Na semana em que o ministro da Justiça, José Eduardo Martins Cardozo, anunciou que a Polícia Federal está prestes a divulgar suas conclusões sobre a invasão aos sites de governo ocorrida há duas semanas, um grupo de hackers organizados lançou um manual que contraria a lógica de segurança e ensina os governos a abrirem seus dados na internet.
A comunidade Transparência Hacker, em parceria com o Comitê Gestor da Internet no Brasil e o W3C (consórcio de empresas que trabalham na padronização de dados na internet) estimula instâncias governamentais, por meio do Manual dos dados abertos: governo, a disponibilizar suas informações na rede.
A ideia do documento, destacada logo na introdução, "é explicar como aproveitar o potencial de informações oficiais para permitir a existência de novos serviços de informação, melhorando a vida dos cidadãos e fazendo com que governo e sociedade trabalhem juntos e melhor".
As sugestões dos hackers são similares a itens previstos pela Lei de Acesso à Informação, travada há anos no Congresso, mas não diz respeito a dados sigilosos, e sim a uma espécie de "lado B" da lei, que trata da divulgação e padronização de dados que deveriam ser públicos, mas não são.
Segundo os hackers, os governos podem criar valores a partir da liberação de dados, porque isso estimularia transparência, controle democrático, participação popular, melhores produtos e serviços privados e mais eficiência de serviços públicos.
Um dos objetivos do manual é mostrar aos governos que a sociedade pode desenvolver ferramentas de internet úteis para o cotidiano das pessoas.
Arrebanhando simpatizantes na internet, grupos como Anonymous e LulzSec mostram que podem derrubar sites de governos e grandes empresas, impingindo dor de cabeça e prejuízos a todos
Rafael Sbarai e Renata Honorato
Revista VEJA
Anonymous escondem identidade sob máscara do personagem Guy Fawkes (Arturo Rodriguez/AP)
Recentemente, Arianna Huffington, criadora do site de notícias Huffington Post, um dos mais acessados dos Estados Unidos, arriscou um palpite sobre os usuários das redes sociais: "A geração que utiliza Twitter e Facebook não quer mais esconder seu rosto." Ao menos em relação aos crackers, Arianna está enganada. A palavra designa jovens especialistas em tecnologia que exercitam seus conhecimentos invadindo e danificando os sistemas de computação de empresas e instituições públicas. Nesta semana, no Brasil, os sites daPresidência da República, do governo federal e do Ministério do Esporte foram tirados do ar; houve ainda investidas malsucedidas contra páginas da Receita Federal e da Petrobras. Foi uma demonstração local da força que os crackers, que escondem o rosto e se mantêm no anonimato, têm exibido em nível global, derrubando, entre outros, serviços de jogos on-line da Sony e o site da CIA, agência de inteligência americana.
Para derrubar os serviços, os criminosos – é assim que outras nações e também especialistas brasileiros definem essas pessoas – coordenam uma operação na rede conhecida como ataque de negação de serviço, ou DDoS, na sigla em inglês (entenda como ele funciona). Lançando mão de vírus, infectam computadores de usuários comuns e, a partir dessas máquinas, sem que seus donos percebam, disparam milhares de requisições de acesso a endereços na web que pretendem derrubar. Sem condições de atender à demanda de tantos usuários, o site sai do ar.
