A Investigação dos Crimes Cibernéticos I ENCONTRO OPERACIONAL CRIMINAL DO MINISTÉRIO PÚBLICO DE SANTA CATARINA A Investigação dos Crimes Cibernéticos Augusto Eduardo de Souza Rossini - Promotor de Justiça MINISTÉRIO PÚBLICO DO ESTADO DE SÃO PAULO

Novos paradigmas Crimes tradicionais x Crimes cibernéticos

Classificação Crimes puros Crimes mistos

Definindo o crime Formal Material Mera conduta

Definindo o local do crime Regra geral do artigo 69, do Código de Processo Penal: “Determinará a competência jurisdicional: o lugar da infração; o domicílio ou residência do réu; a natureza da infração; a distribuição; a conexão ou continência; a prevenção; a prerrogativa de função.”

Meios de prova Fonte de prova Meio de prova

Meios de prova De que maneira levar as fontes de prova ao processo de maneira válida? Como transformar os fatos contidos nas fontes em meios de prova? De que maneira levar as fontes de prova ao processo de maneira válida? Como transformar os fatos contidos nas fontes em meios de prova?

Meios de prova Segurança: documentos eletrônicos x documentos tradicionais Questão da durabilidade O maior problema que se coloca para os chamados “documentos eletrônicos” é a sua segurança. Se diz que por ser facilmente manipulável e por não estar garantida a sua durabilidade através do tempo, sua segurança não é absoluta, e portanto não é similar a um documento escrito tradicional. Não é verdade que um “documento eletrônico” seja facilmente manipulável. Para adulterar um documento informático são necessários certos conhecimentos técnicos que nem todos possuem (não é qualquer um que falsificaria um CD-rom, por exemplo). Para falsear um documento escrito tradicional, o material necessário é muito mais acessível (xerox, máquina de escrever, etc.). Isso sem contar que os documentos informáticos podem estar protegidos por um código de acesso (password), que o tornariam ainda mais protegidos. A questão da durabilidade, contudo, é problemática. As possibilidades de deterioração de um “documento eletrônico” é bem superior ao tradicional papel, ainda que cuidados especiais sejam reservados. Esta deterioração se processa em duas frentes: primeiro, por sua própria fragilidade física, e segundo, por sua tendência de se tornarem muito rapidamente antiquados, o que dificultaria a sua leitura (ex. da carta e cd-rom deixados para os bisnetos; Word 5 do MP).

Meios de prova Disquete Cd-Rom E-mail Etc. Disquete: na acepção restrita de documento hoje encontrada no CP brasileiro, o documento exige a forma escrita, lançada sobre coisa móvel de fácil transporte. O disquete não se apresenta sob a forma escrita. A visualização da informação nele contida exige a transposição de seu conteúdo para a tela do computador. CD-Rom: do mesmo modo, não se enquadra na estrita definição de documento para fins penais. E-mail: neste, a restrição que se faz é com relação à segurança de sua informação. Este problema, contudo, vem sendo solucionado com o avanço tecnológico, a “assinatura virtual” (firma digital). Este tipo de assinatura confere autenticidade indiscutível ao documento, consistindo em uma série de caracteres criptográficos somente conhecidos pelo titular da assinatura. A assinatura virtual é até mais segura que a assinatura tradicional, já que é possível uma combinação de até oito caracteres. Se combinada a assinatura virtual com outra senha, de ordem pública, a assinatura virtual é praticamente inexpugnável. Na Itália, a firma digital como instrumento de segurança é uma realidade indiscutível. Uma lei datada de 1997 estabelece que os documentos e contratos firmados na Internet, com a assinatura virtual, são válidos e relevantes para todos os efeitos da lei.

