A CONDUTA ILÍCITA
1 - CLASSIFICAÇÃO
Crime de computador é toda conduta ilícita praticada por
meio de computador ou sistema de informática.
No livro "O Direito na Era da Informática ", a doutora Sandra
Gouvêa, propõe a seguinte classificação para
esse tipo de crime: Inserção, Alteração, Supressão
e Furto de dados e informações.
Uma questão ainda suscita grande discussão: a diferença
entre dado e informação. Numa definição gramatical
dado é o elemento ou quantidade conhecida que serve de base à
solução de um problema e informação é
o conjunto dos atos que têm por objeto fazer prova de uma infração
e conhecer-lhe o autor. Pode-se dizer ainda que dado é o elemento
essencial para formação de um juízo e informação
é sinal ou grupo de sinais de um repertório que pode ser
tratado, armazenado . Na realidade, podemos considerar a informação
como sendo o dado aplicado na situação prática.
A inserção é a adição de uma nova
informação no sistema - aqui entendido como um banco de dados.
Alteração é a modificação de uma informação
já presente no sistema. Supressão é o ato de esconder,
tirar, apagar, uma informação do sistema.
No furto a coisa alheia não é tirada de seu proprietário.
O agente pratica o crime pelo simples acesso, ou conhecimento da informação.
No romance "Post Mortem ", de Patrícia Cornwell, a personagem
principal - a médica legista Kay Scarpetta - tem seu computador
invadido e um dos laudos de autópsia é modificado. Temos
aqui um exemplo de inserção e alteração. Houve
também furto, pois se tomou conhecimento de uma informação
reservada. Se o invasor tivesse apagado algo, haveria então a supressão.
Diz o artigo primeiro do Código Penal que não há
crime sem lei anterior que o defina, nem pena sem prévia cominação
legal. Podemos dizer então que a conduta ilícita praticada
pelo computador não é crime pelo simples fato de não
haver lei anterior que a defina?
Diz o artigo 4.º da Lei de Introdução ao Código
Civil que o juiz utilizar-se-á da analogia, dos costumes e dos princípios
gerais do direito, quando a lei for omissa, para decidir. Esse artigo trata
não apenas de interpretação, mas de integração
de uma norma ao ordenamento jurídico. No caso de crimes de computador
a analogia é aplicada ao método de execução
da conduta e não sobre o núcleo da ação prevista
na lei.
O crime continua o mesmo. O que muda é o modo de execução
da conduta. Posso, por exemplo, matar alguém apertando o gatilho
de uma arma na direção dele, ou mandando-lhe uma carta com
um veneno em pó mortal, ou ainda invadir o computador do hospital
aonde esteja internado e trocar-lhe a medicação , diretamente
na ficha do paciente, de glicose por cloreto de potássio causando-lhe
a morte. Nos três casos foi praticado homicídio. Através
de uma conduta diferenciada se chega ao mesmo resultado previsto na lei.
Segue a cópia da ementa de um julgamento de uma
habeas corpus, feito pelo Ministro Sepúlveda Pertence sobre o tema:
Agora vejamos o caso do vírus de computador Melissa. O usuário
recebe um correio eletrônico com um arquivo anexado. Ao abrir esse
arquivo o vírus entra em ação. Ele utiliza a lista
de endereços eletrônicos do usuário. Manda uma mensagem
para os primeiros cinqüenta nomes da lista com um arquivo anexado
que contém o vírus. E assim sucessivamente, garantindo assim
a rápida disseminação. O interessante é que
o Melissa só funciona nos programas Outlook e Word da Microsoft.
O advogado do suspeito de ser o criador desse vírus disse: "O vírus
Melissa não destrói, não danifica nem apaga arquivos.
Tudo o que ele faz é mandar uma mensagem inofensiva para meia centena
de pessoas. Meu cliente, portanto, não cometeu nenhum crime. "
Não cometeu mesmo nenhum crime? Como o juiz deve proceder
nesse caso? Como provar que o suspeito preso é o autor do vírus.
Houve dano? Como prová-lo?
2 - DAS PROVAS
A grande questão se encontra agora no processo. Materialidade
e autoria. Como provar? A atividade de investigação dos delitos
praticados via Internet se dá basicamente através da interceptação
das comunicações.
A Lei 9296/96 que regulamenta o inciso XII, parte final, do art. 5.º
da Constituição Federal, trata da "interceptação
de comunicações telefônicas de informática e
telemática ". Diz o seguinte:
Está claro que a expressão "salvo, no último
caso" refere-se à "comunicações telefônicas"
apenas. Então "as comunicações de dados" são
invioláveis. Não sendo possível, a violação,
nem mesmo com autorização judicial. Logo, a lei 9296/96 é
inconstitucional. A prova obtida dessa maneira é ilegal.
