Post on 20-Jun-2015
CRIMES DIGITAIS
1 | P á g i n a
Sumário
1. Introdução 02
2. Quando Ocorreu 04
3. Legislação Brasileira 05
4. Classificação dos Crimes de Informática 07
4.1 Crime de Informática Puro 07
4.2 Crime de Informática Misto 07
4.3 Crime de Informática Comum 08
5. Leis 09
5.1 Novo Código Civil 09
5.2 Medida Provisória 2.200-2 10
5.3 Lei 9.296/96 11
5.4 Lei 9.983/00 11
5.5 Lei 9.800/99 12
6. Tipos de hackers e suas características 13
6.1 White Hats (hackers éticos) 13
6.2 Black Hats (hackers mal-intencionados) 14
6.3 Script Kiddies 14
6.4 Crackers 15
7. Ferramentas Tecnológicas Utilizadas Pelos Criminosos 16
7.1 Engenharia Social 17
7.2 Cavalo de Tróia 18
7.3 Spyware e Adware 19
7.4 Keylogger 19
7.5 Phishing 21
8. Hackers Famosos 24
9. Identificando os Autores 27
10. Conclusão 29
11. Referências 31
CRIMES DIGITAIS
2 | P á g i n a
1. Introdução
A cada dia, os jornais trazem mais notícias relativas à informática. Um novo
exame médico computadorizado, um método revolucionário de ensino a distância, o
lançamento de um filme feito com recursos de computação gráfica, robôs que partem em
direção ao espaço, enfim, uma nova forma de vida. O Homem não vive mais sem a
informática. Disso ninguém dúvida.
Esta tecnologia é dos maior bens das sociedades modernas. Mas os computadores
ingressam no cotidiano de forma tão rápida que o Direito, ciência que deve regular as
sociedades, não acompanhou esta evolução.
Graças à evolução e disseminação da informática, crimes de natureza classificados
como Crimes Digitais, estão se tornando cada vez mais comuns.
Mas, afinal, o que são crimes praticados por meio da informática? A doutrina
mundial começa a se preocupar com este tema, embora ainda não se tenha chegado a
um consenso em relação a vários aspectos, inclusive quanto à definição do que eles
realmente sejam.
Os crimes praticados por meio da informática não são novidades nos países
industrializados, aonde o uso dos computadores vem contribuindo de forma cada vez
mais apurada para a criminalidade. O Brasil não é exceção.
Têm-se notícias da destruição de programas de computador da EMBRAPA
(Empresa Brasileira de Agropecuária), por um usuário da Internet, causando prejuízos
incalculáveis. Está foi a primeira ação de crackers no país.
Um técnico do PRODESP (Centro de Processamento de Dados do Estado de São
Paulo) conseguiu incluir nomes fictícios de desembargadores na folha de pagamento do
Tribunal de Justiça de São Paulo, desviando em seguida os depósitos para uma conta em
seu nome.
A quebra do Banco Nacional, uma das principais instituições financeiras do
CRIMES DIGITAIS
3 | P á g i n a
país, trouxe à tona uma fraude que se estendeu por anos, sem que as auditorias (do
próprio banco e do Banco Central) percebessem. Funcionários dos alto escalão
mantiveram 652 contas fictícias através da utilização de um microcomputador não
conectado ao sistema central de processamento. Os balanços do banco era, assim
mascarados e apresentavam lucros irreais, mais tarde foram encontradas mais de 1.200
contas, que não tinham sido devidamente auditadas.
Explicar o que são crimes digitais, quando começou a ocorrer, como a legislação
Brasileira atua acerca de crimes digitais entre outros tópicos é o que sera focado nesse
trabalho.
CRIMES DIGITAIS
4 | P á g i n a
2. Quando Começou
Os primeiros crimes ocorreram na década de 70, e eram praticados, na maioria
das vezes, por especialistas em informática cujo principal objetivo era driblar os sistemas
de segurança, principalmente de instituições financeiras. Hoje, com a disseminação dos
computadores, e, principalmente, com o surgimento de redes, tanto o perfil dos usuários
como o dos criminosos mudou. Um relatório do Centro Nacional de Dados sobre Crimes
Digitais, nos Estados Unidos, já alertava, 1986, para a "Democratização dos crimes
Digitais”, mostrando que os criminosos incluem ladrões de rua reincidentes, funcionários
fraudulentos de pequenos negócios, empregados vingativos e caixas de banco
endividados. Na mesma proporção, qualquer pessoa hoje em dia pode ser vítima de
crimes praticados pelos meios da informática.
Muitos citam o caso Equity Founding Life Insurance Company, em Los Angeles,
Califórnia, como a maior fraude de computador, cujo valor atingiu dois bilhoes de
dólares. A fraude, iniciada em 1964, só foi descoberta em 1973.
Produziu-se uma seqüência de programas necessários para criar apólices falsas,
pagamento de comissões de venda, criação de relatórios falsificados e controle de saldos.
Ao final, cerca de 64.000 apólices falsas foram criadas e vendidas para outras
companhias pelo sistema de ressegurados. Mas, para Donn Parker, analista do
laboratório de Ciências da informação do Instituto de Pesquisa de Stanford, este caso
não chegou a ser um crime praticado por meio da informática, pois o computador foi
apenas incidental, sendo utilizado para processar a imensa quantidade de apólices falsas.
As ações criminosas podem ser divididas, basicamente, em dois grupo: aquelas
direcionadas contra os bens da informática e aquelas que utilizam estes recursos para,
por meios deles, praticar crimes.
A repressão a estas condutas já ocorre em vários países, sobretudo nos mais
avançados tecnologicamente. Em algumas legislações, modificou-se o Código Penal, em
outras, editaram-se leis extravagantes.
