CRIMES DIGITAIS

1 | P á g i n a

Sumário

1. Introdução 02

2. Quando Ocorreu 04

3. Legislação Brasileira 05

4. Classificação dos Crimes de Informática 07

4.1 Crime de Informática Puro 07

4.2 Crime de Informática Misto 07

4.3 Crime de Informática Comum 08

5. Leis 09

5.1 Novo Código Civil 09

5.2 Medida Provisória 2.200-2 10

5.3 Lei 9.296/96 11

5.4 Lei 9.983/00 11

5.5 Lei 9.800/99 12

6. Tipos de hackers e suas características 13

6.1 White Hats (hackers éticos) 13

6.2 Black Hats (hackers mal-intencionados) 14

6.3 Script Kiddies 14

6.4 Crackers 15

7. Ferramentas Tecnológicas Utilizadas Pelos Criminosos 16

7.1 Engenharia Social 17

7.2 Cavalo de Tróia 18

7.3 Spyware e Adware 19

7.4 Keylogger 19

7.5 Phishing 21

8. Hackers Famosos 24

9. Identificando os Autores 27

10. Conclusão 29

11. Referências 31

CRIMES DIGITAIS

2 | P á g i n a

1. Introdução

A cada dia, os jornais trazem mais notícias relativas à informática. Um novo

exame médico computadorizado, um método revolucionário de ensino a distância, o

lançamento de um filme feito com recursos de computação gráfica, robôs que partem em

direção ao espaço, enfim, uma nova forma de vida. O Homem não vive mais sem a

informática. Disso ninguém dúvida.

Esta tecnologia é dos maior bens das sociedades modernas. Mas os computadores

ingressam no cotidiano de forma tão rápida que o Direito, ciência que deve regular as

sociedades, não acompanhou esta evolução.

Graças à evolução e disseminação da informática, crimes de natureza classificados

como Crimes Digitais, estão se tornando cada vez mais comuns.

Mas, afinal, o que são crimes praticados por meio da informática? A doutrina

mundial começa a se preocupar com este tema, embora ainda não se tenha chegado a

um consenso em relação a vários aspectos, inclusive quanto à definição do que eles

realmente sejam.

Os crimes praticados por meio da informática não são novidades nos países

industrializados, aonde o uso dos computadores vem contribuindo de forma cada vez

mais apurada para a criminalidade. O Brasil não é exceção.

Têm-se notícias da destruição de programas de computador da EMBRAPA

(Empresa Brasileira de Agropecuária), por um usuário da Internet, causando prejuízos

incalculáveis. Está foi a primeira ação de crackers no país.

Um técnico do PRODESP (Centro de Processamento de Dados do Estado de São

Paulo) conseguiu incluir nomes fictícios de desembargadores na folha de pagamento do

Tribunal de Justiça de São Paulo, desviando em seguida os depósitos para uma conta em

seu nome.

A quebra do Banco Nacional, uma das principais instituições financeiras do

CRIMES DIGITAIS

3 | P á g i n a

país, trouxe à tona uma fraude que se estendeu por anos, sem que as auditorias (do

próprio banco e do Banco Central) percebessem. Funcionários dos alto escalão

mantiveram 652 contas fictícias através da utilização de um microcomputador não

conectado ao sistema central de processamento. Os balanços do banco era, assim

mascarados e apresentavam lucros irreais, mais tarde foram encontradas mais de 1.200

contas, que não tinham sido devidamente auditadas.

Explicar o que são crimes digitais, quando começou a ocorrer, como a legislação

Brasileira atua acerca de crimes digitais entre outros tópicos é o que sera focado nesse

trabalho.

CRIMES DIGITAIS

4 | P á g i n a

2. Quando Começou

Os primeiros crimes ocorreram na década de 70, e eram praticados, na maioria

das vezes, por especialistas em informática cujo principal objetivo era driblar os sistemas

de segurança, principalmente de instituições financeiras. Hoje, com a disseminação dos

computadores, e, principalmente, com o surgimento de redes, tanto o perfil dos usuários

como o dos criminosos mudou. Um relatório do Centro Nacional de Dados sobre Crimes

Digitais, nos Estados Unidos, já alertava, 1986, para a "Democratização dos crimes

Digitais”, mostrando que os criminosos incluem ladrões de rua reincidentes, funcionários

fraudulentos de pequenos negócios, empregados vingativos e caixas de banco

endividados. Na mesma proporção, qualquer pessoa hoje em dia pode ser vítima de

crimes praticados pelos meios da informática.

Muitos citam o caso Equity Founding Life Insurance Company, em Los Angeles,

Califórnia, como a maior fraude de computador, cujo valor atingiu dois bilhoes de

dólares. A fraude, iniciada em 1964, só foi descoberta em 1973.

Produziu-se uma seqüência de programas necessários para criar apólices falsas,

pagamento de comissões de venda, criação de relatórios falsificados e controle de saldos.

Ao final, cerca de 64.000 apólices falsas foram criadas e vendidas para outras

companhias pelo sistema de ressegurados. Mas, para Donn Parker, analista do

laboratório de Ciências da informação do Instituto de Pesquisa de Stanford, este caso

não chegou a ser um crime praticado por meio da informática, pois o computador foi

apenas incidental, sendo utilizado para processar a imensa quantidade de apólices falsas.

As ações criminosas podem ser divididas, basicamente, em dois grupo: aquelas

direcionadas contra os bens da informática e aquelas que utilizam estes recursos para,

por meios deles, praticar crimes.

A repressão a estas condutas já ocorre em vários países, sobretudo nos mais

avançados tecnologicamente. Em algumas legislações, modificou-se o Código Penal, em

outras, editaram-se leis extravagantes.

