segunda-feira, 30 de novembro de 2009

Disco rígido externo: Laudo Pericial nº 9677/08

O disco externo usado por Dana Wayne Harbour, um disco rígido marca Maxtor, modelo 32049H2, S/N: L22KG7HC localizado dentro de um case externo marca BUSlink, modelo L20/20GB foi examinado pela polícia, que lamentavelmente estavam procurando provas de pedofilia, e não de estelionato e latrocínio, que poderia ter sido mais produtivo.

Conforme o relatório, parece que o disco rígido foi usado entre outras coisas para fazer back-up do computador de Fritz Louderback, ou um computador que já foi de Fritz, em 2003.

A polícia encontrou três coisas de possível interesse: publicidade do hospedagem Dois Amigos B&B; três arquivos criptografados; e um pouco de pornô jogado no lixo em 2003.

Dois Amigos B&B

Encontraram arquivos do site Dois Amigos B&B, o hospedagem operado por Fritz Louderback e Barbara Anner durante uns anos. Conforme o relatório,

Foram encontrados fotografias de crianças nuas e material de divulgação da hospedagem naturista "Dois Amigos" (em algumas fotografias as crianças nuas seguram uma placa com as dizeres "Dois Amigos")

O site de Dois Amigos pode ser ainda encontrado pelo Internet Arquive. Tem umas poucas fotos de crianças nuas, daquelas em que é difícil dizer se tratar de menino ou menina, e o link "photos" leva para /http://www.nudist-resorts.org/resorts/colina-do-sol/index.html#photos, onde há as mesma fotos.

Pornô no lixo

O laudo mostra cabeçalhos e fotos pornô na pasta "trash", desde 2003:

Foram encontradas diversas mensagens na pasta "trash" (lixeira), cuja data de exclusão varia no intervalo de 10/09/2003 a 8/10/2003, conforme mostra a figura 01. As mensagens possuíam links de sites pornográficos e/ou fotografias em anexo contendo homens ou meninos nus ou praticando sexo.

Trash é lugar de lixo

O destino normal dos recados "spam" que inundem comunidades naturistas seria exatamente a pasta "trash". O newsreader poderia ser configurado para fazer o download automático de todas as recados num comunidade, junto com quaisquer fotografias anexadas. Que estas estão no disco não significa que jamais foram vistos; que estavam na lixeira sugere que foram indesejáveis.

FBI nega que sejam pornô infantil

Os dois discos externos, incluindo este Maxtor/Buslink, foram examinados pelo FBI americano. No relatório do FBI a metodologia é explicado, e é afirmado que:

O resultado disso não identificou nenhuma assinatura notável.

Como explicamos quando postamos o relatório do FBI, isso quer dizer que nenhuma destas imagens constam no banco de dados de pornografia ilegal do FBI, que é vasto.

Estes arquivos, então, não seriam crime nos EUA, muito menos em Brasil, pois em 2007, e em 2003, possuir pornografia de qualquer tipo não era ilegal: somente fabricar ou transmitir.

O laudo entrega o codinome que Fritz usou para transmitir pelo Agent: "F C Louderback". Não parece um nome escolhido por alguém com algo a esconder.

Datas não batem com a denúncia

Na denúncia da promotora, das acusações relacionados a fotografias, 23, 24, 28, 30, e 32, falam de fins de semana específicas entre agosto e outubro de 2007. A última, 33, fala de "datas não suficientemente esclarecidas, mas entre os anos de 2004 e 2007".

Sendo que as únicas fotos pornôs encontradas já estavam na lixeira do disco desde 2003, não poderiam ter sido fabricados "entre os anos de 2004 e 2007".

Nada a ver com o presente caso, então.

Três arquivos criptografados

A polícia abusou de declarações de que os computadores estavam criptografadas. Vamos dedicar uma postagem futuro ao assunto de criptografia.

Arquivo de Windows ME

Há no relatório do FBI, informações adicionais, ainda que menos confiáveis, como veremos. Encontraram neste disco externo do Wayne um arquivo de hibernação, criado pelo sistema operacional Windows ME. Nas palavras do relatório do FBI,

...os dados dentro deste arquivo indicam que as 322 imagens suspeitas foram vistas alguma vez por um usuário com um computador rodando Windows ME.

Interessante, sendo que Fritz Louderback nunca tinha um computador que rodava o sistema operacional Windows ME.