Dois grupos têm reivindicado a autoria das investidas mais vultosas: Anonymous e LulzSec. As diferenças entre os dois não são desprezíveis. O primeiro ficou conhecido como coletivo dos "libertários da internet"; o segundo alimenta a fama de "fanfarrão da rede". Especialistas e polícias nacionais, que já realizaram prisões na Europa e nos Estados Unidos, concordam que os dois estão por trás das operações, que tomaram tal dimensão que permite falar em um novo momento da atividade cracker. Em 1998, quando a internet ainda engatinhava, Kevin Mitnick, o "pai dos crackers", foi preso por invadir sozinho os servidores da Digital Equipment Corporation e furtar programas da empresa. Em abril deste ano, a invasão dos sistemas da Sony colocou em risco dados pessoais de cem milhões de pessoas e causou um prejuízo estimado em 170 milhões de dólares. Além disso, atualmente, os especialistas em programação que derrubam sites contam com a ajuda de simpatizantes que pouco - ou nada - entendem do assunto.Continue a ler a reportagem
Entenda como crackers derrubam sites - clique sobre a sequência numérica
Não é fácil determinar a identidade dos participantes desses grupos, uma vez que se trata de associações informais e descentralizadas. Contudo, é possível traçar um perfil dos dois, com ajuda de estudiosos do assunto, hackers e até mesmo indagando os próprios participantes dos ataques. O Anonymous é formado por um núcleo de programadores que atraíram a simpatia de "hacktivistas" – hackers que também são ativistas políticos ou sociais. Estima-se que seus participantes se concentrem nos Estados Unidos e que tenham entre 18 e 24 anos. Sua atividade já era conhecida em meados da década passada, mas passou a fazer estardalhaço em 2008, quando os crackers compraram briga com a Igreja da Cientologia, cujo seguidor mais famoso é o ator Tom Cruise. Nessa época também cunharam seu símbolo mais conhecido, usado por simpatizantes como forma de disfarce: a máscara de Guy Fawkes, protagonista do HQ e também do filme V de Vingança, inspirado no personagem real do soldado inglês homônimo. Católico, ele participou da conspiração que pretendia matar o rei protestante James I, em 1606. Na vida real, Fawkes falhou e foi levado à forca. Na ficção, o personagem cobre o rosto enquanto tenta arruinar um estado autoritário.
Ao contrário do personagem, o Anonymous não tenta minar o estado e rejeita o rótulo de anarquista. Desde que investiu contra a Cientologia, comanda ataques em nações ricas e até no mundo islâmico sob a alegação de que age em defesa da liberdade de expressão e do direito de acesso à informação. Daí, a escolha de seus alvos: empresas e governos que tentariam de alguma forma restringir essa liberdade. Já mirou contra os governos democráticos da Itália e da Austrália, que tentava acrescentar filtros à internet para combater a pedofilia, e também contra ditaduras na Tunísia e Egito. Tal atuação valeu a seguinte análise por parte da antropóloga Gabriella Coleman, professora do departamento de mídia, cultura e comunicação da Universidade de Nova York: "O Anonymous se tornou um canal de ação tanto para aficionais em tecnologia quanto para aqueles que pouco sabem do assunto. Você não precisa preencher um formulário com dados pessoais ou mandar dinheiro para se filiar, mas sente que faz parte de algo."
No ano passado, o grupo desferiu ataques contra empresas que haviam levantado barreiras ao WikiLeaks, o site comandado por Julian Assange que vazara dezenas de milhares de documentos sigilosos do governo americano. Em resposta à revelação dos documentos secretos, as administradoras de cartões de crédito Visa e Mastercard congelaram doações ao WikiLeaks. O contra-ataque dos crackers foi bombardear os sites corporativos, que saíram do ar. Em um vídeo postado no YouTube, seus membros diziam: "Liberdade de expressão para a internet, ao jornalismo, aos jornalistas e cidadãos do mundo."
Nos episódios em que se envolveu, o Anonymous alega não ter promovido vazamento de dados privados. De fato, aparentemente, o grupo não derruba endereços eletrônicos com o objetivo de se apropriar de informações alheias ou de passá-las a terceiros. Isso reforçou a imagem de grupo ideológico. As exceções foram as invasões dos sistema da Sony (cuja autoria o grupo nega) e da HBGary Federal, empresa de segurança de informática que colabora com o FBI, a polícia federal dos Estados Unidos.
