CRIMES DIGITAIS
Sumário 1. Introdução
02
2. Quando Ocorreu
04
3. Legislação Brasileira
05
4. Classificação dos Crimes de Informática
07
4.1 Crime de Informática Puro
07
4.2 Crime de Informática Misto
07
4.3 Crime de Informática Comum
08
5. Leis
09 5.1 Novo Código Civil
09
5.2 Medida Provisória 2.200-2
10
5.3 Lei 9.296/96
11
5.4 Lei 9.983/00
11
5.5 Lei 9.800/99
12
6. Tipos de hackers e suas características
13
6.1 White Hats (hackers éticos)
13
6.2 Black Hats (hackers mal-intencionados)
14
6.3 Script Kiddies
14
6.4 Crackers
15
7. Ferramentas Tecnológicas Utilizadas Pelos Criminosos
16
7.1 Engenharia Social
17
7.2 Cavalo de Tróia
18
7.3 Spyware e Adware
19
7.4 Keylogger
19
7.5 Phishing
21
8. Hackers Famosos
24
9. Identificando os Autores
27
10. Conclusão
29
11. Referências
31
1|Página
CRIMES DIGITAIS
1. Introdução A cada dia, os jornais trazem mais notícias relativas à informática. Um novo exame médico computadorizado, um método revolucionário de ensino a distância, o lançamento de um filme feito com recursos de computação gráfica, robôs que partem em direção ao espaço, enfim, uma nova forma de vida. O Homem não vive mais sem a informática. Disso ninguém dúvida. Esta tecnologia é dos maior bens das sociedades modernas. Mas os computadores ingressam no cotidiano de forma tão rápida que o Direito, ciência que deve regular as sociedades, não acompanhou esta evolução. Graças à evolução e disseminação da informática, crimes de natureza classificados como Crimes Digitais, estão se tornando cada vez mais comuns. Mas, afinal, o que são crimes praticados por meio da informática? A doutrina mundial começa a se preocupar com este tema, embora ainda não se tenha chegado a um consenso em relação a vários aspectos, inclusive quanto à definição do que eles realmente sejam. Os crimes praticados por meio da informática não são novidades nos países industrializados, aonde o uso dos computadores vem contribuindo de forma cada vez mais apurada para a criminalidade. O Brasil não é exceção. Têm-se notícias da destruição de programas de computador da EMBRAPA (Empresa Brasileira de Agropecuária), por um usuário da Internet, causando prejuízos incalculáveis. Está foi a primeira ação de crackers no país. Um técnico do PRODESP (Centro de Processamento de Dados do Estado de São Paulo) conseguiu incluir nomes fictícios de desembargadores na folha de pagamento do Tribunal de Justiça de São Paulo, desviando em seguida os depósitos para uma conta em seu nome. A quebra do Banco Nacional, uma das principais instituições financeiras do
2|Página
CRIMES DIGITAIS
país, trouxe à tona uma fraude que se estendeu por anos, sem que as auditorias (do próprio banco e do Banco Central) percebessem. Funcionários dos alto escalão mantiveram 652 contas fictícias através da utilização de um microcomputador não conectado ao sistema central de processamento. Os balanços do banco era, assim mascarados e apresentavam lucros irreais, mais tarde foram encontradas mais de 1.200 contas, que não tinham sido devidamente auditadas. Explicar o que são crimes digitais, quando começou a ocorrer, como a legislação Brasileira atua acerca de crimes digitais entre outros tópicos é o que sera focado nesse trabalho.
3|Página
CRIMES DIGITAIS
2. Quando Começou Os primeiros crimes ocorreram na década de 70, e eram praticados, na maioria das vezes, por especialistas em informática cujo principal objetivo era driblar os sistemas de segurança, principalmente de instituições financeiras. Hoje, com a disseminação dos computadores, e, principalmente, com o surgimento de redes, tanto o perfil dos usuários como o dos criminosos mudou. Um relatório do Centro Nacional de Dados sobre Crimes Digitais, nos Estados Unidos, já alertava, 1986, para a "Democratização dos crimes Digitais”, mostrando que os criminosos incluem ladrões de rua reincidentes, funcionários fraudulentos
de
pequenos
negócios,
empregados
vingativos
e
caixas
de
banco
endividados. Na mesma proporção, qualquer pessoa hoje em dia pode ser vítima de crimes praticados pelos meios da informática. Muitos citam o caso Equity Founding Life Insurance Company, em Los Angeles, Califórnia, como a maior fraude de computador, cujo valor atingiu dois bilhoes de dólares. A fraude, iniciada em 1964, só foi descoberta em 1973. Produziu-se uma seqüência de programas necessários para criar apólices falsas, pagamento de comissões de venda, criação de relatórios falsificados e controle de saldos. Ao final, cerca de 64.000 apólices falsas foram criadas e vendidas para outras companhias pelo sistema de ressegurados. Mas, para Donn Parker, analista do laboratório de Ciências da informação do Instituto de Pesquisa de Stanford, este caso não chegou a ser um crime praticado por meio da informática, pois o computador foi apenas incidental, sendo utilizado para processar a imensa quantidade de apólices falsas. As ações criminosas podem ser divididas, basicamente, em dois grupo: aquelas direcionadas contra os bens da informática e aquelas que utilizam estes recursos para, por meios deles, praticar crimes. A repressão a estas condutas já ocorre em vários países, sobretudo nos mais avançados tecnologicamente. Em algumas legislações, modificou-se o Código Penal, em outras, editaram-se leis extravagantes.
