Mdulo 3

INTERNET E SERVIOS DE
REDE DE COMUNICAO

Neste mdulo voc estudar sobre a estrutura de funcionamento da Internet e

seus servios, bem como, os mtodos para investigar utilizando os endereos eletrnicos da
Internet com o objetivo de buscar a localizao e identificao de autoria.

Objetivos do mdulo
Ao final deste mdulo, voc dever ser capaz de:
Compreender o funcionamento bsico da Internet, seus provedores e seus ser-
vios;
Identificar os endereos eletrnicos da Internet;
Conhecer os protocolos de endereamento da Internet;
Conhecer os mtodos de identificao da origem e rastreamento da localizao
de um interlocutor na Internet.

Estrutura do mdulo
Este mdulo possui as seguintes aulas:
Aula 1 A Internet e os protocolos TCP/IP
Aula 2 Servio de web sites na Internet
Aula 3 Servio de mensagens eletrnicas na Internet
 AULA 1
A Internet e os
protocolos TCP/IP
1.1 Provedores de
Internet e tipos de
acesso
Na Internet existem dois tipos de provedores:
O PROVEDOR DE ACESSO, (ISP Internet
Service Provider ou PSI
Provedor de Servio de Internet), que prov as
condies fsicas e os equipamentos para que
seu computador seja ligado Internet.
Empresas de Telecomunicaes, tais como OI,
GVT, EMBRATEL, VIVO, CLARO, TIM, etc.
O PROVEDOR DE SERVIOS
que disponibiliza os servios de Internet para
uso pblico, gratuitamente ou no.
MICROSOFT / Hotmail, MSN GOOGLE /
Gmail, Orkut, Youtube, Picasa, GoogleEarth,
GoogleMaps YAHOO! / Yahoo, YahooMessen-
ger UOL / Portal, Chat, Mail IBEST / IbestMail,
IG / IGMail, TERRA / Portal/Mail, LOCAWEB /
Hospedagem, FACEBOOK / RedeSocial, etc.
Os provedores de acesso disponibilizam varia-
das tecnologias para acesso Internet, tais como linha te-
lefnica, cabo coaxial (TV a cabo), via celular (2G/3G/4G),
links dedicados de radiofrequncia, rede eltrica, etc. O
usurio apenas escolhe de qual empresa ser cliente e so-
licita a instalao da Internet, mediante assinatura de um
contrato, onde previsto o tipo de tecnologia que ser uti-
lizado para acesso fsico.
Quando o usurio liga o seu equipamento em
casa, ele utiliza uma dessas tecnologias para acesso fsico
aos dispositivos de rede da operadora (ISP) que por sua vez
do acesso Internet.
1.2 Os endereos
eletrnicos
Os endereos eletrnicos so sempre as primei-
ras fontes de investigao. Por isso, importante entender
como eles funcionam.
Basicamente, h trs tipos de endereos Internet:
ENDEREO URL (UNIVERSAL RESEARCH
LOCATOR):
o endereo digitado no navegador.
www.pcdf.df.gov.br, ead.senasp.gov.br, www.
uol.com.br);
ENDEREO DE CORREIO ELETRNICO
(E-MAIL):
identificado por uma conta de correio eletrni-
co cujo endereo sempre tem o smbolo @
separando o nome da caixa de correio e o pro-
vedor do servio.
Os endereos URL, de correio ele-
trnico e os endereos IP so imprescindveis
para investigaes, pois esto envolvidos nos
principais servios de Internet. Mais adiante
no curso, voc, aluno, conhecer os procedi-
mentos de utilizao desses endereos para
determinar a localizao da origem de uma
mensagem na Internet.
meu nome@provedor.df.gov.br);
ENDEREO IP (INTERNET PROTOCOL):
que identifica cada conexo Internet.
200.153.1.67
Os endereos URL que voc digita no seu nave-
gador no so entendidos pelas mquinas diretamente.
Eles so utilizados por serem mais fceis de memorizar.
Por isso, um servio chamado DNS (Domain Name System
Sistema de Nome de Domnio) responsvel por tradu-
zir os endereos URL em endereos IP numricos, que so
mais facilmente manipulados pelos computadores e equi-
pamentos de rede. O endereo IP numrico propicia a en-
trega dos pacotes de informao ao destino correto.
Os endereos IP numricos da forma decimal so
convertidos em endereos IP binrios representados por si-
nais eltricos (onde 0 falta de sinal e 1 sinal presente).
Algo que forma ondas eltricas representadas graficamente
por linhas com sinal e sem sinal, que, sincronizadas, so
entendidas pelos computadores e equipamentos de rede.
Algo muito veloz e transparente para o usurio.
A figura a seguir, demonstra a representao gr-
fica do endereo IP. Verifique!
Praticando...
Supondo que voc usurio do sistema opera-
cional Windows, descubra o endereo IP que o seu prove-
dor de Internet alocou para voc navegar neste exato mo-
mento. Siga o procedimento a seguir:
1. Abra uma tela de prompt (na rea de trabalho,
clique no boto iniciar, escolha a opo exe-
cutar e escreva cmd + <ENTER>).
 2. Na tela negra digite o comando ipcon-
fig /all. Talvez voc esteja numa intranet (ento o seu
endereo IP dever iniciar com 10.x.x.x, 172.16.x.x ou
192.168.x.x). Se for esse o caso e voc quiser descobrir
qual o seu IP vlido, ou seja, com qual IP voc reconheci-
do na Internet, ento acesse o site www.cmyip.com e voc
ver o seu endereo IP vlido na tela do site.
