Mdulo 3

INTERNET E SERVIOS DE
REDE DE COMUNICAO

Neste mdulo voc estudar sobre a estrutura de funcionamento da Internet e

seus servios, bem como, os mtodos para investigar utilizando os endereos eletrnicos da
Internet com o objetivo de buscar a localizao e identificao de autoria.

Objetivos do mdulo
Ao final deste mdulo, voc dever ser capaz de:
Compreender o funcionamento bsico da Internet, seus provedores e seus servios;
Identificar os endereos eletrnicos da Internet;
Conhecer os protocolos de endereamento da Internet;
Conhecer os mtodos de identificao da origem e rastreamento da localizao
de um interlocutor na Internet.

Estrutura do mdulo
Este mdulo possui as seguintes aulas:
Aula 1 A Internet e os protocolos TCP/IP
Aula 2 Servio de web sites na Internet
Aula 3 Servio de mensagens eletrnicas na Internet

AULA 1

A Internet e os
protocolos TCP/IP

1.1 Provedores de
Internet e tipos de
acesso

Na Internet existem dois tipos de provedores:

O PROVEDOR DE ACESSO, (ISP Internet

Service Provider ou PSI
Provedor de Servio de Internet), que prov as
condies fsicas e os equipamentos para que
seu computador seja ligado Internet.
Empresas de Telecomunicaes, tais como OI,
GVT, EMBRATEL, VIVO, CLARO, TIM, etc.

O PROVEDOR DE SERVIOS
que disponibiliza os servios de Internet para
uso pblico, gratuitamente ou no.

MICROSOFT / Hotmail, MSN GOOGLE /

Gmail, Orkut, Youtube, Picasa, GoogleEarth,
GoogleMaps YAHOO! / Yahoo, YahooMessenger UOL / Portal, Chat, Mail IBEST / IbestMail,
IG / IGMail, TERRA / Portal/Mail, LOCAWEB /
Hospedagem, FACEBOOK / RedeSocial, etc.
Os provedores de acesso disponibilizam variadas tecnologias para acesso Internet, tais como linha telefnica, cabo coaxial (TV a cabo), via celular (2G/3G/4G),
links dedicados de radiofrequncia, rede eltrica, etc. O
usurio apenas escolhe de qual empresa ser cliente e solicita a instalao da Internet, mediante assinatura de um
contrato, onde previsto o tipo de tecnologia que ser utilizado para acesso fsico.
Quando o usurio liga o seu equipamento em
casa, ele utiliza uma dessas tecnologias para acesso fsico

aos dispositivos de rede da operadora (ISP) que por sua vez

do acesso Internet.
1.2 Os endereos
eletrnicos

Os endereos eletrnicos so sempre as primeiras fontes de investigao. Por isso, importante entender
como eles funcionam.
Basicamente, h trs tipos de endereos Internet:

ENDEREO URL (UNIVERSAL RESEARCH

LOCATOR):
o endereo digitado no navegador.
www.pcdf.df.gov.br, ead.senasp.gov.br, www.
uol.com.br);

ENDEREO DE CORREIO ELETRNICO

(E-MAIL):

identificado por uma conta de correio eletrnico cujo endereo sempre tem o smbolo @
separando o nome da caixa de correio e o provedor do servio.

meu nome@provedor.df.gov.br);

ENDEREO IP (INTERNET PROTOCOL):

que identifica cada conexo Internet.

200.153.1.67
Os endereos URL que voc digita no seu navegador no so entendidos pelas mquinas diretamente.
Eles so utilizados por serem mais fceis de memorizar.
Por isso, um servio chamado DNS (Domain Name System
Sistema de Nome de Domnio) responsvel por traduzir os endereos URL em endereos IP numricos, que so
mais facilmente manipulados pelos computadores e equipamentos de rede. O endereo IP numrico propicia a entrega dos pacotes de informao ao destino correto.
Os endereos IP numricos da forma decimal so
convertidos em endereos IP binrios representados por sinais eltricos (onde 0 falta de sinal e 1 sinal presente).
Algo que forma ondas eltricas representadas graficamente
por linhas com sinal e sem sinal, que, sincronizadas, so
entendidas pelos computadores e equipamentos de rede.
Algo muito veloz e transparente para o usurio.
A figura a seguir, demonstra a representao grfica do endereo IP. Verifique!

Praticando...
Os endereos URL, de correio eletrnico e os endereos IP so imprescindveis
para investigaes, pois esto envolvidos nos
principais servios de Internet. Mais adiante
no curso, voc, aluno, conhecer os procedimentos de utilizao desses endereos para
determinar a localizao da origem de uma
mensagem na Internet.

Supondo que voc usurio do sistema operacional Windows, descubra o endereo IP que o seu provedor de Internet alocou para voc navegar neste exato momento. Siga o procedimento a seguir:
1. Abra uma tela de prompt (na rea de trabalho,
clique no boto iniciar, escolha a opo executar e escreva cmd + <ENTER>).

2. Na tela negra digite o comando ipconfig /all. Talvez voc esteja numa intranet (ento o seu
endereo IP dever iniciar com 10.x.x.x, 172.16.x.x ou
192.168.x.x). Se for esse o caso e voc quiser descobrir
qual o seu IP vlido, ou seja, com qual IP voc reconhecido na Internet, ento acesse o site www.cmyip.com e voc
ver o seu endereo IP vlido na tela do site.
Mais adiante ser explicada a diferena entre um
endereo IP vlido e um endereo IP de intranet. Por hora,
o importante saber que os endereos IP so a principal e
mais confivel informao que uma equipe de investigao pode utilizar para rastrear a origem de uma mensagem
ou comunicao na Internet.

