Neste módulo você estudará sobre a estrutura de funcionamento da Internet e seus serviços, bem como, os métodos para investigar utilizando os endereços eletrônicos da Internet com o objetivo de buscar a localização e identificação de autoria.

Objetivos do móduloAo final deste módulo, você deverá ser capaz de:

• Compreender o funcionamento básico da Internet, seus provedores e seus ser-viços;

• Identificar os endereços eletrônicos da Internet;

• Conhecer os protocolos de endereçamento da Internet;

• Conhecer os métodos de identificação da origem e rastreamento da localização de um interlocutor na Internet.

Estrutura do móduloEste módulo possui as seguintes aulas:

Aula 1 – A Internet e os protocolos TCP/IP

Aula 2 – Serviço de web sites na Internet

Aula 3 – Serviço de mensagens eletrônicas na Internet

Módulo 3

INTERNET E SERVIÇOS DE REDE DE COMUNICAÇÃO

1.1 Provedores de Internet e tipos de acesso

Na Internet existem dois tipos de provedores:

O PROVEDOR DE ACESSO, (ISP – Internet Service Provider ou PSIProvedor de Serviço de Internet), que provê as

condições físicas e os equipamentos para que seu computador seja ligado à Internet.

Empresas de Telecomunicações, tais como OI, GVT, EMBRATEL, VIVO, CLARO, TIM, etc.

O PROVEDOR DE SERVIÇOSque disponibiliza os serviços de Internet para

uso público, gratuitamente ou não.

MICROSOFT / Hotmail, MSN – GOOGLE / Gmail, Orkut, Youtube, Picasa, GoogleEarth, GoogleMaps – YAHOO! / Yahoo, YahooMessen-ger – UOL / Portal, Chat, Mail IBEST / IbestMail, IG / IGMail, TERRA / Portal/Mail, LOCAWEB / Hospedagem, FACEBOOK / RedeSocial, etc.

Os provedores de acesso disponibilizam varia-das tecnologias para acesso à Internet, tais como linha te-lefônica, cabo coaxial (TV a cabo), via celular (2G/3G/4G), links dedicados de radiofrequência, rede elétrica, etc. O usuário apenas escolhe de qual empresa será cliente e so-licita a instalação da Internet, mediante assinatura de um contrato, onde é previsto o tipo de tecnologia que será uti-lizado para acesso físico.

Quando o usuário liga o seu equipamento em casa, ele utiliza uma dessas tecnologias para acesso físico

AULA 1

A Internet e os protocolos TCP/IP

aos dispositivos de rede da operadora (ISP) que por sua vez dão acesso à Internet.

1.2 Os endereços eletrônicos

Os endereços eletrônicos são sempre as primei-ras fontes de investigação. Por isso, é importante entender como eles funcionam.

Basicamente, há três tipos de endereços Internet:

ENDEREÇO URL (UNIVERSAL RESEARCH LOCATOR):é o endereço digitado no navegador.

www.pcdf.df.gov.br, ead.senasp.gov.br, www.uol.com.br);

ENDEREÇO DE CORREIO ELETRÔNICO (E-MAIL):identificado por uma conta de correio eletrôni-

co cujo endereço sempre tem o símbolo “@” separando o nome da caixa de correio e o pro-vedor do serviço.

meu nome@provedor.df.gov.br);

ENDEREÇO IP (INTERNET PROTOCOL):que identifica cada conexão à Internet.

200.153.1.67Os endereços URL que você digita no seu nave-

gador não são entendidos pelas máquinas diretamente. Eles são utilizados por serem mais fáceis de memorizar. Por isso, um serviço chamado DNS (Domain Name System – Sistema de Nome de Domínio) é responsável por tradu-zir os endereços URL em endereços IP numéricos, que são mais facilmente manipulados pelos computadores e equi-pamentos de rede. O endereço IP numérico propicia a en-trega dos pacotes de informação ao destino correto.

Os endereços IP numéricos da forma decimal são convertidos em endereços IP binários representados por si-nais elétricos (onde “0” é falta de sinal e “1” é sinal presente). Algo que forma ondas elétricas representadas graficamente por linhas “com sinal” e “sem sinal”, que, sincronizadas, são entendidas pelos computadores e equipamentos de rede. Algo muito veloz e transparente para o usuário.

A figura a seguir, demonstra a representação grá-fica do endereço IP. Verifique!

Os endereços URL, de correio ele-trônico e os endereços IP são imprescindíveis para investigações, pois estão envolvidos nos principais serviços de Internet. Mais adiante no curso, você, aluno, conhecerá os procedi-mentos de utilização desses endereços para determinar a localização da origem de uma mensagem na Internet.

Praticando...Supondo que você é usuário do sistema opera-

cional Windows, descubra o endereço IP que o seu prove-dor de Internet alocou para você navegar neste exato mo-mento. Siga o procedimento a seguir:

1. Abra uma tela de prompt (na área de trabalho, clique no botão “iniciar”, escolha a opção “exe-cutar” e escreva “cmd” + <ENTER>).

2. Na tela negra digite o comando “ipcon-fig /all”. Talvez você esteja numa intranet (então o seu endereço IP deverá iniciar com 10.x.x.x, 172.16.x.x ou 192.168.x.x). Se for esse o caso e você quiser descobrir qual o seu IP válido, ou seja, com qual IP você é reconheci-do na Internet, então acesse o site www.cmyip.com e você verá o seu endereço IP válido na tela do site.