E como fica a investigação nesses casos? Se as
provas foram obtidas através da interceptação, como
diz a Lei 9296/96, o processo é nulo, pois baseou-se numa lei inconstitucional.
Trata-se de flagrante violação do inciso XII do artigo 5.º
da
Constituição Federal.
Então poderíamos considerar esse elemento apenas
como indício, uma prova meramente circunstancial?
Não. O inciso LVI do artigo 5.º da Constituição
Federal diz:
1 - MODUS OPERANDI
A técnica mais usada dispensa conhecimento de computação.
É a "Engenharia Social". É simples: a maneira mais fácil
de se conseguir uma informação é perguntando! Fazer
as perguntas certas na hora certa. Essa foi a "técnica" utilizada
por Kevin Mitnick no ataque a algumas empresas. Ele telefonava se
fazendo passar por funcionário e com isso obtinha as informações
necessárias. Mas há ainda outros pontos.
A segurança física dos computadores e também do
local onde estes se encontram. As técnicas nessa caso são:
vasculhar o lixo (trashing), escuta telefônica (wiretapping), negação
de serviço (denial of service) e a monitoração de
emanações eletrônicas. Vasculhar o lixo consiste em
procurar por papéis que tenha sido jogados fora por funcionários
das empresas e que tenham informações importantes (essa técnica
é mostrada no filme "Hackers - Piratas de Computador"). Escuta telefônica
é o famoso grampo. Monitoração de emanações
eletrônicas é a mais interessante. Consiste na monitoração
das ondas eletromagnéticas emitidas pelo monitor do computador.
Essas ondas podem ser decodificadas e pode-se ter acesso a tudo o que é
feito na tela do monitor. Em instalações militares os monitores
são revestidos de chumbo para evitar esse tipo de ataque. A negação
de serviço consiste na não disponibilização
do serviço ao usuário. São exemplos desse tipo de
ataque o corte da energia, o flooding (muito utilizado no programa de bate-papo
mIRC) e o mail-bomb.
A segurança dos dados. Nesse caso, geralmente são
explorados as falhas dos programas (software) e dos equipamentos (hardware),
como os bugs - defeitos que não foram corrigidos pelo fabricante
- e a back-door - literalmente "a porta dos fundos", um buraco deixado
pelo programador para que pudesse entrar e alterar o programa.
A segurança das comunicações. Algumas técnicas
utilizadas nessa caso são o sniffer que é a monitoração
do tráfego da rede à procura de informação
não codificada, o spoof que o ataque à comunicação
do servidor e a mudança de rota que faz a informação
de um determinado servidor passe ou seja direcionada para determinado lugar.
2 - AS "ARMAS"
Reproduzo aqui a melhor explicação que encontrei sobre as "armas" mais utilizadas pelos hackers. O texto abaixo é de Marcus Machado e foi retirado da Anti-Hacker's Home Page .
Mail-Bombs
Seguindo o raciocínio acima, podemos perceber que, não
sendo por meio de disquete contaminado, um vírus só pode
causar algum mal se for executado (tanto os normais quanto os de macro).
Então, um e-mail que contenha um arquivo anexado é perigoso,
pois pode conter um vírus, mas se você apagar este arquivo
ou passar um antivírus nele o problema estará resolvido.
Portanto, que diabos é esse negócio de mail-bomb? A mensagem
explode? Não. A mensagem é apenas texto, e texto não
é executado. O problema do mail-bomb geralmente não é
seu, mas sim do seu provedor. O negócio é o seguinte: cada
usuário de um provedor de Internet possui um espaço limitado
na caixa postal para receber mensagens. O bomb se refere à "estourar"
o espaço que lhe destina no seu provedor, e assim o provedor, com
sua caixa postal entupida de mensagens, começa a rejeitar mensagens
novas destinadas a você, até que você retire suas mensagens
e esvazie sua caixa postal. O processo de mail-bomb é exatamente
isso: várias mensagens repetidas, geralmente contendo um texto malcriado,
que abarrotam seu e-mail e impede que você receba mais mensagens,
o que pode ser muito prejudicial para algumas pessoas com negócios
importantes que dependem de correio eletrônico.
Os bons programas leitores de e-mail (como o Pegasus) possuem a
capacidade de lhe mostrar apenas o Subject, o tamanho e o remetente das
mensagens que estão lhe esperando no provedor. A partir daí
você pode escolher qual você quer trazer para seu computador,
qual você quer apagar do servidor, ou ambos. Isto é muito
útil para se prevenir de "baixar" milhares de mensagens que só
serviriam para ocupar seu tempo. Consulte periodicamente sua caixa postal
para certificar-se de que ela não está muito cheia. Alguns
provedores possuem mecanismos "anti-mail-bombs" (sinceramente, não
sei até que ponto isto é seguro), assim como os serviços
de caixa-postal virtual, por exemplo o Pobox.
