Tenho acompanhado as várias notícias e reportagens que foram publicadas sobre o vazamento de fotos íntimas e subsequente extorsão que teve como vítima a atriz Carolina Dieckmann.
Um termo foi cunhado e tem sido usado para identificar os perpetradores deste tipo de ação direcionada à privacidade de celebridades: Hackerazzi (corruptela de Hacker + Paparazzi). Vale ressaltar que casos semelhantes já ocorreram no passado, como por exemplo o que envoleu mais de 50 celebridades norte-americanas (press release do FBI), incluindo as atrizes Mila Kunis e Scarlett Johansson e a cantora Christina Aguilera. Neste caso o perpetrador diz ter utilizado a função "esqueci minha senha" e dados pessoais das vítimas para conseguir resetar as contas.
Considero a situação relevante pois tem tido uma repercussão grande na mídia e traz o tema de investigação em meios digitais para a pauta do dia. Porém, para evitar teorizar sem dados mais concretos a disposição (como muitos comentaristas do caso fizeram), preferi aguardar a evolução das investigações em andamento para publicar um post sobre o assunto. Como diria Sherlock Holmes: "It is a capital mistake to theorize before you have all the evidence. It biases the judgment."
Muito já se publicou sobre o assunto, porém infelizmente em certos casos fica claro o objetivo de marketing de produtos e em outros o desconhecimento dos assuntos tratados acaba por minar as informações, por melhores que sejam as intenções dos advogados, jornalistas ou "especialistas" convidados a opinar.
No caso da atriz brasileira, muito se especulou sobre a forma de obtenção das imagens (suporte técnico do notebook da atriz, uso de trojans, etc..) - a realidade acabou mostrando-se mais simples, e comum. Os atacantes costumam fazer apenas o mínimo necessário para obter seus objetivos (low hanging fruit) - neste caso, um email com um formulário a ser preenchido.
Depois de ver na internet a matéria do Fantástico sobre o assunto, e depois de ler o artigo na INFO, abaixo resolvi publicar uma primeira versão, contendo meus comentários e o que de relevante já foi publicado sobre o tema.
Resumo da ópera (ou melhor entendimento até o momento da publicação deste post): http://info.abril.com.br/noticias/seguranca/policia-identifica-5-cracker-do-caso-carolina-dieckmann-14052012-38.shl (INFO).
"Leonam Santos, de 20 anos, invadiu o e-mail de Carolina após enviar uma mensagem para ela se passando por funcionário do provedor de internet. A mensagem continha um formulário, que foi preenchido pela atriz com seus dados pessoais e senha do e-mail. A partir daí, Leonam, que mora em Córrego Dantas, Minas Gerais, teria pego 60 fotos que estavam na pasta de mensagens enviadas.Update (23/05/2012) - Em uma entrevista à INFO, o delegado responsável pela investigação detalhou algumas informações sobre o caso: http://info.abril.com.br/noticias/blogs/trending-blog/geral/saiba-como-a-policia-identificou-os-crackers-do-caso-carolina-dieckmann/
As fotos foram enviadas a Diego Fernando Cruz, de 25 anos, morador de Macatuba, interior de São Paulo. Ele teria, então, mandado 36 fotos para um site pornográfico. A página na internet pertenceria a Pedro Henrique Mathias. O suspeito de tentar extorquir R$ 10 mil de Carolina para não divulgar as fotos seria um menor, morador de Bauru (SP). Os policiais da DRCI investigam ainda a participação de um quinto hacker, que reside em Goiânia."
Não vou entrar aqui na famosa discussão terminológica "hacker vs cracker" - mesmo porque os perpetradores destes crimes não se encaixariam emnenhuma das duas categorias, na minha opinião. Trata-se de um caso de "171" ou engenharia social, seguido de difamação, danos morais e extorsão. O computador foi um meio utilizado para obter as informações (crime impróprio), e mesmo sem uma lei específica para "crimes digitais" é possível responsabilizar os autores dos crimes.