CRIMES DIGITAIS

5 | P á g i n a

3. Legislação Brasileira

Ultimamente, há muita discussão sobre a atual legislação brasileira e os crimes

computacionais. Grande parte das tarefas do nosso dia a dia são transportadas para a

rede mundial de computadores, ocasionando fatos e conseqüências, jurídicas e

econômicas, assim como ocorre no mundo físico. Por exemplo, a aplicação das normas

comerciais e de consumo nas transações via Internet, a questão do recebimento

indesejado de mensagens por e-mail (spam), a validade jurídica do documento

eletrônico, a privacidade e os crimes de informática.

Entende-se por crime de informática, crime computacional ou crime digital

qualquer ação em que o computador seja o instrumento ou o objeto do delito, ou então,

qualquer delito ligado ao tratamento automático de dados.

A legislação brasileira pode e vem sendo aplicada na maioria dos problemas

relacionados à rede. O primeiro artigo do código penal diz que:

Art. 1º - Não há crime sem lei anterior que o defina.

Não há pena sem prévia cominação legal.

Ou seja, se não existe uma lei para definir que tipo de ação é infração, então

não existe crime. Ledo engano aqueles que acreditam que por não existirem leis

específicas para os crimes digitais, eles ficarão impunes. Delitos cometidos como

transferência bancária ilegal pela Internet é um crime de furto já previsto pelo atual

Código Penal. A única diferença é o meio em que foi realizado, que é um novo meio de

comunicação.

Porém, existe a necessidade de leis que tratem essa nova modalidade de conduta

delituosa, para que os advogados busquem a correta tipicidade dentro da legislação,

como estabelecer regras acerca da inviolabilidade do sigilo de dados, da valia do e-mail

como prova e as conseqüências de sua interceptação, entre outros.

O principal problema dos crimes cometidos pela Internet é achar o verdadeiro

CRIMES DIGITAIS

6 | P á g i n a

culpado, já que a Internet facilita a anonimidade comprovedores que não armazenam

registros informando a relação de máquina-IP (Internet Protocol) ou através de proxy

anônimos.

Com o advento da Internet, surgiu a possibilidade de uma pessoa estar em um

lugar e cometer o crime em outro. Por exemplo, uma pessoa pode estar no Brasil e

praticar uma atividade ilícita, como jogos de azar, em um país da Europa. No Brasil isso

é tratado pela teoria da ubiquidade, acolhida pelo sexto artigo do Código Penal:

Art. 6º - Considera-se praticado o crime no lugar

em que ocorreu a ação ou omissão, no todo ou em parte,

bem como onde se produziu ou deveria

produzir-se o resultado.

Para que a jurisdição seja exercida, as autoridades brasileiras explicam que é

suficiente que o crime tenha "tocado" o território brasileiro, e que para esta finalidade

basta que parte da conduta criminal ou o resultado tenha ocorrido em território

brasileiro.

CRIMES DIGITAIS

7 | P á g i n a

4. Classificação dos Crimes de Informática

Os crimes de informática devem ser classificados quanto ao objetivo material, e

não ao simples fato do uso de computador ser considerado indiferente ao direito penal.

Eles podem ser de três modalidades:

• Crime de informática puro;

• Crime de informática misto;

• Crime de informática comum.

4.1 Crime de Informática Puro

Toda e qualquer conduta que vise exclusivamente violar o sistema de

computador, pelo atentado físico ou técnico ao equipamento e seus componentes,

inclusive dados e sistemas.

As ações físicas se materializam, por exemplo, por atos de vandalismos contra a

integridade física do sistema, pelo acesso desautorizado ao computador, pelo acesso

indevido aos dados e sistemas contidos no computador.

4.2 Crime de Informática Misto

São todas as ações em que o uso do sistema de computador é condição

essencial para efetivação de um crime.

Por exemplo, para realizar operações de transferência bancária ilícitas pela

Internet, é imprescindível o uso do computador para a sua consumação, sendo

classificado assim como um crime de informática misto.

CRIMES DIGITAIS

8 | P á g i n a

São todas as ações em que o uso do sistema de computador é condição

essencial para efetivação de um crime.

Por exemplo, para realizar operações de transferência bancária ilícitas pela

Internet, é imprescindível o uso do computador para a sua consumação, sendo

classificado assim como um crime de informática misto.

4.3 Crime de Informática Comum

São todos aqueles em que o sistema de computador é uma mera ferramenta

para cometer um delito já tipificado na lei penal.

Se antes, por exemplo, o crime como pornografia infantil era feito por meio de

vídeos ou revistas, atualmente, se dá por troca de fotos via e-mail e divulgação em sites.

Mudou a forma, mas a essência do crime permanece a mesma.

CRIMES DIGITAIS

9 | P á g i n a

5. Leis

Embora ainda não existam leis específicas para os crimes digitais atualmente, já

existem leis vigentes criadas para acompanhar essa revolução tecnológica que está

acontecendo. Merecem destaque:

• Novo Código Civil (Lei n 10.406)

• Medida Provisória 2.200-2

• Lei 9.296/96

• Lei 9.983/00

• Lei 9.800/99

5.1 Novo Código Civil

O novo Código Civil não traz nenhum artigo que remeta às ações praticadas pela

Internet mas, em compensação, alguns dos novos artigos podem gerar interpretações

que irão afetar o meio eletrônico, como:

Art. 225º - As reproduções fotográficas, cinematográficas,

os registros fonográficos e, em geral quaisquer

outras reproduções mecânicas ou eletrônicas

de fatos ou de coisas fazem prova plena destes,

se a parte, contra quem forem exibidos, não

lhes impugnar a exatidão.

CRIMES DIGITAIS

10 | P á g i n a

Assim, a legislação não exige que o documento seja reconhecido como

verdadeiro previamente, o documento agora é considerado verdadeiro até que provem o

contrário. O mesmo se aplica para uma evidência eletrônica.

