® BuscaLegis.ccj.ufsc.br
O PROBLEMA
DA PROVA NOS CHAMADOS COMPUTER CRIMES
LUIZ CARLOS GOMES
Especialista em Direito Público Pela Universidade Gama Filho do Rio de
Janeiro. Bacharel em Direito pela PUC/BH-MG
SUMÁRIO:
1. Introdução; 2. O quê são os chamados computer crimes; 2.1. o problema da
denominação; 2.2. Conceito de computer crime; 2.3. Classificação dos computer
crimes; 3. O problema da prova nos computer crimes; 3.1. Ação através do vírus;
3.2. Negação de Distribuição de Serviço (Denial Distribution Service - DdoS);
3.3. Venda de cartões de crédito roubados; 4. O problema do corpo de delito; 5.
Bibliografia.
1. INTRODUÇÃO:
Este artigo pretende fazer uma breve
passagem sobre os problemas relativos à segurança dos meios computacionais hoje
existentes.
Como poderemos observar, existem
muitas dificuldades em se dar nome aos crimes realizados na área da ciência da
computação.
Muitos são os tipos de crimes
possíveis de existir. Desde furto/roubo dos meios de armazenamento de
informações, como o disco rígido (winchester); passando pelos crimes de
manipulação de dados e programas; até a manipulação à distância, pelo uso da
telemática.
A rede mundial de computadores, a
Internet, é um dos meios mais usados atualmente para a perpetração de crimes na
área da computação. Esses crimes são chamados de crimes cibernéticos. Os crackers,
os sujeitos ativos desses crimes, são pessoas que possuem profundo conhecimento
tanto dos programas quanto do funcionamento da própria rede mundial de
computadores.
Muitos dos crimes não deixam
vestígios, por isso é difícil, senão impossível, o exame do corpo de delito.
Nos crimes realizados através da
Internet, há a dificuldade de que um crime pode ter como origem um país e como
destino outro. Há uma grande polêmica se é possível criar uma lei internacional
sobre o tema, já que passa pela questão da soberania.
O controle dos meios computacionais
afeta a privacidade do cidadão e leis no sentido de maior controle do tráfego
de informações, não são bem-vindas por aqueles que se utilizam desses
instrumentos para seu trabalho ou simplesmente para seu lazer.
Os projetos de lei em tramitação no
Congresso Nacional são o primeiro passo para o combate aos computer crimes,
mas muito ainda terá que ser feito, principalmente no que diz respeito ao treinamento
especializado que muitos policiais e aplicadores do Direito terão que passar,
se quisermos ter resultados satisfatórios nessa nova área em que o Direito tem
que regular.
O estudo do problema da prova nos
crimes de informática nos interessou devido a uma experiência
pessoal/profissional, na época em que trabalhávamos como analista de sistemas,
entre os anos de 1987 e 1995, com a responsabilidade de
manutenção/desenvolvimento do Sistema de Folha de Pagamento de uma grande
empresa mineira, à época, na área da Construção Civil.
Cumpre ressaltar que, devido ao
tempo já transcorrido, detalhes exatos, como datas, já não são confiáveis,
embora esse fato não altera o objetivo proposto aqui: a explanação de
experiência vivida, como analista de sistemas, ao atuar como perito, à procura
de provas que indicassem a existência de um crime de informática, no caso,
possível adulteração de dados, através de acesso indevido
(não-autorizado).
É necessário, antes, nos
posicionarmos perante o ambiente computacional utilizado na empresa no seu
escritório central, em Belo Horizonte.
O ambiente computacional era formado
por computador de médio porte, fabricado entre o final da década de 70 e início
da década de 80. O Sistema Operacional (programa que faz a comunicação entre o
nosso mundo (do ser humano) e o mundo da máquina, a exemplo do programa Windows),
era do tipo "tempo compartilhado" (ou time-sharing), onde
várias pessoas utilizam o mesmo computador, através de um conjunto composto de
teclado e terminal de vídeo, que as atende, por um determinado período de
tempo, (fatia de tempo ou time-slice) do processador central, de forma
a parecer que todos estão sendo atendidos simultaneamente.
Não há realmente simultaneidade,
visto existir um único processador central (UCP - Unidade Central de
Processamento. Um processador Pentium é um exemplo de uma UCP).
Nesse tipo de ambiente existem áreas
de trabalho (accounts), onde o programador/usuário pode trabalhar, se
dispuser de nome/identificador (login) e senha de acesso ao computador.
Um exemplo disso é a tela inicial do Windows onde ele pede identificação
do usuário e senha. Mas o Windows, que utilizamos nos PCs (Personal
Computers) não é do tipo "tempo compartilhado", visto ser
utilizado por uma pessoa de cada vez.
No final de 1994, o Chefe de
Departamento da Divisão de Sistemas, nos chamou e nos pediu para que fizéssemos
uma auditoria no Sistema de Folha de Pagamento, confidencialmente. Foi nos
explicado que desde dezembro do ano anterior, 1993, a folha de pagamento de um
determinado empregado da área de sistemas, não trazia o desconto do Imposto de
Renda da Pessoa Física (IRPF) devido.
É de se notar que tal empregado,
embora da área de sistemas, não trabalhava no Sistema de Folha de Pagamento,
não tendo, portanto, acesso permitido ao mesmo. Um analista de sistemas
tinha permissão de acesso somente ao sistema do qual era um dos responsáveis.
Mas, coexistiam, no mesmo computador, o Sistema de Folha de Pagamento e o
Sistema de Contabilidade. Este sim, tinha como um dos responsáveis o empregado
em questão.
