Contudo, Stangvik descobriu em janeiro que o fórum, chamado de Childs Play, que tinha mais de um milhão de usuários em todo o mundo, era gerido por uma força-tarefa da polícia da Austrália.

Em outubro, o hacker norueguês Einar Otto Stangvik expôs o maior e mais conhecido portal da deep web (a internet não-indexável, isto é, que não aparece no Google e é de difícil rastreamento) para abuso de crianças. Para cumprir a missão, precisou de muita paciência, ideias criativas e um truque tecnológico simples.

Nós queríamos saber do Stangvik: como você faz para rastrear consumidores de pornografia infantil na deep web? Ali é realmente muito pior que a internet normal no que diz respeito à pornografia infantil? É justificável que a polícia tenha se feito passar por administradores de fórum de pornografia infantil – ou será que existem outras alternativas tecnológicas?

Não foi a primeira vez que Stangvik, que trabalhava como especialista em segurança em TI para várias empresas norueguesas, se embrenhou nos cantos mais escuros da web a fim de caçar consumidores e infratores relacionados a pornografia infantil. Em 2015, ele utilizou um programa escrito por ele mesmo para desmascarar 95 mil usuários no mundo todo que fizeram download de fotos e vídeos na internet.

Durante 11 meses, os investigadores australianos monitoraram o site em busca de informações sobre infratores, vítimas e usuários. Algumas semanas atrás, o portal foi fechado.

Einar Otto Stangvik: Passamos um mês trabalhando juntos para descobrir um jeito de atacar a plataforma. Não queríamos desmascarar somente as pessoas por trás do Childs Play, mas também seus usuários: produtores de vídeos com pornografia infantil, por exemplo, e pessoas que abusam sexualmente de crianças. Tentei fazer o download de todo o texto da plataforma e classificá-lo, mas isso levaria a lugar nenhum. No fim de 2016, tivemos que dar um tempo em nossa pesquisa porque não conseguíamos encontrar um caminho eficaz para invadir o site.

No início eu duvidei. Porque parecia o método mais idiota para forçar um servidor a revelar seu endereço de IP. Mas tentei mesmo assim. Para minha surpresa, eu recebi um IP de volta.

Então quer dizer que subir uma foto foi o truque mais fácil de todos, e ele funcionou?

Porque fui capaz de utilizar o truque mais banal todos. Para invadir o software de um website, você precisa encontrar uma forma de fazer upload de arquivos ou introduzir clandestinamente seu próprio código. Você, essencialmente, força o servidor a se conectar com o resto do mundo, abrindo um ponto fraco para os ataques. A maioria dos softwares não permite isso, porque os ataques em um servidor por meio de arquivos locais é o caminho mais óbvio. Eu realmente esperava que um site da dark net – especialmente um que dissemina material abusivo – teria bloqueado todas as conexões externas. Ou, ao menos, que eles tivessem utilizado a rede Tor para conexões como essas.

Aconteceu no início de janeiro deste ano. Quando cheguei no escritório, ficou claro para mim que isso deveria ser abordado de um jeito totalmente diferente. Então, passei o dia inteiro lendo códigos de fonte do MyBB – o sistema de software usado pelo Childs Play. Foi quando me deparei com a função de upload que permite colocar a foto de perfil no fórum. Fiquei chocado quando percebi que a função não estava protegida pelo Tor.

Na verdade, usei os mesmos métodos para expor outros dois sites de pornografia infantil na deep web. Um deles era o Elysium, cujo rastro foi capturado pelo Departamento de Polícia Criminal Federal da Alemanha em junho. Descobri os endereços de IP deles mais ou menos na mesma época do Childs Play.

É difícil dizer. Quando descobri esse ponto fraco, eu não fazia a menor ideia de que a polícia estava por trás do site. Quando descobri, confesso que fiquei um pouco surpreso, mas não muito. Erros como esses acontecem o tempo todo.

Você descobriu esse ponto fraco em janeiro de 2017, quando a polícia australiana já rodava o servidor há três meses. Esse erro estava conectado aos administradores da polícia ou já existia anteriormente?

O fórum Childs Play acessa um arquivo de foto de um site externo – e, dessa forma, revela seu endereço de IP verdadeiro. Foto cortesia de Mathias Jørgensen/ VG.

Você se refere aos três métodos mais comuns de ocultar um endereço de IP para navegar na web anonimamente: a rede Tor, que direciona a comunicação através de diversos nós diferentes; uma rede virtual privada (VPN), que substitui o IP verdadeiro através de uma rede virtual, e um servidor Proxy, que serve como ponto adicional de intersecção entre dois servidores.

Isso mesmo. Pouco tempo depois, percebi que os endereços de IP pertenciam a um servidor hospedado em uma empresa de Sydney chamada Digital Pacific. Tentei três abordagens diferentes para descobrir se se tratava de um endereço de IP verdadeiro e não um nó de saída do Tor, um VPN ou um servidor proxy.

Isso. Eu tive que testar esses três métodos diferentes. Para o primeiro teste, aluguei meu próprio servidor por meio da Digital Pacific. Então, medi a duração da conexão entre o servidor da Childs Play e meu próprio servidor por meio da Digital Pacific. Quando se carrega um site pela rede Tor, leva pelo menos 250 milissegundos para que sua solicitação chegue ao servidor do site e mostre o conteúdo do site em seu navegador. Isso porque o tráfego por meio da rede Tor viaja por múltiplos nós a fim de esconder as localizações do emissor e do receptor. No momento em que realizei a medida para estabelecer uma conexão, esse tempo foi muito curto. Parecia que os servidores estavam um do lado do outro, permitindo que eu descartasse o primeiro método: o IP não era um nó do Tor.

E quanto ao segundo método?

Para isso, tive que testar se o IP pertencia a um VPN ou servidor proxy, ou se o servidor estava possivelmente sendo sublocado para outra pessoa. Então analisei os valores de “tempo de vida”, nos quais, em essência, mostra por quantas paradas intermediárias um pacote de dados atravessa. Nesse caso, minhas medidas revelaram que havia um máximo de duas paradas intermediárias e que era possível que meu servidor estivesse se comunicando diretamente com o servidor que suspeitei ser o utilizado pelo Childs Play.

Contudo, a última etapa foi a mais reveladora de todas: analisei o tamanho dos pacotes de dados. Quando conectamos com uma VPN, os tamanhos normais em uma rede de computador local excedem a unidade de transmissão máxima permitido por uma VPN. No servidor do Childs Play, pude ver como pacotes grandes estavam divididos em fragmentos menores – um indicador evidente de uma conexão de internet local – descartando uma VPN ou servidor proxy. Então eu soube que esse era o IP verdadeiro da plataforma.

"A pornografia infantil não é um problema específico da dark net. Mesmo na internet normal existe grande oferta desse tipo de conteúdo – muitas vezes, basta uma pesquisa no Google.”

Algumas pessoas assumem que a deep web é um lugar seguro para os consumidores de pornografia infantil. Você passa anos conduzindo pesquisas sobre isso tanto na dark net quanto na internet “normal”. Qual é a sua opinião sobre isso?