Entretanto, é necessário que seja aplicada alguma tecnologia no documento para

garantir sua integridade e autenticidade, pois sem isso, a parte contrária pode contestar

a veracidade da prova.

5.2 Medida Provisória 2.200-2

Institui a Infra-Estrutura de Chaves Públicas Brasileira-ICP-Brasil, concedendo

autonomia ao Instituto Nacional de Tecnologia da Informação, entre outras providências.

Art. 1º - Fica instituída a Infra-Estrutura de Chaves

Públicas Brasileira - ICP-Brasil, para garantir a autenticidade,

a integridade e a validade jurídica de documentos

em forma eletrônica, das aplicações de suporte e das

aplicações habilitadas que utilizem certificados digitais,

bem como a realização de transações eletrônicas seguras.

Essa medida provisória reconhece a assinatura digital baseada na criptografia

assimétrica de chave pública e privada para garantir a identificação e a integridade dos

documentos eletrônicos, desde que a chave pública esteja em uma autoridade

certificadora.

Não é impedida a utilização de outro meio de comprovação da autoria e

integridade de documentos em forma eletrônica, inclusive os que utilizem certificados

não emitidos pela ICP-Brasil, conforme o segundo parágrafo do décimo artigo.

CRIMES DIGITAIS

11 | P á g i n a

5.3 Lei 9.296/96

É a primeira lei específica para o meio digital e trata, basicamente, do sigilo das

transmissões de dados. O fluxo de comunicações em sistemas de informática e

telemática podem ser interceptados somente com autorização da justiça.

Conforme o dicionário Michaelis, telemática é o conjunto das técnicas e dos

serviços de comunicação à distância que associam meios informáticos aos sistemas de

telecomunicações.

O segundo artigo desta lei diz que não será admitida a interceptação desse fluxo

de comunicação se:

• Não houver indícios razoáveis da autoria ou participação em infração penal;

• A prova puder ser feita por outros meios disponíveis;

• O fato investigado constituir infração penal punida, no máximo, com pena de detenção.

Sendo constituído crime a interceptação de comunicações telefônicas, de

informática ou telemática sem autorização judicial ou com objetivos não autorizados em

lei, além da quebra de segredo da justiça.

5.4 Lei 9.983/00

Considera como crime o ato de divulgar, sem justa causa, informações sigilosas

como senhas ou dados pessoais de clientes, por exemplo, contido ou não nos sistemas

de informação.

Então a publicação de dados reservados, assim definidos por lei, pela Internet ou

qualquer outro, é um sistema de informação e infringe a Lei com uma pena de até 4 anos

de detenção. Também é crime, de acordo com a Lei 9983/00, a inserção, modificação ou

alteração não autorizada de sistema de informações ou banco de dados.

CRIMES DIGITAIS

12 | P á g i n a

5.5 Lei 9.800/99

Essa Lei de 1999, revela que o Brasil está tentando acompanhar o progresso

científico e o avanço tecnológico ao permitir às partes a utilização de sistema de

transmissão de dados e imagens, para a prática de atos processuais, como o envio de

petições via correio eletrônico (e-mail) ao Poder Judiciário . Isso implica mais

comodidade e economia de tempo no envio de petições aos Tribunais de Justiça.

Entretanto, de acordo com o artigo 4º, quem fizer uso de sistema de

transmissão torna-se responsável pela qualidade e fidelidade do material transmitido, e

por sua entrega ao órgão judiciário.

CRIMES DIGITAIS

13 | P á g i n a

6. Tipos de hackers e suas características

O termo hacker surgiu em meados dos anos 60 e originou-se da palavra phreak

(acrônimo de phone hacker), que eram os hackers que estudavam o sistema de telefonia

e com isso conseguiam fazer ligações de graça. Naquela época os sistemas de

informática (assim como os de telefonia) eram restritos a poucos: apenas tinham acesso

a eles os envolvidos com computação nos grandes CPDs (Centros de Processamento de

Dados) de universidades e empresas.

Movidos pela curiosidade de saber como tudo aquilo funcionava, alguns grupos de

estudantes quebravam os cadeados dos CPDs usando um machado. Hack significa cortar,

golpear em inglês, daí o termo ter sido adotado para designar aqueles que quebram a

segurança para aprender sobre algo que pessoas comuns não têm acesso.

De posse da informação desejada, cada um resolveu fazer o que bem entendia

com isso, e hoje podemos classifica-los como:

6.1 White Hats (hackers éticos):

Seguem a mesma linha de pensamento original do hacking. Gostam apenas de

saber e conhecer mais das coisas, principalmente as fechadas ao público. Para essas

pessoas, aprender é a diversão mais importante do mundo. Elas gastam boa parte de

seu tempo estudando o funcionamento do que as cerca, como telefonia, internet e

protocolos de rede e programação de computadores.

No mundo da segurança de sofware, os hackers éticos são os responsáveis por

“informar” as grandes empresas de vulnerabilidades existentes em seus produtos. Fora

do mundo da segurança, essas pessoas são responsáveis por desenvolver software livre,

como o sistema operacional GNU/Linux.

O hacker ético defende o conhecimento em prol de todos, portanto não o utiliza

para prejudicar outras pessoas ou companhias, a menos que considere que uma empresa

CRIMES DIGITAIS

14 | P á g i n a

faz mau uso do poder. A quebra da segurança do iPhone, que bloqueia o seu

funcionamento com outras operadoras de telefonia, foi um notável ato de um White Hat.

6.2 Black Hats (hackers mal-intencionados):

Assim como os White Hats, os Black Hats também são movidos pela curiosidade.

O que os distingue é o que cada um faz com a informação e o conhecimento.

