Entretenimento

O hacker que descobre pedófilos na deep web

O norueguês Einar Otto Stangvik conversa conosco sobre pornografia infantil na internet, ferramentas de hackeamento, o papel da polícia e por que teve suas melhores ideias em sonhos.

por Daniel Mützel; Traduzido por Amanda Guizzo Zampieri
10 Novembro 2017, 2:23pm

Uma versão deste artigo foi publicada originalmente no Motherboard Alemanha.

Em outubro, o hacker norueguês Einar Otto Stangvik expôs o maior e mais conhecido portal da deep web (a internet não-indexável, isto é, que não aparece no Google e é de difícil rastreamento) para abuso de crianças. Para cumprir a missão, precisou de muita paciência, ideias criativas e um truque tecnológico simples.

Contudo, Stangvik descobriu em janeiro que o fórum, chamado de Childs Play, que tinha mais de um milhão de usuários em todo o mundo, era gerido por uma força-tarefa da polícia da Austrália.

Durante 11 meses, os investigadores australianos monitoraram o site em busca de informações sobre infratores, vítimas e usuários. Algumas semanas atrás, o portal foi fechado.

Não foi a primeira vez que Stangvik, que trabalhava como especialista em segurança em TI para várias empresas norueguesas, se embrenhou nos cantos mais escuros da web a fim de caçar consumidores e infratores relacionados a pornografia infantil. Em 2015, ele utilizou um programa escrito por ele mesmo para desmascarar 95 mil usuários no mundo todo que fizeram download de fotos e vídeos na internet.

Nós queríamos saber do Stangvik: como você faz para rastrear consumidores de pornografia infantil na deep web? Ali é realmente muito pior que a internet normal no que diz respeito à pornografia infantil? É justificável que a polícia tenha se feito passar por administradores de fórum de pornografia infantil – ou será que existem outras alternativas tecnológicas?

O hacker Einar Otto Stangvik. Foto: particular.

MOTHERBOARD: Você conseguiu expor uma plataforma de pornografia infantil em massa da deep web. Como você abordou essa tarefa?

Einar Otto Stangvik: Passamos um mês trabalhando juntos para descobrir um jeito de atacar a plataforma. Não queríamos desmascarar somente as pessoas por trás do Childs Play, mas também seus usuários: produtores de vídeos com pornografia infantil, por exemplo, e pessoas que abusam sexualmente de crianças. Tentei fazer o download de todo o texto da plataforma e classificá-lo, mas isso levaria a lugar nenhum. No fim de 2016, tivemos que dar um tempo em nossa pesquisa porque não conseguíamos encontrar um caminho eficaz para invadir o site.

E como as coisas avançaram a partir daí?

Aconteceu no início de janeiro deste ano. Quando cheguei no escritório, ficou claro para mim que isso deveria ser abordado de um jeito totalmente diferente. Então, passei o dia inteiro lendo códigos de fonte do MyBB – o sistema de software usado pelo Childs Play. Foi quando me deparei com a função de upload que permite colocar a foto de perfil no fórum. Fiquei chocado quando percebi que a função não estava protegida pelo Tor.

Por que essa descoberta o surpreendeu tanto?

Porque fui capaz de utilizar o truque mais banal todos. Para invadir o software de um website, você precisa encontrar uma forma de fazer upload de arquivos ou introduzir clandestinamente seu próprio código. Você, essencialmente, força o servidor a se conectar com o resto do mundo, abrindo um ponto fraco para os ataques. A maioria dos softwares não permite isso, porque os ataques em um servidor por meio de arquivos locais é o caminho mais óbvio. Eu realmente esperava que um site da dark net – especialmente um que dissemina material abusivo – teria bloqueado todas as conexões externas. Ou, ao menos, que eles tivessem utilizado a rede Tor para conexões como essas.

Então quer dizer que subir uma foto foi o truque mais fácil de todos, e ele funcionou?

No início eu duvidei. Porque parecia o método mais idiota para forçar um servidor a revelar seu endereço de IP. Mas tentei mesmo assim. Para minha surpresa, eu recebi um IP de volta.

Você descobriu esse ponto fraco em janeiro de 2017, quando a polícia australiana já rodava o servidor há três meses. Esse erro estava conectado aos administradores da polícia ou já existia anteriormente?

É difícil dizer. Quando descobri esse ponto fraco, eu não fazia a menor ideia de que a polícia estava por trás do site. Quando descobri, confesso que fiquei um pouco surpreso, mas não muito. Erros como esses acontecem o tempo todo.

