— Alguém aqui já teve a webcam hackeada?
— Não, mas achei essa sua camiseta bem feia, viu.
Videos by VICE
O diálogo acima, extraído de um tópico recente no fórum Reddit, é mais do que uma anedota hacker engraçadinha: é, sem exagero, a tradução de como hoje, numa época em que todos estamos rodeados de celulares e computadores com câmera o tempo inteiro, nossas privacidades estão cada vez mais vulneráveis.
Não é papo de paranóico, acredite. Estamos cercados de lentes que podem, a partir de um ligeiro esforço mal intencionado, registrar tudo o que fazemos em frente às máquinas. São como Olho de Sauron num mundo onde cada link, conexão e arquivo é uma potencial armadilha para assumir o controle de nossos dispositivos.
Exemplos da insegurança das webcams não faltam. O caso mais famoso que se tem notícia, muitos devem lembrar, é o de Jared Abrahams, um americano de 21 anos que, depois de gravar uma dúzia de meninas com suas próprias câmeras e chantageá-las, foi condenado, em 2014, a 18 meses de prisão. O tema ganhou visibilidade porque, entre as vítimas, estava a Miss Teen USA 2013, uma colega de Jared da escola. Mas isso é só a ponta do iceberg. Há muitos outros episódios de espionagem com gente menos famosa – e talvez até mais famosa – rolando por aí.
O método mais comum, utilizado por Abrahams e outros hackers, é quase tão velho quanto a própria internet: os trojans. Na virada dos anos 2000, era comum amigos enviarem programinhas simples tipo NetBus para brincar de abrir os drivers de CD-ROM um do outro à distância. Na época, todos chamavam o NetBus de um trojan, nome inspirado no mito do Cavalo de Tróia. A função é tipo a arma de guerra dos gregos mesmo: há uma surpresinha desagradável por trás (ou dentro, se preferir) da aparência inocente. “Na realidade, um trojan consiste em um programa malicioso que é colocado junto a um programa limpo, sem função definida”, me definiu um rapaz que prefere se identificar apenas como ☢|EXPL01T3R|☣ e que, segundo o próprio, já usou bastante a técnica para invadir webcams. “Ele pode conter um RAT, e daí sim você vai ter acesso ao computador da vítima.”
RAT significa Remote Administration Tool, uma ferramenta que permite monitorar, acessar e controlar um computador – ou dispositivo móvel e qualquer outro equipamento ligado a internet – à distância. É um tipo de software que tem inúmeras aplicações. Fabricantes de computadores e departamentos de TI o usam para prestar suporte e identificar problemas de maneira simplificada, assim como grandes empresas aproveitam as funcionalidades para controlar melhor sua rede. No uso amador, como os milhares de exemplos do Youtube mostram bem, uma galera prefere brincar com as máquinas dos outros.
Em geral, os vídeos que mostram pegadinhas com RATs são de sustos bestas em meninos e meninas que não entendem por que seu computador está agindo de forma estranha. A graça, dizem os espectadores, é que o acesso à webcam permite mostrar a reação das vítimas em tempo real. Mas o mais curioso desse passatempo é que não se trata de uma tarefa complexa. Qualquer um pode aprender a fazer isso. “O rei dos trojans“, por exemplo, é um canal de um rapaz de voz juvenil que dá tutoriais de como esconder trojans em alguns tipos de arquivo, como .RAR. “Mando um hack de jogos infectado para eles e, quando abrem, fico tirando onda e gravo a reação. Depois obrigo a fazer alguma coisa para parar, tipo postar algo no Facebook, mas nada muito grave”, ele me disse, numa entrevista por telefone.
Até certo ponto é uma brincadeira quase infantil. Um outro jovem de menos de 18 anos que se identifica como ReiGel_ado afirma que já infectou algumas pessoas com RATs, mas parou porque “isso é coisa de ‘lammer’”. Lammer, assim como Skiddies, é um termo depreciativo da comunidade hacker para tirar a galera menos experiente que usa programas padrões para invadir ou atacar redes.
“Isso [infectar com RATs para acessar câmeras] é bem simples de ser realizado, não precisa de bom conhecimento na área de informática, mas nesse caso se fica mais vulnerável a detecção por antivírus”, afirma ☢|EXPL01T3R|☣. Ele conta que, embora nunca tenha se interessado em olhar pelas câmeras alheias, obter imagens das mesmas não é um problema. “O acesso que tinha era irrestrito, e o controle da webcam por padrão sequer necessita de privilégios de administrador.”
