INVESTIGAÇÃO DE CRIMES CIBERNÉTICOS

Polícia Civil do Distrito Federal
INVESTIGAÇÃO DE CRIMES CIBERNÉTICOS
Carlos Said Oiticica Bandeira

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC
INTRODUÇÃO
• Crimes cibernéticos: aqueles praticados por
meio da internet
• Objetivo na investigação: partindo da conexão

criminosa, localizar o autor
• Crimes informáticos X tradicionais

EXEMPLOS DOS PRINCIPAIS CRIMES
SERVIÇOS CRIMES
Websites Estelionato, Furto mediante fraude, Crimes contra a
honra, Ameaça
E-mail, chats, listas de Crimes contra a honra, Ameaça, Spam, Phishing Scam,
discussão, mensagens Usurpação de senhas, Discriminação ou preconceito (Lei
instantâneas 7.716/1989, alterada pela Lei 12.735/2012)
Home Banking Furto mediante fraude
Redes peer to peer Crimes contra a propriedade intelectual, Exploração
sexual infanto-juvenil
Redes sociais e Blogs Exploração sexual infanto-juvenil, Crimes contra a honra
e Ameaça, Falsa identidade, Usurpação de senha,
Discriminação ou preconceito
Dispositivos em geral
Invasão de dispositivo informático, produção ou difusão
(novos tipos penais)
de malware, interrupção de serviço telemático (lei
12.737/2012)
PRINCIPAIS FONTES DE INFORMAÇÃO EM
INVESTIGAÇÕES DE CRIMES CIBERNÉTICOS
• Endereços eletrônicos (domínios, IP, e-mails, etc.)

• Registros de eventos (logs)
• Fontes abertas (Google, redes sociais)
• Equipamentos apreendidos
• Interceptação (ordem judicial)
• Intrusão ou infiltração (técnicas)

FONTES ABERTAS INFORMAIS
• GOOGLE: mecanismo de busca, rede de

relacionamento, fotos, vídeos, blogs, mapas, etc
• REDES SOCIAIS: fotos, aniversário, e-mail, CEP,
parentes, vizinhos
• YOUTUBE: vídeos do alvo (dados de identificação)
• LISTAS DE DISCUSSÃO: assuntos de interesse do
alvo

FONTES ABERTAS DOCUMENTAIS
• OFICIAIS: diários oficiais, processos legislativos,
processos orçamentários, contratos públicos, etc
• PROFISSIONAIS: divulgação de profissionais autônomos,

artigos científicos, pesquisas, conferências, simpósios
• RECEITA FEDERAL: situação cadastral do CPF
• CORREIOS: região do CEP do alvo
• TSE: último local de votação do alvo

Fonte: (www.gestaopolicial.blogspot.com.br ) IntelFA - [Celso Moreira Ferro Júnior]

A ESTRUTURA DA INTERNET
Que tal procurar uma agulha em um palheiro?

CONCEITOS INICIAIS
DOMÍNIOS

• É o nome ou endereço (URL) do site. Exemplos:

• www.pcdf.df.gov.br
• www.globo.com
• www.cibercrimes.blogspot.com
• O registro de domínios, no Brasil, é de
responsabilidade do Comitê Gestor da Internet
(CGI.br), através do Registro.br
• Fora do Brasil, cada país dita suas próprias regras

REGISTRO DE DOMÍNIOS
• Colocar um site em produção requer alguns

passos, sendo o primeiro a criação e registro do
domínio
• Registrar um domínio requer preenchimento de
um cadastro com informações pessoais
• Empresas oferecem serviço de registro

REGISTRO DE DOMÍNIOS NO BRASIL
• www.registro.br (mantido pelo CGI.br – Comitê Gestor da Internet no
Brasil)
• Domínios disponíveis (Necessidade de CNPJ):
• am.br e fm.br (radiodifusão)
• coop.br (cooperativas)
• edu.br (instituição de ensino)
• gov.br (governo)
• mil.br (Ministério da Defesa)
• net.br (provedores de serviços de rede)
• org.br (ONGs, paraestatais)
• Domínios pessoais e profissionais liberais (CPF): com.br
• Taxa Anual
• Ao menos dois servidores DNS que respondam pelo domínio

REGISTRO DE DOMÍNIOS FORA DO BRASIL
• Fora do Brasil, cada país segue sua própria regra

• É importante conhecer os processos dos domínios
“.com”, “.net” e “.org” (EUA)
• InterNIC (até 1998) – ICANN (depois de 1998)
• Intermediários: Network Solutions, Godaddy,
Namecheap, Justhost.com, entre outras
• Não necessita documentação
• Pagamento é feito via cartão internacional

CONCEITOS INICIAIS

DNS – DOMAIN NAME SYSTEM
• Sistema de nomes de domínios

• Servidores DNS – traduzem os nomes para
endereços IP e endereços IP para nomes.
Exemplo:
• Nome: terra.com.br - endereço IP: 200.154.56.80
• O registro de domínios no Brasil exige ao menos
dois servidores DNS respondendo pelo nome
solicitado.