Mais adiante ser explicada a diferena entre um
endereo IP vlido e um endereo IP de intranet. Por hora,
o importante saber que os endereos IP so a principal e
mais confivel informao que uma equipe de investiga-
o pode utilizar para rastrear a origem de uma mensagem
ou comunicao na Internet.
No h meios para alterar o ende-
reo IP de uma conexo, mas possvel forjar
ou disfarar um endereo IP de origem. No
entanto, seria preciso dominar tcnicas mais
avanadas de redes de comunicao ou utili-
zar ferramentas como proxies ou botnets.
NOTA
No ltimo mdulo esses conceitos sero trata-
dos, embora a abordagem seja feita de forma superficial, j
que para entrar em detalhes seria necessrio um mdulo
avanado. Contudo, ressalta-se que so recursos utilizados
extraordinariamente por criminosos, fugindo ao objetivo
do curso, que tratar os principais crimes que aparecem
no dia-a-dia.
1.3 Eventos e
registros de
eventos (LOGs)
No caso de servio de acesso Internet com en-
dereo IP dinmico, A diferena entre IP esttico e IP din-
mico ser esclarecida mais adiante. antes de iniciar a sua
navegao, a operadora designa ao cliente um endereo IP
que serve para habilitar a sua navegao na Internet, alm
de localiz-lo e identific-lo. Ento, o endereo IP distribu-
do pela operadora, especificamente naquele intervalo de
data e horrio fica alocado para aquele cliente.
O ato de alocar um endereo IP para um clien-
te durante um determinado intervalo de tempo gera um
evento. Consequentemente, o ato de armazenar a iden-
tificao, data, horrio e respectivo endereo IP alocado ao
cliente gera o que tecnicamente denominado registro de
evento ou LOG.
importante que os membros da
equipe de investigao saibam que a maioria
dos provedores de acesso Internet registra e
armazena os LOGs de todos os seus clientes,
embora no exista padronizao de tempo
de armazenamento desses LOGs. Assim, esta
informao pode ser solicitada para compor
provas na investigao.
1.4 A falta de
padronizao,
normas e
legislao
Como voc estudou no mdulo 2, no h legisla-
o que obrigue o armazenamento dos registros de even-
tos, tampouco que estabelea o tempo que a informao
tem que ficar armazenada. Por isso, cada provedor de aces-
so faz o procedimento de acordo com o seu entendimento,
j que no h nenhuma norma ou padro.
Assim que a autoridade policial identificar um
endereo IP utilizado pelo suspeito de um crime e a respec-
tiva data e horrio de uso, seu dever solicitar ao provedor
responsvel o fornecimento ou ao menos a preservao
das informaes cadastrais e registros de eventos do clien-
te responsvel pela linha de acesso, j que essa informao
pode ser extremamente voltil, devido falta de legislao
ou padronizao.
A falta de uma legislao faz com
que cada provedor tenha uma postura dife-
rente de colaborao com a investigao e
com a autoridade policial, bem como sobre o
tempo em que os LOGs devem permanecer
 registrados. Algo totalmente sem padroniza-
o e excessivamente dependente do enten-
dimento de cada provedor.
Tambm por falta de legislao, poucos pro-
vedores fornecem os LOGs por solicitao da autoridade
policial (Ofcio assinado pelo Delegado), autoridade do
Ministrio Pblico (Oficio assinado pelo promotor de justi-
a) ou somente por determinao da autoridade judiciria
(mandado judicial). A grande maioria, condiciona o forne-
cimento dos LOGs ordem judicial.
importante que na solicitao da
autoridade policial conste claro o pedido de
preservao para os casos em que o prove-
dor somente fornea a informao mediante
apresentao de mandado judicial, j que a
expedio de um mandado judicial pode de-
morar algum tempo devido s burocracias
inerentes ao processo.
O Endereo IP1 identifica a conexo do Prove-
dor 1 e O Endereo IP2 identifica a conexo do Provedor 2.
Observe os dois endereos IP no mesmo com-
putador identificando conexes de provedores diferentes
instaladas fisicamente no mesmo endereo geogrfico.
Isto acontece por qu?
A conexo virtual funciona sobre uma estrutura
fsica de aceso Internet instalada pelo provedor de acesso
(operadora de telefonia/TV/celular/rdio). A estrutura fsi-
ca no se altera, exceto por solicitao do usurio (nesse
1.5 O endereo IP como
identificador da
conexo Internet
muito importante entender que os endere-
os IP no identificam um computador. Normalmente, o
computador pode ser desligado e transportado para outro
endereo, outra cidade, outro pas e se for conectado nova-
mente Internet, certamente o endereo IP a ele atribudo
ser outro.
Para deixar claro que o endereo IP no do ter-
minal de computador, pense em um computador que tem
mais de uma placa de rede ligando-o a mais de uma rede
ou provedor de Internet e cada uma das conexes que ele
efetua ter um endereo IP. Se o endereo IP pertencesse
ao computador, ento, neste caso, haveria dois endereos
IP para o mesmo terminal.
Conclui-se que o endereo IP iden-
tifica a conexo virtual que se abre para que
o usurio possa acessar a Internet.
caso, seria necessria uma reinstalao do circuito fsico
pela operadora).
Quando o provedor atribui um endereo IP ao
cliente, ele registra em um banco de dados interno qual foi
o endereo IP alocado para aquele cliente, data e horrio e
a identificao do cliente que est recebendo aquele ende-
reo IP. Este processo automtico, rpido e o usurio leito
sequer percebe.
Quando o cliente encerra a conexo, o provedor
volta a registrar a data e horrio do final da conexo vincu-
lado ao endereo IP, que automaticamente desalocado e
liberado para uso de outro cliente.