Uma observação interessante: a vítima publicou em seu twitter, no dia 23/04/2012, o seguinte post:
"Tô sendo constantemente rackeada, sempre segunda-feira de manhã... Que estranho, viu? Tô de olho!!!" (http://twitter.com/#!/cadieckmann/status/194440085549228033)
Sabemos que alguns serviços de webmail como o Gmail disponibilizam os últimos endereços de IP utilizados para acesso à sua conta, e tem inclusive como padrão um alerta para notificação de atividade suspeita (acesso de IPs geolocalizados em outras cidades/países, por exemplo: "Alert preference: Show an alert for unusual activity". Isto pode ajudar o usuário a identificar acessos indevidos à sua conta.
Uma ação que possivelmente foi tomada foi a interceptação telemática e/ou telefônica dos suspeitos, considerando a matéria publicada pelo fantástico (link abaixo);
Diante das ações tomadas pelo advogado da atriz, é possível imaginar que são necessárias solicitações (extra-judicial e depois judicial) endereçadas ao serviço de email utilizado pela atriz para identificar os IPs responsáveis pelos acessos não autorizados, seguido de uma solicitação de quebra de sigilo IP para os provedores e/ou operadoras responsáveis pelo acesso a internet dos suspeitos.
- Análise de URLs visitadas, histórico de navegação, temporários de browser (para idenficar, por exemplo, o envio das fotos para 1o site (inglês);
- Informacoes de envio das imagens via browser para emails ou serviços externos nas máquinas dos suspeitos;
- Informacoes de copia das imagens para dispositivos externos nos computadores dos suspeitos (Recents / MRU / .LNK > MAC Addresses / USB.. );
- Indícios de acesso remoto não autorizado (busca de MD5 de ferramentas conhecidas, busca de vestígios no registro de máquina windows e equivalentes em MacOSX de instalação de RATs e serviços de acesso remoto) < preparação para casos de "Trojan Defence"
- Busca pelo conteúdo dos emails (enviados, recebidos) no espaço não alocado do computador dos suspeitos (incluindo arquvo de paginação e hinernação);
- EXIF das imagens pode conter informacoes como maquina fotografica, edicao em softwares, localizacao geografica (lat, long); (o que poderia indicar os endereços onde as fotos foram tiradas);
- MD5/SHA1 e até mesmo FuzzyHashing do .RAR publicado e dos JPEGs individuais podem ser cruzados com a imagem forense feita com os computadores dos suspeitos;
- Análise de linha do tempo (timeline) dos MACE (Modificação, Acesso, Criação e Entrada na $MFT) times dos arquivos / emails e seus vestígios no computador dos suspeitos podem indicar data/hora de cópia das imagens.
Se o tema é popular, certamente ele vai ser usado em outros ataques - exemplos:
1) Fotos falsas da atriz levam à malware (file sharing): http://www.securelist.com/en/blog/208193496/Carolina_Dieckmann_Brazilian_cybercrime_legislation_and_la_Viveza_criolla
2) Defacers utilizando as fotos em ataques a sites do governo: http://g1.globo.com/sao-paulo/noticia/2012/05/hackers-postam-fotos-de-carolina-dieckmann-nua-em-site-da-cetesb.html
update (28/05/2012): O responsável pela invasão foi preso:
http://www.folhavitoria.com.br/entretenimento/noticia/2012/05/preso-menor-que-postou-fotos-de-atriz-em-site-da-cetesb.html
Do ponto de vista de remoção ou bloqueio do material já publicado:
- O primeiro site onde o material foi publicado (ImageEarn - do reino unido), já o retirou do ar:
http://info.abril.com.br/noticias/internet/site-ira-retirar-fotos-de-carolina-dieckmann-do-ar-07052012-6.shl
- O advogado da atriz notificou o Google e o Yahoo com o objetivo de bloquear as imagens no seu mecanismo de busca: "Google é notificado para bloquear as imagens": http://diversao.terra.com.br/gente/noticias/0,,OI5758692-EI13419,00-Dieckmann+depoe+no+RJ+Google+e+notificado+para+bloquear+as+imagens.html
- O Google informou que não filtra resultados de busca, e que as solicitações de remoção deveria ser feita diretamente aos sites que publicam as imagens. Neste caso, buscas por imagens reversas como o Tinyeye, e Google reverse image search) - podem mostrar informacoes de onde as imagens estão sendo veiculadas. Para priorizar as solicitações de remoção de conteúdo, pode ser utilizado um mecanismo de avaliação da popularidade dos sites a serem notificados (ex: ranking Alexa)
- O trabalho é inglório, em uma avaliação publicada pela SaferNet, mais de 50.000 cópias não autorizadas das fotos da atriz já estão disponíveis na Internet.