Medida Provisória 2.200-2 e a Certificação Digital Conceitos: Doutrinário x Legal MEDIDA PROVISÓRIA Nº 2.200-2, DE 24 DE AGOSTO DE 2001 Institui a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informação em autarquia, e dá outras providências. O PRESIDENTE DA REPÚBLICA , no uso da atribuição que lhe confere o art. 62 da Constituição, adota a seguinte Medida Provisória, com força de lei: Art. 1º Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. Art. 2º A ICP-Brasil, cuja organização será definida em regulamento, será composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR. Art. 3º A função de autoridade gestora de políticas será exercida pelo Comitê Gestor da ICP-Brasil, vinculado à Casa Civil da Presidência da República e composto por cinco representantes da sociedade civil, integrantes de setores interessados, designados pelo Presidente da República, e um representante de cada um dos seguintes órgãos, indicados por seus titulares: I - Ministério da Justiça; II - Ministério da Fazenda; III - Ministério do Desenvolvimento, Indústria e Comércio Exterior; IV - Ministério do Planejamento, Orçamento e Gestão; V - Ministério da Ciência e Tecnologia; VI - Casa Civil da Presidência da República; e VII - Gabinete de Segurança Institucional da Presidência da República. § 1º A coordenação do Comitê Gestor da ICP-Brasil será exercida pelo representante da Casa Civil da Presidência da República. § 2º Os representantes da sociedade civil serão designados para períodos de dois anos, permitida a recondução. § 3º A participação no Comitê Gestor da ICP-Brasil é de relevante interesse público e não será remunerada. § 4º O Comitê Gestor da ICP-Brasil terá uma Secretaria-Executiva, na forma do regulamento. Art. 4º Compete ao Comitê Gestor da ICP-Brasil: I - adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil; II - estabelecer a política, os critérios e as normas técnicas para o credenciamento das AC, das AR e dos demais prestadores de serviço de suporte à ICP-Brasil, em todos os níveis da cadeia de certificação; III - estabelecer a política de certificação e as regras operacionais da AC Raiz; IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço; V - estabelecer diretrizes e normas técnicas para a formulação de políticas de certificados e regras operacionais das AC e das AR e definir níveis da cadeia de certificação; VI - aprovar políticas de certificados, práticas de certificação e regras operacionais, credenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado; VII - identificar e avaliar as políticas de ICP externas, negociar e aprovar acordos de certificação bilateral, de certificação cruzada, regras de interoperabilidade e outras formas de cooperação internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; e VIII - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualização tecnológica do sistema e a sua conformidade com as políticas de segurança. Parágrafo único. O Comitê Gestor poderá delegar atribuições à AC Raiz. Art. 5º À AC Raiz, primeira autoridade da cadeia de certificação, executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nível imediatamente subseqüente ao seu, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalização e auditoria das AC e das AR e dos prestadores de serviço habilitados na ICP, em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor da ICP-Brasil, e exercer outras atribuições que lhe forem cometidas pela autoridade gestora de políticas. Parágrafo único. É vedado à AC Raiz emitir certificados para o usuário final.

