View
220
Download
0
Category
Preview:
Citation preview
Neste módulo você estudará sobre a estrutura de funcionamento da Internet e seus serviços, bem como, os métodos para investigar utilizando os endereços eletrônicos da Internet com o objetivo de buscar a localização e identificação de autoria.
Objetivos do móduloAo final deste módulo, você deverá ser capaz de:
• Compreender o funcionamento básico da Internet, seus provedores e seus ser-viços;
• Identificar os endereços eletrônicos da Internet;
• Conhecer os protocolos de endereçamento da Internet;
• Conhecer os métodos de identificação da origem e rastreamento da localização de um interlocutor na Internet.
Estrutura do móduloEste módulo possui as seguintes aulas:
Aula 1 – A Internet e os protocolos TCP/IP
Aula 2 – Serviço de web sites na Internet
Aula 3 – Serviço de mensagens eletrônicas na Internet
Módulo 3
INTERNET E SERVIÇOS DE REDE DE COMUNICAÇÃO
1.1 Provedores de Internet e tipos de acesso
Na Internet existem dois tipos de provedores:
O PROVEDOR DE ACESSO, (ISP – Internet Service Provider ou PSIProvedor de Serviço de Internet), que provê as
condições físicas e os equipamentos para que seu computador seja ligado à Internet.
Empresas de Telecomunicações, tais como OI, GVT, EMBRATEL, VIVO, CLARO, TIM, etc.
O PROVEDOR DE SERVIÇOSque disponibiliza os serviços de Internet para
uso público, gratuitamente ou não.
MICROSOFT / Hotmail, MSN – GOOGLE / Gmail, Orkut, Youtube, Picasa, GoogleEarth, GoogleMaps – YAHOO! / Yahoo, YahooMessen-ger – UOL / Portal, Chat, Mail IBEST / IbestMail, IG / IGMail, TERRA / Portal/Mail, LOCAWEB / Hospedagem, FACEBOOK / RedeSocial, etc.
Os provedores de acesso disponibilizam varia-das tecnologias para acesso à Internet, tais como linha te-lefônica, cabo coaxial (TV a cabo), via celular (2G/3G/4G), links dedicados de radiofrequência, rede elétrica, etc. O usuário apenas escolhe de qual empresa será cliente e so-licita a instalação da Internet, mediante assinatura de um contrato, onde é previsto o tipo de tecnologia que será uti-lizado para acesso físico.
Quando o usuário liga o seu equipamento em casa, ele utiliza uma dessas tecnologias para acesso físico
AULA 1
A Internet e os protocolos TCP/IP
aos dispositivos de rede da operadora (ISP) que por sua vez dão acesso à Internet.
1.2 Os endereços eletrônicos
Os endereços eletrônicos são sempre as primei-ras fontes de investigação. Por isso, é importante entender como eles funcionam.
Basicamente, há três tipos de endereços Internet:
ENDEREÇO URL (UNIVERSAL RESEARCH LOCATOR):é o endereço digitado no navegador.
www.pcdf.df.gov.br, ead.senasp.gov.br, www.uol.com.br);
ENDEREÇO DE CORREIO ELETRÔNICO (E-MAIL):identificado por uma conta de correio eletrôni-
co cujo endereço sempre tem o símbolo “@” separando o nome da caixa de correio e o pro-vedor do serviço.
meu nome@provedor.df.gov.br);
ENDEREÇO IP (INTERNET PROTOCOL):que identifica cada conexão à Internet.
200.153.1.67Os endereços URL que você digita no seu nave-
gador não são entendidos pelas máquinas diretamente. Eles são utilizados por serem mais fáceis de memorizar. Por isso, um serviço chamado DNS (Domain Name System – Sistema de Nome de Domínio) é responsável por tradu-zir os endereços URL em endereços IP numéricos, que são mais facilmente manipulados pelos computadores e equi-pamentos de rede. O endereço IP numérico propicia a en-trega dos pacotes de informação ao destino correto.
Os endereços IP numéricos da forma decimal são convertidos em endereços IP binários representados por si-nais elétricos (onde “0” é falta de sinal e “1” é sinal presente). Algo que forma ondas elétricas representadas graficamente por linhas “com sinal” e “sem sinal”, que, sincronizadas, são entendidas pelos computadores e equipamentos de rede. Algo muito veloz e transparente para o usuário.
A figura a seguir, demonstra a representação grá-fica do endereço IP. Verifique!
Os endereços URL, de correio ele-trônico e os endereços IP são imprescindíveis para investigações, pois estão envolvidos nos principais serviços de Internet. Mais adiante no curso, você, aluno, conhecerá os procedi-mentos de utilização desses endereços para determinar a localização da origem de uma mensagem na Internet.
Praticando...Supondo que você é usuário do sistema opera-
cional Windows, descubra o endereço IP que o seu prove-dor de Internet alocou para você navegar neste exato mo-mento. Siga o procedimento a seguir:
1. Abra uma tela de prompt (na área de trabalho, clique no botão “iniciar”, escolha a opção “exe-cutar” e escreva “cmd” + <ENTER>).
2. Na tela negra digite o comando “ipcon-fig /all”. Talvez você esteja numa intranet (então o seu endereço IP deverá iniciar com 10.x.x.x, 172.16.x.x ou 192.168.x.x). Se for esse o caso e você quiser descobrir qual o seu IP válido, ou seja, com qual IP você é reconheci-do na Internet, então acesse o site www.cmyip.com e você verá o seu endereço IP válido na tela do site.