Cavalos-de-tróia
Você conhece aquela história sobre o presente dos troianos,
um belo cavalo de madeira, que escondia centenas de soldados prontos para
acabar com a paz do presenteado, certo? Na era da informática não
mudou muito, a não ser pelo fato de que os cavalos de madeira são
feitos agora de bytes. Os chamados "programas cavalo-de-tróia" são,
aparentemente, programas comuns, muitas vezes conhecidos, algumas vezes
novos, mas que sempre fazem algo mais do que anunciam. Seja capturar senhas,
causar estragos ou tirar proveito do usuário de alguma forma não
documentada. Tá complicado? Imagina o seguinte: toda vez que você
se conecta ao seu provedor, ele executa um programa chamado "login", que
te pergunta seu nome e sua senha. Imagina se alguém faz um programa
muito parecido com o "login" mas que, além de lhe conectar no provedor,
ele faz uma cópia da sua senha em um arquivo escondido, onde apenas
o autor do programa alterado sabe o local. Em alguns dias ele resgata este
arquivo e terá nas mãos a senha de quase todos os usuários
do seu provedor. É claro que alterar um programa desses é
uma coisa muito complicada, principalmente porque o hacker precisaria ter
privilégios de administrador no sistema em questão. Mas,
por incrível que pareça, alguns administradores usam senhas
tão fáceis que põe em risco não só seus
sistemas como também a conta bancária de seus usuários.
Backdoors
Antigamente, todo sistema tinha uma backdoor (ou "porta dos fundos"),
por onde o criador do sistema poderia entrar a qualquer hora, independente
de quem fosse o responsável pelo sistema. O autor garantiria sua
entrada criando uma passagem secreta, que somente ele saberia o local.
A propósito, foi assim que o menino de War Games entrou no sistema
de guerra: o criador do sistema deixou uma senha válida, a qual
poderia ser sempre utilizada. E por algum tempo vários programadores
deixavam sempre um buraquinho por onde eles poderiam passar no futuro.
Hoje isso é mais difícil, pois existem muito mais pessoas
interessadas em procurar buracos do que antes. De qualquer forma, quando
você ouvir falar em "encontrar uma backdoor" ou "deixar uma backdoor
em algum sistema" lembre-se de que, geralmente, estão se referindo
a uma característica secreta e obviamente não documentada
que permite o acesso de quem implantou esta backdoor.
Lembre-se de que é perfeitamente possível existir
backdoors em scripts de IRC, programas de FTP, ou qualquer coisa que você
encontrar pela Internet. Portanto, escolha a dedo seus programas, e veja
bem com quem você os está conseguindo!
Anonymail
A Internet, por concepção, facilita muito a comunicação
entre computadores e pessoas. Acontece que, em prol da facilidade, deixamos
de ter segurança. Um bom exemplo disso é o e-mail. Ele foi
feito para nos comunicarmos uns com os outros, inicialmente para troca
de informações acadêmicas, e hoje, é muito fácil
ludibriar o protocolo usado pela correspondência eletrônica
para que ele assuma como remetente da mensagem quem quisermos que seja.
Ele não verifica o endereço de quem enviou a mensagem, apenas
pergunta qual é.
Existem alguns programas de e-mail (como o próprio Anonymail)
onde, além de preencher todos os campos normais de uma mensagem,
eles permitem que você preencha também o campo "from:", ou
seja, ele deixa você se passar por quem você quiser. E também
em que servidor de e-mail você deseja mandar a mensagem. O único
método de autenticarmos uma mensagem como sendo de quem diz ser,
é através da criptografia e assinatura eletrônica,
mas isso já é um outro assunto...
Lembre-se que é sempre possível identificar quem enviou
a mensagem. Vou tentar explicar como: vamos supor que você receba
uma mensagem de "elvis@rocknroll.sky". Nos programas de e-mail normais,
muita informação sobre a mensagem não aparece (para
não fazer confusão), mas este cabeçalho contém
todo o caminho percorrido pela mensagem. Tornando o nosso exemplo mais
simples, a mensagem passou por apenas dois servidores, o que recebeu a
mensagem, e o seu. Você pode consultar no seu servidor (pelo número
da mensagem, ou horário), qual foi o servidor que colocou esta mensagem
lá. Descobrindo isso, partimos para o segundo servidor e descobrimos
o IP da pessoa que colocou a mensagem naquele servidor de e-mail (ou seja,
o número IP da conexão aberta no servidor naquele horário
específico). Provavelmente seria o IP de um terceiro provedor (de
acesso). Bastaríamos descobrir qual o usuário que estava
conectado no modem deste terceiro provedor (cada modem do provedor possui
um IP) no horário em que a mensagem foi posta do servidor de e-mail
e pronto. Teríamos o nome do brincalhão em nossas mãos.
