Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 ANÁLISE DE AMEAÇAS, RISCOS E VULNERABILIDADES 1 SUMÁRIO NOSSA HISTÓRIA ................................................................................................................ 2 INTRODUÇÃO ....................................................................................................................... 3 1. CRIMES VIRTUAIS ...................................................................................................... 4 1.1 Dados Furtados ..................................................................................................... 4 1.2 Compras Falsas ..................................................................................................... 4 1.3 Crimes Contra A Honra ......................................................................................... 4 2. RISCOS ........................................................................................................................ 5 2.1 No Brasil ................................................................................................................. 7 3. ANÁLISE DE AMEAÇAS .............................................................................................. 8 3.1 Observação .......................................................................................................... 11 4. DESCRIÇÃO DO PROBLEMA ................................................................................... 13 4.1 Medidas de Cibercrime e Cibersegurança ......................................................... 14 5. VULNERABILIDADES ................................................................................................ 16 6. RESULTADOS E DISCUSSÃO .................................................................................. 20 CONCLUSÃO ...................................................................................................................... 24 REFERÊNCIAS ................................................................................................................... 26 2 NOSSA HISTÓRIA A nossa história inicia com a realização do sonho de um grupo de empresários, em atender à crescente demanda de alunos para cursos de Graduação e Pós- Graduação. Com isso foi criado a nossa instituição, como entidade oferecendo serviços educacionais em nível superior. A instituição tem por objetivo formar diplomados nas diferentes áreas de conhecimento, aptos para a inserção em setores profissionais e para a participação no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que constituem patrimônio da humanidade e comunicar o saber através do ensino, de publicação ou outras normas de comunicação. A nossa missão é oferecer qualidade em conhecimento e cultura de forma confiável e eficiente para que o aluno tenha oportunidade de construir uma base profissional e ética. Dessa forma, conquistando o espaço de uma das instituições modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, excelência no atendimento e valor do serviço oferecido. 3 INTRODUÇÃO Considerada como a profissão do futuro, desvendar crimes digitais é uma área com forte expansão para quem atua na área de tecnologia da informação, ou para quem deseja trabalhar nessa profissão. Informações que antes levavam horas e, até mesmo vários dias, para que se chegasse ao receptor da mensagem, hoje, essa realidade não é a mesma. Isso deve- se ao avanço e o uso das novas tecnologias que simplificam e muito a nossa vida. Já parou para pensar na enxurrada de informações que somos bombardeados diariamente e a proporção que elas ganham? Bom, nesse sentido, o acesso às novas tecnologias deve ser vista também com olhos bem abertos, já que ela traz consigo oportunidades para aqueles que a usam como meio para praticar crimes virtuais. Você deve está se perguntado o que o profissional deve fazer para atuar na prevenção e investigação de crimes digitais e, quais são os tipos de condutas que são consideradas crimes, certo? http://wpos.com.br/sem-categoria/os-15-cargos-com-melhores-salarios-na-area-de-ti/ http://wpos.com.br/sem-categoria/mercado-de-vendas-online-expande-com-novas-tecnologias/ 4 1. CRIMES VIRTUAIS Algumas armadilhas são tão perfeitas e facilmente confundidas com os originais que devemos estar atentos à algumas que são muito usadas para captar dados dos usuários. São inúmeras formas dos cibercriminoso agirem, mas, a mais comum é a criação de páginas falsas na internet com muita semelhança aos originais, colocando em dúvida a credibilidade do site de origem. Nesse caso, eles fazem o usuário navegar pelo site e realizar ações com o intuito de colher a maior quantidade de informações possíveis, desde dados pessoais a senha de bancos. 