Na tarde da última 2ª feira (8.jun.2017), o The Intercept publicou uma história bombástica: “Detalhes do relatório ultra-secreto da NSA sobre a tentativa de hack antes das eleições de 2016“. A notícia –depois confirmada pela CBS– revela que “militares russos executaram um cyberataque em pelo menos um software de votação norte-americano e enviou e-mails que roubam informações alheias para mais de 100 oficiais de eleições locais alguns dias antes das eleições presidenciais do novembro passado, segundo um relatório sigiloso obtido pelo The Intercept“. A reportagem incluía PDFs e relatórios da NSA (Agência Nacional de Inteligência).

And THIS is why I've been trying to get all of you to use security keys— the only thing that foils this method. Get a blue Yubikey, $17.99. https://t.co/RevnYlA9Bc

— zeynep tufekci (@zeynep) June 6, 2017

“E é por ISSO que eu venho tentando que vocês usem chaves de segurança –a única coisa que evita esse método. Adquira o blue Yubikey, por $17.99″

Esta história tem grande potencial. Trata-se da mais forte evidência até então de que o governo russo tentou influenciar os resultados das eleições norte-americanas, além de apenas espalhar desinformações (e o presidente russo Vladimir Putin até mesmo negou que seu governo teve algo a ver com a questão).

Mas outra notícia emergiu a partir da história do The Intercept. Na 2ª feira (8.jun) de tarde, uma funcionária terceirizada da NSA de 25 anos, Reality Leigh Winner, foi presa, acusada de vazar documentos (o 1º caso criminal de vazamento de informações sob o governo Trump). Se Winner foi de fato a fonte do The Intercept, outras questões sobre o que o The Intercept poderia ter feito além para protegê-la surgem –começando com aqueles PDFs publicados como parte da história.

Os PDFs incluíam uma matriz de micropontos –informações escondidas da impressora– que poderiam ser usadas para rastrear os traços da impressora até a sua fonte, como Ted Han, o diretor de tecnologia no DocumentCloud (plataforma pela qual o The Intercept usou para embedar os PDFs na história), apontou na 2ª feira. E algumas páginas foram manchadas.

https://twitter.com/quinnnorton/status/871883733032415236

“Oh wow, @knowtheory apontou agora aos micro pontos na primeira e última página dos documentos interceptados. Os micro pontos de impressora matam filhotes, pessoal”. 

The date in the microdots is 6:20 2017/05/09 from a printer with serial number #5429535218, according to https://t.co/PVVm7AAjlL pic.twitter.com/6BY7Y3MFhL

— flashman (@flashman) June 6, 2017

“@quinnnorton @knowTheory A data nos micro pontos é 18h20 2017/05/09, de uma impressora com número de série #5429535218, segundo https://w2.eff.org/Privacy/printers/docucolor/ … pic.twitter. Com / 6BY7Y3MFhL”

O expert em segurança digital Robert Graham explicou em seu blog como os micropontos criados por uma impressora de cor podem ser usados para rastrear até a fonte da impressora, e escreveu:

O documento vazado pelo Intercept era de uma impressora com número de modelo 54, número de série 29535218. O Documento foi impresso no dia 9 de maio de 2017, às 18h20. O NSA provavelmente tem o registro de quem utilizou a impressora naquele momento.

A situação é similar a como Vice conseguiu a localização de John McAfee, que publicou fotos em formato JPEG de si com as coordenadas EXIF GPS escondidas dentro do arquivo. Ou é assim que os PDFs são frequentemente redigidos, adicionando uma barra preta em cima da imagem, o que deixa os conteúdos implícitos ainda no arquivo para as pessoas lerem, como neste acidente de NYTimes com o documento de Snowden. Ou como abrir um documento do Microsoft Office e depois salvá-lo acidentalmente, deixando as impressões digitais para trás, como repetidamente aconteceu com os vazamentos da eleição do Wikileaks. Esses tipos de falha são causas comuns de um vazamento. Para consertar esse problema, use uma máquina de impressão em preto e branco, um escaneador em preto e branco ou converta a imagem para preto e branco com um programa de edição.

