Monthly Archives: fevereiro 2010

Blogs e sites como ferramentas de propagaçao do ódio e de discórdia.

Internet: negócio sério!

Uma das questões mais contemporâneas que o mundo enfrenta hoje, especialmente na área do ciberespaço é a regulação dos discursos de ódio e pré-conceitos, os quais tem sido prática exaustivamente difundida na Internet através de blogs e sites pessoais, sem infringir o direito há muito estabelecido da liberdade de expressão e nem criar o que veio a ser conhecido como censura.
Como encontrar um equilíbrio entre a liberdade de expressão e a regulamentação do discurso de ódio na Internet, principalmente em Blogs e sites pessoais, evitando-se assim a censura naquele meio de comunicação?
O “blogging” é um fenômeno mundial que explodiu em popularidade ao ponto de existirem até agora mais de 20 milhões de blogs sendo monitorados em todo o mundo.
Eles se encontram em posição de destaque, não somente pelo número de acessos, mas também porque alguns deles estão desafiando a ordem natural de divulgação de material anteriormente estabelecida pela imprensa e demonstrando sua força na divulgação de informações e na capacidade de inovar. Na verdade, às vezes a grande mídia foi colocada na posição incomum de reagir a notícias que blogueiros geram.
O termo “Blog” é uma mistura de “web” e do termo “log”, levando a “weblog”, e finalmente a “blog”.
A criação de um blog, manter um blog ou blogs ou adicionar um artigo para um blog já existente já recebeu até apelidos: artigos individuais em um blog são chamados de “posts”, ou “entradas”; uma pessoa que elabora estas mensagens ou entradas é chamada de “blogger”.
Segundo a enciclopédia online “Wikipedia”, o termo “weblog” foi definido por Jorn Barger em 17 de dezembro de 1997. A forma curta, “blog”, foi definida por Peter Merholz. Ele quebrou a palavra “weblog” na frase “we blog” na barra lateral do seu blog em abril ou maio de 1999.
Desde 2003, os blogs ganharam um aumento significativo na cobertura de novas notícias e passaram a desempenhar um papel importante na quebra de modelos jornalísticos existentes.
Bloggers fornecem comentários quase que instantâneos sobre eventos, criando um significado secundário a tudo o que é divulgado, haja vista sua capacidade simultânea de transcrever e “editorializar” discursos e eventos mostrados em diversas mídias como a televisão.
Em 2004, o papel dos blogs tornou-se cada vez mais presente, como consultores políticos, serviços de notícias e com candidatos a cargos públicos começando a usá-los como ferramentas para a divulgação e formação da opinião pública.
A “BBC” de Londres saudou a nova mania da Internet em um artigo intitulado “Por que somos agora todos jornalistas?”, mencionando que: “O florescimento do jornalismo cidadão permanece como um dos acontecimentos mais emocionantes da Internet. Com milhões de blogueiros, dezenas de milhões de “banners” na Internet, e centenas de milhões de leitores, as fontes de notícias on-line radicalmente remodelaram a nossa forma de acessar nossas notícias diárias. Enquanto organizações noticiosas, inicialmente manifestaram dúvidas sobre o valor das fontes de notícias online como blogs, nos últimos meses muitos têm lançado seus próprios blogs, muitas vezes mantidos por algumas das suas vozes mais distintas. Com efeito, o notável crescimento da blogosfera é o suficiente para convencer até mesmo o mais duro cético de que algo importante está acontecendo. “Technorati”, um site de buscas de blog, relata que 75.000 novos blogs surgem a cada dia.”
Um olhar mais detalhado sobre o crescimento dos blogs foi fornecida pela “British Business Web Site”: “Um novo blog é criado a cada segundo, somando-se aos 37 milhões que já existem, segundo David Sifry, fundador da Technorati. Essa taxa de crescimento impressionante equivale a sessenta vezes o crescimento da “blogosfera”, nos últimos três anos. Não há limites geográficos ou demográficos para blogar. Ray Valdes, analista de “web services” da Gartner, observa que pelo número total de blogueiros em todo o mundo torna-se difícil concluir que uma região geográfica poderia ter uma maior concentração de atividade de blogging do que em qualquer outra.
Pessoas de todo o mundo descobriram formas rentáveis para incorporar os blogs em suas vidas pessoais e empresariais.
Alguns dados demográficos foram fornecidos sobre a blogosfera pela revista “Hindustan Times”: “De acordo com uma pesquisa na internet, o blog tem mais viciados do sexo feminino do que masculino, sendo que mais de 68 por cento dos blogueiros são mulheres. Embora esteja crescendo em popularidade com adultos, o blog é ainda em grande parte do domínio dos adolescentes com cerca de 58,8 por cento dos blogueiros no mundo inteiro se localizando na faixa etária de 13 para 19 anos. … Um blog tem seus benefícios, mesmo quando tantas questões emocionais e mentais devem ser levadas em conta. Quando um grande número de pessoas no mundo todo se reúne para expressar seus pontos de vista sobre um assunto, o que ajuda na formação da opinião pública, o fazem por terem obtido mútua confiança através da partilha dos mesmos sentimentos uns com os outros. disse Rahul Dewan, um blogueiro e um estudante de engenharia, “Eu acho blogging melhor do que escrever um livro, porque você pode dizer exatamente o que você quer, sem interferência de ninguém. Você tem seu próprio espaço na Internet, que as pessoas visitam, lêem e comentam. Desta forma, você também receberá um “feedback” sobre o seu post que pode ser usado de forma construtiva”.
A questão da liberdade de expressão é muito importante nas discussões sobre os blogs, como observado no “London’s business-oriented Web site Silicon.com”: “Da mesma forma que a Internet e a tecnologia, permite facilidades para ambos os lados — aqueles que a querem livre e aqueles que a querem restringir – ela também oferece novas oportunidades para a comunicação e o anonimato. Túneis IP, servidores proxy, criptografia, contas de e-mail fantasma e “spoof de endereços” estão entre os exemplos óbvios – para não mencionar a ocultação e/ou incorporação de dados em arquivos aparentemente inócuos! E depois, há ainda todas as ferramentas usadas pelos propagadores de infecções virais e redes bot. Tudo pode ser transformado e utilizado para manter a liberdade de expressão viva e segura.”
O fenômeno blog está crescendo na China, com o número de blogueiros devendo atingir 60 milhões até o final deste ano. A China é o segundo maior mercado de Internet do mundo depois dos Estados Unidos, com mais de 110 milhões de usuários. Uma pesquisa feita pelo site de busca chinês “Baidu.com” informa que na China o atual número de blogs, ou diários online, é da ordem de 36,82 milhões, os quais são mantidos por 16 milhões de pessoas, conforme apurado pela agência oficial de notícias “Xinhua”. Mas mandarins do Partido Comunista são obcecados pelo controle da internet e fecharam alguns blogs. Chats, fóruns e painéis de mensagens on-line são rotineiramente monitorados a procura de comentários políticos controversos e palavras sensíveis, tais como “liberdade” e “democracia” as quais são constantemente censuradas.
Mas o que tem esquentado o debate sobre censura na China diz respeito ao fato de que as empresas de Internet, terem sofrido recentemente sob o fogo de algumas ações na China, incluindo o Google que afirmou que iria bloquear termos politicamente sensíveis em seu site no país e a MSN da Microsoft que atuaria para encerrar qualquer blog de em sua rede, por ordens do governo chinês.”
Mas a liberdade de expressão na Internet, se mal utilizada, pode de fato ser desastrosa.
A natureza sem fronteiras da Internet e a máscara do anonimato que a Internet outorga a seus usuários podem de fato ser uma avenida maravilhosa para a expansão ilimitada da propaganda nociva e mais especialmente do discurso de ódio.
Discurso de ódio é definido no Protocolo Adicional à Convenção sobre o cibercrime, sobre a criminalização de atos de natureza racista e xenófoba cometidos através de sistemas de computadores como:

“Material racista e xenófobo”, é qualquer material escrito, qualquer imagem ou qualquer outra representação de idéias ou teorias, que advogue, promova ou incite ao ódio, discriminação ou violência, contra qualquer indivíduo ou grupo de indivíduos, com base em raça, cor, ascendência ou origem nacional ou étnica, bem como a religião, se utilizados como pretexto para qualquer um desses fatores.” (Artigo 2º, parágrafo 1º do “Additional Protocol”, documento do “Council of Europe”)

Principalmente pelas razões acima e diversas outras relacionadas ao assunto em questão, governos do mundo todo têm procurado regulamentar esta modalidade da manifestação de ódio, especialmente através da censura de conteúdo na Internet e o aumento das responsabilidades dos provedores de conteúdo.
Na atualidade há milhares de casos sobre pessoas que usam e-mail, sites, blogs e outras formas de comunicação para intimidar, perseguir e, geralmente, ser rancoroso e rude com os outros.
Uma das principais justificativas para a regulação do discurso de ódio na Internet é o princípio do dano. O Estado tem não apenas o poder, mas também a responsabilidade de evitar danos aos membros de sua sociedade.
Os discursos que fomentam o ódio também são inconsistentes com os valores fundamentais da democracia liberal, gerando preconceito contra pessoas e marcando alguns cidadãos como inferiores em razão de, digamos, raça, cor, ascendência, origem nacional ou étnica, religião, profissão, idéias defendias, dentre outros fatores.
A U.E., por exemplo, obriga um Estado-membro a tomar as medidas adequadas para aprovar legislação, além de outras medidas que possam ser necessárias para estabelecer como delitos em seu direito interno, quando cometidos intencionalmente, a distribuição, ou colocação à disposição, de material racista e xenofobia, ao público, através de computador.
Os perigos e os riscos colocados por ódio a qualquer pessoa, ajuda a sociedade a determinar limites adequados da liberdade de expressão, de modo a não prejudicar a si ou seus membros.
A liberdade do indivíduo deve, portanto, ser limitada, caso ele/ela venha a se tornar um incômodo para os outros membros da sociedade, pois aqueles que expressam o seu ódio ou promovem discurso de ódio expõem ao risco a sociedade através de suas ações imprudentes.
Restrições à liberdade de expressão através da regulação do discurso do ódio na Internet devem ser formuladas de forma a tornar claro que sua única finalidade é proteger as pessoas com convicções específicas ou diferentes opiniões, em vez de proteger os sistemas de governo vigentes de críticas.
O direito à liberdade de expressão implica que deva ser possível o debate, a fiscalização aberta e a critica, desde que não seja meramente propagar ódio contra um indivíduo ou indivíduos.
O preconceito e a intolerância, principais fatores caracterizadores do ódio, estão ligados a uma oposição instintiva e a tudo o que não corresponde àquilo com o que o individuo se identifica bem como as normas implícitas e estabelecidas por ele mesmo.
Temos na Wikipédia, a enciclopédia livre uma boa definição do que se entende por intolerância:

“é uma atitude mental caracterizada pela falta de habilidade ou vontade em reconhecer e respeitar diferenças em crenças e opiniões.”