Mais adiante será explicada a diferença entre um endereço IP válido e um endereço IP de intranet. Por hora, o importante é saber que os endereços IP são a principal e mais confiável informação que uma equipe de investiga-ção pode utilizar para rastrear a origem de uma mensagem ou comunicação na Internet.

Não há meios para alterar o ende-reço IP de uma conexão, mas é possível forjar ou disfarçar um endereço IP de origem. No entanto, seria preciso dominar técnicas mais avançadas de redes de comunicação ou utili-zar ferramentas como proxies ou botnets.

NOTA

No último módulo esses conceitos serão trata-dos, embora a abordagem seja feita de forma superficial, já que para entrar em detalhes seria necessário um módulo avançado. Contudo, ressalta-se que são recursos utilizados extraordinariamente por criminosos, fugindo ao objetivo do curso, que é tratar os principais crimes que aparecem no dia-a-dia.

1.3 Eventos e registros de eventos (LOGs)

No caso de serviço de acesso à Internet com en-dereço IP dinâmico, A diferença entre IP estático e IP dinâ-mico será esclarecida mais adiante. antes de iniciar a sua navegação, a operadora designa ao cliente um endereço IP que serve para habilitar a sua navegação na Internet, além de localizá-lo e identificá-lo. Então, o endereço IP distribu-ído pela operadora, especificamente naquele intervalo de data e horário fica alocado para aquele cliente.

O ato de alocar um endereço IP para um clien-te durante um determinado intervalo de tempo gera um “evento”. Consequentemente, o ato de armazenar a iden-tificação, data, horário e respectivo endereço IP alocado ao cliente gera o que é tecnicamente denominado “registro de evento” ou LOG.

É importante que os membros da equipe de investigação saibam que a maioria dos provedores de acesso à Internet registra e armazena os LOGs de todos os seus clientes, embora não exista padronização de tempo de armazenamento desses LOGs. Assim, esta informação pode ser solicitada para compor provas na investigação.

1.4 A falta de padronização, normas e legislação

Como você estudou no módulo 2, não há legisla-ção que obrigue o armazenamento dos registros de even-tos, tampouco que estabeleça o tempo que a informação tem que ficar armazenada. Por isso, cada provedor de aces-so faz o procedimento de acordo com o seu entendimento, já que não há nenhuma norma ou padrão.

Assim que a autoridade policial identificar um endereço IP utilizado pelo suspeito de um crime e a respec-tiva data e horário de uso, é seu dever solicitar ao provedor responsável o fornecimento ou ao menos a preservação das informações cadastrais e registros de eventos do clien-te responsável pela linha de acesso, já que essa informação pode ser extremamente volátil, devido à falta de legislação ou padronização.

A falta de uma legislação faz com que cada provedor tenha uma postura dife-rente de colaboração com a investigação e com a autoridade policial, bem como sobre o tempo em que os LOGs devem permanecer

registrados. Algo totalmente sem padroniza-ção e excessivamente dependente do enten-dimento de cada provedor.

Também por falta de legislação, poucos pro-vedores fornecem os LOGs por solicitação da autoridade policial (Ofício assinado pelo Delegado), autoridade do Ministério Público (Oficio assinado pelo promotor de justi-ça) ou somente por determinação da autoridade judiciária (mandado judicial). A grande maioria, condiciona o forne-cimento dos LOGs à ordem judicial.

É importante que na solicitação da autoridade policial conste claro o pedido de preservação para os casos em que o prove-dor somente forneça a informação mediante apresentação de mandado judicial, já que a expedição de um mandado judicial pode de-morar algum tempo devido às burocracias inerentes ao processo.

1.5 O endereço IP como identificador da conexão Internet

É muito importante entender que os endere-ços IP não identificam um computador. Normalmente, o computador pode ser desligado e transportado para outro endereço, outra cidade, outro país e se for conectado nova-mente à Internet, certamente o endereço IP a ele atribuído será outro.

Para deixar claro que o endereço IP não é do ter-minal de computador, pense em um computador que tem mais de uma placa de rede ligando-o a mais de uma rede ou provedor de Internet e cada uma das conexões que ele efetua terá um endereço IP. Se o endereço IP pertencesse ao computador, então, neste caso, haveria dois endereços IP para o mesmo terminal.

Conclui-se que o endereço IP iden-tifica a conexão virtual que se abre para que o usuário possa acessar a Internet.

O Endereço IP1 identifica a conexão do Prove-dor 1 e O Endereço IP2 identifica a conexão do Provedor 2.

Observe os dois endereços IP no mesmo com-putador identificando conexões de provedores diferentes instaladas fisicamente no mesmo endereço geográfico.

Isto acontece por quê?A conexão virtual funciona sobre uma estrutura

física de aceso à Internet instalada pelo provedor de acesso (operadora de telefonia/TV/celular/rádio). A estrutura físi-ca não se altera, exceto por solicitação do usuário (nesse

caso, seria necessária uma reinstalação do circuito físico pela operadora).

Quando o provedor atribui um endereço IP ao cliente, ele registra em um banco de dados interno qual foi o endereço IP alocado para aquele cliente, data e horário e a identificação do cliente que está recebendo aquele ende-reço IP. Este processo é automático, rápido e o usuário leito sequer percebe.

Quando o cliente encerra a conexão, o provedor volta a registrar a data e horário do final da conexão vincu-

lado ao endereço IP, que é automaticamente desalocado e liberado para uso de outro cliente.