4|Página
CRIMES DIGITAIS
3. Legislação Brasileira Ultimamente, há muita discussão sobre a atual legislação brasileira e os crimes computacionais. Grande parte das tarefas do nosso dia a dia são transportadas para a rede mundial de computadores, ocasionando fatos e conseqüências, jurídicas e econômicas, assim como ocorre no mundo físico. Por exemplo, a aplicação das normas comerciais e de consumo nas transações via Internet, a questão do recebimento indesejado de mensagens por e-mail (spam), a validade jurídica do documento eletrônico, a privacidade e os crimes de informática. Entende-se por crime de informática, crime computacional ou crime digital qualquer ação em que o computador seja o instrumento ou o objeto do delito, ou então, qualquer delito ligado ao tratamento automático de dados. A legislação brasileira pode e vem sendo aplicada na maioria dos problemas relacionados à rede. O primeiro artigo do código penal diz que:
Art. 1º - Não há crime sem lei anterior que o defina. Não há pena sem prévia cominação legal. Ou seja, se não existe uma lei para definir que tipo de ação é infração, então não existe crime. Ledo engano aqueles que acreditam que por não existirem leis específicas para os crimes digitais, eles ficarão impunes.
Delitos cometidos como
transferência bancária ilegal pela Internet é um crime de furto já previsto pelo atual Código Penal. A única diferença é o meio em que foi realizado, que é um novo meio de comunicação. Porém, existe a necessidade de leis que tratem essa nova modalidade de conduta delituosa, para que os advogados busquem a correta tipicidade dentro da legislação, como estabelecer regras acerca da inviolabilidade do sigilo de dados, da valia do e-mail como prova e as conseqüências de sua interceptação, entre outros. O principal problema dos crimes cometidos pela Internet é achar o verdadeiro
5|Página
CRIMES DIGITAIS
culpado, já que a Internet facilita a anonimidade comprovedores que não armazenam registros informando a relação de máquina-IP (Internet Protocol) ou através de proxy anônimos. Com o advento da Internet, surgiu a possibilidade de uma pessoa estar em um lugar e cometer o crime em outro. Por exemplo, uma pessoa pode estar no Brasil e praticar uma atividade ilícita, como jogos de azar, em um país da Europa. No Brasil isso é tratado pela teoria da ubiquidade, acolhida pelo sexto artigo do Código Penal:
Art. 6º - Considera-se praticado o crime no lugar em que ocorreu a ação ou omissão, no todo ou em parte, bem como onde se produziu ou deveria produzir-se o resultado. Para que a jurisdição seja exercida, as autoridades brasileiras explicam que é suficiente que o crime tenha "tocado" o território brasileiro, e que para esta finalidade basta que parte da conduta criminal ou o resultado tenha ocorrido em território brasileiro.
6|Página
CRIMES DIGITAIS
4. Classificação dos Crimes de Informática Os crimes de informática devem ser classificados quanto ao objetivo material, e não ao simples fato do uso de computador ser considerado indiferente ao direito penal. Eles podem ser de três modalidades:
•
Crime de informática puro;
•
Crime de informática misto;
•
Crime de informática comum.
4.1 Crime de Informática Puro Toda e qualquer conduta que vise exclusivamente violar o sistema de computador, pelo atentado físico ou técnico ao equipamento e seus componentes, inclusive dados e sistemas. As ações físicas se materializam, por exemplo, por atos de vandalismos contra a integridade física do sistema, pelo acesso desautorizado ao computador, pelo acesso indevido aos dados e sistemas contidos no computador.
4.2 Crime de Informática Misto São todas as ações em que o uso do sistema de computador é condição essencial para efetivação de um crime. Por exemplo, para realizar operações de transferência bancária ilícitas pela Internet, é imprescindível o uso do computador para a sua consumação, sendo classificado assim como um crime de informática misto.
7|Página
CRIMES DIGITAIS
São todas as ações em que o uso do sistema de computador é condição essencial para efetivação de um crime. Por exemplo, para realizar operações de transferência bancária ilícitas pela Internet, é imprescindível o uso do computador para a sua consumação, sendo classificado assim como um crime de informática misto.
4.3 Crime de Informática Comum São todos aqueles em que o sistema de computador é uma mera ferramenta para cometer um delito já tipificado na lei penal. Se antes, por exemplo, o crime como pornografia infantil era feito por meio de vídeos ou revistas, atualmente, se dá por troca de fotos via e-mail e divulgação em sites. Mudou a forma, mas a essência do crime permanece a mesma.
8|Página
CRIMES DIGITAIS
5. Leis Embora ainda não existam leis específicas para os crimes digitais atualmente, já existem leis vigentes criadas para acompanhar essa revolução tecnológica que está acontecendo. Merecem destaque:
•
Novo Código Civil (Lei n 10.406)
•
Medida Provisória 2.200-2
•
Lei 9.296/96
•
Lei 9.983/00
•
Lei 9.800/99
5.1 Novo Código Civil O novo Código Civil não traz nenhum artigo que remeta às ações praticadas pela Internet mas, em compensação, alguns dos novos artigos podem gerar interpretações que irão afetar o meio eletrônico, como:
Art. 225º - As reproduções fotográficas, cinematográficas, os registros fonográficos e, em geral quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte, contra quem forem exibidos, não lhes impugnar a exatidão.
9|Página
CRIMES DIGITAIS
Assim, a legislação não exige que o documento seja reconhecido como verdadeiro previamente, o documento agora é considerado verdadeiro até que provem o contrário. O mesmo se aplica para uma evidência eletrônica. Entretanto, é necessário que seja aplicada alguma tecnologia no documento para garantir sua integridade e autenticidade, pois sem isso, a parte contrária pode contestar a veracidade da prova.
