Segurança na Internet e a falta de legislação para crimes de espionagem e furto de dados

Por Amanda Cotrim

Na chamada Sociedade do Conhecimento, a informação é apontada por especialistas como o produto mais valioso na rede, seja para grandes empresas ou para usuários comuns. Diante de uma “avalanche” de informação, se faz necessário refletir para onde vão os nossos dados? Quais os interesses por trás das espionagens? Como podemos nos proteger?

Pensando em transformar o conhecimento técnico da linguagem computacional em prova judicial, o ex-aluno da PUC-Campinas, Ricardo Oliveira Marques, realizou seu mestrado na Faculdade de Engenharia Elétrica, com orientação do Prof. Dr. Alexandre Mota, sobre segurança na internet.  Marques também é formado em Ciências da Computação, com Especialização em Redes de Computadores e Perícia Forense, tem diversas certificações técnicas em segurança da informação, já efetuou trabalhos em perícia forense computacional e detém o título com reconhecimento internacional LPT (Licensed Penetration Tester pelo EC-Council). Em seu mestrado, ele propôs mecanismos para efetuar investigações em dispositivos e redes, além de registrar a importância da perícia forense como elemento fundamental num processo de investigação judicial, tratando todos os elementos envolvidos em um processo de investigação, como roteadores, servidores, laptops e telefones celulares, além de propor um modelo para elaboração de laudo pericial.

Para aprofundar o assunto de segurança na internet, o Jornal da PUC-Campinas conversou com o autor da pesquisa, Ricardo Oliveira Marques (R.M) e com a docente no curso de Direito da PUC-Campinas, especializada em crimes digitais e co-autora da obra Crimes no meio ambiente digital, Profa. Me. Christiany Pegorari Conte (C.C).

J.P: No momento em que o usuário acessa uma rede, através de computadores, celulares e etc, ele já é detectado? Ou seja, a senha funciona como uma espécie de RG (registro geral), uma identificação na rede?

R.M: Quando o computador está conectado a uma rede, ele recebe um endereço chamado IP (Internet Protocol ou protocolo de internet), esse endereço é uma fonte preliminar das investigações. No entanto, a fonte vital é o dispositivo, pois todas as informações ficam armazenadas nele. Se esse dispositivo (seja um celular, um computador ou um pen drive) cair nas mãos de criminosos, por exemplo, o prejuízo é muito maior que simplesmente a perda de um RG, pois as senhas podem liberar acessos a diversas informações pessoais e principalmente profissionais.

C.C: O papel da vítima, muitas vezes, é preponderante para a ocorrência de delitos praticados na internet. Um exemplo é quando a pessoa deixa de instalar um antivírus no dispositivo. Isso pode ser levado em consideração pelo juiz quando for aplicada a pena ao agente criminoso. Também vale ressaltar que a identificação do IP não é garantia de identificação da pessoa que praticou a conduta criminosa, porque o IP só identifica a máquina, não a pessoa. Então provar quem foi X que esteve em frente ao computador no momento do crime é mais difícil. A questão da obtenção e preservação das provas nos crimes digitais também é bastante complexa e, a depender de como são feitas, pode levar ao arquivamento da investigação ou ser desconsiderado em uma eventual ação penal.

J.P: O que são considerados dados pessoais num cenário de internet, onde as relações parecem estar cada vez mais estreitas por causa das redes sociais?  

C.C: Existe uma classificação de dados: há os chamados “dados sensíveis” e os “dados públicos”. O primeiro seria os dados que eu não quero divulgar, ou cuja divulgação depende de autorização do seu titular. Já os “dados públicos” são divulgáveis. Mesmo quando o indivíduo classifica informações nas redes sociais como privadas, não existe garantia de que essas informações não serão acessadas ou divulgadas por terceiros. Nesse sentido, a legislação brasileira vem tentando combater esse tipo de violação das informações por meio da Lei n 12.737/12 (que ficou conhecida como Lei Carolina Dieckmann), que acrescentou ao Código Penal o artigo 154-A, a qual trata da invasão de dispositivo informático com o fim de adulterar ou destruir dados ou informações, ou para instalar vulnerabilidades para obter vantagem ilícita, com punição que varia de três meses a um ano e multa. Além disso, temos o Marco Civil da Internet (Lei n. 12.965/14), o qual visa garantir a segurança das informações e o direito à privacidade do usuário de internet.