CRIMES DIGITAIS
5 | P á g i n a
3. Legislação Brasileira
Ultimamente, há muita discussão sobre a atual legislação brasileira e os crimes
computacionais. Grande parte das tarefas do nosso dia a dia são transportadas para a
rede mundial de computadores, ocasionando fatos e conseqüências, jurídicas e
econômicas, assim como ocorre no mundo físico. Por exemplo, a aplicação das normas
comerciais e de consumo nas transações via Internet, a questão do recebimento
indesejado de mensagens por e-mail (spam), a validade jurídica do documento
eletrônico, a privacidade e os crimes de informática.
Entende-se por crime de informática, crime computacional ou crime digital
qualquer ação em que o computador seja o instrumento ou o objeto do delito, ou então,
qualquer delito ligado ao tratamento automático de dados.
A legislação brasileira pode e vem sendo aplicada na maioria dos problemas
relacionados à rede. O primeiro artigo do código penal diz que:
Art. 1º - Não há crime sem lei anterior que o defina.
Não há pena sem prévia cominação legal.
Ou seja, se não existe uma lei para definir que tipo de ação é infração, então
não existe crime. Ledo engano aqueles que acreditam que por não existirem leis
específicas para os crimes digitais, eles ficarão impunes. Delitos cometidos como
transferência bancária ilegal pela Internet é um crime de furto já previsto pelo atual
Código Penal. A única diferença é o meio em que foi realizado, que é um novo meio de
comunicação.
Porém, existe a necessidade de leis que tratem essa nova modalidade de conduta
delituosa, para que os advogados busquem a correta tipicidade dentro da legislação,
como estabelecer regras acerca da inviolabilidade do sigilo de dados, da valia do e-mail
como prova e as conseqüências de sua interceptação, entre outros.
O principal problema dos crimes cometidos pela Internet é achar o verdadeiro
CRIMES DIGITAIS
6 | P á g i n a
culpado, já que a Internet facilita a anonimidade comprovedores que não armazenam
registros informando a relação de máquina-IP (Internet Protocol) ou através de proxy
anônimos.
Com o advento da Internet, surgiu a possibilidade de uma pessoa estar em um
lugar e cometer o crime em outro. Por exemplo, uma pessoa pode estar no Brasil e
praticar uma atividade ilícita, como jogos de azar, em um país da Europa. No Brasil isso
é tratado pela teoria da ubiquidade, acolhida pelo sexto artigo do Código Penal:
Art. 6º - Considera-se praticado o crime no lugar
em que ocorreu a ação ou omissão, no todo ou em parte,
bem como onde se produziu ou deveria
produzir-se o resultado.
Para que a jurisdição seja exercida, as autoridades brasileiras explicam que é
suficiente que o crime tenha "tocado" o território brasileiro, e que para esta finalidade
basta que parte da conduta criminal ou o resultado tenha ocorrido em território
brasileiro.
CRIMES DIGITAIS
7 | P á g i n a
4. Classificação dos Crimes de Informática
Os crimes de informática devem ser classificados quanto ao objetivo material, e
não ao simples fato do uso de computador ser considerado indiferente ao direito penal.
Eles podem ser de três modalidades:
• Crime de informática puro;
• Crime de informática misto;
• Crime de informática comum.
4.1 Crime de Informática Puro
Toda e qualquer conduta que vise exclusivamente violar o sistema de
computador, pelo atentado físico ou técnico ao equipamento e seus componentes,
inclusive dados e sistemas.
As ações físicas se materializam, por exemplo, por atos de vandalismos contra a
integridade física do sistema, pelo acesso desautorizado ao computador, pelo acesso
indevido aos dados e sistemas contidos no computador.
4.2 Crime de Informática Misto
São todas as ações em que o uso do sistema de computador é condição
essencial para efetivação de um crime.
Por exemplo, para realizar operações de transferência bancária ilícitas pela
Internet, é imprescindível o uso do computador para a sua consumação, sendo
classificado assim como um crime de informática misto.
CRIMES DIGITAIS
8 | P á g i n a
São todas as ações em que o uso do sistema de computador é condição
essencial para efetivação de um crime.
Por exemplo, para realizar operações de transferência bancária ilícitas pela
Internet, é imprescindível o uso do computador para a sua consumação, sendo
classificado assim como um crime de informática misto.
4.3 Crime de Informática Comum
São todos aqueles em que o sistema de computador é uma mera ferramenta
para cometer um delito já tipificado na lei penal.
Se antes, por exemplo, o crime como pornografia infantil era feito por meio de
vídeos ou revistas, atualmente, se dá por troca de fotos via e-mail e divulgação em sites.
Mudou a forma, mas a essência do crime permanece a mesma.
CRIMES DIGITAIS
9 | P á g i n a
5. Leis
Embora ainda não existam leis específicas para os crimes digitais atualmente, já
existem leis vigentes criadas para acompanhar essa revolução tecnológica que está
acontecendo. Merecem destaque:
• Novo Código Civil (Lei n 10.406)
• Medida Provisória 2.200-2
• Lei 9.296/96
• Lei 9.983/00
• Lei 9.800/99
5.1 Novo Código Civil
O novo Código Civil não traz nenhum artigo que remeta às ações praticadas pela
Internet mas, em compensação, alguns dos novos artigos podem gerar interpretações
que irão afetar o meio eletrônico, como:
Art. 225º - As reproduções fotográficas, cinematográficas,
os registros fonográficos e, em geral quaisquer
outras reproduções mecânicas ou eletrônicas
de fatos ou de coisas fazem prova plena destes,
se a parte, contra quem forem exibidos, não
lhes impugnar a exatidão.
CRIMES DIGITAIS
10 | P á g i n a
Assim, a legislação não exige que o documento seja reconhecido como
verdadeiro previamente, o documento agora é considerado verdadeiro até que provem o
contrário. O mesmo se aplica para uma evidência eletrônica.
