5 PROCEDIMENTOS INVESTIGATIVOS
As tecnologias de informação possuem um dinamismo sem igual, motivo pelo qual os crimes cibernéticos podem ser praticados de inúmeras formas dentro do mundo virtual. É por esse motivo que a polícia investigativa, ao tomar conhecimento da prática de um delito virtual, deve primeiramente identificar o meio utilizado pelo criminoso para a prática do ilícito penal.
Como já mencionado, são vários os meios utilizados para a perpetração da conduta ilícita pelo agente, tais como websites, e-mails, redes sociais, malwares, sites falsos de comércio eletrônico ou de instituições bancárias, dentre tantas outras possibilidades que a realizada virtual permite. Esse é um fator extremamente importante para os próximos passos a serem dados pelo investigador responsável pelo caso, pois conforme for o meio adotado pelo cibercriminoso, diferentes serão as técnicas a serem utilizadas para a obtenção da identificação da autoria do delito.
Além de atentar-se ao meio utilizado, o investigador deve observar as peculiaridades que destacam os indícios de tal modalidade delitiva. De modo geral, as evidências deixadas pelos crimes cibernéticos são extremamente instáveis, motivo pelo qual, em razão de seu caráter volátil, podem ser facilmente apagadas, alteradas ou perdidas, devendo o investigador agir com cautela para não corromper evidência alguma que possa ser relevante para a solução da investigação.
Geralmente, tais informações são complexas, exigindo-se uma maior capacidade técnica dos agentes investigativos para a correta coleta e compreensão das evidências dos crimes desta natureza.
Por fim, tais informações costumam aparecer envolvidas por uma enorme quantidade de dados legítimos, que não possuem relevo para a investigação, exigindo-se, desta forma, que os técnicos responsáveis pela sua coleta realizem uma análise apurada dos dados ali encontrados, separando os dados necessários à persecução penal.
5.1 A importância dos logs e do endereço IP
Das evidências que podem ser obtidas a partir das investigações dos crimes virtuais, os logs e o endereço IP são, sem dúvidas, duas de maior relevo para a solução do crime a ser investigado.
5.1.1 Os logs de acesso e de conexão
Quando se fala em tecnologia de informática, tem-se que os logs consistem no processo de registro eventos dentro de um sistema computacional, podendo ser utilizado para conhecimento de informações do comportamento do sistema operacional do dispositivo de informática.
Os logs no processo investigativo são considerados um dos principais elementos destinados a identificação do autor de crime praticado por intermédio da internet, pois é com o log gerado pela sua conexão com a internet que o mesmo poderá ser encontrado.
Os logs podem ser de conexão ou de acesso. O log de conexão consiste em um conjunto de informações acerca da utilização da internet pelo usuário. Já o log de acesso é o responsável por fornecer um conjunto de informações sobre a utilização de um serviço específico pelo usuário na internet.
Em ambos os casos, tais informações estarão acompanhadas da data, horário e o fuso horário da conexão, bem como do número de protocolo de internet atribuído àquela determinada oportunidade.
O público em geral não faz ideia dos registros que serão gerados a cada vez que o dispositivo de acesso a uma rede é conectado à internet, uma vez que o processamento de tais dados é realizado por intermédio da interface dos dispositivos utilizados, sendo desnecessários que os usuários necessitem lidar com a complexidade das informações exigidas para tanto, ficando a cargo de programas instaladas nesses dispositivos a tarefa de lidar com tais complicações.
De certa forma, praticamente toda ação realizada na internet é registrada, seja o que, como, quando, onde ou por quanto tempo tal tarefa foi realizada, gerando os logs de acesso e de conexão, sendo tais registros essenciais para a elucidação dos crimes praticados pelo meio virtual, seja pelos websites, e-mails ou qualquer outra forma utilização dos recursos disponíveis na rede.