1.1 Dados Furtados Outra forma de praticar crimes é por meio de envio de formulários, links, arquivos zipados via e-mail convidando o usuário a cair na armadilha. Já aqui, eles usam um tom mais ameaçador e agressivo, dando a ideia de que se o usuário não fizer pode ter algumas perdas, digamos assim! 1.2 Compras Falsas Esse modelo de fralde é ainda mais fácil de capturar dados, já que há muitos sites de lojas online espalhados nesse mundo virtual. Geralmente, acontece quando a pessoa realiza uma compra em um site fantasma. 1.3 Crimes Contra A Honra Com o uso das redes sociais, esse tipo de conduta é muito frequente, já que ela ajuda a propagar a informação de forma mais rápida e atinge um volume grande de usuários. Os crimes de calúnia, injúria e difamação ocorrem em um ambiente virtual, contudo, são passiveis de sanções como pagamento de multas e, dependendo, o criminoso pode até ser detido. http://wpos.com.br/blog/como-as-redes-sociais-podem-interferir-na-sua-vida-profissional/ 5 Esses são apenas os exemplos mais frequentes, no entanto, existem muitas outras formas dos criminosos agirem. Para os profissionais que desejam atuar na prevenção e na investigação nesses tipos de crimes, deverão se especializar na área, até porque, somente um profissional certificado será apto a trabalhar nesse segmento. 2. RISCOS O risco cibernético consiste num tópico cada vez mais presente nos fóruns de reguladores internacionais de mercado de capitais, além de estar cada vez mais nas pautas de mudanças regulatórias dos diversos países. Dentre os motivos para esse tratamento especial, podemos citar a maior relevância dos processos automatizados no mercado de capitais e sua faceta de risco sistêmico, principalmente quando é considerada a interconexão da indústria financeira. Sob a luz desse contexto, julgou-se pertinente a realização de um questionário conduzido com alguns participantes do mercado de capitais brasileiro, no intuito de se obter, de forma exploratória, a percepção dos jurisdicionados da CVM em relação a riscos cibernéticos em suas atividades, bem como alguns contornos das práticas vigentes de gerenciamento de riscos cibernéticos. Para tanto, utilizar-se-á nesse trabalho a definição da IOSCO (2016, p.iv) para riscos cibernéticos: “Risco cibernético refere-se aos potenciais resultados negativos associados a ataques cibernéticos. Por sua vez, ataques cibernéticos podem ser definidos como tentativas de comprometer a confidencialidade, integridade, disponibilidade de dados ou sistemas computacionais.” (Tradução livre). Risco cibernético é hoje uma preocupação para quase todas as empresas no mundo. Estimativas do Fórum Econômico Mundial dão conta de que, em 2012, os crimes cibernéticos custaram perto de US$ 400 bilhões. A cifra é um sinal de alerta para a necessidade de gerenciartais riscos globalmente. Segundo Lloyd’s de Londres, é inevitável o aumento na procura por seguro cibernético, não apenas nos países desenvolvidos como nos demais. E a preocupação das empresas com as consequências negativas sobre suas vendas futuras se sobrepõe aos problemas relacionados à perda de privacidade. http://wpos.com.br/sem-categoria/qual-a-importancia-de-realizar-um-curso-de-especializacao-reconhecido-pelo-mec/ 6 Com efeito, o crime cibernético pode perturbar gravemente suas atividades cotidianas, trazendo insegurança para os clientes, prejudicando sua imagem comercial e reduzindo vendas e o valor de mercado. O Departamento de Justiça dos Estados Unidos classifica o crime informático de três maneiras: a) O computador como alvo a atacar (ex. via disseminação de vírus); b) O computador como arma para cometer um crime (roubo virtual, assédio, fraude, terrorismo