Num sentido político e social, intolerância é a ausência de disposição para aceitar pessoas com pontos-de-vista diferentes. Por exemplo, alguém pode definir intolerância como uma atitude expressa, negativa ou hostil, em relação às opiniões de outrem, mesmo que nenhuma ação seja tomada para suprimir tais opiniões divergentes ou calar aqueles que as têm. Tolerância, por contraste, pode significar “discordar pacificamente”. A emoção é um fator primário que diferencia intolerância de discordância respeitosa.
A intolerância está baseada no preconceito e pode levar à discriminação. Por exemplo, demonstrar desprezo por alguém apenas porque este esteja aliado a uma determinada posição filosófica ou religiosa, tal como maçonaria ou catolicismo.
Formas comuns de intolerância incluem ações discriminatórias de controle social, como racismo, sexismo, homofobia, homofascismo, heterossexismo, edaísmo, intolerância religiosa e intolerância política. Todavia, não se limita a estas formas: alguém pode ser intolerante a quaisquer idéias de qualquer pessoa.
A internet é uma ferramenta de comunicação, de interação, de conhecimento e de aprimoramento que nas mãos de muitos se torna uma poderosa arma para se cometer os crimes, como os de ódio, que se caracterizam por ações discriminatórias contra um determinado grupo, sendo que qualquer um pode praticar o delito de intolerância, pode propagar mensagens que diminuam certos grupos e culturas, bastando apenas estar conectado à internet, usar um e-mail, o Orkut, ou mesmo um blog e espalhar mensagens preconceituosas, bem como, injuriosas, caluniosas ou difamatórias para milhões de pessoas.
É muito simples também que estas pessoas criem comunidades que tem como fim espalhar o ódio a um determinado grupo por conta de sua cor, raça, etnia, religião, pensamentos e idéias ou orientação sexual ou cultural.
A criminalidade ainda é um dos problemas mais graves do homem moderno e de difícil solução, uma vez que, o desequilíbrio social, moral e educacional permanece inquietando a convivência social. Não será fácil para as ciências jurídicas e sociais acabarem com esse fenômeno, visto que o crime quando aliado à tecnologia, ganha proporções gigantescas e de difícil acesso ao aparato jurídico sancionador, há que se falar primeiro em prevenção, em educar a sociedade para um uso sadio da internet, a adequação e a punição devem existir, mas num segundo plano.
Normatizar as relações virtuais é de suma importância para assegurar a proteção a um bem jurídico tão intrínseco de cada cidadão que é a identidade, a imagem, o corpo, a sua liberdade, sua orientação cultural, sexual ou religiosa, sua honra subjetiva e objetiva, sendo assim legalmente protegidos por nossas leis todos as pessoas independentemente de qualquer distinção, pois todos são iguais e livres perante a nossa Constituição Cidadã.
Não se perca de vista que, por traz ou em função de conflitos de ordem política e territorial surge e se manifesta um ódio onde cada parte reclama para si uma posição central, de superioridade e de verdade absoluta que em nenhuma hipótese deve ser contrariada, e cujo efeito é a perda de vidas a todo o momento, e onde podemos observar uma forte influência de líderes ou doutrinas que fazem com que o ódio seja exacerbado, levado as maiores e às vezes extremas conseqüências.
A imagem que o Brasil projeta por sua formação cultural e étnica é de um país naturalmente liberal, onde todos podem e convivem livremente, e cuja história passou por momentos de distensão e tensão hoje passados.
Mas a crônica policial recente parece contradizer estas máximas: assassinato e fuzilamento, na rua, de homossexuais no interior de São Paulo por grupos anônimos fortemente armados; grupos separatistas no sul argumentando a injustiça econômica criada e fomentada pelo governo de Brasília, que faria com que o povo do sul sustente com seu trabalho um povo Brasileiro preguiçoso; jornalistas da Rede Globo seqüestrado por membros de uma facção criminosa em troca de espaço na mídia; piadas de negros, pobres e loiras inseridas em websites humorísticos ou em quadros de programas de TV.
E este fenômeno não é exclusivamente Brasileiro, ou nem mesmo tem em suas fronteiras suas maiores e mais fortes manifestações. Em nível mundial parece que estamos experimentando níveis muito fortes de intolerâncias, racismo, xenofobia, anti-semitismo, homofobia e tantas outras manifestações de ódio entre raças, grupos sociais e mesmo nações.
Em alguns pontos parece que estamos regredindo ou lutando contra todos os progressos e avanços obtidos pelos movimentos de direitos humanos e civis que se propagaram pelo mundo nas décadas após a segunda guerra mundial. As antigas justificativas para a escravidão, a segregação e as limitações impostas a grupos sociais e raciais hoje assumem formas veladas em discursos políticos nacionalistas, que tem no dito “terrorismo internacional” ou na necessidade da “preservação das fronteiras” seu foco de atenção e argumentação, ou justificativas econômicas, onde a falta de um emprego ou a crise financeira de um país aparece creditada aos imigrantes, aos estrangeiros, aos bancos internacionais ou qualquer outro que possa estar conspirando contra uma determinada nação com problemas.
Podemos começar a notar que o ódio se manifesta, mostra sua face mais forte e viril sempre que há alguma ameaça ou problema cuja solução se apresenta de difícil solução para uma pessoa ou grupo.
Assim, canalizando o stress físico ou psicológico contra uma pessoa ou grupo contrário às nossas crenças ou nossos interesses, reagindo contra uma ameaça, sensação, emoção dolorosa ou sentimento de frustração (GOÉS, 2004; FADIMAN, 1986) eliminamos a sensação do stress e nos sentimos agindo contra ou em relação ao problema, mesmo que for apenas para defendermos nossos interesses pessoais em detrimento de todos aqueles que compartilham de nossas idéias.
A raiva é um sentimento passageiro, motivado por algum estímulo ou elemento que impacta ou se mostra contrário aos nossos interesses e crenças. Já o ódio é uma emoção, um sentimento de intensa revolta, desgosto ou antipatia por uma pessoa, grupo, objeto ou símbolo, na maioria das vezes determinada pelo desejo de destruir aquilo que é a fonte do sentimento, e que nos acompanhará em longo período de nossas vidas. A raiva pode virar ódio, assim como o ódio pode se caracterizar, se manifestar numa reação raivosa.
Conforme a maioria das correntes da psicologia (FADIMAN, 1986; DOZIER, 2002) o ódio é uma reação contra algo que ameaça ou se coloca contrário aos nossos desejos ou mesmo sobrevivência.
Pessoas que concordam conosco, dividem nossos sonhos, projetos, gostos devem ser amadas e protegidas. Pessoas que discordam ou se opõem a algo que desejamos, colocando nossos projetos ou mesmo sobrevivência devem ser odiadas, para que assim possamos garantir nosso crescimento e nossa sobrevivência.
Esta talvez seja a mais antiga raiz do sentimento do ódio. Num processo instintivo, o homem primitivo percebia que havia ameaças a sua sobrevivência e de seus descendentes. Odiar um animal carnívoro ou uma tribo que competia pelos alimentos era algo necessário para a própria sobrevivência da espécie, e o ódio se exacerbava e se canalizava em conflitos que resolviam tais disputas.
É lamentável que manifestações de ódio ocultas na esfarrapada desculpa de exposição de pensamentos e idéias ainda ocorra na internet, pois algo tão maravilhoso como a liberdade de expressão e do pensamento na internet acaba sucumbindo diante dos abusos praticados por aqueles que gostariam de minar seu uso e atender apenas seus interesses pessoais.
Muito embora estes sejam exemplos extremos de comportamentos negativos e potencialmente perigosos, eles não são incomuns.
Como este articulista, muitos já foram vítimas do que pode ser considerado como comentários ofensivos, consubstanciado em afirmações abusivas de pessoas que nem mesmo as conhecem. Esses comentários não doem em suas vítimas, apenas porque, estas talvez tenham falado ou feito alguma coisa que deve ter gerado este assédio moral, mas simplesmente por mera discordância com opiniões, pensamentos e procedimentos.
A Internet oferece um nível de anonimato que parece às pessoas livre das restrições sociais que eles impõem a si próprios o que lhes permite atacar os outros, porque eles pensam que nunca vão ser identificados. Afinal, qual é a chance de você ser identificado por alguém que você “detonou” em um blog, ou em um site? Na opinião deles bastante reduzidas.
A Internet tem um potencial para o bem ilimitado, permitindo fazer com que as nossas opiniões sejam ouvidas e por nos dar um fórum de comunicação viável para nossa liberdade de expressão, mas como todas as coisas há sempre outros que a vêem como algo a ser pervertido, para usar como uma plataforma para realizar comentários nocivos e prejudiciais, para fazer o mal em nome da liberdade de expressão, expondo correntes que talvez não sejam as melhores para nossa sociedade e que deveriam apenas ser vistas como o que são: apenas opiniões.
Grandes homens de nossa sociedade adotaram a bandeira da liberdade de expressão para nos permitir livremente debater assuntos que precisam ser analisados e debatidos.
É certo que eles sentiram que a liberdade de expressão não deveria abranger ataques injustificados e abusivos vindos de pessoas que nem mesmo conhecemos e que destilam seu ódio atrás do anonimato, pois eles acreditavam na nobreza da raça humana, mesmo quando lutavam contra suas próprias fraquezas e as questões sociais do seu tempo.
Acreditamos que a Internet vai tornar-se uma parte muito maior da nossa vida no futuro, não havendo limites para o que ela pode realizar por cada um de nós, mas precisamos definir as orientações de como usá-la, da mesma maneira como ensinamos nossos filhos a serem socialmente responsáveis.
Algumas pessoas justificam suas maldades, chamando-a de livre expressão e que é seu direito, mas se esquecem que os direitos têm de ser conquistados, e que hoje nós estamos vivendo sobre os sacrifícios de todos aqueles que vieram antes de nós.

Técnicas de Investigação de Cibercrimes – Parte 3/3

Computer crime scene

Nesta parte final de nosso artigo estaremos abordando a investigação de ações criminosas como aquelas baseadas na desinformação, crimes praticados internamente contra as corporações e também ataques de negação de serviço.

“Denial Of Service” ou Negação de Serviço

Nos calabouços da criminalidade por meios eletrônicos da atualidade, parece que o ataque mais popular é o da negação de serviço.
Ataques de negação de serviço incluem qualquer negativa de acesso por usuários legítimos a um recurso de computador. Isso poderia incluir dados, processadores, dispositivos de armazenamento, aplicativos ou links de comunicação.
Talvez estejamos vendo mais destes ataques por causa dos avanços tecnológicos.
“Downsizing” corporativo tem levado ao descontentamento de funcionários. Esses trabalhadores muitas vezes têm acesso irrestrito aos recursos do computador e quando o perdem acabam ficando extremamente frustrados. Alguns tipos de ataques de negação de serviço são:

• Ataques para destruir ou danificar dados;

• Ataques que causam “shutdown” de computadores;

• Ataques que causam “shutdown” de dispositivos de comunicação, tais como roteadores;

• Ataques que causam a retirada do acesso a um sistema de por parte de usuários legítimos. Forma típica deste ataque são aqueles que destroem os registros do usuário, arquivos de senha ou outras funções que permitem aos usuários fazer “login” no sistema. Uma extensão deste tipo de ataque são os ataques que têm o mesmo efeito em bancos de dados ou aplicações que necessitam de autenticação para seu uso;

• Ataques que forçam uma transformação no sistema, tal como “I/O” (input/output), ou outro gargalo e que causa lentidão no sistema, ou, mesmo, sua parada. Um exemplo notório desse tipo de ataque era o “Internet Worm”. Já um exemplo mais atual é o “e-mail bomb ou “spams”.

Por que os ataques de negação de serviço ocorrem? Normalmente, uma razão subjacente a estes ataques é a falta de capacidade por parte do atacante para realizar um dos outro tipo de ataques como os que temos discutido.
Se o atacante não pode invadir o computador, talvez ele possa atingir seu objetivo, fazendo-o parar.
Neste sentido, vemos jovens “aspirantes” a “hackers” usando scripts, encontrados na Internet ou em sistemas de sites “underground”, que causam falhas nos sistemas.
As recompensas que buscam são o direito a se vangloriar, a vingança de uma escola ou outra organização ou de pessoa que eles vêem como errados, ou como uma forma de extravasar sua emoção de conseguir ocasionar uma grande falha no sistema.
Em quase todos os casos de vandalismo de computador que temos acompanhado, a razão subjacente era a vingança. E, na maioria dos casos, o agressor era uma pessoa com conhecimento de informática apenas moderado, embora muitas vezes ele ou ela era notado pelos colegas de trabalho como alguém muito mais hábil do que eles realmente eram.
A próxima pergunta, é claro, diz respeito à forma como estes ataques ocorrem.
Existem vários métodos de negação de serviço para usuários legítimos.
No entanto, para os nossos propósitos no momento, enumeramos os mesmos em algumas categorias técnicas distintas:

• “Packet floods”: Esses causam algum aspecto de processamento do computador ficar sobrecarregado. Eles incluem técnicas, tais como “synch floods”. Eles são predominantemente ataques de comunicações e dependem do processo de comunicação para seu sucesso;

• “Data floods”: Estes são os ataques que acarretam o total preenchimento do espaço de armazenamento do computador. Um exemplo deste tipo de ataque é o “log flood”, que faz com que o sistema de destino experimente um número excessivo de ocorrências de um evento registrado, causando assim que os “logs” para preencher este evento acabem utilizando todo o espaço disponível no dispositivo de armazenamento. “Mail bombs” são outro exemplo deste tipo de ataque, embora haja também um aspecto de comunicação neles também;

• Destruição de arquivos críticos: Estes causam danos a arquivos, tais como de senha, configuração ou arquivos do sistema. Esses ataques geralmente exigem que o atacante tenha habilidade para invadir o computador ou ao menos que o computador esteja configurado incorretamente ou que o atacante ganhe acesso de “superuser”;

• Danos a arquivo de dados ou aplicativos: Este é outro ataque que exige que o atacante obtenha acesso ao sistema. No entanto, em muitos casos, devido às exigências de um aplicativo, os arquivos vulneráveis podem ser gravados por usuários normais. Uma vez que o acesso “superuser” não é necessário, o acesso mascarado com acesso normal pode causar danos significativos. Isto é um crime muito difícil de resolver, pois o atacante pode ser alguém que pertence empresa e cujas ações não são simplesmente registradas de forma adequada.

Investigar este tipo de incidente pode ser muito frustrante, porque muitas informações podem ser perdidas com a danificação dos arquivos.
Ataques que são dependentes de comunicações podem ser um pouco mais fáceis de rastrear, porque qualquer fluxo de dados de grande porte geralmente deixa pegadas na rede.