Alguns programas do Sistema de Folha
de Pagamento acessavam o Sistema de Contabilidade, com o fim de ler registros
(controles) de contas de crédito/débito, estando os dois sistemas, por isso,
com o mesmo nível de proteção (segurança ou privilégio). Sendo assim, era
possível acessar o Sistema de Folha de Pagamento, mesmo que ilegalmente (sem
permissão da empresa), através do Sistema de Contabilidade, ainda que se
utilizasse para isso a área de trabalho (account) do analista de
sistemas. Ou seja, o acesso ao outro sistema poderia se dar não somente através
da utilização da área (account) reservada aos programas.
É de se levar em consideração que o
Sistema Operacional em questão não tinha controle de acesso do tipo que registra,
automaticamente, modificações feitas nos arquivos de dados, pelo analista de
sistemas.
Vamos nos colocar a par, a essa
altura, de como funcionava o sistema, conjunto de programas e arquivos, no que
se refere ao cálculo do IR da Pessoa Física.
O sistema utilizava algumas centenas
de programas e sub-rotinas (programas especializados em executar uma função bem
definida), além de algumas dezenas de arquivos com as informações pessoais dos
empregados; da tabela do IRPF; entre outros dados.
Logicamente (operacionalmente), o
sistema utilizava códigos internos que significavam proventos/descontos,
dependendo do seu valor numérico (dentre eles o código do desconto de imposto
de renda, que no caso, era o número "640"). Esses, por sua vez,
tinham relação (associação), com outros números (controles) que significavam
para os programas, por exemplo, "sempre calcular" (que no caso era o
número "1"), ou "nunca calcular" (que no caso era o número
"8"), fazendo com que o sistema, sempre que encontrasse o código de
desconto de IRPF no cadastro de um empregado, associado ao código de controle
"1" (sempre calcular), chamasse a sub-rotina responsável por calcular
aquele desconto. Obviamente, levando em consideração todo tipo de abatimento
possível legalmente e o limite de isenção.
Voltando à auditoria propriamente
dita, estando todo o sistema na situação em que se encontrava em dezembro/1993,
data alvo para a análise, pudemos notar que o código de desconto do IRPF
existia no cadastro do empregado auditado, mas o código relacionado
(associado), que deveria ser o número "1" (sempre calcular), estava
trocado por outro, o número "8" (nunca calcular). Tendo o
empregado um salário que estava acima do limite de isenção do imposto de renda.
Aí estava o problema: o
sistema não calculou o IRPF devido, simplesmente porque o programa (a
sub-rotina de cálculo do IRPF) entendeu, corretamente, que naquele caso, não
deveria ser feito o cálculo do IRPF (código de desconto "640",
relacionado com código de controle "8"). Desse modo, o salário do empregado,
ao final do cálculo da folha de pagamento, estava a maior, visto não ter sido
descontado aquele tributo devido.
Como se deu a conversão (alteração)
do código de controle (ter passado do número "1", para o número
"8")? A resposta a essa pergunta responderia, também, se tinha havido
ou não um crime.
A pergunta de como se deu à
conversão, poderia ser respondida se a alteração de tal código tivesse sido
causada pelo próprio serviço de pessoal, através do processo de digitação de
dados (erro de digitação). Realmente, chegou-se à conclusão, pelos
históricos dos arquivos eletrônicos, combinados com os arquivos (documentos) do
departamento de pessoal, que tal empregado havia sofrido uma intervenção nos
seus dados cadastrais, via digitação de dados.
Toda a alteração em cadastros de
empregados, sempre estava suportada por documentos que autorizavam tal fato. No
caso específico, havia documentação indicando uma alteração no desconto de
Previdência Privada (mantida pela empresa), a pedido do próprio empregado. Assim,
na época dos fatos, dezembro/1993, existira um processo de digitação, que
alterava, de certo modo específico, um dado (uma informação) no cadastro do
empregado em análise.
Analisando-se o programa utilizado
pela digitação, para a alteração requerida, pôde-se notar que tal programa
só tinha como objetivo acessar e alterar dados relativos a descontos de
Previdência Privada. Desse modo, tal intervenção (digitação), não poderia
ter causado o problema da falta de desconto do IRPF, para o empregado (poderíamos,
no caso, dizer, simplificando um pouco, que havia uma "absoluta
impropriedade do meio" - daquele programa, levando-se em consideração a
sua função). Além do que, outros empregados, na mesma época analisada, sofreram
a mesma intervenção em seus cadastros e nem por isso ficaram sem desconto do
IRPF.
Tendo sido rejeitada possível falha
no processo de digitação, voltou-se para uma possível falha em uma parte
qualquer do sistema (erro de programa).
Como proceder para testar programas,
com a versão (situação) de um ano antes? Naquela época, tínhamos passado pelo
Plano Real, que gerou uma grande quantidade de programas alterados, para se
adequarem às novas regras (surgimento da URV - Unidade Real de Valor; inclusive
uma nova moeda, o Real). Colocado de outra maneira, como saber, um ano depois
daquele dezembro/1993, de que modo os programas, antigos (na versão de um ano
antes), deveriam ter funcionado?
A partir desses problemas propostos,
além da imensa quantidade de programas existentes no sistema, como dito, na
ordem de centenas, chegou-se à conclusão que deveríamos analisar não os
programas (o que poderia demandar meses de pesquisa, sem garantia de sucesso),
mas o histórico da folha de pagamento de alguns empregados, escolhendo, entre
outros, alguns da mesma profissão/salário do empregado cujos arquivos estavam
sendo auditados.
É preciso deixar visível que,
naquela época, a empresa em questão possuía o equivalente a mais ou menos
10.000 (dez mil) empregados que tinham seus salários calculados da mesma forma
(pelos mesmos programas) que o empregado em questão.
