1. Softwares criminosos
Para se entender os meios de investigação dos crimes informáticos, é necessária a compreensão de alguns programas e softwares.
Os cookies são programas que registram as informações prestadas pelo usuário, bem como todos os cliques que ele faz num determinado sítio. Essa prática é normalmente utilizada por sites de comércio, para que conheçam os gostos de seus usuários. O problema surge quando esses cookiespassam a ser utilizados por espiões, ou sem controle e conhecimento do usuário, ou, ainda, quando essas informações são vendidas a outras empresas sem o consentimento do usuário.
Segundo Patrícia Peck Pinheiro (2016), há também os spywares, os quais são “programas espiões que enviam informações do computador do usuário da rede para desconhecidos". A diferença entre os spywarese os cookiesconsiste no fato de que estes são plantados por um website(conjunto de páginas da Internet que podem ser visualizadas a partir de um endereço único), enquanto que aqueles são introduzidos por um programa freeware, na verdade eles subtraem as informações do computador do usuário de uma maneira ilegítima. Normalmente o usuário do sistema instala o programa sem saber do que se trata e, na sequência, há a obtenção das informações.
Com relação aos spams, trata-se de uma invasão da privacidade do internauta, já que:
os spammers, com suas baterias de e-mails indesejados, costumam usar um truque sujo para acompanhar os passos das pessoas na rede. Eles anexam um cookiecom um número único aos emails em HTML e, a partir daí, espionam clique por clique dos destinatários, sem que eles sequer desconfiem do que está acontecendo. Para ter uma ideia do alcance desse perigo, basta dizer que listas brasileiras com cem mil endereços de emails são oferecidos pela Internet, a qualquer pessoa, por R$ 50,00 (ZANELLATO, 2002).
Outra modalidade de conduta ilícita utilizada no mundo virtual consiste nos hoaxes, que é o envio de e-mails de conteúdo falso ou alarmante, de regra constando como remetentes pessoas jurídicas importantes ou órgãos governamentais, na maioria das vezes acompanhadas de vírus. O objetivo dessas mensagens é alarmar a população, espalhando desinformação e – ao mesmo tempo – infectar os computadores da população em geral.
Existe mais uma espécie de programa espião, denominado sniffer, parecido com os spywares. É uma forma de interceptação telemática, a qual as informações que trafegam pela rede podem ser capturadas e analisadas para diversos fins criminosos, obtendo-se informações sensíveis. Trata-se de um programa rastreador, usado para penetrar no hardwarede computadores conectados à Internet, objetivando a busca de determinado tipo de informação (BARROS, 2007).
Os vírus podem ser disseminados de diversas formas, a partir da instalação de softwaresde procedência duvidosa, com a utilização de mídias infectadas, com a abertura de arquivos recebidos pela rede, ou também pelos ataques diretos via internet. Os vírus podem destruir totalmente os programas e arquivos do computador, podendo exercer controle total sobre a máquina e – muitas vezes – o criminoso exige o pagamento de resgate em criptomoedas. Além do mais, o vírus pode permanecer encubado, reproduzindo e infectando outros computadores, até que um evento qualquer seja capaz de "acordá-lo", o que normalmente ocorre em uma data específica[1].
Segundo a doutrina de Carla Rodrigues Araújo de Castro (2003):
vírus é um programa estranho ao sistema do computador capaz de copiar e instalar cópias de si próprio, resultando na realização de tarefas não solicitadas e destruindo arquivos e seus correspondentes dados. Ao lado dos vírus existem os worm e trojans. Worms são programas que se propagam de um sistema para o outro sem a interferência do usuário infectado, dividem-se em: worm de Internet e worm de IRC. O worm destrói diversos arquivos do computador. Por fim, os trojans, também chamados de cavalos de tróia ou backdoors, são programas enviados para computador alheio associados a uma música, desenho ou piada.
O cavalo de troia é um dos programas espiões mais conhecidos e comuns e, uma vez instalado no computador, permite o roubo de informações, arquivos e senhas do usuário. Na maioria das vezes, tal programa ilícito vai possibilitar aos crackerso controle total de sua máquina. É um verdadeiro procedimento de invasão informática.
Diante dessas ameaças, a melhor alternativa para o seu combate é a prevenção, tomando atitudes para evitar a contaminação de computadores, treinamento dos usuários de redes, mantendo os programas atualizados, evitando abrir mensagens ou entrar em sites suspeitos, controle sobre quem acessa as máquinas e – principalmente – atenção, fugindo da negligência.