“Houve uma fase em que infectava por brincadeira, mas cheguei ao ponto de vender dados pessoais e nudes”
E é claro que a brincadeira-pegadinha pode virar comércio ilegal também. A matéria-prima? Nudes. O D3LT4H4CK3R, outro que prefere ficar no nick, é um dos que invadia câmeras e comercializava os conteúdos espionados. “Houve uma fase na minha vida que infectava por brincadeira, mas comecei a desatinar e cheguei ao ponto de vender dados pessoais e nudes”, ele me contou. “Depois de um tempo, percebi que eram atos maliciosos e saí fora, comecei a estudar mais a sério outras áreas.”
Segundo especialistas da área, ainda que não seja um ato valorizado entre hackers e crackers (como são chamados os mal intencionados), a invasão de câmeras se torna algo preocupante quando há esses dois componentes envolvidos: 1) ser simples a ponto de qualquer um poder realizar e 2) a possibilidade de render algum dinheiro.
O consultor de segurança da informação e sociólogo Carlos Cabral concorda que os primeiros passos no uso de RATs não são difíceis de dar. “Se for alguém determinado, vai conseguir. O Kali Linux, por exemplo, é um sistema operacional para quem faz testes de intrusão. Ele já vem com pacotinhos pré-montados para todo tipo de ataque, aí só precisa de um pouco de engenharia social”, explica.
Engenharia social é um conceito essencial para a dinâmica das vulnerabilidades da web, além de ótimo exemplo de como em geral nos comportamos mal online. Em resumo, trata-se da boa e velha lábia. Quando queria infectar computadores, o ReiGel_ado, por exemplo, propagandeava programas falsos com trojans e os distribuia em fóruns de videogames. “Pegava 500 máquinas em uma hora”, diz ele. O menino do canal “Rei dos trojans” fazia o mesmo, mas em grupos de discussão do Skype.
São táticas simples, mas que podem se tornar mais profundas e complexas conforme a necessidade (e a vontade) de se atingir um alvo em específico. E o objetivo nem sempre é conseguir uma imagem em baixa resolução de alguém se trocando. Ao controlar um computador via RAT, é possível inventariar tudo que passa por ele, além de transformá-lo numa marionete, um bot. Isso significa tanto registrar todas as senhas digitadas, assim como números de cartão de credito, quanto usar o PC como massa de manobra virtual em um ataque de DDoS – quando algum serviço sai do ar devido à quantidade excessiva de tráfego.
Mas há algo na invasão das câmeras que a torna um inimigo difícil de lidar: ela é silenciosa.
Empresas e governos de olho em você
Se num contextual pessoal é assustador, de modo global é ainda pior.
Ficou óbvia a capacidade de monitoramento e controle da agência de segurança americana, a NSA, depois do vazamento de Edward Snowden. Na ocasião, o ex-analista do órgão fez um apelo à população mundial para que não usemos mais sistemas não-criptografados. O motivo: todas as comunicações que não contam com esse tipo de segurança podem ser interceptados pela NSA – e provavelmente por outro serviço de inteligência.
Em entrevista, Snowden afirmou até que, quando jovens funcionários da agência buscavam informações de indivíduos e se deparavam com alguém atraente, costumavam pegar fotos de nudes e trocar entre eles no escritório. Outra revelação relevante foi que milhares de imagens de webcam do chat do Yahoo foram interceptadas e armazenadas pelo serviço secreto britânico.
E como se já não fosse assustador o bastante imaginar que estamos sendo espionados por agências quando elas bem quiserem, a preocupação se estende para o âmbito comercial: há várias empresas que vendem soluções semelhantes, mesmo que mais limitadas, para qualquer tirano de esquina.
Fundada em 2003, a HackingTeam é uma companhia italiana que define seus serviços como “tecnologia ofensiva e fácil de usar para a comunidade global de inteligência e lei”. A propaganda dos caras, como bem definiu um membro do fórum Rohitab, parece um recurso de filme distópico para mostrar quem é o vilão. Eles dizem que são capazes de espionar quem bem entenderem.