Conclusão:
O advogado de Carolina, Antônio Kakay - que também defende Demóstones Torres, afirma: "É uma causa interessante que pode ajudar no debate sobre o controle da internet, especialmente das mídias sociais. Hoje estamos diante do fenômeno dessas redes sociais que são uma mídia opressiva. O que aconteceu com essa menina é sórdido, cruel."
No infográfico publicado pelo Alexandre Teixeira (link 5 abaixo), é feita uma ligação entre o caso e a aprovação (ontem, dia 15/05/2012) do Projeto de Lei de Crimes Cibernéticos (não a PL 84/99 do Azeredo, mas o alternativo PL 2793/2011 de Paulo Teixeira e Erundina - que entre outras coisas, em seu Art. 154A criminaliza a produção de "ferramentas hackers" (Na linha do projeto iniciado na Alemanha em 2007). Outra crítica sobre o assunto pode ser vista no artigo publicado pelo José Milagres (link 8).
Casos envolvendo celebridades são emblemáticos e impactantes por trazer o assunto com prioridade à diferentes esferas (mídia, legisladores, juízes). Um caso similar ocorreu no Brasil em 2007, quando o acesso ao site Youtube foi afetado, no caso do vídeo na praia de Daniela Cicarelli - quando alguns AS´s (Autonomous Systems) brasileiros acataram a decisão judicial do Tribunal de Justiça do Estado de São Paulo e redirecionaram para 'null/0' todo o tráfego destinado ao Youtube.
Resumo da ópera, cinco anos depois, o tema que engloba os Crimes Digitais é bastante complexo e controverso, e leis e decisões tomadas para resolver um problema que está em destaque podem gerar vários outros - muitas vezes piores...
Repercursão do caso da mídia e blogs:
1) Globo/Jornal Nacional: Entrevista Carolina Dieckmann
http://www.youtube.com/watch?feature=player_embedded&v=sSCXpjZaTYc
2) Globo/Fantástico: "Polícia encontra hackers que roubaram fotos de Carolina Dieckmann" (video)
http://fantastico.globo.com/Jornalismo/FANT/0,,MUL1680311-15605,00-POLICIA+ENCONTRA+HACKERS+QUE+ROUBARAM+FOTOS+DE+CAROLINA+DIECKMANN.html
3) Record: "Identidade de quem roubou fotos íntimas de Carolina Dieckmann ainda é mistério" (video)
http://rederecord.r7.com/video/identidade-de-quem-roubou-fotos-intimas-de-carolina-dieckmann-ainda-e-misterio-4fb04c256b71c3d8bbc9a310/
4) Luiz Rabelo: "Vazam fotos de Carolina Dieckmann nua"
http://forensics.luizrabelo.com.br/2012/05/vazam-fotos-de-carolina-dieckmann-nua.html
5) Pablo Ximenes: "A verdade sobre as "Técnicas de Invasão" usadas no caso Carolina Dieckmann"
http://ximen.es/?p=621
6) Alexandre Teixeira: "Infográfico – Carolina Dieckmann"
http://foren6.wordpress.com/2012/05/16/inforgrafico-carolina-dieckmann/
7) Anchises Morais: "Carolina, suas fotos e o fim da privacidade" e "Hackerazzis"
http://anchisesbr.blogspot.com.br/2012/05/seguranca-carolina-suas-fotos-e-o-fim.html
http://anchisesbr.blogspot.com.br/2012/05/seguranca-hackerazzis.html
8) José Mariano: "Considerações sobre o caso Caso Carolina Dieckmann: a dura realidade de uma investigação"
http://mariano.delegadodepolicia.com/consideracoes-sobre-o-caso-caso-carolina-dickeman-a-dura-realidade-de-uma-investigacao/