Além do mais, a empresa possuía
várias frentes de trabalho (obras), que tinham microcomputadores, com o mesmo
Sistema Operacional do escritório central em Belo Horizonte, utilizando-se dos
programas atualizados mensalmente. Quer se dizer com isso, que, como as obras
tinham menos empregados, qualquer variação no total de desconto do IR da Pessoa
Física de uma obra, seria notada pelos funcionários do departamento de pessoal
desta. Estes, como era de costume e sempre que necessário, comunicavam com o
escritório central, pedindo providências da área de informática, ao notarem
alguma inconsistência nos relatórios emitidos, após o cálculo da folha de
pagamento.
Foi apurado, pelo departamento de
pessoal do escritório central, que nenhuma obra, naquele intervalo de tempo (de
dezembro/1993 a outubro/1994) tinha notificado erro de cálculo no IR da Pessoa
Física. O departamento de pessoal central, por sua vez, checou o histórico da
folha de pagamento de vários empregados, inclusive da área de sistemas, não
encontrando nenhum caso de falta de desconto do referido imposto, sempre que
devido.
Em resumo, não foi encontrado nenhum
indício que pudesse mostrar ter havido erros em programas.
Nesse ponto, devemos levantar o
comportamento do empregado antes e depois de dezembro/1993.
O empregado em questão era rigoroso
com a checagem de seu "envelope de pagamento"1,
que pedia explicações de descontos feitos em seu salário, sempre que tinha
dúvidas. Além disso, pedia sempre à empresa empréstimo em dinheiro, que depois
era pago através de descontos em seu salário.
Em dezembro/1993, tal empregado
tinha se acidentado com seu veículo e precisava de dinheiro para consertá-lo,
vindo a pedir novo empréstimo de dinheiro à empresa e, ainda, requerendo sua
saída do Plano de Previdência Privada, mantido pela empresa em benefício de
seus empregados, que contribuíam mensalmente com o plano, através de desconto
em seus salários. Essa era uma forma de se obter um aumento no salário líquido,
retirando o desconto relativo ao plano previdenciário.
Nessa época é que o sistema deixou
de descontar, do empregado em questão, o Imposto de Renda na Fonte devido, coincidentemente.
A partir dessa data, o empregado não mais foi ao departamento de pessoal, para
reclamar de algum desconto havido em seu salário, como era seu costume fazer.
O empregado só reclamou ao
departamento de pessoal da falta de desconto do IRPF no seu salário, em
outubro/1994, ao seja, 10 meses depois que tal desconto parou de ser debitado
de seu salário! Mesmo porque, era sua intenção pedir demissão da empresa, fato
que acarretaria um valor a maior em sua rescisão de contrato de trabalho, pela
falta do desconto do IRPF, o que chamaria a atenção dos empregados do
departamento de pessoal.
Tendo em vista a auditoria levada a
efeito, que não indicava erro de programa; além da conclusão do departamento de
pessoal da empresa, que não reconhecia haver erro no cálculo do IR da Pessoa
Física, o relatório da auditoria realizada não pôde concluir pela existência
de crime de adulteração de dados por acesso indevido.
A empresa, pelos indícios acima
mostrados, pediu a rescisão do contrato de trabalho do empregado, por justa
causa, alegando ter o mesmo sido o autor de fraude no seus próprios dados, no
Sistema de Folha de Pagamento, fazendo com que a empresa deixasse de recolher o
IRPF devido à Receita Federal.
A Justiça do Trabalho, tendo em
vista o laudo técnico, que não afirmava ter havido um crime, por falta de
provas, não aceitou o pedido da empresa e rescindiu o contrato de trabalho sem
justa causa.
Alguém poderia se perguntar se não
era possível ao empregado em questão alterar algum programa do sistema de
pagamento, para que este mudasse, apenas no seu cadastro, o tal código de
controle e, depois de calculada a folha de pagamento, retornar o programa à sua
versão original, não deixando vestígios.
A resposta é que sim, seria
possível, se o funcionário conhecesse bem o funcionamento do sistema em
questão. Seria, apenas, um outro meio de cometer o mesmo crime: acesso
indevido e alteração de dados.
Mas, em nossa compreensão sobre o
sistema, se houve tal crime, ele foi cometido tendo o funcionário acessado o
seu cadastro (arquivo de dados) diretamente (manualmente) sem necessidade de
alterar programas. Esse meio era muito mais simples, menos trabalhoso, e o
funcionário faria isso mesmo tendo pouca informação (conhecimento) a respeito
do funcionamento do sistema. Como dito acima, era possível acessar um sistema,
tendo-se permissão para acessar outro no mesmo computador (se tivessem os
mesmos níveis de privilégio, ou proteção/segurança). Assim, através de uma
instrução do Sistema Operacional de "edição de arquivos" (como um
editor de textos), era possível fazer a modificação acima, sem precisar alterar
programa algum.
Cabe aqui levantar algumas questões,
que certamente poderiam surgir.
Porque o funcionário, se ele
adulterou os dados, não retornou seu arquivo à situação normal, após um ou mais
meses, após aquele dezembro de 1993? Para respondermos é necessário levar em
conta aspectos técnicos do funcionamento do sistema. É de se afirmar que, a
princípio, seria possível alterar novamente os dados e o sistema voltaria à sua
situação normal. Nesse caso, o problema da prova seria o mesmo, pois não seria
possível saber, com certeza, se o sistema falhou (por erro de programa) ou se
houve adulteração dos dados.
Por outro lado, devido ao
funcionamento do sistema, especificamente no mês de dezembro de um ano qualquer
(inclusive dezembro/1993), a situação encontrada pelo funcionário, se fosse o
caso de fazer retornar o sistema à posição normal (anterior), seria diferente
daquela encontrada no momento em que ele, supostamente, adulterou os dados.
Devido ao funcionamento do sistema, ao final de cada ano, seria um pouco mais
trabalhoso, mas não impossível, retornar o sistema ao seu funcionamento normal.