O Black Hat vê poder na informação e no que ele sabe fazer. São aqueles hackers

que descobrem uma vulnerabilidade em um produto comercial ou livre e não contam

para ninguém até que eles próprios criem meios de obter dados sigilosos de outras

pessoas e empresas explorando a vulnerabilidade recém-descoberta.

Essa espécie de hacker é responsável por gerar a terceira espécie, os script

kiddies. Eles surgem quando cai na rede uma ferramenta ou técnica de invasão criado

por um grupo de Black Hats.

6.3 Script Kiddies:

São os responsáveis pelas invasões em massa e por fazer barulho na mídia

quando invadem sites importantes e alteram sua página inicial colocando frases de

protesto ou quando tiram serviços do ar.

Recebem esse nome por não saber o que estão fazendo. Eles simplesmente

buscam ferramentas prontas, os chamados exploits, que exploram uma determinada

vulnerabilidade, e então buscam servidores e serviços vulneráveis. Não sabem como o

exploit funciona, já que ele que foi denvolvido por um Black Hat, que provavelmente

estudou o assunto.

Grande parte dos Black Hats já atuou como Script Kid no início de sua jornada no

mundo do hacking.

CRIMES DIGITAIS

15 | P á g i n a

6.4 Crackers:

São de outra natureza. Ao contrário dos hackers convencionais, que estudam

protocolos de rede, telefonia e sistemas operacionais, e dos kiddies, que buscam obter

fama por causar transtornos a websites e serviços, os crackers se distinguem de todo o

resto por se focarem em como funcionam os programas de computador.

São os responsáveis pela criação dos cracks, ferramentas que quebram a ativação

de um software comercial, permitindo que qualquer pessoa tenha uma versão pirata do

software em seu computador.

Esses hackers são responsáveis pelo prejuízo das empresas de software, e

também por desenvolver vírus e outras pragas como spywares e trojans. O termo

cracker também é usado incorretamente para designar os Black Hats, o que é ofensivo

tanto para o Black Hat como para o Cracker.

CRIMES DIGITAIS

16 | P á g i n a

7. Ferramentas Tecnológicas Utilizadas Pelos

Criminosos

É natural que pessoas se aproveitem do o avanço da tecnologia para empregá-la

de um modo considerado antiético e imoral. Neste tópico serão abordadas algumas

técnicas utilizadas pelos criminosos para obtenção de dados e realização de seus atos

criminosos. Não somente as ferramentas tecnológicas, mas também os pontos

vulneráveis nas pessoas tornam-se uma grande arma para os criminosos, que utilizam a

tecnologia como ferramenta para a realização dos ataques reais, que são muitas vezes

contra as pessoas e não aos sistemas computacionais.

Vale referir Mitnick e Simon:

Outro tipo de malware - abreviação de malicious software - coloca no seu computador um programa que opera sem o seu conhecimento ou consentimento ou que executa uma tarefa sem que você saiba. O malware pode parecer inocente, talvez um documento do Word ou uma apresentação do PowerPoint, ou qualquer programa que tenha a funcionalidade das macros, mas ele instala secretamente um programa não autorizado. [...]

Um tipo de programa conhecido no submundo dos computadores como RAT ou Remote Access Trojan dá ao atacante o acesso total ao seu computador, como se ele estivesse sentado no seu teclado!

Após esse software ser instalado na sua máquina, ele pode transmitir para o atacante cada tecla que você digita, incluindo todas as suas senhas e números de cartões de crédito. Existem outros dois tipos de software malicioso que você vai achar chocantes (sic). Um deles pode passar para o atacante cada palavra que você falar dentro do âmbito do microfone do seu computador, mesmo quando você acha que o microfone está desligado. Pior ainda, se você tiver uma Web cam instalada no seu computador, um atacante que use uma variação dessa técnica pode capturar tudo que ocorre na frente do seu terminal, mesmo quando você acha que a câmera está desligada, seja dia ou noite.

Percebe-se que essas ferramentas têm um grande poder e podem ser utilizadas

para diversas finalidades. Aproveitando-se da ingenuidade do usuário ou sua curiosidade,

o criminoso consegue persuadir sua vítima para que involuntariamente instale em seu

sistema um código de computador malicioso.

CRIMES DIGITAIS

17 | P á g i n a

7.1 Engenharia Social

Um ponto que vem sendo estudado com bastante atenção pelos especialistas

em segurança é a Engenharia Social, nenhum sistema é considerado totalmente seguro,

e a vulnerabilidade é aumentada se as pessoas que tem acesso ao mesmo não forem

devidamente treinadas ou não tiverem conhecimento suficiente para manter o sigilo das

informações.

A engenharia social consiste em manipular pessoas, que desavisadas ou sem

perceber, acabam passando informações a um terceiro que não tem permissão dos

mesmos, cuidados como treinamento de usuários, proteger

informações sobre determinada organização, certificar-se de saber realmente quem é a

pessoa que está recebendo informações e evitar deixar papéis com informações

importantes ou jogá-los no lixo sem triturá-los pode evitar a grande maioria dos ataques,

visto que o engenheiro social atua exatamente nos pontos vulneráveis e basta um

simples ato para que se derrube seu plano de obtenção de dados.

Segundo Mitnick e Simon:

[...] o fator humano é o elo mais fraco da segurança.

Com freqüência, a segurança é apenas uma ilusão, que às vezes fica pior ainda quando entram em jogo a credulidade, a inocência ou a ignorância. O cientista mais respeitado do mundo no século XX, Albert Einstein, disse: ‘Apenas duas coisas são infinitas: o universo e a estupidez humana, e eu não tenho certeza se isso é verdadeiro sobre o primeiro’. No final, os ataques da engenharia social podem ter sucesso quando as pessoas são estúpidas ou, em geral, apenas desconhecem as boas práticas da segurança.

