[ Update - 30/04/2012 ]
Solução low-tech: Bode expiatório?
"Google Street View Report points the finger at a rogue engineer who intentionally wrote software code that captured payload data information"
Exclusive (LA Times): Google releases FCC report on Street View probe
[ Post Original - 15/05/2010 ]
O Google possui um serviço muito interessante e polêmico chamado Street View. Em operação desde 2007, o Street View possibilita a visualização panorâmica de ruas e avenidas de várias cidades do mundo a partir das interfaces do Google Maps e Google Earth. No Brasil, o lançamento do Street View será no segundo semestre de 2010 e incluirá fotografias de Belo Horizonte, São Paulo e Rio de Janeiro.
Desde o seu lançamento o Street View já foi alvo de inúmeros protestos relativos à privacidade ao redor do mundo. Algumas medidas são tomadas pelo Google para evitar este tipo de problema:
- existe (no canto inferior esquerdo da interface do Street View) a opção de solicitar ao Google a remoção de fotos consideradas vexatórias ou comprometedoras como a reproduzida no início deste artigo.
- as fotos são tratadas utilizando algorítimos automatizados para garantir que placas de carro e rostos, por exemplo, sejam adequadamente borrados;
- as fotos originais (não tratadas) são apagadas dos servidores do Google em 1 ano ou 6 meses (dependendo do país);
Os milhões de fotos que são apresentadas no serviço são capturadas por carros (ou triciclos) do Google equipados com um GPS e 9 câmeras que proporcionam uma visão 360 graus. No caso do Brasil, 30 carros cedidos pela Fiat estão percorrendo mais de 1 milhão de quilômetros nas 3 cidades incluídas inicialmente no projeto.
O que pouca gente sabe é que outros equipamentos mais discretos que câmeras são também embarcados nos carros do Street View: são antenas Wi-Fi, GSM e 3G - usadas para coletar informações de redes wireless pelo mundo afora.
O Google já havia divulgado no final do mês passado que estes dados se resumiam aos Mac Addresses (endereços físicos das interfaces de rede dos roteadores wireless) e SSIDs (nomes das redes), que seriam usados para identificação de estabelecimentos em ferramentas como o Google Search e o Google Maps...
Do ponto de vista do mapeamento de redes WiFi, sem dúvida o Google supera grandes esforços de mapeamento de redes públicas, como o http://wigle.net/.
Depois de protestos e pedidos de esclarecimento de países como Alemanha e Austrália e a solicitação germânica de auditoria dos dados de redes wireless coletados - o Google resolveu olhar mais a fundo e publicou um post em seu blog principal hoje, corrigindo a informação citada anteriormente e estarrecendo muita gente.
Na verdade, os carros do Google Street View também capturaram o payload (conteúdo das comunicações, como emails e navegação) de redes sem proteção Wireless.
É isto mesmo, você entendeu certo. O Google possui terabytes e mais terabytes e dados capturados de redes WiFi do mundo todo - possivelmente desde 2007. E nunca reparou isto..
A desculpa que foi dada envolve a reutilização de um código feito anteriormente em um projeto experimental que tinha por objetivo capturar amostras de dados WiFi publicamente acessíveis. A equipe do Google Street View teria usado este código sem saber que além dos dados de SSID e MAC estaria também sendo capturado tráfego de milhões de diferentes access points pelo mundo...
Para minimizar o problema, o Google argumenta que apenas fragmentos de dados foram capturados porque:
- os carros estão em movimento;
- alguém precisa estar usando a rede enquanto o carro passa;
- o equipamento WiFi embarcado troca de canal Wlan 5 vezes por segundo;
- não são coletadas informações trafegando em redes Wifi protegidas por WEP e WPA
Estes argumentos não devem impedir que autoridades de vários países (incluindo os Estados Unidos) avaliem se o Google não violou diferentes leis de sigilo de comunicações.
A máquina de relações públicas do Google até o momento trabalhou bem diante do tamanho do problema, e divulgou que:
- paralizou temporariamente a utilização dos carros do Street View;
- segregou os dados para outra rede separada da rede corporativa e desconectou esta rede;
- vai (e quer) deletar estes dados o quanto antes;
- trabalhará com instituições regulatórias em diferentes países para definir o método de descarte destas informações;
- irá solicitar a uma organização idependente que faça a revisão do software em questão, seu funcionamento, dados coletados e método utilizado para descarte;
- revisão de procedimentos internos para garantir e revisar os controles necessários para evitar este problema no futuro;
- decisão de encerrar a coleta de dados WiFi.
O pedido final de desculpas - no melhor espírito do "Don´t Be Evil" é o seguinte:
The engineering team at Google works hard to earn your trust—and we are acutely aware that we failed badly here. We are profoundly sorry for this error and are determined to learn all the lessons we can from our mistake.
Mais informações:
- The Register - Google Street View snooped WiFi for personal data
- Wired - Google Street View Cams Collected Private Content From WiFi Networks
- ArsTechnica - Google StreetView cars grabbed traffic from open WiFi networks
Sou um profissional que estou a pouco tempo neste mundo que é a computação forense e o seu blog está ajudando muito a compreender alguns assuntos sobre este tema. Parabéns pelo blog!
ReplyDeleteRobson Ramos
Legal o artigo sobre o Google Street! Sorte que na minha cidade ainda nao tem isto 8)
ReplyDelete