Quando se diz "retornar o
sistema ao seu funcionamento normal", quer se dizer com isso que, a partir
de tal re-adulteração, o desconto do imposto passaria a existir; no entanto,
todos os meses em que não houve desconto ficariam sem mudança.
Os dois projetos de lei em
tramitação tratam de tipificar os delitos relacionados com os chamados computer
crimes. Nenhum dos dois cuida da parte processual relativa à prova nesses
tipos de crimes.
Nos parece que o projeto do Deputado
Luiz Piauhylino (PL 84/1999) é mais completo que o projeto do Deputado Renan
Calheiros (PL 76/2000 de 27/03/2000). Este, em sua justificação, comenta que
são de difícil identificação o que ele chamou de "piratas
cibernéticos". Aquele, tipifica vários dos crimes aqui explanados, como
acesso indevido ou não autorizado; dano a dado, programa ou computador; inserir
vírus maligno em computador, ou mesmo a criação desse tipo de vírus; entre
outros crimes.
Sobre o projeto do Deputado Luiz
Piauhylino (PL 84/1999), Gustavo Testa Corrêa salienta: "É fácil
concluir, assim, que tal projeto, vindo a ser aprovado, será muito pouco utilizado,
assim com as leis aprovadas nos Estados Unidos e Inglaterra, devido à
dificuldade da prova, da comprovação do crime, da inexistência de vestígios
e da inércia do titular em prestar queixa."2
(Grifos nossos)
2. O QUE SÃO OS CHAMADOS COMPUTER
CRIMES
A área do Direito Informático ligada
ao Direito Penal tem por objeto o computer crime. As traduções são as
mais diversas: "crime informático", "crime por computador",
"crime da informática", "delito informático", "abuso
da informática", etc. A expressão consagrada no Direito Comparado é,
contudo, computer crimes.
2.1. O problema da denominação
Estudo que tem origem no livro de
Maria Helena Junqueira Reis (1997)3.
Há uma intensa diversificação de denominações usadas neste setor de pesquisa
querendo designar o mesmo ato. Podemos citar algumas e detectar suas impropriedades:
a) computer
crime: apesar de sua consagração no Direito Comparado, sabemos, com
facilidade, que o crime não é do computador, e sim do agente;
b) abuso de computador: detectar o que significa
"abuso" nos leva para um campo mais ético. A criação de biochips
(circuitos que utilizam células vivas) pode envolver abuso sem,
necessariamente, constituir um crime;
c) crime de computação: pode haver o crime como o furto de um disco
rígido (winchester), contendo milhares de informações (o furto não seria
propriamente do disco, mas das informações), sem se tocar na ciência da
computação. A não ser que analisemos levando-se em conta o conhecimento de
computação do sujeito ativo, porque não é qualquer pessoa que sabe o que é
disco rígido, o que ele pode conter, onde ele está e como fazer para removê-lo
ou destruí-lo;
d) criminalidade mediante computadores: dá uma idéia de uso de
suas funções. O exemplo acima ilustra a falha;
e) delito informático: (países de língua espanhola), crime
informático e delinqüência informática nos levam à proteção da
informação como um bem jurídico que precisa ser tutelado. Isto é absolutamente
verdadeiro, mas o tipo de crime de que estamos tratando não atinge somente a
informação como um bem a ser protegido. Exemplo: manipulação de dados que dizem
respeito à privacidade. Pensamos que a privacidade se sobrepõe à manipulação
das informações;
f) fraude-informática: nem sempre este tipo de crime inclui somente a
idéia jurídico-penal de fraude e nem esgota o universo dos computer crimes;
g) delinqüência econômica: pode haver crime envolvendo
computadores sem motivo econômico. Exemplo: crime contra a segurança dos
Estados;
h) Computerkriminalität4
: a criminalidade na computação está bem próxima do fenômeno (tradução feita
por analistas de sistemas alemães); talvez fosse mais adequado nos referirmos a
este termo mais genérico, enquanto não pudermos tratar de crimes previstos no
ordenamento jurídico-penal, porque eles não existem, ou existem em tímidas
proporções em alguns lugares do mundo.
2.2.
Conceito de computer crime
A
Organização para a Cooperação Econômica e Desenvolvimento (OECD) diz que
"crime informático" ou computer crime "é qualquer conduta
ilegal, não ética, ou não autorizada, que envolva processamento automático de
dados e/ou a transmissão de dados" (REIS, ob. cit., p. 25).
Donn
Parker, citado por Maria Helena Junqueira Reis, ensina: "Abuso de
computador é amplamente definido como qualquer incidente ligado à tecnologia do
computador, no qual uma vítima sofreu, ou poderia ter sofrido, um prejuízo, e
um agente teve, ou poderia ter tido, vantagens." E mais adiante:
"Procuro sempre evitar o debate sobre se um determinado caso é ou não
abuso de computador. Isso não serve a nenhum propósito útil" (apud.
REIS, ob. cit., p. 25).
Maria
Helena Junqueira Reis (1997) não considera essas definições suficientes.
Concordamos com ela, a esse respeito. Como a autora mesma lembra em seu livro,
na definição da OECD não foi levado em consideração fraudes na entrada de dados
(input).
2.3.
Classificação dos computer crimes
O computer
crime pode, segundo as classificações dos autores e seus conceitos, se dar
na unidade de entrada; na de saída; na unidade central de processamento; num
dispositivo de armazenamento ou de transmissão de informações.
Como
não há consenso sobre a classificação desse tipo de crime, citaremos a
classificação de C. M. Romeo Casabona, professor catedrático da Universidade de
La Laguna - Espanha (apud Maria Helena Junqueira Reis, ob. cit., 1997):
a)
Manipulação de entrada de dados (input):
consiste em introduzir dados falsos no computador, bem como modificar os dados
reais ou introduzir dados completamente fictícios.