etc.) e c) O computador como acessório para armazenar informação ilegal ou roubada (espionagem com intuito comercial, diplomático ou militar). Muitos países têm leis especificas contra esse tipo de crime, mas todos esbarram nas dificuldades de aplicação da lei devido a problemas de jurisdição e de identificação dos culpados. Situações diferentes, produtos idem A abordagem legal vinculada aos crimes cibernéticos difere de país a país de modo que uma ação definida como criminosa num local pode não ser em outro. Analogamente, a incidência dos crimes difere de país a país. Segundo estudo das Nações Unidas, enquanto na Europa e na Ásia, os crimes relacionados à interferência ou acesso ilegais a redes de computadores são muito importantes, eles são menos significativos no continente americano e na África. Inversamente, nestes, são mais importantes os crimes de desrespeito a direitos de marcas. Entretanto, um dado comum em todo o mundo é a grande incidência de crimes relacionados a fraudes e falsificações por meio digital. A diversidade de situações explica a variedade de produtos. As apólices cobrem danos causados a bens e valores do segurado e/ou danos causados a bens e valores de terceiros (responsabilidade civil). Existem coberturas para prejuízos devidos a falhas na segurança de sistemas de informações, para perdas decorrentes de processos judiciais ou administrativos ligados a violações de leis de privacidade ou danos em servidores, para lucros cessantes em função de perdas de dados e para despesas de honorários de consultores para amenizar danos à reputação da companhia. Para contratar o seguro, é normal também requerer das empresas a prova de que estão atentas aos perigos na área de tecnologia de informação e a implantação de proteções básicas nos seus sistemas de segurança interna. 7 Contudo, a aquisição de seguros contra riscos cibernéticos ainda é baixa em todo o mundo. Segundo a revista Business Insurance, estudo conduzido pela Harvard Business Review com 152 empresas privadas e organizações estatais dos Estados Unidos descobriu que enquanto 76% dos entrevistados se mostraram preocupados com segurança e privacidade dos seus sistemas de informações, apenas 19% contrataram seguro e 16% designaram funcionários para supervisionar tais riscos. 2.1 No Brasil Até recentemente, o risco cibernético dano, responsabilidade ou despesa causada pela utilização ou operação como meio de causar prejuízo de qualquer computador ou programa, sistema ou vírus de computador, ou ainda, de qualquer outro sistema eletrônico integrava o elenco de exclusões de cobertura das apólices de seguros compreensivos. Entretanto, o crescimento do uso da Internet e os crimes correlatos fez com que o mercado começasse a oferecer apólices contra riscos de informática. Um passo importante foi dado pelo órgão regulador. Em 2011, pela Deliberação n° 147, a Superintendência de Seguros Privados (Susep) lançou a Política de Segurança da Informação e Comunicações (Posic) que objetiva “instituir diretrizes estratégicas, responsabilidades e competências, visando a assegurar integridade, confidencialidade, disponibilidade e autenticidade dos dados e informações da Susep, sejam eles estáticos ou em trânsito, contra ameaças que possam comprometer seus ativos, inclusive sua imagem institucional”. A norma indicou um projeto de trabalho não só para a Susep como para todo o mercado de seguros com repercussões em sua clientela. Assim, algumas seguradoras de maior porte já oferecem coberturas contra certos riscos de informática. Para desenvolver planos adequados às necessidades dos clientes, as seguradoras precisam conhecer em profundidade os riscos a que estão sujeitos tais clientes, bem como os setores em que atuam. Pois é evidente que uma empresa de informática que gerencia redes de microcomputadores, armazena dados e faz manutenção de estruturas físicas tem necessidades diferentes de seguro que, digamos, uma empresa comercial ou industrial que vende ou produz bens de consumo. 