Emerson Wendt – http://www.emersonwendt.com.br
Sandro Süffert – http://blog.suffert.com
Há alguns dias acompanhamos uma frenética divulgação, pelo site WikiLeaks, de conteúdos de correspondências trocadas pelas embaixadas americanas. O caso passou a ser chamado de Cablegate.
Não bastasse isso, com a retaliação advinda do Governo americano e de grandes empresas (a exemplo da Amazon, que deixou de hospedar o site e da Mastercard e Visa, que deixaram de processar seus pagamentos) a consequência passou a ser um contra-ataque oriundo de simpatizantes de Julian Assange (idealizador do WikiLeaks).
O contra-ataque veio em várias frentes. Primeiro, na criação dos chamados espelhos do site (mirrors), funcionando como ferramentas para manter o "ideal" do WikiLeaks, e o que representa, ativo e visto por todos, e; segundo, através de ataques direcionados a determinados sites apoiadores da ideia anti-WikiLeaks.
A última ação do grupo foi a invasão e exposição de contas e senhas dos sites Gawker (Gizmodo, Lifehacker, Kotaku, Deadspin) pela recente publicação de um artigo minimizando a capacidade do grupo "Anonymous". (Para verificar se sua conta foi comprometida, use este link).
No caso dos "mirrors" do site Wikileaks, que no Brasil já são doze, em avaliando a legislação brasileira, percebe-se que a posição do Dr. Omar Kaminski, reproduzida nesta avaliação, é a mais acertada, pois que não há previsão no Brasil quanto à punibilidade (aspecto penal) de pessoas que eventualmente hospedem uma página que contenha conteúdo reservado, confidencial, secreto ou ultra-secreto relativo a outro país. Diz Omar que quem "poderia tomar providências seriam os Estados Unidos. Devido ao trâmite diplomático e burocrático, seria muito difícil. Como o material é de fora, a legislação que deveria ser aplicada seria a deles".
A última ação do grupo foi a invasão e exposição de contas e senhas dos sites Gawker (Gizmodo, Lifehacker, Kotaku, Deadspin) pela recente publicação de um artigo minimizando a capacidade do grupo "Anonymous". (Para verificar se sua conta foi comprometida, use este link).
No caso dos "mirrors" do site Wikileaks, que no Brasil já são doze, em avaliando a legislação brasileira, percebe-se que a posição do Dr. Omar Kaminski, reproduzida nesta avaliação, é a mais acertada, pois que não há previsão no Brasil quanto à punibilidade (aspecto penal) de pessoas que eventualmente hospedem uma página que contenha conteúdo reservado, confidencial, secreto ou ultra-secreto relativo a outro país. Diz Omar que quem "poderia tomar providências seriam os Estados Unidos. Devido ao trâmite diplomático e burocrático, seria muito difícil. Como o material é de fora, a legislação que deveria ser aplicada seria a deles".
Já no caso dos ataques direcionados a sites apoiadores da ideia anti-WikiLeaks, ou seja, que seriam orientados pelo Governo americano, antes da avaliação quanto à aplicação da Lei Penal Brasileira, há que se fazer uma explicação a respeito.
Segundo já escrito anteriormente, várias das empresas que "viraram as costas" para o Wikileaks estão sofrendo ataques maciços de negação de serviço - ou DDoS (Distributed Denial of Service) - que inviabilizam sua presença online.
Um grupo, denominado "Anonymous", através de perfis do twitter como "anon_operation", “anon_operationn”, “anonopsnet” (já retirados do ar pelo Twitter), está comandando os ataques às empresas, que por pedido do Governo americano bloquearam os serviços que eram utilizados pela Wikileaks. Além do Twitter, o site do grupo (http://anonops.net/) e o seu perfil no Facebook também estão fora do ar.
O ataque é distribuído, e mais de 30.000 "bots voluntários" se unem a um canal de irc (ou a uma conta no twitter) para baixar a ferramenta "LOIC" (Low Orbit Ion Cannon) - que pode ser configurada em modo Hive Mind (algo como "Consciência Coletiva") - para que a máquina vire um zumbi pré-configurado para atacar os alvos escolhidos pelo grupo. Um dos alvos foi a VISA (www.visa.com), além do Mastercard e mais recentemente o site britânico da Amazon. A taxa de download da ferramenta passou de mil downloads por hora, o que demonstra o grande interesse nesta ação de “hacktivism”.