“Data Floods” e “Mail Bombs”

Denial of service

Por exemplo, um “mail flood” ou um “data flood” podem ser feitos mesmo que o atacante use computadores intermediários para gerar o ataque. “Mail spoofing” (uma técnica que faz com que o e-mail pareça ter vindo de uma fonte que não seja a sua real) é detectável através da expansão da informação no cabeçalho das mensagens.
Muitos ataques desse tipo são rastreáveis por “sniffar” os pacotes e, através dos endereços de origem, por rastreamento reverso até a sua origem. O rastreamento reverso geralmente requer a cooperação dos administradores dos sites intermediários. No entanto, os “floods” também afetarão os dados de suas redes e, portanto, muitas vezes eles estarão dispostos a colaborar com sua investigação.
Seu sucesso em encontrar a fonte do vandalismo pode depender de captura de pacotes envolvidos no ataque. Isso tem implicações no que diz respeito às leis de interceptação telemática. No entanto, na maioria dos casos, você pode capturar os pacotes, se a captura está na sua manutenção normal de rotina e não estritamente com a finalidade de rastreamento de um ataque.
Além disso, você só deve usar a informação do endereço de origem e destino no pacote.
O conteúdo dos pacotes geralmente não pode ser utilizado sem uma ordem judicial permitindo sua captura, o que implica na necessidade de uma investigação pela Polícia Civil.
Mesmo assim, essas informações limitadas podem ser muito valiosas porque são amplamente importantes para encontrar-se a fonte do ataque.
Há vários bons programas “freeware” para monitoramento de pacotes que se concentram no tipo de “empacotamento”, endereços de origem e destino e outras tarefas da rede interna sem se preocupar com o conteúdo dos dados.
O uso rotineiro destas ferramentas pode ser uma grande ajuda para impossibilitar que sua rede possa sucumbir a um “packet flood” ou “data flood”.
Lembre-se: muitas vezes esses ataques ocorrem apenas uma vez e se você não capturar os elementos de prova, quando acontecer, você provavelmente não terá uma segunda chance.
Investigar ataques de negação de serviço exige essencialmente os mesmos passos da investigação de qualquer intrusão.
Comece por eliminar as muitas rotas que podem existir para seu sistema, em seguida, continue testando cada rota restante até ter diminuído as possibilidades, na medida do possível.
No caso de um “data flood” proveniente da Internet, você vai precisar iniciar um processo de identificação de fontes específicas. Devido à forma de trabalho dos roteadores na Internet, os pacotes costumam passar por muitas redes intermediárias sob circunstâncias normais. Se você adicionar sistemas intermédios utilizados pelo invasor para desorientar perseguidores, as alternativas de investigação são muito grandes, na realidade.
Se você é capaz de capturar pacotes que revelam um endereço de origem, utilize o “traceroute”, um programa para determinar onde os pacotes passaram entre o seu site e a fonte.
Contate o administrador do site de origem e comece o processo de “rastreamento”, se o ataque não se originou em seu site. Muitas vezes, devido à maneira como um site intermediário tiver configurado seus “hosts”, o “traceroute” terá curta passagem até a rota final.
Isto é porque o “host” final estará configurado para rejeitar os pacotes que compõem o “traceroute”.
Os locais descobertos por intermédio de seu “traceroute” pode ser útil se eles puderem ajudar você a direcionar recursos adicionais para encontrar o agressor.
Se o ataque atravessou as fronteiras estaduais, você precisará da ajuda de unidades da Polícia Civil de outros estados para avançar em suas investigações.
Outra razão para realizar o “traceroute” é para determinar se o ataque atravessou fronteiras estaduais.
Às vezes, mesmo quando a fonte é no mesmo estado, por causa da forma como estão estabelecidas as rotas que os pacotes realizam na Internet, estes podem cruzar para outro estado e, em seguida, retornar novamente, o que poderia tornar o crime “plurilocalizado”.

Ataques de dentro da organização

Estatisticamente, a maioria dos ataques contra computadores, que não são simplesmente erros do usuário ou falhas de equipamento ou de software, acabam se originando de dentro da organização.
Estes ataques podem ou não ser fáceis de detectar, dependendo da configuração do computador alvo e de qualquer “host” intermediário.
A vantagem para analistas de empresas atuando exclusivamente no interior das suas próprias redes é que eles podem exercer alguma medida de controle sobre os computadores envolvidos e podem obrigar os administradores a cooperar.
Muitas das técnicas que nós temos discutido já se aplicam igualmente ao ambiente interno. No entanto, agora você tem a vantagem adicional de utilizar o sistema de “logs” em máquinas intermediárias como um recurso. O “traceback” pode ser melhor sucedido nessas condições.
Certos tipos de ataques de negação de serviço deixam grandes pegadas nos sistemas de registro de outros computadores.
Por exemplo, um “sync flood” em um segmento Ethernet pode ter um efeito sobre outros computadores, além do alvo, no segmento. Isso pode ser especialmente verdadeiro se houver roteadores entre a origem e o destino.
Pode haver ferramentas remanescentes no último computador na cadeia (se o atacante usou vários computadores para mascarar a sua localização real) que podem levar ao invasor.
Se o ataque começou com um PC, pode haver evidências forenses no disco rígido que apontem para o uso do PC no ataque.
Os primeiros esforços que você gasta para coletar provas não será sempre recompensado, mas são sempre críticos. Tenha muito cuidado como você sonda o computador de um invasor.
Você pode acionar armadilhas que causem a destruição de evidências críticas ao primeiro sinal de adulteração.
É fato que ataques de negação de serviço podem destruir dados, aplicativos e arquivos de configuração. Eles podem causar transtornos para computadores ligados em rede e podem interromper o acesso legítimo de usuários que precisam de suas redes para fazer seus trabalhos.
Os ataques de negação de serviço também têm o potencial de afetar outros computadores, além do alvo.

Ataques que exigem acesso ao computador

Há uma classe especial de negação de serviço que requer acesso ao computador.
Estes ataques podem ser de usuários legítimos, com rancor, ou eles podem ter intenções mais sinistras. Em qualquer caso, todos eles têm uma coisa em comum: o acesso ao alvo do ataque é necessário.
O acesso pode vir de várias fontes, uma das quais é o acesso remoto. Isso inclui “dial-in”, “login”, “telnet” remoto, e outros métodos de ligação à distância. Nestes casos, a rede é uma peça fundamental do quebra cabeças. No entanto, uma parte ainda mais crítica é a configuração do computador de destino. Máquinas mal configuradas podem ser um convite a invasão.
Entre outros ataques, ações como a destruição dos arquivos de senha, arquivos de configuração e outros arquivos críticos do sistema são abordagens comuns que necessitam de acesso ao alvo. “Hosts” com informações críticas ou sensíveis devem ser mantidos em áreas fisicamente seguras.
A maioria dos “hosts” de rede oferece todos os seus segredos, se forem reiniciados em modo de usuário único. Já os “hosts” mais antigos, em particular, são vulneráveis a esse tipo de ataque.
Quando reiniciar um servidor Unix no modo de usuário único, geralmente não é necessária nenhuma senha para o usuário “root”. A máquina inicia com o usuário “root” logado no console. A partir dai, é uma simples questão de tempo para se substituir o arquivo “passwd”, adicionar novos usuários, criar um “back door” e apagar as provas nos arquivos “log”.
Servidores “Novell NetWare” tem um modo “DOS”, assim como os servidores NT. Isso pode permitir o acesso de forma semelhante se os computadores estiverem mal configurados. A abordagem do invasor será provavelmente:

• Reiniciar o computador em um modo mais conveniente;

• Roubar e “crackear” o arquivo de senhas ou criar algum “back door”;

• Limpar seus rastros;

• Retornar mais tarde para fazer o dano que deseja e talvez direcionar o investigador para um usuário inocente.

O objetivo principal deste artigo foi permitir que pudéssemos olhar para os crimes aqui descritos em detalhes e começar uma discussão de como eles podem causar danos graves, permitindo também que se possa gerar uma estratégia para a sua investigação, com a introdução de uma metodologia geral para investigação dos aspectos técnicos dos crimes informáticos.
Que a máxima “o conhecimento liberta e a ignorância escraviza” possa ser o fator motivador para que possamos combater os crimes praticados por meios eletrônicos, melhorando a qualidade de vida das pessoas. 

Técnicas de Investigação de Cibercrimes – Parte 2/3

Investigação de cibercrimes

Prosseguindo nas técnicas para investigarmos crimes praticados por meios eletrônicos, abordaremos a seguir alguns aspectos muito relevantes na detecção de invasores e na coleta de provas.

Técnicas para detectar leitura e “uploads” de arquivos

Existem algumas técnicas que os investigadores podem usar para determinar que ocorreu um “upload” de arquivos.
Estas técnicas, que exigem o acesso ao computador do invasor, são geralmente de muito sucesso se forem realizadas de forma rápida e correta.
A área que estuda a extração ou supressa de arquivos e informações a partir dos discos rígidos de um computador é chamada de computação forense. Podemos realizar uma análise forense em praticamente qualquer tipo de disco de computador, independentemente do sistema operacional, mas é mais fácil realizá-lo em sistemas “DOS/Windows”, isto devido à forma como o sistema operacional “DOS” gerencia o espaço de arquivos.
O sistema de arquivos “DOS” usa partes não utilizadas de seus discos para armazenar informações temporárias que ele necessita. Além disso, os arquivos não são realmente excluídos de um sistema de arquivos “DOS”.
Como qualquer pessoa que teve que recuperar um arquivo excluído acidentalmente sabe, se o espaço de arquivo não foi substituído, o arquivo geralmente pode ser recuperado. Entretanto, mesmo se uma parte do espaço foi substituído, pode haver muitos vestígios do arquivo que permitem demonstrar que o intruso realizou o “upload”.
Se voltarmos para nossa discussão anterior sobre a leitura de um arquivo de senha durante uma sessão de “telnet”, ele pode ser visto que ele deve ter sido salvo no disco do invasor durante o processo de navegação de arquivos. Durante o processo de quebra de senhas, o “cracker” irá gravar uma cópia de seus resultados no disco também. A menos que o intruso faça um apagamento seguro (um processo em que o espaço do arquivo é sobrescrito várias vezes com caracteres aleatórios), as informações podem ser recuperadas utilizando-se técnicas forenses.
Estas técnicas têm três etapas básicas.
A primeira é a de acessar o disco com segurança. Esta etapa é fundamental porque, se o investigador não toma as precauções necessárias para assegurar que os dados não estão danificados, a prova poderia ser destruída por uma armadilha colocada pelo intruso.
O segundo passo é a extração dos dados num local seguro para a retenção de provas e estudos.
Para realizar esta etapa, o pesquisador deve realizar um “backup” físico do disco: isso é chamado de uma imagem, uma cópia física de segurança de segurança de todos os setores do disco para um arquivo. Dados, como arquivos “BitTorrent”, vão aparecer em um backup lógico. Este é o tipo de “backup” realizado rotineiramente para nos proteger de perda de dados. Dentro dos setores do disco, que geralmente não são visíveis para o usuário, nós podemos ver os restos de arquivos suspeitos. Estes são os arquivos que foram “excluídos”, através de um processo de exclusão do “DOS”, mas ainda não foram completamente substituídos por outros arquivos ativos.
No entanto, porque o layout do disco é baseado em setores físicos, não se pode ver um arquivo inteiro em um só lugar (ou seja, em setores contíguos).
Embora o “DOS” tente manter arquivos no disco fisicamente juntos, quando um disco fica fragmentado, isso não é possível.
Assim, devemos usar a terceira etapa, de análise, para pesquisar e localizar os arquivos de destino.
Para esse efeito, usamos ferramentas forenses que lêem a imagem de disco (o arquivo criado pelo processo de backup físico), organizam as informações em bases de dados lógicos chamados índices, e nos permite realizar pesquisas eficientes, tanto para “ASCII” como para dados binários.
Por enquanto, só é importante que você entenda que é possível apurar-se como o furto de informações ocorreu. No entanto, seu sucesso ou fracasso dependerá da capacidade de proteger o computador suspeito logo após um possível furto e a sua habilidade em extrair dados ocultos em uma forma que permita a sua utilização como prova. Atrasos ou erros em qualquer um desses processos vão acabar com seus esforços.

Desinformação

Desinformação é um elemento de inteligência que tem aplicação no mundo dos negócios. Simplesmente, a desinformação consiste na alteração ou criação de informação para dar uma falsa impressão sobre as atividades de um alvo, sua situação financeira ou planos para o futuro.
A forma mais simples de desinformação são as relações públicas, que se destinam a difundir informações negativas sobre um alvo.
Organizações também usam a desinformação para desorientar os outros, levando-os para longe de seus segredos reais.
Quando um inimigo usa a desinformação através da invasão dos computadores de um alvo, ou para manipular dados do alvo, a coisa pode se tornar extremamente ruim.
Existem várias formas importantes de desinformação que podem envolver criminalidade informática. Elas incluem:

•Alteração de arquivos estratégicos, levando os empregados a situações de engano. Um exemplo disso seria a alteração das tabelas de preços ou documentos estratégicos de preços, utilizados pelo pessoal de campo, levando-os a produzir citações erradas ou propostas de preços enganosas;

•Alteração da informação utilizada na preparação de faturas para produzir recebimentos abaixo do esperado das receitas. Isto é especialmente fácil quando os dados de faturamento bruto são recolhidos automaticamente ou corram faturamentos repetitivos que não são submetidos à revisão por uma pessoa;

•Alteração de fontes de dados num banco de dados críticos, fazendo-a produzir resultados imprecisos;

•Alteração de documentos como certidões de nascimento, carteiras de motoristas, certificados de conclusão de cursos, documentos escolares, ou outros documentos pessoais para cometer fraudes. Esta é muitas vezes referida como a fraude documental e tornou-se muito fácil de ser realizada com o uso de programas de computador sofisticados e poderosos sistemas gráficos;

•Furto ou alteração de documentos sensíveis para embaraçar ou afetar o alvo em uma negociação delicada;

•Alteração de documentos ou dados confidenciais para afetar o resultado de uma negociação, uma proposta de venda, ou outro evento importante.