5.1.2 Protocolo de Internet ou Endereço IP
A autoria é o primeiro problema a ser enfrentado pela polícia investigativa ao que concerne aos crimes virtuais, uma vez que dificilmente uma pessoa que cometeu um ilícito penal utilizou de sua identificação real. É esse um dos motivos que fazem com que o endereço do protocolo de internet seja uma das evidências de maior relevo nas investigações dos crimes cibernéticos.
O endereço IP ou Protocolo de Internet - Internet Protocol - é a identificação atribuída a um dispositivo de acesso à rede mundial de computadores a cada conexão deste com a internet. É com a descoberta da identificação do número IP que será possível localizar de onde se originou a conexão criminosa no mundo físico e, consequentemente, criando a possibilidade de se identificar a pessoa que se utilizou do instrumento do crime, ou seja, os possíveis autores do ato delitivo.
O endereço IP é formado por uma sequência numérica e consistem em um conjunto de quatro grupos de números, separados por pontos, na forma X.X.X.X, sendo que X corresponde a números que podem variar entre 0 a 255. Por exemplo, o número 200.142.34.3 é o número IP que identifica o site www.prsp.mpf.gov.br (MINISTÉRIO PÚBLICO FEDERAL, 2006).
Não importa qual tipo de tarefa o usuário irá realizar na web, pois sempre que se fizer conexão à internet, um número de identificação – IP - será atribuído ao dispositivo utilizado.
Os endereços IPs podem ser estáticos ou dinâmicos. Os IPs estáticos são comumente utilizados por grandes corporações como os órgãos públicos, universidades e empresas de grande porte. O IP estático não varia, ou seja, ao usuário será sempre atribuído o mesmo endereço IP, independentemente de quantas conexões à rede ele fizer. Por outro lado, aos usuários comuns, que são a maioria, são atribuídos IPs dinâmicos, ou seja, a cada vez que o usuário fizer conexão com a internet a ele será atribuído uma identificação diferente por seu provedor de acesso.
Contudo, independente do IP ser dinâmico ou estático, nenhum número IP será atribuído a mais de um usuário na mesma data, horário e fuso horário. Assim, para se identificar quem utilizou determinado IP dinâmico, é necessário solicitar aos provedores de acesso informações acerca de quem utilizou o IP em determinada data, horário e fuso horário.
Os provedores de acesso poderão ser identificados com o auxílio do site registro.br, se situado no Brasil, ou no site whois.sc, inserindo-se o número de IP encontrado nas evidências da conduta criminosa, para então solicitar as informações do usuário que se utilizou daquele IP dinâmico. Deste modo, é imprescindível que as requisições judicias dirigidas aos provedores de acesso façam “[...] menção a esses três indicadores: a) o número IP; b) a data da comunicação; e c) o horário indicando o fuso horário utilizado – GMT ou UTC. Sem eles, não será possível fazer a quebra do sigilo de dados telemáticos.” (MINISTÉRIO PÚBLICO FEDERAL, 2006).
5.2 Investigações envolvendo crimes virtuais praticados através de web sites
Muitos podem ser os meios utilizados pelos cibercriminosos para a prática de seus delitos, motivo pelo qual para cada meio utilizado para perpetração da conduta criminosa, diferentes serão as medidas a serem tomadas pela autoridade policial responsável por sua investigação.
Dentre os meios utilizados pelos criminosos virtuais está a prática de crimes a partir da utilização de websites, sendo esta uma das vias mais comuns utilizadas para a prática de crimes cibernéticos.
Como visto, as evidências dos crimes cibernéticos são voláteis e podem facilmente ser apagadas ou alteradas, prejudicando-se, assim, a obtenção da materialidade do crime praticado, principalmente quando se tratar de websites, vez que podem ser modificados por diversos usuários em um curto espaço de tempo. Deste modo, a primeira medida a ser tomada pelo investigador é a realização do download do conteúdo da página virtual em que ocorreu o delito.