Entretanto, é necessário que seja aplicada alguma tecnologia no documento para
garantir sua integridade e autenticidade, pois sem isso, a parte contrária pode contestar
a veracidade da prova.
5.2 Medida Provisória 2.200-2
Institui a Infra-Estrutura de Chaves Públicas Brasileira-ICP-Brasil, concedendo
autonomia ao Instituto Nacional de Tecnologia da Informação, entre outras providências.
Art. 1º - Fica instituída a Infra-Estrutura de Chaves
Públicas Brasileira - ICP-Brasil, para garantir a autenticidade,
a integridade e a validade jurídica de documentos
em forma eletrônica, das aplicações de suporte e das
aplicações habilitadas que utilizem certificados digitais,
bem como a realização de transações eletrônicas seguras.
Essa medida provisória reconhece a assinatura digital baseada na criptografia
assimétrica de chave pública e privada para garantir a identificação e a integridade dos
documentos eletrônicos, desde que a chave pública esteja em uma autoridade
certificadora.
Não é impedida a utilização de outro meio de comprovação da autoria e
integridade de documentos em forma eletrônica, inclusive os que utilizem certificados
não emitidos pela ICP-Brasil, conforme o segundo parágrafo do décimo artigo.
CRIMES DIGITAIS
11 | P á g i n a
5.3 Lei 9.296/96
É a primeira lei específica para o meio digital e trata, basicamente, do sigilo das
transmissões de dados. O fluxo de comunicações em sistemas de informática e
telemática podem ser interceptados somente com autorização da justiça.
Conforme o dicionário Michaelis, telemática é o conjunto das técnicas e dos
serviços de comunicação à distância que associam meios informáticos aos sistemas de
telecomunicações.
O segundo artigo desta lei diz que não será admitida a interceptação desse fluxo
de comunicação se:
• Não houver indícios razoáveis da autoria ou participação em infração penal;
• A prova puder ser feita por outros meios disponíveis;
• O fato investigado constituir infração penal punida, no máximo, com pena de detenção.
Sendo constituído crime a interceptação de comunicações telefônicas, de
informática ou telemática sem autorização judicial ou com objetivos não autorizados em
lei, além da quebra de segredo da justiça.
5.4 Lei 9.983/00
Considera como crime o ato de divulgar, sem justa causa, informações sigilosas
como senhas ou dados pessoais de clientes, por exemplo, contido ou não nos sistemas
de informação.
Então a publicação de dados reservados, assim definidos por lei, pela Internet ou
qualquer outro, é um sistema de informação e infringe a Lei com uma pena de até 4 anos
de detenção. Também é crime, de acordo com a Lei 9983/00, a inserção, modificação ou
alteração não autorizada de sistema de informações ou banco de dados.
CRIMES DIGITAIS
12 | P á g i n a
5.5 Lei 9.800/99
Essa Lei de 1999, revela que o Brasil está tentando acompanhar o progresso
científico e o avanço tecnológico ao permitir às partes a utilização de sistema de
transmissão de dados e imagens, para a prática de atos processuais, como o envio de
petições via correio eletrônico (e-mail) ao Poder Judiciário . Isso implica mais
comodidade e economia de tempo no envio de petições aos Tribunais de Justiça.
Entretanto, de acordo com o artigo 4º, quem fizer uso de sistema de
transmissão torna-se responsável pela qualidade e fidelidade do material transmitido, e
por sua entrega ao órgão judiciário.
CRIMES DIGITAIS
13 | P á g i n a
6. Tipos de hackers e suas características
O termo hacker surgiu em meados dos anos 60 e originou-se da palavra phreak
(acrônimo de phone hacker), que eram os hackers que estudavam o sistema de telefonia
e com isso conseguiam fazer ligações de graça. Naquela época os sistemas de
informática (assim como os de telefonia) eram restritos a poucos: apenas tinham acesso
a eles os envolvidos com computação nos grandes CPDs (Centros de Processamento de
Dados) de universidades e empresas.
Movidos pela curiosidade de saber como tudo aquilo funcionava, alguns grupos de
estudantes quebravam os cadeados dos CPDs usando um machado. Hack significa cortar,
golpear em inglês, daí o termo ter sido adotado para designar aqueles que quebram a
segurança para aprender sobre algo que pessoas comuns não têm acesso.
De posse da informação desejada, cada um resolveu fazer o que bem entendia
com isso, e hoje podemos classifica-los como:
6.1 White Hats (hackers éticos):
Seguem a mesma linha de pensamento original do hacking. Gostam apenas de
saber e conhecer mais das coisas, principalmente as fechadas ao público. Para essas
pessoas, aprender é a diversão mais importante do mundo. Elas gastam boa parte de
seu tempo estudando o funcionamento do que as cerca, como telefonia, internet e
protocolos de rede e programação de computadores.
No mundo da segurança de sofware, os hackers éticos são os responsáveis por
“informar” as grandes empresas de vulnerabilidades existentes em seus produtos. Fora
do mundo da segurança, essas pessoas são responsáveis por desenvolver software livre,
como o sistema operacional GNU/Linux.
O hacker ético defende o conhecimento em prol de todos, portanto não o utiliza
para prejudicar outras pessoas ou companhias, a menos que considere que uma empresa
CRIMES DIGITAIS
14 | P á g i n a
faz mau uso do poder. A quebra da segurança do iPhone, que bloqueia o seu
funcionamento com outras operadoras de telefonia, foi um notável ato de um White Hat.
6.2 Black Hats (hackers mal-intencionados):
Assim como os White Hats, os Black Hats também são movidos pela curiosidade.
O que os distingue é o que cada um faz com a informação e o conhecimento.