5.2 Medida Provisória 2.200-2 Institui a Infra-Estrutura de Chaves Públicas Brasileira-ICP-Brasil, concedendo autonomia ao Instituto Nacional de Tecnologia da Informação, entre outras providências.
Art. 1º - Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras.
Essa medida provisória reconhece a assinatura digital baseada na criptografia assimétrica de chave pública e privada para garantir a identificação e a integridade dos documentos eletrônicos, desde que a chave pública esteja em uma autoridade certificadora. Não é impedida a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, conforme o segundo parágrafo do décimo artigo.
10 | P á g i n a
CRIMES DIGITAIS
5.3 Lei 9.296/96 É a primeira lei específica para o meio digital e trata, basicamente, do sigilo das transmissões de dados. O fluxo de comunicações em sistemas de informática e telemática podem ser interceptados somente com autorização da justiça. Conforme o dicionário Michaelis, telemática é o conjunto das técnicas e dos serviços de comunicação à distância que associam meios informáticos aos sistemas de telecomunicações. O segundo artigo desta lei diz que não será admitida a interceptação desse fluxo de comunicação se:
•
Não houver indícios razoáveis da autoria ou participação em infração penal;
•
A prova puder ser feita por outros meios disponíveis;
•
O fato investigado constituir infração penal punida, no máximo, com pena de detenção.
Sendo constituído crime a interceptação de comunicações telefônicas, de informática ou telemática sem autorização judicial ou com objetivos não autorizados em lei, além da quebra de segredo da justiça.
5.4 Lei 9.983/00 Considera como crime o ato de divulgar, sem justa causa, informações sigilosas como senhas ou dados pessoais de clientes, por exemplo, contido ou não nos sistemas de informação. Então a publicação de dados reservados, assim definidos por lei, pela Internet ou qualquer outro, é um sistema de informação e infringe a Lei com uma pena de até 4 anos de detenção. Também é crime, de acordo com a Lei 9983/00, a inserção, modificação ou alteração não autorizada de sistema de informações ou banco de dados.
11 | P á g i n a
CRIMES DIGITAIS
5.5 Lei 9.800/99 Essa Lei de 1999, revela que o Brasil está tentando acompanhar o progresso científico e o avanço tecnológico ao permitir às partes a utilização de sistema de transmissão de dados e imagens, para a prática de atos processuais, como o envio de petições via correio eletrônico (e-mail) ao Poder Judiciário . Isso implica mais comodidade e economia de tempo no envio de petições aos Tribunais de Justiça. Entretanto, de acordo com o artigo 4º, quem fizer uso de sistema de transmissão torna-se responsável pela qualidade e fidelidade do material transmitido, e por sua entrega ao órgão judiciário.
12 | P á g i n a
CRIMES DIGITAIS
6. Tipos de hackers e suas características O termo hacker surgiu em meados dos anos 60 e originou-se da palavra phreak (acrônimo de phone hacker), que eram os hackers que estudavam o sistema de telefonia e com isso conseguiam fazer ligações de graça. Naquela época os sistemas de informática (assim como os de telefonia) eram restritos a poucos: apenas tinham acesso a eles os envolvidos com computação nos grandes CPDs (Centros de Processamento de Dados) de universidades e empresas. Movidos pela curiosidade de saber como tudo aquilo funcionava, alguns grupos de estudantes quebravam os cadeados dos CPDs usando um machado. Hack significa cortar, golpear em inglês, daí o termo ter sido adotado para designar aqueles que quebram a segurança para aprender sobre algo que pessoas comuns não têm acesso. De posse da informação desejada, cada um resolveu fazer o que bem entendia com isso, e hoje podemos classifica-los como:
6.1 White Hats (hackers éticos): Seguem a mesma linha de pensamento original do hacking. Gostam apenas de saber e conhecer mais das coisas, principalmente as fechadas ao público. Para essas pessoas, aprender é a diversão mais importante do mundo. Elas gastam boa parte de seu tempo estudando o funcionamento do que as cerca, como telefonia, internet e protocolos de rede e programação de computadores. No mundo da segurança de sofware, os hackers éticos são os responsáveis por “informar” as grandes empresas de vulnerabilidades existentes em seus produtos. Fora do mundo da segurança, essas pessoas são responsáveis por desenvolver software livre, como o sistema operacional GNU/Linux. O hacker ético defende o conhecimento em prol de todos, portanto não o utiliza para prejudicar outras pessoas ou companhias, a menos que considere que uma empresa
13 | P á g i n a
CRIMES DIGITAIS
faz mau uso do poder. A quebra da segurança do iPhone, que bloqueia o seu funcionamento com outras operadoras de telefonia, foi um notável ato de um White Hat.
6.2 Black Hats (hackers mal-intencionados): Assim como os White Hats, os Black Hats também são movidos pela curiosidade. O que os distingue é o que cada um faz com a informação e o conhecimento. O Black Hat vê poder na informação e no que ele sabe fazer. São aqueles hackers que descobrem uma vulnerabilidade em um produto comercial ou livre e não contam para ninguém até que eles próprios criem meios de obter dados sigilosos de outras pessoas e empresas explorando a vulnerabilidade recém-descoberta. Essa espécie de hacker é responsável por gerar a terceira espécie, os script kiddies. Eles surgem quando cai na rede uma ferramenta ou técnica de invasão criado por um grupo de Black Hats.