O registro dos eventos de cada cliente é o que faz o provedor ser capaz de identificar o responsável e dar a localização de qualquer endereço IP em qualquer data e horário.

1.6 Os endereços IP reservados para Intranet

Como os endereços IP aparecem frequente-mente numa investigação envolvendo comunicações pela Internet, é interessante saber analisar principalmente os cabeçalhos de mensagens envolvidas em crimes, ou seja, é preciso identificar, entre vários outros endereços IP que aparecem em um cabeçalho, qual é relevante para identifi-car a origem da comunicação.

Então, ao analisar o cabeçalho com vários ende-reços IP, é necessário excluir os que são irrelevantes, como por exemplo, alguns endereços IP de rede privada que apa-recem nos cabeçalhos de mensagens. Costumam aparecer endereços IP reservados para tráfego de redes intranet (já citados - iniciam com 10.x.x.x, 172.16.x.x ou 192.168.x.x). Se qualquer desses endereços IP aparecer no cabeçalho de uma mensagem de e-mail no momento em que estiver procurando pela origem da conexão, ele deve ser descon-siderado, exceto nos casos em que é necessário identificar um computador dentro de uma rede privada, utilizando os LOGs internos.

1.7 Os endereços IP estáticos e dinâmicos

Você já estudou que quando um terminal de computador ou equipamento de rede é ligado, ele ganha um endereço IP dado pelo provedor de acesso. Então con-clui-se que os endereços IP mudam com frequência. Isso é o que se denomina endereço IP dinâmico.

Contudo, os provedores de acesso podem dispo-nibilizar o serviço de acesso à Internet com um endereço IP fixo ou estático. Nesse caso, a conexão vai sempre ter o

mesmo endereço IP e o provedor de acesso vai cobrar uma taxa extra para deixar aquele endereço IP à disposição do assinante.

Isso é raro de acontecer para usuários residen-ciais, pois o principal objetivo de ter um endereço IP está-tico é colocar serviços Internet no ar, como hospedar uma página web, disponibilizar um servidor/provedor de con-tas de e-mail, serviços de DNS, transferências de arquivos, entre outros.

Para identificar se um endereço IP investigado é estático ou dinâmico, além de solicitar essa informação ao provedor responsável pelo endereço IP, pode-se procurar por serviços de Internet ativos naquele endereço IP. Para isso, pode-se utilizar um programa de varredura (port--scan) ou simular acesso aos principais serviços de internet para ver há alguma resposta.

As respostas a essas simulações podem trazer o nome da empresa ou algo que identifique o local onde está a conexão vinculada àquele endereço IP. Talvez isso possa agilizar o processo de investigação, evitando que seja ne-cessário contatar a operadora de telefonia para descobrir o local físico de instalação da conexão Internet investigada.

1.8 Como identificar o local da conexão do endereço IP investigado

A primeira providência após identificar o en-dereço IP que originou a comunicação objeto do crime é identificar o local ou região de onde partiu a comunicação.

Oficialmente, o melhor a fazer é entrar em con-tato com o provedor responsável e solicitar a ele as infor-mações. Não esquecendo que os endereços IP dinâmicos devem estar sempre vinculados a uma data, horário e ti-mezone (fuso-horário), já que a Internet é mundial.

Algumas vezes, principalmente quando o prove-dor da mensagem envolvida no crime está fora do Brasil, a equipe de investigação vai se deparar com horários re-ferenciados em timezones diferentes dos brasileiros (o ti-mezone de Brasília é GMT -0300, podendo ser modificado para GMT -0200, durante a vigência de horário brasileiro

de verão), sendo aconselhável à equipe de investigação efetuar a conversão para o horário brasileiro.

1.8.1 Conversão de timezones

Como foi citado anteriormente, há muitos pro-vedores gratuitos utilizados por usuários brasileiros, sendo a maioria deles sediados na Califórnia, nos Estados Unidos da América, onde o timezone geralmente é GMT (fazer hint para: Greenwich Mean Time) -0800 (ou PST – Pacific Standard Time) e GMT (Fazer hint para: Greenwich Mean Time) -0700 (ou PDT – Pacific Daylight Time) no horário de verão. (figura 7).

Então, há uma diferença para o horário brasileiro de 4 a 6 horas em relação ao horário estadunidense, depen-dendo se é horário de verão aqui no Brasil e lá na Califórnia.

Quando a equipe de investigação recebe in-formações de provedores de serviço estrangeiros (prin-

cipalmente e-mail, tais como GOOGLE, MICROSOFT e YAHOO!), os endereços IP que acessaram a conta de e-mail investigada virão vinculados a horários com referência ti-mezone do local da sede do provedor. Esses endereços certamente deverão ser consultados nos provedores de acesso à Internet para identificar a empresa/operadora responsável pela linha Internet que deu origem ao crime. Então, é prudente que as consultas sejam feitas em horário local (brasileiro GMT -0300 ou GMT -0200).

Ao fazer a conversão, é preciso que a equipe de investigação se cerque de cuida-dos para não errar nesse procedimento, pois como os endereços IP geralmente são dinâ-micos, um erro de 1 hora pode acabar geran-do a identificação de uma conexão incorreta, fazendo a equipe de investigação incorrer em grave erro ao identificar o responsável.

1.8.2 Método para conversão de timezones

Como a conversão de horários (timezones) é algo muito comum na rotina de investigação de crimes cibernéticos, como sugestão de método para a conversão, será apresentada a seguir uma tabela que visa facilitar a conversão dos horários na hora de fazer a análise de re-latório de registro de eventos fornecidos por provedores estrangeiros.