O Black Hat vê poder na informação e no que ele sabe fazer. São aqueles hackers
que descobrem uma vulnerabilidade em um produto comercial ou livre e não contam
para ninguém até que eles próprios criem meios de obter dados sigilosos de outras
pessoas e empresas explorando a vulnerabilidade recém-descoberta.
Essa espécie de hacker é responsável por gerar a terceira espécie, os script
kiddies. Eles surgem quando cai na rede uma ferramenta ou técnica de invasão criado
por um grupo de Black Hats.
6.3 Script Kiddies:
São os responsáveis pelas invasões em massa e por fazer barulho na mídia
quando invadem sites importantes e alteram sua página inicial colocando frases de
protesto ou quando tiram serviços do ar.
Recebem esse nome por não saber o que estão fazendo. Eles simplesmente
buscam ferramentas prontas, os chamados exploits, que exploram uma determinada
vulnerabilidade, e então buscam servidores e serviços vulneráveis. Não sabem como o
exploit funciona, já que ele que foi denvolvido por um Black Hat, que provavelmente
estudou o assunto.
Grande parte dos Black Hats já atuou como Script Kid no início de sua jornada no
mundo do hacking.
CRIMES DIGITAIS
15 | P á g i n a
6.4 Crackers:
São de outra natureza. Ao contrário dos hackers convencionais, que estudam
protocolos de rede, telefonia e sistemas operacionais, e dos kiddies, que buscam obter
fama por causar transtornos a websites e serviços, os crackers se distinguem de todo o
resto por se focarem em como funcionam os programas de computador.
São os responsáveis pela criação dos cracks, ferramentas que quebram a ativação
de um software comercial, permitindo que qualquer pessoa tenha uma versão pirata do
software em seu computador.
Esses hackers são responsáveis pelo prejuízo das empresas de software, e
também por desenvolver vírus e outras pragas como spywares e trojans. O termo
cracker também é usado incorretamente para designar os Black Hats, o que é ofensivo
tanto para o Black Hat como para o Cracker.
CRIMES DIGITAIS
16 | P á g i n a
7. Ferramentas Tecnológicas Utilizadas Pelos
Criminosos
É natural que pessoas se aproveitem do o avanço da tecnologia para empregá-la
de um modo considerado antiético e imoral. Neste tópico serão abordadas algumas
técnicas utilizadas pelos criminosos para obtenção de dados e realização de seus atos
criminosos. Não somente as ferramentas tecnológicas, mas também os pontos
vulneráveis nas pessoas tornam-se uma grande arma para os criminosos, que utilizam a
tecnologia como ferramenta para a realização dos ataques reais, que são muitas vezes
contra as pessoas e não aos sistemas computacionais.
Vale referir Mitnick e Simon:
Outro tipo de malware - abreviação de malicious software - coloca no seu computador um programa que opera sem o seu conhecimento ou consentimento ou que executa uma tarefa sem que você saiba. O malware pode parecer inocente, talvez um documento do Word ou uma apresentação do PowerPoint, ou qualquer programa que tenha a funcionalidade das macros, mas ele instala secretamente um programa não autorizado. [...]
Um tipo de programa conhecido no submundo dos computadores como RAT ou Remote Access Trojan dá ao atacante o acesso total ao seu computador, como se ele estivesse sentado no seu teclado!
Após esse software ser instalado na sua máquina, ele pode transmitir para o atacante cada tecla que você digita, incluindo todas as suas senhas e números de cartões de crédito. Existem outros dois tipos de software malicioso que você vai achar chocantes (sic). Um deles pode passar para o atacante cada palavra que você falar dentro do âmbito do microfone do seu computador, mesmo quando você acha que o microfone está desligado. Pior ainda, se você tiver uma Web cam instalada no seu computador, um atacante que use uma variação dessa técnica pode capturar tudo que ocorre na frente do seu terminal, mesmo quando você acha que a câmera está desligada, seja dia ou noite.
Percebe-se que essas ferramentas têm um grande poder e podem ser utilizadas
para diversas finalidades. Aproveitando-se da ingenuidade do usuário ou sua curiosidade,
o criminoso consegue persuadir sua vítima para que involuntariamente instale em seu
sistema um código de computador malicioso.
CRIMES DIGITAIS
17 | P á g i n a
7.1 Engenharia Social
Um ponto que vem sendo estudado com bastante atenção pelos especialistas
em segurança é a Engenharia Social, nenhum sistema é considerado totalmente seguro,
e a vulnerabilidade é aumentada se as pessoas que tem acesso ao mesmo não forem
devidamente treinadas ou não tiverem conhecimento suficiente para manter o sigilo das
informações.
A engenharia social consiste em manipular pessoas, que desavisadas ou sem
perceber, acabam passando informações a um terceiro que não tem permissão dos
mesmos, cuidados como treinamento de usuários, proteger
informações sobre determinada organização, certificar-se de saber realmente quem é a
pessoa que está recebendo informações e evitar deixar papéis com informações
importantes ou jogá-los no lixo sem triturá-los pode evitar a grande maioria dos ataques,
visto que o engenheiro social atua exatamente nos pontos vulneráveis e basta um
simples ato para que se derrube seu plano de obtenção de dados.
Segundo Mitnick e Simon:
[...] o fator humano é o elo mais fraco da segurança.
Com freqüência, a segurança é apenas uma ilusão, que às vezes fica pior ainda quando entram em jogo a credulidade, a inocência ou a ignorância. O cientista mais respeitado do mundo no século XX, Albert Einstein, disse: ‘Apenas duas coisas são infinitas: o universo e a estupidez humana, e eu não tenho certeza se isso é verdadeiro sobre o primeiro’. No final, os ataques da engenharia social podem ter sucesso quando as pessoas são estúpidas ou, em geral, apenas desconhecem as boas práticas da segurança.