8 Além disso, o mercado demanda melhora do aparato legal que coíbe os crimes cibernéticos. Uma boa notícia recente foi a aprovação em novembro passado pela Câmara dos Deputados do Projeto de Lei 2703/11 e do substitutivo do Senado ao Projeto de Lei 84/99 que definem crimes praticados por meio eletrônico como “invadir dispositivo informático alheio” para obter vantagem ilícita e difundir programas, como vírus, que permitam violar sistemas. Porém, especialistas entendem ser preciso melhorar ainda mais o arcabouço legal, ampliar penas e reforçar o aparato de investigação policial. “Diante da necessidade de se negociar e atender os diversos segmentos da sociedade, infelizmente, foi preciso abrir mão de diversos pontos para que o projeto pudesse ser aprovado e transformado em lei no Congresso. Hoje temos uma ferramenta para combate à criminalidade cibernética no Brasil, mas num grau muito aquém do que seria a real necessidade”, Afirma o delegado e consultor José Mariano de Araújo Filho, em entrevista à revista Cadernos de Seguros. 3. ANÁLISE DE AMEAÇAS Em geral, podemos afirmar que, atualmente, o número de crimes cibernéticos direcionados a plataformas móveis cresce mais dinamicamente, em que o número de deteções de ransomware duplicou nos últimos anos. O desenvolvimento dinâmico da Internet das Coisas (IoT) também é considerado perigoso no ambiente especialista, com o uso do qual se projeta um aumento no número de ataques cibernéticos. Nesse sentido, o Japão aprovou uma alteração da lei que permite que funcionários do governo invadam os dispositivos de Internet das Coisas (IoT) das pessoas. A alteração faz parte de uma pesquisa que investiga o número de dispositivos IoT vulneráveis, realizado pelo Instituto Nacional de Tecnologia da Informação e Comunicações (NTIC) sob a supervisão do Ministério de Assuntos Internos e Comunicações (MIC). O Japão está a levar a cabo esta pesquisa para impedir que os dispositivos sejam aproveitados para uma infraestrutura de ataque cibernético que suporta os Jogos Olímpicos de Tóquio em 2020. Os funcionários da NICT terão permissão para tentar invadir dispositivos IoT 9 usando senhas e dicionários de senha padrão. Utilizadores que mantêm as senhas definidas como padrão pelo fabricante do dispositivo geralmente levam a que os dispositivos sejam comprometidos. A abordagem do Japão é uma maneira sem precedentes, mas proativa, de lidar com o problema de segurança da IoT. Um relatório publicado pelo MIC destacou que dois terços dos ataques cibernéticos em 2016 foram direcionados para dispositivos de IoT (Daws Ryan, 2019). Entre os fatores que impedem a luta contra o crime organizado no ciberespaço, continuam os seguintes: a) Natureza transnacional das infrações, que consiste no facto de que o local de cometimento, o instrumento do crime, as vítimas e o agressor podem estar sob jurisdiçõesterritoriais diferentes e há a necessidade de muitos acordos interestaduais formais para investigar esses crimes, o que diminui significativamente a sua condução; b) Alto nível de formação técnica dos criminosos; c) Problemas de recolhade evidências eletrónicas (digitais) que podem ser rapidamente alteradas ou mesmo destruídas; d) A dificuldade em identificar os infratores uma vez que as “assinaturas” individuais dos infratores são niveladas por um instrumento padronizado de comissão por software e suporte tecnológico; e) Falta de prática judicial suficiente em casos criminais sobre crime organizado no campo da tecnologia da informação. Devido ao facto de que os dados do computador podem ser facilmente alterados ou mesmo destruídos, os artigos 16 a 21 da Convenção sobre Cibercrime de 2001 preveem a aplicação de medidas legislativas e outras para o armazenamento urgente de dados de computadores, tráfego de dados, intercetação e escala de tempo de registo de informações em tempo real a ser implementada por todos os Estados signatários. É aconselhável trocar essas informações através dos pontos 24/7 relevantes criados em todos os países. No entanto, devido a várias circunstâncias, as respostas às solicitações de tais informações podem ser adiadas por um longo período, tornando essas informações desatualizadas e impedindo a investigação de crimes cibernéticos. Portanto, a cooperação internacional nessa área precisa de melhorias. Para uma investigação adequada dos crimes cibernéticos, é importante organizar uma cooperação estreita