Todo email enviado na Internet guarda em seus headers a história do caminho que fez, deste sua origem até seu destino. A mensagem do remetente não é alterada, mas cada servidor que reencaminha a mensagem acrescenta o endereço do servidor de onde recebeu o email no cabeçalho da mesma. Ao chegar ao destino a mensagem guarda todo o caminho que fez, desde o computador de origem, até seu destino.
A estratégia básica para a identificação da origem de um email é a análise dos endereços IP, através dos servidores presentes nos headers das mensagens. Os emails do Voador X foram enviados de diversos locais, tendo 12 IPs de origem diferente, conforme abaixo:
200.177.254.140
200.177.254.144
200.177.254.157
200.177.254.162
200.177.254.175
200.177.254.185
200.177.254.186
200.177.254.222
200.177.254.234
200.198.124.203
200.171.85.171
200.207.168.178
|
Os IPs que iniciam com 200.177 são de origem do provedor Terra. Estes emails, como o próprio Mauro Rechi deduziu, devem ter sido enviados da casa do anônimo, pois são todos fora do horário comercial. Os outros dois IPs (200.198.124.203 e 200.171.85.171) pertencem a um provedor de backbone chamado New Way. Estes emails foram enviados no horário comercial e devem ter vindo do trabalho.
O último IP (200.207.168.178) é ainda mais interessante que os demais. Acabei descobrindo-o tardiamente, durante o processo de pesquisa. Ele tornou as coisas muito mais fáceis, pois a ligação foi direta. Além do mais ele tem uma forte ligação com o IP 200.198.124.203. Mas não vamos adiantar as coisas...
Saber de onde vieram os emails é fácil. O difícil é ligar o endereço IP ao remetente. Difícil porque os provedores não divulgam seus registros de acesso publicamente. Estes registros são informações confidenciais de cada empresa, mas que podem ser requisitadas via intimação policial. Se não quisermos recorrer a estes artifícios devemos procurar outros meios de identificar o remetente.
Cada responsável por um domínio deve disponibilizar um endereço eletrônico para serem registrados abusos provenientes de seu domínio. Entrei em contato com os setores de abuse do Terra, da Telesp, bem como da New Way, enviando cópias dos emails recebidos. Infelizmente, até o momento, não obtive resposta de nenhum deles, mostrando o descaso que estas instituições tem com a segurança online dos seus assinantes.
Algumas pessoas da lista se prontificaram a ajudar e outras deram sugestões para melhorar a busca do anônimo. Uma das sugestões mais interessantes partiu do Vovó Mafalda, participante antigo da lista. Sua sugestão foi simples, mas bem útil. Ele notou que o anônimo tem um padrão para escrever. Ele possui alguns vícios de escrita, deixando, na maioria das vezes, espaço entre uma palavra e sinais de pontuação, bem como usa três pontos diversas vezes ao longo de suas mensagens. Além disso ele usava regularmente "vc" para indicar "você". Veja um exemplo abaixo retirado de um de seus emails:
Kuzim , sabe que em portugal paneleiro é como se
chamam os veadões né ? Hehehe , Kuzim o chefe dos
boiolas .... EMFIM VC DEU UMA DENTRO !!! HAHAHAHAHAH !
|
A teoria do Vovó é a seguinte: o anônimo era um assinante regular da lista, pois tinha conhecimentos de vôo e estava discutindo coisas que aconteceram a pouco tempo. Se ele fosse mesmo um assinante regular, deveria cometer os mesmos erros de pontuação que o anônimo cometia. Pesquisando estes padrões em todas as mensagens enviadas à lista poderíamos encontrar a verdadeira identidade do sujeito.
Criando alguns programas básicos de busca, consegui separar 17 emails de um histórico de mais de 22.000 mensagens. Destas, 13 eram do Voador X, mostrando que ele próprio se encaixava no padrão, provando que pelo menos meus filtros estavam corretos. Das 4 mensagens que sobraram 3 eram de mensagens enviadas por outras pessoas respondendo ao próprio Voador X. Sobrou apenas uma mensagem.
Analisando a mensagem tirei algumas conclusões. Todos os padrões acima descritos eram seguidos pela mensagem. Estavam lá as vírgulas, os três pontos e os outros sinais de pontuação com espaços antes das palavras. Mas isso por si só não comprovava a ligação entre as duas pessoas. Era necessário que os IPs de origem fossem iguais ou pelo menos da mesma empresa.
A minha grande surpresa veio quando olhei para o endereço de origem. Ele era o mesmo endereço IP de diversas mensagens enviadas pelo Voador X:
.
Date: Fri, 8 Jun 2001 12:32:54 -0300
.
X-Originating-IP: [200.225.157.84]200.171.85.171
X-Mailer: InMail by Insite - www.insite.com.br
.