Há inúmeros aplicativos que permitem que seja realizado o download do conteúdo de uma página na internet, dentre eles o HTTrack, que permite seja realizado o download dos sites inteiramente, inclusive imagens e textos publicados. O HTTrack é um software interessante, pois além de permitir que o download completo ou parcial do site almejado, também gera um arquivo de log, no qual será registado a data, horário e endereço do site salvo, a fim de determinar o tempo do crime praticado.
Essa assinatura digital gerada em forma de log é de extrema importância no curso do processo penal envolvendo crimes virtuais, pois a qualquer momento os dados salvos podem ter sua autenticidade impugnada pela defesa, a qual não logrará êxito se o investigador teve o cuidado de realizar o download do site com o auxílio de um programa que gere um arquivo de log que possa comprovar a autenticidade do arquivo, bem como que seja realizada a gravação dos arquivos baixados em mídia não regravável.
Depois de preservada a prova, o próximo passo do investigador é identificar o servidor de hospedagem do site investigado, através de ferramentas disponíveis na própria rede mundial de computadores.
Se o site for nacional, isto é, cujas letra finais do domínio seja “.br”, a informação poderá ser obtida introduzindo o nome do domínio ou o número IP do sítio eletrônico investigado em suporte/ferramentas/serviço de diretório whois do site www.registro.br.
Caso o site seja estrangeiro, tal buscas poderá ser realizada em diversos sites de acesso gratuito na internet que prestam o mesmo tipo de serviço, dentre os quais: ip-adress.com/whois, sendo que este fornece até mesmo a geolocalização da hospedagem. Muitas são as informações obtidas com a ferramenta whois, dentre eles o nome do responsável pela hospedagem do site, bem como os endereços e telefones para que seja possível contatá-lo.
Com a descoberta do responsável pela hospedagem do site, o próximo passo a ser dado pelo polícia investigativa é requerer, judicialmente, a quebra dos dados, para que o responsável pela hospedagem forneça à autoridade policial cópia das páginas investigadas, bem como os logs, ou seja, os registros de modificações do conteúdo da página alvo.
É nas informações contidas nos logs que se encontrará o número IP, a data da comunicação e o horário indicando o fuso horário utilizado pelo criminoso, que serão indispensáveis para que a investigação possa prosseguir.
De posse desse novo número IP obtido, o investigador deverá, novamente, realizar o procedimento de localização e identificação do provedor de acesso à internet do cibercriminoso, introduzindo o número IP em suporte/ferramentas/serviço de diretório whois do site www.registro.br ou em outro site que disponibilize serviços com a mesma finalidade.
Localizado e devidamente identificado o provedor de acesso, a autoridade policial deverá realizar novo pedido judicial de quebra de dados telemáticos, dessa vez dirigido ao provedor de acesso à internet, para que este forneça informações vinculadas ao usuário que utilizou daquele número IP, em data, horário e fuso horários específicos.
Com as informações fornecidas pelo provedor de acesso, o autor do crime cibernéticos poderá ser identificado, podendo a autoridade policial requer ao juiz que seja expedido mandado de busca e apreensão no endereço do usuário investigado, a fim de apreender o seu computador e outros documentos que possam vir a ser necessário para elucidação do crime em análise.
5.3 Investigações envolvendo crimes virtuais praticados através de e-mails
As evidências ou indícios de um crime cibernético também podem estar contidas em uma mensagem encaminhada por e-mails, como por exemplos os crimes contra a honra, pornografia infantil, dentre outros. Nesses casos, não basta que o investigador promova a preservação do conteúdo criminoso investigado, mas que também realize a identificação dos dados do remetente e do destinatário da mensagem em questão, o que é chamado de cabeçalho do e-mail.
As informações contidas no cabeçalho do e-mail são essenciais para o prosseguimento e, consequentemente, para a conclusão das investigações, pois é por meio de seu conteúdo que se pode chegar ao remetente de origem da mensagem investigada.