Para ele também é possível a omissão do registro de dados.
b) Manipulações no programa: parte de uma correta entrada de dados,
mas o processamento conduz a resultados falsos por interferências no
programa. O agente pode modificar ou eliminar alguns passos do programa ou
introduzir partes novas no mesmo. São, às vezes, feitas modificações, depois
do resultado alcançado, para restituir as instituições originárias do
programa.
c) Manipulações na saída de dados (output): os dados introduzidos
são verdadeiros, o programa permanece inalterado, mas há manipulação na saída,
seja quando os dados são refletidos na impressora, seja quando vão ser
transmitidos para outro computador.
d) Manipulação à distância: mediante telemática, isto é, quando o
computador se encontra conectado com outros terminais ou computadores, por
linha telefônica, fibra ótica, satélite, etc., mediante um modem que
codifica e decodifica as informações.
Esse tipo de procedimento ultrapassa as fronteiras nacionais, o que pode gerar
problemas quanto à aplicação da lei penal no espaço. São os chamados delitos à
distância (a ação é praticada em um país e o resultado acontece em outro).
Quanto à observação da autora, item "d", podemos acrescentar que, com
o advento da Internet, esses crimes se tornaram muito comuns, tanto ao acesso
de banco de dados alheios, quanto à proliferação de vírus de computador. Esse
tipo de crime tem sido chamado atualmente de crime cibernético (cybercrime).
E, em geral, os sujeitos ativos dos chamados computer crimes são
chamados de piratas cibernéticos (crackers)5
. Os crackers são aqueles que "quebram" a segurança de um
sistema. O termo foi criado em 1985 por hackers, em defesa contra o uso
incorreto da palavra hacker.
Para
David Icove (1995) (tradução nossa), há muitas maneiras de se classificar os
chamados computer crimes. Pode-se dividi-los de acordo com o autor (quem
os comete) e suas motivações. Por exemplo: criminosos profissionais procurando
por ganhos financeiros, ex-empregados com sentimento de raiva procurando por
vingança, crakers procurando por desafios intelectuais. Ou pode-se
dividi-los pelo modo como são realizados. Por exemplo: por modificação de software6.
Cracking é o ato de "quebrar" (elidir) a segurança de um
sistema de computador.
A
palavra hacker7
não tem o mesmo significado da palavra cracker. Esta está explicada
acima. Aquela é usada para designar pessoas que possuem grande conhecimento em
alguma linguagem de programação (experts). Também é usada em relação
àqueles que gostam de explorar detalhes dos sistemas programados e como
melhorar suas capacidades, em oposição à maioria dos usuários, que preferem
aprender o mínimo necessário. Pode significar, ainda, o conhecedor ou
entusiasta de alguma coisa, por exemplo, da astronomia (hacker da
astronomia). O termo hacker também é usado para designar membro de uma
comunidade global, definida na Internet. São práticos, não teóricos. Mas se
usam seus conhecimentos para causar malefícios a sistemas alheios, são
designados por crackers.
Crackers
tendem a se unir em grupos pequenos e secretos; e embora eles gostem de se autodenominar
de hackers, a maioria dos verdadeiros hackers consideram aqueles
uma "forma de vida" inferior.
3.
O PROBLEMA DA PROVA NOS COMPUTER CRIMES
O
Código de Processo Penal prevê, em seu artigo 6°, inciso VII, que a autoridade
policial deverá "determinar, se for o caso, que se proceda a exame de
corpo de delito e a quaisquer outras perícias." No seu inciso III,
temos: "colher todas as provas que servirem para o estabelecimento do
fato e suas circunstâncias." O artigo 11 prescreve que "os
instrumentos do crime, bem como os objetos que interessarem à prova,
acompanharão os autos do inquérito." Muitas outras providências são
previstas, que servirão de base para o oferecimento ou não da denúncia e, se
for o caso, da queixa.
Para
Maria Helena Junqueira Reis (1997): "A ação do agente, seja através de
vírus maligno, alteração, supressão, apagamento de dados e, evidentemente,
também dos [backups (cópias)], certamente deixará a polícia sem provas. A
sabotagem do suporte lógico que inclui o apagamento de dados e programas
reafirma a questão. O apagamento de dados pode ser reversível, mas só em casos
muito especiais.
Dirão alguns: e as testemunhas?
Duvidamos muito que o agente de um crime desta natureza vá reunir todos os
processadores e funcionários da área para tecer comentários a respeito de suas
futuras ações ilícitas, sendo que, muitas vezes, ele pode agir sozinho."
Não
conseguimos entender a expressão utilizada pela autora, "...processadores
e funcionários da área...", visto que não se chama nenhum empregado de
"processador", nessa área. A palavra usualmente utilizada é
"operador" (de computador; de sistema). A área da empresa onde o
operador de computador trabalha é chamada de "Operação".
E
mais adiante: "Geralmente o funcionário trabalha processando dados,
como um operário que constrói um parafuso para uma máquina de pesquisa
tecnológica. Ele sabe alguma coisa a respeito de tecnologia? Sabe para que está
fazendo isto ou aquilo? Em computação é a mesma coisa, com um agravante: se
nada der certo, o conjunto probatório pode ser facilmente destruído, apagado.
Sobrarão, para a polícia, máquinas, micros inofensivos e nada mais"
(ob. cit., p. 46).
Há
uma impropriedade na expressão "o funcionário trabalha processando
dados", visto que, como dito acima, não existe o empregado
"processador" e sim o "operador". Quem trabalha processando
dados é o computador; a máquina, não o ser humano.
Além
do mais, o empregado, operador, sabe, em geral, o que ele faz. Ele não precisa
saber análise de sistemas ou programação, para operar adequadamente a máquina.