6.3 Script Kiddies: São os responsáveis pelas invasões em massa e por fazer barulho na mídia quando invadem sites importantes e alteram sua página inicial colocando frases de protesto ou quando tiram serviços do ar. Recebem esse nome por não saber o que estão fazendo. Eles simplesmente buscam ferramentas prontas, os chamados exploits, que exploram uma determinada vulnerabilidade, e então buscam servidores e serviços vulneráveis. Não sabem como o exploit funciona, já que ele que foi denvolvido por um Black Hat, que provavelmente estudou o assunto. Grande parte dos Black Hats já atuou como Script Kid no início de sua jornada no mundo do hacking.
14 | P á g i n a
CRIMES DIGITAIS
6.4 Crackers: São de outra natureza. Ao contrário dos hackers convencionais, que estudam protocolos de rede, telefonia e sistemas operacionais, e dos kiddies, que buscam obter fama por causar transtornos a websites e serviços, os crackers se distinguem de todo o resto por se focarem em como funcionam os programas de computador. São os responsáveis pela criação dos cracks, ferramentas que quebram a ativação de um software comercial, permitindo que qualquer pessoa tenha uma versão pirata do software em seu computador. Esses hackers são responsáveis pelo prejuízo das empresas de software, e também por desenvolver vírus e outras pragas como spywares e trojans. O termo cracker também é usado incorretamente para designar os Black Hats, o que é ofensivo tanto para o Black Hat como para o Cracker.
15 | P á g i n a
CRIMES DIGITAIS
7. Ferramentas Tecnológicas Utilizadas Pelos Criminosos É natural que pessoas se aproveitem do o avanço da tecnologia para empregá-la de um modo considerado antiético e imoral. Neste tópico serão abordadas algumas técnicas utilizadas pelos criminosos para obtenção de dados e realização de seus atos criminosos. Não somente as ferramentas tecnológicas, mas também os pontos vulneráveis nas pessoas tornam-se uma grande arma para os criminosos, que utilizam a tecnologia como ferramenta para a realização dos ataques reais, que são muitas vezes contra as pessoas e não aos sistemas computacionais. Vale referir Mitnick e Simon: Outro tipo de malware - abreviação de malicious software - coloca no seu computador um programa que opera sem o seu conhecimento ou consentimento ou que executa uma tarefa sem que você saiba. O malware pode parecer inocente, talvez um documento do Word ou uma apresentação do PowerPoint, ou qualquer programa que tenha a funcionalidade das macros, mas ele instala secretamente um programa não autorizado. [...] Um tipo de programa conhecido no submundo dos computadores como RAT ou Remote Access Trojan dá ao atacante o acesso total ao seu computador, como se ele estivesse sentado no seu teclado! Após esse software ser instalado na sua máquina, ele pode transmitir para o atacante cada tecla que você digita, incluindo todas as suas senhas e números de cartões de crédito. Existem outros dois tipos de software malicioso que você vai achar chocantes (sic). Um deles pode passar para o atacante cada palavra que você falar dentro do âmbito do microfone do seu computador, mesmo quando você acha que o microfone está desligado. Pior ainda, se você tiver uma Web cam instalada no seu computador, um atacante que use uma variação dessa técnica pode capturar tudo que ocorre na frente do seu terminal, mesmo quando você acha que a câmera está desligada, seja dia ou noite.
Percebe-se que essas ferramentas têm um grande poder e podem ser utilizadas para diversas finalidades. Aproveitando-se da ingenuidade do usuário ou sua curiosidade, o criminoso consegue persuadir sua vítima para que involuntariamente instale em seu sistema um código de computador malicioso.
16 | P á g i n a
CRIMES DIGITAIS
7.1 Engenharia Social Um ponto que vem sendo estudado com bastante atenção pelos especialistas em segurança é a Engenharia Social, nenhum sistema é considerado totalmente seguro, e a vulnerabilidade é aumentada se as pessoas que tem acesso ao mesmo não forem devidamente treinadas ou não tiverem conhecimento suficiente para manter o sigilo das informações. A engenharia social consiste em manipular pessoas, que desavisadas ou sem perceber, acabam passando informações a um terceiro que não tem permissão dos mesmos,
cuidados como treinamento de usuários, proteger
informações sobre determinada organização, certificar-se de saber realmente quem é a pessoa que está recebendo informações e evitar deixar papéis com informações importantes ou jogá-los no lixo sem triturá-los pode evitar a grande maioria dos ataques, visto que o engenheiro social atua exatamente nos pontos vulneráveis e basta um simples ato para que se derrube seu plano de obtenção de dados.
Segundo Mitnick e Simon:
[...] o fator humano é o elo mais fraco da segurança. Com freqüência, a segurança é apenas uma ilusão, que às vezes fica pior ainda quando entram em jogo a credulidade, a inocência ou a ignorância. O cientista mais respeitado do mundo no século XX, Albert Einstein, disse: ‘Apenas duas coisas são infinitas: o universo e a estupidez humana, e eu não tenho certeza se isso é verdadeiro sobre o primeiro’. No final, os ataques da engenharia social podem ter sucesso quando as pessoas são estúpidas ou, em geral, apenas desconhecem as boas práticas da segurança. Um sofisticado sistema de segurança pode ser burlado utilizando a habilidade de uma pessoa em persuadir a vítima, essa informação pode ser obtida conversando com a pessoa, através de uma ligação telefônica, com um e-mail bem elaborado, com ocupação furtiva (por exemplo passando-se por funcionário de determinada empresa), através de
17 | P á g i n a
CRIMES DIGITAIS
sites falsos ou outro método que depende da oportunidade e da criatividade do engenheiro social.