O registro dos eventos de cada cliente o que
faz o provedor ser capaz de identificar o responsvel e dar
a localizao de qualquer endereo IP em qualquer data e
horrio.
1.6 Os endereos IP
reservados para
Intranet
Como os endereos IP aparecem frequente-
mente numa investigao envolvendo comunicaes pela
Internet, interessante saber analisar principalmente os
cabealhos de mensagens envolvidas em crimes, ou seja,
preciso identificar, entre vrios outros endereos IP que
aparecem em um cabealho, qual relevante para identifi-
car a origem da comunicao.
Ento, ao analisar o cabealho com vrios ende-
reos IP, necessrio excluir os que so irrelevantes, como
por exemplo, alguns endereos IP de rede privada que apa-
recem nos cabealhos de mensagens. Costumam aparecer
endereos IP reservados para trfego de redes intranet (j
citados - iniciam com 10.x.x.x, 172.16.x.x ou 192.168.x.x).
Se qualquer desses endereos IP aparecer no cabealho
de uma mensagem de e-mail no momento em que estiver
procurando pela origem da conexo, ele deve ser descon-
siderado, exceto nos casos em que necessrio identificar
um computador dentro de uma rede privada, utilizando os
LOGs internos.
1.7 Os endereos
IP estticos e
dinmicos
Voc j estudou que quando um terminal de
computador ou equipamento de rede ligado, ele ganha
um endereo IP dado pelo provedor de acesso. Ento con-
clui-se que os endereos IP mudam com frequncia. Isso
o que se denomina endereo IP dinmico.
Contudo, os provedores de acesso podem dispo-
nibilizar o servio de acesso Internet com um endereo
IP fixo ou esttico. Nesse caso, a conexo vai sempre ter o
mesmo endereo IP e o provedor de acesso vai cobrar uma
taxa extra para deixar aquele endereo IP disposio do
assinante.
Isso raro de acontecer para usurios residen-
ciais, pois o principal objetivo de ter um endereo IP est-
tico colocar servios Internet no ar, como hospedar uma
pgina web, disponibilizar um servidor/provedor de con-
tas de e-mail, servios de DNS, transferncias de arquivos,
entre outros.
Para identificar se um endereo IP investigado
esttico ou dinmico, alm de solicitar essa informao ao
provedor responsvel pelo endereo IP, pode-se procurar
por servios de Internet ativos naquele endereo IP. Para
isso, pode-se utilizar um programa de varredura (port-
-scan) ou simular acesso aos principais servios de internet
para ver h alguma resposta.
As respostas a essas simulaes podem trazer o
nome da empresa ou algo que identifique o local onde est
a conexo vinculada quele endereo IP. Talvez isso possa
agilizar o processo de investigao, evitando que seja ne-
cessrio contatar a operadora de telefonia para descobrir o
local fsico de instalao da conexo Internet investigada.
1.8 Como identificar o
local da conexo
do endereo IP
investigado
A primeira providncia aps identificar o en-
dereo IP que originou a comunicao objeto do crime
identificar o local ou regio de onde partiu a comunicao.
Oficialmente, o melhor a fazer entrar em con-
tato com o provedor responsvel e solicitar a ele as infor-
maes. No esquecendo que os endereos IP dinmicos
devem estar sempre vinculados a uma data, horrio e ti-
mezone (fuso-horrio), j que a Internet mundial.
Algumas vezes, principalmente quando o prove-
dor da mensagem envolvida no crime est fora do Brasil,
a equipe de investigao vai se deparar com horrios re-
ferenciados em timezones diferentes dos brasileiros (o ti-
mezone de Braslia GMT -0300, podendo ser modificado
para GMT -0200, durante a vigncia de horrio brasileiro
de vero), sendo aconselhvel equipe de investigao
efetuar a converso para o horrio brasileiro.
1.8.1 Converso de
timezones
Como foi citado anteriormente, h muitos pro-
vedores gratuitos utilizados por usurios brasileiros, sendo
a maioria deles sediados na Califrnia, nos Estados Unidos
da Amrica, onde o timezone geralmente GMT (fazer
hint para: Greenwich Mean Time) -0800 (ou PST Pacific
Standard Time) e GMT (Fazer hint para: Greenwich Mean
Time) -0700 (ou PDT Pacific Daylight Time) no horrio
de vero. (figura 7).
Ento, h uma diferena para o horrio brasileiro
de 4 a 6 horas em relao ao horrio estadunidense, depen-
dendo se horrio de vero aqui no Brasil e l na Califrnia.
Quando a equipe de investigao recebe in-
formaes de provedores de servio estrangeiros (prin-
cipalmente e-mail, tais como GOOGLE, MICROSOFT e
YAHOO!), os endereos IP que acessaram a conta de e-mail
investigada viro vinculados a horrios com referncia ti-
mezone do local da sede do provedor. Esses endereos
certamente devero ser consultados nos provedores de
acesso Internet para identificar a empresa/operadora
responsvel pela linha Internet que deu origem ao crime.
Ento, prudente que as consultas sejam feitas em horrio
local (brasileiro GMT -0300 ou GMT -0200).
Ao fazer a converso, preciso que
a equipe de investigao se cerque de cuida-
dos para no errar nesse procedimento, pois
como os endereos IP geralmente so din-
micos, um erro de 1 hora pode acabar geran-
do a identificao de uma conexo incorreta,
fazendo a equipe de investigao incorrer em
grave erro ao identificar o responsvel.