Ele utiliza comandos do sistema operacional, para, por exemplo, fazer cópias de
segurança (backups) em fita magnética; imprimir relatórios que estão na área
(do disco rígido) de impressão (spool); trocar as fitas magnéticas, os
formulários nas impressoras; e outras funções inerentes ao cargo.
Não
é comum um operador de computador ser também analista de sistemas ou
programador. Assim, ele, em geral, não está autorizado a exercer tais funções.
Se o faz sem autorização expressa, está ultrapassando os limites de exercício
de sua função e pode ser punido por isso (de acordo com as leis trabalhistas).
Na maioria das empresas, a área onde se opera o sistema não é a mesma
(fisicamente) onde estão os analistas/programadores, que por sua vez não é onde
estão os operadores de computador, nem onde se localizam os operadores de
sistemas (mais chamados de usuários, ou clientes). Em geral, o computador de
médio e/ou grande porte (também chamado de computador central) está fisicamente
instalado na área de operação. Conhecemos empresas onde a área de operação não
é de acesso imediato ao analista/programador e, tampouco, ao usuário. Os
usuários, ou clientes, utilizam terminais (conjunto teclado e monitor, ligados
ao computador central), ou microcomputadores em rede (com ou sem ligação com o
computador central) para operarem o sistema (também chamado de aplicativo), por
exemplo, de Folha de Pagamento da empresa.
Os
analistas/programadores, se alojam em outro local, para desenvolverem
sistemas/programas e podem (em geral acontece) utilizar o mesmo tipo de
computador utilizado pelos usuários.
Devemos
deixar claro que nem toda empresa possui redes de computadores ou computador de
médio/grande porte. A configuração retromencionada é a utilizada por grandes
empresas, como, e.g., bancos.
Em
resumo: o operador de computador (e mesmo o usuário), em geral, sabe o que está
fazendo, mesmo que ele não saiba analisar o conteúdo dos relatórios impressos,
nem tenha conhecimento acerca de como funciona o conteúdo das fitas magnéticas
(com programas e arquivos). Os comandos que ele dá ao computador, para executar
tais funções, são específicas para aquelas funções e nenhuma outra.
O
usuário (ou cliente), em geral, não dá instruções ao computador. Apenas
preenche campos de entrada de dados no monitor; escolhe opções pré-programadas
(como num menu de opções) para percorrer o sistema (de Contabilidade da
empresa, por exemplo). Mas se estiver utilizando microcomputadores para acessar
o sistema, terá acesso a vários comandos do sistema operacional do micro, como
no caso do sistema operacional ser o programa Windows.
Em
geral, nas empresas organizadas, as áreas de trabalho no computador (accounts),
são separadas: a dos analistas/programadores; a do usuário; e a do operador.
Todos com senhas de acesso individuais.
Em
computação os comandos e as linguagens de computador não possuem ambigüidades.
Um comando tem uma ou mais funções, dependendo de sua complexidade, mas não há
dúvidas, dada uma seqüência de comandos, o que o computador poderá fazer. Se o
operador apaga um arquivo, ou programa, que não está na sua área (account)
de trabalho, ele tem más intenções, ou não foi bem treinado (ou ambas).
Gustavo
Testa Corrêa compreende o problema da prova, quando propõe a seguinte questão: (...)
o anonimato oferecido pela Rede faz com que a incidência de provas seja
mínima. Como poderíamos provar em juízo o crime de um hacker que utiliza
pseudônimo ou o nome de outrem?."8
(Grifos nossos)
Nos
Estados Unidos da América, o programador Timothy Lloyd, de 39 anos, foi
condenado a três anos e cinco meses de prisão por ter sabotado os computadores
de sua ex-empresa, a Omega Engineering, causando prejuízos de 10 milhões
de dólares. Além disso, o programador terá que pagar dois milhões de dólares
para compensar seus ex-empregadores.
O
advogado de Timothy Lloyd, Edward Crisonino, afirmou que as evidências apresentadas,
entre elas um disco rígido encontrado por agentes do serviço secreto
norte-americano na garagem de Lloyd, não são suficientes para provar a culpa
de seu cliente. Segundo ele, "pode ter sido uma falha do sistema, ou
então foi sabotagem, mas eles não provaram que o responsável tenha sido
seu cliente" (grifos nossos). Além disso, segundo o mesmo advogado,
outros funcionários tinham livre acesso ao sistema e poderiam ter executado a
sabotagem9.
3.1.
Ação através do vírus
Antes
do advento da Rede Mundial de Computadores, que se deu em torno do ano de 1995,
o meio de transmissão de vírus mais utilizado era através de disquetes, ou pela
rede de computadores de uma empresa (LAN, MAN ou WAN)10.
Agora
que a Internet teve seu uso disseminado e milhões de pessoas no mundo todo a
utilizam para os mais variados fins, os vírus passaram a ser transmitidos
preferencialmente por essa rede. E isso se dá numa velocidade espantosa: por
exemplo o vírus Nimda que utilizou o correio eletrônico como meio
principal de contaminação, infectou 100.000 (cem mil) computadores em vinte e
nove países, inclusive o Brasil, em apenas 24 horas. Ao final, no mundo, a
contaminação atingiu mais de oito milhões de computadores11.
Segundo
pesquisa da empresa MessageLabs, um em cada 300 e-mails continha vírus,
em setembro de 2001. Em outubro de 2000, essa média era de um para cada 700. E
a previsão é ainda mais pessimista. Se o número de vírus de computador
continuar crescendo, é possível que, lá por 2007 ou 2008, um em cada 10 e-mails
esteja infectado.
Até
2013 as coisas podem ficar muito piores: um em cada dois e-mails poderá trazer
algum vírus. Há previsões que calculam em trinta e seis bilhões de e-mails
enviados, por dia, em 2005. Se um em cada dois e-mails estiver contaminado, dá
para se ter uma idéia da catástrofe12.