Mais adiante será explicada a diferença entre um endereço IP válido e um endereço IP de intranet. Por hora, o importante é saber que os endereços IP são a principal e mais confiável informação que uma equipe de investiga-ção pode utilizar para rastrear a origem de uma mensagem ou comunicação na Internet.
Não há meios para alterar o ende-reço IP de uma conexão, mas é possível forjar ou disfarçar um endereço IP de origem. No entanto, seria preciso dominar técnicas mais avançadas de redes de comunicação ou utili-zar ferramentas como proxies ou botnets.
NOTA
No último módulo esses conceitos serão trata-dos, embora a abordagem seja feita de forma superficial, já que para entrar em detalhes seria necessário um módulo avançado. Contudo, ressalta-se que são recursos utilizados extraordinariamente por criminosos, fugindo ao objetivo do curso, que é tratar os principais crimes que aparecem no dia-a-dia.
1.3 Eventos e registros de eventos (LOGs)
No caso de serviço de acesso à Internet com en-dereço IP dinâmico, A diferença entre IP estático e IP dinâ-mico será esclarecida mais adiante. antes de iniciar a sua navegação, a operadora designa ao cliente um endereço IP que serve para habilitar a sua navegação na Internet, além de localizá-lo e identificá-lo. Então, o endereço IP distribu-ído pela operadora, especificamente naquele intervalo de data e horário fica alocado para aquele cliente.
O ato de alocar um endereço IP para um clien-te durante um determinado intervalo de tempo gera um “evento”. Consequentemente, o ato de armazenar a iden-tificação, data, horário e respectivo endereço IP alocado ao cliente gera o que é tecnicamente denominado “registro de evento” ou LOG.
É importante que os membros da equipe de investigação saibam que a maioria dos provedores de acesso à Internet registra e armazena os LOGs de todos os seus clientes, embora não exista padronização de tempo de armazenamento desses LOGs. Assim, esta informação pode ser solicitada para compor provas na investigação.
1.4 A falta de padronização, normas e legislação
Como você estudou no módulo 2, não há legisla-ção que obrigue o armazenamento dos registros de even-tos, tampouco que estabeleça o tempo que a informação tem que ficar armazenada. Por isso, cada provedor de aces-so faz o procedimento de acordo com o seu entendimento, já que não há nenhuma norma ou padrão.
Assim que a autoridade policial identificar um endereço IP utilizado pelo suspeito de um crime e a respec-tiva data e horário de uso, é seu dever solicitar ao provedor responsável o fornecimento ou ao menos a preservação das informações cadastrais e registros de eventos do clien-te responsável pela linha de acesso, já que essa informação pode ser extremamente volátil, devido à falta de legislação ou padronização.
A falta de uma legislação faz com que cada provedor tenha uma postura dife-rente de colaboração com a investigação e com a autoridade policial, bem como sobre o tempo em que os LOGs devem permanecer
registrados. Algo totalmente sem padroniza-ção e excessivamente dependente do enten-dimento de cada provedor.
Também por falta de legislação, poucos pro-vedores fornecem os LOGs por solicitação da autoridade policial (Ofício assinado pelo Delegado), autoridade do Ministério Público (Oficio assinado pelo promotor de justi-ça) ou somente por determinação da autoridade judiciária (mandado judicial). A grande maioria, condiciona o forne-cimento dos LOGs à ordem judicial.
É importante que na solicitação da autoridade policial conste claro o pedido de preservação para os casos em que o prove-dor somente forneça a informação mediante apresentação de mandado judicial, já que a expedição de um mandado judicial pode de-morar algum tempo devido às burocracias inerentes ao processo.
1.5 O endereço IP como identificador da conexão Internet
É muito importante entender que os endere-ços IP não identificam um computador. Normalmente, o computador pode ser desligado e transportado para outro endereço, outra cidade, outro país e se for conectado nova-mente à Internet, certamente o endereço IP a ele atribuído será outro.
Para deixar claro que o endereço IP não é do ter-minal de computador, pense em um computador que tem mais de uma placa de rede ligando-o a mais de uma rede ou provedor de Internet e cada uma das conexões que ele efetua terá um endereço IP. Se o endereço IP pertencesse ao computador, então, neste caso, haveria dois endereços IP para o mesmo terminal.
Conclui-se que o endereço IP iden-tifica a conexão virtual que se abre para que o usuário possa acessar a Internet.
O Endereço IP1 identifica a conexão do Prove-dor 1 e O Endereço IP2 identifica a conexão do Provedor 2.
Observe os dois endereços IP no mesmo com-putador identificando conexões de provedores diferentes instaladas fisicamente no mesmo endereço geográfico.
Isto acontece por quê?A conexão virtual funciona sobre uma estrutura
física de aceso à Internet instalada pelo provedor de acesso (operadora de telefonia/TV/celular/rádio). A estrutura físi-ca não se altera, exceto por solicitação do usuário (nesse
caso, seria necessária uma reinstalação do circuito físico pela operadora).
Quando o provedor atribui um endereço IP ao cliente, ele registra em um banco de dados interno qual foi o endereço IP alocado para aquele cliente, data e horário e a identificação do cliente que está recebendo aquele ende-reço IP. Este processo é automático, rápido e o usuário leito sequer percebe.
Quando o cliente encerra a conexão, o provedor volta a registrar a data e horário do final da conexão vincu-
lado ao endereço IP, que é automaticamente desalocado e liberado para uso de outro cliente.