Erik Wemple, do The Washington Post, fez um bom comentário sobre como as etapas usadas pelo The Intercept para verificar os documentos podem ter contribuído para a exposição de Winner –mas é claro também que ela não tomou muitas precauções que o próprio The Intercept aponta na sua página de “como nos passar informações”. (Por exemplo: “Não nos contate do trabalho; o FBI disse que Winner conversou com o The Intercept pelo seu computador do trabalho).

FBI clued into NSA leaker by looking at crease in document paper, and then narrowing suspects to those who had printed report.

— Sheera Frenkel (@sheeraf) June 5, 2017

“O DOJ acusou uma mulher de 25 anos de idade de vazar o documento secreto da NSA para a organização de notícias desconhecidas (outros estão relatando como o The Intercept)”.

“O FBI ficou atento ao vazamento da NSA ao observar modificações do documento e, em seguida, filtrando os suspeitos até chegar naqueles que imprimiram o relatório”.

Some lessons here for potential whistleblowers, and for journalists looking to keep sources safe.

— Sheera Frenkel (@sheeraf) June 5, 2017

“Temos alguns aprendizados aqui para denunciantes potenciais e para jornalistas que buscam manter informações em segurança”. 

https://twitter.com/quinnnorton/status/871888139253678081

“@knowtheory para obter um plano de fundo em pontos da impressora, @EFF pode te ajudar: https://www.eff.org/issues/printers”

“@knowtheory @EFF nós imprimimos os documentos, escaneamos e utilizamos tecnologia para reconhecer caracteres anteriormente para evitar dados indesejados. É algo que vale a pena quando a fonte é sensível”.

10. From what we know, there was poor OPSEC everywhere here: the contractor, the source, and @theintercept.

— Leah McElrath (@leahmcelrath) June 5, 2017

“9. Para ser sincera: eu NÃO estou alegando que a @@theintercept queimou sua fonte internacionalmente. (Mas eles talvez nunca mais recebam outro vazamento por causa disso)”. 

“10. Do que a gente sabe, houveram inúmeras questões de falta de segurança: o contratante, a fonte e a @theintercept”.

12. The source apparently used her own WORK computer to communicate with the Intercept, which is incredibly stupid.

— Leah McElrath (@leahmcelrath) June 5, 2017

“11. A defesa do contratante concedeu a liberação de segredos confidenciais e acesso de materiais para uma jovem de 25 anos com poucos meses de trabalho”. 

“12. A fonte aparentemente usou o computador de TRABALHO dela para se comunicar com a Intercept, o que é incrivelmente estúpido”.

O jornalista Barton Gellman, que liderou o prêmio Pulitzer do The Washington Post –cobertura vencedora do NSA em 2013 e 2014, ofereceu mais ideias em uma tempestade de tweets, na última 3ª feira (6.jun).

3/ Cuts deprived both Russia and US public of details (GRU units, individuals, possibly exploits) that show how NSA knows. It’s a tradeoff.

— Barton Gellman (@bartongellman) June 6, 2017

“2/ Eles redigiram para proteger as fontes da NSA. Isso parece a decisão certa, só que não. @theintercept https://www.documentcloud.org/documents/3766950-NSA-Report-on-Russia-Spearphishing.html#document/p1 …”. 

“3/ Cortes privados para a Rússia e para o público estadunidense (unidades, indivíduos e possibly exploit) que mostram como a NSA sabe. É uma troca”.

10/ Normal people don’t know all this, but journalists should. And @theintercept does. Has world class experts in @headhntr and @micahflee.

— Barton Gellman (@bartongellman) June 6, 2017

“9/ Ao reproduzir algo online, tanto redigite ou tome medidas técnicas para retirar dados ou identificar microimagens 

10/ Pessoas comuns não sabem disso, mas jornalistas deviam. E a @theintercept sabe. Tem especialistas mundiais em @headhntr e @micahflee”.

12/ That too is something @theintercept would denounce with contempt if happened elsewhere. Everyone makes mistakes, but this was a bad one.

— Barton Gellman (@bartongellman) June 6, 2017

“11/ O que dificulta a aceitação dessa falha catastrófica de segurança. Repórteres e Editores não consultam especialistas diretamente. 

