Pastebin: Privacidade, anonimato, difamação e crimes digitais. Garantir a privacidade na rede nem sempre é tarefa fácil. Por mais que sejamos expostos a centenas de aplicações e técnicas que prometem mascarar ou ocultar nossa conexão, nunca é possível afirmar que um serviço ou software é completamente seguro. Um dos grandes celeumas da atualidade cibernética está na identificação de usuários na rede. Conquanto problemática a interação entre um anônimo e um serviço web, fato é que esta interação sempre permitirá a captação de certos dados relativos a tal usuário, incluindo mas não se limitando a número IP, data e hora da conexão, dados que poderiam revelar, em um segundo momento, a autoria de posts, frases, difamação, violação de sigilo, contrafação dentre outros delitos praticados na rede. Usuários comuns podem não saber, mas servidores web podem registrar cabeçalhos HTTP transmitidos pelo próprio navegador utilizado ou servidor. Um cabeçalho http por exemplo, XForwarded-For, é responsável pela identificação do Ip de origem de uma conexão http, sendo suportado pelos principais servidores web do mundo. Já um cabeçalho HTTP referrer, permite identificar a URL de origem do usuário que acessa determinado site (url prévia), normalmente utilizado para combater ataques "cross-site request forgery", mas que por outro lado expõe a privacidade de indivíduos. Algumas técnicas de "dereferrer" hoje são utilizadas para ocultar estas informações. Mas será que todos tem acesso e sabem utilizá-las? Fato é que, dificilmente uma manifestação na web passa completamente despercebida por servidores, appliances, proxies dentre outros recursos, que sempre registrarão algo sobre a postagem. Um e-mail registra informações de origem do usuário, uma postagem em blog também crava informações no serviço utilizado, sendo que o mesmo vale para redes sociais. Estamos a todos instante e involuntariamente, cedendo a serviços web informações que se não nos identificam, pelo menos nos tornam identificáveis, se correlacionarmos tais dados com outras fontes de informações. Para garantir que uma informação ou manifestação seja divulgada sem qualquer indício da fonte, crackers (Como o LulzSec) tem utilizado serviços "Recorte e Cole" (Paste tools ou Paste bin) como Pastebin, Pastie, Paste2, Codepad, FrubarPaste, YourPaste, LodgeIt, Slexy.org ou Gist. Em tais serviços, o usuário não precisa se logar ou oferece o mínimo de informações possíveis e já pode colar informações (compartilhar textos) sem se preocupar com cadastros, fornecimento de e-mails, metadados e outros detalhes que podem fazer com que sua autoria seja revelada. Os serviços, que a principio deveriam ser utilizados para a colagem colaborativa de códigos-fonte de programação, passaram a ser usados por crackers para divulgar dados pessoais extraídos de suas invasões ou mesmo manifestos, exploits, links de sites com vulnerabilidades e ferramentas para práticas criminosas. Não bastasse, passaram ainda a serem utilizados para manifestações de intolerância e difamação. Em tais sites, podemos encontrar de chats onde os protagonistas se vangloriam por terem ficado com a mesma garota a manifestações envolvendo preconceito etário e outras formas de preconceito, passando por difamação, desabafos acalorados contra chefes e patrões, dentre outros, tudo disponível ao mundo e com possibilidade de ser ranqueado pelo serviço (trends). Estamos diante de uma grande "lousa digital", que se esforça para manter em segredo os que nela rabiscam. Com outras ferramentas é possível ainda encaminhar diretamente do chat IRC textos ao Pastebin.com (um dos serviços mais utilizados no Brasil) ou mesmo instalar a versão desktop para rodar diretamente do computador, sem a necessidade de acessar o site. Para escrever, pode-se registrar no sistema ou utilizar o mecanismo como "Guest", sem qualquer login e aqui temos um complicador, uma difamação praticada por um "Guest" não pode ser