1.8.2 Mtodo para
converso de
timezones
Como a converso de horrios (timezones)
algo muito comum na rotina de investigao de crimes
cibernticos, como sugesto de mtodo para a converso,
ser apresentada a seguir uma tabela que visa facilitar a
converso dos horrios na hora de fazer a anlise de re-
latrio de registro de eventos fornecidos por provedores
estrangeiros.
Tabela de converso de horas
Esta tabela considera os parmetros de timezo-
ne denominados PDT e PST que so os mais comuns nos
relatrios fornecidos pelos provedores estadunidenses.
A maioria desses provedores encontra-se na costa oeste
norte-americana, onde esses timezones so usados (no
horrio de vero - summer time - ou no horrio normal).
As horas so alinhadas de forma que possvel converter
rapidamente os fusos norte-americanos (PDT e PST) em
fusos brasileiros (GMT -0300 e GMT -0200).
A equipe de investigao jamais
poder fazer a converso de forma incorreta
ou esquecer-se de faz-la. Erros nesse pro-
cedimento so inadmissveis, sob pena de
identificar alvos errados e prejudicar todo o
trabalho de investigao.
Suponha que a equipe de investigao recebeu
da Microsoft (Empresa sediada na Califrnia,
US) um relatrio contendo registros de eventos
com ocorrncias de uso de uma conta de e-mail
daquele provedor, onde o investigado utilizou
um determinado endereo IP nos seguintes ho-
rrios:
O endereo IP 200.168.1.10 foi utilizado no
dia 10/01/2013, s 11:56 pm PST.
O endereo IP 187.2.45.89 foi utilizado no dia
24/02/2013, s 11:40 am PDT.
Ao preparar o ofcio para a operadora de Tele-
com (brasileira) que administra os endereos IP
indicados, os horrios devem ser convertidos de
PST e PDT para os timezones brasileiros GMT
-0200 e GMT -0300.
No primeiro caso, utilizando a tabela sugerida,
na coluna PST, encontra-se as horas equivalen-
tes a 11 pm na penltima linha. Como no dia
10/01/2013 estava vigente o horrio de vero
no Brasil, ento, o horrio correspondente a
11pm (ou 23 horas) seria 05:00 horas (do dia se-
guinte). Ento, no dia 10/01/2013, s 11:56 pm
PST, equivale dia 11/01/2013, s 05:56, GMT
-0200.
No segundo caso, utilizando novamente a tabela
sugerida, na coluna PDT, encontra-se as horas equi-
valentes a 11 am. Como no dia 24/02/2013 no
estava vigente o horrio de vero no Brasil, ento, o
horrio correspondente a 11am seria 15:00 horas.
Ento, no dia 24/02/2013, s 11:40 am PDT, equi-
vale ao mesmo dia, s 15:40, GMT -0300.
1.9 Como identificar
o provedor de
acesso de um
endereo IP
investigado?
A organizao e distribuio dos endereos IP
mantida por entidades hierarquicamente e regionalmente
distribudas. No Brasil, inicialmente, a Fundao de Ampa- Acesse o site http://en.utrace.de , digite o ende-
ro Pesquisa do Estado de So Paulo (FAPESP) pioneira reo IP indicado e clique no boto Search.
no uso da Internet no Brasil, herdou a atribuio de manter O IP investigado, conforme indicado na figura a
a organizao da distribuio dos endereos IP e dos no- seguir, serve regio de Florianpolis/SC.
mes de domnio de sites na Internet. Contudo, atualmente,
o NIC.br (entidade ligada ao Comit Gestor da Internet
CGI) o rgo responsvel.
A consulta a esse banco de dados pblica e
aberta, podendo ser realizada nos sites http://registro.br e
http://www.whois.sc.

Praticando...
Experimente consultar um endereo IP qualquer
(vlido) ou um endereo de um site que voc conhece.
Localizao geogrfica do endereo do IP
1.10 Como obter uma A equipe de investigao pode utilizar este pro-
localizao cedimento para descobrir a localizao geogrfica aproxi-
aproximada do mada de qualquer endereo IP. Execute o procedimento
endereo IP para outros endereos IP.
Se a equipe de investigao no consegue infor-
maes sobre o usurio de um endereo IP diretamente
com o provedor de acesso ou se esse processo atrasa a in- A regio onde se encontra o crimi-
vestigao, possvel identificar com um nvel de certeza noso til para definir o a circunscrio res-
razovel ao menos a regio onde o endereo IP provavel- ponsvel pela apurao da autoria do crime.
mente estaria servindo. Diversas vezes o criminoso est em outro
Estado e ser necessrio manter contato ou
H vrios sites na Internet que oferecem servio enviar dados Polcia Civil da outra Unidade
de geolocalizao aproximada de endereos IP. impor- da Federao. Tambm til para confirmar
tantssimo ressaltar que esses sites so extra-oficiais e no suspeitas de que o criminoso esteja numa re-
tm qualquer responsabilidade ou garantia. Contudo, as gio especfica (fronteira, nordeste, sudeste
respostas dadas oferecem nvel de confiabilidade razovel. ou fora do Brasil).
Um dos mais reconhecidos no meio de investigao de cri-
mes cibernticos o site www.en.utrace.de . Acesse, digite Agora que voc j entendeu sobre o funciona-
o endereo IP investigado e na maioria das vezes ter uma mento da Internet e da pilha de protocolos TCP/IP, prin-
boa ideia da regio de onde o alvo acessou a Internet paracipalmente, sobre a formao dos endereos IP, sua classi-
manter a comunicao envolvida no crime. ficao, como identific-los, como localizar e onde buscar
informaes sobre ele, voc est apto a dar prosseguimen-
to ao estudo dos principais servios de Internet, os quais
Identificando a localizao geogrfica do ende- constantemente so envolvidos em crimes. Na prxima
reo IP 200.102.56.78. aula, voc estudar sobre o funcionamento dos servios
de sites e mensagens eletrnicas.