O registro dos eventos de cada cliente é o que faz o provedor ser capaz de identificar o responsável e dar a localização de qualquer endereço IP em qualquer data e horário.
1.6 Os endereços IP reservados para Intranet
Como os endereços IP aparecem frequente-mente numa investigação envolvendo comunicações pela Internet, é interessante saber analisar principalmente os cabeçalhos de mensagens envolvidas em crimes, ou seja, é preciso identificar, entre vários outros endereços IP que aparecem em um cabeçalho, qual é relevante para identifi-car a origem da comunicação.
Então, ao analisar o cabeçalho com vários ende-reços IP, é necessário excluir os que são irrelevantes, como por exemplo, alguns endereços IP de rede privada que apa-recem nos cabeçalhos de mensagens. Costumam aparecer endereços IP reservados para tráfego de redes intranet (já citados - iniciam com 10.x.x.x, 172.16.x.x ou 192.168.x.x). Se qualquer desses endereços IP aparecer no cabeçalho de uma mensagem de e-mail no momento em que estiver procurando pela origem da conexão, ele deve ser descon-siderado, exceto nos casos em que é necessário identificar um computador dentro de uma rede privada, utilizando os LOGs internos.
1.7 Os endereços IP estáticos e dinâmicos
Você já estudou que quando um terminal de computador ou equipamento de rede é ligado, ele ganha um endereço IP dado pelo provedor de acesso. Então con-clui-se que os endereços IP mudam com frequência. Isso é o que se denomina endereço IP dinâmico.
Contudo, os provedores de acesso podem dispo-nibilizar o serviço de acesso à Internet com um endereço IP fixo ou estático. Nesse caso, a conexão vai sempre ter o
mesmo endereço IP e o provedor de acesso vai cobrar uma taxa extra para deixar aquele endereço IP à disposição do assinante.
Isso é raro de acontecer para usuários residen-ciais, pois o principal objetivo de ter um endereço IP está-tico é colocar serviços Internet no ar, como hospedar uma página web, disponibilizar um servidor/provedor de con-tas de e-mail, serviços de DNS, transferências de arquivos, entre outros.
Para identificar se um endereço IP investigado é estático ou dinâmico, além de solicitar essa informação ao provedor responsável pelo endereço IP, pode-se procurar por serviços de Internet ativos naquele endereço IP. Para isso, pode-se utilizar um programa de varredura (port--scan) ou simular acesso aos principais serviços de internet para ver há alguma resposta.
As respostas a essas simulações podem trazer o nome da empresa ou algo que identifique o local onde está a conexão vinculada àquele endereço IP. Talvez isso possa agilizar o processo de investigação, evitando que seja ne-cessário contatar a operadora de telefonia para descobrir o local físico de instalação da conexão Internet investigada.
1.8 Como identificar o local da conexão do endereço IP investigado
A primeira providência após identificar o en-dereço IP que originou a comunicação objeto do crime é identificar o local ou região de onde partiu a comunicação.
Oficialmente, o melhor a fazer é entrar em con-tato com o provedor responsável e solicitar a ele as infor-mações. Não esquecendo que os endereços IP dinâmicos devem estar sempre vinculados a uma data, horário e ti-mezone (fuso-horário), já que a Internet é mundial.
Algumas vezes, principalmente quando o prove-dor da mensagem envolvida no crime está fora do Brasil, a equipe de investigação vai se deparar com horários re-ferenciados em timezones diferentes dos brasileiros (o ti-mezone de Brasília é GMT -0300, podendo ser modificado para GMT -0200, durante a vigência de horário brasileiro
de verão), sendo aconselhável à equipe de investigação efetuar a conversão para o horário brasileiro.
1.8.1 Conversão de timezones
Como foi citado anteriormente, há muitos pro-vedores gratuitos utilizados por usuários brasileiros, sendo a maioria deles sediados na Califórnia, nos Estados Unidos da América, onde o timezone geralmente é GMT (fazer hint para: Greenwich Mean Time) -0800 (ou PST – Pacific Standard Time) e GMT (Fazer hint para: Greenwich Mean Time) -0700 (ou PDT – Pacific Daylight Time) no horário de verão. (figura 7).
Então, há uma diferença para o horário brasileiro de 4 a 6 horas em relação ao horário estadunidense, depen-dendo se é horário de verão aqui no Brasil e lá na Califórnia.
Quando a equipe de investigação recebe in-formações de provedores de serviço estrangeiros (prin-
cipalmente e-mail, tais como GOOGLE, MICROSOFT e YAHOO!), os endereços IP que acessaram a conta de e-mail investigada virão vinculados a horários com referência ti-mezone do local da sede do provedor. Esses endereços certamente deverão ser consultados nos provedores de acesso à Internet para identificar a empresa/operadora responsável pela linha Internet que deu origem ao crime. Então, é prudente que as consultas sejam feitas em horário local (brasileiro GMT -0300 ou GMT -0200).
Ao fazer a conversão, é preciso que a equipe de investigação se cerque de cuida-dos para não errar nesse procedimento, pois como os endereços IP geralmente são dinâ-micos, um erro de 1 hora pode acabar geran-do a identificação de uma conexão incorreta, fazendo a equipe de investigação incorrer em grave erro ao identificar o responsável.