12/ Isso também é algo que a @theintercept denunciaria com desprezo, caso acontecesse em outro lugar. Todos comente erros, mas esse foi péssimo”.

Matthew Garret, um desenvolvedor de segurança no Google, tem algumas ideias sobre como os sites de notícias deveriam vazar informações.

But there are legitimate questions. The printer dot thing isn't new. Could steps have been taken to avoid that?

— Matthew Garrett (@mjg59@nondeterministic.computer) (@mjg59) June 6, 2017

“Primeiramente: Está claro que, neste caso, a pessoa que vazou as informações seria pego se a história fosse publicada, independentemente do cuidado por parte dos jornalistas”. 

“Ainda temos perguntas legítimas. Essa história de pontos referentes à impressora não é nova. Alguma medida poderia ser adotada para evitar isso?”.

It's a document that goes into detail on how to anonymously communicate, but doesn't cover basics like "Is this material access controlled?"

— Matthew Garrett (@mjg59@nondeterministic.computer) (@mjg59) June 6, 2017

“Porém, o mais importante: o vazamento de informações da @TheIntercept é quase invisível em esconder a maioria de seus feitos”. 

“Esse é um documento que tem detalhes de como se comunicar anonimamente, mas não possui coisas básicas de segurança. O acesso a esse material é controlado?”.

Other than having emailed The Intercept on an apparently separate matter, Reality Winner seems to have done everything listed on that page

— Matthew Garrett (@mjg59@nondeterministic.computer) (@mjg59) June 6, 2017

“Documentos que possuem muitos detalhes de informação e vazios em outros aspectos dão para o leitor a impressão de que aquele material não interessa”. 

“Ao invés de ter enviado um email para a The Intercept com um assunto aparentemente importante, Reality Winner aparentemente fez tudo aquilo que estava listado na página”.

If you have a page that encourages people to break the law, you owe it to them to provide enough information to help them assess the risks

— Matthew Garrett (@mjg59@nondeterministic.computer) (@mjg59) June 6, 2017

“Agora sim nós sabemos que existem muitas outras coisas para se preocupar, mas quando um usuário segue o protocolo e mesmo assim falha, isso é *ruim*”. 

“Se você tem uma página que te incentiva a descumprir as leis, você deve também fornecer a elas informações suficientes, para que possam avaliar o risco”.

When you're documenting a process that could land someone in jail for the rest of their life (or worse), your documentation should be *good*

— Matthew Garrett (@mjg59@nondeterministic.computer) (@mjg59) June 6, 2017

“Informação sobre quem vai verificar essas atitudes. Informação sobre se você tentará fazer o seu melhor e se esforçar para redigir informações ou não”.

“Quando você está documentando um processo que poderia colocar alguém na cadeia para o resto da vida (ou pior), sua documentação deve ser *boa*”.

Quando pedi ao The Intercept por uma resposta, eles enviaram esta nota, que não responde nenhuma das perguntas sobre os potenciais erros da publicação:

Em 5 de julho, a The Intercept publicou uma história sobre um documento de extremo sigilo que foi providenciado para nós de modo completamente anônimo. Logo após a publicação do artigo, o Departamento de Justiça anunciou a prisão de Reality Leigh Winner, uma mulher de 25 anos contratada pelo governo em Augusta, Geórgia, por transmitir informações defensivas em ato de espionagem. Embora não se tenha conhecimento da pessoa que nos enviou o documento, o governo norteamericano disse que Winner era a responsável.
As declarações do FBI contra Winner tornaram-se públicas por meio da liberação de um affidavit e um mandato de busca, o qual não foi cumprido pelo pedido governamental. É importante pensar que esses documentos contêm afirmações não comprovadas e especulações elaboradas para cumprir a agenda do governo e, como tal, justificar o ceticismo. Winner encarou as alegações que ainda não foram provadas. O mesmo é verdade para as alegações do FBI sobre como aconteceu a prisão de Winner.
Nós tratamos deste assunto com a máxima seriedade. No entanto, devido à contínua investigação, não faremos mais comentários sobre isso no momento.