das agências policiais com os prestadores de serviços (Provedores de Internet) para a rápida divulgação de dados e para melhorar os 10 procedimentos de assistência jurídica mútua relacionados a dados eletrónicos, afim de obter prontamente evidências eletrónicas. Ao mesmo tempo, as agências de aplicação da lei já tem uma experiência positiva significativa da cooperação intergovernamental no combate ao cibercrime. Um exemplo impressionante disso foi a operação para eliminar a rede cibernética "Avalanche", que funcionou durante cerca de 7 anos e infetou milhares de computadores diariamente, e as perdas financeiras por ataques somaram mais de 100 milhões de euros. A investigação foi conduzida pelo Ministério Público de Verdun e pela polícia de Lüneburg (Alemanha) em estreita cooperação com o Ministério da Justiça e o FBI, Eurojust, Europol e parceiros globais. 178 pessoas foram presas por agentes da lei com o apoio do Centro Europeu de Cibercrime (EC3) e da Taskforce de Ação Conjunta de Cibercrime (J-CAT) bem como a Eurojust e a Federação Bancária Europeia (EBF). No território da Europa, foram identificados 580 assim chamados "drones" (pessoas envolvidas na retirada de dinheiro). Um ataque bem-sucedido a esse grupo criminal organizado internacional foi apoiado por 106 bancos e parceiros privados. Mais de 130 TB de dados recolhidos foram analisados na etapa de preparação de uma operação especial pela ciberpolícia. Durante a operação conjunta, realizada em 30 de novembro de 2016 em 30 países, cinco organizadores da rede foram detidos. Três deles são ucranianos; um foi detido na Alemanha, mais dois no território da Ucrânia. Um dos organizadores do grupo criminoso é acusado de 1152 crimes, que causaram uma perda de 6 milhões de euros (Rede da Avalanche desmantelada em operação cibernética internacional, 2016). E em fevereiro de 2018, o Departamento de Justiça dos EUA apresentou uma acusação de fraude cibernética sobre cerca de 36 pessoas suspeitas de participar em grupos internacionais da Organização Infraud, criada por um cidadão da Ucrânia. Note-se que o grupo roubou mais de 530 milhões de dólares americanos. A organização recebeu e vendeu ilegalmente dados pessoais de utilizadores de rede, participou em invasões de contas bancárias e eletrónicas e também distribuiu software malicioso. De acordo com as autoridades policiais dos EUA, cerca de 11.000 pessoas estavam envolvidas naOrganização Infraud, a maioria das quais nunca se encontrou pessoalmente (Trinta e seis acusados indiciados…, 2018). Com a crescente popularidade da Internet, e considerando que o comércio eletrónico está a tornar-se a parte mais importante da economia com a rotatividade, 11 medida em triliões de dólares americanos (Vendas a retalho no comércio eletrónico em todo o mundo de 2014 a 2021, 2019), o número de crimes cibernéticos aumentará em conformidade. Portanto, é necessário criar e usar meios de análise de informações nacionais e, idealmente, até internacionais. Além disso, os crimes cibernéticos exigem uma análise por um período menor do que dias, semanas ou até meses, que tendem a basear-se na análise de crimes tradicionais. Ao mesmo tempo, deve-se notar que as organizações de direitos humanos argumentam que grandes quantidades de informações acumuladas não permitem impedir sistematicamente o cibercrime, em vez disso, o armazenamento em massa de dados pessoais abre grandes oportunidades para vários tipos de abuso. Diante disso, em maio de 2014, a decisão do Tribunal de Justiça das Comunidades Europeias (TJCE) declarou que a Diretiva Europeia de Conservação de Dados constituía uma violação grave dos direitos de privacidade ao abrigo do direito europeu e era, portanto, inválido (acórdão do Tribunal de Justiça da União Europeia, 2014). Finalmente, além de combater o cibercrime, um elemento necessário para o funcionamento seguro e eficiente de uma sociedade digital é a identificação confiável dos seus participantes. Como sabemos, todos os criminosos tentam esconder a sua identidade. Portanto, ao contrário do Darknet, cuja principal característica é o anonimato, é preciso criar serviços eletrónicos que funcionem apenas com utilizadores verificados. É provável que assinaturas digitais eletrónicas ou outros mecanismos, como documentos de identificação eletrónica, sejam usados para verificação para garantir que o utilizador do serviço e o recurso da Internet sejam verificados. Isso, por sua vez, reduzirá significativamente o número de fraudes cibernéticas e outras ofensas no ciberespaço. 