Desenvolvimento

29 jan, 2015

A importância do e-mail no rastreamento de IPs na Internet

Publicidade

Artigo feito com a colaboração de Fernando Neves*

***

A identificação inequívoca de um usuário é um ponto essencial na análise forense computacional. Para que se possa atribuir responsabilidade e autoria de um ilícito a uma determinada pessoa, ou mesmo a grupo de pessoas, não é possível restarem dúvidas quanto à questão da identidade.

Porém, em um mundo virtualizado, no qual os usuários dispõem de inúmeros recursos para manutenção de total anonimato (como o TOR – The Onion Router -, software livre que dificulta o rastreamento e a interceptação de informações trafegadas em rede), rastrear uma identidade de forma consistente tornou-se um grande desafio para os peritos e investigadores forenses.

Mesmo no meio corporativo, em ambientes que, normalmente, possuem grande aparato tecnológico para a segurança da informação, um “simples” compartilhamento de senha entre usuários pode desencadear um evento desastroso, o qual, por si só, já demandaria uma análise pericial profunda. Nesses casos, as enormes dificuldades de rastreamento do verdadeiro responsável podem, em algumas situações, até inviabilizar sua identificação pela perícia.

Para ilustrar essa problemática forense, vamos tomar como base um caso prático e baseado em fatos reais, em que um gerente de uma grande empresa recebeu diversos e-mails com ameaças baseadas em calúnias e difamações de sua vida pessoal e profissional. O remetente, nesse caso, utilizava-se de uma conta de e-mail falsa para suas atividades ilícitas. Com a técnica apelidada de “e-mail binado”, os investigadores conseguiram identificar os dados do criminoso.

É importante salientar que o cenário, os fatos e todos os dados encontram-se completamente distorcidos, sem qualquer relação direta com a real ocorrência.

Caso prático – rastreando identidade com um e-mail binado

Em março/2013, o diretor de TI de uma grande companhia de alimentos começou a receber e-mails de um remetente anônimo na tentativa de chantageá-lo. Tratava-se de e-mails caluniosos, que supostamente denunciavam fatos profissionais e pessoais constrangedores desse diretor. O remetente ordenava que o diretor solicitasse a própria demissão da companhia; caso contrário, todos os “fatos” seriam levados a público.

A reação do diretor foi a de meramente ignorar o que julgava se tratar de uma “brincadeira sem graça”. Como eram fatos infundados, simplesmente não fez questão de levar a conhecimento de ninguém. Mesmo recebendo e-mails do caluniador quase que diariamente, a atitude foi sempre a mesma: desprezar as mensagens.

Passado o prazo limite informado pelo caluniador no e-mail, o “Sr. Silva”, como este assinava, realmente cumpriu sua promessa. Iniciou um ataque, disparando informações caluniosas e difamando o diretor não apenas para todos os e-mails internos da empresa, mas também para o e-mail particular da esposa do diretor. O assunto ganhou os corredores, seu casamento ficou em crise e a situação, cada vez mais insustentável. Mesmo sem qualquer prova das acusações, o remetente dos e-mails despejava mensagens diárias caluniando o diretor de TI. Dessa forma, o assunto foi escalonado pela Presidência da empresa à Auditoria Interna, para tratamento da ocorrência.

Delegado um especialista forense computacional para a ocorrência, verificou-se, em primeiro lugar, que se tratava de um serviço de webmail russo. Em contato com o administrador do serviço, não se obteve qualquer resposta.

O segundo passo foi analisar as informações de cabeçalho dos e-mails recebidos, para identificar o endereço IP do remetente das mensagens. A informação não poderia ser mais insatisfatória, pois o endereço IP levava a um servidor de proxy anônimo da Ucrânia.

Nesse momento, sabia-se da complexidade e da falta de celeridade ao se optar por um trâmite jurídico para tentativa de obtenção do endereço IP do Brasil, fosse junto ao serviço de webmail Russo, ou mesmo junto ao serviço de proxy na Ucrânia. Muito provavelmente, anos se passariam até um desfecho, o qual já se esperava que não conduzisse às informações necessárias dos servidores estrangeiros.

Usando o conhecimento de casos como esse, onde a técnica do “e-mail binado” funcionou com sucesso, o especialista forense decidiu adotá-la.

Com a utilização do serviço de e-mail registrado da RPost, serviço de mensagem eletrônica que registra todo o trajeto de links e servidores percorridos pelo documento, desde a origem até o destino, trazendo informações exatas sobre o instante do envio e a chegada da notificação ao e-mail do destinatário, uma estratégia foi traçada.

Tal como o proxy anônimo usado, o método do envio de um e-mail binado consiste em se utilizar a funcionalidade de comprovação de envio e leitura da mensagem, presente na solução, para “aguçar” a curiosidade do criminoso enviando um simples e-mail e aguardando a sua LEITURA.

Na maioria das vezes, há um cuidado redobrado no envio de e-mails dessa natureza, mas como não se espera que o simples abrir de um e-mail na caixa de entrada possa revelar uma informação de rastreamento, nem sempre a cautela em utilizar o proxy anônimo para leitura pelos criminosos ocorre.

E felizmente, neste caso, o criminoso mordeu a isca e leu o e-mail, sendo possível obter um endereço de IP brasileiro: pudemos observar que o assunto e o conteúdo do e-mail foram um simples “OK”. O criminoso não foi “induzido” à leitura, mas o fez por sua própria vontade e curiosidade.

Vale ressaltar que o envio de um e-mail do tipo, com confirmação de recebimento e leitura, não infringe qualquer lei: pode-se dizer que se trata do equivalente, em meio virtual, ao envio de uma correspondência registrada e com AR (Aviso de Recebimento pelos Correios), ou mesmo de uma notificação extrajudicial enviada por meio de um cartório.

Após a abertura de um inquérito policial, para a quebra do sigilo do endereço IP brasileiro obtido, esta foi autorizada judicialmente, e o provedor de acesso informou os dados cadastrais relacionados ao endereço na data/horário da abertura do e-mail binado:

O usuário identificado batia com o cadastro de colaboradores da empresa: era um Gerente Geral da área de TI. Depois de identificado, ele confessou ter enviado os e-mails de calúnia, pois esperava que, com a saída do diretor, iria ele mesmo assumir o cargo que aguardava há muitos anos, sem sucesso. O desfecho, no entanto, foi muito diferente do que esperava: munida das evidências, a empresa optou pela demissão do Gerente Geral por Justa Causa, além de ele sofrer um processo criminal e cível por parte do diretor de TI, completamente prejudicado com a calúnia e difamação.

Pode-se perceber que com a utilização de métodos como esse, além do conhecimento técnico e jurídico, é de suma importância na ciência forense computacional um fator às vezes esquecido: a criatividade.

***

* fernando nevesFernando Neves – Tem mais de 25 anos de experiência em gestão de negócios em empresas multinacionais. Construiu e executou nas empresas de tecnologia privadas e públicas, atuando como CEO, vice-presidente de desenvolvimento de negócios internacionais e consultor de grandes empresas corporativas em os EUA, Europa e América Latina. Ele atuou por vários anos como membro do Conselho Executivo do parceiro de negócios Lotus / IBM. Neves, um nativo do Brasil, possui graduação de Bacharel em Informática pela Faculdade de Tecnologia de São Paulo (FATEC) no Brasil e é formado em vários programas executivos na Escola MIT Sloan-of Business. Neves gasta seu tempo livre no mar, mergulho e windsurf.