7.2 Cavalo de Tróia O nome Cavalo de Tróia é dado devido à semelhança ao golpe histórico realizado na antiga Grécia. Um software aparentemente comum quando acionado, traz camuflado em seus códigos um programa malicioso que instalado no computador da vítima abre portas de comunicação deixando o sistema vulnerável para que possa ser acessado e manipulado por um terceiro.
O cavalo de tróia é um programa que parece ter uma função útil, como um game, mas inclui mecanismos escondidos e potencialmente maliciosos. Às vezes, dribla mecanismos de segurança ao tapear os usuários e fazê-los autorizar o acesso aos computadores. Com este golpe permite a entrada no sistema. Um dos objetivos é a sabotagem. Pode objetivar também a alteração de dados, cópia de arquivos com finalidade de obter ganhos monetários. Esse é o golpe típico para quem quer controle e poder, pois permite, através do cavalo de Tróia, o acesso a diversos sistemas que estarão passíveis de manipulação da forma que mais convier.
7.3 Spyware e Adware Spywares são programas espiões, seu intuito é capturar informações sobre os hábitos de navegação na internet dos usuários. Diferente dos cavalos de Tróia sua principal função não é o domínio sobre o computador, e sim monitorar os costumes dos usuários sem seu consentimento e comercializar esses dados a determinadas empresas, também podem monitorar outras atividades, mostrar anúncios e executar outras ordens. Esses programas estão rapidamente substituindo o spam como o motivo que mais gera reclamações de usuários na internet. O adware é um programa que exibe publicidade ao usuário, através da captura dos dados por um spyware, essa propaganda pode ser direcionada a determinado perfil de usuário tornando-se mais eficiente.
18 | P á g i n a
CRIMES DIGITAIS
Geralmente spywares são instalados a partir de programas de computador freeware ou sharewares, onde para a utilização do programa o usuário submete-se a ter exibido na tela de seu computador uma variedade de anúncios que muitas vezes são exibidos de acordo com os hábitos do usuário, para isso é necessário que esse programa espião seja executado de modo oculto no computador do usuário. Com o acumulo de inúmeros programas o sistema pode tornar-se lento ou instável. Porém esses programas espiões não se limitam apenas a área comercial e podem trazer consigo outros códigos maliciosos.
7.4 Keylogger De acordo com Thompson:
Keylogger é um programa que, quando instalado, passa a capturar todos os caracteres digitados no teclado. Os keyloggers evoluíram e além das teclas digitadas, alguns desses programas conseguem monitorar as atividades do computador PC. Isto inclui sites visitados, tempo gasto em cada um deles, imagem ao redor do clique do mouse e cópias da área de trabalho. Os keyloggers atuais são capazes de se instalar remotamente e enviar os dados coletados por e-mail, FTP, IRC e mensageiros. Os keyloggers atuais deixaram de ser simples capturadores de teclas e se tornaram uma mistura de keylogger + trojan. O uso lícito do keylogger se dá quando um empregador ou pai zeloso, precisa ter controle sobre as atividades online do filho ou funcionário. Hackers se aproveitam desta característica de monitor e utilizam os keyloggers para roubar senhas, logins, números de contas corrente e cartões de crédito, senhas de e-mail, enfim, tudo que for digitado ou mostrado na tela do computador.
Keyloggers são programas de computador utilizados para copiar dados dos usuários. Sua forma mais básica consiste em copiar em um arquivo, que geralmente fica escondido entre arquivos do sistema operacional, todos os caracteres ou teclas digitados no computador que tem o keylogger instalado são armazenados. Com a evolução desses tipos de programas surgiram versões de programas que podem ser baixados da rede mundial de computadores. Esses programas podem ser obtidos facilmente e possuem opções avançadas,
19 | P á g i n a
CRIMES DIGITAIS
como um sistema complexo de decodificação de caracteres, opção de captura de tela (onde num período pré-programado são gravadas imagens da tela do computador para posterior visualização),
existem também alguns desses programas que são
geradores de arquivos disseminadores dos keyloggers, onde podem ser gerados arquivos camuflados contendo os keyloggers. O arquivo camuflado ao ser visualizado ou executado tem o programa instalado sem que o usuário perceba. Além desses ainda existem os keyloggers especializados em copiar dados de determinados sítios eletrônicos, principalmente os bancários ou sítios que utilizam cartões de créditos. O programador desenvolve o aplicativo responsável por copiar e decodificar sistemas de criptografias dos sites, como os teclados virtuais dos terminais de Internet Banking, esse programa pode ser utilizado pelo próprio programador, vendido, ou mais comumente distribuído a comparsas que são responsáveis por redistribuí-los pela internet, através de spam, links falsos, utilizando sites de relacionamento, links maquiados com nomes que chamam a atenção e despertam a curiosidade da vítima, mídias removíveis com arquivos que acoplam o keylogger, entre inúmeras opções. Depois de instalado no computador da vítima, o programa começa a copiar dados assim que ocorra algum evento previamente programado, de acordo com o interesse do criminoso. Depois de gerado um arquivo com a cópia das informações, esse programa tem a função de transmitir esses dados ao interessado, que pode ser em uma conta qualquer de correio eletrônico ou através do protocolo de transferência de arquivos (File Transfer Protocol
– FTP). O envio das informações podem ser
programadas a cada período de tempo ou de acordo com a quantidade de informações que estão gravadas no arquivo (todos os eventos previamente definidos pelo programador na geração do programa).