Um sofisticado sistema de segurança pode ser burlado utilizando a habilidade de
uma pessoa em persuadir a vítima, essa informação pode ser obtida conversando com a
pessoa, através de uma ligação telefônica, com um e-mail bem elaborado, com ocupação
furtiva (por exemplo passando-se por funcionário de determinada empresa), através de
CRIMES DIGITAIS
18 | P á g i n a
sites falsos ou outro método que depende da oportunidade e da criatividade do
engenheiro social.
7.2 Cavalo de Tróia
O nome Cavalo de Tróia é dado devido à semelhança ao golpe histórico realizado
na antiga Grécia. Um software aparentemente comum quando acionado, traz camuflado
em seus códigos um programa malicioso que instalado no computador da vítima abre
portas de comunicação deixando o sistema vulnerável para que possa ser acessado e
manipulado por um terceiro.
O cavalo de tróia é um programa que parece ter uma função útil, como um game, mas inclui mecanismos escondidos e potencialmente maliciosos. Às vezes, dribla mecanismos de segurança ao tapear os usuários e fazê-los autorizar o acesso aos computadores. Com este golpe permite a entrada no sistema. Um dos objetivos é a sabotagem. Pode objetivar também a alteração de dados, cópia de arquivos com finalidade de obter ganhos monetários. Esse é o golpe típico para quem quer controle e poder, pois permite, através do cavalo de Tróia, o acesso a diversos sistemas que estarão passíveis de manipulação da forma que mais convier.
7.3 Spyware e Adware
Spywares são programas espiões, seu intuito é capturar informações sobre os
hábitos de navegação na internet dos usuários. Diferente dos cavalos de Tróia sua
principal função não é o domínio sobre o computador, e sim monitorar os costumes dos
usuários sem seu consentimento e comercializar esses dados a determinadas empresas,
também podem monitorar outras atividades, mostrar anúncios e executar outras ordens.
Esses programas estão rapidamente substituindo o spam como o motivo que mais gera
reclamações de usuários na internet. O adware é um programa que exibe publicidade ao
usuário, através da captura dos dados por um spyware, essa propaganda pode ser
direcionada a determinado perfil de usuário tornando-se mais eficiente.
CRIMES DIGITAIS
19 | P á g i n a
Geralmente spywares são instalados a partir de programas de computador freeware
ou sharewares, onde para a utilização do programa o usuário submete-se a ter exibido na
tela de seu computador uma variedade de anúncios que muitas vezes são exibidos de
acordo com os hábitos do usuário, para isso é necessário que esse programa espião seja
executado de modo oculto no computador do usuário. Com o acumulo de inúmeros
programas o sistema pode tornar-se lento ou instável. Porém esses programas espiões não
se limitam apenas a área comercial e podem trazer consigo outros códigos maliciosos.
7.4 Keylogger
De acordo com Thompson:
Keylogger é um programa que, quando instalado, passa a capturar todos os caracteres digitados no teclado. Os keyloggers evoluíram e além das teclas digitadas, alguns desses programas conseguem monitorar as atividades do computador PC. Isto inclui sites visitados, tempo gasto em cada um deles, imagem ao redor do clique do mouse e cópias da área de trabalho. Os keyloggers atuais são capazes de se instalar remotamente e enviar os dados coletados por e-mail, FTP, IRC e mensageiros. Os keyloggers atuais deixaram de ser simples capturadores de teclas e se tornaram uma mistura de keylogger + trojan.
O uso lícito do keylogger se dá quando um empregador ou pai zeloso, precisa ter controle sobre as atividades online do filho ou funcionário. Hackers se aproveitam desta característica de monitor e utilizam os keyloggers para roubar senhas, logins, números de contas corrente e cartões de crédito, senhas de e-mail, enfim, tudo que for digitado ou mostrado na tela do computador.
Keyloggers são programas de computador utilizados para copiar dados dos
usuários. Sua forma mais básica consiste em copiar em um arquivo, que geralmente fica
escondido entre arquivos do sistema operacional, todos os caracteres ou teclas digitados
no computador que tem o keylogger instalado são armazenados. Com a evolução desses
tipos de programas surgiram versões de programas que podem ser baixados da rede
mundial de computadores.
Esses programas podem ser obtidos facilmente e possuem opções avançadas,
CRIMES DIGITAIS
20 | P á g i n a
como um sistema complexo de decodificação de caracteres, opção de captura de tela
(onde num período pré-programado são gravadas imagens da tela do computador para
posterior visualização), existem também alguns desses programas que são
geradores de arquivos disseminadores dos keyloggers, onde podem ser gerados
arquivos camuflados contendo os keyloggers. O arquivo camuflado ao ser visualizado ou
executado tem o programa instalado sem que o usuário perceba.
Além desses ainda existem os keyloggers especializados em copiar dados de
determinados sítios eletrônicos, principalmente os bancários ou sítios que utilizam
cartões de créditos. O programador desenvolve o aplicativo responsável por copiar e
decodificar sistemas de criptografias dos sites, como os teclados virtuais dos terminais
de Internet Banking, esse programa pode ser utilizado pelo próprio programador,
vendido, ou mais comumente distribuído a comparsas que são responsáveis por
redistribuí-los pela internet, através de spam, links falsos, utilizando sites de
relacionamento, links maquiados com nomes que chamam a atenção e despertam a
curiosidade da vítima, mídias removíveis com arquivos que acoplam o keylogger, entre
inúmeras opções. Depois de instalado no computador da vítima, o programa começa a
copiar dados assim que ocorra algum evento previamente programado, de acordo com o
interesse do criminoso. Depois de gerado um arquivo com a cópia das informações, esse
programa tem a função de transmitir esses dados ao interessado, que pode ser em uma
conta qualquer de correio eletrônico ou através do protocolo de transferência de
arquivos (File Transfer Protocol – FTP). O envio das informações podem ser
programadas a cada período de tempo ou de acordo com a quantidade de informações
que estão gravadas no arquivo (todos os eventos previamente definidos pelo
programador na geração do programa).