R.M: Quando há condições de classificar as informações armazenadas em dispositivos como sigilosa ou não, você compreende o que pode e o que não pode cair na rede publicamente. O usuário segregar as informações, e a partir daí passa a pensar nos mecanismos de proteção, principalmente onde e qual o melhor local para armazenamento. No caso de redes sociais, cabe a pessoa que a utiliza estar atenta à política de privacidade dos dados.

C.C: Um dos grandes problemas do direito digital é lidar com as replicações e a perpetuidade das informações na rede, que devem ser levadas em consideração no momento de impor uma pena ao criminoso digital. Uma vez que uma informação está na rede, mesmo que haja ordem judicial determinando a retirada do conteúdo, isso não garante que esse conteúdo nunca mais será acessado. Ainda que tenhamos algumas legislações sobre crimes digitais (como a Lei Carolina Dieckmann e o Marco Civil da Internet, além do Estatuto da Criança e do Adolescente sobre pornografia infantil na rede), estamos aquém do necessário para o efetivo combate às condutas criminosas praticadas na internet. Os crimes digitais são classificados em condutas que se enquadram na legislação já existente- como difamação, injúria, crimes raciais, etc- e que ganharam apenas um novo meio de execução, e em condutas que atentam contra a segurança informática e que ainda demandam melhor regulamentação jurídica.

J.P: Mas e o Marco Civil da Internet?

CC: O Marco Civil não tem natureza criminal. Ele também não prevê a regulamentação da internet de forma tão detalhada. É uma legislação mais de princípios do que regulamentadora. Mas apensar de não configurar, em minha opinião, grande avanço ao que tange uma internet segura, ele trouxe algumas mudanças, como obrigar o provedor a manter as informações do usuário (o que antes gerava um problema de investigação para a polícia). O Marco Civil também regulamentou a responsabilidade do provedor por conteúdo divulgado por terceiros. Atualmente, ainda utilizamos as legislações comuns (Código Penal, Código Civil e Código de Defesa do Consumidor), mais o Marco Civil da Internet, para lidar com as questões relacionadas à rede, no Brasil. O problema é que aquilo que não se enquadra na legislação vigente, a Justiça não consegue punir e novas situações surgem na medida em que as tecnologias evoluem.

J.P: O que pode acontecer se alguma empresa ou o próprio governo usa os dados do usuário sem o seu consentimento? Caracteriza-se como roubo?

C.C: Temos grandes discussões sobre o furto de informações na rede. Nem todas as situações de furto de informações podem ser enquadradas tão facilmente na legislação que temos. Imaginemos que um indivíduo/empresa invada um dispositivo informático e copie informações pessoais e sigilosas. Isso pode configurar furto? Os dados possuem valor econômico? Há efetiva subtração, uma vez que o agente fez cópias dos dados? Antes da Lei Carolina Dieckmann, não era possível punir tal situação. Numa outra hipótese, a subtração de valores de conta bancária pela internet, corresponde a furto ou estelionato? Além de outros debates sobre o enquadramento prático da conduta na legislação, tais como as relacionadas aos crimes contra a propriedade intelectual e o direito autoral. A legislação que se aplica ao território físico nem sempre se enquadra ao território digital. Não podemos dizer que não existem conseqüências jurídicas pela utilização indevida de imagem e informação na internet, mas são procedimentos da legislação comum.

J.P: A prática da espionagem existe há muito tempo, pelo menos no século XX tivemos muitos casos. Isso mostra que a prática não surgiu com a internet. Gostaria que vocês comentassem o caso no qual os EUA espionaram a presidente do Brasil e a chanceler da Alemanha.