Tabela de conversão de horas

Esta tabela considera os parâmetros de timezo-ne denominados PDT e PST que são os mais comuns nos relatórios fornecidos pelos provedores estadunidenses. A maioria desses provedores encontra-se na costa oeste norte-americana, onde esses timezones são usados (no horário de verão - summer time - ou no horário normal). As horas são alinhadas de forma que é possível converter rapidamente os fusos norte-americanos (PDT e PST) em fusos brasileiros (GMT -0300 e GMT -0200).

A equipe de investigação jamais poderá fazer a conversão de forma incorreta ou esquecer-se de fazê-la. Erros nesse pro-cedimento são inadmissíveis, sob pena de identificar alvos errados e prejudicar todo o trabalho de investigação.

Suponha que a equipe de investigação recebeu da Microsoft (Empresa sediada na Califórnia, US) um relatório contendo registros de eventos com ocorrências de uso de uma conta de e-mail daquele provedor, onde o investigado utilizou um determinado endereço IP nos seguintes ho-rários:

• O endereço IP 200.168.1.10 foi utilizado no dia 10/01/2013, às 11:56 pm PST.

• O endereço IP 187.2.45.89 foi utilizado no dia 24/02/2013, às 11:40 am PDT.

Ao preparar o ofício para a operadora de Tele-com (brasileira) que administra os endereços IP indicados, os horários devem ser convertidos de PST e PDT para os timezones brasileiros GMT -0200 e GMT -0300.

No primeiro caso, utilizando a tabela sugerida, na coluna PST, encontra-se as horas equivalen-tes a 11 pm na penúltima linha. Como no dia 10/01/2013 estava vigente o horário de verão no Brasil, então, o horário correspondente a 11pm (ou 23 horas) seria 05:00 horas (do dia se-guinte). Então, no dia 10/01/2013, às 11:56 pm PST, equivale à dia 11/01/2013, às 05:56, GMT -0200.

No segundo caso, utilizando novamente a tabela sugerida, na coluna PDT, encontra-se as horas equi-valentes a 11 am. Como no dia 24/02/2013 não estava vigente o horário de verão no Brasil, então, o horário correspondente a 11am seria 15:00 horas. Então, no dia 24/02/2013, às 11:40 am PDT, equi-vale ao mesmo dia, às 15:40, GMT -0300.

1.9 Como identificar o provedor de acesso de um endereço IP investigado?

A organização e distribuição dos endereços IP é mantida por entidades hierarquicamente e regionalmente

distribuídas. No Brasil, inicialmente, a Fundação de Ampa-ro à Pesquisa do Estado de São Paulo (FAPESP) – pioneira no uso da Internet no Brasil, herdou a atribuição de manter a organização da distribuição dos endereços IP e dos no-mes de domínio de sites na Internet. Contudo, atualmente, o NIC.br (entidade ligada ao Comitê Gestor da Internet – CGI) é o órgão responsável.

A consulta a esse banco de dados é pública e aberta, podendo ser realizada nos sites http://registro.br e http://www.whois.sc.

Praticando...Experimente consultar um endereço IP qualquer

(válido) ou um endereço de um site que você conhece.

1.10 Como obter uma localização aproximada do endereço IP

Se a equipe de investigação não consegue infor-mações sobre o usuário de um endereço IP diretamente com o provedor de acesso ou se esse processo atrasa a in-vestigação, é possível identificar com um nível de certeza razoável ao menos a região onde o endereço IP provavel-mente estaria servindo.

Há vários sites na Internet que oferecem serviço de geolocalização aproximada de endereços IP. É impor-tantíssimo ressaltar que esses sites são extra-oficiais e não têm qualquer responsabilidade ou garantia. Contudo, as respostas dadas oferecem nível de confiabilidade razoável. Um dos mais reconhecidos no meio de investigação de cri-mes cibernéticos é o site www.en.utrace.de . Acesse, digite o endereço IP investigado e na maioria das vezes terá uma boa ideia da região de onde o alvo acessou a Internet para manter a comunicação envolvida no crime.

Identificando a localização geográfica do ende-reço IP 200.102.56.78.

Acesse o site http://en.utrace.de , digite o ende-reço IP indicado e clique no botão “Search”.

O IP investigado, conforme indicado na figura a seguir, serve à região de Florianópolis/SC.

Localização geográfica do endereço do IP

A equipe de investigação pode utilizar este pro-cedimento para descobrir a localização geográfica aproxi-mada de qualquer endereço IP. Execute o procedimento para outros endereços IP.

A região onde se encontra o crimi-noso é útil para definir o a circunscrição res-ponsável pela apuração da autoria do crime. Diversas vezes o criminoso está em outro Estado e será necessário manter contato ou enviar dados à Polícia Civil da outra Unidade da Federação. Também é útil para confirmar suspeitas de que o criminoso esteja numa re-gião específica (fronteira, nordeste, sudeste ou fora do Brasil).

Agora que você já entendeu sobre o funciona-mento da Internet e da pilha de protocolos TCP/IP, prin-cipalmente, sobre a formação dos endereços IP, sua classi-ficação, como identificá-los, como localizar e onde buscar informações sobre ele, você está apto a dar prosseguimen-to ao estudo dos principais serviços de Internet, os quais constantemente são envolvidos em crimes. Na próxima aula, você estudará sobre o funcionamento dos serviços de sites e mensagens eletrônicas.

