POR: SPBS
Para os leigos a mudança mais notável da nova edição do reality show foi o capcha, já que antes não era necessário ficar clicando em barcos ou semáforos, porém o especialista em segurança da informação e hacker ético, Gabriel Pato, estudou de forma profunda o sistema de votação e compartilha suas impressões: “A sensação é de que eles (time da Globo) realmente assistiram meu último vídeo para implementar estratégias que impedissem cada pequeno passo mostrei no vídeo do ano passado”. Mantendo o intuito claro e objetivo de seu canal do Youtube de disseminar informação com um conteúdo popular como o BBB21, ele mostra com detalhes todas as mudanças e aprendizados realizados no último ano .
Primeiras mudanças:
Este ano, a equipe passou a usar o serviço de captchas de uma empresa especializada nessa atividade, que no caso é o hCaptcha. O investimento realizado pela Globo ocorre acompanhando a demanda que tem crescido muito no mercado, principalmente depois que a Google – detentora do sistema recaptcha – alterou o modelo comercial do sistema para sites de alto tráfego.
Para entender outras mudanças no sistema, Pato percebeu que ao tentar replicar comportamento de automação, como se fosse criar um bot para votação, o usuário acabaria tendo a conta banida. Ao analisar o motivo do banimento automático de automações, Pato identificou que a emissora criou ao menos quatro novas técnicas de detecção e três técnicas para dificultar a análise do sistema e a criação de bots.
Um longo caminho a ser percorrido e armadilhas:
Para quem acha que o processo é simples, se engana completamente. A dificuldade de análise acontece principalmente pela curta duração de cada paredão e devido à diversos mecanismos de prevenção e detecção de automação utilizados, como a ofuscação do código: “O que antes era resolvido com um comando control F para buscar um termo específico dentro do código, agora contou com um código ofuscado, significaria horas ou dias de análise para entender tudo o que tá rolando ali.”, conta o especialista. Apesar desse código ser ilegível para uma análise estática, durante a execução este precisa carregar os valores importantes da aplicação. Neste processo foi detectada uma armadilha: “Eu ri muito disso, achei mais uma sacada bem “dahora” dos caras.”, conta. A ação disparada ao clicar programaticamente em elementos falsos leva à uma “função armadilha” que trava o navegador. A intenção é clara, “enganar” quem possa desenvolver um bot.
Ao optar por usar algumas ferramentas para acompanhar linha por linha a execução do código e obter a visão dos valores carregados em variáveis de cada escopo, é possível encontrar um cenário de horas até chegar a quatro itens importantes, que são técnicas de detecção de bots:
Fixed Position Click: pelo nome já é possível ter a ideia que se trata de detectar clicks que estão ocorrendo na mesma posição sempre.
Native function changed: provavelmente a redefinição de funções nativas para poder mudar o comportamento da aplicação
Untrusted Click: Toda vez que você clica no navegador, é gerado um evento de mouse click ou de pointer click. O script que processa esse evento pode descobrir se esse click foi gerado por um código ou se foi realmente um click de mouse. Quando ele é de um mouse, ele é chamado de Trusted, ou seja, confiável, quando é a partir de código, ele é então Untrusted, não confiável. Ou seja, tudo leva a crer que eles monitoram se no processo do voto algum click foi realizado por um script, e não por um mouse de verdade. Plugins de navegador que têm funções de gravar e executar macros e automações geram clicks untrusted.
Webdriver: a detecção de que o navegador do usuário roda um webdriver, um componente que permite a automação da navegação por programas externos.
“Se o sistema de votação captar qualquer um dos quatro testes, essa informação é passada junto com nosso voto pro servidor, e aí rapidamente a conta é banida, pois terão certeza de que rolou automação no envio daquele voto. ”
De qualquer forma, foi possível burlar esses recursos e criar automações que, programaticamente, conseguiriam clicar sempre no local correto para fazer um voto, sem ser detectado pelas técnicas criadas pela Globo.
Hcaptcha: um desafio ainda maior
O hcaptcha pode até dar a falsa impressão de que só está em ação quando ele pede pra resolver aquele desafio de identificar as imagens, mas não. Ele é uma solução completa anti-bot e está constantemente analisando tanto o comportamento do usuário, quanto às características do seu navegador para ver se de fato você é um humano e não está usando nada de automação para votar. Essa análise gera um score de risco, da probabilidade que eles acreditam que seu voto possa ser fruto de uma automação. E aí, o dono da página pode configurar, em cima desse score, quando desejar que esse desafio seja usado.
