Por Brunno Batista.
Este é meu primeiro post em um blog e por um motivo bastante desagradável, mas tenho que fazê-lo para explicar os fatos ocorridos.
Todos vocês já conhecem a história de que circulou um e-mail difamando um grupo de pessoas, no qual estariam incluídos o meu nome e o de alguns amigos. O Não Senhor já provou que era tudo falso aqui e aqui.
No mesmo dia, resolvi fazer uma busca simples sobre o email e pedi uma cópia de um amigo que havia recebido a mensagem. Observei o HEADER (cabeçalho) do e-mail enviado e usei das evidências expostas em busca da origem deste e-mail.
Das Evidências
No HEADER do email, estava contida a seguinte autenticação:
//Received-SPF: pass (google.com: domain of news@mkvam.com.br designates 75.125.191.34 as permitted sender) client-ip=75.125.191.34;//
//Return-Path: //
//Received: from dedicado.icbeu.com (dedicado.icbeu.com [75.125.191.34])//
Ok, mas que porra é essa?
SPF ou “Sender Policy Framework”, é uma arma contra SPAMs desenvolvida com o objetivo de autenticar o email, não permitindo que outras “pessoas” utilizem o nome de um domínio para espalhar SPAMs na internet, gerando um endereço retorno válido para o devido email.
Mostrando como funciona: exemplo.com => SPF => “v=spf1 a mx ip4: 192.1.1.100/24 -all”. Isso significa que o domínio: exemplo.com só aceita o envio de emails do seguinte bloco de IPs: 192.1.1.100/24 e todos os outros serão negados/invalidados (-all).
Voltando para o email em questão, conclui-se que o domínio mkvam.com.br autoriza o envio de email usando seu nome pelo IP:75.125.191.34 e que a origem do email era o servidor icbeu.com.
De início achei que seria improvável alguém do ICBEU/MANAUS (INSTITUTO CULTURAL BRASIL-ESTADOS UNIDOS) estaria por trás desta manobra suja de difamação. Mas ainda havia muito o que se investigar.
Listas SPF
mkvam.com.br
SPF=> v=spf1 a mx ptr ip4:75.125.191.34 mx:mkvam.com.br ?all
icbeu.com
SPF=> v=spf1 a mx ip4:75.125.191.34 ?all
noticiasdoamazonas.com
SPF=> null
Análise dos Domínios
icbeu.com:
A pesquisa nos traz o seguinte:
Proprietário: INSTITUTO CULTURAL BRASIL – ESTADOS UNIDOS
Data Registro: 29/10/98
Servidor: ns1.icbeu.com (75.125.191.34) e ns2.icbeu.com(75.125.191.35)
Email: somente por contato via correio para os EUA.
mkvam.com.br:
Em uma busca básica temos as seguintes informações:
Proprietário: U R NEVES – ME, CNPJ: 06.164.678/0001-96, empresa aberta em 26/03/2004, de propriedade do Sr. Uily Roberto Neves Neto, economicamente ativa.
Data Registro: 21/05/2010
Servidor: ns1.icbeu.com e ns2.icbeu.com
Email: uilyneves@gmail.com
noticiasdoamazonas.com:
Proprietário: Paulo Massa Jr. (Provável que seja falso. Há um homônimo no site www.desaparecidos.org)
Data Registro: 12/05/2010
Servidor: ns1.hostnet.com.br e ns2.hostnet.com.br
Email: paulomassajr@globomail.com
Da Análise dos Fatos
O hotmail.com e gmail.com só aceitam o recebimento de e-mail se houver um certo tipo de registro TXT no DNS para identificar as permissões de envio de dados do domínio, e tais registros somente podem ser feitos no administrador do domínio.
Todas as empresas de hospedagem de domínio sabem do problema com invasões por hackers, e tomam as devidas providências para evitar mais de 2 erros ao logar, o que impediria um ataque do tipo “BRUTE FORCE” na tentativa de logar com sucesso.
Inclusive o próprio registro.br impediria esse tipo de acesso forçado para usar PROFILES de terceiros, bloqueando imediatamente ao segundo erro ou indefinidamente nos erros subsequentes. O mesmo acontece com os provedores de email, principalmente o GMAIL.com.
Conclusão
O domínio mkvam.com.br está hospedado no servidor icbeu.com. Um fato interessante é a data do registro deste domínio, 21/05/2010, exatamente a mesma em que a imagem do “contrato” e dos blogueiros “envolvidos” foi postada no twitpic e começou a circular nos e-mails.
O domínio mkvam.com.br foi realmente registrado por Uily Neves e ele cometeu o erro mais fundamental no envio de email nos dias atuais, o fator SPAM, que para ser aceito tem que ser autêntico e tem que ser feito manualmente por um sistema ADMINISTRATIVO de DNS. Mais um forte indício de que o domínio noticiasdoamazonas.com foi criado exclusivamente para abrigar o falso e-mail e o domínio mkvam.com.br foi registrado com o único objetivo de espalhar essa mala-direta. O ID do sr. Uily no site registro.br também foi modificado neste dia.

Telefonamos para o ICBEU e, para nossa surpresa, descobrimos que o sr. Uily Neves é funcionário de lá. Em conversas pelo Gtalk, ele confirmou que o domínio é dele e que está hospedado em um servidor do ICBEU, mas alegou que o mesmo sofreu uma invasão e que ele não tinha participação alguma no caso. Informou ainda que o problema seria solucionado e que isto não voltaria a acontecer.
O status inativo do domínio mkvam gerava um erro a quem tentasse acessá-lo. Curiosamente, depois do contato com o sr. Uily Neves, hoje o site encontra-se ativo e mostra o seguinte conteúdo.

Outra coincidência interessante é a data do primeiro tweet do sr. Uily Neves no twitter, 13 de abril, a mesma data em que vários perfis fakes foram criados para propagar a falsa denúncia contra nós.

Após contato telefônico, ele adicionou a foto no perfil.

Hoje o site do ICBEU apresentava erros em sua página inicial, o que levanta a suspeita de que sofria modificações, provavelmente alterações no banco de dados na tentativa de ocultar rastros.

Em busca de uma relação com o domínio de origem do e-mail (noticiasdoamazonas.com), acessei o globomail.com. E ao pedir o lembrete de senha do e-mail paulomassajr@globomail.com, que é o e-mail relacionado ao domínio noticiasdoamazonas.com no registro.br, retorna a mensagem do envio da senha para um e-mail secundário: “cristiano@salveoplaneta.com”.


O envolvimento de mais um nome, desta vez de alguém de fora do Estado levanta duas hipóteses: ou o tal Cristiano usou o servidor icbeu.com, através do domínio mkvam.com.br para enviar estes e-mails com o objetivo de não ser rastreado (chance remota, devido a dificuldade de invasão); ou atuou em parceria com o Uily (mais provável, até mesmo pelos indícios que envolvem a participação deste).
A responsabilidade do Cristiano no caso já está sendo investigada. Por enquanto pudemos perceber que ele é enrolado, cheio de sites, twitters e domínios registrados; e que ele é capaz de fazer esse tipo de trabalho. Resta saber se este ATO CRIMINOSO em específico foi realizado por ele e de quem partiu a ordem para seu cumprimento.
Brunno Batista
@brunnoihoax
OBS: Dados confirmados. Não faço esse tipo de investigação para terceiros.
PS: Alguém me informa o número da conta e o banco que está sendo depositado o meu salário, que eu não vi nada até agora.