Em julho de 2015, vazou um pacote com mais de 400 GB de dados sensíveis da HackingTeam. Entre as informações, havia códigos-fontes dos softwares de monitoramento da empresa – abertos para o uso de qualquer interessado –, além de um extenso histórico de e-mails trocados (indexados pelo WikiLeaks aqui). É aí que fica interessante para nós. Depois de analisar o material, Carlos Cabral achou mensagens que demonstram um interesse claro da Polícia Federal no programa. Em um dos e-mails, um responsável pelo setor de inteligência da PF convida a HackingTeam para participar de uma licitação de compra de solução de monitoramento. Em anexo, vai um questionário que busca esclarecer se a opção atende a todos os requisitos do órgão. São 29 perguntas sobre especificações, mas vale destacar a de número 13:
“O produto permite a extração de fotos ou vídeos usando ambas as câmeras do dispositivo alvo?”
Vale ressaltar que, apesar do interesse da PF, assim como de Policias Militares e Civis de alguns estados, não há indicação de que nenhuma das instituições comprou o software. Ainda assim, é um indício de que governos sabem da vulnerabilidade de nossas máquinas e, se quiserem, podem muito bem interceptar imagens de nossas câmeras.
E, sim, isso inclui o seu inseparável telefoninho com duas câmeras.
Os celulares que tudo veem
Embora o papo pareça conspiração, todo desenvolvedor sabe o quanto a espionagem via câmeras de celular é uma preocupação legítima. “Às vezes as pessoas esquecem que elas andam com uma webcam na mão o tempo inteiro”, afirma a pesquisadora Fernanda Shirakawa, que faz parte do Maria Lab Hackerspace, Femhack e Coding Rights, iniciativas com fins variados unidas sobre a bandeira de espalhar a cultura do ativismo digital, programação e desenvolvimento de sistemas com foco em integração de gêneros.
Não à toa, o requerimento da PF cita “ambas” as câmeras. Os celulares podem, sim, ser invadidos e monitorados por RATs de maneira bem semelhante aos computadores. Isso aumenta a preocupação com o vazamento de imagens comprometedoras na medida que, mesmo que você feche seu notebook na hora de dormir ou enquanto se troca, os smartphones estão lá, na ativa.
“No celular é importante ter cuidado com o tipo de permissão de privacidade exigida pelos aplicativos, assim como o acesso a determinados dados que eles tem direito”, diz a desenvolvedora Fernanda Meistache, que também é do Maria Lab Hackerspace e do Femhack. “Mesmo que não sejam programas que permitam o controle remoto, às vezes eles podem monitorar informações muito pessoais, e você permitiu isso no contrato”, explica ela.
Para Fabio Assolini, analista sênior de segurança da Kaspersky Lab no Brasil, a vulnerabilidade dos celulares é mais gritante no Android. “Os celulares com Android podem baixar apps de qualquer endereço, não só da loja da loja da Google. Isso é um prato cheio para softwares que venham com alguma porta aberta para invasão escondida”, afirma.
Para exemplificar o quanto o monitoramento de celulares é comum, Assolini cita um caso curioso, o Espião Whatsapp. A ferramenta é apenas uma das dezenas que aparecem em busca sobre programas de espiar o popular aplicativo de mensagem. No site, vende-se como uma alternativa para tirar a limpo desconfianças sobre o cônjuge ou dar uma olhada no que os filhos andam fazendo. O serviço não é barato: um pacote de 15 dias saí por R$ 149.
Um representante do Espião Whatsapp, que também preferiu ficar anônimo, me disse que o programa não consegue gravar vídeo, mas pode usar as câmeras dianteira e traseira para tirar fotos em intervalos regulares de tempo, além de registrar toda a atividade do Whatsapp. Se muita gente usa a ferramenta? “Razoável”, falou.
Claro, no caso do programa, não se trata de uma infecção por trojan. É preciso que alguém instale a ferramenta no celular que deseja vigiar. Após isso, o software se esconde e passa despercebido. É eficaz e serve para mostrar como as maneiras para conseguir se infiltrar no dispositivo ou computador alheio são muito criativas.
“É possível explorar fragilidades variadas. JAVA e Flash, por exemplo, são dois tipos de scripts bastante utilizados em sites e, em geral, bem vulneráveis”, conta Shirakawa. Ela dá a palavra: faça uma pausa na leitura e instale um plugin tipo noscript no seu navegador.