 AULA 2
Servio de web sites
na Internet
2.1 Sites e registro de
domnios
Uma causa frequente de registros de ocorrncias
policiais o crime de estelionato geralmente ocorrido via
comrcio eletrnico, onde o vendedor anuncia um produ-
to inexistente, recebe o pagamento e no envia o produto
ao comprador. Isso ocorre tanto em sites de comrcio ele-
trnico e leiles, como em sites falsos que simulam lojas
na Internet, muitas vezes utilizando nomes de lojas j exis-
tentes.
O interessante para a equipe de investigao
nesses casos saber que os provedores de servios de co-
mrcio eletrnico provavelmente podem e tm interesse
em colaborar com a autoridade policial para diminuir as
ocorrncias de estelionato no seu site, tornando-o mais
confivel para os clientes.
Nos casos de sites falsos, ressalta-se que antes
de colocar um site falso no ar, o criminoso, tal como qual-
quer usurio da Internet, tem que cumprir um ritual neces-
srio e obrigatrio para todos os usurios que iniciam esta
atividade na Internet. O primeiro passo sempre escolher
um domnio vlido e desocupado.
Um domnio, na Internet, o nome a ser digitado
na barra de endereos do navegador para acessar o site.
O conceito de domnio muitas vezes se confunde com o
conceito de endereo URL, diferenciando apenas pelas
iniciais http://www, que, quando existentes, antecedem
o nome de domnio, mas tecnicamente no fazem parte do
conceito.
Em geral, o comerciante que investe em um site
na Internet para efetuar suas vendas, escolhe um nome
de domnio parecido com o de sua loja, quando ele est
disponvel e desocupado. O criminoso certamente seguir
esta mesma regra para que seu site no se diferencie dos
demais sites. comum utilizar o nome de lojas j existen-
tes e se fazer passar por elas.
2.2 Registro de
domnios no Brasil
A verificao de disponibilidade do nome de do-
mnio escolhido, no caso de domnio brasileiro (endereos
terminados em .br) deve ser feita diretamente no site
http://registro.br .
Seguindo as regras de validao do domnio, o
criminoso poder registrar e cadastrar o seu domnio, me-
diante apresentao das suas informaes pessoais e pa-
gamento de uma taxa anual.
A consulta s informaes cadastrais que, foram
apresentadas no ato do registro do domnio, so pblicas
e livremente consultadas no site http://registro.br. O paga-
mento da taxa anual feito via boleto bancrio e as infor-
maes do pagador podem ser obtidas com a FAPESP ou
Comit Gestor da Internet no Brasil.
2.3 Registro de
domnios fora do
Brasil
No caso de domnios fora do Brasil, cada nao
tem seu procedimento especfico, sendo nos Estados Uni-
dos (domnios terminados em .com ou .org so os
que aparecem com maior frequncia na rotina de inves-
tigao) o processo de cadastramento de domnio mais
liberal. Por isso, quase nunca a equipe de investigao po-
der contar com informaes de registro. A documentao
exigida mnima e os pagamentos podem ser realizados
via carto de crdito internacional. H vrias empresas
que oferecem o servio para fazer o registro do domnio de
terceiros (exemplo: http://www.godaddy.com/dominios)
e elas deixam claro em seus sites que mantm em sigilo
absoluto as informaes do verdadeiro dono do domnio.
2.4 Hospedagem de
sites
Outra fonte de informao, talvez at mais im-
portante que os dados cadastrais de quem registrou o do-
mnio, a localizao de onde est hospedada a pgina.
Muitas vezes essa informao pode ser coincidente, mas
a possibilidade deve ser verificada pela equipe de investi-
gao.
No prprio site de consulta pblica (www.
whois.sc) possvel encontrar informaes sobre onde
o site est hospedado. No entanto, o procedimento mais
indicado, que pode ser efetuado paralelamente para con-
firmar a informao, abrir uma tela de prompt (no Win-
dows, basta clicar no boto Iniciar na barra inferior da
rea de trabalho escolher a opo executar e digitar o
comando cmd - mnemnico de command).
Praticando...
Na tela negra do prompt, digite o comando
ping seguido do endereo completo do site investigado.
Suponha que voc quer descobrir o endereo IP
de um site (neste exemplo www.uol.com.br).
No prompt, digite: pingwww.uol.com.br, tal
como a seguir:
Descobrindo o endereo do IP
A resposta traz o endereo IP 200.147.67.142,
que corresponde ao endereo IP do servidor WEB (servi-
dor de pginas web) que est hospedando o site www.
uol.com.br. A equipe de investigao poder agora iden-
tificar no http://whois.sc o nome da empresa proprietria
do endereo IP indicado. Essa empresa certamente pode-
r fornecer informaes sobre o verdadeiro dono do site
criminoso. Faa o procedimento para outros sites alm do
www.uol.com.br.
2.5 Buscando a
origem de uma
hospedagem de site
Ento, na investigao da origem de um site en-
volvido em crimes, buscando o verdadeiro responsvel
por um site criminoso, preciso observar, alm dos regis-
tros de domnio junto ao site registro br e www.whois.sc,
as informaes sobre o local de hospedagem da pgina
web, registros sobre a atualizao do contedo do site e
pagamento do servio de hospedagem.
O provedor de hospedagem certamente ter
muito a contribuir na identificao do responsvel pelo
site, pois poder fornecer os endereos IP utilizados para
acesso e atualizao de contedo, alm de dados cadas-
trais do responsvel pelo pagamento do servio. Informa-
es importantes e muitas vezes imprescindveis identifi-
cao do autor do crime.