7.5 Phishing O termo phishing (derivação de fishing que significa pesca) foi a nomenclatura dada ao golpe que consiste em capturar uma vítima na rede mundial de computadores. É um
20 | P á g i n a
CRIMES DIGITAIS
método realizado com uma técnica de tentativa de encontrar uma pessoa disposta a submeter-se à armadilha imposta pelos golpistas, conhecidos como spammers. A técnica consiste em enviar uma mensagem de correio eletrônico que contenha um endereço ou código malicioso ao maior número de destinatários possíveis, conseqüentemente quanto maior o número de mensagens de correio eletrônico enviadas, maior o número de vítimas. As mensagens enviadas são geralmente criativas e despertam a curiosidade do usuário e geralmente simulam um remetente falso, como instituições governamentais, instituições bancárias, órgãos de proteção ao crédito ou mesmo oferecem vantagens como brindes ou serviços gratuitos. A tabela a seguir, elaborada pelo CERT.Br (Centro de Estudos, Respostas e Tratamento de Incidentes), mostra alguns golpes comuns enviados nas mensagens de correio eletrônico: Tema
Texto da mensagem
Cartões virtuais
UOL, Voxcards, Humor Tadela, O Carteiro, Emotioncard, Criança Esperança, AACD/Teleton
SERASA e SPC
débitos, restrições ou pendências financeiras.
Serviços de governo eletrônico
CPF/CNPJ pendente ou cancelado, Imposto de Renda (nova versão ou correção para o programa de declaração, consulta da restituição, dados incorretos ou incompletos na declaração), eleições (título eleitoral cancelado, simulação da urna eletrônica).
Álbuns de fotos
pessoa supostamente conhecida, celebridades, relacionado a algum fato noticiado (em jornais, revistas, televisão), traição, nudez ou pornografia, serviço de acompanhantes.
Serviço de telefonia
pendências de débito, aviso de bloqueio de serviços, detalhamento de fatura, créditos gratuitos para o celular.
Antivírus
a melhor opção do mercado, nova versão, atualização de vacinas, novas funcionalidade, eliminação de vírus do seu computador.
Notícias/boatos
fatos amplamente noticiados (ataques terroristas, tsunami, terremotos etc), boatos envolvendo pessoas conhecidas (morte, acidentes ou outras situações chocantes.
21 | P á g i n a
CRIMES DIGITAIS
Reality shows
BigBrother, Casa dos Artistas, etc – fotos ou vídeos envolvendo cenas de nudez ou eróticas, discadores.
novas versões de softwares, correções para o sistema operacional Windows, músicas, vídeos, jogos, acesso Programas ou arquivos diversos gratuito a canais de TV a cabo no computador, cadastro ou atualização de currículos, recorra das multas de trânsito. Pedidos
orçamento, cotação de preços, lista de produtos.
Discadores
para conexão Internet gratuita, para acessar imagens ou vídeos restritos.
Sites de comércio eletrônico
atualização de cadastro, devolução de produtos, cobrança débitos, confirmação de compra.
Convites
convites para participação em sites de relacionamento (como o orkut) e outros serviços gratuitos.
Dinheiro fácil
descubra como ganhar dinheiro na Internet.
Promoções
diversos.
Prêmios
loterias, instituições financeiras.
Propaganda
produtos, cursos, treinamentos, concursos.
FEBRABAN
cartilha de segurança, avisos de fraude.
IBGE
censo.
Fonte: (CERT.BR, 2006).
Segundo Mitnick e Simon:
[...] o worm que entra no computador de alguém e depois envia mensagens de correio eletrônico ele mesmo para todas as pessoas do seu catálogo de endereços. Cada uma daquelas pessoas recebe uma mensagem de correio eletrônico de alguém que conhece e confia, e cada uma daquelas mensagens de correio eletrônico de confiança contém o worm, o qual se propaga como as ondas forma das por uma pedra jogada em um lago tranqüilo. O motivo da eficiência dessa técnica é que ela segue a teoria de matar dois coelhos com uma só cajadada. A capacidade de propagar-se para as outras vitimas desavisadas e a aparência de que veio de uma pessoa de confiança.
Embora as mensagens de correio eletrônico possam vir de remetentes considerados confiáveis, muitas vezes o remetente não percebe que seu sistema também foi atacado por um código malicioso. Ao ser infectado, o sistema pode ser capaz de replicar seus códigos maliciosos rapidamente, multiplicando-se em progressão
22 | P á g i n a
CRIMES DIGITAIS
geométrica. O CERT.br é o grupo responsável por receber, analisar e responder a incidentes de segurança em computadores, envolvendo redes conectadas à Internet brasileira e também atua através do trabalho de conscientização sobre os problemas de segurança, da correlação entre eventos na Internet brasileira. Os serviços prestados pelo CERT.br incluem ser um ponto único para notificações de incidentes de segurança, de modo a prover a coordenação e o apoio necessário no processo de resposta a incidentes, além de estabelecer um trabalho colaborativo com outras entidades, como as polícias, provedores de acesso e serviços Internet, e prestar suporte ao processo de recuperação e análise de sistemas comprometidos (CERT.BR, 2009). São exemplos de incidentes de segurança tentativas de acesso não autorizado a sistemas ou dados, ataques de negação de serviço, uso ou acesso não autorizado a um sistema, modificações em um sistema sem autorização, desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso. “Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.” (CERT.br, 2009).