Alguém que usou este disco, alguém que mora no Colina do Sol, viu estes "332 imagens suspeitas". Alguém que não foi preso em 11 de dezembro de 2007. O nome deste usuário deve constar neste arquivo de hibernação.

Antes de correr para prender mais gente, é bom lembrar que enquanto o autor, Agente Especial (SA) John D. Whitaker, teve acesso ao hardware e software especializados, houve 77 imagens aos quais os peritos brasileiros tinham tanto acesso quanto ele. Whitaker diz claramente que nenhuma desta imagens consta no banco de dados de fotos ilegais do FBI. A avaliação dos peritos brasileiros bate com o do banco de dados. Whitaker aponto como "uma das imagens mais notáveis" uma propaganda que saiu no Boletim do AANR.

A tecnologia do agente americano pode se bom, mas seu julgamento crítico é comprovadamente falha.

No dia 2 de abril de 2008, o agente Whitaker examinou todas as imagens alocadas e não alocadas no "Buslink USB External Drive". Os exames identificaram aproximadamente 77 imagens suspeitas alocadas e 330 imagens suspeitas não-alocadas. As 77 imagens (aproximadamente) alocadas retratavam crianças e adolescentes do sexo masculino e feminino, impúberes ou púberes, nus ou com pouca roupa, em poses provocativas e/ou envolvidos em situações sexuais com outros menores impúberes e/ou púberes e/ou adultos do sexo masculino e/ou feminino. As images não-alocadas restantes, em numero aproximado de 330, foram descobertas num arquivo VMMHIBER.W9X.

Análise das aproximadamente 330 imagens não alocados. O agente Whitaker notou que estas imagens mostram na maioria meninos impúberes nus, com uns menores púberes nus, em poses provocativas e/ou envolvidos em situações sexuais com outros menores púberes e impúberes, e/ou homens adultos.

É importante notar que o arquivo de dados VMMHIBER.W9X foi descoberto dentro de espaço alocado e talvez salvo sem querer pelo usuário de computador para o aparelho de armazenamento Buslink USB External. Os dados dentro de um arquivo VMMHIBER.W9X não são normalmente acessível a um usuário de computador leigo. Mas os dados dentro deste arquivo indicam que as 322 imagens suspeitas foram vistas alguma vez por um usuário com um computador rodando Windows ME.

Todas as 407 imagens suspeitas foram notadas e salvas para ser revistas pelo agente.

De mãos vazias

Neste disco externo, que nem dos acusados é, os peritos encontraram fotos que apareciam no Internet tanto no site do hospedaria do Fritz, quanto no site da Colina do Sol. Que não é crime. Encontraram itens colocados no lixo em 2003, que a FBI americano diz não eram pornô. Encontraram três arquivos criptografados, que quer dizer somente que o conteúdo é desconhecido.

É pouco, muito pouco. E nos relatório de peritos, isso é a mais "pesada" que vimos até agora.

Laudo Pericial nº 9677/08 está nas fls. 3835-3840 do processo 070/2.07.0002473-8 do Caso Colina do Sol, e nas fls. 287-292 do processo 019/1.09.0007874-0, donde é permitido tirar cópias, sendo que está fora do "sigilo de Justiça". Solicitado em 14 de dezembro de 2007, foi completado em 28 de maio, e foi anexo ao inquérito em 10 de julho de 2008.

Estado do Rio Grande do Sul
Secretaria da Segurança Pública
Instituto-Geral de Perícias
Departamento de Criminalística
Seção de Informática Forense

Laudo Pericial nº 9677/08




Ilmo. Sr. Delegado de Polícia,
M.D. Titular da DP de Homicídios e Desaparecidos

Em atendimento à solicitação em epigrafe, no dia 12 de maio de 2008, a Sra. Eliana Sarres Pessoa, Perita Criminalística, Diretora do Departamento de Criminalística, incumbiu aos peritos signatários a realização dos exames periciais no material a seguir descrito.

1. Descrição do material questionado

Trata-se de um disco rígido marca Maxtor, modelo 32049H2, S/N: L22KG7HC localizado dentro de um case externo marca BUSlink, modelo L20/20GB e S/N: 1Q1L20A (fotografias 01 e 02).

