Entrar em contato

Artigos de Provas Digitais

  2. Início
  3. Artigos
  4. Provas Digitais
  5. Investigação Digital - procedimentos para identificar o titular do número de IP(V4 e V6)
Investigação Digital - procedimentos para identificar o titular do número de IP(V4 e V6)
Provas Digitais

Investigação Digital - procedimentos para identificar o titular do número de IP(V4 e V6)

Com o avanço da tecnologia, diversos dispositivos informáticos foram criados para interagir com o cotidiano dos seus usuários. Vivenciamos a quarta revolução industrial, e com ela surgiram os smartphones, smart TVs, gadgets, tablets, carros autônomos, casas inteligentes, entre outros produtos tecnológicos que se conectam à internet. Diante disso, como podemos fazer para rastrear o titular de um número de IP (IPv4 ou IPv6)?

 

É evidente que na última década, a internet deixou de ser um espaço virtual educativo e recreativo, para ascender em um ambiente comercial. Nesse sentido, as transações comerciais abrangeram o uso de cartões de crédito, débito e outras formas de compras utilizando páginas de pagamento online. As redes sociais e comunicadores instantâneos também sofreram grande evolução tecnológica para manter um número relevante de usuários conectados e interagindo entre si.

 

Além disso, mais da metade da população mundial já conta com acesso à internet segundo o último relatório do ano de 2018 divulgado pelos serviços online Hootsuite e We Are Social. As empresas pesquisadoras apontaram que cerca de 53% da população mundial (algo em torno de 7,6 bilhões de seres humanos) acessam à internet. Dessa forma, para ter milhões de usuários conectados, alguns procedimentos foram criados para identificar de forma única os dispositivos informáticos conectados na internet, e consequentemente, seus usuários.

 

Então como identificar esses bilhões de usuários conectados à internet? Para isso, é preciso entender um pouco da rede mundial de computadores, mas por se tratar de um assunto técnico, extenso, teórico e complexo, o conteúdo será resenhado e vamos direto ao ponto.

 

Inicialmente, duas coisas individualizam uma conexão à internet, sendo o endereço de IP(V4/V6)[1]  do computador e o endereço MAC[2] da placa de rede. A conexão com à internet é estabelecida por meio de um dispositivo informático chamado de modem[3], este que também pode estar presente em um roteador fazendo a função de 2 em 1 (modem e roteador). Nessa lógica, não é cada computador que recebe um IP único para conectar à internet. Geralmente, os computadores de usuários residenciais e coorporativos (empresas em geral) recebem um IP privado[4] e os modens recebem um IP público[5]. O IP privado é normalmente gerenciado pelo roteador[6], que concede a cada máquina da rede local um determinado endereço de IP, utilizando como identificação única o endereço MAC da placa de rede.


Os endereços privados não nos permitem acesso direto à Internet, no entanto esse acesso é possível, mas é necessário recorrer a mecanismos de CGNAT [7] que traduzem o nosso endereço privado para um endereço público. Dessa forma, quando um computador faz uma requisição para acessar um website, primeiro a informação passa pelo roteador, em seguida o IP privado é convertido para acessar à internet por meio do IP público, e assim, quando a requisição retornar as informações para o modem, o roteador saberá para qual computador da rede local enviar os pacotes de dados.

 

Depois dessa sucinta introdução em redes de computadores, vamos adentrar no assunto tema deste artigo, o rastreamento de IP. Todo crime cometido por meio de computador deixa evidências, em alguns cenários essas evidências são revestidas com uma roupagem antiforense[8], impedindo que a investigação digital avance. Os crimes mais comuns cometidos na internet são os de calúnia, injúria, difamação, invasão de dispositivos informáticos, divulgação de material confidencial, divulgação de vídeos íntimos, apologia ao crime, perfil falso (falsa identidade), racismo, pedofilia, pirataria, furto de dados (furto) e plágio.

 

Para rastrear a origem e determinar a possível autoria do delito, precisamos primeiro obter o endereço de IP da aplicação e do suposto autor. Esses endereços, geralmente ficam registrados em um arquivo chamado de log de dados [9]. A análise para descobrir o endereço de IP poderá ser realizada de forma direta ou indireta. Esta consiste em acessar um arquivo que registra os dados automaticamente por programa de computador, e aquela monitora em tempo real as requisições de acesso ao dispositivo informático transmitidas pela rede. Cabe ao perito em informática analisar o cenário e tomar a melhor decisão para a situação, seja ela atual ou iminente.