1.8.2 Método para conversão de timezones
Como a conversão de horários (timezones) é algo muito comum na rotina de investigação de crimes cibernéticos, como sugestão de método para a conversão, será apresentada a seguir uma tabela que visa facilitar a conversão dos horários na hora de fazer a análise de re-latório de registro de eventos fornecidos por provedores estrangeiros.
Tabela de conversão de horas
Esta tabela considera os parâmetros de timezo-ne denominados PDT e PST que são os mais comuns nos relatórios fornecidos pelos provedores estadunidenses. A maioria desses provedores encontra-se na costa oeste norte-americana, onde esses timezones são usados (no horário de verão - summer time - ou no horário normal). As horas são alinhadas de forma que é possível converter rapidamente os fusos norte-americanos (PDT e PST) em fusos brasileiros (GMT -0300 e GMT -0200).
A equipe de investigação jamais poderá fazer a conversão de forma incorreta ou esquecer-se de fazê-la. Erros nesse pro-cedimento são inadmissíveis, sob pena de identificar alvos errados e prejudicar todo o trabalho de investigação.
Suponha que a equipe de investigação recebeu da Microsoft (Empresa sediada na Califórnia, US) um relatório contendo registros de eventos com ocorrências de uso de uma conta de e-mail daquele provedor, onde o investigado utilizou um determinado endereço IP nos seguintes ho-rários:
• O endereço IP 200.168.1.10 foi utilizado no dia 10/01/2013, às 11:56 pm PST.
• O endereço IP 187.2.45.89 foi utilizado no dia 24/02/2013, às 11:40 am PDT.
Ao preparar o ofício para a operadora de Tele-com (brasileira) que administra os endereços IP indicados, os horários devem ser convertidos de PST e PDT para os timezones brasileiros GMT -0200 e GMT -0300.
No primeiro caso, utilizando a tabela sugerida, na coluna PST, encontra-se as horas equivalen-tes a 11 pm na penúltima linha. Como no dia 10/01/2013 estava vigente o horário de verão no Brasil, então, o horário correspondente a 11pm (ou 23 horas) seria 05:00 horas (do dia se-guinte). Então, no dia 10/01/2013, às 11:56 pm PST, equivale à dia 11/01/2013, às 05:56, GMT -0200.
No segundo caso, utilizando novamente a tabela sugerida, na coluna PDT, encontra-se as horas equi-valentes a 11 am. Como no dia 24/02/2013 não estava vigente o horário de verão no Brasil, então, o horário correspondente a 11am seria 15:00 horas. Então, no dia 24/02/2013, às 11:40 am PDT, equi-vale ao mesmo dia, às 15:40, GMT -0300.
1.9 Como identificar o provedor de acesso de um endereço IP investigado?
A organização e distribuição dos endereços IP é mantida por entidades hierarquicamente e regionalmente
distribuídas. No Brasil, inicialmente, a Fundação de Ampa-ro à Pesquisa do Estado de São Paulo (FAPESP) – pioneira no uso da Internet no Brasil, herdou a atribuição de manter a organização da distribuição dos endereços IP e dos no-mes de domínio de sites na Internet. Contudo, atualmente, o NIC.br (entidade ligada ao Comitê Gestor da Internet – CGI) é o órgão responsável.
A consulta a esse banco de dados é pública e aberta, podendo ser realizada nos sites http://registro.br e http://www.whois.sc.
Praticando...Experimente consultar um endereço IP qualquer
(válido) ou um endereço de um site que você conhece.
1.10 Como obter uma localização aproximada do endereço IP
Se a equipe de investigação não consegue infor-mações sobre o usuário de um endereço IP diretamente com o provedor de acesso ou se esse processo atrasa a in-vestigação, é possível identificar com um nível de certeza razoável ao menos a região onde o endereço IP provavel-mente estaria servindo.
Há vários sites na Internet que oferecem serviço de geolocalização aproximada de endereços IP. É impor-tantíssimo ressaltar que esses sites são extra-oficiais e não têm qualquer responsabilidade ou garantia. Contudo, as respostas dadas oferecem nível de confiabilidade razoável. Um dos mais reconhecidos no meio de investigação de cri-mes cibernéticos é o site www.en.utrace.de . Acesse, digite o endereço IP investigado e na maioria das vezes terá uma boa ideia da região de onde o alvo acessou a Internet para manter a comunicação envolvida no crime.
Identificando a localização geográfica do ende-reço IP 200.102.56.78.
Acesse o site http://en.utrace.de , digite o ende-reço IP indicado e clique no botão “Search”.
O IP investigado, conforme indicado na figura a seguir, serve à região de Florianópolis/SC.
Localização geográfica do endereço do IP
A equipe de investigação pode utilizar este pro-cedimento para descobrir a localização geográfica aproxi-mada de qualquer endereço IP. Execute o procedimento para outros endereços IP.
A região onde se encontra o crimi-noso é útil para definir o a circunscrição res-ponsável pela apuração da autoria do crime. Diversas vezes o criminoso está em outro Estado e será necessário manter contato ou enviar dados à Polícia Civil da outra Unidade da Federação. Também é útil para confirmar suspeitas de que o criminoso esteja numa re-gião específica (fronteira, nordeste, sudeste ou fora do Brasil).
Agora que você já entendeu sobre o funciona-mento da Internet e da pilha de protocolos TCP/IP, prin-cipalmente, sobre a formação dos endereços IP, sua classi-ficação, como identificá-los, como localizar e onde buscar informações sobre ele, você está apto a dar prosseguimen-to ao estudo dos principais serviços de Internet, os quais constantemente são envolvidos em crimes. Na próxima aula, você estudará sobre o funcionamento dos serviços de sites e mensagens eletrônicas.