Uma
empresa americana de consultoria e pesquisa, a Computer Economics,
divulgou um relatório sobre o impacto econômico dos vírus de janeiro a agosto
de 2001. Segundo a empresa, os invasores causaram nesse período perdas mundiais
de 10,7 bilhões de dólares13.
Além
da velocidade vertiginosa de contaminação, é muito difícil localizar o computador
donde surgiu o vírus. Mesmo porque, seu criador pode gravá-lo em disquete e
utilizar um outro computador, que não o seu, para começar o processo de
transmissão. Pode-se utilizar, inclusive, de computadores de instituições de
ensino ou públicas, já que os programas de proteção contra vírus ainda não
estarão preparados para combater aquela versão nova, ainda em fase inicial de
propagação.
Dessa
forma, é ingrata a tentativa de se localizar os responsáveis pela sua criação e
disseminação.
Devemos
notar que há, quase sempre que se fala em ciberespaço (ou Internet), o problema
da competência (jurisdição). Esse tipo de crime é chamado de cybercrime.
Recentemente, uma decisão sobre competência foi tomada pela Alta Corte da
Austrália, que : "(...) concedeu a um empresário australiano o direito
de mover um processo de indenização na Austrália, contra um site de Internet
baseado nos Estados Unidos, responsável pela publicação de um artigo
supostamente difamatório envolvendo o autor da ação judicial."14
3.2.
Negação de Distribuição de Serviço (Denial Distribution Service - DdoS)
Em
outubro de 2002, os equipamentos que servem como diretório principal da
Internet foram vítimas de um tipo comum de ataque, conhecido como Negação de
Distribuição de Serviço (DdoS), vindo normalmente de microcomputadores de crackers.
Os computadores do diretório ficam sobrecarregados de solicitações de acesso
forçadas pelos microcomputadores dos crackers. Assim, a rede, como um
todo, fica sobrecarregada e o tráfego de informações não flui. Tais ataques
acontecem, em verdade, todos os dias e, segundo os especialistas, são
praticamente impossíveis de impedir uma vez que os invasores cobrem seus
rastros com endereços falsos de Internet, que usam microcomputadores invadidos.
Segundo Bruce Scheineier, vice-presidente de tecnologia da Counterpane
Internet Security, uma empresa de monitoramento de segurança, "Você
prende pessoas porque elas são estúpidas. Se o cara não tagarelar,
provavelmente você nunca irá pegá-lo."15
3.3.
Venda de cartões de crédito roubados
Segundo
uma reportagem da versão eletrônica do jornal The New York Times,
traduzida pela versão eletrônica da revista Exame Info, a venda de cartões de
crédito na Internet está crescendo cada vez mais e gera mais de um bilhão de
dólares de prejuízo ao sistema financeiro mundial.
Os
cartões roubados são usados em uma infinidade de fraudes, entre elas em compras
online ou desvio direto de dinheiro da conta de seus proprietários. Os
dados desses usuários geralmente são obtidos por crackers que quebram os
sistemas de lojas online, conseguindo assim acesso a milhares de
registros de cartões de crédito em poucos segundos.
Ainda
segundo a reportagem, alguns dos marketplaces que vendem cartões
roubados chegam a ter dois mil membros, e o administrador do sistema vive
mudando seu endereço de e-mail, para prevenir que suas atividades sejam
monitoradas pelas autoridades e pela polícia16.
4.
O PROBLEMA DO CORPO DE DELITO
Dispõe
o artigo 158 do Código de Processo penal: "Quando a infração deixar
vestígios, será indispensável o exame de corpo de delito, direto ou indireto,
não podendo supri-lo a confissão do acusado."
Já o artigo 167, prescreve: "Não sendo possível o exame de corpo de
delito, por haverem desaparecidos os vestígios, a prova testemunhal poderá
suprir-lhe a falta."
O artigo 564, III, "b", que trata da nulidade dos atos, determina:
"A nulidade ocorrerá nos seguintes casos:
I- ........
II- ........
III- por falta das fórmulas ou dos termos seguintes:
a) ........
b) o exame de corpo de delito nos crimes que deixam vestígios, ressalvado o
disposto no artigo 167."
Ronald
L. Mendell (1998) (tradução nossa) considera que vários tipos de perdas de
dados podem ser ambíguas, sendo acidentais ou planejadas na sua origem.
Resolvendo essa ambigüidade tem-se a chave para estabelecer o corpo de delito.
Os incidentes ambíguos incluem perda de serviço, transações em áreas de dados (accounts)
incorretas, sobrecarga inexplicada de área de dados e perda de informações. A
segurança deve envolver as instalações, administradores de sistemas,
programadores e o corpo técnico nas investigações dessas perdas de dados. Toda
explicação natural ou acidental deve ser excluída antes de começar a
investigação criminal17.
Os
crimes conectados aos computadores são crimes materiais (ou de resultado) que "são
aqueles cuja conduta está relacionada com o resultado previsto no tipo. A
não-ocorrência desse resultado impede a consumação do crime"18
(ASSIS TOLEDO, p.143).
"Seus
vestígios devem ser objeto de exame. Sabemos que o exame de corpo de delito
nada mais é do que a comprovação pericial dos elementos objetivos do tipo, no
que diz respeito, principalmente ao evento produzido pela conduta delituosa.
Será direto, obviamente quando procedido por inspeção pericial, e indireto
quando a prova testemunhal suprir-lhe a falta.
Já sabemos que nos computer crimes existem maneiras de se apagar vestígios. A
prova testemunhal será insuficiente porque, na grande maioria dos casos, os
profissionais executam partes da operação sem terem uma idéia do esquema
criminoso. A confissão do acusado não poderá suprir a falta do exame, por força
de lei (art. 158, in fine).
Em palavras simples e diretas: a impunidade está ou estará praticamente
assegurada. A lei processual penal, unida à realidade destes crimes, cria
condições para isto.