No h meios para alterar o endereo IP de uma conexo, mas possvel forjar

ou disfarar um endereo IP de origem. No
entanto, seria preciso dominar tcnicas mais
avanadas de redes de comunicao ou utilizar ferramentas como proxies ou botnets.
NOTA
No ltimo mdulo esses conceitos sero tratados, embora a abordagem seja feita de forma superficial, j
que para entrar em detalhes seria necessrio um mdulo
avanado. Contudo, ressalta-se que so recursos utilizados
extraordinariamente por criminosos, fugindo ao objetivo
do curso, que tratar os principais crimes que aparecem
no dia-a-dia.
1.3 Eventos e
registros de
eventos (LOGs)

No caso de servio de acesso Internet com endereo IP dinmico, A diferena entre IP esttico e IP dinmico ser esclarecida mais adiante. antes de iniciar a sua
navegao, a operadora designa ao cliente um endereo IP
que serve para habilitar a sua navegao na Internet, alm
de localiz-lo e identific-lo. Ento, o endereo IP distribudo pela operadora, especificamente naquele intervalo de
data e horrio fica alocado para aquele cliente.

O ato de alocar um endereo IP para um cliente durante um determinado intervalo de tempo gera um
evento. Consequentemente, o ato de armazenar a identificao, data, horrio e respectivo endereo IP alocado ao
cliente gera o que tecnicamente denominado registro de
evento ou LOG.

importante que os membros da

equipe de investigao saibam que a maioria
dos provedores de acesso Internet registra e
armazena os LOGs de todos os seus clientes,
embora no exista padronizao de tempo
de armazenamento desses LOGs. Assim, esta
informao pode ser solicitada para compor
provas na investigao.
1.4 A falta de
padronizao,
normas e
legislao

Como voc estudou no mdulo 2, no h legislao que obrigue o armazenamento dos registros de eventos, tampouco que estabelea o tempo que a informao
tem que ficar armazenada. Por isso, cada provedor de acesso faz o procedimento de acordo com o seu entendimento,
j que no h nenhuma norma ou padro.
Assim que a autoridade policial identificar um
endereo IP utilizado pelo suspeito de um crime e a respectiva data e horrio de uso, seu dever solicitar ao provedor
responsvel o fornecimento ou ao menos a preservao
das informaes cadastrais e registros de eventos do cliente responsvel pela linha de acesso, j que essa informao
pode ser extremamente voltil, devido falta de legislao
ou padronizao.

A falta de uma legislao faz com

que cada provedor tenha uma postura diferente de colaborao com a investigao e
com a autoridade policial, bem como sobre o
tempo em que os LOGs devem permanecer

registrados. Algo totalmente sem padronizao e excessivamente dependente do entendimento de cada provedor.
Tambm por falta de legislao, poucos provedores fornecem os LOGs por solicitao da autoridade
policial (Ofcio assinado pelo Delegado), autoridade do
Ministrio Pblico (Oficio assinado pelo promotor de justia) ou somente por determinao da autoridade judiciria
(mandado judicial). A grande maioria, condiciona o fornecimento dos LOGs ordem judicial.
importante que na solicitao da
autoridade policial conste claro o pedido de
preservao para os casos em que o provedor somente fornea a informao mediante
apresentao de mandado judicial, j que a
expedio de um mandado judicial pode demorar algum tempo devido s burocracias
inerentes ao processo.

O Endereo IP1 identifica a conexo do Provedor 1 e O Endereo IP2 identifica a conexo do Provedor 2.
Observe os dois endereos IP no mesmo computador identificando conexes de provedores diferentes
instaladas fisicamente no mesmo endereo geogrfico.
Isto acontece por qu?
A conexo virtual funciona sobre uma estrutura
fsica de aceso Internet instalada pelo provedor de acesso
(operadora de telefonia/TV/celular/rdio). A estrutura fsica no se altera, exceto por solicitao do usurio (nesse

1.5 O endereo IP como

identificador da
conexo Internet

muito importante entender que os endereos IP no identificam um computador. Normalmente, o

computador pode ser desligado e transportado para outro
endereo, outra cidade, outro pas e se for conectado novamente Internet, certamente o endereo IP a ele atribudo
ser outro.
Para deixar claro que o endereo IP no do terminal de computador, pense em um computador que tem
mais de uma placa de rede ligando-o a mais de uma rede
ou provedor de Internet e cada uma das conexes que ele
efetua ter um endereo IP. Se o endereo IP pertencesse
ao computador, ento, neste caso, haveria dois endereos
IP para o mesmo terminal.