Ricardo Oliveira Marques é especialista em segurança de rede- Crédito: Raquel Cristina
Ricardo Oliveira Marques é especialista em segurança de rede- Crédito: Raquel Cristina

R.M: Em minha opinião, a Internet criou novos caminhos para a exploração e a espionagem. A mídia tem enaltecido muitos os casos envolvidos nesse tema, mas, dificilmente é discutido o valor que uma determinada informação pode ter, pensando em produto.

C.C: Em âmbito internacional, a espionagem que aconteceu dos EUA em relação ao Brasil e a Alemanha envolvem questões diplomáticas e a impossibilidade de coagir àquele que teve acesso as informações naquele país. Não há como fazer isso criminalmente. Não existe nenhum mecanismo que puna os EUA por espionar o Brasil, no âmbito do direito. É possível um estremecimento nas relações diplomáticas e eventuais intervenções econômicas. Mas a punição, efetivamente, não existe. Dependendo da situação, o ato de espionar pode configurar crime contra a segurança nacional.

R.M: Na espionagem dos EUA, eu avalio que o melhor caminho seria a ampliação de acordos de cooperação internacionais no que tange à internet, violação de dados, sigilo e casos envolvendo espionagem na rede. A respeito do caso de espionagem de e-mails e informações envolvendo o nome da Presidente Dilma, imagina-se que se o Brasil tivesse acesso as informações do Presidente dos Estados Unidos, talvez a história não teria o mesmo fim. Por isso a cooperação tem que ser fundamental. No momento em que a Presidente Dilma lida com a espionagem praticada pelos EUA como algo “aceitável”, ela coloca em risco o próprio país, preocupando não só o governo mas também para empresas instaladas no Brasil.

Tecnicamente, tecnologias denominadas (sniffers), ou farejadores de rede, com equipamentos e um arcabouço de software, podem ter sido utilizados na espionagem contra o governo federal Brasileiro. Ainda que hospedados diretamente nas redes de telecomunicações ou até mesmo na rede do próprio Palácio do Planalto, é pouco provável, e tecnicamente complexo, descobrir informações a respeito de um computador em uma rede que contém o mínimo de segurança sistêmica. Nesse caso, a maior vulnerabilidade está efetivamente no comportamento de acesso à rede das pessoas.

J.P Se o Governo Federal, neste caso envolvendo a Presidente Dilma, quisesse investigar a fundo, encontraria os responsáveis?

 R.M: Sim. Com investigação, o Governo consegue saber a procedência da espionagem do começo ao fim. Nosso pais tem capital intelectual, infraestrutura tecnológica e capacidade, mas o meio político venceu e as informações das investigações acabaram não seguindo adiante.

J.P Na opinião de vocês, quando a espionagem é legitima?

C.C: Para mim, a espionagem não é legítima em nenhuma circunstância. Existem outros caminhos para obtenção de informações, como a cooperação jurídica entre os países. Na nossa legislação, a espionagem que consiste em quebra de sigilo telefônico ou telemático, demanda ordem judicial, do contrário, será ilegal.

R.M: Acredito que a espionagem não é legítima, é preciso se questionar por que e para que estão querendo determinadas informações e principalmente se está devidamente amparada pela justiça.

J.P: Qual é a relação entre o poder político/econômico e o poder tecnológico?

C.C: Geralmente, os países com maior desenvolvimento tecnológico têm poder político e econômico. O segundo ponto é que as pessoas precisam compreender, o quanto antes, que a internet não é um lugar neutro.

R.M: O poder político no Brasil não prioriza as questões de segurança tecnológica. Em minha visão, o Marco Civil e a Lei de interceptação ilegal de comunicações são iniciativas que demonstram a necessidade de preocupação do poder político com o tecnológico. O problema é que todo o poder político que o Brasil tem para desenvolver leis que garantam proteção, não é explorado. Então, as empresas criam ilhas de segurança, mas que não se comunicam entre si. Essas empresas poderiam criar grupos de força-tarefa para neutralizar a invasão de intrusos que queiram subtrair informações. Dentro do Brasil são poucos os grupos que se dedicam a entender o ambiente digital e buscam proteger suas informações, sem depender do poder público.

C.C: As tecnologias de proteção não são desenvolvidas no Brasil, então ficamos vulneráveis no acesso a essas tecnologias. Ficamos vinculados a uma segurança importada.

