Tradução do artigo Facebook Helped Develop a Tails Exploit, de Bruce Schneier, publicado hoje no blog Schneier on Security.

Nota do Tradutor: exploit é um programa ou uma sequência de dados que se aproveita de uma vulnerabilidade para invadir um sistema.

*

O Facebook ajudou a desenvolver um exploit do Tails

Eis uma história incomum:

Hernandez conseguiu escapar da polícia durante muito tempo usando Tails, uma distribuição Linux projetada para usuários sujeitos a alto risco de vigilância que roteia todas as conexões de entrada e saída através da rede de código aberto Tor para garantir o anonimato. De acordo com o site Vice, o FBI tentou invadir o computador de Hernandez mas não conseguiu porque a abordagem usada “não era a apropriada para o Tails” disseram dois funcionários do Facebook ao Vice.

O Facebook designou um funcionário dedicado a descobrir quem era Hernandez, desenvolveu um sistema automatizado para avisar sobre contas recentemente criadas que enviavam mensagens para menores de idade e fez da captura de Hernandez uma prioridade para as suas equipes de segurança, informou Vice. Ele também pagou um valor de “seis algarismos” para alguém de fora da empresa desenvolver um exploit zero-day [NdT: exploit inédito] no Tails: um bug no reprodutor de vídeo que permitisse saber o verdadeiro endereço de I.P. de alguém assistindo a um clipe. Três fontes disseram ao Vice que um intermediário passou a ferramenta para o FBI, o qual conseguiu uma autorização judicial para que uma das vítimas mandasse um arquivo de vídeo modificado para Hernandez (tática já anteriormente utilizada pela agência).

[…]

O Facebook, entretanto, não informou a equipe Tails sobre a existência da falha – rompendo uma longa tradição de divulgação entre os profissionais da área, ou seja, que os desenvolvedores relevantes são avisados sobre as vulnerabilidades antes que se tornem públicas para que tenham a chance de providenciar uma correção. As fontes informaram ao Vice que, como uma iminente atualização do Tails estava programada para eliminar o código vulnerável, o Facebook não se preocupou em fazê-lo, embora a empresa de mídia social não tivesse motivos para acreditar que os desenvolvedores do Tails já tivessem descoberto o bug.

[…]

“O único desfecho aceitável para nós era Buster Hernandez enfrentar a responsabilidade por ter abusado de meninas” disse um porta-voz do Facebook ao Vice. “Esse foi um caso único porque ele estava usando métodos tão sofisticados que tomamos os passos extraordinários de trabalhar com especialistas em segurança para ajudar o FBI a levá-lo à justiça.”

Concordo com esse último parágrafo. Também concordo com o fato do FBI usar vulnerabilidades: isso é chamado de hacking legal. Mas já não concordo tanto com o Facebook pagar por um exploit contra o Tails, entregá-lo ao FBI e depois manter a sua existência em segredo.

Outro artigo.

* * *