Conclui-se que o endereo IP identifica a conexo virtual que se abre para que
o usurio possa acessar a Internet.

caso, seria necessria uma reinstalao do circuito fsico

pela operadora).
Quando o provedor atribui um endereo IP ao
cliente, ele registra em um banco de dados interno qual foi
o endereo IP alocado para aquele cliente, data e horrio e
a identificao do cliente que est recebendo aquele endereo IP. Este processo automtico, rpido e o usurio leito
sequer percebe.
Quando o cliente encerra a conexo, o provedor
volta a registrar a data e horrio do final da conexo vincu-

lado ao endereo IP, que automaticamente desalocado e

liberado para uso de outro cliente.
O registro dos eventos de cada cliente o que
faz o provedor ser capaz de identificar o responsvel e dar
a localizao de qualquer endereo IP em qualquer data e
horrio.
1.6 Os endereos IP
reservados para
Intranet

Como os endereos IP aparecem frequentemente numa investigao envolvendo comunicaes pela

Internet, interessante saber analisar principalmente os
cabealhos de mensagens envolvidas em crimes, ou seja,
preciso identificar, entre vrios outros endereos IP que
aparecem em um cabealho, qual relevante para identificar a origem da comunicao.
Ento, ao analisar o cabealho com vrios endereos IP, necessrio excluir os que so irrelevantes, como
por exemplo, alguns endereos IP de rede privada que aparecem nos cabealhos de mensagens. Costumam aparecer
endereos IP reservados para trfego de redes intranet (j
citados - iniciam com 10.x.x.x, 172.16.x.x ou 192.168.x.x).
Se qualquer desses endereos IP aparecer no cabealho
de uma mensagem de e-mail no momento em que estiver
procurando pela origem da conexo, ele deve ser desconsiderado, exceto nos casos em que necessrio identificar
um computador dentro de uma rede privada, utilizando os
LOGs internos.
1.7 Os endereos
IP estticos e
dinmicos

Voc j estudou que quando um terminal de

computador ou equipamento de rede ligado, ele ganha
um endereo IP dado pelo provedor de acesso. Ento conclui-se que os endereos IP mudam com frequncia. Isso
o que se denomina endereo IP dinmico.
Contudo, os provedores de acesso podem disponibilizar o servio de acesso Internet com um endereo
IP fixo ou esttico. Nesse caso, a conexo vai sempre ter o

mesmo endereo IP e o provedor de acesso vai cobrar uma

taxa extra para deixar aquele endereo IP disposio do
assinante.
Isso raro de acontecer para usurios residenciais, pois o principal objetivo de ter um endereo IP esttico colocar servios Internet no ar, como hospedar uma
pgina web, disponibilizar um servidor/provedor de contas de e-mail, servios de DNS, transferncias de arquivos,
entre outros.
Para identificar se um endereo IP investigado
esttico ou dinmico, alm de solicitar essa informao ao
provedor responsvel pelo endereo IP, pode-se procurar
por servios de Internet ativos naquele endereo IP. Para
isso, pode-se utilizar um programa de varredura (port-scan) ou simular acesso aos principais servios de internet
para ver h alguma resposta.
As respostas a essas simulaes podem trazer o
nome da empresa ou algo que identifique o local onde est
a conexo vinculada quele endereo IP. Talvez isso possa
agilizar o processo de investigao, evitando que seja necessrio contatar a operadora de telefonia para descobrir o
local fsico de instalao da conexo Internet investigada.
1.8 Como identificar o
local da conexo
do endereo IP
investigado

A primeira providncia aps identificar o endereo IP que originou a comunicao objeto do crime
identificar o local ou regio de onde partiu a comunicao.
Oficialmente, o melhor a fazer entrar em contato com o provedor responsvel e solicitar a ele as informaes. No esquecendo que os endereos IP dinmicos
devem estar sempre vinculados a uma data, horrio e timezone (fuso-horrio), j que a Internet mundial.
Algumas vezes, principalmente quando o provedor da mensagem envolvida no crime est fora do Brasil,
a equipe de investigao vai se deparar com horrios referenciados em timezones diferentes dos brasileiros (o timezone de Braslia GMT -0300, podendo ser modificado
para GMT -0200, durante a vigncia de horrio brasileiro

de vero), sendo aconselhvel equipe de investigao

efetuar a converso para o horrio brasileiro.
1.8.1 Converso de
timezones

Como foi citado anteriormente, h muitos provedores gratuitos utilizados por usurios brasileiros, sendo
a maioria deles sediados na Califrnia, nos Estados Unidos
da Amrica, onde o timezone geralmente GMT (fazer
hint para: Greenwich Mean Time) -0800 (ou PST Pacific
Standard Time) e GMT (Fazer hint para: Greenwich Mean
Time) -0700 (ou PDT Pacific Daylight Time) no horrio
de vero. (figura 7).
Ento, h uma diferena para o horrio brasileiro
de 4 a 6 horas em relao ao horrio estadunidense, dependendo se horrio de vero aqui no Brasil e l na Califrnia.
Quando a equipe de investigao recebe informaes de provedores de servio estrangeiros (prin-

cipalmente e-mail, tais como GOOGLE, MICROSOFT e

YAHOO!), os endereos IP que acessaram a conta de e-mail
investigada viro vinculados a horrios com referncia timezone do local da sede do provedor. Esses endereos
certamente devero ser consultados nos provedores de
acesso Internet para identificar a empresa/operadora
responsvel pela linha Internet que deu origem ao crime.
Ento, prudente que as consultas sejam feitas em horrio
local (brasileiro GMT -0300 ou GMT -0200).

Ao fazer a converso, preciso que

a equipe de investigao se cerque de cuidados para no errar nesse procedimento, pois
como os endereos IP geralmente so dinmicos, um erro de 1 hora pode acabar gerando a identificao de uma conexo incorreta,
fazendo a equipe de investigao incorrer em
grave erro ao identificar o responsvel.