Ficam algumas dúvidas: se formos criar uma lei nova para evitar este problema,
como deveria ser feita? Como proibir o uso de comandos que apagam dados no
computador, ou evitar outros procedimentos que cheguem a este mesmo resultado?
Como separar o uso científico do uso criminoso? Como provar a intenção do
agente dentro de uma realidade fática que não existe mais?
São questões que exigem estudo, muito estudo, antes de respostas precipitadas.
Os problemas relacionados à questão da prova nos parecem de difícil elucidação,
mas nada nos impede de tentar alguma solução neste sentido, por mais difícil
que ela possa parecer" (REIS, ob. cit., p. 47-48).
Não
nos parece possível, como quer Maria Helena Junqueira Reis, proibir o uso de
comandos que apagam dados no computador. O que se faz, em geral, é dar níveis
de acesso (em forma de hierarquia) diferentes, dependendo das necessidades
das pessoas que utilizam os sistemas. Normalmente, quem possui o maior nível de
acesso, com a possibilidade de utilizar todos os comandos do sistema
operacional, é o Administrador do Sistema. Aos usuários ou clientes, são
concedidos somente aqueles comandos necessários à suas funções, ou ainda,
permite-se que tenham acesso apenas a determinados arquivos que interessam ao
seu trabalho. Isso é feito em qualquer empresa organizada que se utiliza da
computação para gerir seus negócios.
Apagar
dados ou arquivos é função básica em qualquer sistema operacional. Se não fosse
assim, os sistemas de armazenamento como os discos magnéticos, ficariam logo
cheios, sem espaço para informações consideradas importantes para os
usuários/administradores do sistema.
Gustavo
Testa Corrêa, comenta sobre a dificuldade de se detectar o quê ele chama de
"crimes" digitais: "O grande problema relacionado aos
"crimes" digitais é a quase-ausência de evidências que provem
contra o autor, a inexistência da arma no local do crime. Uma gloriosa
invasão a sistema alheio não deixaria nenhum vestígio, arquivos seriam
alterados e copiados, e nenhum dano seria prontamente identificado. Um crime
perfeito, sem traços, e portanto sem evidências. Justamente por essa qualidade da
perfeição, há dificuldade em presumir o provável número desses
"crimes"."19(Grifos
nossos)
Há
autores que criticam a existência dos computadores, dizendo até que se não
houvessem os computadores, ficaríamos livres dos computer crimes. Alguns
parecem insinuar que não deveríamos ter desenvolvido os computadores,
simplesmente porque não conhecemos o funcionamento do nosso próprio cérebro20.
Ora,
o mau uso dos computadores por alguns21,
não pode ser usado como motivo para diminuir a importância de tais máquinas
para uso científico, tecnológico e de produção na nossa sociedade. Nessa linha
de raciocínio, poderíamos chegar à conclusão que, como acidentes de carro
provocam mortes, deveríamos abolir de vez o uso dos automóveis. E, por
conseqüência, também os aviões, trens, etc. Ademais, não se criaram os
computadores para imitar "o que não se conhece por inteiro",
mas para que cálculos e processamento de informações fossem feitos a uma
velocidade que não é possível para nós, humanos. Se os computadores não
tivessem servido ao fim ao qual foram criados, teriam sido esquecidos há muito.
Por
fim, o desenvolvimento dos computadores, não significa a tentativa de "superar
os limites, por exemplo, das leis da física que atingem este setor."
As leis da física atingem22
vários setores da vida humana, não só o campo da ciência da computação. Em que
situação esses autores consideram que há tentativa dos computadores de superar
os limites da física? Pelo contrário, o conhecimento da física, mais
especificamente da eletrônica digital, que pertence ao ramo da eletricidade, é
utilizado para a construção dessas máquinas que tanto facilitam a nossa vida.
Já a inteligência artificial nada mais é que o desenvolvimento de programas
especialistas, que tentam nos ajudar a sermos mais eficientes, por exemplo no
diagnóstico médico de doenças.
Aliás,
nesse campo, a medicina, já estão testando o computador de DNA, ainda numa
versão simples (março de 2002), que visa combater doenças, atuando dentro da
célula. Esse tipo de computador funciona de forma parecida à máquina de Turing
(Alan Turing, matemático, 1912 - 1954), criada em 1930, que praticamente deu
origem às ciências da computação.
No
século XIX George Boole desenvolveu um sistema de álgebra (a álgebra das
proposições) onde se poderia determinar se uma sentença é falsa ou verdadeira.
Em 1930 Alan Turing mostrou que com a álgebra de Boole, apenas três funções
lógicas são necessárias para o processo de determinação dos "falso's"
ou "verdadeiro's". Estas funções são: E, OU, e NÃO. Percebeu-se por
esta época, a relação entre dispositivos de chaves de relés, a álgebra de Boole
e a teoria dos conjuntos. A fabricação de circuitos eletrônicos baseados na
álgebra de Boole evoluiu de maneira fantástica, nos últimos anos. É daí que vêm
os computadores: uma união entre a matemática e a eletrônica.
O
raciocínio desses autores, data vênia, vai de encontro ao bom senso: "(...)
Ninguém de bom senso vai propor a proibição de computadores para acabar com os
crimes virtuais (...)."23
A solução não é criticarmos a existência das máquinas, mas sim o uso que os
homens fazem delas. Só assim poderemos criar legislação e procedimentos de
segurança adequados, que diminuam a criminalidade nessa área.
Embora
não concordemos com o pensamento desses autores, é necessário resguardar o
direito a opiniões divergentes. Afinal, como diz um ditado Taoísta: "A
controvérsia é uma prova de que não se vê com clareza."24
(Grifos nossos)
5.
BIBLIOGRAFIA:
Retirado de: http://www.forense.com.br/