CONCEITOS INICIAIS: ENDEREÇOS IP

CONCEITOS INICIAIS
ENDEREÇOS IP
• Endereços IP (Internet Protocol): A.B.C.D
A . B . C . D
200 . 153 . 1 . 67
• Cada bloco, denominado octeto, é composto por um número

entre 0 e 255

ENDEREÇOS IP RESERVADOS
• Endereços IPv4 começaram a ficar escassos
• Técnica de NAT (Network Adress Transation)
• Endereços IP brasileiros geralmente iniciam (primeiro octeto) com: 200,
201, 189, 187, 186, 177 (ICANN - LANIC – FAPESP)
• IP reservados para redes privadas:
• 10.B.C.D/8
• 172.16.C.D/12
• 192.168.C.D/16

IMPORTANTE!
• O endereço IP é da conexão e não do dispositivo
• Um endereço IP, por si só, não é suficiente para
localizar a origem de uma conexão

ENDEREÇOS IP ESTÁTICOS E DINÂMICOS
• Provedores e empresas geralmente utilizam endereço

IP estático, fixo
• Usuários residenciais geralmente não necessitam de
endereço IP estático e usam um do tipo dinâmico,
compartilhado

GEORREFERENCIAMENTO DE ENDEREÇOS IP
• Comando “tracert” mostra, eventualmente, a região

geográfica do endereço IP
• Sites como utrace.de, ip-tracker.org e ip-adress.com
mostram a localização aproximada do endereço




RASTREAMENTO DE ENDEREÇOS IP DINÂMICOS
Os provedores de acesso à
Internet, que são capazes
de fornecer informações
oficiais sobre usuários de
endereços IP, necessitam
de informações como data,
hora e timezone (fuso).
É preciso ter cuidado e atenção no ajuste da hora

para o horário local. Verificar horário de verão.
GMT -0800 PST
GMT -0700 PDT

GMT -0300
MICROSOFT
GOOGLE
YAHOO!
Facebook
BRASIL


VISÃO GERAL DA INVESTIGAÇÃO:
Levantamentos preliminares
1. Identificação do meio empregado (rede social, e-mail, mensagem

instantânea, etc.)
2. Preservação das evidências (printscreen, pdf, cópia do site)
3. Identificação dos responsáveis pelo serviço (website, Facebook,
Microsoft, Google, etc.)
Fonte: 2ª Câmara de Coordenação e Revisão - 2ª CRR - MPF

Grupo de Trabalho sobre Crimes Cibernéticos

VISÃO GERAL DA INVESTIGAÇÃO
Etapas realizadas após a representação judicial
1. Identificação dos dados relativos à conexão (endereço IP / data /

hora – fornecidos em regra pelo provedor de conteúdo)
2. Obtenção dos dados cadastrais (provedor de acesso)
3. Comprovação da autoria e materialidade (busca e apreensão, oitiva
do assinante, laudo pericial, interceptação telemática)


DIFICULDADES ENCONTRADAS:
• Ausência / deficiência da legislação sobre o assunto

• Sites hospedados no exterior
• Cooperação internacional pouco eficiente
• Lan Houses e redes abertas
• Falta de estrutura e integração dos órgãos de repressão e
julgamento
• Falta de especialização dos agentes envolvidos
• Pouco comprometimento dos provedores
• Constante capacitação e evolução dos criminosos


RESPONSÁVEL PELO ENDEREÇO IP
PROVEDORES DE ACESSO À INTERNET:
whois.registro.br
www.whois.sc

RESPONSÁVEL PELA HOSPEDAGEM
DO SITE
• Identificação do endereço IP do provedor: comando
“ping dominioexemplo.com”

RESPONSÁVEL PELA HOSPEDAGEM
DO SITE
• Busca pelo endereço IP do domínio em um serviço de whois
OrgName: Facebook, Inc.
Address: 1601 Willow Rd.
City: Menlo Park
StateProv: CA
PostalCode: 94025
Country: US
RegDate: 2004-08-11
Updated: 2012-04-17
OrgAbuseName: Operations
OrgAbusePhone: +1-650-543-4800
OrgAbuseEmail: domain@facebook.com
INVESTIGAÇÃO DE WEBSITES
Fontes de informação:
• Responsável pelo registro do domínio
• Hospedagem: Quem paga?
• Conteúdo: quem acessa/atualiza o site?
• Informações de contato (e-mail, telefone, MSN)
• Se for o caso: informações sobre pagamento
(contas bancárias, PagSeguro, Paypal)
• Informação volátil: necessidade de preservação
(impressão em papel, printscreen, cópia do site)











