Pastebin: Privacidade, anonimato, difamação e crimes digitais.
Garantir a privacidade na rede nem sempre é tarefa fácil. Por mais que sejamos expostos a centenas
de aplicações e técnicas que prometem mascarar ou ocultar nossa conexão, nunca é possível afirmar
que um serviço ou software é completamente seguro. Um dos grandes celeumas da atualidade
cibernética está na identificação de usuários na rede. Conquanto problemática a interação entre um
anônimo e um serviço web, fato é que esta interação sempre permitirá a captação de certos dados
relativos a tal usuário, incluindo mas não se limitando a número IP, data e hora da conexão, dados
que poderiam revelar, em um segundo momento, a autoria de posts, frases, difamação, violação de
sigilo, contrafação dentre outros delitos praticados na rede.
Usuários comuns podem não saber, mas servidores web podem registrar cabeçalhos HTTP
transmitidos pelo próprio navegador utilizado ou servidor. Um cabeçalho http por exemplo, XForwarded-For, é responsável pela identificação do Ip de origem de uma conexão http, sendo
suportado pelos principais servidores web do mundo. Já um cabeçalho HTTP referrer, permite
identificar a URL de origem do usuário que acessa determinado site (url prévia), normalmente
utilizado para combater ataques "cross-site request forgery", mas que por outro lado expõe a
privacidade de indivíduos. Algumas técnicas de "dereferrer" hoje são utilizadas para ocultar estas
informações. Mas será que todos tem acesso e sabem utilizá-las?
Fato é que, dificilmente uma manifestação na web passa completamente despercebida por
servidores, appliances, proxies dentre outros recursos, que sempre registrarão algo sobre a
postagem. Um e-mail registra informações de origem do usuário, uma postagem em blog também
crava informações no serviço utilizado, sendo que o mesmo vale para redes sociais. Estamos a todos
instante e involuntariamente, cedendo a serviços web informações que se não nos identificam, pelo
menos nos tornam identificáveis, se correlacionarmos tais dados com outras fontes de informações.
Para garantir que uma informação ou manifestação seja divulgada sem qualquer indício da fonte,
crackers (Como o LulzSec) tem utilizado serviços "Recorte e Cole" (Paste tools ou Paste bin) como
Pastebin, Pastie, Paste2, Codepad, FrubarPaste, YourPaste, LodgeIt, Slexy.org ou Gist. Em tais
serviços, o usuário não precisa se logar ou oferece o mínimo de informações possíveis e já pode colar
informações (compartilhar textos) sem se preocupar com cadastros, fornecimento de e-mails,
metadados e outros detalhes que podem fazer com que sua autoria seja revelada.
Os serviços, que a principio deveriam ser utilizados para a colagem colaborativa de códigos-fonte de
programação, passaram a ser usados por crackers para divulgar dados pessoais extraídos de suas
invasões ou mesmo manifestos, exploits, links de sites com vulnerabilidades e ferramentas para
práticas criminosas. Não bastasse, passaram ainda a serem utilizados para manifestações de
intolerância e difamação. Em tais sites, podemos encontrar de chats onde os protagonistas se
vangloriam por terem ficado com a mesma garota a manifestações envolvendo preconceito etário e
outras formas de preconceito, passando por difamação, desabafos acalorados contra chefes e
patrões, dentre outros, tudo disponível ao mundo e com possibilidade de ser ranqueado pelo serviço
(trends).
Estamos diante de uma grande "lousa digital", que se esforça para manter em segredo os que nela
rabiscam. Com outras ferramentas é possível ainda encaminhar diretamente do chat IRC textos ao
Pastebin.com (um dos serviços mais utilizados no Brasil) ou mesmo instalar a versão desktop para
rodar diretamente do computador, sem a necessidade de acessar o site. Para escrever, pode-se
registrar no sistema ou utilizar o mecanismo como "Guest", sem qualquer login e aqui temos um
complicador, uma difamação praticada por um "Guest" não pode ser deletada, nem mesmo pelo
próprio "Guest", não havendo direito ao arrependimento. Para remoção, somente entrando em
contato com o "reportar abuso" do site e, aguardar...