O grupo foi mais além e agora tem uma versão que roda direto do navegador. O JS LOIC é baseado em JavaScript e por isto não precisa ser instalado, bastando acessar uma página da web para colaborar com os ataques.
Além da facilidade de usar, o JS LOIC traz a vantagem de rodar em qualquer navegador moderno, incluindo os navegadores do iPhone e Android. Segundo Sean-Paul Correll, da Panda Security, o JS LOIC não é tão eficiente quanto a versão original, instalada na máquina, mas, por outro lado, abre a possibilidade de um número absurdamente maior de pessoas colaborarem com os ataques. Para os ativistas digitais, o conceito é até romântico: usar pequenos aparelhos celulares para atacar grandes sites. (fonte: IT Versa, neste link)
Segundo foi anunciado recentemente, dois holandeses, um menor de 16 anos e outro maior, de 19 anos, já foram presos por envolvimento nesses ataques. No caso do maior, por direcionar o ciberataque contra o site da promotoria holandesa.
A estratégia de distribuir ferramentas de Denial of Service para o público não é nova, e já foi utilizada durante os ataques que envolveram a Rússia e a Estônia em abril de 2007 e a Rússia e a Geórgia em Agosto de 2008.
O desenvolvimento e a utilização de tais ferramentas são crimes previstos há anos em legislações de vários países, como a Holanda, a Inglaterra e a Alemanha.
E, caso se comprovasse a origem de um ataque como sendo oriunda do Brasil? Bom, neste caso, teríamos de avaliar duas situações diferenciadas: primeiro, se o site atacado é nacional, e; segundo, se o ataque for direcionado a site internacional.
Nos dois casos, pode haver configuração de crime de dano, previsto no art. 163 do Código Penal Brasileiro:
Dano
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:
Pena - detenção, de um a seis meses, ou multa.
Dano qualificado
Parágrafo único - Se o crime é cometido:
I - com violência à pessoa ou grave ameaça;
II - com emprego de substância inflamável ou explosiva, se o fato não constitui crime mais grave;
III - contra o patrimônio da União, Estado, Município, empresa concessionária de serviços públicos ou sociedade de economia mista;
IV - por motivo egoístico ou com prejuízo considerável para a vítima:
Pena - detenção, de seis meses a três anos, e multa, além da pena correspondente à violência.
No caso de site nacional, o seu representante legal é apto para encaminhar a queixa-crime, sendo facilitado seu processo por já estar constituído legalmente no Brasil. No caso de site internacional e em não havendo representante legal no Brasil, cumpre-lhe encaminhar a documentação necessária (de sua constituição e representação de acordo com as leis locais de seu país de origem). Em ambos os casos há necessidade da comprovação do dano provocado.
Porém, se além do dano provocado, para recolocar o site no ar há exigência de alguma cooperação financeira em troca, pode haver outra configuração delitiva:
Extorsão
Art. 158 - Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar fazer alguma coisa:
Pena - reclusão, de quatro a dez anos, e multa.
§ 1º - Se o crime é cometido por duas ou mais pessoas, ou com emprego de arma, aumenta-se a pena de um terço até metade.
§ 2º - Aplica-se à extorsão praticada mediante violência o disposto no § 3º do artigo anterior.
§ 3o Se o crime é cometido mediante a restrição da liberdade da vítima, e essa condição é necessária para a obtenção da vantagem econômica, a pena é de reclusão, de 6 (seis) a 12 (doze) anos, além da multa; se resulta lesão corporal grave ou morte, aplicam-se as penas previstas no art. 159, §§ 2o e 3o, respectivamente.
No caso do ataque coordenado “anti-anti-wikileaks”, vários alvos são selecionados e controlados via um canal IRC ou um perfil no twitter. O grupo auto-denominado “Operation Anonymous” informa nas “perguntas mais frequentes” (FAQ), que ao utilizar a ferramenta LOIC as chances de prisão são “próximas de zero”, e basta alegar que seu computador foi infectado por um vírus ou alegar não ter conhecimento de nada.
A realidade é diferente, e o rastreamente de tais atividades é simples e solicitações de “quebra de sigilo IP” podem revelar facilmente a identidade dos atores por trás do ataque.
Há que se asseverar, já pensando no futuro da legislação brasileira, que o Projeto de Lei 84/99, traz previsão expressa quanto ao que escrevemos acima. O crime de dano teria nova redação, assim prevista:
Art. 163. Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio:
Ademais, o PL 84/99 prevê outro artigo interessante, no qual pode ser enquadrado o caso em questão:
“Inserção ou difusão de código malicioso”
Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.