A desinformação tem elementos de furto de dados, invasão e destruição ou alteração de dados. Quando os dados são furtados e, em seguida modificados, muitas das técnicas utilizadas para capturar o ladrão de dados são adequados. No entanto, quando ocorrem danos ao computador da vítima, prender e condenar o invasor é muito mais difícil.
Se o invasor ataca um computador e nunca realizou o “download” de todos os dados, pode ser difícil provar que ele ou ela realmente foi quem fez o estrago. O problema é que pode ou não haver algum um resíduo da intrusão no computador do criminoso.
É possível que um exame pericial do computador traga frutos para o investigador, mas é mais provável que os métodos de controle do invasor através da rede serão bem sucedidos.
Neste sentido, devemos notar que a maioria dos especialistas acreditava que rotineiramente que cerca de 10% de toda a investigação da criminalidade informática tem a ver com o computador, enquanto os outros 90% achavam simplesmente antiquado o trabalho da polícia.
Com o advento dos computadores na atualidade e sua proliferação em todos os aspectos das nossas vidas, no entanto, o computador tornou-se um bom terreno para que o trabalho de investigação policial fosse realizado a moda antiga.
A rotina de trabalho de investigadores que apuram crimes praticados por meios de computadores e crimes relacionados podem incluir entrevistas com pessoas com conhecimentos técnicos significativos as quais podem confundir os novatos e ofuscar facilmente os fatos durante as entrevistas iniciais, o que acaba levando a uma investigação muito maior.
É sabedoria comum entre investigadores de fraudes, por exemplo, que os primeiros sete dias após a descoberta de uma fraude são fundamentais para a sua solução e repressão. Em outras palavras, o tempo de investigação, em qualquer crime de por meio eletrônico, é da sua essência. Nos crimes de computador conexos, isto é ainda mais verdadeiro, porque as provas podem ser facilmente destruídas por um perito em informática.
A chave para a investigação de crimes informáticos que envolvem a desinformação é a obtenção de cópias do “antes” e “depois” dos arquivos. A natureza das alterações deve ser entendida de forma clara e cópias de tudo o que foi encontrado deve ser usado de forma a implicar efetivamente o invasor.
Por exemplo, tomemos o caso de um ataque de desinformação que substitui um documento sensível com uma versão alterada.
O exame forense do computador do atacante suspeito pode revelar o original e a cópia alterada. Esta é também uma boa maneira de estabelecer a fraude documental.
Se o trabalho está sendo feito na máquina da vítima, porém, você provavelmente vai ter que procurar suas provas em outro lugar.
Mesmo assim, é possível que o atacante tenha realizado alguma tarefa enquanto estava conectado ao computador da vítima, o que vai aparecer na sua máquina, e pode ser rastreado a partir da vítima.
Por exemplo, dados remanescentes de uma árvore de diretórios do computador da vítima encontrados negligentemente na máquina do invasor poderiam estabelecer que ele ou ela teria ganho acesso ao computador daquele.
Uma vez que o invasor foi identificado, é sempre uma boa idéia apreender seu computador e realizar uma análise forense.
Há, evidentemente, outros elementos menos técnicos que podem ser usados para instruir o inquérito.
Por exemplo, pode haver cópias em papel dos documentos alterados nos vários estágios da alteração. Pode haver números “dial-up” na memória dos modems que levam ao computador da vítima. Pode haver dados em disquetes que podem ser extraídos ou arquivos de documentos com senha que podem ser quebradas, gerando informações importantes e incriminadoras.
Uma palavra de alerta: cuidado para não violar qualquer dispositivo legal realizando buscas e apreensões insensatas.
Alguns programas “dial-up” automaticamente guardam registros que podem ser comparados com os períodos de acesso ao computador da vítima. Históricos de “gateways dial-up” devem ser inspecionados cuidadosamente em busca de pistas e associações com outros registros.
Uma boa maneira de capturar um invasor envolvido em desinformação é fornecer um alvo tentador e depois estabelecer as ações do intruso quando ele ou ela tentar alterá-lo. Há importantes questões éticas e legais aqui que devemos discutir. No entanto, o uso de tais dispositivos, chamados de “honeypot” (potes de mel), às vezes podem dar bastante resultados para que o investigador possa identificar o invasor. Lembre-se, em invasões, o tempo é o pior inimigo do atacante.
Do ponto de vista prático, no entanto, normalmente você vai ter que trabalhar apenas com os resultados da ação do criminoso. Isto significa que você provavelmente não terá a oportunidade de pegar ele ou ela “on-line”. Nestes casos, prefira uma abordagem “reversa” para resolver a questão.
Esta abordagem é baseada na declaração “sherlockiana” afirmando acerca de que depois de eliminar o impossível, aquilo que sobra, mesmo parecendo improvável, deve ser a verdade. Portanto, comece por eliminar o óbvio.
A abordagem geral para investigar os aspectos técnicos de qualquer crime por meio eletrônico é:

• Elimine o óbvio;

• Crie hipóteses para o ataque;

• Colete provas, incluindo, possivelmente, os próprios computadores;

• Reconstrua o crime;

• Realizar um rastreamento da origem do computador suspeito;

• Analisar a origem, destino e computadores intermediários;

• Transcreva em arquivo as suas descobertas e todo material probatório sobre a investigação para que possa ser acompanhada e compartilhada quando necessário.

Você pode iniciar esse processo em um caso de desinformação, eliminando os métodos de acesso: O computador vítima tem acesso “dial-in”?; Está conectado à Internet?; É protegido contra acesso pela internet Internet, se for, de que forma?;
Uma forma popular de desinformação é a alteração de dados de páginas da “World Wide Web”. Uma vez que os servidores Web estão normalmente fora de qualquer proteção de firewall, isso é uma coisa fácil de fazer, em muitos casos.
Os métodos para eliminar as vias de acesso variam de acordo com a situação, mas aqui, como em outros tipos de investigações, os registros são seus amigos – se eles são suficientemente detalhados e mantidos por tempo suficiente para cobrir o período do incidente.
Seu primeiro esforço em tais casos deve ser o de obter todos os registros que poderiam mostrar um acesso ao sistema da vítima. Dado que o acesso à vítima é a chave para o dano, a eliminação seletiva de caminhos errados é uma etapa crítica.
O segundo passo nas investigações é tentar reconstituir o crime.
Levando-se em conta os caminhos utilizados para se chegar até a vítima, vamos tentar supor como eles foram usados para obter acesso ilícito. Assim que conseguirmos obter a melhor das hipóteses de cenários de ataque apropriado, devemos testá-los.
É importante que não se tome este passo até serem removidos todos os elementos importantes do computador da vítima. Tal como acontece com todas as evidências, ele deve cumprir os requisitos de originalidade, adequação, etc, não se esqueça da cadeia de custódia e outros elementos de uma adequada coleta de provas.
Se você faz parte de uma agência policial, provavelmente haverá regras que você terá que seguir, caso pretenda seguir esta rota. Devido à sua natureza intrusiva, esses métodos são freqüentemente mais adequados para analistas de uma empresa.
O teste de uma hipótese de intrusão envolve a recriação do crime de uma maneira mais exata possível. Oportuno lembrarmos que tais esforços tendem a fechar mais um dos caminhos possíveis para o sistema da vítima, estreitando o campo de possíveis atacantes.
Outro ponto importante é que durante esta fase você pode descobrir se mais do que provável que nenhum incidente tenha ocorrido. Isso não significa que a vítima está agindo de má-fé. Significa simplesmente que você acabou sendo pego pelas estatísticas, pois muitos computadores falham ou sucumbem por erros dos próprios usuários atacados. Esta parte da sua investigação vai ajudar a revelar se este era o caso.
Se o ataque foi especialmente sofisticado, esta parte da sua investigação vai ajudar a revelar quão bem realizado foi. No entanto, mesmo os mais sofisticados ataques deixam suas marcas. O problema é que, muitas vezes, as marcas não levam ninguém. Estabelecer o fato de uma intrusão e a fonte da mesma são coisas muito diferentes. Realisticamente, tanto você como a vítima devem estar preparado para esse resultado. Na maioria dos casos, intrusões são os incidentes mais difíceis de serem ligados a um indivíduo.
Enquanto você pode assumir que todos os crimes de computador conexos são, em sua base, intrusões, quando falamos de intrusões queremos dizer aqueles eventos onde o acesso ao computador usando um canal de comunicação secreta é a característica principal.
Por exemplo, o furto de dados pode ocorrer de uma variedade de formas, algumas das quais envolvendo o acesso legítimo por usuários autorizados. Enquanto nós poderíamos dizer que o método de acesso a este computador, em qualquer incidente, embora importante, não será provavelmente a principal evidência, que possa envolver o atacante.
Em um incidente em que não há nenhuma outra evidência tangível, o método de acesso torna-se um fator crítico. Muitas vezes, é fundamental, não tanto por causa de seu valor como prova irrefutável, mas porque ele pode nos levar para o atacante, que nós possamos usar outros métodos para resolver o crime. Como comentaremos adiante, a investigação da negação de acesso também tem este elemento da utilização da invasão em si para chegar ao atacante.
Uma nota final sobre as técnicas tradicionais de investigação na era do computador: não há substituto para a intuição treinada de um investigador experiente. As questões técnicas que estamos discutindo são, na melhor das hipóteses, o suporte para que o processo de investigação avance.
Se a prova técnica, devidamente recolhida, diz que uma coisa é verdade, acredite. Computadores, contrariamente à opinião popular, não mentem. É, naturalmente, possível fazê-los deturpar informações, mas eles só estão executando as determinações de seus mestres humanos.
Suas imprecisões são, na melhor das hipóteses, manifestações superficiais.
Na investigação da criminalidade informática não há ditado mais verdadeiro do que “devemos olhar abaixo da superfície”.

Técnicas de Investigação de Cibercrimes – Parte 1/3

Furto de Dados

Os crimes por computador são de grande alcance e podem afetar os registros pessoais de um indivíduo, uma vez que eles podem repercutir em muitas coisas, tais como os recursos financeiros de um banco, causando confusão e, potencialmente, afetar as contas dos clientes.
Também o crime cibernético pode resultar no comprometimento de informações confidenciais, afetando os preços praticados por uma instituição financeira em negociações entre as partes.
Pode ser um ataque a uma empresa, falsas informações de marketing espalhadas na internet que causam desinformação e acaba por alterar estratégias empregadas por equipes de venda, ou, simplesmente a ação de derrubar os servidores de um prestador de serviços de Internet com um ataque de negação de serviço.
Vamos explorar cada um destes aspectos, o furto de dados, a desinformação, a negação de serviço e procurar dar uma breve introdução aos conceitos por trás de uma investigação.
Ao longo deste artigo vamos começar a formar uma abordagem para a investigação de crimes de computador e outros crimes conexos, vendo algumas das formas pela qual o invasor cobre seus rastros.

