Uma redação de investigação andava a apurar a história de um processador de pagamentos de média dimensão envolvido em vários casos de fraude. Na mesma tarde, dois repórteres consultaram pela rede do escritório, por conveniência, o site da empresa, os perfis de LinkedIn da direção e as páginas «about» das subsidiárias. Três dias depois, a chefe de redação recebeu um telefonema da agência de comunicação do alvo a perguntar em que pé estava a reportagem. A investigação estava queimada antes de alguém ter escrito uma linha.
As fontes são abertas; visitá-las quase nunca o é. Os sites registam endereços IP, cookies de sessão, referrers, atributos de fingerprint e, muitas vezes, até o comportamento de scroll. O LinkedIn mostra ao dono do perfil quem passou por lá a espreitar. Há sites corporativos com Clearbit ou outras ferramentas de lead identification que cruzam o teu IP com o nome do teu empregador. Em OSINT, isto quer dizer que o trabalho a sério começa antes do clique.
O que os investigadores deixam escapar sem saber
O rasto mais evidente é o endereço IP. Investigar a partir de uma VPN da empresa ou de uma gama de IP de um ISP regional denuncia o teu empregador e a tua zona geográfica. Para alvos que estão atentos aos logs de visitantes (grandes empresas, atores já sob escrutínio, burlões com o seu próprio stack de logging), costuma ser o primeiro sinal de que há uma investigação em curso.
A seguir entram os cookies e as sessões abertas. Fazer OSINT num perfil pessoal do Chrome é trabalhar com a tua conta Google verdadeira ligada por trás. Uma pesquisa no Google sobre uma pessoa fica colada ao teu email, um clique no YouTube diz à plataforma que aquele tema te interessa, e da fonte aberta para a tua caixa de entrada pode bastar um único cruzamento de cookies.
O fingerprint fecha o quadro. O do teu browser é suficientemente estável para que um alvo com as suas próprias analytics te reconheça entre visitas e entre sites mesmo depois de apagares os cookies. Os bastidores técnicos estão em Browser Fingerprinting.
Construir contas sock puppet como deve ser
Uma conta sock puppet não é uma mentira. É uma conta de trabalho desligada de propósito da tua identidade, para que possas circular nas plataformas sem que nada volte ao teu nome verdadeiro. A chave é a coerência: nome, data de nascimento, domínio do email, número de telefone e dispositivo em uso têm de bater certo entre si. Plataformas como o Facebook e o LinkedIn apanham as contradições na assinatura de uma conta e travam as inscrições novas sem dó.
A segunda chave é a fase de aquecimento. Uma conta que logo no primeiro dia anda à procura de uma pessoa específica cheira a esturro. Uma conta com três semanas de atividade normal antes da pesquisa sensível dissolve-se no ruído de fundo. Reserva o tempo de aquecimento antes de precisares mesmo da conta.
E a terceira: cada sock puppet vive no seu próprio perfil de browser. As sessões não se podem sobrepor, senão cookies, referrers e fingerprints partilhados acabam por ligar todas as contas umas às outras.
Higiene do browser para sessões de OSINT
O browser do portátil de trabalho é o inimigo natural do OSINT limpo. Está agarrado ao teu empregador, tem lá os teus logins de produção e partilha fingerprint com todos os sites que visitas a título pessoal. A regra mais simples e mais eficaz: o OSINT não corre nunca no browser do dia a dia.
Um ambiente limpo tem quatro propriedades. Arranca sem cookies guardados. Não tem extensões instaladas, porque cada extensão acrescenta mais uma dimensão de fingerprint. Usa um endereço IP que não se possa associar ao teu empregador nem à tua casa. E desaparece no fim da sessão, para que um comprometimento posterior do dispositivo não exponha histórico nenhum.
Um browser remoto isolado cumpre as quatro condições em automático. Corre na cloud, não tem ligação às tuas contas, mostra um IP fora da tua rede e é descartado por inteiro depois da sessão. Para redações e equipas de investigação, é hoje a infraestrutura de base.
Separação de IP, DNS e timing
A higiene de IP é bem mais do que uma VPN. As gamas de IP das VPNs comerciais são bem conhecidas dos sites relevantes para uma investigação, que ou as bloqueiam ou as registam com prioridade. Os residential proxies, IPs de verdadeiras ligações domésticas, parecem menos suspeitos, mas são um campo minado legal e ético assim que a sua origem fica por esclarecer. O meio-termo pragmático são IPs de datacenters sérios, em países coerentes com a investigação.
A separação de DNS é subvalorizada. Se o teu dispositivo resolve DNS pelo resolver da empresa antes de o túnel VPN subir, ganhas uma fuga de DNS que mostra justamente os sites que pensavas visitar em anonimato. Um browser isolado na cloud resolve DNS fora da tua rede e arruma o problema à partida.
O timing também conta. Vários repórteres da mesma redação a consultar o mesmo domínio em menos de uma hora desenham um padrão que salta à vista em qualquer stack de analytics decente. Espaça as visitas, evita picos localizados.
Um fluxo de trabalho sustentável
«Vou só espreitar uma coisa rápida» é a razão mais comum para uma investigação acabar queimada. Um fluxo de trabalho sustentável é aquele em que abrir o ambiente de investigação é mais rápido do que abrir o browser do costume. Um marcador, um atalho no ambiente de trabalho ou uma entrada no launcher que arranque logo com uma sessão isolada é o que separa uma investigação limpa de uma queimada.
Documenta cada sessão, por mais curta que seja. As capturas de ecrã tiram-se de dentro da sessão e exportam-se a partir dela. A captura em si raramente leva metadados identificativos; o perfil de browser de onde saiu, esse sim, leva.
Pronto para teres um desktop completo em qualquer dispositivo?
Experimenta o Browser.lol grátis e sente a produtividade de um PC a partir do telemóvel.
Abrir o meu navegador desktopSem instalações • Funciona em qualquer dispositivo
