uso". Quanto à forma como a NIT do Playpen opera, não está muito claro como foi feito. Ainda assim, o mandado permitiu que todo mundo que entrasse no site fosse hackeado.

"Basicamente, se você visitasse a homepage e começasse a se registrar como membro, ou começasse a logar, o mandado autorizava o uso da NIT", Fieman disse. A NIT enviava o endereço IP do suspeito, um identificador único gerado pela própria NIT, o sistema operacional em uso no computador e sua arquitetura, informações sobre o histórico da NIT no mesmo computador, e caso houvesse, o hostnome, o nome do usuário e o endereço MAC do computador.

Especialistas dizem que a real natureza das NITs — isto é, seu papel de ferramentas poderosas de hacking — é omitida aos juízes quando as autoridades solicitam autorização para implementá-las.

"Embora o aplicativo da NIT, nesse caso, não seja público, aplicativos de NITs de outros casos são", disse Soghoian. "Frequentemente, vemos como o Departamento de Justiça é bem vago quanto à aplicação que está registrando. Não deixam claro aos juízes o que pretendem fazer. Não falam em explorar falhas de navegadores, não usam o termo 'hack'."

"E mesmo se os juízes soubessem o que estão autorizando, permanecem questões sérias sobre a autoridade dos juízes para aprovar hacking em tamanha escala", acrescentou Soghoian.

A juíza americana Theresa C. Buchanan, do Distrito Leste da Virgínia, que assinou o mandado para a NIT, não respondeu às perguntas, se entendia que o mandado garantiria o poder de hackearem qualquer pessoa que se registrasse no Playpen, ou se ela consultou especialistas técnicos antes de assiná-lo. Seu departamento disse para não esperarmos por respostas.

Mas Fieman disse que o mandado "efetivamente autoriza um número ilimitado de buscas contra alvos não identificados em qualquer lugar do mundo".

Quanto ao que essa escala de hacking pode representar para o futuro da polícia, Soghoian alertou: "É uma nova fronteira em vigilância, assustadora, e não deveríamos estar trilhando esse caminho sem debates públicos, e sem um estudo minucioso do Congresso para avaliar se esses tipos de técnicas devem ser usados por autoridades policiais".

"Não podemos comentar investigações em curso ou descrever o uso de técnicas investigativas específicas", contou ao Motherboard um porta-voz da FBI.

Muitas questões permanecem abertas sobre essa operação de hacking da polícia, como a formulação exata do texto usado na autorização da NIT, os aspectos técnicos da própria NIT e quantos computadores foram atingidos fora dos Estados Unidos.

A Agência Nacional do Crime do Reino Unido (NCA), que volta e meia recebe colaboração do FBI, disse à Motherboard em uma declaração que "a NCA sistematicamente não confirma nem nega o recebimento de inteligência específica por razões de segurança operacional. Trabalhamos lado a lado com parceiros internacionais, tanto com autoridades quanto indústrias, para compartilhar inteligência e trabalhar em colaboração para tomar as devidas medidas nos casos de exploração sexual de crianças." A Europol, agência policial da Europa, não respondeu ao nosso pedido de comentários.

Independentemente disso tudo, vale apontar que, para derrubar um dos maiores sites de pornografia infantil da dark web, o FBI se dedicou à provável maior campanha policial de hacking de que já se teve notícia.

Tradução: Stephanie Fernandes