Um sofisticado sistema de segurança pode ser burlado utilizando a habilidade de

uma pessoa em persuadir a vítima, essa informação pode ser obtida conversando com a

pessoa, através de uma ligação telefônica, com um e-mail bem elaborado, com ocupação

furtiva (por exemplo passando-se por funcionário de determinada empresa), através de

CRIMES DIGITAIS

18 | P á g i n a

sites falsos ou outro método que depende da oportunidade e da criatividade do

engenheiro social.

7.2 Cavalo de Tróia

O nome Cavalo de Tróia é dado devido à semelhança ao golpe histórico realizado

na antiga Grécia. Um software aparentemente comum quando acionado, traz camuflado

em seus códigos um programa malicioso que instalado no computador da vítima abre

portas de comunicação deixando o sistema vulnerável para que possa ser acessado e

manipulado por um terceiro.

O cavalo de tróia é um programa que parece ter uma função útil, como um game, mas inclui mecanismos escondidos e potencialmente maliciosos. Às vezes, dribla mecanismos de segurança ao tapear os usuários e fazê-los autorizar o acesso aos computadores. Com este golpe permite a entrada no sistema. Um dos objetivos é a sabotagem. Pode objetivar também a alteração de dados, cópia de arquivos com finalidade de obter ganhos monetários. Esse é o golpe típico para quem quer controle e poder, pois permite, através do cavalo de Tróia, o acesso a diversos sistemas que estarão passíveis de manipulação da forma que mais convier.

7.3 Spyware e Adware

Spywares são programas espiões, seu intuito é capturar informações sobre os

hábitos de navegação na internet dos usuários. Diferente dos cavalos de Tróia sua

principal função não é o domínio sobre o computador, e sim monitorar os costumes dos

usuários sem seu consentimento e comercializar esses dados a determinadas empresas,

também podem monitorar outras atividades, mostrar anúncios e executar outras ordens.

Esses programas estão rapidamente substituindo o spam como o motivo que mais gera

reclamações de usuários na internet. O adware é um programa que exibe publicidade ao

usuário, através da captura dos dados por um spyware, essa propaganda pode ser

direcionada a determinado perfil de usuário tornando-se mais eficiente.

CRIMES DIGITAIS

19 | P á g i n a

Geralmente spywares são instalados a partir de programas de computador freeware

ou sharewares, onde para a utilização do programa o usuário submete-se a ter exibido na

tela de seu computador uma variedade de anúncios que muitas vezes são exibidos de

acordo com os hábitos do usuário, para isso é necessário que esse programa espião seja

executado de modo oculto no computador do usuário. Com o acumulo de inúmeros

programas o sistema pode tornar-se lento ou instável. Porém esses programas espiões não

se limitam apenas a área comercial e podem trazer consigo outros códigos maliciosos.

7.4 Keylogger

De acordo com Thompson:

Keylogger é um programa que, quando instalado, passa a capturar todos os caracteres digitados no teclado. Os keyloggers evoluíram e além das teclas digitadas, alguns desses programas conseguem monitorar as atividades do computador PC. Isto inclui sites visitados, tempo gasto em cada um deles, imagem ao redor do clique do mouse e cópias da área de trabalho. Os keyloggers atuais são capazes de se instalar remotamente e enviar os dados coletados por e-mail, FTP, IRC e mensageiros. Os keyloggers atuais deixaram de ser simples capturadores de teclas e se tornaram uma mistura de keylogger + trojan.

O uso lícito do keylogger se dá quando um empregador ou pai zeloso, precisa ter controle sobre as atividades online do filho ou funcionário. Hackers se aproveitam desta característica de monitor e utilizam os keyloggers para roubar senhas, logins, números de contas corrente e cartões de crédito, senhas de e-mail, enfim, tudo que for digitado ou mostrado na tela do computador.

Keyloggers são programas de computador utilizados para copiar dados dos

usuários. Sua forma mais básica consiste em copiar em um arquivo, que geralmente fica

escondido entre arquivos do sistema operacional, todos os caracteres ou teclas digitados

no computador que tem o keylogger instalado são armazenados. Com a evolução desses

tipos de programas surgiram versões de programas que podem ser baixados da rede

mundial de computadores.

Esses programas podem ser obtidos facilmente e possuem opções avançadas,

CRIMES DIGITAIS

20 | P á g i n a

como um sistema complexo de decodificação de caracteres, opção de captura de tela

(onde num período pré-programado são gravadas imagens da tela do computador para

posterior visualização), existem também alguns desses programas que são

geradores de arquivos disseminadores dos keyloggers, onde podem ser gerados

arquivos camuflados contendo os keyloggers. O arquivo camuflado ao ser visualizado ou

executado tem o programa instalado sem que o usuário perceba.

Além desses ainda existem os keyloggers especializados em copiar dados de

determinados sítios eletrônicos, principalmente os bancários ou sítios que utilizam

cartões de créditos. O programador desenvolve o aplicativo responsável por copiar e

decodificar sistemas de criptografias dos sites, como os teclados virtuais dos terminais

de Internet Banking, esse programa pode ser utilizado pelo próprio programador,

vendido, ou mais comumente distribuído a comparsas que são responsáveis por

redistribuí-los pela internet, através de spam, links falsos, utilizando sites de

relacionamento, links maquiados com nomes que chamam a atenção e despertam a

curiosidade da vítima, mídias removíveis com arquivos que acoplam o keylogger, entre

inúmeras opções. Depois de instalado no computador da vítima, o programa começa a

copiar dados assim que ocorra algum evento previamente programado, de acordo com o

interesse do criminoso. Depois de gerado um arquivo com a cópia das informações, esse

programa tem a função de transmitir esses dados ao interessado, que pode ser em uma

conta qualquer de correio eletrônico ou através do protocolo de transferência de

arquivos (File Transfer Protocol – FTP). O envio das informações podem ser

programadas a cada período de tempo ou de acordo com a quantidade de informações

que estão gravadas no arquivo (todos os eventos previamente definidos pelo

programador na geração do programa).