Na verdade, usei os mesmos métodos para expor outros dois sites de pornografia infantil na deep web. Um deles era o Elysium, cujo rastro foi capturado pelo Departamento de Polícia Criminal Federal da Alemanha em junho. Descobri os endereços de IP deles mais ou menos na mesma época do Childs Play.

Foi você que os entregou para as autoridades?

Não. Uma semana mais tarde eu vi no Twitter que alguém postou o IP do Elysium, independentemente do que descobri.

O fórum Childs Play acessa um arquivo de foto de um site externo – e, dessa forma, revela seu endereço de IP verdadeiro. Foto cortesia de Mathias Jørgensen/ VG.

Voltando ao Childs Play. Como você procedeu? Os endereços de IP podem ser falsos na deep web, especialmente porque os sites tentam ocultar suas localizações verdadeiras...

Isso mesmo. Pouco tempo depois, percebi que os endereços de IP pertenciam a um servidor hospedado em uma empresa de Sydney chamada Digital Pacific. Tentei três abordagens diferentes para descobrir se se tratava de um endereço de IP verdadeiro e não um nó de saída do Tor, um VPN ou um servidor proxy.

Você se refere aos três métodos mais comuns de ocultar um endereço de IP para navegar na web anonimamente: a rede Tor, que direciona a comunicação através de diversos nós diferentes; uma rede virtual privada (VPN), que substitui o IP verdadeiro através de uma rede virtual, e um servidor Proxy, que serve como ponto adicional de intersecção entre dois servidores.

Isso. Eu tive que testar esses três métodos diferentes. Para o primeiro teste, aluguei meu próprio servidor por meio da Digital Pacific. Então, medi a duração da conexão entre o servidor da Childs Play e meu próprio servidor por meio da Digital Pacific. Quando se carrega um site pela rede Tor, leva pelo menos 250 milissegundos para que sua solicitação chegue ao servidor do site e mostre o conteúdo do site em seu navegador. Isso porque o tráfego por meio da rede Tor viaja por múltiplos nós a fim de esconder as localizações do emissor e do receptor. No momento em que realizei a medida para estabelecer uma conexão, esse tempo foi muito curto. Parecia que os servidores estavam um do lado do outro, permitindo que eu descartasse o primeiro método: o IP não era um nó do Tor.

E quanto ao segundo método?

Para isso, tive que testar se o IP pertencia a um VPN ou servidor proxy, ou se o servidor estava possivelmente sendo sublocado para outra pessoa. Então analisei os valores de “tempo de vida”, nos quais, em essência, mostra por quantas paradas intermediárias um pacote de dados atravessa. Nesse caso, minhas medidas revelaram que havia um máximo de duas paradas intermediárias e que era possível que meu servidor estivesse se comunicando diretamente com o servidor que suspeitei ser o utilizado pelo Childs Play.

Contudo, a última etapa foi a mais reveladora de todas: analisei o tamanho dos pacotes de dados. Quando conectamos com uma VPN, os tamanhos normais em uma rede de computador local excedem a unidade de transmissão máxima permitido por uma VPN. No servidor do Childs Play, pude ver como pacotes grandes estavam divididos em fragmentos menores – um indicador evidente de uma conexão de internet local – descartando uma VPN ou servidor proxy. Então eu soube que esse era o IP verdadeiro da plataforma.

"A pornografia infantil não é um problema específico da dark net. Mesmo na internet normal existe grande oferta desse tipo de conteúdo – muitas vezes, basta uma pesquisa no Google.”

Algumas pessoas assumem que a deep web é um lugar seguro para os consumidores de pornografia infantil. Você passa anos conduzindo pesquisas sobre isso tanto na dark net quanto na internet “normal”. Qual é a sua opinião sobre isso?

A deep web em geral e o Tor, mais especificamente, realmente oferecem uma arena dezenas ou centenas de vezes mais difícil de encontrar as pessoas do que a internet normal. Elas simplesmente baixam o navegador do Tor. Porém, material de pornografia infantil e os infratores que montam planos para abusar sexualmente de crianças não são problemas exclusivos da dark net. Mesmo na internet comum encontramos muito desse tipo de material, e mesmo ali a polícia tem dificuldades. Meu trabalho anterior sobre as pessoas que baixavam pornografia infantil revelou que existe uma grande oferta de material sexualmente abusivo na internet dita normal.

E onde esse tipo de conteúdo está presente na internet “normal”?