MENSAGENS INSTANTÂNEAS
• Possibilidade do anonimato (apelido falso)
• Mais usados:
– Windows Live Messenger (MSN), GoogleTalk, Skype,
Facebook Messenger

• Facilidade de comunicação:
• Meio barato, fácil, rápido de usar
• Permite comunicação por voz e vídeo
• Permite trocas de arquivos
• Oferece facilidades para criminosos:
• Fácil forjar um identidade
• Usuários descuidados
• Difícil de identificar o interlocutor
Identificação de responsável por conta de MSN

Messenger ou Skype: solicitação de informações à
Microsoft.





O QUE SOLICITAR?
Representar judicialmente para que a empresa

Brasil Telecom (OI), informe o responsável pelo
endereço IP 200.96.137.250, no dia 07/10/2008, às
13h47min40 (GMT-0300).

APREENSÃO DE EVIDÊNCIAS ELETRÔNICAS
• Segurança do policial: não ser displicente com o alvo

pelo fato de o crime envolver tecnologia
• Volatilidade: buscar a preservação das evidências
• Se acreditar que o computador esteja destruindo
evidências, desligue-o imediatamente, removendo o
cabo de força
• Fotografar o monitor, o computador, quaisquer mídias,
e todo o local da apreensão

COMPUTADORES PESSOAIS

COMPUTADORES PESSOAIS
• Desconecte o cabo de força do roteador ou modem
• Não utilize nem faça buscas do computador
• Se estiver desligado, não o ligue
• Se estiver ligado, fotografe a tela (mova o mouse, caso
esteja em branco)
• Dê atenção à criptografia e à coleta de dados voláteis
(imagem de memória RAM e documentar processos em
execução) – sempre com a ajuda de um perito
• Desligue o cabo de força do gabinete
• Se for um notebook, remova a bateria. Não esqueça o
carregador
SERVIDOR DE REDE

SERVIDOR DE REDE
• Consulte um especialista em computadores para
assistência técnica
• Assegure a segurança da cena e não permita que
alguém toque nos equipamentos, mesmo que
estejam distantes do servidor principal
• Desligar o cabo de força pode:
• Danificar o sistema
• Interromper negócios legítimos
• Criar responsabilização legal para o policial e o
Estado
DISPOSITIVOS DE ARMAZENAMENTO
• Busca cuidadosa no ambiente
• Atenção para dispositivos pequenos ou com formatos

diferentes
• Sua utilização pode acarretar alteração de conteúdo:

vulnerabilidade que pode ser utilizada pela defesa






CADEIA DE CUSTÓDIA
“Processo usado de forma a comprovar

que o material probatório não sofreu
nenhum tipo de alteração desde a sua
apreensão e durante todo o processo
judicial, registrando, de forma a prover um
histórico da movimentação ou manuseio,
todas as ocorrências de sua tramitação.”
(Ramos e Eses, 2010)

CADEIA DE CUSTÓDIA
Características e objetivos
• Documentar a história cronológica da evidência

• Rastrear posse e manuseio
• Garantia de idoneidade e integridade: evitar alegações de adulteração
• Permite o rastreamento das provas
• Importante: lacrar e etiquetar todas as evidências

Exemplos de formulário




Sacola de evidências

SPAM E PHISHING SCAM
• SPAM: mensagens não solicitadas
• Prática já existia antes dos e-mails
• Enviadas para muitos destinatários
• Têm objetivo comercial
• Correntes ou pirâmides
• Denúncias: abuse@.
• mail-abuse@cert.br;
• Procure não divulgar seu e-mail em promoções;
• Filtros anti-spam.








PHISHING SCAM
Estudo de caso

NOTÍCIA DO CRIME
Para: abuse@bb.com.br
De: Roque Klop - rQcreative <contact@rqcreative.com>
Data: 04/04/2013 21:49
Assunto: Attention: Hacker/Phishing found (Former bank employee!)
Hello, I've encountered a hacker accessing my server (he has hacked a

website of my client).
I have discovered two IP addresses, the hacker's email address, and

his Facebook profile, which includes his name, photo, location, and his
profile displays that he has previously worked at "Banco do Brasil".
It could very well be an inside-job, or he could be working with his ex-
colleagues, I think you should be aware of that.

