Tenho acompanhado as várias notícias e reportagens que foram publicadas sobre o
vazamento de fotos íntimas e subsequente extorsão que teve como vítima a atriz
Carolina Dieckmann.
Um termo foi cunhado e tem sido usado para identificar os perpetradores deste tipo de ação direcionada à privacidade de celebridades:
Hackerazzi (corruptela de
Hacker + Paparazzi). Vale ressaltar que casos semelhantes já ocorreram no passado, como por exemplo o que envoleu mais de 50 celebridades norte-americanas (
press release do
FBI), incluindo as atrizes
Mila Kunis e
Scarlett Johansson e a cantora
Christina Aguilera. Neste caso
o perpetrador diz ter utilizado a função "esqueci minha senha" e dados pessoais das vítimas para conseguir resetar as contas.
Considero a situação relevante pois tem tido uma repercussão grande na mídia e traz o tema de investigação em meios digitais para a pauta do dia. Porém, para evitar teorizar sem dados mais concretos a disposição (como muitos comentaristas do caso fizeram), preferi aguardar a evolução das investigações em andamento para publicar um post sobre o assunto. Como diria
Sherlock Holmes: "
It is a capital mistake to theorize before you have all the evidence. It biases the judgment."
Muito já se publicou sobre o assunto, porém infelizmente em certos casos fica claro o objetivo de marketing de produtos e em outros o desconhecimento dos assuntos tratados acaba por minar as informações, por melhores que sejam as intenções dos advogados, jornalistas ou "especialistas" convidados a opinar.
No caso da atriz brasileira, muito se especulou sobre a forma de obtenção das imagens (suporte técnico do notebook da atriz, uso de trojans, etc..) - a realidade acabou mostrando-se mais simples, e comum.
Os atacantes costumam fazer apenas o mínimo necessário para obter seus objetivos (low hanging fruit) - neste caso, um email com um formulário a ser preenchido.
Depois de ver na internet a
matéria do Fantástico sobre o assunto, e depois de ler o artigo na
INFO, abaixo
resolvi publicar uma primeira versão, contendo meus comentários e o que de relevante já foi publicado sobre o tema.
Resumo da ópera (ou melhor entendimento até o momento da publicação deste post
): http://info.abril.com.br/noticias/seguranca/policia-identifica-5-cracker-do-caso-carolina-dieckmann-14052012-38.shl (
INFO).
"Leonam Santos, de 20 anos, invadiu o e-mail de Carolina após enviar uma mensagem para ela se passando por funcionário do provedor de internet. A mensagem continha um formulário, que foi preenchido pela atriz com seus dados pessoais e senha do e-mail. A partir daí, Leonam, que mora em Córrego Dantas, Minas Gerais, teria pego 60 fotos que estavam na pasta de mensagens enviadas.
As fotos foram enviadas a Diego Fernando Cruz, de 25 anos, morador de Macatuba, interior de São Paulo. Ele teria, então, mandado 36 fotos para um site pornográfico. A página na internet pertenceria a Pedro Henrique Mathias. O suspeito de tentar extorquir R$ 10 mil de Carolina para não divulgar as fotos seria um menor, morador de Bauru (SP). Os policiais da DRCI investigam ainda a participação de um quinto hacker, que reside em Goiânia."
Update (23/05/2012) - Em uma entrevista à INFO, o delegado responsável pela investigação detalhou algumas informações sobre o caso:
http://info.abril.com.br/noticias/blogs/trending-blog/geral/saiba-como-a-policia-identificou-os-crackers-do-caso-carolina-dieckmann/
Não vou entrar aqui na famosa discussão terminológica "
hacker vs cracker" - mesmo porque os perpetradores destes crimes não se encaixariam emnenhuma das duas categorias, na minha opinião. Trata-se de um caso de
"171" ou engenharia social, seguido de
difamação, danos morais e extorsão. O computador foi um meio utilizado para obter as informações (
crime impróprio), e mesmo sem uma lei específica para "crimes digitais" é possível responsabilizar os autores dos crimes.
Uma observação interessante: a vítima publicou em seu
twitter, no dia 23/04/2012, o seguinte post:
"Tô sendo constantemente rackeada, sempre segunda-feira de manhã... Que estranho, viu? Tô de olho!!!" (http://twitter.com/#!/cadieckmann/status/194440085549228033)
Sabemos que alguns serviços de webmail como o Gmail disponibilizam os últimos endereços de IP utilizados para acesso à sua conta, e tem inclusive como padrão um alerta para notificação de atividade suspeita (acesso de IPs geolocalizados em outras cidades/países, por exemplo: "
Alert preference: Show an alert for unusual activity". Isto pode ajudar o usuário a identificar acessos indevidos à sua conta.