1.8.2 Mtodo para

converso de
timezones

Como a converso de horrios (timezones)

algo muito comum na rotina de investigao de crimes
cibernticos, como sugesto de mtodo para a converso,
ser apresentada a seguir uma tabela que visa facilitar a
converso dos horrios na hora de fazer a anlise de relatrio de registro de eventos fornecidos por provedores
estrangeiros.

Tabela de converso de horas

Esta tabela considera os parmetros de timezone denominados PDT e PST que so os mais comuns nos
relatrios fornecidos pelos provedores estadunidenses.
A maioria desses provedores encontra-se na costa oeste
norte-americana, onde esses timezones so usados (no
horrio de vero - summer time - ou no horrio normal).
As horas so alinhadas de forma que possvel converter
rapidamente os fusos norte-americanos (PDT e PST) em
fusos brasileiros (GMT -0300 e GMT -0200).

A equipe de investigao jamais

poder fazer a converso de forma incorreta
ou esquecer-se de faz-la. Erros nesse procedimento so inadmissveis, sob pena de
identificar alvos errados e prejudicar todo o
trabalho de investigao.

Suponha que a equipe de investigao recebeu

da Microsoft (Empresa sediada na Califrnia,
US) um relatrio contendo registros de eventos
com ocorrncias de uso de uma conta de e-mail
daquele provedor, onde o investigado utilizou
um determinado endereo IP nos seguintes horrios:
O endereo IP 200.168.1.10 foi utilizado no
dia 10/01/2013, s 11:56 pm PST.
O endereo IP 187.2.45.89 foi utilizado no dia
24/02/2013, s 11:40 am PDT.
Ao preparar o ofcio para a operadora de Telecom (brasileira) que administra os endereos IP
indicados, os horrios devem ser convertidos de
PST e PDT para os timezones brasileiros GMT
-0200 e GMT -0300.
No primeiro caso, utilizando a tabela sugerida,
na coluna PST, encontra-se as horas equivalentes a 11 pm na penltima linha. Como no dia
10/01/2013 estava vigente o horrio de vero
no Brasil, ento, o horrio correspondente a
11pm (ou 23 horas) seria 05:00 horas (do dia seguinte). Ento, no dia 10/01/2013, s 11:56 pm
PST, equivale dia 11/01/2013, s 05:56, GMT
-0200.
No segundo caso, utilizando novamente a tabela
sugerida, na coluna PDT, encontra-se as horas equivalentes a 11 am. Como no dia 24/02/2013 no
estava vigente o horrio de vero no Brasil, ento, o
horrio correspondente a 11am seria 15:00 horas.
Ento, no dia 24/02/2013, s 11:40 am PDT, equivale ao mesmo dia, s 15:40, GMT -0300.
1.9 Como identificar
o provedor de
acesso de um
endereo IP
investigado?

A organizao e distribuio dos endereos IP

mantida por entidades hierarquicamente e regionalmente

distribudas. No Brasil, inicialmente, a Fundao de Amparo Pesquisa do Estado de So Paulo (FAPESP) pioneira
no uso da Internet no Brasil, herdou a atribuio de manter
a organizao da distribuio dos endereos IP e dos nomes de domnio de sites na Internet. Contudo, atualmente,
o NIC.br (entidade ligada ao Comit Gestor da Internet
CGI) o rgo responsvel.
A consulta a esse banco de dados pblica e
aberta, podendo ser realizada nos sites http://registro.br e
http://www.whois.sc.

Acesse o site http://en.utrace.de , digite o endereo IP indicado e clique no boto Search.

O IP investigado, conforme indicado na figura a
seguir, serve regio de Florianpolis/SC.

Praticando...
Experimente consultar um endereo IP qualquer
(vlido) ou um endereo de um site que voc conhece.
Localizao geogrfica do endereo do IP

1.10 Como obter uma

localizao
aproximada do
endereo IP

Se a equipe de investigao no consegue informaes sobre o usurio de um endereo IP diretamente

com o provedor de acesso ou se esse processo atrasa a investigao, possvel identificar com um nvel de certeza
razovel ao menos a regio onde o endereo IP provavelmente estaria servindo.
H vrios sites na Internet que oferecem servio
de geolocalizao aproximada de endereos IP. importantssimo ressaltar que esses sites so extra-oficiais e no
tm qualquer responsabilidade ou garantia. Contudo, as
respostas dadas oferecem nvel de confiabilidade razovel.
Um dos mais reconhecidos no meio de investigao de crimes cibernticos o site www.en.utrace.de . Acesse, digite
o endereo IP investigado e na maioria das vezes ter uma
boa ideia da regio de onde o alvo acessou a Internet para
manter a comunicao envolvida no crime.

A equipe de investigao pode utilizar este procedimento para descobrir a localizao geogrfica aproximada de qualquer endereo IP. Execute o procedimento
para outros endereos IP.

A regio onde se encontra o criminoso til para definir o a circunscrio responsvel pela apurao da autoria do crime.
Diversas vezes o criminoso est em outro
Estado e ser necessrio manter contato ou
enviar dados Polcia Civil da outra Unidade
da Federao. Tambm til para confirmar
suspeitas de que o criminoso esteja numa regio especfica (fronteira, nordeste, sudeste
ou fora do Brasil).
Agora que voc j entendeu sobre o funcionamento da Internet e da pilha de protocolos TCP/IP, principalmente, sobre a formao dos endereos IP, sua classificao, como identific-los, como localizar e onde buscar
informaes sobre ele, voc est apto a dar prosseguimento ao estudo dos principais servios de Internet, os quais
Identificando a localizao geogrfica do ende- constantemente so envolvidos em crimes. Na prxima
aula, voc estudar sobre o funcionamento dos servios
reo IP 200.102.56.78.
de sites e mensagens eletrnicas.