J.P: Gostaria que vocês explicassem sobre os armazenamentos em nuvens, a exemplo do Windows 10, e a vulnerabilidade da segurança com esse tipo de mobilidade.

R.M: Diversas empresas como Microsoft, Apple e o próprio Google, trabalham com o conceito de armazenamento em nuvem. Uma série de informações do usuário pode ficar armazenada, desde arquivos pessoais, fotos, senhas, até documentos eletrônicos. Como exemplo posso citar um caso de uma pessoa com apenas um dispositivo eletrônico e suas contas e dados configurados neste equipamento, em caso de extravio o prejuízo pode até ser calculado, contudo, se esta mesma pessoa tiver muitos dispositivos o risco aumenta à medida que o número de acessos é “concedido”. Em teoria, cabe informar que a mobilidade em grande parte anda em uma via diferente da segurança; quanto mais segurança a pessoa ou empresa necessita, menos mobilidade.

J.P: Então a inclusão digital vai muito além de saber criar uma conta nas redes sociais? Por que ao mesmo tempo em que a gente deposita a responsabilidade no individuo, esse sujeito não aprendeu a usar a internet e não faz idéia, muitas vezes, do risco que ele corre na rede.

Profa. Me. Christiany Pegorari Conte, especialista em crimes de internet- Crédito: Raquel
Profa. Me. Christiany Pegorari Conte, especialista em crimes de internet- Crédito: Raquel

C.C: O que falta é educação digital. Não adianta fornecer meios de acesso,  é urgente educar o cidadão sobre o que ele pode e não divulgar na rede, como o sistema funciona, o que ele precisa saber para se proteger. Nada disso é veiculado. Precisamos de uma política pública para uma inclusão digital verdadeira. O usuário precisa ler as políticas de privacidade e se atentar ao que está concordando quando pratica determinado ato na rede, desde o uso do internet banking, passando pelas compras na internet e, principalmente, as redes sociais.

J.P: Como as pessoas podem se proteger no dia-a-dia?

R.M: O antivírus é o procedimento mais comum, mas mesmo sabendo que ele é obrigatório, existem pessoas que não o levam a sério. Contudo, não adianta achar que o antivírus resolve, ele é uma espécie de remédio, que tem prazo de validade. São cerca de 400 ameaças lançadas por hora no mundo. Um segundo passo muito importante é a garantia da atualização dos equipamentos e dos softwares. A checagem de atualização do Windows ou outro sistema operacional deve ter uma periodicidade pelo menos semanal.

Depois é preciso investir nos filtros, pois são eles que bloqueiam efetivamente o trafego de informações que podem entrar e sair do equipamento, o mais recomendável é o Firewall. É uma tecnologia que pode ser adquirida com a mesma ferramenta de antivírus; ele analisará o tráfego de rede para determinar quais operações de transmissão ou recepção de dados podem ser executadas.

Num quarto momento, o usuário pode se proteger usando a criptografia, um conjunto de técnicas que embaralha os dados e os torna inelegíveis; a permissão de acesso é somente mediante a uma senha forte, com caracteres maiúsculos, minúsculos e símbolos.

E por fim, as pessoas devem usar os serviços em nuvem que tenham proteções, além das senhas, exigidas de forma convencional. Um modelo mais eficiente culmina no uso de senhas e contra-senhas enviadas através do provedor para telefones celulares por SMS. Para que este serviço seja utilizado a pessoa necessita cadastrar o seu número de celular como meio de acesso. Este é um modelo que vem demonstrando blindagem apropriada para acesso às informações hospedadas em nuvem. Cabe registrar que este modelo é altamente recomendado para uso em computadores não pessoais e de uso esporádico, pois elimina riscos de armazenamento acidental de senhas.

C.C: Se eventualmente o usuário for vítima de um crime praticado pela internet, ele deve procurar uma delegacia para registrar o boletim de ocorrência e iniciar uma investigação. É importante lembrar que, apesar de poucas, existem delegacias especializadas em crimes de internet. Mas qualquer delegacia está apta a receber ocorrências desse tipo de crime.