2.1 Sites e registro de domínios

Uma causa frequente de registros de ocorrências policiais é o crime de estelionato geralmente ocorrido via comércio eletrônico, onde o vendedor anuncia um produ-to inexistente, recebe o pagamento e não envia o produto ao comprador. Isso ocorre tanto em sites de comércio ele-trônico e leilões, como em sites falsos que simulam lojas na Internet, muitas vezes utilizando nomes de lojas já exis-tentes.

O interessante para a equipe de investigação nesses casos é saber que os provedores de serviços de co-mércio eletrônico provavelmente podem e têm interesse em colaborar com a autoridade policial para diminuir as ocorrências de estelionato no seu site, tornando-o mais confiável para os clientes.

Nos casos de sites falsos, ressalta-se que antes de colocar um site falso no ar, o criminoso, tal como qual-quer usuário da Internet, tem que cumprir um ritual neces-sário e obrigatório para todos os usuários que iniciam esta atividade na Internet. O primeiro passo é sempre escolher um domínio válido e desocupado.

Um domínio, na Internet, é o nome a ser digitado na barra de endereços do navegador para acessar o site. O conceito de domínio muitas vezes se confunde com o conceito de endereço URL, diferenciando apenas pelas iniciais http://www, que, quando existentes, antecedem

o nome de domínio, mas tecnicamente não fazem parte do conceito.

Em geral, o comerciante que investe em um site na Internet para efetuar suas vendas, escolhe um nome de domínio parecido com o de sua loja, quando ele está disponível e desocupado. O criminoso certamente seguirá esta mesma regra para que seu site não se diferencie dos demais sites. É comum utilizar o nome de lojas já existen-tes e se fazer passar por elas.

2.2 Registro de domínios no Brasil

A verificação de disponibilidade do nome de do-mínio escolhido, no caso de domínio brasileiro (endereços terminados em “.br”) deve ser feita diretamente no site http://registro.br .

Seguindo as regras de validação do domínio, o criminoso poderá registrar e cadastrar o seu domínio, me-diante apresentação das suas informações pessoais e pa-gamento de uma taxa anual.

A consulta às informações cadastrais que, foram apresentadas no ato do registro do domínio, são públicas e livremente consultadas no site http://registro.br. O paga-mento da taxa anual é feito via boleto bancário e as infor-mações do pagador podem ser obtidas com a FAPESP ou Comitê Gestor da Internet no Brasil.

AULA 2

Serviço de web sites na Internet

2.3 Registro de domínios fora do Brasil

No caso de domínios fora do Brasil, cada nação tem seu procedimento específico, sendo nos Estados Uni-dos (domínios terminados em “.com” ou “.org” – são os que aparecem com maior frequência na rotina de inves-tigação) o processo de cadastramento de domínio é mais liberal. Por isso, quase nunca a equipe de investigação po-derá contar com informações de registro. A documentação exigida é mínima e os pagamentos podem ser realizados via cartão de crédito internacional. Há várias empresas que oferecem o serviço para fazer o registro do domínio de terceiros (exemplo: http://www.godaddy.com/dominios) e elas deixam claro em seus sites que mantêm em sigilo absoluto as informações do verdadeiro dono do domínio.

2.4 Hospedagem de sites

Outra fonte de informação, talvez até mais im-portante que os dados cadastrais de quem registrou o do-mínio, é a localização de onde está hospedada a página. Muitas vezes essa informação pode ser coincidente, mas a possibilidade deve ser verificada pela equipe de investi-gação.

No próprio site de consulta pública (www.whois.sc) é possível encontrar informações sobre onde o site está hospedado. No entanto, o procedimento mais indicado, que pode ser efetuado paralelamente para con-firmar a informação, é abrir uma tela de prompt (no Win-dows, basta clicar no botão “Iniciar” – na barra inferior da área de trabalho – escolher a opção executar e digitar o comando “cmd” - mnemônico de “command”).

Praticando...Na tela negra do prompt, digite o comando

“ping” seguido do endereço completo do site investigado.

Suponha que você quer descobrir o endereço IP de um site (neste exemplo www.uol.com.br).

No prompt, digite: pingwww.uol.com.br, tal como a seguir:

Descobrindo o endereço do IP

A resposta traz o endereço IP 200.147.67.142, que corresponde ao endereço IP do servidor WEB (servi-dor de páginas web) que está hospedando o site www.uol.com.br. A equipe de investigação poderá agora iden-tificar no http://whois.sc o nome da empresa proprietária do endereço IP indicado. Essa empresa certamente pode-rá fornecer informações sobre o verdadeiro dono do site criminoso. Faça o procedimento para outros sites além do www.uol.com.br.

2.5 Buscando a origem de uma hospedagem de site

Então, na investigação da origem de um site en-volvido em crimes, buscando o verdadeiro responsável por um site criminoso, é preciso observar, além dos regis-tros de domínio junto ao site registro br e www.whois.sc, as informações sobre o local de hospedagem da página web, registros sobre a atualização do conteúdo do site e pagamento do serviço de hospedagem.

O provedor de hospedagem certamente terá muito a contribuir na identificação do responsável pelo site, pois poderá fornecer os endereços IP utilizados para acesso e atualização de conteúdo, além de dados cadas-trais do responsável pelo pagamento do serviço. Informa-ções importantes e muitas vezes imprescindíveis à identifi-cação do autor do crime.