 

Evidentemente, se tratando da Internet, a aplicação estará hospedada em um servidor de dados, porém um computador comum também pode realizar o mesmo papel, e até mesmo se passar pelo servidor autêntico da aplicação. Nesse sentido, vamos entender uma das diferenças entre os dois. O computador que se passa por servidor de dados, estará conectado a internet por meio de um provedor. Para isso, é necessário a utilização do modem para realizar a conexão com à internet, que normalmente atribui um endereço de IP dinâmico [10].

 

Já o servidor de dados, utiliza um IP estático [11], pois se fosse dinâmico e mesmo com a utilização do serviço de DNS [12], poderia acontecer uma mudança de endereço de IP, e consequentemente, alteraria a rota e os pacotes de dados se perderiam ou chegariam em outro dispositivo informático. Dessa forma, a checagem do endereço de IP público e do DNS da aplicação se faz necessária para revelar se a investigação digital está diante de um servidor real ou falso.

 

Pv4: Estrutura e Rastreabilidade

 

No protocolo IPv4, devido à limitação de endereços disponíveis, é comum que múltiplos dispositivos compartilhem o mesmo endereço IP público por meio de técnicas como o NAT (Network Address Translation). Esse compartilhamento torna mais desafiadora a identificação precisa de um único dispositivo ou usuário associado a um endereço IP específico. Para mitigar essas limitações, provedores de internet mantêm logs que registram o mapeamento entre os endereços IP públicos e os dispositivos internos em momentos específicos. Esses registros são essenciais para rastrear usuários, mas seu acesso depende de requisições judiciais devidamente fundamentadas, que justifiquem a necessidade e relevância da informação para a investigação.

 

Nesse sentido, um único endereço IP pode ser utilizado por diversos computadores. Em nota técnica conjunta, a 2ª e 3ª Câmara de Coordenação e Revisão do Consumidor e Ordem Econômica, juntamente com a Procuradoria Federal dos Direitos do Cidadão do Ministério Público Federal, destacaram que, conforme informações da ANATEL, já em 2014 o esgotamento do endereçamento IPv4 no Brasil havia sido alcançado, levando à adoção da tecnologia CGNAT para atender ao crescente número de usuários de internet no país. A esse respeito: (Pág. 2-5, item 2.1: Guarda de logs de Usuários – Uso do CG-NAT44, NOTA TÉCNICA CONJUNTA Nº 01/20152): 

"(...) Ocorre que, segundo a ANATEL, a quantidade de terminais e usuários conectados à Internet atingiu a capacidade máxima de endereçamento do IPv4, esgotando-se no final de 2014, em todo o Território Nacional.  (...) Como solução paliativa e provisória, até a plena migração para o novo protocolo IPv6, foi acordado entre os Provedores de Acesso (todas as empresas de telecomunicações) a adoção do compartilhamento de endereços IPv4 públicos por meio da implantação de plataformas CGNAT (Carrier Grade Network Address Translation), mais comumente conhecida como CG-NAT 44, o que significa que vários usuários poderão estar, num mesmo instante, acessando a Internet por meio do mesmo endereço IP público." 

 

Assim, o usuário deixa de ser individualizado na internet apenas pelo endereço de IP, se valendo, agora, da individualização pela composição da tríade de endereço de IP, data e hora e pela porta alta utilizada.  Vejamos um exemplo:

Figura Demonstrando como funciona o compartilhamento de IP pela tecnologia CGNAT.

Figura 1 - Demonstrando como funciona o compartilhamento de IP pela tecnologia CGNAT.

 

É importante destacar que, em uma investigação digital, essa observação jamais poderá ser negligenciada, pois qualquer descuido poderá atribuir a suposta autoria a outro usuário contratante do mesmo serviço de internet que esteja utilizando o referido IP.

 

Identificação do Titular de IPv4

 

No contexto legal, dois instrumentos principais são utilizados para a obtenção de informações de conexão no protocolo IPv4:

  1. Prova Antecipada (Código de Processo Civil, Art. 381):
    Pode ser requerida para assegurar que registros, muitas vezes temporários, sejam preservados antes que sejam excluídos pelo provedor. Essa medida judicial permite a coleta prévia de informações essenciais à investigação.

  2. Inquérito Policial:
    Quando há suspeita de crime, a abertura de inquérito policial permite à autoridade competente solicitar os registros diretamente ao provedor de internet, buscando identificar os responsáveis por ações ilícitas associadas a um endereço IPv4.