2 Softwares forenses de investigação
Não restam dúvidas que uma das maiores dificuldades se apresenta na apuração da autoria dos delitos praticados a partir de sistemas informáticos. No mundo virtual, é hercúlea a tarefa da identificação dos agentes criminosos.
Os invasores e fraudadores tentam se esconder no anonimato e, quando descobertos, querem invocar a seu favor o benefício da proteção do sigilo. Grande parte das investigações demandam autorizações judiciais para se identificar o autor ou os autores de ilícitos.
Em regra, crime informático é um ilícito material, ou seja, deixa vestígios e impõe-se a realização de uma perícia. Cabe ao expertinformar ao juiz os detalhes e as circunstâncias que envolvam o equipamento, os programas, os arquivos, enfim, tudo aquilo que se mostrar necessário para demonstrar a ocorrência do crime, bem como para comprovar a sua autoria. A jurisprudência ainda é vacilante acerca da necessidade ou não de autorização judicial para realização de perícia em mídias apreendidas pelas polícias(JULIANI, 2017).
De certo, a perícia deverá ser realizada por profissional habilitado, com conhecimentos em informática e em sistemas de comunicação. Neste sentido, já foram desenvolvidas algumas técnicas forenses digitais, a exemplo do EnCase, CallerIP, Emailtrackerpro, Xplico, Children Protection System, entre outros.
Há algumas ferramentas que constituem elementos fundamentais no que tange à identificação de autoria e materialidade do delito, instando destacar que a evidência eletrônica apresenta características próprias e complexas, exigindo conhecimento especializado na sua coleta e utilização.
Os próximos subtítulos têm o escopo de demonstrar o funcionamento de alguns softwaresque podem ser utilizados para investigações nos casos de cybercrimes contribuindo, desta forma, para a instrução dos procedimentos investigatórios e instrução processual. As ferramentas utilizadas são destinadas a captura de dados na internet a fim de direcionar a investigação. Estas ferramentas por si só não são conclusivas para o apontamento real do delinquente de determinadas infrações, necessitando de interpretação do operador do direito.
É importante destacar que não ocorrerá uma análise pormenorizada das ferramentas (softwares), mas sim trazer ao conhecimento geral como forma de apresentar as funcionalidades básicas. Obviamente, existem muitas mais ferramentas que podem ser utilizadas para a realização da investigação que não estão arroladas nesse trabalho, no entanto as ferramentas aqui reportadas estão ligadas diretamente com o tema proposto e são àquelas utilizadas pelas polícias brasileiras.
2.1 CALLERIP
A ferramenta CallerIP tem a função de auxiliar na indicação de entradas, saídas e invasões de IP na máquina em que estiver instalada. Este programa tem a finalidade de informar qual o IP que está conectado ou tentando se conectar, mostrando em um mapa mundi qual a sua localização juntamente com endereço, telefone e o responsável por aquele IP (VARGAS, 2007).
Este software pode ser utilizado também para a investigação de funcionários de empresas que estão utilizando de aplicações que facilitam o acesso à rede interna de computadores, tornando-a vulnerável. Desta forma, essa ferramenta é utilizada para monitorar as entradas e saídas dos IPs do sistema operacional, de forma a identificar qual a aplicação está sendo utilizada para esse tipo de prática (VARGAS, 2007).
2.2 EMAILTRACKERPRO
De certo, a maior parte dos e-mails que as pessoas recebem é spam. Podendo ser inofensivo de forma a irritar o usuário ou malicioso de modo a conter vírus e tentativas enganosas de obtenção de dados pessoais levando a fraudes de identidade, o spamestá muito difundido pela internet. Deste modo, a ferramenta eMailTrackerPro, tem a capacidade de rastrear estes e-mails maliciosos utilizando-se do cabeçalho do e-mail para a pesquisa obtendo informações importantes para a investigação. O eMailTrackerProtambém possui a funcionalidade de filtrar spamanalisando os e-mails que chegam avisando o usuário se o e-mail é suspeito ou não de spam(VISUALWARE, 2014).