importante ressaltar que muitas
empresas hospedam seu site nas prprias
dependncias, sem necessidade de contra-
o de provedor especfico. Nesses casos a
equipe de investigao pode chegar a um
endereo IP que est sob responsabilidade
do prprio investigado ou de uma a empresa
ligada a ele. Tal fato deve ser verificado an-
tecipadamente, sob risco de estar solicitando
informaes sobre a investigao ao prprio
autor.
A equipe de investigao deve estar ciente de
que as informaes de registro de domnio e as informa-
es de hospedagem, apesar de terem que ser verificadas,
podem no levar a informaes diretas e exatas sobre o
autor do crime, mas certamente contribuir para a inves-
tigao. Um estelionatrio, por exemplo, quase sempre vai
registrar com informaes cadastrais falsas ou em nome
de terceiros. Embora as tcnicas de investigao de crimes
cibernticos possam contribuir muito, chegar ao verdadei-
ro criminoso, nesses casos, depende muito de trabalho de
investigao tradicional.
H casos em que uma pgina criminosa criada
em um site padro, tal como ocorre nas redes sociais de re-
lacionamento (ORKUT, FACEBOOK, LINKEDIN, MYFACE,
FLOGO, BLOGSPOT, etc). Quando isso acontece, o ende-
reo buscado chamado de subdomnio, ou seja, um do-
mnio dentro de outro. Nesse caso, o responsvel por dar
informaes autoridade policial o provedor do servio
do domnio principal.
Ressalta-se que, a maioria dos provedores de
servios estrangeiros sempre oferecem dificuldades para
fornecer essas informaes, alegando principalmente o
fato de no estarem sujeitos lei brasileira.
 AULA 3
Servio de mensagens
eletrnicas na Internet
3.1 Servio de e-mail
Embora atualmente a utilizao das redes so-
ciais de relacionamento tenha substitudo parcialmente
a necessidade dessa forma de comunicao, o servio de
mensagens eletrnicas (e-mail) ainda so muito utilizados.
Na rotina de investigao de crimes cibernticos observa-
-se sua utilizao em vrios tipos de crime, principalmen-
te crimes contra a honra. Mas h possibilidade de uso de
mensagens de e-mail para comunicao em qualquer tipo
de crime.
Geralmente, os endereos de e-mail envolvidos
em crimes so falsos, ou seja, so contas criadas especifica-
mente para a comunicao no ato criminoso. Tambm h
possibilidade de o atacante utilizar aplicativos especficos
para que o endereo eletrnico do destinatrio seja mani-
pulado, podendo aparecer qualquer informao naquele
campo (exemplo: http://deadfake.com/Send.aspx). Por
isso, o nome da conta ou as informaes cadastrais forne-
cidas pelo provedor de servios geralmente no so rele-
vante, embora a verificao seja praticamente obrigatria
para a equipe de investigao.
3.2 Como identificar
a origem de uma
mensagem de e-mail
Assim, a informao mais importante , de fato, o en-
dereo IP de origem. Ele pode ser identificado de duas maneiras:
1. Expanso do cabealho da(s) mensagem(ns)
envolvida(s) no crime;
2. Solicitao ao provedor de origem do servio
de e-mail envolvido no crime para que fornea
os dados cadastrais do responsvel pela conta
de e-mail investigada, bem como os registros
de eventos (IP/LOGs) no perodo previsto.
O cabealho de uma mensagem de e-mail, nor-
malmente s mostra as contas de e-mail do remetente e
do(s) destinatrio(s), data, horrio e assunto. Essa a for-
ma padro que os leitores de e-mail e webmail so con-
figurados. Contudo, todos os provedores de webmail e
aplicativos de leitura de mensagens eletrnicas oferecem a
possibilidade de expanso do cabealho normal.
3.3 Expanso do
cabealho em
um aplicativo de
leitura de e-mail
O procedimento de expanso do cabealho va-
ria muito, dependendo do aplicativo utilizado ou do servi-
o de webmail envolvido. Ressalta-se que, embora os pro-
cedimentos sejam diferentes, eles seguem certo padro.
Para saber mais sobre como expandir cabea-
lhos em outros aplicativos de leitura de e-mail acesse:
http://office.microsoft.com/pt-br/outlook-help/exibir-
-cabecalhos-de-mensagens-de-email-HA001230300.aspx
http://www.intesys.com.br/2011/06/visualizar-cabeca-
lhos-completos-das-mensagens-em-diferentes-clientes-
-de-e-mail/
Quando feita a expanso, vrias
informaes tcnicas aparecem, entre elas
o endereo IP. preciso que a equipe de in-
vestigao saiba retirar a informao rele-
vante em meio a vrias outras, por exemplo,
identificar o endereo IP vlido de onde saiu
a mensagem. Neste ponto, voc j deve ser
capaz de identificar os endereos IP vlidos
e relevantes para a investigao. Caso ainda
no consiga, procure o seu tutor e solicite
ajuda.
Quando feita a expanso, vrias informaes
tcnicas aparecem, entre elas o endereo IP. preciso que
a equipe de investigao saiba retirar a informao rele-
vante em meio a vrias outras, por exemplo, identificar o
endereo IP vlido de onde saiu a mensagem. Neste ponto,
voc j deve ser capaz de identificar os endereos IP vli-
dos e relevantes para a investigao. Caso ainda no consi-
ga, procure o seu tutor e solicite ajuda.