Inserção ou difusão de código malicioso seguido de dano
§ 1º Produzir intencionalmente ou vender código malicioso destinado ao uso em dispositivo de comunicação, rede de computadores ou sistema informatizado.
Pena – reclusão de 1 (um) a 3 (três) anos, e multa
§ 2º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:
Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.
§ 3º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.
Na verdade, aporta aí uma solução importante e que pode delinear um futuro diferenciado quanto ao aspecto penal de utilização de uma rede de computadores zumbis com a finalidade de paralisar um serviço disponibilizado na web.
Parabéns aos autores pela contribuição à comunidade de direito digital.
ReplyDeleteE.N.
Bom artigo! Dúvida, na situação de quebra de sigilo, após identificado o envolvido através dos logs da operadora, a máquina utilizada no "ataque" será periciada para ser comprovada a legitimidade das ações do atacante e não o comprometimento da máquina por artigo malicioso ?
ReplyDeleteLuiz Ricardo
Adorei o post, muito bom, é uma bela contribuição para mim, pois vou começar a fazer segurança da informação pelo IESB em Brasília, pesquisei muito para chegar a essa faculdade. Acho necessário quem está em formação procurar espaços como esse para se especiaizar ainda mais na carreira, é necessário e é um diferencial, por isso parabens por esse espaço e por esse post.
ReplyDeleteLegal o post SS! Soh nao da para acreditar muito no cumprimento da lei no Brasil.
ReplyDeleteAlias.. Paulo Maluf eh ficha limpa :P
Por favor, isso não é uma 'trollagem', é apenas o ponto de vista de um Anônimo. (Ponto de vista este, que muitos veículos de comunicação estão ignorando)
ReplyDeleteParece hipocrisia que ações pacíficas de protesto contra a tentativa americana de acabar com a liberdade de expressão, se transformem em práticas de vandalismo frente à visão turva de parte da população, inclusive dos excelentíssimos juízes de direito do nosso país, com preconceitos moldados a partir de definições incorretas promovidas por um governo mentiroso, o mesmo que assassinou civis inocentes, o mesmo que espiona líderes mundiais.
Nossas formas de protesto são pacíficas, não danificam as propriedades de ninguém, alguns podem afirmar que estamos sujando a imagem das empresas-alvo, mas devo dizer que elas próprias o fizeram ao ceder aos interesses de um governo que não tem fundamentos jurídicos para sustentar seus atos, se negando a fornecer seus serviços ao Wikileaks.
Finalizo fazendo uma analogia;
Pense em uma greve de estudantes contra o aumento da tarifa de ônibus. Os estudantes se reúnem em um ponto ou um percurso determinado, o trânsito fica lento, o comércio é afetado indiretamente.
A negação de serviço que estávamos utilizando, nada mais é que uma "passeata na internet pela liberdade de expressão", como ocorre em uma passeata tradicional, as pessoas que participam precisam de um lugar ou um caminho, para que as autoridades responsáveis tenham ciência de que a população está descontente, nós tomamos como rota, as empresas que acataram o pedido do governo dos Estados Unidos.
As pessoas poderiam parar de nos ver como os vândalos que invadem uma loja, quebram e roubam os produtos, e passar a nos ver como manifestantes pacíficos, que lutam para que a verdade chegue a todos os cantos do mundo.
Anônimo respondendo anônimo.. Os fins justificam os meios? Afetar serviços úteis à população e que afetam o faturamento e imagem de empresas deve passar impune porque a internet permite facilmente que este tipo de ataque ocorra?
ReplyDeleteSe querem protestar, façam abaixo-assinados, textos organizados em blogs e jornais, mas não algazarra.
Está se misturando liberdade de expressão com absoluta falta de limites. As informações sobre as guerras do Iraque, do Afganistão e também algumas destas do cablegate são claramente perigosas se abertas para terroristas (sim, eles existem).
Não há nada de pacífico nisto. Como o texto disse, países desenvolvidos não toleram este tipo de atitude e ninguém que entende minimamente de tecnologia está impressionado com a qualidade técnica ou a atitude mal informada e infantil que alguns possuem.
Muitos são usados por interesses maiores e nem percebem. Não é tudo que vem de uma grande potência que é ruim, e também não é tudo que é feito contra uma grande potência é bom, louvável ou legal..
Muito Bom o Post, mestre! ;-)
ReplyDeleteAbração!!!