Estima-se que o grupo reúna entre 2.000 e 3.000 pessoas pelo mundo. "Certamente há brasileiros entre nós", acrescenta um programador americano ouvido por VEJA que se apresenta como participante (leia a entrevisa com ele). Mas o cálculo tenta apenas dar alguma ideia da dimensão da associação, que não tem qualquer registro formal. Tão fácil quanto aproximar-se dela é deixá-la. "Basta participar das ações para se transformar em membro", diz o programador americano. Continue a ler a reportagem
Assista a seguir a vídeo atribúido ao Anonymous com 'mensagens a brasileiros'
Parte das informações do grupo está disponível em perfis de redes sociais, blogs e fóruns. Os simpatizantes se encontram na plataforma de bate-papo na internet IRC, hoje um território de especialistas em computação. Em chats abertos ou reservados, para os quais consegue-se convite com facilidade, as ações são combinadas. Qualquer neófito pode conseguir ali instruções sobre como "ajudar" a derrubar um site ao comando de outro participante. Ninguém se identifica. Para dificultar que as ações sejam rastreadas pelas autoridades, os crackers usam artifícios como ocultar o número de IP, que indica o computador de onde é feita a conexão com a rede. "Os ataques não são sofisticados", diz Routo Terada, professor titular do departamento de computação da Universidade de São Paulo (USP). "A internet é recheada de programas ou artigos que ensinam como empreender essas estratégias", diz.
O LulzSec não tem o histórico nem o protexto do Anonymous: seus participantes dizem que agem por diversão. Daí, o nome do grupo, proveniente da justaposição da gíria "lol" (laugh out loud, em inglês, ou rir em voz alta) com a abreviação "sec" (security, ou segurança). Provém daí também a fama de rebeldes sem uma causa. Nas últimas semanas, contudo, os fanfarrões desbancaram o Anonymous das manchetes ao presumidamente derrubar, entre outros, os serviços do Senado americano, da CIA e também endereços públicos brasileiros.
"O LulzSec é uma pequena dissidência do Anonymous que busca realizar ofensivas a sites sem motivo político aparente", afirma Luiz Leopoldino, gerente de produtos da Ez-Security. De fato, sua atuação é errática. Apesar de pregar a diversão, no recente ataque a sites brasileiros, o grupo alegou que era motivado pela corrupção no governo: "Por longos anos, nosso governo corrupto vem nos roubando. Chegou a hora do contra-ataque." Difícil discordar da afirmação de que a corrupção é um vírus nacional. Derrubar sites que prestam serviços à popução, contudo, não tem efeito antiviral conhecido.
O LulzSec não apenas derruba sites, mas furta dados e os divulga. Recentemente, o grupo publicou milhares de informações pessoais relativas a contas de e-mail e perfis em redes sociais. O melhor argumento que os crackers encontraram para justificar as ações (sim, eles tentaram) é o de que elas pretendiam revelar que a segurança de dados na internet é falha. "O grupo é formado por jovens imaturos, que querem transmitir a falsa sensação que representam o povo", diz José Milagre, advogado e especialista em crimes digitais. Ele afirma que, no Brasil, o grupo foi formado por cinco especialistas em segurança, que se regozijam por tirar do ar os sites da Presidência e do governo federal.
Do ponto de vista da lei, não importa se os sites são retirados do ar por boas ou más intenções. Trata-se de crime. É assim que nações como Estados Unidos, Canadá e Grã-Bretanha, que possuem legislação específica para a internet, encaram os casos. No Brasil, é necessário apelar ao Código Penal e transferir as regras para o mundo virtual, explica Renato Opice Blum, advogado e coordenador do curso de Direito Digital da Faculdade Getúlio Vargas. "Vale a lei do país de onde partiu o ataque", diz.
Para além do campo jurídico, é difícil enxergar valor na esmagadora maioria das ações dos grupos. Gabriella Coleman, da Universidade de Nova York, constatou que o Anonymous "oferece oportunidades de microprotesto, de maneira a permitir que os indivíduos sintam que fazem parte de coisa maior". Pode ser uma ideia válida no contexto de países como Tunísia, Egito e Iêmen, cujos governos ditatoriais foram bombardeados pelo Anonymous. Mas, em regimes democráticos, os canais para micro ou superprotestos estão em perfeita atividade, no Congresso Nacional ou no Twitter: a lei garante o direito à expressão. Nesse contexto, de que serve tirar um site do ar?
Informações foram analisadas pelo especialista em segurança Altieres Rohr. Tabelas que hackers apontavam como oficiais traziam ofensas a políticos.