Uma ação que possivelmente foi tomada foi a interceptação telemática e/ou telefônica dos suspeitos, considerando a matéria publicada pelo fantástico (link abaixo);
Diante das ações tomadas pelo advogado da atriz, é possível imaginar que são necessárias solicitações (extra-judicial e depois judicial) endereçadas ao serviço de email utilizado pela atriz para identificar os
IPs responsáveis pelos acessos não autorizados, seguido de uma solicitação de quebra de sigilo IP para os provedores e/ou operadoras responsáveis pelo acesso a internet dos suspeitos.
Em casos semelhantes ao que estamos tratando,
do ponto de vista da análise dos computadores envolvidos, muitas ações podem ser efetuadas, publico uma pequena lista (não exaustiva) abaixo:
- Análise de URLs visitadas, histórico de navegação, temporários de browser (para idenficar, por exemplo, o envio das fotos para 1o site (inglês);
- Informacoes de envio das imagens via browser para emails ou serviços externos nas máquinas dos suspeitos;
- Informacoes de copia das imagens para dispositivos externos nos computadores dos suspeitos (Recents / MRU / .LNK > MAC Addresses /
USB.. );
- Indícios de acesso remoto não autorizado (busca de MD5 de ferramentas conhecidas, busca de vestígios no registro de máquina windows e equivalentes em MacOSX de instalação de RATs e serviços de acesso remoto) < preparação para casos de "
Trojan Defence"
- Busca pelo conteúdo dos emails (enviados, recebidos) no espaço não alocado do computador dos suspeitos (incluindo arquvo de paginação e hinernação);
- EXIF das imagens pode conter informacoes como maquina fotografica, edicao em softwares, localizacao geografica (lat, long); (o que poderia indicar os endereços onde as fotos foram tiradas);
- MD5/SHA1 e até mesmo FuzzyHashing do .RAR publicado e dos JPEGs individuais podem ser cruzados com a imagem forense feita com os computadores dos suspeitos;
- Análise de linha do tempo (
timeline) dos MACE (Modificação, Acesso, Criação e Entrada na $MFT) times dos arquivos / emails e seus vestígios no computador dos suspeitos podem indicar data/hora de cópia das imagens.
Se o tema é popular, certamente ele vai ser usado em outros ataques - exemplos:
1) Fotos falsas da atriz levam à malware (file sharing):
http://www.securelist.com/en/blog/208193496/Carolina_Dieckmann_Brazilian_cybercrime_legislation_and_la_Viveza_criolla
2)
Defacers utilizando as fotos em ataques a sites do governo:
http://g1.globo.com/sao-paulo/noticia/2012/05/hackers-postam-fotos-de-carolina-dieckmann-nua-em-site-da-cetesb.html
update (28/05/2012): O responsável pela invasão foi preso:
http://www.folhavitoria.com.br/entretenimento/noticia/2012/05/preso-menor-que-postou-fotos-de-atriz-em-site-da-cetesb.html
Do ponto de vista de remoção ou bloqueio do material já publicado:
- O primeiro site onde o material foi publicado (ImageEarn - do reino unido), já o retirou do ar:
http://info.abril.com.br/noticias/internet/site-ira-retirar-fotos-de-carolina-dieckmann-do-ar-07052012-6.shl
- O advogado da atriz notificou o Google e o Yahoo com o
objetivo de bloquear as imagens no seu mecanismo de busca: "
Google é notificado para bloquear as imagens":
http://diversao.terra.com.br/gente/noticias/0,,OI5758692-EI13419,00-Dieckmann+depoe+no+RJ+Google+e+notificado+para+bloquear+as+imagens.html
- O Google informou que não filtra resultados de busca, e que as solicitações de remoção deveria ser feita diretamente aos sites que publicam as imagens. Neste caso, buscas por imagens reversas como o
Tinyeye, e
Google reverse image search) - podem mostrar informacoes de onde as imagens estão sendo veiculadas. Para priorizar as solicitações de remoção de conteúdo, pode ser utilizado um mecanismo de avaliação da popularidade dos sites a serem notificados (ex:
ranking Alexa)
- O trabalho é inglório, em uma avaliação publicada pela SaferNet,
mais de 50.000 cópias não autorizadas das fotos da atriz já estão disponíveis na Internet.