 

IPv6: Estrutura e Rastreabilidade

 

Diferentemente do IPv4, onde os endereços IP são frequentemente compartilhados por vários usuários devido à escassez de endereços, o IPv6 proporciona uma quantidade praticamente ilimitada de endereços. Cada dispositivo conectado à rede pode ter um identificador único. Essa característica facilita a rastreabilidade, mas também exige abordagens específicas, considerando que o IPv6 permite a geração de endereços temporários e dinâmicos para proteger a privacidade do usuário. Embora o uso de endereços temporários possa dificultar a identificação direta, os provedores de internet mantêm registros detalhados de atribuições de endereços IP, permitindo a identificação do titular mediante requisição judicial.

 

Identificação do Titular de IPv6

 

A identificação do titular de um endereço IPv6 pode ser solicitada no contexto de investigações judiciais ou administrativas. Para tanto, é essencial requerer judicialmente os logs de conexão mantidos pelos provedores de internet, que vinculam um endereço IPv6 específico a um assinante em determinado momento.

 

Duas estratégias legais são comumente utilizadas para essa finalidade:

  1. Prova Antecipada (Código de Processo Civil, Art. 381):
    Essa medida pode ser requerida quando houver risco de que os registros necessários não estejam mais disponíveis devido ao tempo limitado de retenção pelas empresas provedoras de internet. Por meio dessa ação, é possível obter judicialmente a preservação e a apresentação dos dados de conexão.

  2. Inquérito Policial:
    No âmbito criminal, a abertura de inquérito policial permite que a autoridade competente solicite diretamente aos provedores a identificação do titular de um endereço IPv6 relacionado a uma atividade ilícita. Essa via é especialmente relevante em crimes de alta gravidade ou com impacto social significativo.

 

Importância de Requisições Bem Fundamentadas

 

Independentemente do caminho legal escolhido, é crucial que as solicitações sejam bem fundamentadas, detalhando a relação entre o endereço IPv4 ou IPv6 investigado e os fatos apurados. Além disso, deve-se observar as normas de proteção de dados pessoais, garantindo que a obtenção dessas informações respeite os princípios da necessidade e da proporcionalidade.

 

Para descobrir quem é o detentor do IP que será rastreado é preciso acessar o website http://www.who.is (recomendado). Se caso o IP for administrado pela LACNIC (Registro de Endereçamento da Internet para a América Latina e o Caribe), deverá acessar o website https://rdap-web.lacnic.net/ e inserir no campo de busca o número do IP, clicar em buscar e aguarda o retorno das informações. A título exemplificativo, as imagens abaixo demonstram a realização da consulta.

 

Figura 2 - Acessar o website e inserir o número do endereço de IP

Figura 3 - Findada as buscas, o website informa o detentor do endereço de IP.

 

É importante ressaltar que a legislação brasileira somente prevê a quebra do sigilo de dados mediante autorização judicial, ou seja, somente assim poderá saber quem é o cliente (consumidor final) contratante do serviço de internet que concedeu a utilização daquele determinado endereço de IP. Isso está previsto no Marco Civil da Internet (Lei nº 12.965/2014), em seu artigo 10, §1º, estabelece que o conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, na forma da lei. 

 

Já o artigo 10, §3º, da Lei nº 12.965/2014 (Marco Civil da Internet) permite que, mediante requerimento da autoridade administrativa competente, como, por exemplo, o Delegado de Polícia, sejam acessados os dados cadastrais (ficha cadastral) do contratante de serviços de internet, sem necessidade de autorização judicial. Esses dados cadastrais incluem qualificação pessoal, filiação e endereço. Qualquer outra forma de obtenção desses dados que não observe os procedimentos legais poderá acarretar a ilegalidade da prova, tornando as informações inidôneas. Esse fenômeno decorre da teoria dos frutos da árvore envenenada, prevista expressamente no artigo 157, §1º, do Código de Processo Penal (CPP). Essa teoria estabelece que a prova ilícita contamina todas as demais provas dela derivadas, tornando-as igualmente ilícitas. Em outras palavras, o vício da ilicitude da prova obtida em violação às regras de direito material é estendido a todas as provas produzidas a partir dela, gerando um efeito cascata que compromete todo o conjunto probatório relacionado.

 

Recapitulando o referido artigo, foi elaborado um breve POP[13] para ser utilizado nos passos iniciais de uma investigação digital, conforme segue:

 

  •  1 - Coletar o endereço de IP: Identifique o endereço de IP registrado nos logs de acesso à aplicação, que pode ser revelado através de programas específicos para coleta de dados.

 

  • 2 - Analisar o cenário: Avalie o contexto para identificar possíveis indícios de uso de procedimentos antiforense, como o uso de proxies ou redes criptografadas. Documente o cenário de forma detalhada, preferencialmente por meio de ata notarial ou utilizando ferramentas forenses que garantam a preservação válida das provas digitais.

