Tor jura que não foi vencido, mas confiança foi abalada

O Tor (The Onion Router), a rede distribuída criada para viabilizar, e posteriormente facilitar, a navegação na internet de forma anônima, vem há anos sendo alvo de uma campanha de autoridades e forças de segurança, em todo o mundo, para desacreditá-lo como um software seguro.

• EUA: DoJ retira acusações de pedofilia para não revelar como hackeou o Tor
• Hacker que derrubou Coreia do Norte: "EUA precisam melhorar"

Em 2015, uma força-tarefa dos EUA foi a primeira a declarar ter quebrado a segurança do Tor, ao identificar e prender um monte de gente, por tráfico de drogas, roubo, venda de armas, o de sempre. Entre eles estava Blake Benthall, vulgo Defcon, dono e operador da Silk Road 2.0, que também foi fechada na ocasião. Após colaborar com os federais e cumprir pena, ele hoje é um, finja surpresa, "crypto bro".

Sim, esta piada é velha, mas ainda é boa (Crédito: Reprodução/Marvel Comics/Disney)

Na época, o recado dado pela polícia e o FBI foi bem claro, "abandone a ideia de anonimato", reforçando o que Scott McNealy, co-fundador da Sun Microsystems, disse em 1999:

"Vocês têm zero privacidade, de qualquer forma. Lidem com isso".

Corta para 2024: no dia 16 de setembro, um artigo publicado pelos veículos de mídia Panorama e STRG_F, revelou um relatório das forças de segurança do país, que supostamente traz evidências de que o anonimato através do Tor foi "completamente cancelado". O projeto nega, mas o estrago já está feito.

Tor contra a parede

A quebra original do anonimato do Tor já completou uma década, mas as informações acerca da investigação só foram surgindo aos poucos. Hoje sabe-se que o Departamento de Defesa dos Estados Unidos (DoD) contratou pesquisadores do Instituto de Engenharia de Software da Universidade Carnegie Mellon, com a missão de encontrarem falhas na rede que pudessem ser exploradas, para identificar e rastrear criminosos.

Ironicamente, o Tor não nasceu como uma ferramenta voltada para o crime. O princípio por trás do software, o "Roteamento Cebola", foi criado no meio dos anos 1990 pelos cientistas da computação Paul Syverson, Michael G. Reed e David Goldschlag, na época em que faziam parte do Laboratório de Pesquisa Naval dos EUA (NRL).

O objetivo inicial da técnica de criptografia, que usa várias camadas para mascarar os dados e dificultar o rastreio (daí o nome), era proteger as comunicações sensíveis do serviço de inteligência do país. Somente em 2002, Myerson se uniu aos também cientistas da computação Roger "arma" Dingledine e Nick "nickm" Mathewson, para implementar uma versão independente da rede, então chamada The Onion Routing Project, em 20 de setembro daquele ano. Em 2003 o Tor foi liberado para o público, e em 2004, o NRL autorizou a publicação do código-fonte, tornando-o open source.

A principal motivação para o Tor existir é fornecer via ferramentas simples, no caso uma versão customizada do navegador Firefox com um anonimizador, meios para quem precisa navegar anônimo na net, como ativistas, dissidentes e jornalistas, sem o risco de represálias, censura e perseguições por estados autoritários. A plataforma ganhou visibilidade durante os eventos da Primavera Árabe, como uma ferramenta de resistência.

Porém, ao se tornar pública, a rede distribuída se tornou a porta de entrada oficial para a Deep Web, que se tornou muito mais acessível, um efeito colateral mais do que óbvio de aparecer, mas as autoridades, da polícia ao FBI e a CIA, e outras forças de segurança mundo afora, não gostaram do Tor ser usado para cometer crimes mesmo assim. O Tor Project se defende como pode, inclusive pagando de indignado, que seria o equivalente à Tramontina protestar por suas facas de cozinha serem usadas para cometer crimes.

Se o Projeto não tem como controlar o uso do Tor, à polícia e órgãos de segurança restava a alternativa mais fácil, que era minar a credibilidade da ferramenta, expondo-a como ineficaz, e se recusando a colaborar com a melhoria do software, para fechar brechas de segurança.

Tor Project diz que seu software continua seguro, mas confiança vem sendo minada desde 2015 (Crédito: Koldunov/Depositphotos)

O Departamento de Justiça dos EUA (DoJ), por exemplo, chegou a retirar queixas contra acusados de pedofilia, para não revelar em juízo como o FBI conseguiu identificá-los por meio de outra ferramenta, chamada NIT (Network Investigative Technique), basicamente um malware; na época, o Bureau chegou a afirmar que a falha existia também na versão limpa do Firefox, e que tanto a Mozilla quanto o Tor Project não poderiam jamais serem informados de como ela funciona.

A Mozilla identificou posteriormente a falha por conta própria e a fechou, mas o fato é que a imagem do Tor já estava abalada. Por mais que o Tor Project afirme que o software é 100% blindado e seguro, novos casos de usuários da rede sendo identificados foram aparecendo, tornando o uso do software uma aposta: você pode ser pego, ou não.

Assim, a suspeita de que autoridades alemãs quebraram por completo a segurança do Tor está incomodando os usuários, mas há alguns pontos a esclarecer. O caso envolve investigações por (mais uma vez) pedofilia, executadas entre 2019 e 2021, em que quatro acusados foram presos. Eles teriam sido identificados por usarem um nó associado ao mensageiro Ricochet, cujas vulnerabilidades já seriam conhecidas.

Com a investigação se estendendo por três anos, as autoridades conseguiram triangular a posição geográfica do nó comprometido, e com isso, conseguir um mandado para identificar junto às operadoras quem o estava usando, foi trivial. Daí, foi só prender os acusados.

O relatório da polícia alemã é basicamente um exagero, o Tor Project afirma em nota que os protocolos explorados foram atualizados em 2018, e as brechas do Ricochet foram fechadas em 2022. Dessa forma, os usuários identificados usavam versões desatualizadas do Tor, e a rede continua segura e confiável, mas é fato que muita gente está há uma década com uma pulga atrás da orelha.

Grandes são as chances de que aqueles pegos usando o Tor não se incomodaram de atualizar o software, mas a imagem da rede como uma plataforma blindada não é mais a mesma, este sendo o real objetivo das autoridades, minar sua confiança e estimular o público a não o usar. É um jogo de gato e rato, que deve continuar por muito tempo mais.

Fonte: Gizmodo