Sítio do Piropo

B. Piropo

Jornal o Estado de Minas:
< Coluna Técnicas & Truques >
Volte
01/10/2009

< Pesquisando endereços IP >


Na última coluna nós vimos como ter acesso ao cabeçalho de mensagens de correio eletrônico. Vejamos o que é isso. Quando consultamos mensagens em nossa caixa postal, o que nos é exibido é apenas o “corpo” da mensagem, ou seja, o texto (eventualmente, formatado) e figuras. Mas a mensagem contém muito mais que isso. A começar pelos códigos de formatação interna, que não nos são mostrados. E seguindo por (mas não se limitando a) uma longa lista de informações que só interessam às máquinas (ou “nós” da rede) por onde ela passou desde a origem, no provedor do remetente, até o destino, em nossa máquina.

Tudo isto permanece misericordiosamente oculto porque, na imensa maioria das vezes, não nos interessa. Mas estas informações, omitidas por amor à clareza, permanecem disponíveis no cabeçalho. Inclusive os “endereços IP” dos servidores por onde a mensagem transitou.

Veja a figura, que mostra parte do cabeçalho de uma mensagem enviada pelo sítio PCWorld. Repare que, entre outras, ela contém a linha “Subject” com o assunto da mensagem e outras tantas que indicam a data e hora do envio, tipo de codificação e coisa e tal. Note, mais acima, as linhas (destacadas em vermelho) que começam com “Received”. Elas contêm dados sobre as máquinas por onde a mensagem passou desde a origem até o destino. Às que começam por “Received: by” (recebida por), não lhes faça caso. Só interessa a mais antiga (o que pode ser verificado pela data e hora), que fica mais em baixo e começa por “Received: from” (recebida de). Ela indica a máquina que originou o percurso, ou seja, a que enviou a mensagem.

Veja que ela contém não apenas o “endereço internet”, composto por caracteres, como também o chamado “endereço IP”, um conjunto de quatro números cujo valor varia entre zero e 255 separados por pontos. Ambos nos interessam. A linha aparece assim:

Received: from lm.pcworld.com (lm.pcworld.com [70.42.185.40])

Clique apra ampliar...
Figura 1 - Clique para ampliar

O endereço internet “lm.pcworld.com” já é uma boa indicação de origem. Mas o simples fato de nele constar “pcworld” pode ser um engodo, já que poderia ter sido registrado por terceiros, sem o conhecimento da empresa, visando enganar os incautos. Podemos aprofundar a busca um pouco mais. Que tal descobrir detalhes sobre este endereço IP? Mais especificamente, que tal saber quem é (“who is”) que se esconde atrás destes números?

Basta visitar o sítio Who.Is, em < www.who.is >, entrar com o endereço IP na caixa de dados e clicar no botão “Who.is Search”. Será feita uma busca nos registros da Internet que retornará todos os detalhes sobre o endereço IP. A pesquisa com 70.42.185.40 mostra que este endereço pertence a Pcworld.com e dá detalhes sobre a organização que o registrou, inclusive localização (no caso, Atlanta, GA, EUA). Sim, a mensagem realmente veio do PCWorld.

No mesmo dia recebi uma mensagem supostamente enviada pelo Banco do Brasil solicitando baixar e executar um arquivo cujo objetivo seria sanar “uma falha no sistema de identificação do cliente que pode ocasionar em (sic) perda de dados...” (os boçais que enviam mensagens com programas mal intencionados se julgam gênios por “saberem tudo” de informática mas na verdade são semi-imbecís que mal sabem se exprimir em seu próprio idioma e seus textos são repletos de erros como a regência “ocasionar em perda”; portanto, quando receber uma mensagem suspeita, preste atenção em seu português).  Sua linha “Received: from” era:

Received: from patrick.bethanywv.edu ([69.43.35.244])

Não creio que o Banco do Brasil tenha contratado Mr. Patrick para cuidar de seu sistema de segurança. Porém, mesmo que tivesse, dificilmente usaria um servidor que uma verificação no Who.Is com o endereço IP 69.43.35.244 revela pertencer a Bethanywv.edu, uma instituição de ensino sediada em Bridgeport, WV, EUA. Sabendo disso você baixaria e instalaria o arquivo?

B. Piropo