7.5 Phishing
O termo phishing (derivação de fishing que significa pesca) foi a nomenclatura dada
ao golpe que consiste em capturar uma vítima na rede mundial de computadores. É um
CRIMES DIGITAIS
21 | P á g i n a
método realizado com uma técnica de tentativa de encontrar uma pessoa disposta a
submeter-se à armadilha imposta pelos golpistas, conhecidos como spammers. A técnica
consiste em enviar uma mensagem de correio eletrônico que contenha um endereço ou
código malicioso ao maior número de destinatários possíveis, conseqüentemente quanto
maior o número de mensagens de correio eletrônico enviadas, maior o número de
vítimas.
As mensagens enviadas são geralmente criativas e despertam a curiosidade do
usuário e geralmente simulam um remetente falso, como instituições governamentais,
instituições bancárias, órgãos de proteção ao crédito ou mesmo oferecem vantagens
como brindes ou serviços gratuitos.
A tabela a seguir, elaborada pelo CERT.Br (Centro de Estudos, Respostas e
Tratamento de Incidentes), mostra alguns golpes comuns enviados nas mensagens de
correio eletrônico:
Tema Texto da mensagem
Cartões virtuais UOL, Voxcards, Humor Tadela, O Carteiro,
Emotioncard, Criança Esperança, AACD/Teleton
SERASA e SPC débitos, restrições ou pendências financeiras.
Serviços de governo eletrônico
CPF/CNPJ pendente ou cancelado, Imposto de Renda (nova versão ou correção para o programa de
declaração, consulta da restituição, dados incorretos ou incompletos na declaração), eleições (título eleitoral
cancelado, simulação da urna eletrônica).
Álbuns de fotos
pessoa supostamente conhecida, celebridades, relacionado a algum fato noticiado (em jornais, revistas,
televisão), traição, nudez ou pornografia, serviço de acompanhantes.
Serviço de telefonia pendências de débito, aviso de bloqueio de serviços,
detalhamento de fatura, créditos gratuitos para o celular.
Antivírus a melhor opção do mercado, nova versão, atualização de vacinas, novas funcionalidade, eliminação de vírus
do seu computador.
Notícias/boatos
fatos amplamente noticiados (ataques terroristas, tsunami, terremotos etc), boatos envolvendo pessoas
conhecidas (morte, acidentes ou outras situações chocantes.
CRIMES DIGITAIS
22 | P á g i n a
Reality shows BigBrother, Casa dos Artistas, etc – fotos ou vídeos envolvendo cenas de nudez ou eróticas, discadores.
Programas ou arquivos diversos
novas versões de softwares, correções para o sistema operacional Windows, músicas, vídeos, jogos, acesso
gratuito a canais de TV a cabo no computador, cadastro ou atualização de currículos, recorra das multas de
trânsito.
Pedidos orçamento, cotação de preços, lista de produtos.
Discadores para conexão Internet gratuita, para acessar imagens
ou vídeos restritos.
Sites de comércio eletrônico atualização de cadastro, devolução de produtos,
cobrança débitos, confirmação de compra.
Convites convites para participação em sites de relacionamento
(como o orkut) e outros serviços gratuitos.
Dinheiro fácil descubra como ganhar dinheiro na Internet.
Promoções diversos.
Prêmios loterias, instituições financeiras.
Propaganda produtos, cursos, treinamentos, concursos.
FEBRABAN cartilha de segurança, avisos de fraude.
IBGE censo.
Fonte: (CERT.BR, 2006).
Segundo Mitnick e Simon:
[...] o worm que entra no computador de alguém e depois envia mensagens de correio eletrônico ele mesmo para todas as pessoas do seu catálogo de endereços. Cada uma daquelas pessoas recebe uma mensagem de correio eletrônico de alguém que conhece e confia, e cada uma daquelas mensagens de correio eletrônico de confiança contém o worm, o qual se propaga como as ondas forma das por uma pedra jogada em um lago tranqüilo. O motivo da eficiência dessa técnica é que ela segue a teoria de matar dois coelhos com uma só cajadada. A capacidade de propagar-se para as outras vitimas desavisadas e a aparência de que veio de uma pessoa de confiança.
Embora as mensagens de correio eletrônico possam vir de remetentes
considerados confiáveis, muitas vezes o remetente não percebe que seu sistema
também foi atacado por um código malicioso. Ao ser infectado, o sistema pode ser capaz
de replicar seus códigos maliciosos rapidamente, multiplicando-se em progressão
CRIMES DIGITAIS
23 | P á g i n a
geométrica.
O CERT.br é o grupo responsável por receber, analisar e responder a incidentes
de segurança em computadores, envolvendo redes conectadas à Internet brasileira e
também atua através do trabalho de conscientização sobre os problemas de segurança,
da correlação entre eventos na Internet brasileira. Os serviços prestados pelo CERT.br
incluem ser um ponto único para notificações de incidentes de segurança, de modo a
prover a coordenação e o apoio necessário no processo de resposta a incidentes, além
de estabelecer um trabalho colaborativo com outras entidades, como as polícias,
provedores de acesso e serviços Internet, e prestar suporte ao processo de recuperação
e análise de sistemas comprometidos (CERT.BR, 2009).
São exemplos de incidentes de segurança tentativas de acesso não autorizado a
sistemas ou dados, ataques de negação de serviço, uso ou acesso não autorizado a um
sistema, modificações em um sistema sem autorização, desrespeito à política de
segurança ou à política de uso aceitável de uma empresa ou provedor de acesso. “Um
incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou
sob suspeita, relacionado à segurança de sistemas de computação ou de redes de
computadores.” (CERT.br, 2009).
