• Série de Módulos Universitários E4J: Cibercrime

• Módulo 5: Investigação de Cibercrimes
  

• Introdução e Objetivos de Aprendizagem

• Questões Chave

• • Denúncia de cibercrimes
    
  • Quem  investiga os cibercimes?
  • Obstáculos à investigações de cibercrimes
    
  • Gestão do conhecimento
  • Conclusão
  • Referências

• Exercícios

• Exemplo de Estrutura de Aula
  

• Leitura Essencial
  

• Leitura Avançada
  

• Avaliação dos Estudantes
  

• Materiais de Ensino Adicionais
  

•  

• Tradução portuguesa publicada em 23 de março de 2021

•  

 Este módulo é um recurso para professores 

Obstáculos a investigações de cibercrimes

Vários obstáculos podem surgir durante investigações de crimes cibernéticos. Um desses obstáculos deriva do anonimato que as tecnologias da informação e da comunicação proporcionam a seus usuários. O anonimato permite que os agentes atuem sem se revelar-se ou sem expor suas ações a outras pessoas (Maras, 2016; consulte o Módulo 10 sobre privacidade e proteção de dados, para obter mais informações sobre anonimato online). Existem várias técnicas de anonimização usadas por cibercriminosos (ver “Nota” abaixo). Uma dessas técnicas é o uso de servidores proxy. Um servidor proxy é um computador intermediário usado para conectar um cliente (ou seja, um computador) a um servidor ao qual o cliente solicita acesso (Maras, 2014, p. 294). Os anonimizadores, ou servidores proxy anônimos, ocultam os dados de identidade dos usuários, mascarando seu endereço IP e substituindo-os por um IP address diferente (Chow, 2012).

Criminosos cibernéticos também podem usar redes de anonimato para criptografar (ou seja, bloquear o acesso) ao tráfego e ocultar o endereço de protocolo da Internet (ou endereço IP), “um identificador exclusivo atribuído a um computador [ou a outro dispositivo digital conectado à Internet] pelo provedor de serviços de Internet quando ele se conecta à rede” (Maras, 2014, p. 385), em um esforço para ocultar suas atividades na Internet e localização. Exemplos bem conhecidos de redes de anonimato são a Tor, a Freenet e o Invisible Internet Project (conhecido como I2P ).

Essas redes que permitem navegação anônima não apenas “mascaram as identidades dos usuários, mas também hospedam seus sites por meio de recursos de 'serviços ocultos', o que significa que esses sites só podem ser acessados por pessoas nessas redes de anonimato (Dredge, 2013). Tais redes que permitem anonimato são, assim, usadas para acessar sites na Internet profunda (ou Dark Web) (consulte a caixa “World Wide Web: noções básicas” abaixo.

A determinação da autoria é outro obstáculo nas investigações de crimes cibernéticos. A elucidação da autoria é a determinação de quem e ou o quê é responsável pelo cibercrime. Esse processo visa a atribuir um crime cibernético a um dispositivo digital específico, ao seu usuário  ou a outros responsáveis (por exemplo, se um crime cibernético foi patrocinado por um Estado ou cometido por sua determinação) (Lin, 2016). O uso de ferramentas para conferir anonimato pode dificultar a identificação dos dispositivos ou das pessoas responsáveis pelo cibercrime.

A identificação da autoria pode ser ainda mais complicada devido ao uso de computadores zumbis infectados por malwares (ou botnets, tema objeto do Módulo 2 sobre espécies gerais de cibercrimes) ou ao emprego de dispositivos digitais controlados por ferramentas de acesso remoto (ou seja, malware usado para criar uma backdoor em um dispositivo infectado para permitir que o distribuidor do malware acesse e controle o sistema). Esses dispositivos infectados podem ser usados, sem o conhecimento do seu usuário, para o cometimento de crimes cibernéticos.