Furto de Dados

De todos os tipos de atos maliciosos que podemos atribuir aos criminosos por computadores, talvez o mais inócuo seja o furto de dados, pois o ladrão cibernético pode invadir um sistema, furtar informações confidenciais, cobrir seus rastros, e deixar condições para que consiga voltar num outro dia.
Se o invasor é hábil e medidas de segurança não tiverem sido adotadas, você nunca vai saber que o furto ocorreu.
Ao contrário do furto de dinheiro ou documentos em papel, o furto de dados de computador não deixa um vazio onde o item furtado se encontrava.
Se eu furtar o dinheiro de um banco, o dinheiro desapareceu e caso um investigador veja a cena do crime verá que o que ali se encontrava foi removido, sendo o mesmo verdadeiro para documentos em papel.
Furto de dados, no entanto, não deixa esse vazio. Se as medidas para detectar a intrusão e posterior furto não forem adotadas, o furto vai passar despercebido na maioria dos casos.
Portanto, todo o esforço do investigador deve ser focado em duas tarefas importantes: determinar que um furto realmente ocorreu e identificar a natureza e origem do furto.
Dentre os vários tipos de crime, furto de dados é único, pois há como ele progredir sem ser detectado e quando isto ocorre pode ser difícil de se provar que realmente ocorreu.
Há uma variedade de razões para isso uma vez que em primeiro lugar as ações de “LER” (Read) não são, geralmente, registradas pelo computador ou servidor, o que implica que normalmente é necessário um método alternativo para que se possa determinar que um arquivo foi acessado.
Em segundo lugar, a consulta de um arquivo não é, por si só, prova de que foi comprometido, pois se um invasor realizar o “upload” de um arquivo sensível de nosso sistema, geralmente podemos assumir que ele será lido.
No entanto, existem outras maneiras de comprometer um arquivo sem que ele seja explicitamente carregado.
Por exemplo, um dos arquivos mais sensíveis em um computador com sistema operacional “Unix” é o arquivo de senha. Embora os sistemas operacionais atuais tenham um mecanismo para proteger os arquivos de senhas (passwords shadowed), há um grande número de máquinas antigas que não possuem tais refinamentos.
Comprometer uma senha, assim como um computador, implica apenas que o invasor tenha acesso a ela uma única vez, exigindo para isto apenas um “telnet” (terminal virtual) do programa com a capacidade de iniciar uma sessão.
A maioria dos aplicativos de telnet para “P.C.” existentes na atualidade têm esta capacidade.
O invasor entra pela primeira vez no computador da vítima, então, usando telnet, ele ou ela faz um “READ” do arquivo “/etc/passwd”, com um simples comando.
Durante a leitura do arquivo, o programa telnet no PC do invasor inicia uma sessão. No final da sessão, o invasor “limpa” os arquivos “log” do sistema, as saídas do computador da vítima, e edita o registro da sessão para deixar apenas o arquivo de senha. O último passo é rodar um “cracker” de senhas, depois de editar o arquivo e fazer uso de todas as senhas encontradas.
Dependendo do formato do arquivo, outros dados confidenciais podem ser colhidos de forma similar, uma vez que qualquer arquivo de texto puro está sujeito a este tipo de comprometimento.
Outro uso da função de registro de telnet é a gravação de sessões para a realização de um “data mining” de dados, uma vez que o invasor nunca terá tempo de ler muito do que foi encontrado no sistema invadido.

O tempo é o pior inimigo do invasor.

Um invasor com conhecimento adequado irá evitar a qualquer custo realizar uma conexão muito longa na máquina da vítima. No entanto, mesmo para os mais qualificados invasores certa quantidade de navegação no sistema é necessária antes que ele ou ela realmente acha algo útil.
Quando um ladrão de dados localiza um banco de dados sensíveis, por exemplo, ele ou ela vai simplesmente realizar consultas e registrar os resultados. Os “logs” da sessão fornecem amplos recursos para análise posterior. Só nestas circunstâncias em que um arquivo não pode ser visualizado ou uma busca num banco de dados não pode ser feita é que um ladrão hábil irá transferir os dados para um arquivo.
No entanto, existem técnicas para transferências de arquivos que permitem ao invasor realizar uma sessão de transferência de arquivo sem ser necessário efetuar “log in”, devendo ser levado em consideração pelo investigador o uso de “TFTP”.
“Trivial File Transfer Protocol” ou simplesmente “TFTP”, onde “trivial” indica algo fácil, descomplicado, ilustrando bem a função do TFTP, é uma espécie de parente do “FTP” (file transfer protocol), mas que utiliza portas “UDP” para transferir arquivos, sem nenhum tipo de verificação de erros e sem muitos recursos de segurança. Os dados são simplesmente transmitidos da forma mais rápida e simples possível.
Um dos usos mais comuns para o TFTP é em terminais “diskless”, que dão boot através da rede. Por ser um protocolo extremamente simples, o software inicial necessário nos clientes é muito pequeno da ordem de poucos KB, que cabe comodamente na ROM da placa de rede ou num disquete.
Este processo não pode usar um “ID” e senha, pois o “TFTP” não requer. Obviamente, isso representa um benefício para qualquer hacker que quer roubar arquivos sem deixar vestígios. Felizmente, a maioria dos administradores de sistemas “Unix” estão aprendendo a usar “TFTP” somente se for expressamente necessário para inicializações. Mesmo assim, há precauções que os administradores devem tomar para garantir que não corra abusos no uso do “TFTP”.
No entanto, suponha que um atacante ganhou acesso “root” e quer deixar no sistema uma porta oculta para transferência de arquivos (“back door”). Uma vez que o invasor ganhou acesso “root” (tornando-se o “superuser”), ele ou ela pode modificar a configuração do arquivo “/etc/inetd.conf” para habilitar processos “TFTP” novamente.
Na seqüência desta ação e com uma rápida pesquisa nos sistemas de arquivos do computador poderá identificar os documentos que deseja, realizar uma limpeza para eliminar as entradas nos arquivos “log” e realizar a transferência de arquivos usando “TFTP” sem que jamais tenha a necessidade de efetuar “login” no computador novamente.
Enquanto o administrador não descobrir que o processo “TFTP” está em uso (que supunha estar desligado), esta situação de coleta de arquivos pode continuar indefinidamente.

Como evitar a detecção do furto de dados por ladrões durante um ataque

Com forme detalhamos acima uma das maneiras para derrotar um criminoso está no registro de uma transferência de arquivo e seu posterior rastreamento até o atacante.
Agora vamos dar um passo além e investigar algumas outras maneiras que os invasores usam para mascarar suas ações.
A maioria destas informações vem diretamente de recursos de “hacking” obtidos na Internet e está disponível para qualquer pessoa com vontade e paciência de encontrá-lo. Nem todos esses métodos de trabalho funcionam o tempo todo em todas as máquinas.
No entanto, um bom número deles funciona freqüentemente para que possam oferecer um desafio considerável para os investigadores. Além disso, essas técnicas se aplicam apenas a computadores com sistemas operacionais Unix.

Mascarando um “login”

Há um registro no Unix chamado “lastlog”. Este registo mostra “logins” individuais, sem muitos detalhes. No entanto, o “lastlog” e os “logs” que ele alimenta podem conter o nome da máquina invasora, não registrando o nome de usuário.
Embora a maioria dos invasores com qualificação técnica geralmente usem máquinas que não as suas próprias para atacar suas vítimas, os nomes dos computadores que usaram ao longo do caminho pode ser útil na detecção de uma intrusão e sua origem.
No entanto, se o criminoso mascarou sua identidade para a vítima, o investigador não pode acessar o computador examinar o registro de ataque mais recente para iniciar o rastreamento para trás, identificando assim a fonte.
O invasor pode usar um método simples para mascarar sua identidade ou sua máquina para a vítima: se, no início de sessão para o computador da vítima, o mesmo vê uma notificação de que o último login foi bem sucedido pelo titular da conta cuja identidade foi furtada, o invasor simplesmente executa um “rlogin” e fornece a senha da conta furtada novamente.
O programa “rlogin”, destinado ao acesso remoto de outros computadores (“rlogin” significa “Acesso remoto”), também funciona perfeitamente no mesmo computador.
Desde o momento do “login” numa máquina, o “lastlog” vai indicar que o login foi em “localhost” (o nome que os computadores Unix usam para se referirem a si mesmos) ou realizado com o nome do computador.
Isto pode ser óbvio para um administrador hábil ou investigador, mas mostra apenas que alguma trapaça ocorreu, não revelando a sua natureza ou sua fonte real.
Um segundo truque utilizado por invasores com conhecimento técnico mais avançado é a mudança de escudo. Máquinas Unix, muitas vezes têm um arquivo que guarda um histórico dos comandos do usuário. Um investigador pode rever o histórico, se houver, e descobrir o que ocorreu. Assim, o criminoso precisa desativar a capacidade de coleta de histórico do computador.
Todos os computadores Unix usam um escudo para permitir ao usuário se comunicar com o sistema operacional chamado “kernel”. Existem vários “shells” diferentes disponíveis para máquinas Unix. Normalmente alguns desses reservatórios diferentes estão disponíveis no mesmo computador. O “Shell” que um usuário usa por padrão é determinado pelo seu perfil.
O primeiro comando que um hacker especializado executará ao fazer login em uma conta furtada é, portanto, uma mudança de escudo.
Isso desativa o processo de coleta de histórico, funcionando com o “cshell” (CSH) e “shell” (SH) “shells”. Assim irá agir um invasor que queira mudar de um para o outro ou para algum “Shell” diferente.
Outro método de detecção de um invasor quando ele ou ela ainda está “on-line” é do tipo que fornece uma lista de usuários conectados naquele momento.
O display irá normalmente apresentar não só o usuário, mas o endereço que efetuou “login”. Um “script Shell” simples (um programa semelhante a um arquivo de lote do “DOS”), pode ser realizado periodicamente e registrar os resultados num arquivo para referência futura, sendo uma maneira fácil de ver se os usuários que eram desconhecidos ou aqueles que não poderiam estar conectados no momento em que realizaram sua conexão.
Se puder ser constatado que um usuário estava conectado a partir de um computador que não seria normal o mesmo utilizar, existe uma grande probabilidade de que sua conta foi invadida por um invasor.
Um invasor hábil pode iniciar uma sessão com uma conta furtada e então se “logar” novamente com o mesmo ”ID” e senha, sem antes fazer um “logoff”.
Isso abre uma segunda sessão para a conta e mostra a origem apenas pela porta com a qual o invasor está conectado como a fonte de login. Se realizada durante o período quando o dono da conta furtada estava conectado, é improvável que levante suspeita.
Cada uma dessas técnicas oferece ao invasor um método de esconder a sua presença. Embora a informação esteja debaixo do nariz do investigador, acabará ofuscada o suficiente para impedir uma detecção fácil.
As contramedidas para estas técnicas de dissimulação exigem uma abordagem diferente das formas tradicionais de “login”, muitas vezes somente disponíveis através da utilização de ferramentas de terceiros.
Ferramentas de “Logging” que coletam endereços IP, por exemplo, podem ser muito mais eficazes do que a capacidade normal de registro de máquinas sem este tipo de implementação.
O investigador normalmente vai ser incapaz de tirar partido das ferramentas de terceiros após ter ocorrido uma situação como a descrita anteriormente, porém, a possibilidade de instalação de ferramentas como as indicadas logo depois do primeiro ataque, à espera de uma possível segunda incursão pelo invasor, deve ser considerada.

Mascaramento de “telnet”

Sessões de “telnet” podem ser realizadas de duas maneiras: primeiro você pode usar o comando “telnet victim.com”. Este comando oferece ao invasor a desvantagem de apresentar informações indicadas como um parâmetro na lista de processos de um computador Unix. Se o invasor usou um servidor Unix com o propósito de atacar outro computador, o administrador pode notar esta entrada e tentar parar o invasor.
Da mesma forma, a conexão pode aparecer nos “logs” se o anfitrião estiver “logado” naquele momento, especialmente pelo uso de ferramentas de auditoria.
No entanto, se o invasor simplesmente digitar “telnet” e logo após digitar esses comandos no “prompt” Telnet: “telnet> open victim.com” há muito menos possibilidade de ser rastreado.
Uma vez que um invasor especializado se mova pelo sistema de um computador encobrindo seus rastros durante um ataque, é importante que ele ou ela evite a detecção a cada passo que de no seu caminho.
Existe outra técnica que um invasor pode usar para mascarar uma sessão “telnet, a qual envolve uma mudança de identidade, ou pelo menos parte de uma mudança de identidade.
Quando um usuário “telnet” vai de um hospedeiro para outro, algumas das variáveis de ambiente ao longo de seu curso, em alguns sistemas, são exportadas.
Variável de ambiente é um dado de um sistema operacional que geralmente contém informações sobre o sistema, caminhos de diretórios específicos no sistema de arquivos e as preferências do utilizador. Ela pode afetar a forma como um processo se comporta sendo que cada processo pode ler e escrever variáveis de ambiente.
Em todos os sistemas “Unix” e “Unix-like”, cada processo possui seu conjunto privado de variáveis de ambiente. Por padrão, quando um processo é criado ele herda uma cópia das variáveis de ambiente do processo pai, exceto por mudanças explícitas feitas pelo pai quando o novo processo é criado (entre as chamadas “fork” e “exec”).
Todos os tipos de Unix assim como o DOS e o Microsoft Windows possuem variáveis de ambiente; entretanto, variáveis para funções parecidas entre os sistemas possuem nomes distintos. Programas podem acessar os valores das variáveis de ambiente para efeitos de configuração.
“Shell scripts” e arquivos de lote usam variáveis de ambiente para armazenar dados temporários e também para comunicar dados e preferências a processos filhos.
No Unix, as variáveis de ambiente são normalmente inicializadas durante a inicialização do sistema, e portanto são herdadas por todos os outros processos do sistema. No Microsoft Windows, os valores padrão das variáveis de ambiente são armazenados no registro do sistema e configurados através do “autoexec.bat”.
Invasores normalmente mudam as variáveis de ambiente em uma máquina usada como um intermediário antes de atacar o próximo alvo. Isso irá tornar mais difícil para o investigador ir retornando através de cada conta furtada em máquinas intermediárias, encontrando assim a origem real do ataque.