O procedimento para expandir o cabealho de
qualquer aplicativo de leitura de mensagens de e-mail ou
webmail algo que, embora diferente, segue um padro
que no difcil de identificar. Geralmente um clique so-
bre a mensagem envolvida na investigao, um acesso ao
menu principal e alguns cliques a mais nas opes corre-
tas o levaro facilmente a expandir qualquer cabealho de
qualquer aplicativo de e-mail.
No h possibilidade de listar aqui todos os pro-
cedimentos para expanso de cabealhos de todos os apli-
cativos existentes, mas nos anexos voc poder encontrar
exemplos de como expandir os cabealhos nos principais
aplicativos de leitura de mensagens eletrnicas e webmail.
3.3.1 Automatizao
da anlise de
cabealho
expandido
Para facilitar a identificao exata do endereo IP
da conexo Internet de onde se originou a mensagem in-
vestigada, h ferramentas, tal com o aplicativo web deno-
minado TRACE MAIL, disponvel publicamente. Se voc
tiver interesse, poder acessar um desses aplicativos que
automatizam a anlise do cabealho e apontam o ende-
reo IP de origem da mensagem, clique aqui. http://www.
traceanemail.com.
Para utilizar basta copiar o cabealho completo
(expandido) e colar no campo de edio.
http://mediugorie.wordpress.com/2006/12/
05/exibindo-o-cabecalho-completo-nas-mensagens-de-
-e-mail-recebidas/e veja o procedimento para expanso
de cabealho dos principais servios de WEBMAIL.
3.4 Solicitando
informaes ao
provedor de e-mail
Outra maneira de obter mais informaes so-
licitar ao provedor do servio de e-mail que fornea os da-
dos cadastrais e os registros de eventos (LOGs) da conta de
e-mail investigada.
Obtendo as informaes de endereo(s) IP e res-
pectivas datas/horrios/timezones, basta descobrir qual
o provedor de acesso responsvel (consultando nos sites
http://registro.br e www.whois.sc) e novamente solici-
tar informaes sobre os assinantes responsveis pelo(s)
endereo(s) IP nas respectivas datas e horrios.
Fluxograma do processo de investigao de sites e mensagens de e-mail. FONTE: CRIMES CIBERNTICOS Manual prtico de investigao - Mi-
nistrio Pblico Federal de So Paulo
Ao receber a comunicao do crime envolvendo
sites ou e-mail, a primeira providncia procurar infor-
maes sobre os provedores de servio em fontes abertas
(http://registro.br ou www.whois.sc). Identificado o pro-
vedor de servios, deve-se buscar as informaes junto a
ele (talvez necessite de ordem judicial ou carta rogatria/
MLAT, dependendo do provedor).
O provedor de servio deve retornar os dados ca-
dastrais do usurio do servio (talvez sejam falsos), as fontes
pagadoras do servio (se o servio for pago) e os endereos
IP utilizados pelo usurio do servio para acess-lo.
Os endereos IP devem levar a um provedor,
para o qual a equipe de investigao deve solicitar infor-
maes sobre a conexo Internet que originou e o assi-
nante responsvel pela conexo fsica ou linha telefnica
vinculada, bem como o endereo de instalao.
Para resumir o procedimento que deve ser to-
mado em casos de sites ou contas de e-mail envolvidas no
crime investigado, veja a seguir o fluxograma ilustrativo
3.5 Outros servios
de comunicao na
Internet
Atualmente, a grande popularizao das comu-
nicaes via Internet fez com que surgissem vrios aplica-
tivos especficos para este fim. Exemplos claros disso so
os aplicativos de comunicao instantnea, Windows Live
Messenger (antigo MSN vem sendo substitudo pelo
SKYPE), GOOGLE TALK, Yahoo Messenger e mais recen-
temente vem sendo muito utilizada a comunicao online
por meio de perfis em redes sociais como ORKUT, FACE-
BOOK, alm dos aplicativos especficos para smartphones,
tais como WhatsApp, Viber, Voxer, entre outros.
Os maiores obstculos, nos casos dos aplicativos
mais recentes para comunicao, so o fato de a maioria
dos provedores desses servios serem estrangeiros e no
se submeterem legislao brasileira, alm de o fato de jam interceptados. Neste ltimo caso, a limitao verda-
que esses servios esto utilizando o recurso da cripto- deiramente tcnica enquanto no primeiro caso jurdica.
grafia, que pode evitar que os contedos utilizados para Mais adiante, no mdulo 6, voc estudar os aplicativos
comunicao entre criminosos ou criminosos-vtimas se- avanados.
 FINALIZANDO
Neste mdulo voc aprendeu que...
Na Internet existem dois tipos de provedores: O provedor de acesso, (ISP In-
ternet Service Provider ou PSI Provedor de Servio de Internet) e O provedor
de servios, que disponibiliza os servios de Internet para uso pblico, gratuita-
mente ou no
Basicamente, h trs tipos de endereos Internet: Endereo URL (Universal Re-
searchLocator); endereo de correio eletrnico (E-mail) e endereo IP (Internet
Protocol).
O ato de alocar um endereo IP para um cliente durante um determinado in-
tervalo de tempo gera um evento. Consequentemente, o ato de armazenar a
identificao, data, horrio e respectivo endereo IP alocado ao cliente gera o
que tecnicamente denominado registro de evento ou LOG.
O registro dos eventos de cada cliente o que faz o provedor ser capaz de iden-
tificar o responsvel e dar a localizao de qualquer endereo IP em qualquer
data e horrio.
A primeira providncia aps identificar o endereo IP que originou a comunica-
o objeto do crime identificar o local ou regio de onde partiu a comunica-
o. A regio onde se encontra o criminoso til para definir o a circunscrio
responsvel pela apurao da autoria do crime.
