quarta-feira , Janeiro 17 2018
Últimas Notícias

Como ficar anônimo? – Parte 1 – Apresentação da série

modo anonimo

 

Introdução

Uma dúvida e preocupação que se tem observado muito é a questão de privacidade e anonimato virtual. Isto é um tema bem extenso e tem pouco conteúdo que trate isso de forma séria, pois a maioria do que achamos é “use Tor” e suas derivações ou outra ferramenta similar. Em meu ponto de vista, isso é um pensamento muito limitado, similar aos técnicos de TI que a solução de tudo é formatar o PC.

O objetivo desta série de artigos é falar como a nossa privacidade pode ser rompida, sua importância e mostrar as precauções para ter sua privacidade tanto virtual como física, de forma prática e teórica. Não tenho o objetivo de chegar no nível paranoico que algumas pessoas querem e tentarei mostrar os limites que julgo aceitável com relação a privacidade.

Não tenho a intenção de ensinar o anonimato para atos maliciosos e sim para pessoas que querem isso pelo seu devido direito e segurança.

 

Sobre o autor

Geralmente nunca me identifico por não ter sentido, mas sou NullS3c um dos gerentes do GH e ex hacktivista. Sou focado atualmente em computação forense, OSINT e desenvolvimento de software.

Com relação ao anonimato, eu vivia isso devido a focar em caçar certos criminosos, junto a um grupo hacktivista que focavam mais em crimes contra a mulher, no final nós denunciávamos eles a polícia. Mesmo que faça muitos anos que deixei o grupo, aprendi muita coisa relacionado ao anonimato o qual era apenas algo normal para nós.

Atualmente transformei o hacking em apenas hobbie e estou focando só na parte teórica de segurança da informação.

Meu TCC é voltado ao anonimato, em que tenta buscar dados pessoais abertos na internet sobre uma pessoa e depois automaticamente tenta remover ou te alertar que tal informação está exposta, dessa forma pode-se manter a privacidade e segurança do usuário. (Criarei um artigo sobre ele no final de 2018)

 

Por que ficar anônimo?

Antes de tudo, devemos pensar no motivo pelo qual queremos ficar anônimos, através disto saberemos até que ponto queremos chegar, partindo desde simplesmente colocar senha no celular, até para técnicas mais avançadas para pessoas que correm riscos reais de vida.

Os casos mais comuns sãos:

  • Risco de vida: Pessoas como policiais, advogados
  • Necessidade de vida dupla;
  • Se esconder da família ou pessoas do trabalho (ou conjugue);
  • Cometer atos ilícitos;
  • Simplesmente ter seu espaço;
  • Paranóia;

Avaliando a necessidade

Não tem problema em ter dados expostos, isso é muito mais comum do que se imagina, principalmente em redes sociais. O verdadeiro problema é uma informação sensível ficar exposta a pessoas que poderão utiliza-las de formas maliciosas.

As empresas costumam classificar os dados em 4 categorias e cada uma com seu respectivo grau de risco:

  1. Pública: É uma informação que é aberta ao público e não causa impactos a empresa.
  2. Interna: São informações que devem ficar no âmbito da empresa e não deve ser externada, mas se tiver vazamento, não terá impactos consideráveis.
  3. Confidencial: Informação restrita a empresa e as vezes a alguns grupos como supervisão e gerência, que ao ser divulgado, pode causar perdas financeiras e credibilidade da empresa.
  4. Secreta: São informação críticas para atividade da empresa, limitado a poucas pessoas da empresa, como diretores e super intendentes, e caso tenha vazamento, poderá comprometer a empresa podendo até leva-la a falência.

Como visto acima, cada informação é classificada sendo uma mais crítica do que a outra e mais restrita que a anterior. Isto demonstra o cenário corporativo, mas pode ser também relacionado a nossas informações e devemos sempre pensar nos impactos que elas terão ao serem divulgadas a determinado público. Por exemplo, não tem problema em saber qual a sua idade, tanto que podemos ver isso em quase toda rede social, mas saber os dados para acessar a sua conta bancária seria algo extremamente crítico e essa informação deve ser limitada a você, já outras informações como o que falamos de nosso gerente deve ser limitado a um grupo de amigos.

Por isso deve sempre associar 3 coisas, a informação, público e impacto. É sempre importante criar essa correlação para proteger no nível necessário a informação, para que não desperdice tempo, dinheiro e conveniência com algo que não precise tanto. Por exemplo, não faz o menor sentido ter uma máquina dedicada a anonimato, sem HD, rode apenas o tails pelo drive de DVD, para que você possa ver vídeos de gatinhos fofinhos no youtube, e além disso, você sempre destrói esse PC após ver 1 vídeo… É algo completamente insano, mas já vi coisas desse nível.