AULA 2

Servio de web sites

na Internet

2.1 Sites e registro de

domnios

Uma causa frequente de registros de ocorrncias

policiais o crime de estelionato geralmente ocorrido via
comrcio eletrnico, onde o vendedor anuncia um produto inexistente, recebe o pagamento e no envia o produto
ao comprador. Isso ocorre tanto em sites de comrcio eletrnico e leiles, como em sites falsos que simulam lojas
na Internet, muitas vezes utilizando nomes de lojas j existentes.
O interessante para a equipe de investigao
nesses casos saber que os provedores de servios de comrcio eletrnico provavelmente podem e tm interesse
em colaborar com a autoridade policial para diminuir as
ocorrncias de estelionato no seu site, tornando-o mais
confivel para os clientes.
Nos casos de sites falsos, ressalta-se que antes
de colocar um site falso no ar, o criminoso, tal como qualquer usurio da Internet, tem que cumprir um ritual necessrio e obrigatrio para todos os usurios que iniciam esta
atividade na Internet. O primeiro passo sempre escolher
um domnio vlido e desocupado.
Um domnio, na Internet, o nome a ser digitado
na barra de endereos do navegador para acessar o site.
O conceito de domnio muitas vezes se confunde com o
conceito de endereo URL, diferenciando apenas pelas
iniciais http://www, que, quando existentes, antecedem

o nome de domnio, mas tecnicamente no fazem parte do

conceito.
Em geral, o comerciante que investe em um site
na Internet para efetuar suas vendas, escolhe um nome
de domnio parecido com o de sua loja, quando ele est
disponvel e desocupado. O criminoso certamente seguir
esta mesma regra para que seu site no se diferencie dos
demais sites. comum utilizar o nome de lojas j existentes e se fazer passar por elas.
2.2 Registro de
domnios no Brasil

A verificao de disponibilidade do nome de domnio escolhido, no caso de domnio brasileiro (endereos

terminados em .br) deve ser feita diretamente no site
http://registro.br .
Seguindo as regras de validao do domnio, o
criminoso poder registrar e cadastrar o seu domnio, mediante apresentao das suas informaes pessoais e pagamento de uma taxa anual.
A consulta s informaes cadastrais que, foram
apresentadas no ato do registro do domnio, so pblicas
e livremente consultadas no site http://registro.br. O pagamento da taxa anual feito via boleto bancrio e as informaes do pagador podem ser obtidas com a FAPESP ou
Comit Gestor da Internet no Brasil.

2.3 Registro de
domnios fora do
Brasil

No caso de domnios fora do Brasil, cada nao

tem seu procedimento especfico, sendo nos Estados Unidos (domnios terminados em .com ou .org so os
que aparecem com maior frequncia na rotina de investigao) o processo de cadastramento de domnio mais
liberal. Por isso, quase nunca a equipe de investigao poder contar com informaes de registro. A documentao
exigida mnima e os pagamentos podem ser realizados
via carto de crdito internacional. H vrias empresas
que oferecem o servio para fazer o registro do domnio de
terceiros (exemplo: http://www.godaddy.com/dominios)
e elas deixam claro em seus sites que mantm em sigilo
absoluto as informaes do verdadeiro dono do domnio.
2.4 Hospedagem de
sites

Outra fonte de informao, talvez at mais importante que os dados cadastrais de quem registrou o domnio, a localizao de onde est hospedada a pgina.
Muitas vezes essa informao pode ser coincidente, mas
a possibilidade deve ser verificada pela equipe de investigao.
No prprio site de consulta pblica (www.
whois.sc) possvel encontrar informaes sobre onde
o site est hospedado. No entanto, o procedimento mais
indicado, que pode ser efetuado paralelamente para confirmar a informao, abrir uma tela de prompt (no Windows, basta clicar no boto Iniciar na barra inferior da
rea de trabalho escolher a opo executar e digitar o
comando cmd - mnemnico de command).

Praticando...
Na tela negra do prompt, digite o comando
ping seguido do endereo completo do site investigado.
Suponha que voc quer descobrir o endereo IP
de um site (neste exemplo www.uol.com.br).

No prompt, digite: pingwww.uol.com.br, tal

como a seguir:

Descobrindo o endereo do IP

A resposta traz o endereo IP 200.147.67.142,

que corresponde ao endereo IP do servidor WEB (servidor de pginas web) que est hospedando o site www.
uol.com.br. A equipe de investigao poder agora identificar no http://whois.sc o nome da empresa proprietria
do endereo IP indicado. Essa empresa certamente poder fornecer informaes sobre o verdadeiro dono do site
criminoso. Faa o procedimento para outros sites alm do
www.uol.com.br.
2.5 Buscando a
origem de uma
hospedagem de site

Ento, na investigao da origem de um site envolvido em crimes, buscando o verdadeiro responsvel

por um site criminoso, preciso observar, alm dos registros de domnio junto ao site registro br e www.whois.sc,
as informaes sobre o local de hospedagem da pgina
web, registros sobre a atualizao do contedo do site e
pagamento do servio de hospedagem.
O provedor de hospedagem certamente ter
muito a contribuir na identificao do responsvel pelo
site, pois poder fornecer os endereos IP utilizados para
acesso e atualizao de contedo, alm de dados cadastrais do responsvel pelo pagamento do servio. Informaes importantes e muitas vezes imprescindveis identificao do autor do crime.

