Uma das tarefas que mais tem crescido na área da segurança digital, principalmente nas divisões de combate re-ativo e departamentos de autoridades legais, é a identificação do autor de um crime praticado através de computadores, principalmente da Internet.

O rastreamento de um usuário da Internet - qualquer usuário - é possível graças aos inúmeros registros que nossos acessos executam em cada computador por onde passamos. Alguns deles o fazem por motivos técnicos, para viabilizar o serviço, outros possuem realmente tal banco de dados para que sejam auditados quanto à utilização da rede, para estatísticas e mesmo para identificação de atividades criminosas.

Estes dados geralmente são tratados com o mesmo sigilo com que uma empresa guarda informações dos seus clientes como, por exemplo, um banco que certifica a inviolabilidade dos dados sobre a movimentação em uma conta bancária. Por esse motivo a investigação aprofundada dos registros muitas vezes esbarra em questões de quebra de sigilo, assim como nos bancos, apenas autorizada mediante imposições legais.

Uma vez permitida a verificação destes registros, os caminhos para se chegar a um hacker - dependendo da sua habilidade, ou da falta dela - podem ser diretos e limpos ou bastante tortuosos, mas na grande maioria das vezes começa com a identificação de um número IP, identificador único do usuário online. (consulte mais informações sobre número IP no capítulo 6)

Fazendo o caminho inverso, fica mais fácil observar por onde as autoridades chegam ao hacker. Simplificando o nosso exemplo: o hacker liga seu computador e se conecta à Internet. Se esta conexão estiver sendo feita em uma rede seu número IP será fixo, mas se a conexão for feita via linha telefônica, seu IP será aleatório. Pela linha telefônica, é necessário discar para um provedor de acesso, onde a conexão será estabelecida e um número IP será entregue ao hacker.

Então, uma vez conectado, o hacker inicia suas investidas contra determinado alvo na Internet. Este alvo pode estar protegido ou não. Caso não esteja, o hacker invade e pode tentar apagar seus rastros. Caso contrário, ou caso o hacker não tenha habilidade ou possibilidade técnica para apagar os registros, as informações sobre seu acesso - principalmente seu número IP - estarão disponíveis para uma investigação.

Ao iniciar a investigação, primeiro identificamos a localidade física daquele endereço IP e a que rede este número pertence. Caso pertença a um computador fixo, seu usuário será investigado criminalmente a respeito dos acessos indevidos. Caso pertença a um provedor, podemos conseguir, senão com o próprio provedor, com a empresa de telefonia da região, o número de telefone de onde partiu a ligação que originou esta conexão em particular. De posse do número de telefone, encontramos o local utilizado e uma investigação regular sobre o autor é iniciada.

Evidentemente este é um caso muito simples e fácil de resolver, motivo pelo qual os criminosos experientes que executam grandes façanhas online se protegem de várias formas. Vamos analisar as principais:

• Invasão de um servidor intermediário - O hacker pode procurar computadores na internet (geralmente servidores secundários, de pouca importância) onde conseguem controle total sobre o sistema. A partir deste computador, ele inicia suas atividades que, ao serem rastreadas, levarão os investigadores ao ponto intermediário de onde partiu o ataque. Normalmente seria possível continuar a investigação a partir deste ponto, até chegarmos no computador original. Entretanto, ter o controle total sobre um ponto intermediário é o suficiente para que o hacker bloqueie o caminho de volta, já que ele pode apagar todos os registros neste ponto e frustrar a investida contra seus rastros.

• Enganar o sistema de telefonia - Caso o hacker não queira deixar o conforto do seu lar, ou precise de equipamentos específicos para uma invasão, a saída é bloquear a investigação no último nível, que é a identificação através do número de telefone - ou sistema que o substitua. O sistema de telefonia ainda possui uma grande desatenção com relação a segurança sobre reprogramação de centrais telefônicas. É possível, inclusive, ter acesso físico aos cabos de telefones nas maiorias das ruas e substituir ou adicionar ligações, de forma que atividades criminosas sejam feitas através de linhas de terceiros.

• Manter-se sempre em movimento - Com a facilidade de comunicação móvel e pontos públicos de acesso à rede, fica cada dia mais fácil executar crimes virtuais sem que uma identificação positiva seja concretizada. É possível, por exemplo, utilizar vários sistemas de acesso público, como cybercafé ou quiosques para iniciar uma sondagem sobre um determinado alvo e, uma vez identificada a possibilidade de invasão, procurar meios mais seguros de utilizar ferramentas especiais como, por exemplo, linhas telefônicas em quartos de hotel ou equipamentos celulares e notebooks.

No próximo capítulo vamos analisar dois casos de rastros, uma recente identificação de um grupo hacker brasileiro e a monumental investigação que levou o famoso hacker Kevin D. Mitnick à prisão, em 1995.