9) Estadão: "Como não ser a próxima Carolina Dieckmann"
http://blogs.estadao.com.br/radar-tecnologico/2012/05/14/como-nao-ser-a-proxima-carolina-dieckmann/
10) José Milagres: "Projeto de Lei “Dieckmann” reforça agressão aos direitos dos cidadãos na Internet"
http://josemilagre.com.br/blog/wp-content/uploads/2011/10/Artigo-Efeito-Dieckmann-refor%C3%A7a-agress%C3%A3o-aos-direitos-de-usu%C3%A1rios-de-Internet-Jose-Milagre-15-05-20121.pdf
11) Fernando Fonseca: "As questões realmente relevantes no caso Carolina Dieckmann"
http://segurancaobjetiva.wordpress.com/2012/05/17/as-questoes-realmente-relevantes-no-caso-carolina-dieckmann/
Lamentável o que a mídia faz com as informações erronias de jovens que começaram a mexer ontem em computadores os criminalizando ou classificando como hackers ou crackers. Agora, não sei se o pior é classificar os jovens como hackers ou crackers, ou ver na tv a polícia civil fazendo tais declarações de como o material foi apreendido e auditado
ReplyDeletefgb, como eu escrevi no artigo, independente do uso de computadores, o que foi feito é considerado crime no Brasil (difamação, danos morais e extorsão).
ReplyDeleteQuanto à definição hacker/cracker sinceramente o tema nunca me interessou. Para a justiça, não importa como você é chamado, mas o que você fez..
Já disse que sou sua fã? Estou perplexa com a quantidade de informações que conseguiu garimpar =D
ReplyDeleteParabéns pelo artigo, Sandro!
ReplyDeleteAí Sandrão! Como sempre pertinente!
ReplyDeleteParabéns! :-)
Zevang
Obrigado pelos comentários Zevang, Letícia e Anny!
ReplyDeleteE aí, amigão! Cara, muito legal seu artigo. Você realmente conseguiu concentrar bastante informação sobre o caso. Acho interessante que um caso desses abra a possibilidade de discussão sobre tais "crimes cibernéticos" (que, como você mesmo disse, não são tão necessários nesse caso visto que se enquadram em crimes ditos comuns). Mas é uma pena que uma vítima famosa tenha sido necessária para que isso acontecesse. Quantas outras pessoas não tem sua informação pessoal violada por esses meios e não tiveram o mesmo tratamento? Parabéns pelo artigo, como sempre brilhante. Abração, meu amigo!
ReplyDeleteOi Sandro,
ReplyDeletena matéria apresentada na Globo, ouvi alguma coisa como "serão indiciados por roubo de informações, extorsão", etc.
Achei interessante a questão do "roubo de informações". Ainda não temos legislação para isso, temos ?
Você leu algo semelhante nas pesquisas que fez ?
Abs!
Excelente como sempre!!!!
ReplyDeleteParabéns pela matéria Sandro. Bastante abrangente e com a visão macro do problema.
ReplyDeleteAbraço,
Saulo.
Gente séria é outra coisa... ^^
ReplyDeleteUma coisa que apesar de surpreendente para muitos é algo trivial com milhões e milhões de usuários, a ingenuidade em relação a certos emails maliciosos, especialmente um que peça sua senha para ser enviada e etc...No fundo não são ataques mirabolantes com pragas sofisticadas que causam grandes constrangimentos no usuario comum, e sim o famoso e simples email 171...
ReplyDelete