 importante ressaltar que muitas

empresas hospedam seu site nas prprias
dependncias, sem necessidade de contrao de provedor especfico. Nesses casos a
equipe de investigao pode chegar a um
endereo IP que est sob responsabilidade
do prprio investigado ou de uma a empresa
ligada a ele. Tal fato deve ser verificado antecipadamente, sob risco de estar solicitando
informaes sobre a investigao ao prprio
autor.
A equipe de investigao deve estar ciente de
que as informaes de registro de domnio e as informaes de hospedagem, apesar de terem que ser verificadas,
podem no levar a informaes diretas e exatas sobre o
autor do crime, mas certamente contribuir para a investigao. Um estelionatrio, por exemplo, quase sempre vai

registrar com informaes cadastrais falsas ou em nome

de terceiros. Embora as tcnicas de investigao de crimes
cibernticos possam contribuir muito, chegar ao verdadeiro criminoso, nesses casos, depende muito de trabalho de
investigao tradicional.
H casos em que uma pgina criminosa criada
em um site padro, tal como ocorre nas redes sociais de relacionamento (ORKUT, FACEBOOK, LINKEDIN, MYFACE,
FLOGO, BLOGSPOT, etc). Quando isso acontece, o endereo buscado chamado de subdomnio, ou seja, um domnio dentro de outro. Nesse caso, o responsvel por dar
informaes autoridade policial o provedor do servio
do domnio principal.
Ressalta-se que, a maioria dos provedores de
servios estrangeiros sempre oferecem dificuldades para
fornecer essas informaes, alegando principalmente o
fato de no estarem sujeitos lei brasileira.

AULA 3

Servio de mensagens
eletrnicas na Internet

3.1 Servio de e-mail

Embora atualmente a utilizao das redes sociais de relacionamento tenha substitudo parcialmente
a necessidade dessa forma de comunicao, o servio de
mensagens eletrnicas (e-mail) ainda so muito utilizados.
Na rotina de investigao de crimes cibernticos observa-se sua utilizao em vrios tipos de crime, principalmente crimes contra a honra. Mas h possibilidade de uso de
mensagens de e-mail para comunicao em qualquer tipo
de crime.
Geralmente, os endereos de e-mail envolvidos
em crimes so falsos, ou seja, so contas criadas especificamente para a comunicao no ato criminoso. Tambm h
possibilidade de o atacante utilizar aplicativos especficos
para que o endereo eletrnico do destinatrio seja manipulado, podendo aparecer qualquer informao naquele
campo (exemplo: http://deadfake.com/Send.aspx). Por
isso, o nome da conta ou as informaes cadastrais fornecidas pelo provedor de servios geralmente no so relevante, embora a verificao seja praticamente obrigatria
para a equipe de investigao.

3.2 Como identificar

a origem de uma
mensagem de e-mail

Assim, a informao mais importante , de fato, o endereo IP de origem. Ele pode ser identificado de duas maneiras:
1. Expanso do cabealho da(s) mensagem(ns)
envolvida(s) no crime;
2. Solicitao ao provedor de origem do servio
de e-mail envolvido no crime para que fornea
os dados cadastrais do responsvel pela conta
de e-mail investigada, bem como os registros
de eventos (IP/LOGs) no perodo previsto.
O cabealho de uma mensagem de e-mail, normalmente s mostra as contas de e-mail do remetente e
do(s) destinatrio(s), data, horrio e assunto. Essa a forma padro que os leitores de e-mail e webmail so configurados. Contudo, todos os provedores de webmail e
aplicativos de leitura de mensagens eletrnicas oferecem a
possibilidade de expanso do cabealho normal.

3.3 Expanso do
cabealho em
um aplicativo de
leitura de e-mail

O procedimento de expanso do cabealho varia muito, dependendo do aplicativo utilizado ou do servio de webmail envolvido. Ressalta-se que, embora os procedimentos sejam diferentes, eles seguem certo padro.
Para saber mais sobre como expandir cabealhos em outros aplicativos de leitura de e-mail acesse:
http://office.microsoft.com/pt-br/outlook-help/exibir-cabecalhos-de-mensagens-de-email-HA001230300.aspx
http://www.intesys.com.br/2011/06/visualizar-cabecalhos-completos-das-mensagens-em-diferentes-clientes-de-e-mail/

Quando feita a expanso, vrias

informaes tcnicas aparecem, entre elas
o endereo IP. preciso que a equipe de investigao saiba retirar a informao relevante em meio a vrias outras, por exemplo,
identificar o endereo IP vlido de onde saiu
a mensagem. Neste ponto, voc j deve ser
capaz de identificar os endereos IP vlidos
e relevantes para a investigao. Caso ainda
no consiga, procure o seu tutor e solicite
ajuda.
Quando feita a expanso, vrias informaes
tcnicas aparecem, entre elas o endereo IP. preciso que
a equipe de investigao saiba retirar a informao relevante em meio a vrias outras, por exemplo, identificar o
endereo IP vlido de onde saiu a mensagem. Neste ponto,
voc j deve ser capaz de identificar os endereos IP vlidos e relevantes para a investigao. Caso ainda no consiga, procure o seu tutor e solicite ajuda.
O procedimento para expandir o cabealho de
qualquer aplicativo de leitura de mensagens de e-mail ou
webmail algo que, embora diferente, segue um padro
que no difcil de identificar. Geralmente um clique so-

bre a mensagem envolvida na investigao, um acesso ao

menu principal e alguns cliques a mais nas opes corretas o levaro facilmente a expandir qualquer cabealho de
qualquer aplicativo de e-mail.
No h possibilidade de listar aqui todos os procedimentos para expanso de cabealhos de todos os aplicativos existentes, mas nos anexos voc poder encontrar
exemplos de como expandir os cabealhos nos principais
aplicativos de leitura de mensagens eletrnicas e webmail.
3.3.1 Automatizao
da anlise de
cabealho
expandido