3.1 Observação Na nossa opinião, entre as questões de efetiva contração ao crime cibernético ainda são relevantes hoje, as seguintes: 1. Elaborar regras legais para a realização de pesquisas de evidências eletrónicas, levando em consideração a possibilidade de encontrá-las em diferentes 12 jurisdições (Khakhanovskyi, Hutsaliuk, 2019). 2. Desenvolvimento de software e hardware especializados para a recolha, armazenamento e análise de evidências eletrónicas, incluindo grandes casos de evidências informáticas. 3. Melhoria da rede de pontos de contacto nacionais para responder ao cibercrime (24/7) e mecanismos existentes de assistência jurídica internacional. 4. Organização de estreita cooperação entre agências de aplicação da lei e fornecedores para obter evidências eletrónicas. 5. Levantamento regular de qualificações de investigadores e outros agentes envolvidos na aplicação da lei, afim de estudar questões atuais das táticas de condução de ações investigativas para obter evidências eletrónicas na investigação de crimes cibernéticos. 6. Para aumentar a eficácia das investigações sobre crimes cibernéticos, unidades estruturais especializadas devem ser estabelecidas nos gabinetes da polícia e do Ministério Público e, possivelmente, em tribunais especializados. 7. Aumentar o nível de segurança cibernética nos setores público e privado, bem como desenvolver novas tecnologias para proteger e identificar utilizadores do ciberespaço. O Centro Global de Cibersegurança, criado em Genebra sob os auspícios do Fórum Económico Mundial, deve ajudar na estreita colaboração de empresas, académicos e funcionários do governo sobre segurança cibernética. Apenas atravésda cooperação de todas as partes interessadas, troca de informações e padrões comuns, a comunidade mundial poderá combater com êxito o cibercrime. O cumprimento dessas medidas permitirá obter plenamente as vantagens da sociedade digital. 13 4. DESCRIÇÃO DO PROBLEMA Um dos sinais da sociedade digital moderna é o rápido desenvolvimento das tecnologias da informação e a disseminação da Internet, que estão a ser introduzidos em todas as esferas da vida. O primeiro site da história foi criado em 1991 e hoje existem mais de 1,8 biliões de sites no mundo. Se em 2015 o número de utilizadores da Internet era de cerca de 2 biliões, em 2019 eles já ultrapassavam os 4 biliões (Estatísticas ao vivo na Internet, 2019). O primeiro programa da Europa Digital, proposto em junho de 2018, investirá em cinco principais setores digitais: computadores de alto desempenho, inteligência artificial, segurança cibernética e confiança, habilidades digitais avançadas, e garantir o amplo uso e implantação de tecnologias digitais na economia e na sociedade, afim de fortalecer a liderança tecnológica industrial europeia (Orçamento da UE, 2018). Ao mesmo tempo, com o desenvolvimento da tecnologia informática, surgiu uma nova forma de atividade criminosa o cibercrime, que hoje domina o ambiente de redes de computadores e dispositivos móveis. O anonimato das redes globais de informação, a velocidade da transferência de informações possibilita o uso dessas vantagens, não apenas no desenvolvimento da sociedade de informação, mas também pela prática de atos ilícitos. Isso também é facilitado pelo facto das tecnologias de informação e comunicação estarem a ser introduzidas e desenvolverem-se muito mais rapidamente do que os legisladores e as agências de aplicação da lei podem reagir. Portanto, o desenvolvimento sustentável de uma sociedade digital só é possível se o crime cibernético for combatido ativamente, incluindo as suas formas organizadas. Os crimes cibernéticos, contrariamente aos tradicionais, são caracterizados pelo facto de serem cometidos usando computadores e redes de dados, incluindo a Internet global. Como resultado, esses crimes podem ser de natureza transfronteiriça e perpetrados por grupos