2.1 Sites e registro de domínios
Uma causa frequente de registros de ocorrências policiais é o crime de estelionato geralmente ocorrido via comércio eletrônico, onde o vendedor anuncia um produ-to inexistente, recebe o pagamento e não envia o produto ao comprador. Isso ocorre tanto em sites de comércio ele-trônico e leilões, como em sites falsos que simulam lojas na Internet, muitas vezes utilizando nomes de lojas já exis-tentes.
O interessante para a equipe de investigação nesses casos é saber que os provedores de serviços de co-mércio eletrônico provavelmente podem e têm interesse em colaborar com a autoridade policial para diminuir as ocorrências de estelionato no seu site, tornando-o mais confiável para os clientes.
Nos casos de sites falsos, ressalta-se que antes de colocar um site falso no ar, o criminoso, tal como qual-quer usuário da Internet, tem que cumprir um ritual neces-sário e obrigatório para todos os usuários que iniciam esta atividade na Internet. O primeiro passo é sempre escolher um domínio válido e desocupado.
Um domínio, na Internet, é o nome a ser digitado na barra de endereços do navegador para acessar o site. O conceito de domínio muitas vezes se confunde com o conceito de endereço URL, diferenciando apenas pelas iniciais http://www, que, quando existentes, antecedem
o nome de domínio, mas tecnicamente não fazem parte do conceito.
Em geral, o comerciante que investe em um site na Internet para efetuar suas vendas, escolhe um nome de domínio parecido com o de sua loja, quando ele está disponível e desocupado. O criminoso certamente seguirá esta mesma regra para que seu site não se diferencie dos demais sites. É comum utilizar o nome de lojas já existen-tes e se fazer passar por elas.
2.2 Registro de domínios no Brasil
A verificação de disponibilidade do nome de do-mínio escolhido, no caso de domínio brasileiro (endereços terminados em “.br”) deve ser feita diretamente no site http://registro.br .
Seguindo as regras de validação do domínio, o criminoso poderá registrar e cadastrar o seu domínio, me-diante apresentação das suas informações pessoais e pa-gamento de uma taxa anual.
A consulta às informações cadastrais que, foram apresentadas no ato do registro do domínio, são públicas e livremente consultadas no site http://registro.br. O paga-mento da taxa anual é feito via boleto bancário e as infor-mações do pagador podem ser obtidas com a FAPESP ou Comitê Gestor da Internet no Brasil.
AULA 2
Serviço de web sites na Internet
2.3 Registro de domínios fora do Brasil
No caso de domínios fora do Brasil, cada nação tem seu procedimento específico, sendo nos Estados Uni-dos (domínios terminados em “.com” ou “.org” – são os que aparecem com maior frequência na rotina de inves-tigação) o processo de cadastramento de domínio é mais liberal. Por isso, quase nunca a equipe de investigação po-derá contar com informações de registro. A documentação exigida é mínima e os pagamentos podem ser realizados via cartão de crédito internacional. Há várias empresas que oferecem o serviço para fazer o registro do domínio de terceiros (exemplo: http://www.godaddy.com/dominios) e elas deixam claro em seus sites que mantêm em sigilo absoluto as informações do verdadeiro dono do domínio.
2.4 Hospedagem de sites
Outra fonte de informação, talvez até mais im-portante que os dados cadastrais de quem registrou o do-mínio, é a localização de onde está hospedada a página. Muitas vezes essa informação pode ser coincidente, mas a possibilidade deve ser verificada pela equipe de investi-gação.
No próprio site de consulta pública (www.whois.sc) é possível encontrar informações sobre onde o site está hospedado. No entanto, o procedimento mais indicado, que pode ser efetuado paralelamente para con-firmar a informação, é abrir uma tela de prompt (no Win-dows, basta clicar no botão “Iniciar” – na barra inferior da área de trabalho – escolher a opção executar e digitar o comando “cmd” - mnemônico de “command”).
Praticando...Na tela negra do prompt, digite o comando
“ping” seguido do endereço completo do site investigado.
Suponha que você quer descobrir o endereço IP de um site (neste exemplo www.uol.com.br).
No prompt, digite: pingwww.uol.com.br, tal como a seguir:
Descobrindo o endereço do IP
A resposta traz o endereço IP 200.147.67.142, que corresponde ao endereço IP do servidor WEB (servi-dor de páginas web) que está hospedando o site www.uol.com.br. A equipe de investigação poderá agora iden-tificar no http://whois.sc o nome da empresa proprietária do endereço IP indicado. Essa empresa certamente pode-rá fornecer informações sobre o verdadeiro dono do site criminoso. Faça o procedimento para outros sites além do www.uol.com.br.
2.5 Buscando a origem de uma hospedagem de site
Então, na investigação da origem de um site en-volvido em crimes, buscando o verdadeiro responsável por um site criminoso, é preciso observar, além dos regis-tros de domínio junto ao site registro br e www.whois.sc, as informações sobre o local de hospedagem da página web, registros sobre a atualização do conteúdo do site e pagamento do serviço de hospedagem.
O provedor de hospedagem certamente terá muito a contribuir na identificação do responsável pelo site, pois poderá fornecer os endereços IP utilizados para acesso e atualização de conteúdo, além de dados cadas-trais do responsável pelo pagamento do serviço. Informa-ções importantes e muitas vezes imprescindíveis à identifi-cação do autor do crime.