 

  • 3 - Identificar a empresa responsável pelo IP: Utilize ferramentas como o whois (http://www.who.is) ou o LACNIC RDAP (https://rdap-web.lacnic.net/) para verificar a entidade responsável pelo IP no momento do evento. A empresa será notificada para fornecer os dados cadastrais do cliente que utilizou a internet por aquele endereço.

 

  • 4 - Salvar as evidências: Guarde a página que contém as informações do detentor do IP, juntamente com o código-fonte da página, sempre assegurando a validação por meio de certificação digital.

 

  • 5 - Elaborar o relatório de investigação: Construa um relatório detalhado descrevendo todo o cenário investigativo, incluindo as evidências digitais coletadas. Preserve as informações de acordo com as normas técnicas estabelecidas, como a ISO/IEC 27037:13, para garantir a integridade e validade das provas. Caso tenha dúvidas sobre essa norma, recomendamos a leitura do artigo disponível neste site:  Perícia Digital: A Importância da ISO/IEC 27037 na Preservação de Evidências

 

Considerações Finais

 

Os protocolos IPv4 e IPv6 apresentam características distintas que impactam diretamente as investigações digitais. Enquanto o IPv4 enfrenta limitações devido à escassez de endereços, o IPv6 oferece novas possibilidades de rastreamento, mas com desafios relacionados à privacidade. A colaboração entre autoridades judiciais, policiais e provedores de serviços é essencial para garantir que os mecanismos de rastreamento e identificação sejam utilizados de forma eficaz e em conformidade com a legislação vigente. A utilização de medidas como a prova antecipada e a abertura de inquérito policial destaca a importância de uma abordagem integrada entre os campos técnico e jurídico para alcançar resultados justos e céleres.

 

Portanto, com os diversos equipamentos informáticos disponibilizados no mercado, e com os inúmeros cenários de ocorrências de crimes cibernéticos (próprios ou não) a investigação digital é o procedimento técnico para elucidar a materialidade e a autoria do delito. Em suma, independentemente de o cenário produzir efeitos na esfera cível ou penal, o perito particular pode ser contratado para realizar o levantamento da prova material e seu valor probatório será apreciado pelas autoridades competentes, seja na fase pré-processual ou processual.

 

 A consultoria é sempre bem-vinda para maiores esclarecimentos. A EMATI Auditoria de T.I. e Forense Digital possui este serviço, com especialistas preparados para auxiliar no seu caso.

 

 Solicitar atendimento pelo WhatsApp

 

QUESITOS ENVIADO POR LEITORES:

 

Quesito 1: Aplica-se ao IPV6?

Resposta: No cenário apresentado, a diferença essencial entre o IPv4 e o IPv6 é que o IPv6 não exige o uso de portas altas para identificar individualmente o usuário conectado à internet. Isso ocorre porque, até o momento, o IPv6, salvo melhor juízo, é atribuído de forma única e exclusiva a cada contratante de internet, o que dispensa a necessidade de técnicas como o NAT, comumente usadas no IPv4 devido ao seu espaço de endereçamento limitado.

 

Quesito 2: Seria possível obter o endereço do usuário de uma rede social através do Log de Dados?

Resposta: O registro de LOG DE DADOS de CONEXÃO forneceria o número de IP utilizado na conexão. No entanto, se for um endereço IPv4, seria necessária a porta alta para individualizar o usuário, pois o IPv4 geralmente compartilha o mesmo endereço IP entre vários dispositivos por meio de NAT. Já no caso de ser um IPv6, salvo melhor juízo, o próprio endereço IP seria suficiente para identificar individualmente o usuário conectado à internet, sem a necessidade de outras informações adicionais, como a porta.

 

Quesito 3:É possível obter o IP de um perfil de rede social, como Instagram, por meio das suas explicações?

Resposta: Sim, é possível obter o IP de um perfil de rede social! Contudo, tal informação deverá ser obtida mediante requisição legal direcionada diretamente à empresa META INC., que é a proprietária da rede social INSTAGRAM. Somente a partir de um pedido formal, embasado nos procedimentos legais adequados, a empresa poderá fornecer os registros de LOG DE DADOS de CONEXÃO e outros dados necessários para identificar o IP de usuário conectado a um perfil da rede social

 

Referências:

 

[1] IP(V4/v6): Significa Protocolo de Internet, e é um número que identifica um dispositivo em uma rede (um computador, impressora, roteador, etc.). IPv4 significa a 4ª versão de protocolo, e é a tecnologia que permite que nossos aparelhos conectem na Internet, seja qual for o tipo de gadget – pode ser PC, Mac, smartphones ou outros aparelhos. Cada um que estiver online terá um endereço único, para enviar e receber dados de outros que estiverem conectados. O IPv6 é a sexta revisão dos protocolos na Internet e é o sucessor natural do IPv4. Essencialmente, ele faz a mesma coisa que outras tecnologias desse tipo, mas em 128 bits, permitindo um número maior de endereços.