.
|
O primeiro endereço [200.225.157.84] é de um webmail do IG, servidor por onde o suspeito envia suas mensagens. O segundo endereço (200.171.85.171) é o endereço de onde o suspeito estava conectado, isto é, o endereço real de origem. A próxima linha contém um dos cabeçalhos que o servidor de webmail inclui na mensagem. Isto só nos diz que o servidor de webmail usado é o InMail, desenvolvido pela empresa Insite.
Esta ligação entre endereços IP foi um indício fortíssimo, mostrando que o Voador X e o suspeito deveriam ser a mesma pessoa. Ainda mais que nenhuma outra mensagem de todo o histórico da lista vinha do IP 200.171.85.171, salvo as próprias mensagens do anônimo ou a mensagem do suspeito. Foi aí que apareceu o Segundo IP, reforçando ainda mais as evidências.
A história do Segundo IP é engraçada, pois só quando estava terminando este relatório é que o descobri. A ligação era tão óbvia que acabei vendo que meu trabalho de pesquisa poderia ter sido bem simplificado. Tudo bem, virar Sherlock Holmes por uns dias estava bem interessante.
Dois dos endereços que o Voador X usou para enviar seus emails tem uma ligação muito próxima. Vou tentar explicar. O IP 200.198.124.203 não está disponível como uma máquina fixa na Internet. Pelo menos não responde a um ping. O ping é um programa que envia pacotes de dados de uma máquina para a outra; caso a máquina destino esteja ligada, esta responde à origem[1]. Neste caso o IP em questão não respondia de nenhuma maneira. Assim ficaria bem mais difícil conseguir localizá-lo.
O outro endereço (200.207.168.178), ao contrário do anterior, é uma máquina fixa na Internet. Assim podemos verificar que ela sempre está no ar:
[rodrigo@grob rodrigo]$ ping 200.207.168.178
PING 200.207.168.178 (200.207.168.178): 56 data bytes
64 bytes from 200.207.168.178: icmp_seq=0 ttl=117 time=1019.4 ms
64 bytes from 200.207.168.178: icmp_seq=2 ttl=117 time=995.5 ms
.
|
Agora fica mais fácil tentar ver de onde é este IP. Usando outro comando chamado nslookup, descobre-se de que empresa está vindo esta mensagem:
[rodrigo@grob rodrigo]$ nslookup -sil 200.207.168.178
Server: 10.0.0.5
Address: 10.0.0.5#53
178.168.207.200.in-addr.arpa name = netfinity.schahin.com.br.
|
O endereço em questão pertence ao Grupo Schahin, provável local de trabalho do Voador X. Depois de uma pequena busca deduz-se que o IP 200.198.124.203 também pertence à mesma empresa, pois o endereço que responde por schahin.com.br é da mesma faixa:
[rodrigo@grob rodrigo]$ ping schahin.com.br
PING schahin.com.br (200.198.124.201): 56 data bytes
64 bytes from 200.198.124.201: icmp_seq=0 ttl=118 time=433.5 ms
64 bytes from 200.198.124.201: icmp_seq=1 ttl=118 time=625.1 ms
|
Ao total foram enviadas 7 mensagens pelo Voador X da máquina netfinity.schahin.com.br, todas no dia 21/06, das 15:29h as 17:59h. Vejam pedaços de algumas mensagens. A primeira foi quando ele fingiu que tinham-no encontrado:
Received: from [200.207.168.178] by web14809.mail.yahoo.com;
Date: Thu, 21 Jun 2001 15:29:10 -0300 (ART)
From:Voador X "mario_voador_x@yahoo.com.br"
To: parapente-br@papaleguas.conectiva.com.br
Subject: Pessoal , pega leve ...
Tudo bem pessoal , vcs me acharam , isso era
previsível ...
Rodrigo e Mauro, parabéns , reconheço que vcs são bons
...
|
A próxima foi quando ele estava se vangloriando que não o encontraram:
Received: from [200.207.168.178] by web14810.mail.yahoo.com;
Date: Thu, 21 Jun 2001 17:45:38 -0300 (ART)
From: Voador X "mario_voador_x@yahoo.com.br"
Cc: Parapente-BR@listas2.conectiva.com.br,
Subject: SUCKER AND FUCKER !!! QUAQUAQUA !!!
.
COM CERTEZA RODRIGO , VCS LIGARAM PRA TAL EMPRESA ,
SACARAM QUE NÃO TEM NENHUM VOADOR NAQUELA EMPRESA ???
Sinceramente não sei como conseguiram chegar nesta
conclusão absurda ! coitado do pessoal da tal
metrocomm ... E o pior é qu tem mesmo um Mário lá !
E vc Tuzim ? mandou os mails pra lá ? eles vão rir o
ano inteiro tb !!!
|
| [1] |
Existem outras situações em que uma máquina não responde ao ping, mas isto não nos interessa no momento. |