Criada e distribuída pela empresa Visualware, a ferramenta viabiliza informações do local de origem do e-mail, onde foi criado, a rota dos locais por onde passou e o nome da organização responsável identificada com seu endereço, telefone, entre outros dados. Toda essa pesquisa ocorre através de uma entrada de e-mail ou uma lista de e-mails que o usuário insere (VARGAS, 2017). A ferramenta pode ser utilizada “[...] quando se deseja, por exemplo, investigar se as informações confidenciais de uma suposta organização foram vendidas antes mesmo de chegar ‘às mãos’ da empresa responsável por este serviço” (VISUALWARE, 2014).
2.3 XPLICO
Xplico é uma Ferramenta de Análise Forense de Rede (NFAT - Network Forensic Analysis Tool) cujo objetivo é extrair de um tráfego de internet capturado ou rede local e seus protocolos como: HTTP, SIP, IMAP, POP, SMTP, TCP, IPV4, IPV6 e outros arquivos pcap(Packet Capture Data Format) obtidos por ferramentas de captura de tráfego de dados ou aquisição em tempo real para análise (VIEIRA, 2011). A ferramenta realiza o processamento, extração, classificação e disponibilização de informações de protocolos de arquivos de tráfego de redes, sendo que não possui a função de analisador de protocolos de rede (GALVÃO, 2011).
Tendo como principal característica a capacidade de extração do conteúdo a partir de um arquivo pcap, essa ferramenta pode, por exemplo, extrair todos os e-mails transportados pelos protocolos POP, IMAP e SMTP, todo o conteúdo transportado pelo protocolo HTTP, todas ligações de VoIP, e ainda o conteúdo dos protocolos FTP, TFTP (Trivial File Transfer Protocol), entre outros (LIMA, 2010).
3.6.4 ENCASE FORENSIC
Trata-se de uma ferramenta muito eficaz quando se trata de busca por evidências digitais. Devido a sua característica não tão invasiva, o EnCase Forensicé uma das ferramentas mais utilizadas pelos investigadores na busca por evidências em um ato criminoso. Comumente adotada pelas instituições governamentais (mormente a Polícia Federal do Brasil) e aplicada também em investigações militares, o softwaremostra-se vantajoso quando o assunto se trata de segurança e integridade das evidências.
A ferramenta tem a capacidade de realizar análise simultânea de múltiplas máquinas em uma rede LAN/WANem nível de disco e memória, analisar múltiplas plataformas, identificar dlls (Dynamic-Link Library) introduzidas no sistema, identificar processos ocultos entre outros. Outra vantagem notória desta ferramenta é a de proporcionar ao usuário relatórios minuciosos do conteúdo abordado em um nível de aceitação legal para serem utilizados em processos judiciais (GOLDMAN, [S.d.]).
O EnCase Forensicpossibilita também, através de utilitários internos, identificar arquivos criptografados e protegidos com senha, localizar conversas em mecanismos de bate-papo, localizarlogse proporcionar ao usuário a análise de forma abrangente dos arquivos contidos na lixeira e arquivos de link(VARGAS, 2017).
2.5 Children Protection System
Há variados aplicativos de compartilhamento de arquivos pela Internet tais como Emule, Shareaza, Ares Galaxy, Limewire, dentre outros, que se utilizam da tecnologia peer-to-peer (P2P) ou “ponto a ponto”, cuja característica peculiar é possibilitar o compartilhamento direto de arquivos entre os computadores dos usuários desses programas, sem a existência de um servidor centralizado.
Pelas características dos protocolos das redes utilizadas pelos aplicativos P2P, uma pessoa que disponibiliza arquivos para compartilhamento em seu computador permite, em tempo real, que qualquer outro usuário do mesmo aplicativo os acesse, em qualquer lugar do mundo, desde que conectado à Internet.
Essas transferências de arquivos ocorrem inclusive por fragmentos de dados provenientes de vários usuários da(s) rede(s), simultaneamente. Ao fazer um download, portanto, o usuário consegue transferir partes do arquivo de diferentes usuários. Esses fragmentos são armazenados em diretório temporário do computador até que todas as partes do arquivo sejam obtidas, complementando-o. Cumpre destacar, porém, que até mesmo esses fragmentos obtidos já ficam à disposição para downloadpor parte dos outros usuários da(s) rede(s), automaticamente, mesmo que o arquivo não esteja completo ainda.
Em virtude da facilidade de uso e da possibilidade de compartilhamento de uma grande quantidade de arquivos ao mesmo tempo, os aplicativos de compartilhamento P2P são muito populares no mundo inteiro. Não é por acaso, portanto, que boa parte do compartilhamento pela Internet de arquivos contendo pornografia infantil ocorre por meio desses programas P2P, cuja utilização não demanda conhecimentos avançados em informática e possibilita a obtenção rápida de grande quantidade de dados.