Na internet das coisas tudo pode piorar
A internet das coisas é um dos hypes do século 21. O conceito de todos os objetos a nosso redor se conectando à rede parecia ótimo anos atrás, mas agora, quando começamos a ver as tretas de segurança e a inutilidade de muitas coisas, começamos a ver algumas opiniões mais críticas. Eugene Kaspersky, fundador da empresa que produz o antivírus homônimo, é um deles: “A internet das coisas é a internet das armadilhas”, falou.
A citação é usada por Assolini para expressar o que parece ser um consenso entre especialistas em segurança na web: se os computadores pessoais são presas fáceis, a maioria dos outros dispositivos conectados à rede parece um grupo de crianças indefesas.
No ano passado, o site Insecam causou rebuliço ao exibir imagens de câmeras de segurança, sistemas de vigilância, webcams, babás eletrônicas, entre outros. Na época, o criador do site, um programador russo, afirmou que o objetivo da página era mostrar como os olhos do Grande Irmão conectados à internet eram de fácil acesso. O Insecam continua no ar, mas limitou os vídeos aos ambientes públicos. Nesse exato momento, ele lista 120 câmeras localizadas no Brasil cujo feed pode ser visualizado. Para muitas já há necessidade de senha, mas ainda é possível assistir em tempo real repartições públicos e hospitais em Brasília e até mesmo salas de empresas de tecnologia.
“Uma parte gigantesca dos dispositivos de vídeo ligados à internet são muito vulneráveis”, afirma o analista da Kaspersky. “Posso te falar sem dúvida: a segurança é a última preocupação dos fabricantes na manufatura de produtos que serão ligados na internet.”
Enquanto na invasão de um notebook o cracker precisa infectar o computador de alguma forma, Assolini explica que, para acessar maior parte das câmeras ligadas à internet, só é preciso saber o modelo do equipamento. “Os responsáveis pela instalação tendem a não mudar a senha e as configurações padrões de conexão”, conta.
“Com a pressão do capitalismo pelo consumo sem fim, ciclos de produção muito curtos e obsolescência programada, não há tempo para que se corrijam falhas de segurança em produtos como SmartTVs, videogames ou um Kinect”
Um exemplo: em um estudo conduzido em uma cidade nos Estados Unidos, Vasilios Hioureas conseguiu invadir – e controlar – o sistema de vigilância da polícia sem dificuldades. O ponto de partida foi dar uma volta pelas ruas e anotar a marca dos dispositivos de vídeos utilizados. Nesse caso, mesmo numa rede protegida, é possível comprar um produto idêntico e usar engenharia reversa para descobrir como invadi-lo.
“Com a pressão do capitalismo pelo consumo sem fim, ciclos de produção muito curtos e obsolescência programada, não há tempo para que se corrijam falhas de segurança em produtos como SmartTVs, videogames ou um Kinect, por exemplo”, afirma Carlos Cabral. “O resultado são dispositivos conectados a internet cada vez mais frágeis.”
Isso gera cenários trágicos e engraçados, como uma casa onde é possível atacar a geladeira inteligente e descongelar o lasanha do fim de semana da vítima, ou o caso real onde hackers transformaram câmeras de segurança em mineradoras de bitcoin. Catástrofes também podem ocorrer, claro. “ICS, Industrial Control System, são componentes industriais conectados à internet. Eles também podem ser invadidos e também estão vulneráveis. Há casos de indústrias inteiras controladas pelo windows 98, por exemplo”, conta Assolini.
Nem mesmo os carros estão a salvo. Em uma matéria para a revista Wired, o repórter Andy Greenberg descreve a sensação de perder o controle da Cherokee que dirigia conforme hackers desabilitavam o acelerador e brincavam com o computador de bordo. Uma experiência controlada, mas assustadora.
Além disso, acessar um dispositivo conectado à internet funciona como uma porta de entrada para a rede da qual ele faz parte. Se você controla um, controla todos. “Imagine um mundo onde o seu fogão ou geladeira atacam o seu celular ou notebook para roubar sua senha do banco. É isso. É Uma ideia bem questionável do ponto de vista da segurança”, diz Jonas Abreu, CSO do Nubank Brasil.
E a parte mais assustadora para os clientes de casas conectadas é que os invasores não precisam andar por aí procurando máquinas para invadir. Há sites que mostram onde estão essas casinhas inteligentes e inseguras. O Shodan se vende como uma espécie de “google da internet das coisas”. Embora tenha sido criado com o objetivo benéfico de monitorar quais equipamentos estão conectados à sua rede e quem a acessa, ele também permite fazer uma procura simples por dispositivos vulneráveis. “O Shodun é um depositório da exposição. E o mercado de vulnerabilidades está ascendendo”, afirma Abreu.
