Queira o Sr. Perito demonstrar a utilização de e-mails para rastreamento de endereço IP na Internet

A identificação inequívoca de um usuário é um ponto essencial na análise forense computacional. Para que se possa atribuir responsabilidade e autoria de um ilícito a uma determinada pessoa, ou mesmo grupo de pessoas, não é possível restarem dúvidas quanto à questão da identidade.

Porém, em um mundo virtualizado, onde os usuários dispõem de inúmeros recursos para manutenção de total anonimato (Clique aqui para um outro post sobre o TOR e a privacidade na rede), rastrear uma identidade de forma consistente tornou-se um grande desafio para os peritos e investigadores forenses.

Mesmo no meio corporativo –  e estamos falando de grandes organizações que investem e mantém aparatos tecnológicos de ponta para segurança da informação – um “simples” compartilhamento de senha entre usuários pode desencadear além de um evento desastroso, o qual geralmente demanda uma análise pericial profunda, uma enorme dificuldade no rastreamento do verdadeiro responsável por tal evento, ou, até mesmo inviabilizar totalmente a real identificação deste.

Para ilustrar essa problemática forense, vamos demonstrar um caso prático e muito interessante. Nesse caso, com a impossibilidade da identificação do usuário que utilizava uma conta de e-mail falsa para suas atividades de calúnia e difamação, utilizou-se com sucesso uma técnica apelidada de “e-mail binado”.

É importante salientarmos que o cenário, fatos e todos os dados encontram-se completamente distorcidos, sem qualquer relação direta com a real ocorrência.

CASO PRÁTICO – RASTREANDO IDENTIDADE COM UM E-MAIL BINADO

Em março/2013, o diretor de TI de uma grande companhia de alimentos começou a receber e-mails de um remetente anônimo na tentativa de chantageá-lo. Tratava-se de e-mails caluniosos, que suspostamente denunciavam fatos profissionais e pessoais constrangedores desse diretor. O remetente ordenava que o diretor solicitasse a própria demissão da companhia, caso contrário, todos os “fatos” seriam levados a público.

Abaixo, um exemplo do e-mail calunioso:

De: Sr. Silva <silva171@russianmail.com> 27 de Março de 2013 09:58

Para: diretor_geral@telecom.com.br

Estou munido de todas documentações que comprovam que seu projeto de implantação do sistema Gotham na outra empresa foi um total fracasso. Você levou bola, todo mundo sabe, e o sistema até hoje não funciona lá! Agora quer implantar aqui? Quanto está levando?

Pensa que não sei do seu caso com a analista do departamento financeiro? Que vergonha, os dois casados! Tenho fotinhos, viu? O que sua mulher e filhos vão pensar???

Te dou 2 semanas pra se demitir e sair na boa. Senão jogo no ventilador e você vai se arrepender.

Seu amigo, Sr. Silva!

A reação do diretor foi a de meramente ignorar o que julgava se tratar de uma “brincadeira sem graça”. Como eram fatos infundados, simplesmente não fez questão de levar a conhecimento de ninguém. Mesmo recebendo e-mails do caluniador quase que diariamente, a atitude foi sempre a mesma: desprezar as mensagens.

Passado o prazo informado, o “Sr. Silva” realmente cumpriu sua promessa. Iniciou um ataque, disparando informações caluniosas e difamando o diretor não apenas para todos e-mails internos da empresa, mas também para o e-mail particular da esposa do diretor. O assunto ganhou os corredores, seu casamento ficou em crise e a situação cada vez mais insustentável. Mesmo sem qualquer prova das acusações, o remetente dos e-mails despejava mensagens diárias caluniando o diretor de TI. Dessa forma, o assunto foi escalonado pela Presidência da empresa à Auditoria Interna, para tratamento da ocorrência.

Delegado um especialista forense computacional para a ocorrência, verificou-se em primeiro lugar, que se tratava de um serviço de webmail russo. Em contato com o administrador do serviço, não se obteve qualquer resposta.

O segundo passo, foi analisar as informações de cabeçalho dos e-mails recebidos, para identificar o endereço IP do remetente das mensagens. A informação não poderia ser mais insatisfatória, pois o endereço IP levava a um servidor de proxy anônimo da Ucrânia.

Ao executar a ferramenta nslookup no endereço IP obtido nos cabeçalhos dos e-mails, pode se ver a informação de que se tratava de um servidor de proxy anônimo da Ucrânia.

Ao executar a ferramenta nslookup no endereço IP obtido nos cabeçalhos dos e-mails, pode se ver a informação de que se tratava de um servidor de proxy anônimo da Ucrânia.

Home page do servidor de proxy anônimo da Ucrânia – rastreabilidade bastante complexa e improvável.

Home page do servidor de proxy anônimo da Ucrânia – rastreabilidade bastante complexa e improvável.

Tratando-se de um endereço IP de um servidor hospedado em outro país, o qual já oferta um serviço “pró-anonimato” em sua natureza, as chances de obter uma informação consistente a respeito do verdadeiro endereço IP utilizado no Brasil para o envio dos e-mails, eram muito baixas. Ainda assim, foi realizada uma tentativa. O especialista forense fez contato com o administrador do servidor na Ucrânia, o qual foi muito sincero em informar que, lamentava pelo fato do servidor proxy anônimo ter sido utilizado para finalidades ilícitas, e que, como era prometido total anonimato, o servidor não guardava logs. Dessa forma, mesmo que o administrador tivesse intenção de colaborar, não existiam informações para o rastreamento do real endereço IP dos usuários em tal servidor.