2. Exames Periciais Realizados

2.1 Metodologia

Os exames efetuados foram precedidos de cuidados para evitar perda dos dados, sendo que para isso o conteúdo do disco rígido foi copiado para um computador da Seção de Informática. Trata-se de uma cópia bit-a-bit, de onde até mesmo conteúdo excluído pode ser recuperado e analisado.

O objetivo do presente trabalho é procurar conteúdo relacionado ao crime de pedofilia e conteúdo relacionado ao relatório entregue aos peritos contendo depoimentos, laudos, entre outros documentos.

Arquivos considerados relevantes para o objetivo da perícia forma gravados em CD. Para garantir a integridade dos arquivos, gerou-se, através do algoritmo Message Digest Algorithm #5 (MD5) valores hash para cada arquivo contido no CD. Esses valores encontram-se agrupados no arquivo "Arquivo de verificação.md5", gravado no próprio CD. Para finalizar o processo, gerou-se ainda, um novo valor hash sobre o arquivo citado. Esse novo valor está relacionado no item "4. Comentários Finais".

2.2 Resultados

O disco rígido apresentou condições de funcionamento e seu conteúdo pode ser copiado e analisado.

Foram encontrados fotografias de crianças nuas e material de divulgação da hospedagem naturista "Dois Amigos" (em algumas fotografias as crianças nuas seguram uma placa com as dizeres "Dois Amigos").

Em uma pasta denominada "old C:Backup\Program Files\Agent" foram encontrados fotografias de homens e gartos nus e/ou em cenas de sexo. Além da fotografias, também foram encontrados nesta pasta o programa "agent" que trata-se de um leitor de newsgroups Esta pasta inteira foi extraída da imagem (cópia descrita na metodologia deste Laudo) e a programa foi testado. Foram encontradas diversas mensagens na pasta "trash" (lixeira), cuja data de exclusão varia no intervalo de 10/09/2003 a 8/10/2003, conforme mostra a figura 01. As mensagens possuiam links de sites pornográficos e/ou fotografias em anexo contendo homens ou meninos nus ou praticando sexo.

No arquivo AGENT.INI (localizado na pasta "old C:Backup\Program Files\Agent\data") foram encontradas configurações do software Agent. Algumas das linhas de configuração são mostradas abaixo:

  • FullName="F C Louderback"
  • UserName="newsnews"
  • NewsServer="news1.infornews.com"
  • LastUpdate=20.August.2003 23:10:11"

Segundo as linhas mostradas, o usuário utilizado era "newsnews", o nome utilizado era "F C Louderback", o servidor era "news1.infornews.com" e a data deultima atualização foi 20/08/2003 às 23h10min11s.

Foram encontrados três arquivos criptografados com o software BestCrypt (arquivos com formato extensão JBC) denominados "meus amigos.jpg.jbc", "mpstuff.jbc" e Tests.jbc". Não foi possível a quebra de criptografia destes arquivos devido à falta de recurso (máquinas e pessoal). Os arquivos mencionados, exceto os criptografados foram copiados para o CD anexo.

3. Resposta aos Quesitos

"QUAL O CONTEÚDO, ARQUIVOS, HD E PARA QUE SERVEM?"

R.: Os arquivos encontrados relacionados ao objetivo da perícia foram gravados no CD anexo. O software Agent pode ser executado diretamente no CD para visualização das mensagens mencionadas diretamente no item 2.2 deste Laudo.

4. Comentários Finais

Acompanham o presente trabalho duas fotografias e 01 (um) CD N/S "6289 112 L D 39313", identificado pelo rótulo "LAUDO 9677-08", contendo o anexo do laudo. A sequência alfanumérica (chave) utilizada para verificar a integridade dos arquivos do CD é "867ed179c9e540f978fcfeece2b1f232".

Não há um prazo definido para armazenamento dos arquivos criptografados copiados para um disco da Seçao de Informática. No momento que foi necessário o uso do disco pela Seção os arquivos serão excluídos. Para armazená-los é necessário o enviou de um disco rígido aos cuidados da Seção de Informática neste Departamento.

Devolvemos, em anexo, o material questionado.


Porto Alegre, 28 de março de 2008

(assinado)
Evandro Della Vecchia Pereira
Perito Criminal
Relator
(assinado)
Luiz Gustavo Galvez Mählmann
Perito Criminal
Revisor


(assinado)
Visto da Direção



Nenhum comentário:

Postar um comentário