Como criminosos apagam dados depois de um ataque

Investigando cibercrimes

Há uma grande quantidade de coisas que um invasor qualificado vai fazer antes de deixar a cena do crime.
O primeiro é remover quaisquer arquivos que ele ou ela tenha utilizado tais como ferramentas de ataque ao hospedeiro.
A segunda é modificar os registros de seu alvo para apagar qualquer sinal de entrada.
Muitos invasores vão usar o diretório “/tmp” da vítima como um repositório temporário para ferramentas. Eles fazem isto porque este diretório está ali, fácil de acessar rapidamente (com algumas teclas), e não será notado porque pertence aquele local. Outra razão disto é porque ele é freqüentemente usado pelo sistema ou aplicações para armazenar informações necessárias apenas por alguns instantes.
Ocasionalmente, um intruso vai deixar ferramentas ou outros arquivos no diretório “/tmp” devido a uma saída apressada ou, simplesmente por descuido, o que implica que os investigadores devem examinar todos os diretórios temporários para coleta de prova, independentemente do tipo de computador envolvido.
Modificar os “logs” exige acesso “root” ou, em máquinas Unix, alguma forma de acesso “superuser”, como administrador ou supervisor. Pode também requerer ferramentas especiais porque nem todos os arquivos de “log” são simples arquivos texto. No entanto, se o intruso modifica arquivos “log”, você pode descobrir por outras indicações deixadas por ele ou ela em seu sistema, tais como inconstâncias em vários outros registros.
Existem vários “logs” importantes que os invasores vão tentar alterar em sistemas Unix.
O “wtmp” e o “utmp” mantêm informações de ”login” e “logout”. Esta informação é usada pelo comando “finger” do Unix, o processo (PS) de comando, e o comando “Who”, sendo também a fonte para o “lastlog”. Alterar esses “logs” requer ferramentas especiais, que são facilmente localizáveis ocultas no computador.
Outro registro importante é o registro do sistema, ou “syslog”. No entanto, se o “syslog” não estiver configurado corretamente, suas informações de “log” não serão realmente de muito interesse. Além disso, os computadores devem, sempre que possível, escreverem seus registros em outros locais como um servidor de “logs” centralizado (outro computador que recolhe os “logs” e que esteja bem protegido contra acesso não autorizado).
Um importante método de registro, mas que pode gerar arquivos de “log” muito grandes em um curto espaço de tempo, é a função de contabilidade do Unix.
Na verdade, a contabilidade do Unix é destinada para outros fins, como controle de usuários pelo tempo de uso do sistema, uso de CPU, etc. Mas, porque ela registra todos os comandos do usuário e o tempo de execução, ela também faz um “log” de intrusão podendo ser muito eficaz se for configurada corretamente.
O invasor vai atentar para isso, embora a maioria dos administradores de sistemas não programem a contabilidade de forma rotineira.
Se você optar por utilizar as funções de contabilidade, certifique-se de dar permissão de “leitura”, “escrita” e “execução” apenas por “root”. De qualquer forma, se o intruso se “logar” como “root” no seu sistema, os registros serão pelo menos sua preocupação. A única maneira de lidar com isso é usar um servidor de “logs” externo para todos os seus registros.
Outros sistemas “não-Unix”, usam recursos semelhantes de registro. No entanto, o problema número um que os investigadores acabam tendo, diz respeito ao local onde o acesso é realizado e o pouco tempo de armazenamento dos dados.
No mínimo, você deve registrar “logins”, “logouts”, mudanças de privilégio, criação de contas e apagamento de arquivos. Mantenha seus registros por pelo menos seis meses.

Como investigar perseguidores e assediadores da internet

Ciberperseguição

A falta de informações sensoriais na Internet pode causar um impacto significativo sobre os “perseguidores da internet”, ou como são conhecidos em outros países os “cyberstalkers”, como descrito por J. R. Meloy em sua obra “The Psychology of Stalking” (Meloy, J.R. (editor) “The Psychology of Stalking: Clinical and Forensic Perspectives”, New York: Academic Press, pp. 1–23.):

“A ausência de estímulos sensório-perceptivo de uma pessoa real significa que a fantasia pode desempenhar um papel ainda mais expansivo que o gênese do comportamento no perseguidor”.

A vítima se torna um alvo fácil para as projeções do perseguidor, e fantasias narcisistas, podem levar a rejeição, humilhação e raiva do mundo real.
Uma das características mais importantes do comportamento de perseguição é a fixação sobre as vítimas. Sua obsessão pode direcionar os perseguidores a extremos, fazendo deste tipo de investigação algo desafiador e potencialmente perigoso.
Apesar dos perseguidores utilizarem a Internet para escolherem suas vítimas com o propósito de tentar esconder sua identidade, a obsessão que eles têm com a vítima, muitas vezes, isto faz com que acabem se expondo.
Por exemplo, eles podem dizer coisas que revelem seu grau de conhecimento da vítima, ou eles podem assumir riscos que permitam que os policiais os localizem e identifiquem.
No entanto, mesmo quando perseguidores foram identificados, as tentativas de desencorajá-los acabaram tendo o efeito oposto, potencialmente, irritando-os e colocando as vítimas em maior risco.
Em 1990, após cinco mulheres terem sido assassinadas por perseguidores, a Califórnia se tornou o primeiro estado dos Estados Unidos a promulgar uma lei para lidar com este problema específico. Já em 1998, a Califórnia explicitamente incluiu as comunicações eletrônicas na sua lei “anti-perseguidores”. As seções pertinentes do Código Penal da Califórnia influenciaram fortemente toas às leis “anti-perseguidores” subseqüentes nos Estados Unidos, definindo claramente o que vinha a ser perseguir e termos relacionados.
Segundo a legislação da Califórnia, qualquer pessoa que voluntariamente, de forma maliciosa, e repetidamente segue ou assedia outra pessoa e que faz uma ameaça crível com a intenção de impor a essa pessoa medo de morte ou lesão corporal é punível pelo crime de assédio.
“Assediar” significa agir de forma clara e intencional dirigindo sua conduta a uma pessoa específica de forma a alarmá-la, incomodá-la, atormentá-la, ou aterrorizá-la, sem que tenha qualquer propósito legítimo. Este comportamento deve ser tal que faça com que uma pessoa razoável sofra um desgaste emocional substancial, e acabe tendo problemas emocionais significativos.
“Dirigir sua conduta”, significa um padrão de conduta composto de uma série de atos durante um período de tempo, embora de curta duração, evidenciando uma continuidade de propósitos.
Já “ameaça crível” significa uma ameaça verbal ou por escrito, incluindo as realizadas através do uso de um dispositivo de comunicação eletrônica ou uma ameaça velada por um padrão de conduta ou uma combinação verbal, por escrito, ou por via eletrônica, feita com a intenção de impingir a pessoa que é o alvo da ameaça medo razoável com relação a sua segurança ou a segurança de sua família, de forma que a pessoa que é o alvo da ameaça venha a temer por sua segurança ou a segurança de sua família.
Não é necessário provar que o réu tinha a intenção de que a vítima sofresse estresse emocional substancial. No entanto, há sempre o argumento de que a vítima exagerou a situação.
Se a vítima não é considerada uma pessoa “razoável”, como descrito na lei, o juiz pode considerar que o assédio não ocorreu. Portanto, ao investigar um caso de perseguição, segundo a legislação em comento, é importante reunir o máximo de provas possível para demonstrar que o assédio persistente ocorreu e que a vítima reagiu à ameaça crível de forma razoável.
A inclusão explícita de dispositivos de comunicações eletrônicas na lei “anti-perseguidores” da Califórnia, é um claro reconhecimento do fato de que os perseguidores estão fazendo uso crescente das novas tecnologias para promover os seus fins.
Além de usar o correio de voz, fax, telefones celulares e pagers, os perseguidores usam as redes de computadores para molestar suas vítimas.
“Cyberstalking” é um termo que se refere à perseguição envolvendo a Internet.
De se notar que “dispositivo de comunicação eletrônico” inclui, mas não está limitado a telefones, telefones celulares, computadores, gravadores de vídeo, máquinas de fax, ou pagers. “[Califórnia 646,9 do Código Penal]
A lei equivalente no Reino Unido é a “Protection from Harassment Act 1997” (Chapter 40).
No Brasil, onde já tivemos casos de processos por “perseguições”, a Lei de Contravenções Penais prevê o delito de perturbação de tranqüilidade, em seu artigo 65, prevendo uma pena de 15 dias a dois meses.
Além desta modalidade de perseguição prevista em lei é conveniente ainda destacarmos que em maio de 2004 foi introduzido no Código Penal, no Capítulo dos Crimes contra a Liberdade Sexual, o delito de assédio sexual.
Assediar sexualmente, sob o aspecto criminal, significa constranger alguém, com o fim especial de obter concessões sexuais, abusando de sua condição de superioridade ou ascendência decorrentes de emprego, cargo ou função. Destacando-se, fundamentalmente, quatro aspectos: a) ação de constranger (constranger é sempre ilegal ou indevido); b) especial fim (favores ou concessões libidinosas); c) existência de uma relação de superioridade ou ascendência; d) abuso dessa relação e posição privilegiada em relação a vitima.
Algumas características são fundamentais para a configuração do delito de assédio sexual: a primeira delas está relacionada ao verbo constranger que significa: coagir, compelir, forçar, impelir, impor, injungir, oprimir, sujeitar contra a vontade própria, sendo uma conduta não consentida.
Ressalte-se que a simples posição de superioridade ou ascendência, não caracteriza o crime, mas sim a utilização dessa condição para a obtenção de favores sexuais. O agente deve utilizar-se do poder que possui sobre a vítima para constrangê-la ao ato sexual. Tais ameaças geralmente se concretizam com a promessa de perda do emprego, perda de promoções, ou até mesmo redução de salários.
Essa condição de superioridade laboral tem ensejado algumas críticas quanto à conduta, igualmente constrangedora, mas que se encobertariam pela ausência de tipicidade, como é o exemplo de padres que assediam fiéis, ou do pai que assedia sua própria filha. Estes exemplos não seriam considerados típicos pelo art. 216A do Código Penal, por ausência do elemento “superior hierárquico”, com fulcro no princípio “nulla poena sine lege”.
O assédio sexual é, dessa forma, um delito próprio pois exige a superioridade hierárquica ou ascendência estando diretamente ligado a condição laboral pública ou privada; formal, por não exigir um resultado naturalístico, mas sim a mera conduta do agente; doloso, não admite a forma culposa; de consumação instantânea e plurissubsistente, podendo ser praticado em mais de um ato.
É sempre importante destacarmos que assédio sexual é a abordagem, não desejada pelo outro, com intenção sexual ou insistência inoportuna de alguém em posição privilegiada e que usa dessa vantagem para obter favores sexuais de subalternos ou dependentes, sendo é crime, capitulado no Código Penal.
Já o assédio moral é toda e qualquer conduta que, intencional e freqüentemente, fere a dignidade e a integridade física ou psíquica de uma pessoa, ameaçando seu emprego ou degradando o clima de trabalho, não tendo qualquer tipificação penal em nossa legislação.
Eventualmente, situações de perseguições podem se subsumir ao que dispõe o crime de constrangimento ilegal, porém, é sempre necessária a incidência da violência ou grave ameaça, a fim de que tal delito se configure.

Ciberperseguidores

Como agem os “ciberperseguidores”:
“Ciberperseguição” acontece quase da mesma maneira como ocorreria uma perseguição no mundo físico. Na verdade, muitos perseguidores combinam as suas atividades “on-line” com formas mais tradicionais de perseguição e assédio, tais como telefonemas para a vítima ou seu comparecimento na casa da mesma.
Alguns destes criminosos elegem suas vítimas através da Internet e outros colocam informações pessoais sobre suas vítimas nesta rede, incentivando outras pessoas a contatar a mesma, ou prejudicá-la.
Em geral, os assediadores querem exercer o poder sobre suas vítimas, de alguma forma, principalmente através do medo.
O cerne do poder de um perseguidor são as informações de que dispõe sobre a vítima. A capacidade de um perseguidor para assustar e controlar uma vítima aumenta com a quantidade de informação que ele possa reunir sobre a mesma.
Perseguidores usam informações como números de telefone, endereços e preferências pessoais para invadir a vida da vítima. Além disso, os “ciberperseguidores” acabam dispondo de maiores recursos para aprender muito mais sobre sua vítima e utilizar estas informações para intimidá-las.
Uma vez que eles dependem muito da informação, não é nenhuma surpresa que os assediadores tenham sido levados para a Internet. Afinal, a internet contém uma vasta quantidade de informações pessoais sobre pessoas e permite que seja relativamente fácil procurarem-se informações específicas, tais como endereços de pessoas, números de telefone, registros em “sites”, escolhas, interesses e desejos. Bases de dados contendo números de identidade, números de cartão de crédito, antecedentes médicos, antecedentes criminais, e muito mais pode também ser acessada através da Internet.
Além disso, “ciberperseguidores” podem usar a Internet para perseguir indivíduos específicos ou identificar novas vítimas de um grande conjunto de alvos potenciais.