deletada, nem mesmo pelo próprio "Guest", não havendo direito ao arrependimento. Para remoção, somente entrando em contato com o "reportar abuso" do site e, aguardar... Embora os serviços "paste tools" se comprometam com a privacidade de usuários, não significa dizer que não coletem informações sobre os mesmos. Os termos de privacidade do Pastebin.com, ao contrário do que muitos pensam, são claros ao prever que o portal trabalha com arquivos de logs que registram informações como endereço IP, tipo do navegador, provedor de acesso responsável, hora e data, referring e exit pages, dentre outras informações. O serviço Pastie também não oferece garantias de privacidade. De modo que o anonimato não é amplo e absoluto nestes serviços. Não se pretende de forma alguma criminalizar sites desta natureza, que tem um papel importantíssimo na difusão ágil do conhecimento e na liberdade da expressão. Assim como em sites como o Pastebin, maus usos existem em qualquer serviço disponível na Internet. O problema não são os serviços que asseguram a privacidade, mas sim o que fazemos com eles. Não é demais repisar que a Constituição Federal Brasileira garante a liberdade de expressão, mas veda o anonimato e o uso de ferramentas criadas para uma finalidade nobre, com intentos perniciosos e difamatórios, pode ser repreendido pela Justiça. O Pastebin e outros sites populares são claros em seus alertas a usuários para o uso legal dos sistemas e principalmente, que respondem às "takedown notices" (pedidos de remoção), se comprovadamente existir atos ofensivos ou violação da privacidade. Ainda, peritos digitais e profissionais de segurança já utilizam a mineração destes sites de compartilhamento de textos para antecipar ataques previstos ou mesmo detectar testes de intrusão ou footprinting realizados em redes ou sistemas informatizados específicos. De fato, se a ferramenta favorece os crackers, também pode favorecer pesquisadores e hackers na blindagem de sistemas ou no aprimoramento da segurança da informação em condutas pró-ativas. Além do Google, o Pastebin Scraper é uma ferramenta e Perl que permite copiar informações do site e pode ser útil para blindagem de segurança e testes de intrusão. Pode ser baixado em https://bitbucket.org/NeonTempest/reversecurity.com/src/ed898dfbd51a/PastebinScraping/scrap er.pl Igualmente, outro serviço útil é o Pastebin Parser, que permite aos usuários buscarem por termos ou pelo próprio nome ou empresa nos principais sites de compartilhamento de textos existentes. O serviço pode ser acessado em http://www.andrewmohawk.com/pasteScrape/. Para quem prefere o Google, uma solução pode ser a expressão "dadoaprocurar site:pastebin.com" Estes sites não estão acima da lei, e com certeza não pensarão duas vezes em fornecer informações de autores de uma difamação ou ofensa publicada em seus serviços, se compelidos judicialmente a tanto, para que não sejam condenados por favorecerem práticas criminosas. Portanto, pense bem antes de ser influenciado a escrever pela promessa de anonimato alardeada por tais serviços. Um simples "colar", pode trazer sérias implicações legais. Links interessantes: [1] Pastebin: How a popular code-sharing site became the ultimate hacker hangout: http://thenextweb.com/socialmedia/2011/06/05/pastebin-how-a-popular-code-sharing-sitebecame-the-ultimate-hacker-hangout/ [2] The Using of Pastebin for Sharing Stolen Data: http://blog.zeltser.com/post/7033873645/pastebin-used-for-sharing-stolen-data [3] Pastebin Leaks: https://twitter.com/#!/PastebinLeaks [4] The dangers of Pastebin sites http://www.reversecurity.com/2011/05/dangers-of-pastebinsites.html [5] Caso Judicial envolvendo Pastebin - Distrito de Georgia Atlanta Division USA http://attrition.org/errata/charlatan/gregory_evans/ligatt23/doe-d8.pdf José Antonio Milagre é Advogado e Perito especializado em Segurança da Informação. E-mail: [email protected] - Twitter: http://www.twitter.com/periciadigital