Altieres RohrEspecial para o G1
Logotipo usado pelo LulzSec, um dos grupos envolvidos em ataques (Foto: Reprodução)
Embora nos últimos dias tenham acontecido invasões a computadores pertencentes ao governo, como no caso da invasão da página principal do Instituto Brasileiro de Geografia e Estatística (IBGE), na madrugada desta sexta-feira, muitas das informações que os grupos hackers têm publicado como "prêmio" ou prova destas invasões não foram obtidas durante os ataques.
Boa parte dos dados apresentados pelos hackers são informações desencontradas, falsas, incompletas, de domínio público ou previamente divulgadas na internet. Os hackers têm divulgado essas informações aparentemente com o objetivo de chamar a atenção, já que elas estavam disponíveis na própria rede.
As ações coletivas contra o governo envolvem diferentes indivíduos e pelo menos três grupos hackers diferentes, entre os quais os dois mais notórios são o Lulzsec Brazil e o Fail Shell. OG1 lista o que é verdade e mentira nos dados e ações dos hackers até o momento.
1 - Dados pessoais e sigilosos
Mentira As informações de políticos foram divulgadas principalmente por indivíduos simpatizantes do Lulzsec Brazil e repassadas pelo grupo. Praticamente todos os dados – incluindo declaração de bens, data de nascimento e até o CPF – estão disponíveis na internet, a maioria deles em uma página pública do próprio Tribunal Superior Eleitoral (TSE). Os telefones informados também são públicos. Informações de políticos como Fernando Collor de Mello e Paulo Maluf foram distribuídas incompletas, e recheadas de erros de informação. Em alguns campos das tabelas supostamente obtidas de fontes oficiais, por exemplo, havia ofensas pessoais aos políticos.
Verdade Alguns dados como o número do PIS de figuras públicas não são facilmente encontrados na internet, bem como os dados de funcionários do governo.
2 - Informações sobre a Petrobras
Mentira Hackers do Lulzsec Brazil divulgaram um documento afirmando que a Petrobras teria sido invadida e provando isso com as senhas de 15 supostos funcionários da estatal. No entanto, os dados carecem de explicações. Por exemplo, o campo que parece estar ligado ao servidor do e-mail tem dados inconsistentes, apontando para provedores gratuitos como o Yahoo e outras páginas inacessíveis.
A Petrobras tem mais de 80 mil funcionários. Os dados podem ter sido obtidos de outros meios, como um ataque acidental aos próprios funcionários, e não à Petrobrás, como o documento dos hackers afirma.
Verdade O site da Petrobras foi sobrecarregado pelos hackers e chegou a cair na tarde da quarta-feira (22). No entanto, ataques que derrubam um site não envolvem o roubo de dados ou qualquer técnica avançada de exploração de falhas de segurança.
3 - Ministério dos Esportes
Mentira O Lulzsec Brazil divulgou tabelas com supostas contas públicas com repasses de valores para as obras da Copa de 2014 e das Olimpíadas de 2016. Essas informações já estavam na internet antes do grupo divulgá-las e,segundo o Ministério dos Esportes, foram forjadas.
VerdadeCentenas de senhas associadas a uma página restrita do ministério foram divulgadas pelo grupo. O órgão público afirmou que, por precaução, iria cancelar as "senhas criptografadas de usuários externos que circularam na mídia".
O G1 analisou o arquivo e constatou que as senhas não estavam criptografadas e sim representadas no formato de dados conhecido como “base64”, usado, por exemplo, para o envio de anexos em e-mails.
O governo tirou o site do ar para fazer uma verificação e confirmou que houve uma “invasão perimetral” no site do ministério, mas não se sabe quais informações estariam disponíveis na página restrita.
4 - Invasão ou apenas tentativa?
Verdade O grupo hacker Fail Shell desfigurou a página principal do Instituto Brasileiro de Geografia e Estatística (IBGE), o que significa que comprovadamente houve acesso aos arquivos ou ao banco de dados do servidor. O Fail Shell afirmou que não tem relação com os grupos LulzSec Brazil ou Anonymous, que publicaram os supostos dados vazados na web, e os acusou de “não ter ideologia” na mensagem deixada no site desfigurado.
Logotipo usado pelo LulzSec, um dos grupos