1.5 Uploads para sites de vazamento: enterrar arquivos significativos
O WikiLeaks utilizou uma variedade de sistemas para resguardar as identidades tanto dos visitantes quanto dos colaboradores. No entanto, havia um ponto que poderia diminuir a segurança do site: os uploads de arquivos. Se os bisbilhoteiros pudessem monitorar o tráfego no WikiLeaks, eles poderiam identificar atos de envio de material para o servidor seguro do WikiLeaks. Especialmente se eles construíssem palpites fundamentados sobre os tamanhos comprimidos de várias coleções de dados posteriormente liberados, eles poderiam retroativamente inferir sobre o que foi transmitido, quando foi transmitido e (em vista de falhas em outras áreas de segurança técnica e operacional) quem transmitiu. Diante deste tipo de desafio muito particular, o WikiLeaks desenvolveu um roteiro para produzir sinais falsos. Ao ser acessado pelos navegadores dos visitantes, o site gerava atividades que pareciam uploads para o servidor seguro.1 Dessa forma, um bisbilhoteiro veria uma enorme multidão de aparentes denunciadores (a grande maioria dos quais, na realidade, estavam apenas lendo ou vasculhando documentos já disponibilizados), e quem sabe alguns poderiam ser verdadeiros. O site não buscava fornecer dados particulares para interferir na mineração de dados ou na publicidade; simplesmente procurou imitar e ocultar os movimentos de alguns de seus usuários.
Mesmo os dados criptografados e comprimidos contêm metadados pertinentes, no entanto, e a proposta para o projeto OpenLeaks – uma variante sem sucesso no WikiLeaks, desenvolvida por alguns dos participantes descontentes no sistema original do WikiLeaks – incluiu um refinamento adicional.2 Após uma análise estatística das submissões do WikiLeaks, o OpenLeaks desenvolveu um modelo de uploads falsos que manteria as mesmas proporções de tamanhos de arquivos que normalmente aparecem no tráfego de upload de um site de vazamentos. A maioria dos arquivos variava em tamanho de 1,5 a 2 megabytes, apesar de alguns exemplares ultrapassarem os 700 megabytes. Se um adversário pode monitorar o tráfego de upload, a forma pode ser tão reveladora quanto o conteúdo, e tão útil na separação de sinais reais de falsos. Como este exemplo sugere, os mecanismos de ofuscação podem ganhar muito ao descobrir todos os parâmetros que podem ser manipulados – e ao descobrir o que o adversário está procurando, de modo a dar a ele uma versão fabricada.