Medida Provisória 2.200-2 e a Certificação Digital Enfoques: Penal Processual Penal Art. 6º Às AC, entidades credenciadas a emitir certificados digitais vinculando pares de chaves criptográficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações. Parágrafo único. O par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento. Art. 7º Às AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações. Art. 8º Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil, poderão ser credenciados como AC e AR os órgãos e as entidades públicos e as pessoas jurídicas de direito privado. Art. 9º É vedado a qualquer AC certificar nível diverso do imediatamente subseqüente ao seu, exceto nos casos de acordos de certificação lateral ou cruzada, previamente aprovados pelo Comitê Gestor da ICP-Brasil. Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória. § 1º As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei nº 3.071, de 1º de janeiro de 1916 - Código Civil. § 2º O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento. Art. 11. A utilização de documento eletrônico para fins tributários atenderá, ainda, ao disposto no art. 100 da Lei nº 5.172, de 25 de outubro de 1966 - Código Tributário Nacional. Art. 12. Fica transformado em autarquia federal, vinculada ao Ministério da Ciência e Tecnologia, o Instituto Nacional de Tecnologia da Informação - ITI, com sede e foro no Distrito Federal. Art. 13. O ITI é a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Públicas Brasileira. Art. 14. No exercício de suas atribuições, o ITI desempenhará atividade de fiscalização, podendo ainda aplicar sanções e penalidades, na forma da lei. Art. 15. Integrarão a estrutura básica do ITI uma Presidência, uma Diretoria de Tecnologia da Informação, uma Diretoria de Infra-Estrutura de Chaves Públicas e uma Procuradoria-Geral. Parágrafo único. A Diretoria de Tecnologia da Informação poderá ser estabelecida na cidade de Campinas, no Estado de São Paulo. Art. 16. Para a consecução dos seus objetivos, o ITI poderá, na forma da lei, contratar serviços de terceiros. § 1º O Diretor-Presidente do ITI poderá requisitar, para ter exercício exclusivo na Diretoria de Infra-Estrutura de Chaves Públicas, por período não superior a um ano, servidores, civis ou militares, e empregados de órgãos e entidades integrantes da Administração Pública Federal direta ou indireta, quaisquer que sejam as funções a serem exercidas. § 2º Aos requisitados nos termos deste artigo serão assegurados todos os direitos e vantagens a que façam jus no órgão ou na entidade de origem, considerando-se o período de requisição para todos os efeitos da vida funcional, como efetivo exercício no cargo, posto, graduação ou emprego que ocupe no órgão ou na entidade de origem. Art. 17. Fica o Poder Executivo autorizado a transferir para o ITI: I - os acervos técnico e patrimonial, as obrigações e os direitos do Instituto Nacional de Tecnologia da Informação do Ministério da Ciência e Tecnologia; II - remanejar, transpor, transferir, ou utilizar, as dotações orçamentárias aprovadas na Lei Orçamentária de 2001, consignadas ao Ministério da Ciência e Tecnologia, referentes às atribuições do órgão ora transformado, mantida a mesma classificação orçamentária, expressa por categoria de programação em seu menor nível, observado o disposto no § 2º do art. 3º da Lei nº 9.995, de 25 de julho de 2000, assim como o respectivo detalhamento por esfera orçamentária, grupos de despesa, fontes de recursos, modalidades de aplicação e identificadores de uso. Art. 18. Enquanto não for implantada a sua Procuradoria Geral, o ITI será representado em juízo pela Advocacia Geral da União. Art. 19. Ficam convalidados os atos praticados com base na Medida Provisória nº 2.200-1, de 27 de julho de 2001. Art. 20. Esta Medida Provisória entra em vigor na data de sua publicação. Brasília, 24 de agosto de 2001; 180º da Independência e 113º da República. FERNANDO HENRIQUE CARDOSO José Gregori Martus Tavares Ronaldo Mota Sardenberg Pedro Parente

Medida Provisória 2.200-2 e a Certificação Digital Art. 1o  Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras.

Medida Provisória 2.200-2 e a Certificação Digital Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória (ressalva do art.62, §, 1º, I, a, da CF). Par.1. As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131, do Código Civil (Atual art.219).

A Missão da Medida Provisória 2.200-2 Assegurar a eficácia probatória do arquivo eletrônico, a ele conferindo a natureza de documento FUNÇÃO DO DOCUMENTO: REPRESENTAR, DE MODO IDÔNEO, DETER- MINADO FATO OU PENSAMENTO

Requisitos de eficácia probatória do documento “CERTEZA DE QUE O DOCUMENTO PROVÉM DO AUTOR NELE INDICADO” (Moacyr Amaral Santos, “Primeiras Linhas de Direito Processual Civil”, 2º vol., 3ª edição, p. 341). AUTENTICIDADE CERTEZA DE QUE O DOCUMENTO NÃO FOI OBJETO DE QUALQUER ALTERAÇÃO EM SUA CONFIGURA- ÇÃO ORIGINAL INTEGRIDADE

Documento tradicional X documento eletrônico Conceito de documento tradicional: “COISA REPRESENTATIVA DE UM FATO E DESTINADA A FIXÁ-LO DE MODO PERMANENTE E IDÔNEO, REPRODUZINDO-O EM JUÍZO.” (Moacyr Amaral Santos, “Primeiras Linhas de Direito Processual Civil”)