É importante ressaltar que muitas empresas hospedam seu site nas próprias dependências, sem necessidade de contra-ção de provedor específico. Nesses casos a equipe de investigação pode chegar a um endereço IP que está sob responsabilidade do próprio investigado ou de uma a empresa ligada a ele. Tal fato deve ser verificado an-tecipadamente, sob risco de estar solicitando informações sobre a investigação ao próprio autor.

A equipe de investigação deve estar ciente de que as informações de registro de domínio e as informa-ções de hospedagem, apesar de terem que ser verificadas, podem não levar a informações diretas e exatas sobre o autor do crime, mas certamente contribuirá para a inves-tigação. Um estelionatário, por exemplo, quase sempre vai

registrar com informações cadastrais falsas ou em nome de terceiros. Embora as técnicas de investigação de crimes cibernéticos possam contribuir muito, chegar ao verdadei-ro criminoso, nesses casos, depende muito de trabalho de investigação tradicional.

Há casos em que uma página criminosa é criada em um site padrão, tal como ocorre nas redes sociais de re-lacionamento (ORKUT, FACEBOOK, LINKEDIN, MYFACE, FLOGÃO, BLOGSPOT, etc). Quando isso acontece, o ende-reço buscado é chamado de subdomínio, ou seja, um do-mínio dentro de outro. Nesse caso, o responsável por dar informações à autoridade policial é o provedor do serviço do domínio principal.

Ressalta-se que, a maioria dos provedores de serviços estrangeiros sempre oferecem dificuldades para fornecer essas informações, alegando principalmente o fato de não estarem sujeitos à lei brasileira.

3.1 Serviço de e-mail

Embora atualmente a utilização das redes so-ciais de relacionamento tenha substituído parcialmente a necessidade dessa forma de comunicação, o serviço de mensagens eletrônicas (e-mail) ainda são muito utilizados. Na rotina de investigação de crimes cibernéticos observa--se sua utilização em vários tipos de crime, principalmen-te crimes contra a honra. Mas há possibilidade de uso de mensagens de e-mail para comunicação em qualquer tipo de crime.

Geralmente, os endereços de e-mail envolvidos em crimes são falsos, ou seja, são contas criadas especifica-mente para a comunicação no ato criminoso. Também há possibilidade de o atacante utilizar aplicativos específicos para que o endereço eletrônico do destinatário seja mani-pulado, podendo aparecer qualquer informação naquele campo (exemplo: http://deadfake.com/Send.aspx). Por isso, o nome da conta ou as informações cadastrais forne-cidas pelo provedor de serviços geralmente não são rele-vante, embora a verificação seja praticamente obrigatória para a equipe de investigação.

3.2 Como identificar a origem de uma mensagem de e-mail

Assim, a informação mais importante é, de fato, o en-dereço IP de origem. Ele pode ser identificado de duas maneiras:

1. Expansão do cabeçalho da(s) mensagem(ns) envolvida(s) no crime;

2. Solicitação ao provedor de origem do serviço de e-mail envolvido no crime para que forneça os dados cadastrais do responsável pela conta de e-mail investigada, bem como os registros de eventos (IP/LOGs) no período previsto.

O cabeçalho de uma mensagem de e-mail, nor-malmente só mostra as contas de e-mail do remetente e do(s) destinatário(s), data, horário e assunto. Essa é a for-ma padrão que os leitores de e-mail e webmail são con-figurados. Contudo, todos os provedores de webmail e aplicativos de leitura de mensagens eletrônicas oferecem a possibilidade de expansão do cabeçalho normal.

AULA 3

Serviço de mensagens eletrônicas na Internet

3.3 Expansão do cabeçalho em um aplicativo de leitura de e-mail

O procedimento de expansão do cabeçalho va-ria muito, dependendo do aplicativo utilizado ou do servi-ço de webmail envolvido. Ressalta-se que, embora os pro-cedimentos sejam diferentes, eles seguem certo padrão.

Para saber mais sobre como expandir cabeça-lhos em outros aplicativos de leitura de e-mail acesse:

http://office.microsoft.com/pt-br/outlook-help/exibir--cabecalhos-de-mensagens-de-email-HA001230300.aspx

http://www.intesys.com.br/2011/06/visualizar-cabeca-lhos-completos-das-mensagens-em-diferentes-clientes--de-e-mail/

Quando é feita a expansão, várias informações técnicas aparecem, entre elas o endereço IP. É preciso que a equipe de in-vestigação saiba retirar a informação rele-vante em meio a várias outras, por exemplo, identificar o endereço IP válido de onde saiu a mensagem. Neste ponto, você já deve ser capaz de identificar os endereços IP válidos e relevantes para a investigação. Caso ainda não consiga, procure o seu tutor e solicite ajuda.

Quando é feita a expansão, várias informações técnicas aparecem, entre elas o endereço IP. É preciso que a equipe de investigação saiba retirar a informação rele-vante em meio a várias outras, por exemplo, identificar o endereço IP válido de onde saiu a mensagem. Neste ponto, você já deve ser capaz de identificar os endereços IP váli-dos e relevantes para a investigação. Caso ainda não consi-ga, procure o seu tutor e solicite ajuda.

O procedimento para expandir o cabeçalho de qualquer aplicativo de leitura de mensagens de e-mail ou webmail é algo que, embora diferente, segue um padrão que não é difícil de identificar. Geralmente um clique so-

bre a mensagem envolvida na investigação, um acesso ao menu principal e alguns cliques a mais nas opções corre-tas o levarão facilmente a expandir qualquer cabeçalho de qualquer aplicativo de e-mail.