7.5 Phishing

O termo phishing (derivação de fishing que significa pesca) foi a nomenclatura dada

ao golpe que consiste em capturar uma vítima na rede mundial de computadores. É um

CRIMES DIGITAIS

21 | P á g i n a

método realizado com uma técnica de tentativa de encontrar uma pessoa disposta a

submeter-se à armadilha imposta pelos golpistas, conhecidos como spammers. A técnica

consiste em enviar uma mensagem de correio eletrônico que contenha um endereço ou

código malicioso ao maior número de destinatários possíveis, conseqüentemente quanto

maior o número de mensagens de correio eletrônico enviadas, maior o número de

vítimas.

As mensagens enviadas são geralmente criativas e despertam a curiosidade do

usuário e geralmente simulam um remetente falso, como instituições governamentais,

instituições bancárias, órgãos de proteção ao crédito ou mesmo oferecem vantagens

como brindes ou serviços gratuitos.

A tabela a seguir, elaborada pelo CERT.Br (Centro de Estudos, Respostas e

Tratamento de Incidentes), mostra alguns golpes comuns enviados nas mensagens de

correio eletrônico:

Tema Texto da mensagem

Cartões virtuais UOL, Voxcards, Humor Tadela, O Carteiro,

Emotioncard, Criança Esperança, AACD/Teleton

SERASA e SPC débitos, restrições ou pendências financeiras.

Serviços de governo eletrônico

CPF/CNPJ pendente ou cancelado, Imposto de Renda (nova versão ou correção para o programa de

declaração, consulta da restituição, dados incorretos ou incompletos na declaração), eleições (título eleitoral

cancelado, simulação da urna eletrônica).

Álbuns de fotos

pessoa supostamente conhecida, celebridades, relacionado a algum fato noticiado (em jornais, revistas,

televisão), traição, nudez ou pornografia, serviço de acompanhantes.

Serviço de telefonia pendências de débito, aviso de bloqueio de serviços,

detalhamento de fatura, créditos gratuitos para o celular.

Antivírus a melhor opção do mercado, nova versão, atualização de vacinas, novas funcionalidade, eliminação de vírus

do seu computador.

Notícias/boatos

fatos amplamente noticiados (ataques terroristas, tsunami, terremotos etc), boatos envolvendo pessoas

conhecidas (morte, acidentes ou outras situações chocantes.

CRIMES DIGITAIS

22 | P á g i n a

Reality shows BigBrother, Casa dos Artistas, etc – fotos ou vídeos envolvendo cenas de nudez ou eróticas, discadores.

Programas ou arquivos diversos

novas versões de softwares, correções para o sistema operacional Windows, músicas, vídeos, jogos, acesso

gratuito a canais de TV a cabo no computador, cadastro ou atualização de currículos, recorra das multas de

trânsito.

Pedidos orçamento, cotação de preços, lista de produtos.

Discadores para conexão Internet gratuita, para acessar imagens

ou vídeos restritos.

Sites de comércio eletrônico atualização de cadastro, devolução de produtos,

cobrança débitos, confirmação de compra.

Convites convites para participação em sites de relacionamento

(como o orkut) e outros serviços gratuitos.

Dinheiro fácil descubra como ganhar dinheiro na Internet.

Promoções diversos.

Prêmios loterias, instituições financeiras.

Propaganda produtos, cursos, treinamentos, concursos.

FEBRABAN cartilha de segurança, avisos de fraude.

IBGE censo.

Fonte: (CERT.BR, 2006).

Segundo Mitnick e Simon:

[...] o worm que entra no computador de alguém e depois envia mensagens de correio eletrônico ele mesmo para todas as pessoas do seu catálogo de endereços. Cada uma daquelas pessoas recebe uma mensagem de correio eletrônico de alguém que conhece e confia, e cada uma daquelas mensagens de correio eletrônico de confiança contém o worm, o qual se propaga como as ondas forma das por uma pedra jogada em um lago tranqüilo. O motivo da eficiência dessa técnica é que ela segue a teoria de matar dois coelhos com uma só cajadada. A capacidade de propagar-se para as outras vitimas desavisadas e a aparência de que veio de uma pessoa de confiança.

Embora as mensagens de correio eletrônico possam vir de remetentes

considerados confiáveis, muitas vezes o remetente não percebe que seu sistema

também foi atacado por um código malicioso. Ao ser infectado, o sistema pode ser capaz

de replicar seus códigos maliciosos rapidamente, multiplicando-se em progressão

CRIMES DIGITAIS

23 | P á g i n a

geométrica.

O CERT.br é o grupo responsável por receber, analisar e responder a incidentes

de segurança em computadores, envolvendo redes conectadas à Internet brasileira e

também atua através do trabalho de conscientização sobre os problemas de segurança,

da correlação entre eventos na Internet brasileira. Os serviços prestados pelo CERT.br

incluem ser um ponto único para notificações de incidentes de segurança, de modo a

prover a coordenação e o apoio necessário no processo de resposta a incidentes, além

de estabelecer um trabalho colaborativo com outras entidades, como as polícias,

provedores de acesso e serviços Internet, e prestar suporte ao processo de recuperação

e análise de sistemas comprometidos (CERT.BR, 2009).

São exemplos de incidentes de segurança tentativas de acesso não autorizado a

sistemas ou dados, ataques de negação de serviço, uso ou acesso não autorizado a um

sistema, modificações em um sistema sem autorização, desrespeito à política de

segurança ou à política de uso aceitável de uma empresa ou provedor de acesso. “Um

incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou

sob suspeita, relacionado à segurança de sistemas de computação ou de redes de

computadores.” (CERT.br, 2009).