É importante ressaltar que muitas empresas hospedam seu site nas próprias dependências, sem necessidade de contra-ção de provedor específico. Nesses casos a equipe de investigação pode chegar a um endereço IP que está sob responsabilidade do próprio investigado ou de uma a empresa ligada a ele. Tal fato deve ser verificado an-tecipadamente, sob risco de estar solicitando informações sobre a investigação ao próprio autor.
A equipe de investigação deve estar ciente de que as informações de registro de domínio e as informa-ções de hospedagem, apesar de terem que ser verificadas, podem não levar a informações diretas e exatas sobre o autor do crime, mas certamente contribuirá para a inves-tigação. Um estelionatário, por exemplo, quase sempre vai
registrar com informações cadastrais falsas ou em nome de terceiros. Embora as técnicas de investigação de crimes cibernéticos possam contribuir muito, chegar ao verdadei-ro criminoso, nesses casos, depende muito de trabalho de investigação tradicional.
Há casos em que uma página criminosa é criada em um site padrão, tal como ocorre nas redes sociais de re-lacionamento (ORKUT, FACEBOOK, LINKEDIN, MYFACE, FLOGÃO, BLOGSPOT, etc). Quando isso acontece, o ende-reço buscado é chamado de subdomínio, ou seja, um do-mínio dentro de outro. Nesse caso, o responsável por dar informações à autoridade policial é o provedor do serviço do domínio principal.
Ressalta-se que, a maioria dos provedores de serviços estrangeiros sempre oferecem dificuldades para fornecer essas informações, alegando principalmente o fato de não estarem sujeitos à lei brasileira.
3.1 Serviço de e-mail
Embora atualmente a utilização das redes so-ciais de relacionamento tenha substituído parcialmente a necessidade dessa forma de comunicação, o serviço de mensagens eletrônicas (e-mail) ainda são muito utilizados. Na rotina de investigação de crimes cibernéticos observa--se sua utilização em vários tipos de crime, principalmen-te crimes contra a honra. Mas há possibilidade de uso de mensagens de e-mail para comunicação em qualquer tipo de crime.
Geralmente, os endereços de e-mail envolvidos em crimes são falsos, ou seja, são contas criadas especifica-mente para a comunicação no ato criminoso. Também há possibilidade de o atacante utilizar aplicativos específicos para que o endereço eletrônico do destinatário seja mani-pulado, podendo aparecer qualquer informação naquele campo (exemplo: http://deadfake.com/Send.aspx). Por isso, o nome da conta ou as informações cadastrais forne-cidas pelo provedor de serviços geralmente não são rele-vante, embora a verificação seja praticamente obrigatória para a equipe de investigação.
3.2 Como identificar a origem de uma mensagem de e-mail
Assim, a informação mais importante é, de fato, o en-dereço IP de origem. Ele pode ser identificado de duas maneiras:
1. Expansão do cabeçalho da(s) mensagem(ns) envolvida(s) no crime;
2. Solicitação ao provedor de origem do serviço de e-mail envolvido no crime para que forneça os dados cadastrais do responsável pela conta de e-mail investigada, bem como os registros de eventos (IP/LOGs) no período previsto.
O cabeçalho de uma mensagem de e-mail, nor-malmente só mostra as contas de e-mail do remetente e do(s) destinatário(s), data, horário e assunto. Essa é a for-ma padrão que os leitores de e-mail e webmail são con-figurados. Contudo, todos os provedores de webmail e aplicativos de leitura de mensagens eletrônicas oferecem a possibilidade de expansão do cabeçalho normal.
AULA 3
Serviço de mensagens eletrônicas na Internet
3.3 Expansão do cabeçalho em um aplicativo de leitura de e-mail
O procedimento de expansão do cabeçalho va-ria muito, dependendo do aplicativo utilizado ou do servi-ço de webmail envolvido. Ressalta-se que, embora os pro-cedimentos sejam diferentes, eles seguem certo padrão.
Para saber mais sobre como expandir cabeça-lhos em outros aplicativos de leitura de e-mail acesse:
http://office.microsoft.com/pt-br/outlook-help/exibir--cabecalhos-de-mensagens-de-email-HA001230300.aspx
http://www.intesys.com.br/2011/06/visualizar-cabeca-lhos-completos-das-mensagens-em-diferentes-clientes--de-e-mail/
Quando é feita a expansão, várias informações técnicas aparecem, entre elas o endereço IP. É preciso que a equipe de in-vestigação saiba retirar a informação rele-vante em meio a várias outras, por exemplo, identificar o endereço IP válido de onde saiu a mensagem. Neste ponto, você já deve ser capaz de identificar os endereços IP válidos e relevantes para a investigação. Caso ainda não consiga, procure o seu tutor e solicite ajuda.
Quando é feita a expansão, várias informações técnicas aparecem, entre elas o endereço IP. É preciso que a equipe de investigação saiba retirar a informação rele-vante em meio a várias outras, por exemplo, identificar o endereço IP válido de onde saiu a mensagem. Neste ponto, você já deve ser capaz de identificar os endereços IP váli-dos e relevantes para a investigação. Caso ainda não consi-ga, procure o seu tutor e solicite ajuda.
O procedimento para expandir o cabeçalho de qualquer aplicativo de leitura de mensagens de e-mail ou webmail é algo que, embora diferente, segue um padrão que não é difícil de identificar. Geralmente um clique so-
bre a mensagem envolvida na investigação, um acesso ao menu principal e alguns cliques a mais nas opções corre-tas o levarão facilmente a expandir qualquer cabeçalho de qualquer aplicativo de e-mail.
