Vamos começar uma nova série de posts relativos à perícia e ao rastreamento de mensagens de correio eletrônico com fins de identificação de autoria. Porém antes de iniciar a abordagem técnica irei discutir alguns aspectos relativos à origem e autoria dessas mensagens.
Em geral se imagina que para descobrir quem enviou um e-mail, basta identificar o endereço IP do remetente e pronto. Mas não é bem assim que a coisa funciona. Primeiramente “quem” está relacionado ao autor e o endereço IP está diretamente associado ao “onde” e ao “quando”, podendo chegar até ao “que” e ao “como”, mas determinar o “quem” pode ser bem mais complexo.
A determinação de origem e de autoria de e-mails são dois processos distintos e o sucesso de ambos depende de diversos fatores como recursos tecnológicos, conhecimentos técnicos e uma coleta de dados adequada, que resultarão em uma boa qualidade das informações a serem analisadas.
A origem é a combinação do ”onde“ e do “quando” e está associada ao circuito físico que estabelece a conexão durante um determinado intervalo de tempo, seja ele um circuito dedicado de dados, uma linha telefônica fixa como a ADSL ou uma conexão GSM. A determinação da origem nos levará até a extremidade de um destes circuitos, entretanto o autor poderá não mais estar lá.
A autoria é o “quem” e está associada diretamente ao agente que produz a mensagem e ao dispositivo utilizado como meio (o “que”). Este dispositivo pode ser o computador de um provedor de serviços como uma lan house, um cybercafé, ou ainda um computador doméstico, um telefone móvel, um notebook ou qualquer outro dispositivo que tenha capacidade de conexão à web e envio de mensagens de correio eletrônico. O “como” é caracterizado pelo meio de composição e envio da mensagem, indo de um software cliente, passando por uma aplicação web, como um webmail.
Os registros dos dados das conexões realizados pelos provedores de acesso possibilitam a caracterização da conexão, a determinação da origem e em alguns casos específicos, quando existem provas acessórias, a autoria das mensagens. Portanto identificar o IP do remetente de uma mensagem poderá levar-lhe até a origem, mas pode não levar ao autor. Suponha que a mensagem foi enviada de uma lan house de bairro que não faz cadastro dos usuários, sem sistema de CFTV, como poderemos identificar o autor se só a utilizou uma única vez, para aquele fim específico?
O Brasil, até o presente momento, não possui uma legislação que regulamente o provimento de acesso à internet. Em outras palavras, os prestadores de serviços de acesso à internet (provedores) não são obrigados por lei, a guardar os registros de conexão de seus usuários. Isso significa que, mesmo após recuperar todos os dados necessários para se identificar a origem de uma conexão, não é garantido que essa identificação ocorrerá, pois o provedor de acesso poderá não dispor da informação necessária, simplesmente por não ser obrigado a mantê-la. Em alguns casos, ainda que consigamos tais informações, cybercafés e lan houses são frequentemente utilizados com o propósito de encobrir com o anonimato a autoria de um delito, já que poucas realizam registros de seus usuários.
Ao investigar uma ação delituosa, se houver outras provas, determinar a origem pode confirmar ou não, a autoria. Tomemos como exemplo um indivíduo que esteja relacionado a um crime por outras provas, entre elas um e-mail. Ao identificar que o suspeito é o assinante da linha telefônica associada ao IP originador da mensagem, estaremos chegando também na autoria. Mas se a mensagem é a única evidência e o IP nos leva a uma lan house, o que fazer?
O objetivo desta série de posts é discutir os aspectos que envolvem a composição de uma mensagem de correio eletrônico e seu cabeçalho, estudando as possibilidades de utilização dos seus campos para auxiliar a determinação da autoria.
“Mas se a mensagem é a única evidência e o IP nos leva a uma lan house, o que fazer?”
É aí que aplica-se a teoria de Locard 😉