23 | P á g i n a
CRIMES DIGITAIS
8. Hackers Famosos Tsutomu Shimomura: Formado em física, o "samurai" trabalha como especialista em sistemas de segurança do Centro de Supercomputadores de San Diego, na Califórnia, Estados Unidos. Sua fama se deve à peça que conseguiu pregar naquele que foi considerado o mestre dos criminosos cibernéticos, Kelvin Mitnick, em um golpe conhecido como "Takedown".
Kevin David Mitnick Considerado o maior hacker de todos os tempos, hoje ele é um consultor de segurança de corporações multinacionais e co-fundador do Defensive Thinking, no passado ele ficou preso na Casa de Detenção de Los Angeles, Califórnia. Invadiu redes de empresas, burlou sistemas de telefonia, furtou informações confidenciais e entrou em sistemas não autorizados. A quantia roubada por Kevin era incalculável. Foi considerado o mestre dos mestres pelos demais hackers.
Kevin Poulsen Um dos melhores amigos de Mitnick, sua especialidade é burlar sistemas de telefonia. Sua maior audácia foi ter faturado um Porsche apenas invadindo a central telefônica de uma rádio que estava promovendo um concurso. Acabou sendo detido por invadir computadores operados por agentes do FBI. Suas peripécias criminosas deram margem para que o jornalista Jon Littman escrevesse o livro The Watching.
Mark Abene A telefonia também é o campo deste famoso hacker, que costumava invadir sistemas públicos e já foi considerado um dos 100 indivíduos mais espertos da cidade de Nova York. Atualmente, utiliza seu conhecimento para o bem - trabalha como consultor
24 | P á g i n a
CRIMES DIGITAIS
de segurança de sistemas Fundador de uma associação batizada de "mestres da fraude" estimulou aprendizes em todo o mundo a invadir os sistemas telefônicos do seus países. Condenado
a
um
ano de prisão,
foi
homenageado em
uma
festa
organizada
especialmente pelos seus fãs.
John Draper
Igualmente especializado em telefonia, se inspirou nos hackers de elite para fazer sua própria carreira de crimes. Chegou a realizar ligações gratuitas fazendo uso de um mero apito de plástico que vinha de brinde em uma caixa de cereais. Por essa razão, ficou conhecido como Captain Crunch entre os phreakers. Provou também como era fácil enganar o controle dos sistemas de telefonia nort-americana, obrigando o governo a substituir todo o sistema.
Johan Helsingius Seu maior invento foi a criação de um servidor de e-mail anônimo. Acabou sendo preso pela policia em 1995, por fornecer dados de documentos secretos pertencentes à Church of Scientology (seita de cunho "cientifico") na Internet, munido de apenas um 486 com HD de 200 Mb
Vladimir Levin Este russo era considerado um criminoso de alta periculosidade, a ponto da Interpol intervir no caso.l Afinal de contas, Levin conseguiu nada mais do que transferir 10 milhões de dólares de contas bancárias do Citibank para a sua poupança. Formado pela universidade de Tecnologia de St. Petersburg, na própria Rússia, acabou sendo preso em 1995.
25 | P á g i n a
CRIMES DIGITAIS
Robert Morris Morris foi o responsável pela criação de um worm que chegou a prejudicar milhões de computadores em 1988. Curiosamente, Morris é filho de um cientista do National Computer Security Cente, que é parte da Agência Nacional de Segurança. Atualmente, ele é considerado o mestre do criadores de pragas virtuais.
26 | P á g i n a
CRIMES DIGITAIS
9. Identificando os Autores Um dos fatores chave para identificação do criminoso responsável por praticar a ação é o endereço do Protocolo de Internet do computador, podendo ser obtido junto aos provedores de acesso ou aos responsáveis pelo sítio eletrônico hospedado. Também é possível obter informações junto aos provedores dos dados do usuário e local de acesso (caso sejam utilizados para conexão uma linha telefônica, ou serviço fixo como cabo de dados). A obtenção de dados junto aos provedores de acesso é uma tarefa difícil e morosa, devido aos provedores de forma equivocada alegarem que os dados referentes aos usuários estão protegidos pelo sigilo constitucional das informações, o que dificulta ainda mais o processo de investigação. A obtenção dessas informações não é anticonstitucional, visto que a violação do sigilo da correspondência e das comunicações em sistema de informática (CF, 1988, art. 5, XII, ou a
Lei
9.296/96) , protege o conteúdo das informações e não a
confidencialidade de acesso, o que não garante o anonimato do autor do crime. E além disso não atingem a inviolabilidade da intimidade, da vida privada, da honra e da imagem dos usuários, pois a intenção é obter somente dados básicos do usuário, como nome, numeração de documentos e endereço, dados que não são protegidos pelo sigilo constitucional, dados que por exemplo estamos acostumados a fornecer em simples cadastros ou compras (ICOFCS, 2006). Existem grandes dificuldades na obtenção de informações necessárias para a apuração de crimes junto aos provedores de acesso à internet, além dos fatores supracitados, ainda é comum que os provedores não mantenham os dados armazenados por tempo suficiente, já que o inquérito policial demora em média seis meses para sua apuração. Podendo ocorrer a impunidade penal aos imputados por falta de prova devido a perca de informações, fator que deve ser regulamentado com prioridade, tanto de responsabilização aos provedores, como a possibilidade de realização de procedimentos
27 | P á g i n a
CRIMES DIGITAIS
policiais mais rápidos, tendo em vista que a velocidade de disseminação e mutação dos atos criminosos evolui conforme a evolução da tecnologia. Outro fator é o envolvimento de mais de um país em determinado ato criminoso. Com isso a identificação dos autores torna-se ainda mais desafiadora, tendo que recorrer a tratados ou cartas rogatórias, processo ainda mais lento que se esbarra em legislações específicas de cada país. Para isso organismos internacionais tentam um acordo que permita a padronização e troca de informações de forma que priorize a agilidade nos processos de identificação. Após a identificação do endereço de protocolo de internet (que é único para cada computador) e o endereço do computador no qual foi dado o acesso, deve-se identificar a pessoa que realizou o acesso e cometeu o ato criminoso. Nem sempre o acesso foi realizado de uma residência onde moram poucas pessoas, o acesso pode ter ocorrido de empresas, Lan Houses ou até mesmo através de equipamentos de telefonia móvel. Comumente os criminosos têm utilizado locais públicos para a realização de seus atos, com a disseminação dos pontos de acesso livre à internet, como em aeroportos e centros de compras, torna-se um local perfeito para dificultar a descoberta de sua autoria. Outro local que tem sido bastante utilizado são as lan houses, que deveriam manter um controle de acesso dos usuários, através do cadastro para fornecimento de informações, mas o que ocorre é que poucas instituições mantêm um banco de dados confiável, e as que mantêm geralmente descartam essas informações em curtos períodos de tempo, geralmente insuficientes para a solução de um Inquérito Policial.
