Desde o início de 2013 notamos que os cabeçalhos do Hotmail/Outlook.com apresentavam diferenças em relação aos de tempos anteriores, criando uma certa expectativa em peritos, investigadores, administradores de servidores de correio eletrônico e todos aqueles que, por uma necessidade qualquer, buscam o endereço IP da conexão utilizada pelo remetente da mensagem. O endereço IP do remetente foi suprimido do cabeçalho completo da mensagem. Já havíamos nos deparado com isso no Gmail e naqueles que utilizam a tecnologia de correio eletrônico do Google, como IG, SuperIG, iBest, BRTurbo, Oi, etc.
Assim a informação sobre endereços IPs das conexões, a princípio, só podem ser obtidas quando solicitadas ao respectivos provedores, sendo que na maioria dos casos, é necessário recorrer a um mandado judicial. Mas como vimos na série de posts sobre rastreamento de e-mails, outras informações contidas no cabeçalho da mensagem podem nos ajudar na determinação da origem e autoria. Vale conferir.
Olá, Sampaio!
Não vi nada de incrível nessa atualização, o que víamos no campo X-Originating-IP, agora passou para o “Received”. O campo “Received” completo sempre fez parte de relatórios de análise forense. Além disso, toda questão forense envolvendo e-mail requer quebra de sigilo telemático que como bem sabes, é efetuado por via judicial.
Paulo
Se você verificar no cabeçalho completo de uma mensagem originada através de um cliente de webmail do Hotmail/Outlook.com, o endereço IP presente no primeiro campo “Received” está associado ao servidor deste webmail, e não ao IP do remetente. Obviamente que a quebra de um endereço IP no Brasil ainda depende de um mandado judicial, mas o acesso ao endereço IP pode dar pistas para quem faz uma investigação. O circuito de dados pode estar em nome de um shopping, de uma empresa ou ainda pode dar uma pista para a região de origem. Conforme discuti nos posts sobre email, nem só o IP pode nos dar pistas de origem e autoria, mas a falta dele é menos um recurso a ser utilizado. Da forma como está necessitamos de um mandado judicial para o provedor de correio eletrônico, mais um para o provedor de acesso e mais um mandado de busca e apreensão para comprovar que a mensagem foi produzida pelo(s) equipamento(s) do suspeito. É muita burocracia quando temos países em que a polícia tem acesso direto a este tipo de informação, dependendo apenas do mandado judicial para a busca e apreensão.
Abraços,
Concordo Marcelo, estar municiado com o IP do remetente representava no mínimo um obstáculo a menos se compararmos com a situação atual. Ainda assim, antes, para se conseguir uma quebra de sigilo, pelo menos trabalhando no setor privado, já era bastante árduo, agora com mais uma etapa de ter que requerer ao provedor de correio eletrônico para após requerer a um provedor de telefonia e assim por diante, mediante todo processo jurídico envolvido, só serve para dificultar ainda mais o trabalho e na minha opinião é algo até controverso ao momento de discussão sobre segurança no âmbito da Internet no país.
Olá, Gabriel!
Por suas explanações fica fácil constatar que o Sr. é aprendiz de feiticeiro.
“estar municiado com o IP do remetente representava no mínimo um obstáculo a menos”
Isso, se o cibercriminoso não estiver efetuando o delito direto do ativo da vítima, o que é raro. Não é preciso lembrar-lhe que vítima não é réu, ok?