CRIMES DIGITAIS
24 | P á g i n a
8. Hackers Famosos Tsutomu Shimomura:
Formado em física, o "samurai" trabalha como especialista em sistemas de
segurança do Centro de Supercomputadores de San Diego, na Califórnia, Estados Unidos.
Sua fama se deve à peça que conseguiu pregar naquele que foi considerado o mestre dos
criminosos cibernéticos, Kelvin Mitnick, em um golpe conhecido como "Takedown".
Kevin David Mitnick
Considerado o maior hacker de todos os tempos, hoje ele é um consultor de
segurança de corporações multinacionais e co-fundador do Defensive Thinking, no
passado ele ficou preso na Casa de Detenção de Los Angeles, Califórnia. Invadiu redes de
empresas, burlou sistemas de telefonia, furtou informações confidenciais e entrou em
sistemas não autorizados. A quantia roubada por Kevin era incalculável. Foi considerado
o mestre dos mestres pelos demais hackers.
Kevin Poulsen
Um dos melhores amigos de Mitnick, sua especialidade é burlar sistemas de
telefonia. Sua maior audácia foi ter faturado um Porsche apenas invadindo a central
telefônica de uma rádio que estava promovendo um concurso. Acabou sendo detido por
invadir computadores operados por agentes do FBI. Suas peripécias criminosas deram
margem para que o jornalista Jon Littman escrevesse o livro The Watching.
Mark Abene
A telefonia também é o campo deste famoso hacker, que costumava invadir
sistemas públicos e já foi considerado um dos 100 indivíduos mais espertos da cidade de
Nova York. Atualmente, utiliza seu conhecimento para o bem - trabalha como consultor
CRIMES DIGITAIS
25 | P á g i n a
de segurança de sistemas Fundador de uma associação batizada de "mestres da fraude"
estimulou aprendizes em todo o mundo a invadir os sistemas telefônicos do seus países.
Condenado a um ano de prisão, foi homenageado em uma festa organizada
especialmente pelos seus fãs.
John Draper
Igualmente especializado em telefonia, se inspirou nos hackers de elite para
fazer sua própria carreira de crimes. Chegou a realizar ligações gratuitas fazendo uso de
um mero apito de plástico que vinha de brinde em uma caixa de cereais. Por essa razão,
ficou conhecido como Captain Crunch entre os phreakers. Provou também como era fácil
enganar o controle dos sistemas de telefonia nort-americana, obrigando o governo a
substituir todo o sistema.
Johan Helsingius
Seu maior invento foi a criação de um servidor de e-mail anônimo. Acabou sendo
preso pela policia em 1995, por fornecer dados de documentos secretos pertencentes à
Church of Scientology (seita de cunho "cientifico") na Internet, munido de apenas um
486 com HD de 200 Mb
Vladimir Levin
Este russo era considerado um criminoso de alta periculosidade, a ponto da
Interpol intervir no caso.l Afinal de contas, Levin conseguiu nada mais do que transferir
10 milhões de dólares de contas bancárias do Citibank para a sua poupança. Formado
pela universidade de Tecnologia de St. Petersburg, na própria Rússia, acabou sendo
preso em 1995.
CRIMES DIGITAIS
26 | P á g i n a
Robert Morris
Morris foi o responsável pela criação de um worm que chegou a prejudicar
milhões de computadores em 1988. Curiosamente, Morris é filho de um cientista do
National Computer Security Cente, que é parte da Agência Nacional de Segurança.
Atualmente, ele é considerado o mestre do criadores de pragas virtuais.
CRIMES DIGITAIS
27 | P á g i n a
9. Identificando os Autores
Um dos fatores chave para identificação do criminoso responsável por praticar a
ação é o endereço do Protocolo de Internet do computador, podendo ser obtido junto aos
provedores de acesso ou aos responsáveis pelo sítio eletrônico hospedado. Também é
possível obter informações junto aos provedores dos dados do usuário e local de acesso
(caso sejam utilizados para conexão uma linha telefônica, ou serviço fixo como cabo de
dados).
A obtenção de dados junto aos provedores de acesso é uma tarefa difícil e
morosa, devido aos provedores de forma equivocada alegarem que os dados referentes
aos usuários estão protegidos pelo sigilo constitucional das informações, o que dificulta
ainda mais o processo de investigação.
A obtenção dessas informações não é anticonstitucional, visto que a violação do
sigilo da correspondência e das comunicações em sistema de informática (CF, 1988, art.
5, XII, ou a Lei 9.296/96) , protege o conteúdo das informações e não a
confidencialidade de acesso, o que não garante o anonimato do autor do crime. E além
disso não atingem a inviolabilidade da intimidade, da vida privada, da honra e da
imagem dos usuários, pois a intenção é obter somente dados básicos do usuário, como
nome, numeração de documentos e endereço, dados que não são protegidos pelo sigilo
constitucional, dados que por exemplo estamos acostumados a fornecer em simples
cadastros ou compras (ICOFCS, 2006).
Existem grandes dificuldades na obtenção de informações necessárias para a
apuração de crimes junto aos provedores de acesso à internet, além dos fatores
supracitados, ainda é comum que os provedores não mantenham os dados armazenados
por tempo suficiente, já que o inquérito policial demora em média seis meses para sua
apuração. Podendo ocorrer a impunidade penal aos imputados por falta de prova devido
a perca de informações, fator que deve ser regulamentado com prioridade, tanto de
responsabilização aos provedores, como a possibilidade de realização de procedimentos
CRIMES DIGITAIS
28 | P á g i n a
policiais mais rápidos, tendo em vista que a velocidade de disseminação e mutação dos
atos criminosos evolui conforme a evolução da tecnologia.