Na investigao da origem de um site envolvido em crimes, buscando o verda-
deiro responsvel por um site criminoso, preciso observar, alm dos registros
de domnio junto ao site registro.br e www.whois.sc, as informaes sobre o
local de hospedagem da pgina web, registros sobre a atualizao do contedo
do site e pagamento do servio de hospedagem.
Na rotina de investigao de crimes cibernticos observa-se sua utilizao em
vrios tipos de crime, principalmente crimes contra a honra. Mas h possibili-
dade de uso de mensagens de e-mail para comunicao em qualquer tipo de
crime.
 GABARITO
MDULO 1
1 - (x) Registro de eventos com endereos IP, datas e horas.
2 - (x) registro de endereos eletrnico, data e hora de
acesso do usurio.
3 - (x) unir esta informao a outras obtidas por meio tradi-
cional para apontar a autoria.
4 - (x) endereo IP, endereo URL e endereo de E-mail.
5. F / F / V / V
MDULO 2
1 - ( x ) A lei dos cybercafs no especifica as punies Provedores de acesso so as empresas que disponibilizam
para quem no cumpre as normas vigentes e no estabe-
lece o rgo governamental competente para fiscalizar o
cumprimento.
2 - ( x ) Por meio do endereo IP possvel definir a regio
onde o criminoso utilizou a Internet.
3 - ( x ) A maior fonte de informaes sobre criminosos na
Internet so os provedores de acesso e os provedores de
servio na Internet.
4 - ( x ) O MLAT um acordo de assistncia legal mtua
entre os pases que facilita o levantamento de informaes
em ambiente estrangeiro.
MDULO 3
1 - Orientao para resposta:
Provedores de servios so as empresas que fornecem al-
gum tipo de servios na Internet, tais como e-mail, portal
de notcias, chat, comunicao instantnea, entretenimen-
to, comrcio eletrnico, homebank, entre outros. Esses
provedores podem apontar qual o endereo IP utilizado
pela conexo onde o suspeito de um crime utilizou a Inter-
net para acessar o servio no momento da prtica delitu-
osa. As maiores empresas do ramo so Google, Microsoft,
Yahoo, UOL, entre outras.
os meios fsicos de transmisso de dados e os equipamen-
tos de rede de comunicao que possibilitam ao usurio
acessar a Internet. Esses provedores podem identificar o
endereo completo de instalao do acesso Internet que
utilizou determinado endereo IP na respectiva data e ho-
rrio do fato delituoso. As maiores empresas neste ramo
so Oi, GVT, NET, Embratel, Claro, Vivo, TIM, dentre outras.
2 - (x) Os provedores sempre guardam os registros de
eventos por 5 anos, de acordo com a legislao vigente no
Brasil.
3 - ( x ) Endereos IP dinmicos so compartilhados entre
os vrios clientes de um provedor de acesso de forma que
extremamente necessrio que sejam vinculados a data
e horrio para que o cliente responsvel seja identificado.
4 - Orientao para resposta:
Expanda o cabealho de uma mensagem de sua caixa de e-
-mail pessoal (identifique como proceder no seu programa de
leitura de e-mail ou seu servio de webmail). Identifique o IP
vlido que equivale ao IP da conexo de origem da mensagem.
Utilize sites de geo-localizao de IP como http//en.utrace.de
para identificar a localizao geogrfica aproximada.
5 - Orientao para resposta:
Expanda o cabealho de uma mensagem de sua caixa de e-
-mail pessoal (identifique como proceder no seu programa
de leitura de e-mail ou seu servio de webmail). Identifi-
que o IP vlido que equivale ao IP da conexo de origem
da mensagem. Utilize sites de geo-localizao de IP como
http//en.utrace.de para identificar a localizao geogrfica
aproximada.
6 - Orientao para resposta:
6.1. Pesquise nos sites http://registro.br ou http://whois.sc
para identificar o provedor responsvel por cada um dos
endereos IP fornecidos pela Microsoft. Utilize a tabela
de converso para converter os horrios de uso dos en-
dereos IP dos timezones da Microsoft para os brasileiros
(atente-se para a questo do horrio de vero).
6.2. utilize sites de geo-localizao para identificar a regio
aproximada dos endereos IP.
MDULO 4
1. (x) Na Internet, principalmente em sites de redes sociais,
geralmente so descartados como fonte de informao em
investigaes porque os perfis so fechados e no expem
o usurio.
2. (x) Busca sistemtica equivale fazer pesquisas fre-
quentes e lidar com os crimes na Internet mesmo que no
haja nenhum registro oficial de vtimas.
MDULO 5
1 - (x) Os computadores a serem apreendidos devem ser
imediatamente puxados da tomada.
2 - Orientao para resposta
Lembre-se de que o computador pode conter aplicativos
de criptografia e que o contedo est somente na me-
mria voltil. Lembre-se tambm que o dispositivo ar-
mazenado deve ser preservado para que no seja conta-
minado aps o incio da operao de busca e apreenso.
Lembre-se ainda que a anlise do material apreendido
no deve ser feita no dispositivo original, mas sim em
uma cpia feita bit-a-bit.
3 - (x) Todos os dispositivos apreendidos devem ser identi-
ficados, catalogados, fotografados e cuidadosamente des-
critos.
MDULO 6
1. (x) Comprar ou baixar filmes, fotos, msicas e aplicati-
vos no originais.
2. (x) A engenharia reversa trabalha tentando descobrir
como o malware se comunica com o atacante.
3. (x) No caso de o alvo utilizar comunicao criptografada
no possvel acessar o contedo por meio de intercepta-
o telemtica.
4. b / d / a / h / f / e / g / c