CRIMES DIGITAIS

24 | P á g i n a

8. Hackers Famosos Tsutomu Shimomura:

Formado em física, o "samurai" trabalha como especialista em sistemas de

segurança do Centro de Supercomputadores de San Diego, na Califórnia, Estados Unidos.

Sua fama se deve à peça que conseguiu pregar naquele que foi considerado o mestre dos

criminosos cibernéticos, Kelvin Mitnick, em um golpe conhecido como "Takedown".

Kevin David Mitnick

Considerado o maior hacker de todos os tempos, hoje ele é um consultor de

segurança de corporações multinacionais e co-fundador do Defensive Thinking, no

passado ele ficou preso na Casa de Detenção de Los Angeles, Califórnia. Invadiu redes de

empresas, burlou sistemas de telefonia, furtou informações confidenciais e entrou em

sistemas não autorizados. A quantia roubada por Kevin era incalculável. Foi considerado

o mestre dos mestres pelos demais hackers.

Kevin Poulsen

Um dos melhores amigos de Mitnick, sua especialidade é burlar sistemas de

telefonia. Sua maior audácia foi ter faturado um Porsche apenas invadindo a central

telefônica de uma rádio que estava promovendo um concurso. Acabou sendo detido por

invadir computadores operados por agentes do FBI. Suas peripécias criminosas deram

margem para que o jornalista Jon Littman escrevesse o livro The Watching.

Mark Abene

A telefonia também é o campo deste famoso hacker, que costumava invadir

sistemas públicos e já foi considerado um dos 100 indivíduos mais espertos da cidade de

Nova York. Atualmente, utiliza seu conhecimento para o bem - trabalha como consultor

CRIMES DIGITAIS

25 | P á g i n a

de segurança de sistemas Fundador de uma associação batizada de "mestres da fraude"

estimulou aprendizes em todo o mundo a invadir os sistemas telefônicos do seus países.

Condenado a um ano de prisão, foi homenageado em uma festa organizada

especialmente pelos seus fãs.

John Draper

Igualmente especializado em telefonia, se inspirou nos hackers de elite para

fazer sua própria carreira de crimes. Chegou a realizar ligações gratuitas fazendo uso de

um mero apito de plástico que vinha de brinde em uma caixa de cereais. Por essa razão,

ficou conhecido como Captain Crunch entre os phreakers. Provou também como era fácil

enganar o controle dos sistemas de telefonia nort-americana, obrigando o governo a

substituir todo o sistema.

Johan Helsingius

Seu maior invento foi a criação de um servidor de e-mail anônimo. Acabou sendo

preso pela policia em 1995, por fornecer dados de documentos secretos pertencentes à

Church of Scientology (seita de cunho "cientifico") na Internet, munido de apenas um

486 com HD de 200 Mb

Vladimir Levin

Este russo era considerado um criminoso de alta periculosidade, a ponto da

Interpol intervir no caso.l Afinal de contas, Levin conseguiu nada mais do que transferir

10 milhões de dólares de contas bancárias do Citibank para a sua poupança. Formado

pela universidade de Tecnologia de St. Petersburg, na própria Rússia, acabou sendo

preso em 1995.

CRIMES DIGITAIS

26 | P á g i n a

Robert Morris

Morris foi o responsável pela criação de um worm que chegou a prejudicar

milhões de computadores em 1988. Curiosamente, Morris é filho de um cientista do

National Computer Security Cente, que é parte da Agência Nacional de Segurança.

Atualmente, ele é considerado o mestre do criadores de pragas virtuais.

CRIMES DIGITAIS

27 | P á g i n a

9. Identificando os Autores

Um dos fatores chave para identificação do criminoso responsável por praticar a

ação é o endereço do Protocolo de Internet do computador, podendo ser obtido junto aos

provedores de acesso ou aos responsáveis pelo sítio eletrônico hospedado. Também é

possível obter informações junto aos provedores dos dados do usuário e local de acesso

(caso sejam utilizados para conexão uma linha telefônica, ou serviço fixo como cabo de

dados).

A obtenção de dados junto aos provedores de acesso é uma tarefa difícil e

morosa, devido aos provedores de forma equivocada alegarem que os dados referentes

aos usuários estão protegidos pelo sigilo constitucional das informações, o que dificulta

ainda mais o processo de investigação.

A obtenção dessas informações não é anticonstitucional, visto que a violação do

sigilo da correspondência e das comunicações em sistema de informática (CF, 1988, art.

5, XII, ou a Lei 9.296/96) , protege o conteúdo das informações e não a

confidencialidade de acesso, o que não garante o anonimato do autor do crime. E além

disso não atingem a inviolabilidade da intimidade, da vida privada, da honra e da

imagem dos usuários, pois a intenção é obter somente dados básicos do usuário, como

nome, numeração de documentos e endereço, dados que não são protegidos pelo sigilo

constitucional, dados que por exemplo estamos acostumados a fornecer em simples

cadastros ou compras (ICOFCS, 2006).

Existem grandes dificuldades na obtenção de informações necessárias para a

apuração de crimes junto aos provedores de acesso à internet, além dos fatores

supracitados, ainda é comum que os provedores não mantenham os dados armazenados

por tempo suficiente, já que o inquérito policial demora em média seis meses para sua

apuração. Podendo ocorrer a impunidade penal aos imputados por falta de prova devido

a perca de informações, fator que deve ser regulamentado com prioridade, tanto de

responsabilização aos provedores, como a possibilidade de realização de procedimentos

CRIMES DIGITAIS

28 | P á g i n a

policiais mais rápidos, tendo em vista que a velocidade de disseminação e mutação dos

atos criminosos evolui conforme a evolução da tecnologia.