Documento tradicional x documento eletrônico Conceito de documento eletrônico: CADEIA DE BITS (ARQUIVO DIGITAL) CRIADA POR UM PROGRAMA DE COMPUTADOR, SEM VINCULAÇÃO NECESSÁRIA COM QUALQUER MEIO FÍSICO, COM O FIM DE REGISTRAR, DE MODO IDÔNEO, DETERMINADO FATO OU PENSAMENTO

Características do documento eletrônico em face do documento tradicional Dissociabilidade do Conteúdo do documento em Relação ao meio físico (concepção abstrata) Possibilidade de alteração do conteúdo do documento sem a produção de vestígios aparentes

Conceitos Conceito de Informática Forense: Ferramentas: Conjunto de técnicas aplicadas sobre dados informatizados com a finalidade de conferir-lhes validade probatória em juízo. Ferramentas: Equipamentos (Hardware) Programas (Software)

Princípio procedimental básico da Informática Forense EXECUTAR PROCEDIMENTOS OPERACIONAIS CAPAZES DE LEVAR TERCEIROS À CONVICÇÃO DE QUE A CADEIA DE BITS DO DOCUMENTO ELETRÔNICO, TAL QUAL ORIGINALMENTE ENCONTRADA PELO ANALISTA FORENSE, MANTÉM-SE ABSOLUTAMENTE PRESERVADA EM SUA INTEGRIDADE EVIDENCIAL OU PROBATÓRIA, ISTO É, PROTEGIDA DE ALTERAÇÕES ACIDENTAIS OU DELIBERADAS.

Procedimento assecuratório da eficácia probatória do arquivo eletrônico apreendido VINCULAÇÃO DO ARQUIVO A UMA OU MAIS ASSINATURAS (CHAVES) DIGITAIS GERADAS POR ALGORITMOS UTILIZADOS EM PROGRAMAS ESPECIALMENTE PROJETADOS PARA ESSA FINALIDADE, DE MODO A GARANTIR-LHES A INTEGRIDADE. Exemplo: C:\Vendas\Agosto.xls (20A6A1269C63899067985328D782922B)

A Função de Hash do Algoritmo Md-5 PROCESSO: CADA ARQUIVO É DIVIDIDO EM BLOCOS DE 512 BITS, POR SUA VEZ DIVIDIDOS EM 16 BLOCOS MENORES DE 32 BITS, APÓS O QUE SÃO EXECUTADAS, EM CADA UM DELES, 16 “ROUNDS” DE 4 FUNÇÕES MATEMÁTICAS (A, B, C e D), DE FORMA A SER OBTIDO, NO FINAL DO PROCESSO, UMA CHAVE DIGITAL REPRESENTADA POR UMA SEQÜÊNCIA HEXADECIMAL DE 32 DÍGITOS PARA CADA ARQUIVO SELECIONADO E COPIADO.

Efeito básico da Autenticação Digital GARANTIA DA INALTERABILIDADE LÓGICA DO DOCUMENTO ELETRÔNICO, PELA VINCULAÇÃO DE SEU CONTEÚDO (CADEIA DE BITS) COM UMA CHAVE DIGITAL AUTENTICADORA DOCUM. ELETRÔNICO + CHAVE DIGITAL = PROVA

Transcrição do documento eletrônico CONCEITO: PROCESSO DO QUAL RESULTE A VISUALIZAÇÃO, EM IMPRESSO, DO DOCUMENTO ELETRÔNICO ORIGINAL

Eficácia probatória da transcrição do documento eletrônico Requisito básico: Demonstração da inalterabilidade lógica de seu conteúdo (integridade) e/ou de sua autoria (autenticidade). Procedimento a ser executado: Programa capaz de gerar uma chave digital autenticadora.