Nesse momento, sabia-se da complexidade e falta de celeridade ao se optar por um trâmite jurídico para tentativa de obtenção do endereço IP do Brasil, fosse junto ao serviço de webmail Russo, ou mesmo junto ao serviço de proxy na Ucrânia. Muito provavelmente, anos se passariam até um desfecho o qual já se esperava que não conduzisse às informações necessárias dos servidores estrangeiros.

Usando o conhecimento de casos como esse, onde a técnica do “e-mail binado” funcionou com sucesso, o especialista forense decidiu adotá-la.

Como em tais casos os criminosos geralmente se munem de artifícios que impedem o rastreamento do seu endereço IP no ENVIO dos e-mails, uma estratégia foi traçada baseada nessa informação.

Tal como o proxy anônimo usado, o método do envio de um e-mail binado, consiste em utilizar um serviço especializado de comprovação de envio e leitura de e-mails e com isso “aguçar” a curiosidade do criminoso enviando um simples e-mail e aguardar a sua LEITURA.

Na maioria das vezes há um cuidado redobrado no envio de e-mails dessa natureza, mas como não se espera que o simples abrir de um e-mail na caixa de entrada possa revelar uma informação de rastreamento, nem sempre a cautela em utilizar o proxy anônimo para leitura pelos criminosos ocorre.

Abaixo, um modelo do e-mail binado enviado, utilizando ferramenta especializada[1]:

Mensagem simples, assunto “OK” e conteúdo “OK” enviado para o autor das mensagens, porém, com o recurso de rastreamento da leitura.

Mensagem simples, assunto “OK” e conteúdo “OK” enviado para o autor das mensagens, porém, com o recurso de rastreamento da leitura.

E felizmente quando da leitura do e-mail, foi possível obter um endereço de IP brasileiro:

Obtenção do endereço IP brasileiro por meio da leitura do e-mail binado.

Obtenção do endereço IP brasileiro por meio da leitura do e-mail binado.

Podemos observar que o assunto e o conteúdo do e-mail foram um simples “OK”. O criminoso não foi “induzido” à leitura, mas o fez por sua própria vontade e curiosidade. Vale ressaltar que o envio de um e-mail do tipo, com confirmação de recebimento e leitura, não infringe qualquer lei: pode-se dizer que se trata do equivalente em meio virtual, ao envio de uma correspondência registrada e com AR (Aviso de Recebimento pelos Correios), ou mesmo de uma notificação extrajudicial enviada por meio de um Cartório.

Após a abertura de um inquérito policial, para a quebra do sigilo do endereço IP brasileiro obtido, esta foi autorizada judicialmente, e o provedor de acesso informou os dados cadastrais relacionados ao endereço na data / horário da abertura do e-mail binado:

ENDEREÇO IP 200.171.171.171 – 29/05/2013 – 10:46:25 (UTC)

ASSINANTE: Fulano da Silva

ENDEREÇO: Rua do Nunca  66 – AP 123, Jardim SP , SÃO PAULO – SP

FONE: (11) 99999-9999

O usuário identificado batia com o cadastro de colaboradores da empresa: era um Gerente Geral da área de TI. Depois de identificado, o mesmo confessou ter enviado os e-mails de calúnia, pois esperava que, com a saída do diretor, iria ele mesmo assumir o cargo o qual aguardava há muitos anos, sem sucesso. O desfecho, no entanto, foi muito diferente do que esperava: munida das evidências, a empresa optou pela demissão do Gerente Geral por Justa Causa, além do mesmo sofrer um processo criminal e cível por parte do diretor de TI, completamente prejudicado com a calúnia e difamação.

Fica, assim, ilustrado um caso da utilização do “e-mail binado”, com o qual foi possível o rastreamento da identificação inequívoca do criminoso em questão. Pode-se perceber, com a utilização de métodos como esse, que além do conhecimento técnico e jurídico, é de suma importância na ciência forense computacional um fator as vezes esquecido: a criatividade. Até a próxima.


[1] Um dos mais populares softwares para essa finalidade era o “SpyPig” que foi descontinuado recentemente. Existem outras ferramentas disponíveis para essa finalidade. Mais em: http://alternativeto.net/software/spypig/

4 comentários sobre “Queira o Sr. Perito demonstrar a utilização de e-mails para rastreamento de endereço IP na Internet

  1. Obrigado pelo comentário Alexandre. Estamos trabalhando duro para termos sempre material atualizado. Continue nos acompanhando e grande abraço.

  2. Olá, troquei e-mails com meu “chefe” quando sair do trabalho, e nestes e-mails ficaram evidentes varias condutas ilícitas por parte dele e da empresa. Depois de um tempo, esses e-mails sumiram da minha caixa de entrada. Certamente como era e-mail corporativo ele entrou e apagou tudo. Tenho como comprovar que não fui eu quem apagou, que foi apagado por o administrador do e-mail corporativo? Estou aterrorizada com tamanha invasão!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s