Aqui estão 3 exemplos e suas respectivas análises:

1. Uma pessoa quer esconder o segredo que é homossexual.

Informação: O indivíduo é homossexual;

Público: Familiares e Amigos

Impacto: Descriminação, Ser expulso de casa, Apanhar, Nada.

Se a família descobrir e for contra, podem expulsar de casa, bater nele, descriminar ou fazer nada. Se os amigos souberem e também forem contra, poderá ocorrer o mesmo caso da família execeto expulsar de casa. Sem família/amigos forem a favor, então provavelmente ocorrerá nada.

Nesse ponto devemos pensar… se os familiares são contra, então devemos pensar os locais acessíveis a família e isolar essa informação, por exemplo, se a família do indivíduo acessa estão no facebook dele, então é melhor não postar nada do gênero no Facebook. Já se na frente dos amigos não tem problema esse segredo, então sabe que na frente deles não tem problema em divulgar isso (a não ser que a família também esteja junto).

Com base nisso já sabemos como limitar essa informação como visto acima.

 

2. Descobrir que o indivíduo é policial.

Informação: O indivíduo é um policial.

Público: Bandidos, Família, Amigos, Colegas de Faculdade.

Impacto: Morte, Nada, Apanhar, Descriminação.

Vamos fazer a análise, se os bandidos descobrirem que ele é policial, poderá morrer ou apanhar. Se a família e amigos souber, provavelmente nada, no máximo descriminação. Se colegas de faculdade souber, pode ocorrer nada, poderá ser descriminado, ou ainda a possibilidade de um deles ser bandido e ter os impactos de morte e apanhar.

Dessa forma é bom não deixar público esta informação, não deixar em redes sociais, mentir sua profissão, não comentar com qualquer pessoa e até mesmo optar por ferramentas de remoção de dados online.

 

3. Pessoa está traindo a esposa com uma colega de trabalho.

Informação: Traição.

Público: Esposa, Família, Amigos.

Impacto: Apanhar, Divorcio, Rejeição, Nada.

Analisando a situação, veja que o ato dele ser descoberto, a esposa poderá bater nele, se divorcia ou até fazer nada (difícil). Já a família e amigos poderá bater nele, ter o ato de rejeição ou nada (claro que depende de cada individuo da família)

Além disso sempre devemos pensar nas probabilidade dos impactos ocorrerem uma vez que a informação vazar a determinado público.

 

Essa forma de classificação e análise, nos ajudará mais a frente a decidir quais ferramentas e métodos utilizar para cada informação de forma mais apropriada.

O vazamento de informação pode gerar prejuízos de diversas formas, como financeiro, constrangimento, problema legais, segurança, moral, ético,  espionagem, dentre outros.

 

Anonimato X Segurança

É muito importante ressaltar que anonimato está diretamente ligado a área de segurança da informação, pois se invadirem sua máquina e roubarem dados pessoas, será a violação da sua privacidade através de uma falha de segurança. Além disso, uma das formas que hackers usam para caçar alguém atrás do tor ou proxy chain, é justamente tentando contaminar a máquina, coletando coockies, exploits pro navegador e outros métodos.

O navegador do Tor teve uma falha explorada pelo FBI o que resultou na descoberta de alguns criminosos, isso prova que mesmo usando uma das mais famosas ferramentas de anonimato, se não pensarmos em segurança isso não vai adiantar muito.

Spywares e Backdoors são um dos principais malwares que violaram sua privacidade independente de quantos proxys utilize, por isso sempre devemos pensar em segurança para manter a nossa privacidade.

 

Anonimato físico x virtual

As pessoas erroneamente tentam separar o mundo “real” do virtual, isso é algo bem irracional, pois tudo está no mesmo mundo “real”, a máquina está nesse mundo “real”, as pessoas por trás das máquias também, os dados que trafegam os cabos de rede em forma de pulsos elétricos também e tudo resulta impactos no mesmo mundo, por exemplo, levemos em consideração o stuxnet que tinha a capacidade de destruir usinas, era na mais que um malware do suposto “mundo virtual”, mas interferia diretamente no mundo “Real”. Lembre-se que até no próprio livro de Andrew S. Tanenbaum falava da dificuldade em se separar hardware de software. Por isso considere que existe apenas uma realidade.

Quando um criminoso tenta rastrear um policial pela internet, geralmente não será para fazer fofoca da vida dele e sim de ir pessoalmente mata-lo. Quando um pedófilo fica no uol chat na sala de menores de idade, isso pode ser levado adiante para algo no suporto “mundo real”. Então devemos não somente pensar em impactos em um dos “mundos” e sim ver como uma única coisa.