Ou senão um contato mediúnico com Elvis... ;-) "
Dessa forma os hackers passaram a ser denominados.
O movimento Cyberpunk nasceu na literatura. Era a denominação
dada a alguns escritores de ficção científica
fascinados por tecnologia. Esse é o motivo do "cyber". Eram "punks"
por causa da rebeldia, boêmia, aparência extravagante, alienação,
desligados da política e paixão pelo rock. Um dos ícones
desse movimento é o filme "Blade Runner".
É interessante notar que esse movimento nasceu antes da
era digital, dos computadores e da Internet. O movimento se iniciou entre
os anos sessenta e oitenta, quando os maiores feitos tecnológicos
eram as viagens espaciais. Foi se consolidar a partir dos anos oitenta,
com a popularização da informática e o início
daquilo que veio a ser mais tarde a Internet.
É a representação da contracultura dos anos noventa,
da era digital, da mesma forma que os hippies foram a dos anos sessenta.
4 – PUNIÇÃO
Há no Congresso Nacional vários projetos de lei
para Internet. A necessidade de regulamentação é urgente.
Exemplos de infrações não faltam. Entretanto, é
preciso discutir ainda um ponto importante: a pena para o infrator nos
crimes de computador.
Em Israel, os criminosos de computador são todos recrutados
pelo exército – se recusarem vão para a cadeia - pois essa
é considerada uma questão de segurança nacional. Poderia
se justificar pelo fato de Israel ser um país que está em
permanente estado de guerra. Esse é com certeza um dos motivos.
Entretanto, o que se tem em vista - além da segurança do
país - é a recuperação do infrator. O mais
recente caso foi de um garoto de dezessete anos que invadiu os computadores
do Pentágono nos Estados Unidos.
Nos Estados Unidos, o infrator é tratado como terrorista. No
filme Hackers, um esquadrão da Swat, armados com fuzis e coletes
à prova de balas, invade uma casa para prender um adolescente que
“brincava” no computador.
Não estaria correta esta interpretação? O infrator
não seria mesmo um terrorista? Terrorismo é o conjunto de
ações violentas contra o poder estabelecido, cometidas por
um grupo revolucionário. É a demonstração de
força pelo terror. Foi um grupo chamado “Cult of the dead Cow” que
criou o Back Oriffice , o qual chegou a causar um certo pânico. Há
vários grupos, tribos ou organizações de hackers espalhados
pelo mundo. Quando alguém implementa uma ação como
esta não estaria praticando terrorismo? Os casos mais recentes foram
os ataques aos sites do Governo americano, FBI e Casa Branca .
No Brasil, a receita seguida para se coibir a prática de um
delito é sempre a pena privativa de liberdade. Com um sistema prisional
escandalosamente precário como o nosso, essa é uma medida
apenas emergencial - para não dizer burra. Retira-se o infrator
da convivência em sociedade, para devolvê-lo depois mais perigoso
ainda.
Isso ao que parece começa a mudar. O primeiro sentença
sobre crime de computador foi dada no caso do analista de sistemas Jair
Francisco Pinto, em 17/11/97, por ter mandado ameaças via correio
eletrônico para duas jornalistas em São Paulo. Foi condenado
a dar quatro horas semanais de aulas de informática para os alunos
da Academia de Polícia. Beneficiou-se da Lei 9099/95 que prevê
pena de multa ou prestação de serviço à comunidade
no caso de crimes com penas inferiores a um ano, quando o réu é
primário.
Adiantaria darmos um tratamento semelhante ao terrorismo nos casos
de crime de computador, como nos Estados Unidos? A resposta é
não.
O criminoso de informática é um indivíduo de grande
capacidade, conhecimento técnico e inteligência. Na grande
maioria, esses infratores são réus primários. Deve-se
aproveitar todo o conhecimento adquirido pelo infrator na área da
informática e utilizá-lo em favor da sociedade. A eficácia
das penas alternativas já está mais que comprovada em outros
casos. A prestação de serviço à comunidade
seria a pena mais correta. O Estado gastaria pouco na recuperação
do indivíduo e este não se degeneraria num sistema carcerário
falido. Como medida punitiva, deve-se ainda confiscar as máquinas
- de propriedade do infrator - utilizadas na infração.
Copyright Marcelo Marzochi© 1999. Todos os direito reservados.
marzochi@hotmail.com
Endereço do autor:
Rua Dom José Gaspar 07
São João da Boa Vista-SP
13870-000 BRASIL
retirado da Internet:
http://sites.netscape.net/marcelomarzochi/homepage/direito_br.htm#conduta
ilicita