Não há possibilidade de listar aqui todos os pro-cedimentos para expansão de cabeçalhos de todos os apli-cativos existentes, mas nos anexos você poderá encontrar exemplos de como expandir os cabeçalhos nos principais aplicativos de leitura de mensagens eletrônicas e webmail.
3.3.1 Automatização da análise de cabeçalho expandido
Para facilitar a identificação exata do endereço IP da conexão Internet de onde se originou a mensagem in-vestigada, há ferramentas, tal com o aplicativo web deno-minado “TRACE MAIL”, disponível publicamente. Se você tiver interesse, poderá acessar um desses aplicativos que automatizam a análise do cabeçalho e apontam o ende-reço IP de origem da mensagem, clique aqui. http://www.traceanemail.com.
Para utilizar basta copiar o cabeçalho completo (expandido) e colar no campo de edição.
http://mediugorie.wordpress.com/2006/12/ 05/exibindo-o-cabecalho-completo-nas-mensagens-de--e-mail-recebidas/e veja o procedimento para expansão de cabeçalho dos principais serviços de WEBMAIL.
3.4 Solicitando informações ao provedor de e-mail
Outra maneira de obter mais informações é so-licitar ao provedor do serviço de e-mail que forneça os da-dos cadastrais e os registros de eventos (LOGs) da conta de e-mail investigada.
Obtendo as informações de endereço(s) IP e res-pectivas datas/horários/timezones, basta descobrir qual o provedor de acesso responsável (consultando nos sites
http://registro.br e www.whois.sc) e novamente solici-tar informações sobre os assinantes responsáveis pelo(s) endereço(s) IP nas respectivas datas e horários.
Para resumir o procedimento que deve ser to-mado em casos de sites ou contas de e-mail envolvidas no crime investigado, veja a seguir o fluxograma ilustrativo
Ao receber a comunicação do crime envolvendo sites ou e-mail, a primeira providência é procurar infor-mações sobre os provedores de serviço em fontes abertas (http://registro.br ou www.whois.sc). Identificado o pro-vedor de serviços, deve-se buscar as informações junto a ele (talvez necessite de ordem judicial ou carta rogatória/MLAT, dependendo do provedor).
O provedor de serviço deve retornar os dados ca-dastrais do usuário do serviço (talvez sejam falsos), as fontes pagadoras do serviço (se o serviço for pago) e os endereços IP utilizados pelo usuário do serviço para acessá-lo.
Os endereços IP devem levar a um provedor, para o qual a equipe de investigação deve solicitar infor-mações sobre a conexão Internet que originou e o assi-nante responsável pela conexão física ou linha telefônica vinculada, bem como o endereço de instalação.
Fluxograma do processo de investigação de sites e mensagens de e-mail. FONTE: CRIMES CIBERNÉTICOS – Manual prático de investigação - Mi-nistério Público Federal de São Paulo
3.5 Outros serviços de comunicação na Internet
Atualmente, a grande popularização das comu-nicações via Internet fez com que surgissem vários aplica-tivos específicos para este fim. Exemplos claros disso são os aplicativos de comunicação instantânea, Windows Live Messenger (antigo MSN – vem sendo substituído pelo SKYPE), GOOGLE TALK, Yahoo Messenger e mais recen-temente vem sendo muito utilizada a comunicação online por meio de perfis em redes sociais como ORKUT, FACE-BOOK, além dos aplicativos específicos para smartphones, tais como WhatsApp, Viber, Voxer, entre outros.
Os maiores obstáculos, nos casos dos aplicativos mais recentes para comunicação, são o fato de a maioria dos provedores desses serviços serem estrangeiros e não
se submeterem à legislação brasileira, além de o fato de que esses serviços estão utilizando o recurso da cripto-grafia, que pode evitar que os conteúdos utilizados para comunicação entre criminosos ou criminosos-vítimas se-
jam interceptados. Neste último caso, a limitação é verda-deiramente técnica enquanto no primeiro caso é jurídica. Mais adiante, no módulo 6, você estudará os aplicativos avançados.
FINALIZANDONeste módulo você aprendeu que...
• Na Internet existem dois tipos de provedores: O provedor de acesso, (ISP – In-ternet Service Provider ou PSI – Provedor de Serviço de Internet) e O provedor de serviços, que disponibiliza os serviços de Internet para uso público, gratuita-mente ou não
• Basicamente, há três tipos de endereços Internet: Endereço URL (Universal Re-searchLocator); endereço de correio eletrônico (E-mail) e endereço IP (Internet Protocol).
• O ato de alocar um endereço IP para um cliente durante um determinado in-tervalo de tempo gera um “evento”. Consequentemente, o ato de armazenar a identificação, data, horário e respectivo endereço IP alocado ao cliente gera o que é tecnicamente denominado “registro de evento” ou LOG.
• O registro dos eventos de cada cliente é o que faz o provedor ser capaz de iden-tificar o responsável e dar a localização de qualquer endereço IP em qualquer data e horário.
• A primeira providência após identificar o endereço IP que originou a comunica-ção objeto do crime é identificar o local ou região de onde partiu a comunica-ção. A região onde se encontra o criminoso é útil para definir o a circunscrição responsável pela apuração da autoria do crime.