Rastreamento retrospectivo (back-tracing ou traceback) é o processo de rastreamento de atos ilícitos até a sua origem, ou seja, ao seu autor ou ao dispositivo digital que este utilizou para o cibercrime. O rastreamento ocorre após a prática de um crime cibernético ou quando de sua detecção (Pihelgas, 2013). Uma investigação preliminar é conduzida para revelar informações sobre o cibercrime por meio de um exame dos arquivos de log (ou seja, os registros de eventos, que são arquivos resultantes de atividades do sistema), que podem conter informações sobre o cibercrime (ou seja, como ocorreu). Por exemplo, os logs de eventos "registram automaticamente (...) eventos que ocorrem em um computador para fornecer uma trilha de auditoria que pode ser usada para monitorar, entender e diagnosticar atividades e problemas no sistema" (Maras, 2014, p. 382). Exemplos desses registros são os logs de aplicativos, que assinalam “eventos que são registrados por programas e aplicações”, e os logs de segurança, que “gravam todas as tentativas de login (tanto os válidos quanto os inválidos) e a criação, abertura ou exclusão de arquivos, programas ou outros objetos por um usuário de computador” (Maras, 2014, p. 207). Esses logs de eventos podem revelar o endereço IP usado em um crime cibernético. 

O rastreamento pode ser demorado. O tempo necessário para concluí-lo depende do conhecimento, habilidades e aptidões dos criminosos e das medidas que tomaram para ocultar suas identidades e atividades. A depender das táticas usadas pelos criminosos cibernéticos para perpetrar os atos ilícitos, o rastreamento pode não levar a uma fonte identificável (Pihelgas, 2013; Lin, 2016). Por exemplo, isso pode ser observado nos casos em que computadores zumbis infectados por malwares são utilizados para cometer crimes cibernéticos ou quando vários criminosos realizam simultaneamente um ataque distribuído de negação de serviço (ataque DDoS) contra um sistema ou site (para obter mais informações sobre esses crimes cibernéticos, consulte o Módulo 2 sobre espécies comuns de cibercrimes). 

A Autoridade para Atribuição de Números da Internet (IANA), da Corporação da Internet para Atribuição de Nomes e Números (ICANN), gerencia a alocação de endereços IP, entre outras coisas, para Registros Regionais da Internet (RIRs), responsáveis pela supervisão do registro de endereços IP em suas regiões (Maras, 2014, p. 288-289). Existem cinco RIRs: o Centro Africano de Informações de Rede (AFRINIC); o Centro de Informações de Rede da Ásia Pacífico (APNIC); o Registro Americano para Números da Internet (ARIN); o Centro de Informações de Redes da América Latina e do Caribe (LACNIC); e o Centro de Coordenação de Redes IP Europeias (RIPE NCC). Esses RIRs fornecem informações sobre endereços IP, organizações associadas a esses endereços IP e informações de contato destas organizações (por exemplo, endereços, e-mails e telefones números). 

Para identificar o provedor de serviços de Internet (ISP) associado a um endereço IP, o investigador de crimes cibernéticos pode usar a ferramenta de consulta WHOIS da ICANN. Os RIRs fornecem acesso aos serviços WHOIS através de seus sites. Dados WHOIS [NT: “who is” significa quem é em inglês] são as informações de registro fornecidas por pessoas físicas, jurídicas, organizações e órgãos públicos ao registrar nomes de domínio (por exemplo, gmail.com), que englobam nomes e informações de contato (por exemplo, números de telefone, endereços e e-mails) (ICANN WHOIS, s.d.). A ferramenta de consulta WHOIS pode ser usada para encontrar a informação de contacto e a localização da organização associada a um nome de domínio ou a um endereço IP (Maras, 2014, pp. 289 e 290). No entanto, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) – uma lei uniforme de proteção de dados que entrou em vigor em 25 de maio de 2018, para regular o processamento, armazenamento, uso e intercâmbio de dados nos Estados-Membros da UE e em outros países, agências e organizações privadas de fora da UE que fornecem bens e serviços à UE ou processam dados de residentes da UE (ver o Módulo 10 sobre privacidade e proteção de dados, para mais informações sobre o GDPR) – impactou na utilidade do WHOIS, especialmente no tocante a dados que são considerados dados pessoais, conforme o GDPR (para mais informações, consulte TrendMicro, 2018; e ICANN, s.d.). 