Embora os serviços "paste tools" se comprometam com a privacidade de usuários, não significa
dizer que não coletem informações sobre os mesmos. Os termos de privacidade do Pastebin.com, ao
contrário do que muitos pensam, são claros ao prever que o portal trabalha com arquivos de logs
que registram informações como endereço IP, tipo do navegador, provedor de acesso responsável,
hora e data, referring e exit pages, dentre outras informações. O serviço Pastie também não oferece
garantias de privacidade. De modo que o anonimato não é amplo e absoluto nestes serviços.
Não se pretende de forma alguma criminalizar sites desta natureza, que tem um papel
importantíssimo na difusão ágil do conhecimento e na liberdade da expressão. Assim como em sites
como o Pastebin, maus usos existem em qualquer serviço disponível na Internet. O problema não
são os serviços que asseguram a privacidade, mas sim o que fazemos com eles. Não é demais repisar
que a Constituição Federal Brasileira garante a liberdade de expressão, mas veda o anonimato e o
uso de ferramentas criadas para uma finalidade nobre, com intentos perniciosos e difamatórios,
pode ser repreendido pela Justiça. O Pastebin e outros sites populares são claros em seus alertas a
usuários para o uso legal dos sistemas e principalmente, que respondem às "takedown notices"
(pedidos de remoção), se comprovadamente existir atos ofensivos ou violação da privacidade.
Ainda, peritos digitais e profissionais de segurança já utilizam a mineração destes sites de
compartilhamento de textos para antecipar ataques previstos ou mesmo detectar testes de intrusão
ou footprinting realizados em redes ou sistemas informatizados específicos. De fato, se a ferramenta
favorece os crackers, também pode favorecer pesquisadores e hackers na blindagem de sistemas ou
no aprimoramento da segurança da informação em condutas pró-ativas. Além do Google, o Pastebin
Scraper é uma ferramenta e Perl que permite copiar informações do site e pode ser útil para
blindagem
de
segurança
e
testes
de
intrusão.
Pode
ser
baixado
em
https://bitbucket.org/NeonTempest/reversecurity.com/src/ed898dfbd51a/PastebinScraping/scrap
er.pl
Igualmente, outro serviço útil é o Pastebin Parser, que permite aos usuários buscarem por termos
ou pelo próprio nome ou empresa nos principais sites de compartilhamento de textos existentes. O
serviço pode ser acessado em http://www.andrewmohawk.com/pasteScrape/. Para quem prefere o
Google, uma solução pode ser a expressão "dadoaprocurar site:pastebin.com"
Estes sites não estão acima da lei, e com certeza não pensarão duas vezes em fornecer informações
de autores de uma difamação ou ofensa publicada em seus serviços, se compelidos judicialmente a
tanto, para que não sejam condenados por favorecerem práticas criminosas. Portanto, pense bem
antes de ser influenciado a escrever pela promessa de anonimato alardeada por tais serviços. Um
simples "colar", pode trazer sérias implicações legais.
Links interessantes:
[1] Pastebin: How a popular code-sharing site became the ultimate hacker hangout:
http://thenextweb.com/socialmedia/2011/06/05/pastebin-how-a-popular-code-sharing-sitebecame-the-ultimate-hacker-hangout/
[2] The Using of Pastebin for Sharing Stolen Data:
http://blog.zeltser.com/post/7033873645/pastebin-used-for-sharing-stolen-data
[3] Pastebin Leaks: https://twitter.com/#!/PastebinLeaks
[4] The dangers of Pastebin sites http://www.reversecurity.com/2011/05/dangers-of-pastebinsites.html
[5] Caso Judicial envolvendo Pastebin - Distrito de Georgia Atlanta Division USA
http://attrition.org/errata/charlatan/gregory_evans/ligatt23/doe-d8.pdf
José Antonio Milagre é Advogado e Perito especializado em Segurança da Informação. E-mail:
[email protected] - Twitter: http://www.twitter.com/periciadigital