• Na investigação da origem de um site envolvido em crimes, buscando o verda-deiro responsável por um site criminoso, é preciso observar, além dos registros de domínio junto ao site registro.br e www.whois.sc, as informações sobre o local de hospedagem da página web, registros sobre a atualização do conteúdo do site e pagamento do serviço de hospedagem.
• Na rotina de investigação de crimes cibernéticos observa-se sua utilização em vários tipos de crime, principalmente crimes contra a honra. Mas há possibili-dade de uso de mensagens de e-mail para comunicação em qualquer tipo de crime.
MÓDULO 1
1 - (x) Registro de eventos com endereços IP, datas e horas.
2 - (x) registro de endereços eletrônico, data e hora de acesso do usuário.
3 - (x) unir esta informação a outras obtidas por meio tradi-cional para apontar a autoria.
4 - (x) endereço IP, endereço URL e endereço de E-mail.
5. F / F / V / V
MÓDULO 2
1 - ( x ) A “lei dos cybercafés” não especifica as punições para quem não cumpre as normas vigentes e não estabe-lece o órgão governamental competente para fiscalizar o cumprimento.
2 - ( x ) Por meio do endereço IP é possível definir a região onde o criminoso utilizou a Internet.
3 - ( x ) A maior fonte de informações sobre criminosos na Internet são os provedores de acesso e os provedores de serviço na Internet.
4 - ( x ) O MLAT é um acordo de assistência legal mútua entre os países que facilita o levantamento de informações em ambiente estrangeiro.
MÓDULO 3
1 - Orientação para resposta:
Provedores de serviços são as empresas que fornecem al-gum tipo de serviços na Internet, tais como e-mail, portal de notícias, chat, comunicação instantânea, entretenimen-to, comércio eletrônico, homebank, entre outros. Esses provedores podem apontar qual o endereço IP utilizado pela conexão onde o suspeito de um crime utilizou a Inter-net para acessar o serviço no momento da prática delitu-osa. As maiores empresas do ramo são Google, Microsoft, Yahoo, UOL, entre outras.
Provedores de acesso são as empresas que disponibilizam os meios físicos de transmissão de dados e os equipamen-tos de rede de comunicação que possibilitam ao usuário acessar a Internet. Esses provedores podem identificar o endereço completo de instalação do acesso à Internet que utilizou determinado endereço IP na respectiva data e ho-rário do fato delituoso. As maiores empresas neste ramo são Oi, GVT, NET, Embratel, Claro, Vivo, TIM, dentre outras.
2 - (x) Os provedores sempre guardam os registros de eventos por 5 anos, de acordo com a legislação vigente no Brasil.
GABARITO
3 - ( x ) Endereços IP dinâmicos são compartilhados entre os vários clientes de um provedor de acesso de forma que é extremamente necessário que sejam vinculados a data e horário para que o cliente responsável seja identificado.
4 - Orientação para resposta:
Expanda o cabeçalho de uma mensagem de sua caixa de e--mail pessoal (identifique como proceder no seu programa de leitura de e-mail ou seu serviço de webmail). Identifique o IP válido que equivale ao IP da conexão de origem da mensagem. Utilize sites de geo-localização de IP como http//en.utrace.de para identificar a localização geográfica aproximada.
5 - Orientação para resposta:
Expanda o cabeçalho de uma mensagem de sua caixa de e--mail pessoal (identifique como proceder no seu programa de leitura de e-mail ou seu serviço de webmail). Identifi-que o IP válido que equivale ao IP da conexão de origem da mensagem. Utilize sites de geo-localização de IP como http//en.utrace.de para identificar a localização geográfica aproximada.
6 - Orientação para resposta:
6.1. Pesquise nos sites http://registro.br ou http://whois.sc para identificar o provedor responsável por cada um dos endereços IP fornecidos pela Microsoft. Utilize a tabela de conversão para converter os horários de uso dos en-dereços IP dos timezones da Microsoft para os brasileiros (atente-se para a questão do horário de verão).
6.2. utilize sites de geo-localização para identificar a região aproximada dos endereços IP.
MÓDULO 4
1. (x) Na Internet, principalmente em sites de redes sociais, geralmente são descartados como fonte de informação em
investigações porque os perfis são fechados e não expõem o usuário.
2. (x) Busca sistemática equivale à fazer pesquisas fre-quentes e lidar com os crimes na Internet mesmo que não haja nenhum registro oficial de vítimas.
MÓDULO 5
1 - (x) Os computadores a serem apreendidos devem ser imediatamente puxados da tomada.
2 - Orientação para resposta
Lembre-se de que o computador pode conter aplicativos de criptografia e que o conteúdo está somente na me-mória volátil. Lembre-se também que o dispositivo ar-mazenado deve ser preservado para que não seja conta-minado após o início da operação de busca e apreensão. Lembre-se ainda que a análise do material apreendido não deve ser feita no dispositivo original, mas sim em uma cópia feita bit-a-bit.
3 - (x) Todos os dispositivos apreendidos devem ser identi-ficados, catalogados, fotografados e cuidadosamente des-critos.
MÓDULO 6
1. (x) Comprar ou baixar filmes, fotos, músicas e aplicati-vos não originais.
2. (x) A engenharia reversa trabalha tentando descobrir como o malware se comunica com o atacante.
3. (x) No caso de o alvo utilizar comunicação criptografada não é possível acessar o conteúdo por meio de intercepta-ção telemática.
4. b / d / a / h / f / e / g / c
Recommended