Outro fator é o envolvimento de mais de um país em determinado ato criminoso.
Com isso a identificação dos autores torna-se ainda mais desafiadora, tendo que recorrer
a tratados ou cartas rogatórias, processo ainda mais lento que se esbarra em legislações
específicas de cada país. Para isso organismos internacionais tentam um acordo que
permita a padronização e troca de informações de forma que priorize a agilidade nos
processos de identificação.
Após a identificação do endereço de protocolo de internet (que é único para cada
computador) e o endereço do computador no qual foi dado o acesso, deve-se identificar
a pessoa que realizou o acesso e cometeu o ato criminoso. Nem sempre o acesso foi
realizado de uma residência onde moram poucas pessoas, o acesso pode ter ocorrido de
empresas, Lan Houses ou até mesmo através de equipamentos de telefonia móvel.
Comumente os criminosos têm utilizado locais públicos para a realização de seus atos,
com a disseminação dos pontos de acesso livre à internet, como em aeroportos e centros
de compras, torna-se um local perfeito para dificultar a descoberta de sua autoria. Outro
local que tem sido bastante utilizado são as lan houses, que deveriam manter um
controle de acesso dos usuários, através do cadastro para fornecimento de informações,
mas o que ocorre é que poucas instituições mantêm um banco de dados confiável, e as
que mantêm geralmente descartam essas informações em curtos períodos de tempo,
geralmente insuficientes para a solução de um Inquérito Policial.
CRIMES DIGITAIS
29 | P á g i n a
10. Conclusão
As novas tecnologias da informação, especialmente a Internet,
impulsionaram (e continuam impulsionando) o processo de globalização econômica
e cultural. Os avanços tecnológicos ligados à computação fez surgir a era dos bits e
bytes, tornando o computador indispensável e aplicando suas técnicas nos mais
diferentes lugares.
A Internet e a realidade virtual alimentam no ser humano a sensação de
liberdade ao separar as pessoas por uma interface e proporcionar o anonimato.
Nela tempo e espaço chegaram ao ponto de receber sua expressão mais precisa,
chegaram a um ponto em especial. O tempo funde-se ao espaço, o espaço, ao tempo.
Espaço e tempo, passado e futuro fundem-se ao presente, e vice-versa, é sempre hoje
e agora.
Essas mudanças impulsionadas pelos avanços tecnológicos e pelas mídias,
fizeram surgir novos paradigmas para a sociedade pós-moderna e os sistemas
que a organizam e regulam, como o Direito.
Neste mundo contemporâneo, globalizado, interligado, pós-moderno e
informatizado, surgiu uma nova forma de criminalidade, que convencionamos
chamar de virtual, por se desenvolver no ambiente virtual da Internet, o ciberespaço.
Os conceitos apresentados expõem a polêmica e a controvérsia, em
face da complexidade do tema, sobre o que se entende por crimes virtuais,
uma vez que a própria denominação desta nova criminalidade não é uníssona, ao
passo que para alguns os crimes virtuais são condutas típicas, antijurídicas e
culpáveis que somente têm sua forma de execução diferenciada, pois é
implementada através da Internet, e para outros são condutas ilícitas que necessitam
de tipificação, não encontrando amparo na legislação vigênte. Alguns autores, mais
radicais, dizer ser a aplicação da legislação previamente existente caso de
analogia.
CRIMES DIGITAIS
30 | P á g i n a
A lei penal é elaborada para viger dentro dos limites em que o Estado exerce a
sua soberania. Porém, a maior dificuldade é determinar onde aconteceu o
conduta ilícita na Internet, pois ela não tem lugar fixo, não é física e também é
atemporal. Daí a necessidade de adaptações legais, no que diz respeito por exemplo ao
local do cometimento do delito, que há de ser o mesmo onde se encontra o bem,
ou pelo menos onde acreditamos que deva se encontrar (uma vez que a
virtualização dos dados não deixa de ser uma simulação).
Verifica-se que as leis brasileiras vigentes já estão sendo aplicadas aos
crimes praticados no ambiente virtual, a exemplo da pedofilia, das fraudes, dos
crimes contra a honra, dos crimes contra a propriedade industrial e intelectual, como a
pirataria de software, etc.
Ao concluirmos este trabalho constatamos que uma das muitas
dificuldades da resposta para estes crimes é que o meio onde estes crimes ocorrem é o
mais rápido, na verdade é instantâneo, além do que quase não deixam pistas, mas
causam dano a bens juridicamente protegidos. Além disso a Internet não tem território
fixo, por ser uma rede mundial e virtual, necessitando do empenho global de governos e
empresas para se tornar um espaço anarquico, fora do alcance das leis. A criação de
agências reguladoras que possam fiscalizar o ambiente virtual pode ser uma opção
viável, assim como a celebração de tratados internacionais que coíbam as condutas
criminosas no ambiente da Internet (como a Convenção de Budapeste de 2001, também
conhecida como Convenção sobre o Cibercrime) e que incentivem uma política mundial
para cooperação recíproca entre polícias.
CRIMES DIGITAIS
31 | P á g i n a
11. Referências:
CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no
Brasil, 2009. Disponível em: <http://www.cert.br>. Acesso em: 20 de março de 2009.
MITNICK, Kevin D.; SIMON; William L. A arte de enganar. São Paulo: Pearson
Education do Brasil, 2003.
THOMPSON, Marco Aurélio. Invasão.Br. Salvador, 2005.
ROSA, Fabrízio. Crimes de Informática. Bookseller, 2007.
GOUVÊA, Sandra. O Direito na Era digital. Rio de Janeiro: Mauad, 1997.
H4CK3R, Universidade. Desvende todos os segredos do submundo dos
harckers, 2006.