Uma vez identificado um ISP, os investigadores de crimes cibernéticos podem contatar esse provedor para recuperar as informações sobre o assinante ao qual foi destinado aquele endereço IP (Lin, 2016). No entanto, os ISPs nem sempre estão obrigados a fornecer informações pessoais sem documentação jurídica apropriada e, em alguns casos, a legislação de proteção da privacidade pode proibir tais requisições (Mayeda, 2015). O tipo de documentação considerada legítima (requisições, mandados de busca ou ordens judiciais) para a obtenção dessas informações varia de país para país (consulte os Módulos 6 e 7 para obter mais informações sobre mandados e ordens nas investigações de cibercrimes).

A falta de legislação cibercriminal compatível nos diversos países, a carência de normalização internacional das exigências probatórias (tanto em termos de admissibilidade em processos judiciais quanto em termos de responsabilidade internacional do Estado), a assistência jurídica mútua em matéria de cibercriminalidade e as questões sobre recolha, preservação e compartilhamento no tempo adequado de provas digitais entre os países também são obstáculos às investigações de cibercrimes (ver o Módulo 3 sobre marcos normativos e direitos humanos e o Módulo 7 sobre cooperação internacional contra a cibercriminalidade). Em relação a certas espécies de crimes cibernéticos, notadamente os cibercrimes politicamente motivados, percebe-se uma generalizada falta de vontade dos países em cooperar nesses casos (consulte o Módulo 14 sobre Hacktivismo, Terrorismo, Espionagem, Campanhas de Desinformação e Atos de Guerra no Ciberespaço, para mais informações sobre esses crimes cibernéticos). 

Investigadores de cibercrimes também enfrentam desafios técnicos. Por exemplo, vários dispositivos digitais possuem sistemas operacionais e softwares proprietários que requerem o uso de ferramentas especializadas para identificar, coletar e preservar provas digitais (consulte o Módulo 4 sobre introdução à computação forense, para obter mais informações sobre provas e dispositivos digitais e ferramentas forenses digitais). Além disso, os investigadores podem não dispor dos equipamentos e ferramentas forenses digitais necessárias para conduzir adequadamente as investigações de crimes cibernéticos que envolvem dispositivos digitais (consulte o Módulo 7 sobre Cooperação Internacional contra a cibercriminalidade). 

Outro obstáculo às investigações de crimes cibernéticos é a capacidade limitada dos órgãos policiais de conduzi-las (Leppanen e Kankaanranta, 2017). Nos países onde existem unidades especializadas, tais órgãos investigam apenas um número limitado de casos de crimes cibernéticos. O grande uso das tecnologias da informação e da comunicação nas investigações criminais torna ineficaz essa abordagem (Hinduja, 2004; Köksal, 2009; UNODC, 2013; Leppanen e Kankaanranta, 2017). A capacitação de policiais das áreas não especializadas e de unidades especializadas alheias a esse campo (como os departamentos antidrogas, contra o crime organizado, e de crimes contra crianças) em cibercriminalidade, em investigações relacionadas às TIC e em computação forense é uma maneira de fortalecer a capacidade operacional das Polícias (UNODC, 2013; a importância de melhorar a capacidade nacional de investigar cibercrimes, e as maneiras de lidar com os atuais déficits nacionais na aptidão para investigá-los são explorados com mais profundida no Módulo 7 sobre cooperação internacional contra a cibercriminalidade). Além disso, a limitação operacional das Polícias é agravada pela curta vida útil do treinamento dos especialistas em investigação de cibercrimes (Harkin, Whelan e Chang, 2018, p. 530). As tecnologias da informação e da comunicação estão em constante evolução. Por esse motivo, os investigadores de crimes cibernéticos devem ser “aprendizes ao longo da vida”, capacitando-se continuamente para se manterem atualizados sobre tecnologias e sobre cibercriminosos e seus motivos, metas, táticas e métodos de ação (modus operandi). Além disso, órgãos governamentais e de segurança nacional enfrentam o que é conhecido como "fuga de cérebros" (brain drain), quando investigadores de crimes cibernéticos altamente capacitados e qualificados trocam o serviço público pelo setor privado em busca de melhor compensação financeira por seus conhecimentos, habilidades e aptidões (Harkin, Whelan e Chang, 2018, p.530). Essas questões de capacidade operacional e de formação de pessoal precisam ser consideradas pelos países, pois são obstáculos significativos às investigações de crimes cibernéticos (Sucio, 2015; PBS, 2018).

Seguinte: Gestão do conhecimento

Regressar ao início