Quando eu e os demais membros da equipe caçávamos criminosos, as vezes precisávamos de pessoas que saíssem de frente do PC e ir pessoalmente ver o alvo para obter provas ou confissões, e isso era feito de várias formas, por exemplo, se aproximar da namorada do criminoso como um amigo para que ela ganhasse confiança e intimidade, e diga que apanhou dele ou diga os segredos dos crimes dele. No fim repassávamos a policia na maioria dos casos de forma anonima, para que ele fosse caçado e preso. (geralmente não atuávamos no Brasil)

Se você quer que as pessoas não achem onde você mora, não basta simplesmente disfarças seu endereço no facebook, mas também pensar em disfarça-lo para nem o imóvel esteja em seu nome. Claro que tudo depende do quanto pretende estar anônimo, mas isso mostra que em alguns casos devemos pensar como ficar fisicamente anônimo como virtualmente anônimos.

 

Nossa privacidade exposta

Nossa privacidade pode ser exposta de diversas formas:

  • Por nossa própria culpa quando deixamos abertamente dados de onde moramos nas redes sociais;
  • Por parte das empresas que vendem e compram nossas informações para outras empresas ou até para o governo, você pode notar isso quando olhamos alguns anúncios e eles são referentes a coisas que pesquisamos no Google, Youtube, falamos no Whats app, ou empresas que te ligam já sabendo seu nome propondo os serviços deles. O addon Ghostery por exemplo é utilizado para que sites como Google e Facebook não invadam a sua privacidade.
  • O próprio governo pode tentar invadir nossa privacidade. No Brasil isso é muito mais respeitado do que nos EUA, porém temos que lembrar que muitos dos serviços que usamos vem lá dos EUA, podemos citar por exemplo o projeto prisma, o backdoor físico da  NSA, a espionagem a Dilma pela NSA, fora diversos casos de espionagem feitos pelo FBI e NSA.
  • Por parte de seus amigos/familiares. As vezes você apenas divulga uma informação sensível as pessoas que você mais confia, mas nem sempre essas pessoas respeitaram essa informação. Sua esposa pode contar para a melhor amiga dela e esta repassar para demais pessoas e no fim o seu segredo já chegou a pessoas que não deveria, por isso alguns grupos hackers fazem operações de forma anônima e a principal regra é que ninguém se conheça e ninguém tente descobrir quem é o outro.
  • Por parte de funcionários anti-éticos. As vezes pode ocorrer de funcionários de uma empresa liberar dados que não deveriam para terceiros como, por exemplo, você tem um amigo que é gerente de um banco e ele libera dados de seus clientes para quem pagar a ele ou a algum amigo que o solicite. Fora os casos de malware in box.
  • Por parte de criminosos, nessa categoria podemos generalizar desde o hacker que usa um keylogger ou ataques mais avançados, até a rede de submundo que não se limita apenas a rede de forma tecnológica, falamos daqueles obtém informações pra você sobre alguém troca de dinheiro, seja por hacking ou tortura.

 

O uso da informação

Podem usar nossas informações após obtidas para vários fins:

  • Stalking, o clássico caso dos ex que perseguem o antigo parceiro, ou dos pais que querem saber tudo sobre a vida do filho;
  • Fofoca, algumas pessoas apenas querem fofocar a vida alheia;
  • Crimes, podemos citar casos como sequestro, roubo, assassinato, estupro, corrupção, invasão, espionagem, estelionato, engenharia social, trafico de pessoas, brute force e etc;
  • Investigação, nos casos em que procuramos criminosos ou avaliar se uma pessoa é culpada de determinado delito ou não;
  • Bullying, algumas pessoas caçam outras na Internet com esse propósito;
  • Vendas/marketing, como foi citado anteriormente.

Ressaltando alguns pontos citados, com relação ao brute force temos de poder criar wordlist mais inteligentes com dados como data de nascimento e nome, tanto do próprio usuário como de seus familiares, e lembe-se que muitas pessoas costumam por seu próprio nome na senha ou data de nascimento (que nem senha do banco). No caso da engenharia social, fica mais fácil manipular uma pessoa quando se sabe mais sobre ela.

 

Conclusão

Vimos brevemente sobre os motivos e consequências com relação a privacidade, com base nisso tudo é que vou criar outros artigos dessa série para atacar esses problemas, além de passar um pouco de minha experiência como ex-hacktivista.

Sobre NullS3c

Possuo especialidade na área de computação forense. Mais informações sobre mim poderá ver em: https://www.linkedin.com/in/victor-cunha-8753073b/
Free WordPress Themes - Download High-quality Templates