Para tanto, deve-se realizar a expansão do referido cabeçalho, pois é deste modo que se pode encontrar o número IP, a data da comunicação e o horário indicando o fuso horário utilizado pelo criminoso, sendo estes os únicos dados que não podem ser burlados ou alterados pelo cibercriminoso.
A expansão do cabeçalho geralmente pode ser realizada por meio de ferramentas disponibilizadas pelos próprios provedores de contas de e-mail, todavia, os provedores não seguem um padrão específico, sendo que para cada um o modo de se expandir o cabeçalho será realizado através de caminhos diferentes, motivo pelo qual dependerá de cada caso concreto para se saber como será realizada a expansão do cabeçalho.
Deste modo, se o e-mail for recebido em uma conta Gmail de serviço de correio eletrônico, deverá ser realizado o seguinte procedimento: haverá uma sete na parte superior direita da página do navegador, ao clicar sobre ela aparecerão várias opções, seleciona-se então a opção mostrar original, o que fornecerá o cabeçalho expandido do e-mail investigado.
Quando o e-mail for recebido por uma conta outlook ou outlook express, o cabeçalho do e-mail poderá ser acessado mais facilmente, bastando abrir o e-mail e pressionar as teclas Alt + Enter, tendo assim obtido a expansão do cabeçalho do e-mail.
As informações obtidas no cabeçalho do e-mail são bastante complexas, devendo o investigador atentar-se às expressões received, estas aparecerão em diversas linhas do cabeçalho, cuja palavra marca por quantos servidores a mensagem passou antes de chegar ao seu destinatário. O que sempre interessa é o último received, pois estarão em ordem decrescente, logo o último received indicará a primeira máquina pela qual passou a mensagem, ou seja, indicará a sua origem.
Contudo, a fim de facilitar a leitura das informações presentes no cabeçalho do e-mail, pode-se copiar este cabeçalho expandido e colar na ferramenta disponível no site www.ip-adress.com/trace-email. Tal ferramenta realizará a leitura de cabeçalho após colar o cabeçalho e em trace e-mail. Com este comando o site dará informações do cabeçalho, tais como o número IP, a data da comunicação e o horário indicando o fuso horário utilizado pelo criminoso, bem como a localização geográfica do mesmo (CAVALCANTE, 2013).
De posse desse IP, o investigador deverá realizar a identificação do provedor de acesso à internet do cibercriminoso, introduzindo o número IP em suporte/ferramentas/serviço de diretório whois do site www.registro.br ou em outro site que disponibilize serviços com a mesma finalidade.
Identificado o provedor de acesso, a autoridade policial deverá realizar novo pedido judicial de quebra de dados telemáticos, dessa vez dirigido ao provedor de acesso à internet, para que este forneça informações vinculadas ao usuário, tais como os dados cadastrais de quem usou o IP por ele fornecido no dia, hora e fuso fornecidos pelo cabeçalho expandido do provedor de acesso de e-mails.
Da mesma forma que no caso de investigações envolvendo web sites, o investigador pode, se entender cabível, requerer ao juiz que seja expedido mandado de busca e apreensão no endereço do usuário identificado pelos procedimentos acima detalhados, a fim de apreender o seu computador e outros documentos, a fim de obter indícios da autoria do crime e promover a preservação da prova da materialidade do delito.
Nos casos de investigações envolvendo e-mails, o investigador pode, ainda, lançar mão da interceptação dos dados telemáticos, prevista na Lei nº 9.296/1996, cuja medida é extremamente útil para identificação do autor do delito virtual e para a comprovação da materialidade delitiva.
Via de regra, a autoridade policial, mediante requisição judicial, requererá que seja criada uma “conta-espelho” do e-mail investigado, isto é, será criado um e-mail que conterá todas as mensagens enviadas e recebidas pelo usuário investigados, possibilitando que a polícia realize um monitoramento em tempo real acerca das comunicações eletrônicas realizadas pelo usuário investigado.