O hacker ético confessa que essas detecções dele são muito, mas muito mais complexas. Inúmeras técnicas, com ofuscação muito mais avançada, e a análise comportamental. Afinal, esse é o principal negócio deles, uma empresa dedicada totalmente a fazer isso. Além disso, existem empresas dedicadas a ajudar quem está rodando bots a passar por esse s captchas e que fariam de tudo para ter a “fórmula perfeita” para passar pelo hCaptcha, mas apesar de todo o empenho e a motivação financeira, eles também não chegaram a esse patamar. Nesta etapa, Gabriel considerou outros cenários para entender esse processo.
Ao implementar um serviço de resolução de captcha para resolver o hCaptcha do paredão, ao mesmo tempo em que desativou as técnicas de detecção de bot da Globo por meio de análises que fez anteriormente, Gabriel conseguiu encontrar um cenário em que é possível gerar um número considerável de votos. Em um teste, conseguiu obter a marca de 51 votos por minuto, no entanto, pouco depois, o número de votos foi reduzido por um mecanismo defensivo da aplicação. Pato explica que seria preciso criar mais contas da Globo para distribuir os votos automáticos entre elas, e assim conseguir gerar mais votos sem ser punido pelo sistema. Essa abordagem, porém, é custosa. Por usar um serviço de resolução de captcha, a cada 1000 votos o gasto varia de 2 a 3 dólares.
Confira o vídeo dividido em partes 1 e 2: (15) Dá pra hackear a votação do BBB 21? Analisei a segurança do paredão! (Parte 1) – YouTube
Conclusão:
É possível fazer um bot de votações pro bbb e deixar votando por aí?
Sim, é possível. O trabalho da segurança nessa área é desenvolver formas de prevenir ou dificultar a automação e formas de detectar se alguém já o fez. Ainda assim, como não temos controle do que acontece no lado do usuário, não conseguimos afirmar se um voto veio ou não de um bot. Claro, que se o usuário caiu nas detecções e o código que está rodando no lado do usuário, no navegador, acabou entregando para o servidor que se trata de um comportamento atípico, ok, entendemos que é um bot e é possível bani-lo. Mas quando o voto vem de maneira aparentemente confiável, não dá pra afirmar se foi automação ou não. Aqui, ele compartilha como “já bateu nessa mesma tecla”, ao se referir sobre as incertezas do que ocorre no lado do usuário, mas em um contexto um pouco diferente, no vídeo sobre anti-cheats de jogos on-line.
No geral, as atualizações do sistema de votação não apenas contaram com as proteções do hCaptcha, como também desenvolveram mecanismos próprios que foram bastante criativos. Embora tenha sido possível identificar e burlar esses mecanismos próprios deles, foi possível observar o tempo de análise e um conhecimento na área, além do investimento utilizado. Isso certamente acaba eliminando as pessoas menos motivadas ou menos experientes – que representam uma gigantesca parte daqueles que vão tentar rodar bots ali. “Daria sim pro processo ficar mais chato e mais complicado pra quem quer criar bots, com mais estratégias e mais elementos que dificultem as análises, mas é inegável que o trabalho do time de desenvolvimento da Globo aqui foi excelente, muito melhor do que eu esperava. Tiro meu chapéu pros caras, respeito total, deixo aqui meus parabéns a eles.”, afirma Gabriel.
Mas e os vídeos que circularam nas redes sociais mostrando automação de votação?
O especialista responde: “Bem, esses vídeos mostrando telas com automações no navegador votando sozinho e falando que estão conseguindo milhões de votos por segundo, bom… agora você tem ferramentas para entender o esforço necessário e podem julgar se acreditam ou não nesses vídeos por aí. Lembrando que não é porque um bot funcionou por alguns segundos ou minutos que ele vai continuar funcionando no futuro. Mesmo com a tela de confirmação de voto aparecendo. A Globo tem condições de detectar esses bots e, caso não tenham burlado as diversas técnicas que eles criaram, então muitos votos que aparentam ter entrado podem ter sido invalidados e a conta é banida um pouco depois.”.
Sobre Gabriel Pato: Gabriel Lima, 30, mais conhecido por Gabriel Pato, é hacker-ético e começou a estudar segurança da informação ainda quando criança, aos 10 anos de idade, fascinado pelo assunto ao vê-lo em filmes norte-americanos. Durante sua adolescência, encontrou e reportou diversas vulnerabilidades para empresas mundo afora. Atualmente é casado com a streamer e youtuber Diana Zambrozuski e atua como hacker ético, tendo ajudado empresas como Microsoft, Facebook e Mastercard a corrigir problemas de segurança. Faz parte do seleto grupo de hackers da empresa norte-americana Synack e foi líder de testes de vulnerabilidades na também norte-americana Cobalt. Também se dedica a levar conhecimento para mais pessoas e usa seu canal no Youtube como principal ferramenta. Na plataforma, possui o maior canal do Brasil sobre segurança da informação e cultura hacker com cerca de 670 mil inscritos.