[2] MAC:  É a sigla de Media Access Control, ou seja, o Endereço MAC nada mais é que o endereço de controle de acesso da sua placa de rede. É um endereço único, com 12 dígitos hexadecimais, que identifica sua placa de rede em uma rede de computadores, semelhante ao chassi de um veículo.

[3] Modem: é um dispositivo ou programa que permite que um computador possa transmitir dados por meio do telefone ou cabo, por exemplo.

[4] IP Privado: Os endereços de IP privados são aqueles que pertencem a rede local de computadores. Via de regra não conectam diretamente a internet, no entanto esse acesso é possível, mas é necessário recorrer a mecanismos de NAT (Network Address Translation) que traduzem o endereço privado em um endereço público.

[5] IP Público: São os endereços que conectam os dispositivos informáticos à internet, normalmente por meio de um modem.

[6] Roteador: É um equipamento usado para conectar diferentes redes de computadores entre si. Nas conexões à internet, há quase sempre um roteador/modem que conecta a rede local à rede da internet.

[7] CGNAT: O Network Address Translator é um tradutor de endereços de rede que visa minimizar a escassez dos endereços IP, pois o crescimento da Internet tem sido grande e, para que uma máquina tenha acesso à rede, é preciso ter um endereço IP válido. O CGNAT é uma das soluções que existem para a economia de endereços IP.

[8] Antiforense: É todo método que visa prejudicar a análise técnica pericial, exemplo, a criptografia e o uso de proxy.

[9] Log de dados: é um arquivo de texto gerado por um software para descrever eventos sobre o seu funcionamento, utilização por usuários ou interação com outros sistemas.

[10] IP Dinâmico: É um número que é dado a um computador quando este se conecta à rede, mas que muda toda vez que há conexão.

[11] IP Estático: Ou IP fixo é um endereço dado permanentemente a um computador, ou seja, seu IP não muda, exceto se tal ação for feita manualmente.
[12] DNS: Significa Sistema de Nomes de Domínios. É um computador com uma espécie de banco de dados que relaciona o endereço “nominal” de um site como www.uol.com.br com o endereço real onde está a página na rede, para poder acessá-la. Esse “endereço real” é dado 

[13] POP: Um Procedimento Operacional Padrão é um documento que descreve as operações regularmente recorrentes e relevantes para a qualidade da investigação digital. O objetivo de um POP é realizar as operações corretamente e sempre da mesma maneira. Um POP deve estar disponível no local onde o trabalho será feito.

Victor Martins
Victor Martins
Inscrito no CRA-MG sob o número 07000077/D, é bacharel em Direito e Análise de Sistemas e Pós-graduado em Perícia Civil e Criminal. Ele também é formado no Curso de Estudos de Política e Estratégia (CEPE) pela Associação dos Diplomados da Escola Superior de Guerra, turma de 2020. Com 15+ anos de experiência, atua como Gestor e Perito em Tecnologia da Informação, além de ser fundador da Empresa Mineira de Tecnologia da Informação. Victor é, ainda, Representante do CRA-MG na subseção Centro Leste em Ipatinga, membro do Grupo de GT de Perícias do CRA-MG e da Comissão de Perícias Judiciais e Extrajudiciais da OAB-MG subseção Uberlândia.
Website: https://www.emati.com.br

Artigos relacionados

Perícia Digital: A Importância da ISO/IEC 27037 na Preservação de Evidências

Perícia Digital: A Importância da ISO/IEC 27037 na Preservação de Evidências

Victor Martins
Procedimento para preservar a cadeia de custódia de evidências digitais em processos judiciais e extrajudiciais

Procedimento para preservar a cadeia de custódia de evidências digitais em processos judiciais e extrajudiciais

Victor Martins
Image

Quem somos

Destacamo-nos como fornecedores de soluções para casos e lítigios que envolvam evidências digitais. A nossa ampla experiência nos habilita a oferecer serviços de elevado padrão, alinhados às exigências e expectativas dos nossos clientes. 

Contate-nos

R. da Bahia, 570, 7AD, SL 02 - Centro.

Enviar e-mail

Chamar no WhatsApp