Visão geral Como funcionam a Internet e as outras redes? estrutura da rede como os computadores trocam dados através da rede como as pessoas utilizam a rede Por que isso é importante? o processo de evidências saber como a rede funciona ajuda a encontrar uma evidência específica

Terminologia básica Host/site/nó Rede Protocolo um computador de uma rede Rede dois ou mais computadores ou outros dispositivos conectados uns aos outros e com capacidade de trocar dados Protocolo um conjunto de padrões para troca de dados através de uma rede

O que uma Internet? Uma Internet A Internet Uma Intranet uma grande rede composta de pequenas redes de computadores (interconnected networks – redes interconectadas) A Internet Rede mundial de redes de computadores que utiliza o protocolo de Internet (IP) para se comunicar Uma Intranet a rede interna de computador de uma organização, freqüentemente, desconectada de outras redes

Que tipos de computadores estão (ou podem estar) ligados à Internet? Mainframes Laptops Computadores pessoais (PCs) Dispositivos digitais

Uma rede descentralizada Não existe o “centro” da Internet Qualquer site ou rede pode ser conectado com qualquer outro host ou rede Os limites exatos da Internet estão em fluxo constante daí derivando o termo network cloud (nuvem de rede)

Conectividade da Internet Linha telefônica Provedor de serviços de Internet (ISP) PCs de casa Rede Conexão a cabo Rede Linha DSL Rede

Como são identificados os hosts da Internet? Endereço Cada rede/host (incluindo o computador de casa conectado à Internet via conexão de discagem tem endereço numérico específico de protocolo de Internet (IP) num1.num2.num3.num4 (em que cada número pode variar entre 0-255) por exemplo, 198.7.0.2 além disso, quase todos os hosts e redes têm um nome de domínio que é mais fácil do que números para o ser humano lembrar e usar

A designação de endereços de IP para cada usuário Usuários de conexão de discagem quase sempre recebem “endereços de IP dinâmicos” o endereço pertence ao usuário somente durante a sessão de uso o número pode ser re-designado a outro usuário muitas vezes em um único dia Alguns usuários (por exemplo, alguns clientes de provedores de serviços de cabo) possuem “endereços de IP estáticos” que são permanentemente designados e nunca mudam

Domínios Um domínio tem sempre, pelo menos, 2 partes, lido da direita para a esquerda o domínio de nível principal (por exemplo, org) o nome de nível secundário (por exemplo, XYZ33) Nomes adicionais podem se referir a computadores específicos dentro de uma rede

Domínios Um domínio tem sempre, pelo menos, 2 partes, lido da direita para a esquerda o domínio de nível principal (por exemplo, org) o nome de nível secundário (por exemplo, XYZ33) WWW.XYZ33.ORG Domínio de nível principal

Domínios Um domínio tem sempre, pelo menos, 2 partes, lido da direita para a esquerda o domínio de nível principal (por exemplo, org) o nome de nível secundário (por exemplo, XYZ33) WWW.XYZ33.ORG Domínio de nível secundário

Domínios Um domínio tem sempre, pelo menos, 2 partes, lido da direita para a esquerda o domínio de nível principal (por exemplo, org) o nome de nível secundário (por exemplo, XYZ33) WWW.XYZ33.ORG Subdomínio

O que está por trás de um nome? Domínios fornecem informações sobre o computador correspondente .com, .gov, .info, .org, .edu, .net, .int, .mil são domínios “genéricos” de nível principal para tipos de organizações outros domínios de nível principal são baseados geograficamente (por exemplo, .de para Alemanha, .fr para França etc.) Para cada endereço numérico de IP, pode-se normalmente procurar pelo domínio correspondente e vice-versa

Como os hosts de Internet trocam dados Informações a serem enviadas para outro host de Internet são divididos em pequenos pacotes de dados Estes pacotes de dados são enviados através da rede para o site recipiente O site recipiente monta os pacotes e os transforma em comunicações completas (por exemplo, mensagem de e-mail) e processa de maneira adequada (por exemplo, procede a entrega do e-mail)

O que é um pacote? Um pacote de dados de IP inclui informação de rota (de onde veio e para onde vai) os dados a serem transmitidos Respostas do host recipiente vão para o endereço da fonte do pacote neste caso, 172.31.208.99 172.31.208.99 10.135.6.23 011100101010101110110110001001010100...