Conclusão:
O advogado de Carolina, Antônio
Kakay - que
também defende Demóstones Torres, afirma: "É uma causa interessante que pode ajudar no debate sobre o controle da internet, especialmente das mídias sociais. Hoje estamos diante do fenômeno dessas redes sociais que são uma mídia opressiva. O que aconteceu com essa menina é sórdido, cruel."
No infográfico publicado pelo Alexandre Teixeira (
link 5 abaixo), é feita uma ligação entre o caso e a aprovação (ontem, dia 15/05/2012) do Projeto de Lei de Crimes Cibernéticos (não a
PL 84/99 do Azeredo, mas o alternativo
PL 2793/2011 de Paulo Teixeira e Erundina - que entre outras coisas, em seu Art. 154A criminaliza a produção de "ferramentas hackers" (Na linha do projeto iniciado na
Alemanha em 2007). Outra crítica sobre o assunto pode ser vista no artigo publicado pelo José Milagres (
link 8).
Casos envolvendo celebridades são emblemáticos e impactantes por trazer o assunto com prioridade à diferentes esferas (mídia, legisladores, juízes). Um caso similar ocorreu no Brasil em 2007, quando o acesso ao site Youtube foi afetado, no caso do vídeo na praia de Daniela Cicarelli - quando alguns AS´s (
Autonomous Systems) brasileiros acataram a decisão judicial do Tribunal de Justiça do Estado de São Paulo
e redirecionaram para 'null/0' todo o tráfego destinado ao Youtube.
Resumo da ópera, cinco anos depois, o tema que engloba os Crimes Digitais é bastante complexo e controverso, e leis e decisões tomadas para resolver um problema que está em destaque podem gerar vários outros - muitas vezes piores...
Repercursão do caso da mídia e blogs:
1) Globo/Jornal Nacional: Entrevista Carolina Dieckmann
http://www.youtube.com/watch?feature=player_embedded&v=sSCXpjZaTYc
2) Globo/Fantástico: "Polícia encontra hackers que roubaram fotos de Carolina Dieckmann" (video)
http://fantastico.globo.com/Jornalismo/FANT/0,,MUL1680311-15605,00-POLICIA+ENCONTRA+HACKERS+QUE+ROUBARAM+FOTOS+DE+CAROLINA+DIECKMANN.html
3) Record: "Identidade de quem roubou fotos íntimas de Carolina Dieckmann ainda é mistério" (video)
http://rederecord.r7.com/video/identidade-de-quem-roubou-fotos-intimas-de-carolina-dieckmann-ainda-e-misterio-4fb04c256b71c3d8bbc9a310/
4) Luiz Rabelo: "Vazam fotos de Carolina Dieckmann nua"
http://forensics.luizrabelo.com.br/2012/05/vazam-fotos-de-carolina-dieckmann-nua.html
5) Pablo Ximenes: "A verdade sobre as "Técnicas de Invasão" usadas no caso Carolina Dieckmann"
http://ximen.es/?p=621
6) Alexandre Teixeira: "Infográfico – Carolina Dieckmann"
http://foren6.wordpress.com/2012/05/16/inforgrafico-carolina-dieckmann/
7) Anchises Morais: "Carolina, suas fotos e o fim da privacidade" e "Hackerazzis"
http://anchisesbr.blogspot.com.br/2012/05/seguranca-carolina-suas-fotos-e-o-fim.html
http://anchisesbr.blogspot.com.br/2012/05/seguranca-hackerazzis.html
8) José Mariano: "Considerações sobre o caso Caso Carolina Dieckmann: a dura realidade de uma investigação"
http://mariano.delegadodepolicia.com/consideracoes-sobre-o-caso-caso-carolina-dickeman-a-dura-realidade-de-uma-investigacao/
9)
Estadão: "Como não ser a próxima Carolina Dieckmann"
http://blogs.estadao.com.br/radar-tecnologico/2012/05/14/como-nao-ser-a-proxima-carolina-dieckmann/
10)
José Milagres: "Projeto de Lei “Dieckmann” reforça agressão aos direitos dos cidadãos na Internet"
http://josemilagre.com.br/blog/wp-content/uploads/2011/10/Artigo-Efeito-Dieckmann-refor%C3%A7a-agress%C3%A3o-aos-direitos-de-usu%C3%A1rios-de-Internet-Jose-Milagre-15-05-20121.pdf
11)
Fernando Fonseca: "As questões realmente relevantes no caso Carolina Dieckmann"
http://segurancaobjetiva.wordpress.com/2012/05/17/as-questoes-realmente-relevantes-no-caso-carolina-dieckmann/