28 | P á g i n a
CRIMES DIGITAIS
10. Conclusão As
novas
tecnologias
da
informação,
especialmente
a
Internet,
impulsionaram (e continuam impulsionando) o processo de globalização econômica e cultural. Os avanços tecnológicos ligados à computação fez surgir a era dos bits e bytes, tornando o computador indispensável e aplicando suas técnicas nos mais diferentes lugares. A Internet e a realidade virtual alimentam no ser humano a sensação de liberdade ao separar as pessoas por uma interface e proporcionar o anonimato. Nela
tempo
e
espaço chegaram ao ponto de receber sua expressão mais precisa,
chegaram a um ponto em especial. O tempo funde-se ao espaço, o espaço, ao tempo. Espaço e tempo, passado e futuro fundem-se ao presente, e vice-versa, é sempre hoje e agora. Essas
mudanças impulsionadas pelos avanços
tecnológicos e pelas mídias,
fizeram surgir novos paradigmas para a sociedade pós-moderna e os sistemas que a organizam e regulam, como o Direito. Neste
mundo
informatizado,
contemporâneo,
surgiu
uma
nova
globalizado,
forma
de
interligado,
criminalidade,
pós-moderno
que
e
convencionamos
chamar de virtual, por se desenvolver no ambiente virtual da Internet, o ciberespaço. Os face
conceitos
apresentados
expõem
a
polêmica
e
a
controvérsia,
em
da complexidade do tema, sobre o que se entende por crimes virtuais,
uma vez que a própria denominação desta nova criminalidade não é uníssona, ao passo que para alguns os crimes virtuais culpáveis
que
somente
têm
sua
são forma
condutas
típicas,
antijurídicas
e
de execução diferenciada, pois é
implementada através da Internet, e para outros são condutas ilícitas que necessitam de tipificação, não encontrando amparo na legislação vigênte. Alguns autores, radicais,
dizer
ser
a
aplicação
da
legislação
previamente
existente
mais
caso
de
analogia.
29 | P á g i n a
CRIMES DIGITAIS
A lei penal é elaborada para viger dentro dos limites em que o Estado exerce a sua soberania.
Porém,
conduta
na Internet, pois ela não tem lugar fixo, não é física e também é
ilícita
a
maior
dificuldade
é
determinar
onde
aconteceu
o
atemporal. Daí a necessidade de adaptações legais, no que diz respeito por exemplo ao local do cometimento do delito, que há de ser o mesmo onde se encontra o bem, ou
pelo
menos
onde
acreditamos
que
deva
se encontrar (uma vez que a
virtualização dos dados não deixa de ser uma simulação). Verifica-se que as leis brasileiras vigentes já estão sendo aplicadas aos crimes praticados no ambiente virtual, a exemplo da pedofilia, das fraudes, dos crimes contra a honra, dos crimes contra a propriedade industrial e intelectual, como a pirataria de software, etc. Ao
concluirmos
este
trabalho
constatamos
que
uma
das
muitas
dificuldades da resposta para estes crimes é que o meio onde estes crimes ocorrem é o mais rápido, na verdade é instantâneo, além do que quase não deixam pistas, mas causam dano a bens juridicamente protegidos. Além disso a Internet não tem território fixo, por ser uma rede mundial e virtual, necessitando do empenho global de governos e empresas para se tornar um espaço anarquico, fora do alcance das leis. A criação de agências reguladoras que possam fiscalizar o ambiente virtual pode ser uma opção viável, assim como a celebração de tratados internacionais que coíbam as condutas criminosas no ambiente da Internet (como a Convenção de Budapeste de 2001, também conhecida como Convenção sobre o Cibercrime) e que incentivem uma política mundial para cooperação recíproca entre polícias.
30 | P á g i n a
CRIMES DIGITAIS
11. Referências:
CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, 2009. Disponível em: . Acesso em: 20 de março de 2009.
MITNICK, Kevin D.; SIMON; William L. A arte de enganar. São Paulo: Pearson Education do Brasil, 2003.
THOMPSON, Marco Aurélio. Invasão.Br. Salvador, 2005.
ROSA, Fabrízio. Crimes de Informática. Bookseller, 2007.
GOUVÊA, Sandra. O Direito na Era digital. Rio de Janeiro: Mauad, 1997.
H4CK3R,
Universidade.
Desvende todos
os
segredos
do
submundo
dos
harckers, 2006.
31 | P á g i n a