Isso que é triste: em todo o lugar. No Youtube, Pastebin, grupos de Facebook, discussões no Reddit, Twitter... E basta fazer uma pesquisa no Google. Enquanto conduzia minha pesquisa, descobri que a maioria dos usuários de pornografia infantil acessa esse tipo de conteúdo por meio de ferramentas de pesquisa. E isso se aplica às pessoas que são “só” consumidoras. Em outras palavras: aqueles que não produzem ou distribuem. Infelizmente, essas pessoas quase sempre caem nas mãos dos radares dos investigadores – e existem muitas desse tipo. Existem centenas de milhares de pessoas ativas o tempo todo que vasculham a web em busca disso. É improvável que eles sejam pegos por causa de um download.

Então por que essas pessoas vão a sites da deep web como o Childs Play ou o Elysium se elas estão relativamente seguras na internet normal?

Por causa da disponibilidade. Nos fóruns da deep web existe muito mais material agregado em um único lugar. Além disso, é muito mais estruturado e fácil de pesquisar. Contudo, existe uma diferença em termos de segurança quando elas passam da internet normal para a deep web: quando um usuário que não tem conhecimentos dessa tecnologia, ou que não tem nenhum tipo de segurança operacional decide se embrenhar na deep web, ele automaticamente entra em um círculo muito provavelmente monitorado pela polícia. Em outras palavras, eles vão de um lugar relativamente seguro para um rastreado pelas autoridades e que possa ter sido infiltrado.

“Não se pode esquecer dos grandes danos causados nesse tempo: material foi compartilhado, produções novas foram feitas e criminosos planejaram o estupro de crianças.”

Então o Tor pode ser compreendido não somente como uma ferramenta para criminosos, mas também como uma forma de as agências de cumprimento da lei investigarem círculos criminosos mais efetivamente?

É possível afirmar isso, sim. Mas como disse, isso somente se aplica a usuários que não dispõem de habilidades tecnológicas, como as que usam usuários ou endereços de e-mails antigos da internet normal para as contas da deep web.

Mas aqueles que são mais tecnologicamente espertos se beneficiam da tecnologia do Tor. Mesmo quando ela está na mira das investigações policiais. A maioria das pessoas em algum ponto cometeu um descuido que causou sua exposição. É por isso que os ex-administradores do Childs Play agora estão entre as grades. Por fim, todos esses sites estão fadados ao fracasso desde o início. É só uma questão de tempo até que alguém apareça com uma técnica de investigação ou utilize um recurso que invada os muros fortificados. E aí pronto, conseguiu.

Como foi para você descobrir que a polícia australiana estava por trás do Childs Play?

Foi difícil aceitar que era verdade. Especialmente quando descobri que a própria polícia estava compartilhando material abusivo para não levantarem suspeitas no grupo. De um ponto de vista técnico, eu sabia que praticamente não existem meios disponíveis para investigar efetivamente coisas como essas.

A polícia rodou a plataforma de pornografia infantil durante 11 meses. Eles minimizaram as críticas, argumentando que esse tempo era necessário para investigar os infratores. Em 2015, você utilizou outros métodos para expor dezenas de milhares de usuários que procuraram esse tipo de conteúdo na internet. Qual é a sua avaliação sobre o tempo que os policiais levaram para fazer essa investigação?

Se esses 11 meses foram justificáveis ou não, depende da quantidade de criminosos que eles foram capazes de prender nesse tempo. Se foram uns dez, então eu diria que a operação falhou. Não se pode perdoar que muitos danos tenham sido feitos durante esse tempo: muito material foi compartilhado, novas produções foram feitas e muitas pessoas planejaram estuprar crianças.

E se a polícia tiver pego 100 ou 200 pessoas?

Seria um bom resultado. Eles puderam ter uma média de resultado, algo entre dez e 100, e a polícia ainda poderia argumentar de que eles utilizaram esse tempo de modo significativo, porque foram capazes de refinar suas técnicas investigativas a fim de tornar suas próximas operações ainda mais eficazes. É incrivelmente difícil ter uma opinião geral a respeito das operações.

Nunca descobriremos se a polícia já dispunha das informações necessárias para prisões ou acusações criminais após cinco meses, ou duas semanas. Precisamos de uma organização independente e, idealmente, internacional que possa auditar esse processo e chegar às conclusões corretas.

E não digo isso unicamente com críticas à polícia. Esse tipo de avaliação poderia ajudá-los a validar de modo independente e aprimorar seus métodos. Mas eu duvido que isso aconteça. A polícia não costuma mostrar suas cartas.

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD.
Siga o Motherboard Brasil no Facebook e no Twitter.
Siga a VICE Brasil no Facebook , Twitter e Instagram
.