Por que o endereço é importante? A Internet é uma rede de comutação por pacote As partes componentes da comunicação (i.e., os pacotes) enviadas para outro host podem seguir por caminhos diferentes Cada pacote realiza um ou mais hops (saltos) ao longo da rede no caminho para o seu destino

Como as pessoas utilizam a Internet? Como são formadas as evidências on-line?

Como as pessoas utilizam a Internet? A maioria na pura inocência Em geral, os usuários não precisam se preocupar com pacotes, endereços de IP ou rota O trabalho difícil de gestão das atividades de nível mais básico da rede é realizado por programas e aplicativos Os usuários interagem com estes programas através da interface do usuário (normalmente uma imagem gráfica com janelas e o cursor do mouse)

Mas enquanto isso... A maioria dos hosts da rede não possuem funções de monitoramento que são em grande parte invisíveis e automáticas Quase toda atividade de rede acaba sendo registrada em algum lugar algumas vezes de forma substantiva (por exemplo, texto de um e-maiI) mas mais freqüentemente na forma de registros de operações (não o que foi dito, mas informações sobre quando, onde e como etc.) Quando a rede é a cena do crime, o caso pode voltar-se inteiramente para os registros

Exemplo de um sistema de registros Registros de login o equivalente cibernético dos registros mantidos pela companhia telefônica a maioria dos sistemas registra todas as vezes que um usuário entra (logs in) no sistema (ou tenta e não consegue) os registros apresentam a hora de início, duração da sessão, conta/ nota do usuário e (para usuários com conexão de discagem) o endereço de IP designado ao computador do usuário para aquela sessão

Amostra de registros de sessão jdoe 172.16.43.129 Quar 06/09 19:48 – 20:37 (00:49) jdoe 172.16.44.206 Ter 05/09 11:09 – 11:49 (00:40) jdoe 172.16.43.5 Dom 03/09 09:45 – 11:20 (01:35) Estes registros apresentam o nome do usuário, o endereço de IP designado, dia, data, horários de início e término e duração da sessão para o usuário “jdoe”.

Aplicativos do usuário: categorias gerais Comunicação com outros usuários Recuperação e armazenamento de informações Entrada em computadores remotos

Comunicação com outros usuários on-line Correio eletrônico (e-mail) privado (um a um) ou público (um para muitos) Usernet newsgroups discussões de grupos em tempo não real inerentemente de natureza pública Salas de chat/ Internet Relay Chat (IRC) interação em tempo real privado ou público “Mensagens Instantâneas”

Informações básicas e e-mail de Internet Os endereços de e-mail possuem o formato padrão username@domain (por exemplo, joao@uol.com.br) Os e-mails seguem do host do emissor para o do recipiente, onde se alocam no servidor de correio (computador que guarda e entrega e-mails)

Informações básicas e e-mail de Internet Os endereços de e-mail possuem o formato padrão username@domain (por exemplo, joao@uol.com.br) Os e-mails seguem do host do emissor para o do recipiente, onde se alocam no servidor de correio (computador que guarda e entrega e-mails)

Informações básicas e e-mail de Internet Da próxima vez que entrar e executar seu programa de leitura de e-mail, o destinatário recupera a mensagem em seu PC/ estação de trabalho

Provas de atividades anteriores Cópias de mensagens de e-mail enviadas anteriormente podem ser guardadas no sistema do emissor no servidor do recipiente (mesmo depois que o destinatário o tenha lido) no próprio computador do recipiente

Provas de atividades anteriores, parte II O registro da transmissão de um e-mail (data, hora, fonte, destino) normalmente é mantido nos mail logs (registros de correio) do sistema do emissor no servidor do recipiente

Coleta de evidências em potencial: correio eletrônico Para captar e-mail recebidos de um suspeito ao longo do tempo (em vez de procurar e-mails antigos guardados na conta), podemos “clonar” a caixa de entrada do suspeito Todas as vezes que uma mensagem chega, uma cópia adicional é feita clandestinamente