Escolha de Vítimas:
Estudos anteriores indicam que muitos perseguidores tinham algum tipo de relacionamento prévio com suas vítimas antes começarem a persegui-las (Harmon, R.,Rosner, R., and Owens, H.; 1998, “Sex and Violence in a Forensic Population of Obsessional Harassers, Psychology, Public Policy, and Law,” American Psychological Association 4(1/2), 236-249.).
A importância deste tipo de informação é que os investigadores devem prestar particular atenção aos conhecidos da vítima.
No entanto, esses estudos são limitados, porque muitos casos acabaram sendo resolvidos ou não existia perseguição declarada. Além disso, não está claro se esses estudos se aplicam à Internet. Afinal, é incerto o que constitui um conhecimento sobre a Internet e a Internet torna mais fácil para que os “ciberperseguidores” tenham a oportunidade de encontrarem suas vítimas.
Os “ciberperseguidores” podem pesquisar na web, buscar em programas de mensagens instantâneas, navegarem através de perfis em redes sociais, espreitar em salas de bate papo, sempre à procura de alvos prováveis, muito mais vulneráveis, que acabam se tornando presas fáceis para serem intimidadas.
Um “perseguidor” repetidamente procura oportunidades para atormentar suas vítimas através de programas de mensagens instantâneas, utilizado-os para contatá-las. Ele também utiliza listas telefônicas “on-line” para encontrar números de vítimas, assediando-as remotamente com ligações para suas casas.
Este tipo de abordagem deixa muito pouca evidência digital, porque nenhuma das vítimas grava suas sessões no “M.S.N.” ou no programa de mensagem instantânea que utiliza, o que implica não ser possível identificar o endereço IP do assediador, salvo em casos de interceptação telemática, realizada a tempo de acompanhar o “ciberperseguidor”.
Evidentemente, que as vítimas que forem afligidas por esse assédio, acabam se sentindo impotentes para deter as mensagens instantâneas e telefonemas. Essa sensação de impotência é justamente o objetivo principal do “ciberperseguidor”.
É óbvio que o “ciberperseguidor” acaba escolhendo a internet como seu território de perseguição por causa do elevado número de utilizadores inexperientes na mesma e o anonimato que ela proporciona.
Como regra geral, os investigadores devem confiar mais em evidências disponíveis do que em estudos de caráter geral. Embora a pesquisa possa ser útil até certo ponto, a prova é a fonte mais confiável de informações sobre um caso específico e é o que qualquer tribunal irá usar para tomar uma decisão.

Monitoramento e atividades sub-reptícias:
A Internet tem a vantagem adicional de proteger a identidade de um “ciberperseguidor” e permitir que este possa monitorar as atividades de sua vítima. Por exemplo, “ciberperseguidores” procuram familiarizar-se com a forma de uso da internet por suas vítimas e tentam ocultar sua identidade enviando “e-mails” falsos ou anônimos e usando o “M.S.N” ou outro software idêntico para molestar suas vítimas.
Eles também podem utilizar o “M.S.N.” e outros aplicativos semelhantes para determinar quando uma vítima está “on-line”. O mais preocupante de tudo é que o “ciberperseguidor” pode usar a Internet para espionar uma vítima.
Embora existam poucos “ciberperseguidores” qualificados o suficiente para quebrar a segurança da conta de e-mail de uma vítima ou interceptar suas mensagens, eles podem facilmente observar uma conversa em uma sala de bate papo.
Este tipo de pré-fiscalização das vítimas e o acúmulo de informações em potencial das mesmas podem sugerir a intenção de que um “ciberperseguidor” venha a cometer um crime, mas não é um crime em si.

Escalonamento e Violência:
É freqüentemente sugerido que os “ciberperseguidores” deixarão de assediar suas vítimas, uma vez que estas deixem de lhes provocar a resposta desejada.
No entanto, algumas perseguições se agravam quando os “ciberperseguidores” não conseguem o que querem e se tornam cada vez mais ameaçadores, não sendo raro acabarem recorrendo à violência e ao homicídio.
Portanto, é importante para os investigadores que sejam extremamente cautelosos ao lidar com um caso de perseguição.
Os investigadores devem examinar as provas disponíveis de perto, proteger a vítima contra maiores danos, tanto quanto possível, e consultar especialistas em caso de dúvida.
Porém, o mais importante é que os investigadores não devem fazer julgamentos apressados, baseados principalmente em estudos de casos passados.

Investigando “ciberperseguidores”:
Existem várias etapas para investigar um caso de “ciberperseguição”. Estas etapas pressupõem que a identidade do “ciberperseguidor” é desconhecida. Mesmo que a vítima suspeita de um indivíduo, os investigadores devem ser aconselhados a explorar possibilidades alternativas e identificar eventuais suspeitos.
Embora pesquisas anteriores mostrem que a maioria dos “perseguidores” tem relações anteriores com a vítima, isto pode não ser aplicável quando se tratar da Internet onde é fácil a vítima não conhecer seu “perseguidor”. Portanto, considere a possibilidade de que a vítima conheça o “perseguidor”, mas considere que pode também não ser este o caso:

1)Entrevista com a Vítima: determinar o que prova que a vítima está sendo alvo de uma perseguição e obter detalhes sobre a mesma, que poderão ser usados para desenvolver um estudo de “vitimologia”. O objetivo desta primeira etapa é a recolha de informações para confirmar que um crime foi cometido e a obtenção de informações suficientes para avançar com a investigação;

2)Entrevistas: se há outras pessoas envolvidas entrevistá-las para elaborar um quadro mais completo do que está ocorrendo;

3)”Vitimologia” e avaliação de riscos: determinar por que um autor escolheu uma vítima específica e quais os riscos que o agressor estava disposto a tomar quando elegeu a mesma como seu alvo. O principal objetivo desta fase da investigação é compreender a relação entre vítima e agressor e determinar que provas digitais adicionais podem ser encontradas;

4)Busca de evidências digitais adicionais para determinar-se o que se sabe sobre a vítima e o “ciberperseguidor” a fim de realizar-se uma pesquisa aprofundada na Internet: Vitimologia é fundamental nesta fase, orientando os policiais a examinar locais de interesse tanto no que diz respeito a vítima como ao “perseguidor”. O “ciberperseguidor” inicialmente observou ou encontrou a vítima em algum lugar e os investigadores devem tentar determinar onde isto ocorreu. Considere a possibilidade de que o “ciberperseguidor” encontrou sua vítima no mundo físico. O objetivo desta fase é reunir mais informações sobre o crime, a vítima e o “ciberperseguidor”;

5)Análise do Crime: analisar cenas de crimes e “trilhas digitais” para distinguir características (por exemplo, localização, tempo, método de abordagem, a escolha das ferramentas utilizadas tais como browser, etc.) e tentar determinar a sua importância para o “ciberperseguidor”. O objetivo desta fase é obter uma melhor compreensão das escolhas que o “ciberperseguidor” fez e as necessidades que determinaram essas escolhas;

6) Motivação: determinar a intenção e o tipo de satisfação pessoal de que o “ciberperseguidor necessita. Tenha o cuidado de distinguir entre a intenção (por exemplo, para exercer poder sobre a vítima, para amedrontar a vítima) e as necessidades pessoais que o comportamento do “ciberperseguidor” está lhe trazendo (por exemplo, para se sentir poderoso, para retaliar c a vítima por uma percepção errada).
O objetivo desta fase é compreender a perseguição bem o suficiente para reduzir o número de suspeitos revisando as etapas anteriores e descobrindo evidências adicionais. 

7)Repetição: se a identidade do “ciberperseguidor” ainda não é conhecida, entreviste a vítima novamente. As informações que os investigadores reuniram até este momento podem ajudar a vítima a recordar detalhes adicionais ou pode sugerir um provável suspeito.

Para ajudar os investigadores a realizar cada uma dessas etapas em uma investigação, apresentaremos a seguir informações adicionais.

Entrevistas:
Os investigadores devem entrevistar a vítima e outras pessoas com absoluto conhecimento do caso, a fim de obterem detalhes sobre o início da “ciberperseguição” e os tipos de assédio a que vítima foi sujeita. Além de coletar todas as evidências de que a vítima tem do “ciberperseguidor”, os investigadores devem reunir todos os detalhes que são necessários para desenvolver um profundo “estudo vitimiológico”.
Ao entrevistar a vítima, os investigadores devem ser sensíveis e extremamente discretos, enquanto questionam tudo sem assumir nenhuma posição. Tenha em mente que as vítimas tendem a culpar-se, imaginando que incentivou o assediador de alguma forma (por exemplo, aceitar os avanços iniciais ou permitindo muitas informações pessoais disponíveis na Internet). Por isso é importante que todos os envolvidos em uma investigação de “ciberperseguição” ajudem na conquista da confiança da vítima, reconhecendo que a mesma não é a culpa.
É também fundamental ajudar as vítimas a se protegerem de possíveis ataques, pois a experiência de um investigador nesta modalidade criminosa pode fornecer um excelente conjunto de diretrizes desenvolvidas especificamente para as vítimas de perseguições.

Vitimologia
Além de ajudar as vítimas a se protegerem ainda mais contra o assédio, os investigadores devem tentar determinar como e por que o autor selecionou uma vítima específica. Para este fim, os investigadores devem determinar se o “ciberperseguidor” conhecia a vítima, aprendeu sobre a vítima através de uma página pessoal na internet, viu uma mensagem escrita pela vítima, ou encontrou a vítima em uma sala de bate papo.
Também é útil saber o porquê da vítima fazer certas escolhas para ajudar os investigadores a fazer uma avaliação de risco. Por exemplo, indivíduos que usam a Internet para conhecer novas pessoas correm maior risco do que os indivíduos que fazem um esforço para manter o anonimato.
Em alguns casos, pode ser bastante evidente porque o “ciberperseguidor” escolheu uma vítima, mas se um “ciberperseguidor” escolhe uma vítima de baixo risco, os investigadores devem tentar determinar quais as características específicas que a vítima possui que poderiam ter atraído a atenção do “ciberperseguidor” (residência, por exemplo; local de trabalho; passatempo; interesse pessoal; comportamento; desprendimento). Essas características podem ser bastante reveladoras sobre uma perseguição e podem direcionar a atenção do investigador para determinadas áreas ou indivíduos.

Perguntas que devem ser feitas nesta fase incluem:

1)Será que a vítima sabe ou suspeita porque, como, e / ou quando a “ciberperseguição” começou?;
2)Qual o provedor de acesso que a vítima utiliza e porque?
3)Quais os serviços “on-line” que a vítima utiliza e porque?
4)Quando a vítima usa a Internet e os vários serviços que acessa (se o assédio ocorre em momentos específicos, sugerindo que o “ciberperseguidor” tem uma programação ou tem conhecimento da programação da vítima)?
5)O que a vítima faz na internet e por quê?
6)A vítima tem páginas pessoais na “web” ou outras informações pessoais disponíveis (por exemplo, perfil no Orkut, MSN página na Web, Blog, Twitter)? Quais as informações que esses itens contêm?

Além das atividades de Internet da vítima, os investigadores devem examinar o ambiente físico da vítima e suas atividades no mundo real.
Quando a identidade do “ciberperseguidor” é conhecida ou pesa suspeita contra alguém, pode não parecer necessário ser desenvolvido um estudo de “vitimologia” completo, pois embora seja crucial para investigar os suspeitos, isto não deve ser feito à custa de tudo.
O tempo gasto tentando entender o relacionamento da vítima com o infrator pode ajudar os investigadores a entender o autor, a proteger melhor a vítima, localizar evidências adicionais, e descobrir outras vítimas. Além disso, há sempre a chance de que o suspeito seja inocente neste caso, sendo que os investigadores podem usar o estudo de “vitimologia” que desenvolveram para encontrar outros prováveis suspeitos.

Avaliação de riscos:
Um aspecto fundamental no desenvolvimento dos estudos de “vitimologia” é determinar quais os riscos para a vítima. Geralmente, as mulheres correm maior risco do que os homens de serem perseguidas e novos usuários de Internet estão em maior risco do que os utilizadores experientes.
Os indivíduos que freqüentam o equivalente a “barzinhos” na Internet estão em maior risco do que aqueles que apenas usam a Internet para procurar informações. Uma mulher que coloca sua imagem em uma página “web” com algumas informações pessoais, endereço e número de telefone tem alto risco porque perseguidores podem atentar para a sua imagem, obter informações pessoais sobre a mulher e a partir da página “web”, começar a importuná-la por telefone ou pessoalmente.
Tenha em mente que o risco da vítima não é uma coisa absoluta – que depende das circunstâncias. Uma pessoa cuidadosa que evite situações de alto risco no mundo físico pode ser menos cautelosa na Internet. Por exemplo, indivíduos que não são famosas no mundo em geral podem ter status de celebridade em uma determinada área da Internet, colocando-os em risco de serem perseguidos por alguém familiarizado com essa área. Pessoas que são sexualmente reservados no mundo físico podem ter atividade sexual intensa na Internet, colocando-os em risco de serem perseguidos.
Se um “ciberperseguidor” seleciona uma vítima de baixo risco, os investigadores devem tentar determinar o que atraiu o agressor à vítima. Além disso, os investigadores devem determinar o que o autor estava disposto a arriscar, quando assediou a vítima.
Lembre-se que o risco ao qual o agressor se sujeita é o risco que um criminoso percebe, sendo que o investigador não deve tentar interpretar um comportamento delinqüente com base nos riscos que eles trazem. Um agressor não estará necessariamente preocupado com os riscos da forma como outras pessoas vêem. Por exemplo, alguns perseguidores não têm qualquer tipo de apreensão por correrem determinados riscos, apenas vêem isto como uma inconveniência que temporariamente pode interferir com sua capacidade de alcançar seu objetivo (perseguir a vítima) e vai continuar a atormenta-lá, mesmo quando estiverem sob investigação.