Como se proteger?
Promulgada no final de 2012, a “Lei Carolina Dieckman” é o arcabouço jurídico que pode ser usado para julgar e condenar quem invadir e filmar pessoas com suas próprias webcams. A lei prevê pena de três meses a um ano, além de multa, mas suas disposições são confusas. No Brasil, no aspecto jurídico e digital, nada é muito claro. Como já dissemos em outra matéria do Motherboard, nosso judiciário parece não manjar muito disso de internet.
Qual caminho então? Bem, poucos sabem a resposta técnica. Enquanto escrevia essa matéria, recortei um pedaço de adesiva vermelho e colei sobre minhas câmera.
Pode parecer banal, mas realmente é consenso entre especialistas que tampar a webcam quando não estiver em uso é uma boa ideia – não custa nada, afinal. De post-its a band-aids, com uma predileção por fitas isolantes, a internet está recheada de dicas e métodos para obscurecer o vídeo sem danificar a lente. Muito também se fala na atenção à luz de monitoramento da câmera, já que ela acende quando há gravação. Na realidade, essa é uma função que pode ser desabilitada sem que o usuário seja notificado.
Claro, a medida é uma espécie de remendo, e não protege nada além da sua própria imagem. Caso alguém seja capaz de acessar sua câmera, também pode utilizar o microfone para gravar todo o áudio capturado, assim como fazer o que bem entender com o computador.
A proteção então passa por uma reeducação na maneira de usar a internet. Por via das dúvidas, a recomendação dos especialistas é que você navegue por aí como se sua mãe estivesse certa: toda página e link suspeitos devem ser evitados, cuidado com os arquivos baixados e mil etcéteras. Na hora de configurar um dispositivo externo, troque as senhas padrões e atualize o firmware. “Esse último passo pode ser mais difícil, mas vale a pena perder um pouco de tempo para aprender como fazer isso”, diz Fabio Assolini.
Para proteger o computador, Assolini recomenda um antivírus robusto. Para ele, entre as características que devem ser observadas no programa estão contar com uma equipe local (“Mais rápida na detecção de ameaças desenvolvidas aqui no Brasil”), assim como capacidade de detecção de novos softwares maliciosos rápida (“Há métodos em nuvem que fazem isso em até 40 segundos, contra algumas horas no sistema tradicional”). Por último, ele conta que alguns antivírus já contam com uma funcionalidade que barra o acesso às webcams a não ser quando há permissão específica em contrário.
Carlos Cabral, no entanto, é um pouco mais pessimista. “Um antivírus é como vidro em cima do muro. Ele assusta um pouco, mas se o atacante estiver determinado a invadir seu computador, ele vai conseguir”, afirma.
A real é que a faca corta para os dois lados. O software de monitoramento do HackingTeam contém uma backdoor, ou seja, uma entrada aberta por onde os desenvolvedores podem acessar e controlar a rede dos clientes que adquiriram o programa. Da mesma forma, a maior parte dos RATs mais comuns e de fácil obtenção também contém backdoors – é impossível estabelecer, inclusive, se ferramentas como o Espião Whataspp também não a possuem. O resultado é uma terra virtual sem lei.
“Além de nos preocuparmos com o que tiram das nossas máquinas, como fotos ou vídeos gravados sem consentimento, também é preciso pensar no que se pode colocar lá. Por exemplo: material ligado à pedofilia, para depois conseguir informações com base em chantagem”, diz Cabral. Para ele, isso pode ser feito inclusive pelo governo que, segundo a Lei Carolina Dieckman, deveria obter autorização antes de infectar e invadir computadores de suspeitos. “Mas é difícil de acreditar que isso aconteça”, afirma.
“Você pode estar sendo espionado nesse momento porque tem ligação com ativistas, porque é muçulmano, porque não é nenhuma coisa nem outra mas esteve em uma manifestação pela liberdade religiosa. Ou só porque a pessoa que opera o sistema viu uma foto sua em alguma rede social, te achou gostosa ou gostoso e quer te ver nu. As possibilidades são infinitas.”
Assustador, né? Na dúvida, bote uma fita na câmera – e leve sempre um casaco para seus rolês na internet. Vale se precaver para não ficar exposto por aí.