Para facilitar a identificao exata do endereo IP

da conexo Internet de onde se originou a mensagem investigada, h ferramentas, tal com o aplicativo web denominado TRACE MAIL, disponvel publicamente. Se voc
tiver interesse, poder acessar um desses aplicativos que
automatizam a anlise do cabealho e apontam o endereo IP de origem da mensagem, clique aqui. http://www.
traceanemail.com.
Para utilizar basta copiar o cabealho completo
(expandido) e colar no campo de edio.
http://mediugorie.wordpress.com/2006/12/
05/exibindo-o-cabecalho-completo-nas-mensagens-de-e-mail-recebidas/e veja o procedimento para expanso
de cabealho dos principais servios de WEBMAIL.
3.4 Solicitando
informaes ao
provedor de e-mail

Outra maneira de obter mais informaes solicitar ao provedor do servio de e-mail que fornea os dados cadastrais e os registros de eventos (LOGs) da conta de
e-mail investigada.
Obtendo as informaes de endereo(s) IP e respectivas datas/horrios/timezones, basta descobrir qual
o provedor de acesso responsvel (consultando nos sites

http://registro.br e www.whois.sc) e novamente solicitar informaes sobre os assinantes responsveis pelo(s)

endereo(s) IP nas respectivas datas e horrios.

Para resumir o procedimento que deve ser tomado em casos de sites ou contas de e-mail envolvidas no
crime investigado, veja a seguir o fluxograma ilustrativo

Fluxograma do processo de investigao de sites e mensagens de e-mail. FONTE: CRIMES CIBERNTICOS Manual prtico de investigao - Ministrio Pblico Federal de So Paulo

Ao receber a comunicao do crime envolvendo

sites ou e-mail, a primeira providncia procurar informaes sobre os provedores de servio em fontes abertas
(http://registro.br ou www.whois.sc). Identificado o provedor de servios, deve-se buscar as informaes junto a
ele (talvez necessite de ordem judicial ou carta rogatria/
MLAT, dependendo do provedor).
O provedor de servio deve retornar os dados cadastrais do usurio do servio (talvez sejam falsos), as fontes
pagadoras do servio (se o servio for pago) e os endereos
IP utilizados pelo usurio do servio para acess-lo.
Os endereos IP devem levar a um provedor,
para o qual a equipe de investigao deve solicitar informaes sobre a conexo Internet que originou e o assinante responsvel pela conexo fsica ou linha telefnica
vinculada, bem como o endereo de instalao.

3.5 Outros servios

de comunicao na
Internet

Atualmente, a grande popularizao das comunicaes via Internet fez com que surgissem vrios aplicativos especficos para este fim. Exemplos claros disso so
os aplicativos de comunicao instantnea, Windows Live
Messenger (antigo MSN vem sendo substitudo pelo
SKYPE), GOOGLE TALK, Yahoo Messenger e mais recentemente vem sendo muito utilizada a comunicao online
por meio de perfis em redes sociais como ORKUT, FACEBOOK, alm dos aplicativos especficos para smartphones,
tais como WhatsApp, Viber, Voxer, entre outros.
Os maiores obstculos, nos casos dos aplicativos
mais recentes para comunicao, so o fato de a maioria
dos provedores desses servios serem estrangeiros e no

se submeterem legislao brasileira, alm de o fato de

que esses servios esto utilizando o recurso da criptografia, que pode evitar que os contedos utilizados para
comunicao entre criminosos ou criminosos-vtimas se-

jam interceptados. Neste ltimo caso, a limitao verdadeiramente tcnica enquanto no primeiro caso jurdica.
Mais adiante, no mdulo 6, voc estudar os aplicativos
avanados.

FINALIZANDO
Neste mdulo voc aprendeu que...
Na Internet existem dois tipos de provedores: O provedor de acesso, (ISP Internet Service Provider ou PSI Provedor de Servio de Internet) e O provedor
de servios, que disponibiliza os servios de Internet para uso pblico, gratuitamente ou no
Basicamente, h trs tipos de endereos Internet: Endereo URL (Universal ResearchLocator); endereo de correio eletrnico (E-mail) e endereo IP (Internet
Protocol).
O ato de alocar um endereo IP para um cliente durante um determinado intervalo de tempo gera um evento. Consequentemente, o ato de armazenar a
identificao, data, horrio e respectivo endereo IP alocado ao cliente gera o
que tecnicamente denominado registro de evento ou LOG.
O registro dos eventos de cada cliente o que faz o provedor ser capaz de identificar o responsvel e dar a localizao de qualquer endereo IP em qualquer
data e horrio.
A primeira providncia aps identificar o endereo IP que originou a comunicao objeto do crime identificar o local ou regio de onde partiu a comunicao. A regio onde se encontra o criminoso til para definir o a circunscrio
responsvel pela apurao da autoria do crime.
Na investigao da origem de um site envolvido em crimes, buscando o verdadeiro responsvel por um site criminoso, preciso observar, alm dos registros
de domnio junto ao site registro.br e www.whois.sc, as informaes sobre o
local de hospedagem da pgina web, registros sobre a atualizao do contedo
do site e pagamento do servio de hospedagem.
Na rotina de investigao de crimes cibernticos observa-se sua utilizao em
vrios tipos de crime, principalmente crimes contra a honra. Mas h possibilidade de uso de mensagens de e-mail para comunicao em qualquer tipo de
crime.