Pesquisa:
Os investigadores devem realizar uma pesquisa aprofundada na Internet usando o que se sabe sobre a vítima e o criminoso e devem examinar os computadores pessoais, arquivos de “log” em servidores, e todas as outras fontes de evidências digitais.
Por exemplo, quando um “ciberperseguidor” usa um “e-mail” para intimidar a vítima, as mensagens devem ser recolhidas e examinadas. Além disso, outros “e-mails” que a vítima tenha recebido devem ser examinados para que se possa determinar se o assediador enviou mensagens forjadas para enganar a vítima.
Os arquivos de “log” do servidor de “e-mails” que foi usado para enviar e receber mensagens devem ser examinados para confirmar os eventos em questão. Arquivos de “log”, por vezes, revelam outras coisas que o “ciberperseguidor” estava fazendo (por exemplo, se fazendo passar pela vítima, assediando outras vítimas) e pode conter informações que levem diretamente ao “ciberperseguidor”.
O americano Gary Steven Dellapenta tornou-se a primeira pessoa a ser condenada nos termos da nova seção da lei da Califórnia sobre perseguição que inclui especificamente as comunicações eletrônicas. Depois de ser rejeitado por uma mulher chamada Randi Barber, Dellapenta retaliou, personificando-a na Internet e alegando que ela fantasiava ser estuprada.
Usando apelidos como “playfulkitty4U” e “kinkygal30”, Dellapenta colocava anúncios pessoais e enviava mensagens dizendo coisas como “Eu tenho uma fantasia de ser estuprada e de fazer sexo grupal também”. Ele fornecia para qualquer interessado em Barber o endereço e o número de telefone dela, além de repassar orientações sobre a casa dela, detalhes de seus documentos e até conselhos sobre a forma de realizar um curto-circuito em seu sistema de alarme.
Barber ficou apavorada quando homens começaram a deixar mensagens em sua secretária eletrônica e a rondar seu apartamento.
Em uma entrevista a revista “Newsweek” sob o título “You Could Get Raped” , Barber relembra que um dos visitantes a seu apartamento teria se escondido após ela sair, ficando em silêncio por alguns minutos. Mais tarde, teria ligado para seu apartamento.
Barber então teria perguntado ao telefone “O que você quer? Por que vocês estão fazendo isso?”. O homem explicou que ele estava respondendo ao anúncio sexy que ela havia colocado na Internet.
“Que anúncio? O que ele falava?”, perguntou-lhe Barber, ocasião em que o autor da chamada teria lhe dito “Deixe-me colocar-lhe desta maneira, eu podia ter lhe estuprado”.
Após Barber ter colocado uma nota em sua porta para desencorajar outros homens que estavam respondendo aos anúncios pessoais, Dellapenta colocou novas informações na internet afirmando que a nota era apenas parte da fantasia.
Em um esforço para reunir provas contra Dellapenta, Barber manteve gravações de mensagens que foram deixados em sua secretária eletrônica e contatou cada um que lhe ligou, pedindo alguma informação sobre o “ciberperseguidor”. Dois homens cooperaram com o seu pedido de ajuda, mas acabou sendo seu pai, que reuniu as evidências que eram necessárias para identificar Dellapenta.
O pai de Barber ajudou a desvendar a identidade de Dellapenta agindo como um interessado num anúncio e respondendo aos e-mails que ele recebeu.
Investigadores rastrearam os endereços I.P. dos sites da “web” que foram utilizados para acessar os sites de anúncios, obtendo mandados de busca que obrigaram as empresas envolvidas a identificar o usuário. Todos os caminhos levaram a polícia até Dellapenta, em cujo computador foram localizados todos os e-mails utilizados na investigação.
Segundo a polícia, Dellapenta teria aberto um grande número de contas gratuitas de e-mail fingindo serem da vítima e publicado inúmeros anúncios, trocando mensagens com os homens que responderam.
Dellapenta admitiu às autoridades que tinha uma raiva interior muito grande contra a vítima e se declarou culpado de uma acusação de perseguição e três outras tentativas de agressão sexual.
Ao procurar por evidências de “ciberperseguição” é útil se distinguir entre o comportamento de assédio do ofensor e seu comportamento de controle sub-reptício. A vítima normalmente está apenas consciente do componente de assédio da “ciberperseguição”.
No entanto, muitas vezes “cibercriminosos” exercem atividades complementares que a vítima não tem consciência. Portanto, os investigadores não devem limitar a sua pesquisa apenas a prova de perseguição da qual a vítima já está ciente, mas devem procurar evidências tanto de assédio quanto de vigilância clandestina.
Se a vítima freqüentava certas áreas, os investigadores devem vasculhar estas áreas atrás de informação e deve tentar vê-las na perspectiva do “ciberperseguidor”. Poderia o “ciberperseguidor” ter monitorado as atividades da vítima nessas áreas?
Se assim for, será que este monitoramento gerou qualquer prova digital?
Por exemplo, se a vítima mantém uma página da Web, o “ciberperseguidor” poderia ter monitorado o seu desenvolvimento, caso em que o “log” do servidor web pode conter o endereço IP do mesmo (com datas associadas) e o computador pessoal deste iria indicar que a página havia sido vista (e quando ela foi vista).
Se o “ciberperseguidor” acompanhou a vítima no “I.R.C.”, ele poderia ter mantido os arquivos de “log” das sessões de chat. Se o “ciberperseguidor” invadiu a conta de “e-mail” da vítima os arquivos de “log” do servidor de “e-mail” devem refletir isso.
Tenha em mente que a busca e a apreensão de provas na fase de inquérito constitui a base do processo: pesquisas incompletas e provas digitais mal coletadas irão resultar em um caso fraco. Assim, é fundamental a aplicação de todos os conceitos da ciência forense apresentados no presente artigo.
Os investigadores devem coletar, documentar e preservar evidências digitais de uma maneira que facilite a reconstrução dos fatos e o processo de acusação. Também os investigadores devem estar familiarizados com as provas digitais disponíveis, atentando para o tipo e as características individuais de cada uma delas num esforço para maximizar o seu potencial.

Características da Cena do Crime de Perseguição:
Ao investigar “ciberperseguições”, os investigadores podem não ser capazes de definir claramente o local do crime primário porque a evidência digital é freqüentemente espalhada por toda a Internet.
No entanto, o mesmo princípio de análise comportamental se aplica a prova – aspectos do comportamento de um “ciberperseguidor” podem ser determinados a partir de escolhas e decisões que o mesmo teria feito e as evidências que foi deixando para trás, destruindo ou ocultando.
Portanto, os investigadores devem examinar cuidadosamente o ponto de contato e as trilhas na internet (por exemplo, “Web”, “Usenet”, “I.R.C.”, computadores pessoais) procurando por provas digitais que exponham o comportamento do ofensor.
Para começar, os investigadores devem se perguntar por que um “ciberperseguidor” em particular utilizou a internet – o que fez que isto fosse necessário? O “ciberperseguidor” usou a Internet para encontrar sua vítima, para permanecer anônimo, ou ambos? Os investigadores também devem perguntar por que um “ciberperseguidor” utilizou determinadas áreas da Internet – qual o interesse do mesmo neste tipo de recurso?
O comportamento é como uma assinatura que normalmente pode ser percebida a partir da maneira com que o “ciberperseguidor” aborda e assedia suas vítimas na Internet.
Como as pessoas afetas a informática utilizam a Internet pode dizer muito sobre o seu nível de habilidade, objetivos e motivações. Usando o IRC, em vez de e-mail para intimidar as vítimas sugere um maior nível de habilidade e um desejo de ter acesso instantâneo à vítima, permanecendo anônimo.
A escolha da tecnologia também vai determinar que tipo de prova digital estará disponível. A menos que a vítima mantenha um registro, o assédio pelo “I.R.C.” deixa muito poucas provas de assédio, enquanto que mensagens de correio eletrônico são duradouras e podem ser usadas para rastrear o remetente.
Além disso, os investigadores podem aprender muito sobre as necessidades dos infratores e escolhas examinando cuidadosamente suas palavras, ações e reações. O aumento e a diminui de intensidade, em reação a acontecimentos inesperados, são particularmente reveladores. Por exemplo, quando o contato com a vítima é bloqueado o “ciberperseguidor” poderia ser desencorajado, manter-se impassível ou agravar suas ações. A forma como os usuários mais técnicos reagem aos contratempos indica o quanto eles estão determinados a perseguir uma vítima específica e o que eles esperam conseguir com o assédio.
Além disso, a inteligência de um “ciberperseguidor” de alto nível de qualificação, pode ser revelador quando ele modifica seu comportamento e usa de tecnologia para superar os obstáculos.

Motivação:
Houve uma série de tentativas de categorizar o comportamento de perseguição e desenvolver tipologias especializadas. No entanto, estas tipologias não foram desenvolvidas com as investigações em mente e são utilizadas principalmente pelos médicos para diagnosticar doenças mentais e administrar os tratamentos adequados.
Ao investigar “ciberperseguidores”, as tipologias motivacionais podem ser usadas como uma caixa de ressonância para ganhar uma maior compreensão das motivações. Também, é certo que alguns perseguidores escolhem suas vítimas de forma oportunista e para obter satisfação por intimidá-las.
Outras ameaças são motivadas por uma necessidade de retaliar suas vítimas por erros percebidos, exibindo muitas das condutas descritas na raiva num estudo da tipologia da retaliação. Por exemplo, Dellapenta, o “ciberperseguidor” californiano que foi preso por aterrorizar Randi Barber, afirmou que tinha uma raiva interior “dirigida contra Barber”, que ele não podia controlar.
O comportamento de Dellapenta confirma esta afirmação, indicando que ele promovia uma retaliação contra a vítima por uma percepção errada. Suas mensagens eram degradantes e foram concebidas para trazer prejuízos para Barber.
Além disso, Dellapenta tentou fazer com que outras pessoas pudessem prejudicar Barber, indicando que ele sentia a necessidade de feri-la. Embora seja possível que Dellapenta sentia algum desejo de fazer valer o poder sobre Barber, seu comportamento indica que ele foi motivado principalmente pelo desejo de trazer prejuízos para ela.
“Ciberperseguição” não é diferente da perseguição regular – a Internet é apenas mais uma ferramenta que facilita o ato de perseguição.
Na verdade, muitos internautas também usam o telefone e sua presença física para atingir seus objetivos. Perseguidores usam a Internet para encontrar suas vítimas, coletar informações, monitorar as vítimas, ocultar suas identidades e evitar sua captura. Embora usuários técnicos possam estar bastante habituados a usar a Internet, os investigadores com uma sólida compreensão da Internet e uma forte metodologia de investigação geralmente serão capazes de descobrir a identidade de um “ciberperseguidor”.
No que diz respeito a uma forte metodologia de investigação, os investigadores devem adquirir o hábito de seguir os passos descritos no presente artigo (entrevistando as vítimas, desenvolvendo estudos de “vitimologia”, buscando provas complementares, analisando cenas de crimes, encontrando a motivação e compreendo a dinâmica do crime).
O tipo de prova digital que está disponível em um caso “ciberperseguição” depende das tecnologias que o assediador usa.
No entanto, um computador pessoal de um “ciberperseguidor” geralmente contém a maioria das evidências digitais necessárias, incluindo as mensagens enviadas para a vítima, as informações recolhidas sobre a mesma e ainda informações sobre outras vítimas.
É difícil fazer generalizações precisas sobre internautas porque uma grande variedade de circunstâncias podem levar a “ciberperseguições”. Um interesse amoroso acabado pode resultar num comportamento obsessivo e em retaliação. O desejo de um indivíduo pelo poder pode levá-lo a selecionar e assediar vítimas de ocasião mais vulneráveis sendo que a lista continua. Qualquer tentativa de generalizar ou categorizar necessariamente exclui algumas das complexidades e nuances do problema.
Portanto, os investigadores que esperam resolver este problema completamente devem ser cautelosos em generalizações e categorizações, apenas utilizando-os para compreender as evidências disponíveis.
O Brasil ainda tem muito o que avançar na investigação da “ciberperseguição”, como em todas as outras áreas relacionadas a cibercriminalidade, sendo oportuna a criação de legislação que possa dotar os investigadores das ferramentas mais adequadas para o seu trabalho.