Ao instalar um programa de compartilhamento P2P o usuário, livremente, aceita abrir uma pasta compartilhada de seu computador (ou smartphone, etc.) aos outros usuários do aplicativo. Em outras palavras, ao instalar esse tipo de programa o usuário concorda em deixar uma pasta disponível aos demais, de modo que todos os arquivos contidos nessa pasta (ainda que parciais) podem ser obtidos, livremente, pelos outros usuários do programa, por download.
Assim, quando decide instalar e utilizar um desses programas de compartilhamento, seu usuário concorda, espontaneamente, em participar de uma rede internacional de compartilhamento e, consequentemente, admite abrir alguns dos seus dados aos demais usuários do programa. Nesse momento, informações como IP utilizado, arquivos existentes na(s) pasta(s) compartilhada(s), seus nomes, seus tamanhos, nome de usuário no aplicativo, dentre outras informações (a depender do programa utilizado e das configurações selecionadas) ficam disponíveis a todos os demais usuários do mesmo programa.
Após instalados, a utilização básica desses programas é extremamente fácil, já que basta o usuário inserir expressões de seu interesse nos mecanismos de busca, avaliar os resultados e clicar nos arquivos que lhe interessa obter. Para conseguir uma música de sua banda preferida, por exemplo, o usuário precisa apenas colocar o nome dela no campo de pesquisa, apertar entere escolher os arquivos que quer baixar.
Os compartilhadores de pornografia infantil encontram a mesma facilidade nesses aplicativos. Inserindo nos mecanismos de busca expressões comumente utilizadas por eles, tais como “pedo”, “pthc”, “incest”, hussyfan, raygoldou r@ygold, etc, aparecem inúmeros arquivos dessa natureza para escolha do usuário. Exemplificativamente, o termo hussyfansignifica a concatenação de hussy+ fan, hussyé uma gíria antiga da língua inglesa que significa promíscua com idade entre 12 e 18 anos efansignifica fã. Já o termo “Pedo” é a abreviatura do termo Pedofilia, a perversão sexual na qual a atração sexual de um indivíduo adulto está dirigida primariamente para crianças pré-púberes. Por fim, o termo “pthc” significa, no submundo da pornografia infantil, Preteen Hardcoree, refere-se a fotos ou filmes onde crianças estão sendo abusadas sexualmente ou exibindo suas genitálias de forma lasciva. O termo raygoldou r@ygoldé uma referência a Richard Goldberg, conhecido criminoso sexual do EUA acusado de abuso sexual infantil e distribuição de material obsceno envolvendo crianças.
Nesse contexto, para coibir a disseminação da pornografia infantil pela Internet e possibilitar a responsabilização penal de seus autores, foram criadas técnicas de identificação de atividade criminosas nas redes P2P.
Como as pastas compartilhadas de todos os usuários têm as suas informações abertas livremente a qualquer outro usuário do mesmo programa, é possível identificar se determinado usuário possui na sua pasta compartilhada algum arquivo que contenha pornografia infanto-juvenil por meio do chamado Hash[2], uma espécie de DNA ou impressão digital do arquivo.
O software o Children Protection System (CPS) foi desenvolvido para fazer uma varredura automática da rede (podendo limitar a pesquisa por região, Estado, município, etc) procurando pelos códigos de identificação única (hash) de arquivos que já são conhecidos pela polícia, graças a investigações anteriores. Por terem conteúdo de pornografia infantil, pode-se identificar nas pastas compartilhadas a existência de arquivos dessa natureza. Em outras palavras, tomando por base esse código de identificação única do arquivo é possível saber se determinado usuário disponibiliza aos demais o arquivo ilícito em sua pasta compartilhada, ainda que parcialmente.
Identificados alguns arquivos proibidos na(s) pasta(s) compartilhada(s), resta chegar à identificação do usuário que compartilha esses arquivos na Internet. Isso pode ser feito tanto pelo IP quanto pelo GUID, uma numeração única gerada quando da instalação do programa de compartilhamento pelo usuário da Internet.
O GUID é uma identificação única da instalação de um programa P2P em determinado computador. Trata-se de um elemento extremamente relevante para auxiliar na identificação dos usuários que compartilham pornografia infanto-juvenil por meio desses aplicativos (BRASIL, 2016).