Expresso

Siga-nos

Perfil

Perfil

Sociedade

Vídeo: Hacker declara morte da privacidade na Net

  • 333

Samy Kamkar, norte-americano que em 2005 obrigou os administradores do MySpace a desligar o site, garante que ninguém tem os seus dados pessoais devidamente protegidos na Web.

Carlos Abreu (www.expresso.pt)

Quando em Outubro de 2005 Samy Kamkar, então com 19 anos, desenvolveu um programa malicioso (worm) que lhe permitiu angariar um milhão de amigos no MySpace em apenas 20 horas, estava longe de imaginar que a proeza lhe haveria de render mais popularidade do que realmente pretendia.

Com efeito, o ataque à rede social que por esses dias fazia as delícias dos internautas e a mediatização do processo judicial que se seguiu, conferiu-lhe o estatuto de estrela no firmamento da comunidade hacker.

Os três anos de pena suspensa, acrescida de 90 dias de trabalho comunitário e da proibição de aceder à Internet, para além de uma indemnização nunca revelada, já fazem parte do passado e Kamkar, agora com 24 anos, é co-fundador da Fonality, uma empresa que comercializa centrais telefónicas que usam a tecnologia de voz sobre IP (Protocolo Internet).

Mas é como conferencista, a convite da Fundação OWASP (Open Web Application Security Project), um organismo que tem por missão apoiar o desenvolvimento de aplicações Web seguras, que realiza um périplo pela Europa, tendo já passado por Londres, Leeds, Dublin, Bruxelas, Estocolmo, Copenhaga e Lisboa.

Privacidade na Net, morreu!

No ISCTE - Instituto Universitário de Lisboa, o auditório foi pequeno para acolher todos aqueles que ouviram Kamkar declarar a morte da privacidade na Net, depois de demonstrar como é tecnicamente possível determinar a localização física de um internauta. Como?

Antes de mais é preciso descobrir o endereço físico do router (MAC address) através do qual o internauta acede à Net, recorrendo para este efeito a um site com um programa malicioso, ao qual é preciso atrair a eventual vítima.

Normalmente, apenas os computadores ligados a um router podem obter esse endereço. Contudo, o programa em javascript faz-se passar por um computador dessa rede e consegue a tal "matrícula" do router.

Já na posse do tal endereço MAC, lança uma pesquisa na base de dados que serve de suporte ao Google Street View, ficando assim a saber as coordenadas GPS do router em causa.

Mas como é que a Google tem estes dados? Porque os automóveis que recolhem as imagens para o Street View também captam os sinais das redes sem fios e registam na sua base de dados os tais endereços MAC, para além da localização em que foram detetados.

Apesar das polémicas recentes que envolveram o Street View, tudo indica que a Google não foi obrigada a apagar desta base de dados os endereços MAC.

O Expresso procurou confirmar junto da Google a existência desta informação na base de dados em causa, mas até à publicação deste artigo não obtivémos resposta.

Ao revelar publicamente os detalhes técnicos deste tipo de operações, tudo o que Kamkar pretende é alertar para os riscos. "O utilizador comum e até alguns técnicos não fazem a mínima ideia da exposição a que seus dados estão sujeitos na Internet", alerta.

Enquanto não esquecer a condenação a uma pena suspensa por três anos e o enorme susto sentido quando viu a polícia invadir a sua casa, algumas semanas depois do ataque ao MySpace, e apreender tudo o que pudesse ter um byte gravado (do computador aos CD), o hacker deu lugar ao especialista em segurança informática.

Cookie eterno

E foi no papel do especialista que Samy Kamkar lançou recentemente um outro alerta, desta feita relacionado com uma fragilidade detetada na versão 5 do HTML, a linguagem de marcação usada para produzir páginas para a Web.

Ora, segundo Kamkar, a última versão do HTML que estará disponível a partir de 2012 poderá expor, como nenhuma outra, a privacidade dos internautas. Vejamos como.

Serão certamente muito raros os sites que não queiram saber mais sobre quem os visita: de que país provêm, quanto tempo dura a visita, etc.

Uma das técnicas usadas para obter esse tipo de informação passa por alojar no computador do internauta um pequeno ficheiro de texto onde esses dados ficam registados. A esse ficheiro dá-se o nome de cookie.

É o valor que todos os anos, segundo a IAB - Interactive Advertising Bureau, o mercado da publicidade online fica impossibilitado de gerar por não poder usar comercialmente a informação dos internautas.

Atualmnente, o internauta pode, em qualquer altura, apagar os ditos ficheiros e até impedir que fiquem gravados no disco rígido. Mas, se o HTML5 for usado tal como está a ser desenvolvido, os administradores dos sites e seus anunciantes poderão criar cookies que estes jamais serão capazes de apagar alojando-os em diretorias ocultas ou temporárias. Esta nova geração de cookies foi batizada por Samy Kamkar como "Evercookies" (os cookies eternos).

Resultado: Os hábitos de qualquer internauta ficarão mais expostos do que nunca à curiosidade e aos interesses comerciais de empresas e anunciantes.

Se é verdade que através dos atuais cookies já é possível monitorizar a atividade de qualquer internauta, um evercookie poderá registar informação sobre eventuais compras realizadas online, mensagens de correio eletrónico enviadas e recebidas, entre outros hábitos bem mais íntimos.

Hugo Cruz/ISCTE-IUL

Samy Kamkar, 24 anos, nasceu em Pitsburg, Pensilvânia. Aos 13 mudou-se de armas de bagagens para Los Angeles, Califórnia, onde viria a concluir o ensino secundário.

Decide então começar a trabalhar como administrador de sistemas informáticos, num primeiro momento, e como programador, mais tarde.

Contrariamente à maioria dos engenheiros de software com que lida diariamente, tudo o que sabe, aprendeu sozinho.

Em 2005, acabaria por entrar para a história da pirataria informática como o autor do primeiro worm (programa malicioso) da era Web 2.0. Alvo: MySpace. O "Samy Worm" permitiu-lhe angariar um milhão de amigos em apenas 20 horas e acabaria por obrigar o administradores desta rede social a pararem o site para correção do problema.

Segundo Samy Kamkar, foi o próprio Governo norte-americano e não o MySpace que apresentou queixa. Em 31 Janeiro de 2007, chega finalmente a um acordo, tendo sido condenado a três anos de pena suspensa. Hoje, diz-se "arrependido" e garante que não voltará a fazê-lo.