GABARITO

MDULO 1

1 - (x) Registro de eventos com endereos IP, datas e horas.

2 - (x) registro de endereos eletrnico, data e hora de
acesso do usurio.
3 - (x) unir esta informao a outras obtidas por meio tradicional para apontar a autoria.
4 - (x) endereo IP, endereo URL e endereo de E-mail.
5. F / F / V / V
MDULO 2

1 - ( x ) A lei dos cybercafs no especifica as punies

para quem no cumpre as normas vigentes e no estabelece o rgo governamental competente para fiscalizar o
cumprimento.
2 - ( x ) Por meio do endereo IP possvel definir a regio
onde o criminoso utilizou a Internet.
3 - ( x ) A maior fonte de informaes sobre criminosos na
Internet so os provedores de acesso e os provedores de
servio na Internet.
4 - ( x ) O MLAT um acordo de assistncia legal mtua
entre os pases que facilita o levantamento de informaes
em ambiente estrangeiro.

MDULO 3

1 - Orientao para resposta:

Provedores de servios so as empresas que fornecem algum tipo de servios na Internet, tais como e-mail, portal
de notcias, chat, comunicao instantnea, entretenimento, comrcio eletrnico, homebank, entre outros. Esses
provedores podem apontar qual o endereo IP utilizado
pela conexo onde o suspeito de um crime utilizou a Internet para acessar o servio no momento da prtica delituosa. As maiores empresas do ramo so Google, Microsoft,
Yahoo, UOL, entre outras.
Provedores de acesso so as empresas que disponibilizam
os meios fsicos de transmisso de dados e os equipamentos de rede de comunicao que possibilitam ao usurio
acessar a Internet. Esses provedores podem identificar o
endereo completo de instalao do acesso Internet que
utilizou determinado endereo IP na respectiva data e horrio do fato delituoso. As maiores empresas neste ramo
so Oi, GVT, NET, Embratel, Claro, Vivo, TIM, dentre outras.
2 - (x) Os provedores sempre guardam os registros de
eventos por 5 anos, de acordo com a legislao vigente no
Brasil.

3 - ( x ) Endereos IP dinmicos so compartilhados entre

os vrios clientes de um provedor de acesso de forma que
extremamente necessrio que sejam vinculados a data
e horrio para que o cliente responsvel seja identificado.
4 - Orientao para resposta:
Expanda o cabealho de uma mensagem de sua caixa de e-mail pessoal (identifique como proceder no seu programa de
leitura de e-mail ou seu servio de webmail). Identifique o IP
vlido que equivale ao IP da conexo de origem da mensagem.
Utilize sites de geo-localizao de IP como http//en.utrace.de
para identificar a localizao geogrfica aproximada.
5 - Orientao para resposta:
Expanda o cabealho de uma mensagem de sua caixa de e-mail pessoal (identifique como proceder no seu programa
de leitura de e-mail ou seu servio de webmail). Identifique o IP vlido que equivale ao IP da conexo de origem
da mensagem. Utilize sites de geo-localizao de IP como
http//en.utrace.de para identificar a localizao geogrfica
aproximada.
6 - Orientao para resposta:
6.1. Pesquise nos sites http://registro.br ou http://whois.sc
para identificar o provedor responsvel por cada um dos
endereos IP fornecidos pela Microsoft. Utilize a tabela
de converso para converter os horrios de uso dos endereos IP dos timezones da Microsoft para os brasileiros
(atente-se para a questo do horrio de vero).
6.2. utilize sites de geo-localizao para identificar a regio
aproximada dos endereos IP.
MDULO 4

1. (x) Na Internet, principalmente em sites de redes sociais,

geralmente so descartados como fonte de informao em

investigaes porque os perfis so fechados e no expem

o usurio.
2. (x) Busca sistemtica equivale fazer pesquisas frequentes e lidar com os crimes na Internet mesmo que no
haja nenhum registro oficial de vtimas.
MDULO 5

1 - (x) Os computadores a serem apreendidos devem ser

imediatamente puxados da tomada.
2 - Orientao para resposta
Lembre-se de que o computador pode conter aplicativos
de criptografia e que o contedo est somente na memria voltil. Lembre-se tambm que o dispositivo armazenado deve ser preservado para que no seja contaminado aps o incio da operao de busca e apreenso.
Lembre-se ainda que a anlise do material apreendido
no deve ser feita no dispositivo original, mas sim em
uma cpia feita bit-a-bit.
3 - (x) Todos os dispositivos apreendidos devem ser identificados, catalogados, fotografados e cuidadosamente descritos.
MDULO 6

1. (x) Comprar ou baixar filmes, fotos, msicas e aplicativos no originais.

2. (x) A engenharia reversa trabalha tentando descobrir
como o malware se comunica com o atacante.
3. (x) No caso de o alvo utilizar comunicao criptografada
no possvel acessar o contedo por meio de interceptao telemtica.
4. b / d / a / h / f / e / g / c