Outro fator é o envolvimento de mais de um país em determinado ato criminoso.

Com isso a identificação dos autores torna-se ainda mais desafiadora, tendo que recorrer

a tratados ou cartas rogatórias, processo ainda mais lento que se esbarra em legislações

específicas de cada país. Para isso organismos internacionais tentam um acordo que

permita a padronização e troca de informações de forma que priorize a agilidade nos

processos de identificação.

Após a identificação do endereço de protocolo de internet (que é único para cada

computador) e o endereço do computador no qual foi dado o acesso, deve-se identificar

a pessoa que realizou o acesso e cometeu o ato criminoso. Nem sempre o acesso foi

realizado de uma residência onde moram poucas pessoas, o acesso pode ter ocorrido de

empresas, Lan Houses ou até mesmo através de equipamentos de telefonia móvel.

Comumente os criminosos têm utilizado locais públicos para a realização de seus atos,

com a disseminação dos pontos de acesso livre à internet, como em aeroportos e centros

de compras, torna-se um local perfeito para dificultar a descoberta de sua autoria. Outro

local que tem sido bastante utilizado são as lan houses, que deveriam manter um

controle de acesso dos usuários, através do cadastro para fornecimento de informações,

mas o que ocorre é que poucas instituições mantêm um banco de dados confiável, e as

que mantêm geralmente descartam essas informações em curtos períodos de tempo,

geralmente insuficientes para a solução de um Inquérito Policial.

CRIMES DIGITAIS

29 | P á g i n a

10. Conclusão

As novas tecnologias da informação, especialmente a Internet,

impulsionaram (e continuam impulsionando) o processo de globalização econômica

e cultural. Os avanços tecnológicos ligados à computação fez surgir a era dos bits e

bytes, tornando o computador indispensável e aplicando suas técnicas nos mais

diferentes lugares.

A Internet e a realidade virtual alimentam no ser humano a sensação de

liberdade ao separar as pessoas por uma interface e proporcionar o anonimato.

Nela tempo e espaço chegaram ao ponto de receber sua expressão mais precisa,

chegaram a um ponto em especial. O tempo funde-se ao espaço, o espaço, ao tempo.

Espaço e tempo, passado e futuro fundem-se ao presente, e vice-versa, é sempre hoje

e agora.

Essas mudanças impulsionadas pelos avanços tecnológicos e pelas mídias,

fizeram surgir novos paradigmas para a sociedade pós-moderna e os sistemas

que a organizam e regulam, como o Direito.

Neste mundo contemporâneo, globalizado, interligado, pós-moderno e

informatizado, surgiu uma nova forma de criminalidade, que convencionamos

chamar de virtual, por se desenvolver no ambiente virtual da Internet, o ciberespaço.

Os conceitos apresentados expõem a polêmica e a controvérsia, em

face da complexidade do tema, sobre o que se entende por crimes virtuais,

uma vez que a própria denominação desta nova criminalidade não é uníssona, ao

passo que para alguns os crimes virtuais são condutas típicas, antijurídicas e

culpáveis que somente têm sua forma de execução diferenciada, pois é

implementada através da Internet, e para outros são condutas ilícitas que necessitam

de tipificação, não encontrando amparo na legislação vigênte. Alguns autores, mais

radicais, dizer ser a aplicação da legislação previamente existente caso de

analogia.

CRIMES DIGITAIS

30 | P á g i n a

A lei penal é elaborada para viger dentro dos limites em que o Estado exerce a

sua soberania. Porém, a maior dificuldade é determinar onde aconteceu o

conduta ilícita na Internet, pois ela não tem lugar fixo, não é física e também é

atemporal. Daí a necessidade de adaptações legais, no que diz respeito por exemplo ao

local do cometimento do delito, que há de ser o mesmo onde se encontra o bem,

ou pelo menos onde acreditamos que deva se encontrar (uma vez que a

virtualização dos dados não deixa de ser uma simulação).

Verifica-se que as leis brasileiras vigentes já estão sendo aplicadas aos

crimes praticados no ambiente virtual, a exemplo da pedofilia, das fraudes, dos

crimes contra a honra, dos crimes contra a propriedade industrial e intelectual, como a

pirataria de software, etc.

Ao concluirmos este trabalho constatamos que uma das muitas

dificuldades da resposta para estes crimes é que o meio onde estes crimes ocorrem é o

mais rápido, na verdade é instantâneo, além do que quase não deixam pistas, mas

causam dano a bens juridicamente protegidos. Além disso a Internet não tem território

fixo, por ser uma rede mundial e virtual, necessitando do empenho global de governos e

empresas para se tornar um espaço anarquico, fora do alcance das leis. A criação de

agências reguladoras que possam fiscalizar o ambiente virtual pode ser uma opção

viável, assim como a celebração de tratados internacionais que coíbam as condutas

criminosas no ambiente da Internet (como a Convenção de Budapeste de 2001, também

conhecida como Convenção sobre o Cibercrime) e que incentivem uma política mundial

para cooperação recíproca entre polícias.

CRIMES DIGITAIS

31 | P á g i n a

11. Referências:

CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Brasil, 2009. Disponível em: <http://www.cert.br>. Acesso em: 20 de março de 2009.

MITNICK, Kevin D.; SIMON; William L. A arte de enganar. São Paulo: Pearson

Education do Brasil, 2003.

THOMPSON, Marco Aurélio. Invasão.Br. Salvador, 2005.

ROSA, Fabrízio. Crimes de Informática. Bookseller, 2007.

GOUVÊA, Sandra. O Direito na Era digital. Rio de Janeiro: Mauad, 1997.

H4CK3R, Universidade. Desvende todos os segredos do submundo dos

harckers, 2006.