Não há possibilidade de listar aqui todos os pro-cedimentos para expansão de cabeçalhos de todos os apli-cativos existentes, mas nos anexos você poderá encontrar exemplos de como expandir os cabeçalhos nos principais aplicativos de leitura de mensagens eletrônicas e webmail.

3.3.1 Automatização da análise de cabeçalho expandido

Para facilitar a identificação exata do endereço IP da conexão Internet de onde se originou a mensagem in-vestigada, há ferramentas, tal com o aplicativo web deno-minado “TRACE MAIL”, disponível publicamente. Se você tiver interesse, poderá acessar um desses aplicativos que automatizam a análise do cabeçalho e apontam o ende-reço IP de origem da mensagem, clique aqui. http://www.traceanemail.com.

Para utilizar basta copiar o cabeçalho completo (expandido) e colar no campo de edição.

http://mediugorie.wordpress.com/2006/12/ 05/exibindo-o-cabecalho-completo-nas-mensagens-de--e-mail-recebidas/e veja o procedimento para expansão de cabeçalho dos principais serviços de WEBMAIL.

3.4 Solicitando informações ao provedor de e-mail

Outra maneira de obter mais informações é so-licitar ao provedor do serviço de e-mail que forneça os da-dos cadastrais e os registros de eventos (LOGs) da conta de e-mail investigada.

Obtendo as informações de endereço(s) IP e res-pectivas datas/horários/timezones, basta descobrir qual o provedor de acesso responsável (consultando nos sites

http://registro.br e www.whois.sc) e novamente solici-tar informações sobre os assinantes responsáveis pelo(s) endereço(s) IP nas respectivas datas e horários.

Para resumir o procedimento que deve ser to-mado em casos de sites ou contas de e-mail envolvidas no crime investigado, veja a seguir o fluxograma ilustrativo

Ao receber a comunicação do crime envolvendo sites ou e-mail, a primeira providência é procurar infor-mações sobre os provedores de serviço em fontes abertas (http://registro.br ou www.whois.sc). Identificado o pro-vedor de serviços, deve-se buscar as informações junto a ele (talvez necessite de ordem judicial ou carta rogatória/MLAT, dependendo do provedor).

O provedor de serviço deve retornar os dados ca-dastrais do usuário do serviço (talvez sejam falsos), as fontes pagadoras do serviço (se o serviço for pago) e os endereços IP utilizados pelo usuário do serviço para acessá-lo.

Os endereços IP devem levar a um provedor, para o qual a equipe de investigação deve solicitar infor-mações sobre a conexão Internet que originou e o assi-nante responsável pela conexão física ou linha telefônica vinculada, bem como o endereço de instalação.

Fluxograma do processo de investigação de sites e mensagens de e-mail. FONTE: CRIMES CIBERNÉTICOS – Manual prático de investigação - Mi-nistério Público Federal de São Paulo

3.5 Outros serviços de comunicação na Internet

Atualmente, a grande popularização das comu-nicações via Internet fez com que surgissem vários aplica-tivos específicos para este fim. Exemplos claros disso são os aplicativos de comunicação instantânea, Windows Live Messenger (antigo MSN – vem sendo substituído pelo SKYPE), GOOGLE TALK, Yahoo Messenger e mais recen-temente vem sendo muito utilizada a comunicação online por meio de perfis em redes sociais como ORKUT, FACE-BOOK, além dos aplicativos específicos para smartphones, tais como WhatsApp, Viber, Voxer, entre outros.

Os maiores obstáculos, nos casos dos aplicativos mais recentes para comunicação, são o fato de a maioria dos provedores desses serviços serem estrangeiros e não

se submeterem à legislação brasileira, além de o fato de que esses serviços estão utilizando o recurso da cripto-grafia, que pode evitar que os conteúdos utilizados para comunicação entre criminosos ou criminosos-vítimas se-

jam interceptados. Neste último caso, a limitação é verda-deiramente técnica enquanto no primeiro caso é jurídica. Mais adiante, no módulo 6, você estudará os aplicativos avançados.

FINALIZANDONeste módulo você aprendeu que...

• Na Internet existem dois tipos de provedores: O provedor de acesso, (ISP – In-ternet Service Provider ou PSI – Provedor de Serviço de Internet) e O provedor de serviços, que disponibiliza os serviços de Internet para uso público, gratuita-mente ou não

• Basicamente, há três tipos de endereços Internet: Endereço URL (Universal Re-searchLocator); endereço de correio eletrônico (E-mail) e endereço IP (Internet Protocol).

• O ato de alocar um endereço IP para um cliente durante um determinado in-tervalo de tempo gera um “evento”. Consequentemente, o ato de armazenar a identificação, data, horário e respectivo endereço IP alocado ao cliente gera o que é tecnicamente denominado “registro de evento” ou LOG.

• O registro dos eventos de cada cliente é o que faz o provedor ser capaz de iden-tificar o responsável e dar a localização de qualquer endereço IP em qualquer data e horário.

• A primeira providência após identificar o endereço IP que originou a comunica-ção objeto do crime é identificar o local ou região de onde partiu a comunica-ção. A região onde se encontra o criminoso é útil para definir o a circunscrição responsável pela apuração da autoria do crime.