MODUS OPERANDI
He was sending out phishing emails along with another hacker (though, the
other hacker didn't send emails in name of the bank).
Both hackers always seemed to include their own email address as the last
email address in the list, which I believe was to verify all emails were sent.
Image he included in each email:


This hacker has been sending out 5001 phishing emails each time.
He has include himself in his phishing email batches as recipient #5001 every
time.
- IP address #1: 179.252.12.206 (Brasil Telecom S/A - Filial Distrito Federal)

2013 April 2nd, 07:06:12 UTC - mail form loaded
2013 April 2nd, 14:55:12 UTC - test email sent to by_leone@hotmail.com
2013 April 2nd, 15:09:01 UTC - 5001 phishing emails SENT
including "by_leone@hotmail.com"
2013 April 2nd, 15:50:17 UTC - 5001 phishing emails
SENT including "by_leone@hotmail.com"

ATAQUES
E
PRAGAS


Características do ataque:
• Alteração dos números da linha digitável de boletos

• Capacidade de atuação off-line: impressão
• Valor e vencimento não alterados
• Código de barras invalidado
• Desativação de softwares de segurança e firewall
• Captura de senha de Facebook e e-mail para disseminação








NOVAS TENDÊNCIAS
Carlos Said Oiticica Bandeira


Características
• Perigo de infecção do computador
• Conteúdo amplo (70% a 75% do total), anônimo, sem controle
externo
• Acesso por meio do TOR (The Onion Router) - desenvolvido
inicialmente pela marinha americana, com o propósito de proteger
comunicações governamentais
(https://www.torproject.org/about/overview.html.en)
• Atualmente é utilizado por todo tipo de pessoas, como militares,
jornalistas, ativistas, bem como criminosos

Funcionamento da rede TOR





• Moeda digital criada por volta do ano 2009

• Não possui entidade central de controle
• Armazenada em arquivos de carteira, localizados no
computador do proprietário ou em sites especializados
• Criada por meio de processo denominado mining, em que
computadores resolvem complexos problemas matemáticos
localizando “blocos” bitcoin. Quanto mais blocos localizados,
maior a dificuldade dos problemas matemáticos
• Pode ser trocada por serviços, mercadorias (legais ou não)
e por moeda tradicional
• Já existem cavalos de troia com capacidade de mineração



FERRAMENTAS ÚTEIS










INFORMÁTICA JURÍDICA E CYBER CRIMES
• http://mariano.delegadodepolicia.com/
• http://hackproofing.blogspot.com.br/
• http://www.aldemario.adv.br/infojur/indiceij.htm
• http://www.internetlegal.com.br/
• http://www.egov.ufsc.br/portal/buscalegis

SIT/DIPO/CORIE/DGPC (Seção de Inteligência

Tecnológica)
(61) 3462-9947
diposit@pcdf.df.gov.br
Carlos Said
(61) 3462-9950
said@pcdf.df.gov.br

INVESTIGAÇÃO DE CRIMES CIBERNÉTICOS - Curso Sesge

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

INVESTIGAÇÃO DE CRIMES CIBERNÉTICOS - Curso Sesge

Enviado por

Direitos autorais:

Formatos disponíveis

Polícia Civil do Distrito Federal

Carlos Said Oiticica Bandeira

• Objetivo na investigação: partindo da conexão

• Crimes informáticos X tradicionais

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

• Endereços eletrônicos (domínios, IP, e-mails, etc.)

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

• GOOGLE: mecanismo de busca, rede de

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

• PROFISSIONAIS: divulgação de profissionais autônomos,

• RECEITA FEDERAL: situação cadastral do CPF

• CORREIOS: região do CEP do alvo

• TSE: último local de votação do alvo

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

Que tal procurar uma agulha em um palheiro?

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

• É o nome ou endereço (URL) do site. Exemplos:

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

• Colocar um site em produção requer alguns

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

• Fora do Brasil, cada país segue sua própria regra

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

DNS – DOMAIN NAME SYSTEM

• Sistema de nomes de domínios

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

CONCEITOS INICIAIS: ENDEREÇOS IP

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

• Cada bloco, denominado octeto, é composto por um número

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

• Provedores e empresas geralmente utilizam endereço

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

• Comando “tracert” mostra, eventualmente, a região

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

É preciso ter cuidado e atenção no ajuste da hora

GMT -0700 PDT

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

1. Identificação do meio empregado (rede social, e-mail, mensagem

Fonte: 2ª Câmara de Coordenação e Revisão - 2ª CRR - MPF

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

1. Identificação dos dados relativos à conexão (endereço IP / data /

Fonte: 2ª Câmara de Coordenação e Revisão - 2ª CRR - MPF

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

• Ausência / deficiência da legislação sobre o assunto

Fonte: 2ª Câmara de Coordenação e Revisão - 2ª CRR - MPF

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC

COORDENAÇÃO DE INTELIGÊNCIA E ESTRATÉGIA – CORIE / DGPC