Guardar e armazenar informações A World-Wide Web (WWW) Protocolo de transferência de arquivo (FTP) Armazenagem remota de dados

O que é a World-Wide Web? Um acervo de documentos (textos, imagens, áudio, vídeo etc.) com acesso para o público em geral muitos documentos da Web contém links de hipertexto que se referencia a outros documentos da Web Clicar o mouse nestes links acessa o documento de referência Os usuários visualizam as páginas da Web por meio de programas de browser (Netscape, Internet Explorer) executados no computador do usuário

Endereços das páginas Web Os endereços são denominados Localizadores de Recursos Uniformes (URLs) Formato de URL de Web: http://domainname path o caminho pode incluir um ou mais nomes de diretórios ou nomes de arquivos, por exemplo, http://www.xyz33.com.br/reunioes/indice.cfm

Navegar a Web: a interação entre o cliente e o servidor O usuário clica num link ou digita o endereço de Web a exemplo, http://www.xyz33.com.br http://www.xyz33.com.br

Navegar a Web: a interação entre o cliente e o servidor O programa do cliente (browser) envia um pedido ao computador (servidor da web) no endereço IP especificado a exemplo, http://www.xyz33.com.br http://www.xyz33.com.br

Navegar a Web: a interação entre o cliente e o servidor O servidor da web transmite uma cópia do pedido do documento solicitado (a exemplo, a página da Web) para o computador solicitante como sabe o endereço de retorno? http://www.xyz33.com.br

Navegar a Web: a interação entre o cliente e o servidor O programa do cliente (browser) exibe o documento transmitido na tela do usuário http://www.xyz33.com.br

Evidência da consulta da Web: o que fica no computador do usuário Diretório de cache: cópias das páginas da Web visitadas recentemente Arquivo de histórico: lista das páginas visitadas recentemente

Evidência da consulta da Web: o que fica no computador do usuário Registros detalhados para cada pedido por qualquer página Inclui data, hora, número de bytes e o mais importante) o endereço de IP do sistema que solicitou o dado

Amostras de registros de servidores de Web 2005:04:01:05:18:06 64.209.181.52 36141/web/dir/meusite/foto.jpg 2005:04:01:13:00:36 192.168.70.13 22349/web/dir/meusite/pedofilia.html 2005:04:02:04:06:30 209.54.25.212 1763/web/dir/meusite/indice.html Estes registros (do início de abril de 2005) mostram a data e a hora do acesso, o endereço de IP do visitante, número de bytes transferidos e nome do arquivo/ página acessada.

Coleta de evidência em potencial: rastreamento regressivo Hipótese: o usuário está lendo e-mail num serviço de e-mail baseado na Web (por exemplo hotmail) Podemos utilizar um rastreador (instalado no servidor) para identificar o endereço de IP do visitante

Login remoto Realizado mediante o uso do programa telnet Enquanto conectado a um host de Internet, o usuário conecta-se a um host diferente e entra no sistema Método comum utilizado para invasão de hacker host2.com dialup23.isp.com isp.com telnet host2.com login: silvajoao senha:

Rastreamento regressivo O host remoto (host2.com) mantém registro do local a partir de onde o usuário se conectou (neste caso, dialup23.isp.com) Método comum utilizado para invasão de hacker host2.com dialup23.isp.com isp.com

Rastreamento regressivo Por sua vez, a isp.com possui registros que indicam qual de seus clientes estava conectado (tendo sido designado um determinado endereço de rede) na data e hora especificada host2.com dialup23.isp.com isp.com

Resumo A Internet é uma rede de comutação por pacotes Programas e aplicativos protegem a maioria dos usuários dos detalhes básicos sobre o funcionamento da rede Ao mesmo tempo, os sistemas mantém registros numerosos de suas interações com o resto da rede Estes registros normalmente nos ajudam a localizar e identificar criminosos ou pelo menos apresentam evidências contra eles

Authenticator “Cases”: Concurso público Câmara de Vereadores

Obrigado! Augusto Eduardo de Souza Rossini Tel. (11) 5522 0029 E-mail: rossini@mp.sp.gov.br