• Na investigação da origem de um site envolvido em crimes, buscando o verda-deiro responsável por um site criminoso, é preciso observar, além dos registros de domínio junto ao site registro.br e www.whois.sc, as informações sobre o local de hospedagem da página web, registros sobre a atualização do conteúdo do site e pagamento do serviço de hospedagem.

• Na rotina de investigação de crimes cibernéticos observa-se sua utilização em vários tipos de crime, principalmente crimes contra a honra. Mas há possibili-dade de uso de mensagens de e-mail para comunicação em qualquer tipo de crime.

MÓDULO 1

1 - (x) Registro de eventos com endereços IP, datas e horas.

2 - (x) registro de endereços eletrônico, data e hora de acesso do usuário.

3 - (x) unir esta informação a outras obtidas por meio tradi-cional para apontar a autoria.

4 - (x) endereço IP, endereço URL e endereço de E-mail.

5. F / F / V / V

MÓDULO 2

1 - ( x ) A “lei dos cybercafés” não especifica as punições para quem não cumpre as normas vigentes e não estabe-lece o órgão governamental competente para fiscalizar o cumprimento.

2 - ( x ) Por meio do endereço IP é possível definir a região onde o criminoso utilizou a Internet.

3 - ( x ) A maior fonte de informações sobre criminosos na Internet são os provedores de acesso e os provedores de serviço na Internet.

4 - ( x ) O MLAT é um acordo de assistência legal mútua entre os países que facilita o levantamento de informações em ambiente estrangeiro.

MÓDULO 3

1 - Orientação para resposta:

Provedores de serviços são as empresas que fornecem al-gum tipo de serviços na Internet, tais como e-mail, portal de notícias, chat, comunicação instantânea, entretenimen-to, comércio eletrônico, homebank, entre outros. Esses provedores podem apontar qual o endereço IP utilizado pela conexão onde o suspeito de um crime utilizou a Inter-net para acessar o serviço no momento da prática delitu-osa. As maiores empresas do ramo são Google, Microsoft, Yahoo, UOL, entre outras.

Provedores de acesso são as empresas que disponibilizam os meios físicos de transmissão de dados e os equipamen-tos de rede de comunicação que possibilitam ao usuário acessar a Internet. Esses provedores podem identificar o endereço completo de instalação do acesso à Internet que utilizou determinado endereço IP na respectiva data e ho-rário do fato delituoso. As maiores empresas neste ramo são Oi, GVT, NET, Embratel, Claro, Vivo, TIM, dentre outras.

2 - (x) Os provedores sempre guardam os registros de eventos por 5 anos, de acordo com a legislação vigente no Brasil.

GABARITO

3 - ( x ) Endereços IP dinâmicos são compartilhados entre os vários clientes de um provedor de acesso de forma que é extremamente necessário que sejam vinculados a data e horário para que o cliente responsável seja identificado.

4 - Orientação para resposta:

Expanda o cabeçalho de uma mensagem de sua caixa de e--mail pessoal (identifique como proceder no seu programa de leitura de e-mail ou seu serviço de webmail). Identifique o IP válido que equivale ao IP da conexão de origem da mensagem. Utilize sites de geo-localização de IP como http//en.utrace.de para identificar a localização geográfica aproximada.

5 - Orientação para resposta:

Expanda o cabeçalho de uma mensagem de sua caixa de e--mail pessoal (identifique como proceder no seu programa de leitura de e-mail ou seu serviço de webmail). Identifi-que o IP válido que equivale ao IP da conexão de origem da mensagem. Utilize sites de geo-localização de IP como http//en.utrace.de para identificar a localização geográfica aproximada.

6 - Orientação para resposta:

6.1. Pesquise nos sites http://registro.br ou http://whois.sc para identificar o provedor responsável por cada um dos endereços IP fornecidos pela Microsoft. Utilize a tabela de conversão para converter os horários de uso dos en-dereços IP dos timezones da Microsoft para os brasileiros (atente-se para a questão do horário de verão).

6.2. utilize sites de geo-localização para identificar a região aproximada dos endereços IP.

MÓDULO 4

1. (x) Na Internet, principalmente em sites de redes sociais, geralmente são descartados como fonte de informação em

investigações porque os perfis são fechados e não expõem o usuário.

2. (x) Busca sistemática equivale à fazer pesquisas fre-quentes e lidar com os crimes na Internet mesmo que não haja nenhum registro oficial de vítimas.

MÓDULO 5

1 - (x) Os computadores a serem apreendidos devem ser imediatamente puxados da tomada.

2 - Orientação para resposta

Lembre-se de que o computador pode conter aplicativos de criptografia e que o conteúdo está somente na me-mória volátil. Lembre-se também que o dispositivo ar-mazenado deve ser preservado para que não seja conta-minado após o início da operação de busca e apreensão. Lembre-se ainda que a análise do material apreendido não deve ser feita no dispositivo original, mas sim em uma cópia feita bit-a-bit.

3 - (x) Todos os dispositivos apreendidos devem ser identi-ficados, catalogados, fotografados e cuidadosamente des-critos.

MÓDULO 6

1. (x) Comprar ou baixar filmes, fotos, músicas e aplicati-vos não originais.

2. (x) A engenharia reversa trabalha tentando descobrir como o malware se comunica com o atacante.

3. (x) No caso de o alvo utilizar comunicação criptografada não é possível acessar o conteúdo por meio de intercepta-ção telemática.

4. b / d / a / h / f / e / g / c