interestaduais criminosos organizados. Outra característica é que a evidência de tais crimes está contida em dispositivos eletrónicos (evidência eletrónica ou digital) e tem a capacidade de ser rapidamente modificada ou mesmo destruída. Depois da Organização Mundial da Saúde ter reconhecido o coronavírus como 14 uma pandemia, muitas organizações em todo o mundo começaram a introduzir métodos remotos de trabalho nas suas unidades, incluindo organizações como o Congresso dos EUA, o Pentágono, a NASA. Ao mesmo tempo, o tráfego da Internet aumentou significativamente. Por exemplo, o tráfego de conferência na Webex cresceu 22 vezes. Em tais condições, a confiabilidade das telecomunicações aumenta significativamente. A cultura corporativa não será a mesma depois do coronavírus. Algumas empresas permanecerão distantes após a epidemia global. Em primeiro lugar, os próprios funcionários, tendo sentido os benefícios do teletrabalho, não quererão voltar aos gabinetes. Em segundo lugar, os proprietários de empresas, tendo medido o KPI dos funcionários e a poupança em instalações e serviços de aluguer, podem deixar apenas os funcionários mais necessários no local. 4.1 Medidas de Cibercrime e Cibersegurança Se o cibercrime no século passado eram eventos relativamente raros e investigados dentro dos estados individuais, no início do século XXI, eles tornaram-se um dos problemas mais prementes que confrontam a comunidade internacional e começaram a procurar ativamente mecanismos de combate a este fenómeno (Eoghan Casey, 2011, Marie-Helen Maras, 2016), em particular: Em 2001, a Convenção sobre Crime Cibernético foi adotada em Budapeste. Este documento estabelece uma lista de crimes cibernéticos e as disposições processuais necessárias para combater o crime cibernético, incluindo a recolha e o partilha de evidências eletrónicas (Convenção sobre Crime Cibernético 2001); Em 2002, foi realizado em Londres o Primeiro Congresso Estratégico Internacional sobre Crime Cibernético "Congresso sobre Crime Eletrónico 2002", dedicado aos problemas do combate aos crimes eletrónicos. No congresso, os representantes dos órgãos de aplicação da lei de diferentes países e da indústria de TI discutiram questões de efetiva contração ao crime cibernético (Gutsalyuk M. V. Combate a Crimes Cibernéticos, 2002); Em 2004, em conformidade com o Regulamento (UE) n.º 460/2004, foi criada a Agência Europeia para a Segurança das Redes e Informação (ENISA), cuja principal 15 tarefa era melhorar a segurança das redes e da informação na União Europeia (Regulamento (EC) No 460/2004); Em 2007, a União Internacional de Telecomunicações (UIT) desenvolveu o Programa Global de Cibersegurança (GCA) como uma estrutura para a cooperação internacional que visa aumentar a confiança e a segurança na sociedade de informação (Agenda Global de Cibersegurança, 2007); Em 2010, na ONU, um grupo de especialistas foi criado para realizar pesquisas sobre crimes cibernéticos. O grupo preparou um estudo abrangente sobre o cibercrime (Projeto de Estudo Abrangente sobre Cibercrime, 2013); Em 2011, a Estratégia Internacional para o Ciberespaço foi desenvolvida nos EUA. (Estratégia Internacional para o Ciberespaço, 2011); Em 2013, foi adotada a Diretiva da UE sobre ciberataques em sistemas de informação (Diretiva 2013/40 / UE); Em 2013, em conformidade com o Regulamento (UE) n.º 526/2013, foi criada a Agência da União Europeia para a segurança das redes e da informação e o Regulamento (UE) n.º 460/2004 foi revogado (Regulamento (UE) No 526/2013); Em 2013, a Europol criou o Centro Europeu de Cibercriminalidade (EC3) em 2013 para reforçar a resposta da lei ao crime cibernético na UE e, assim, ajudar a proteger os cidadãos, as empresas e os governos europeus da criminalidade online (Centro Europeu do Cibercrime, 2013); Em 2014, o Instituto Nacional de Padrões e Tecnologia desenvolveu um Quadro de Infraestrutura Crítica para Instalações de Infraestrutura Crítica para detetar, prevenir e responder a ataques cibernéticos (Quadro para melhorar a segurança cibernética da infraestrutura crítica, 2014). Em abril de 2018, uma nova versão 1.1 deste documento foi lançada; Em 2016, foi adotada a Diretiva da UE 2016/1148, relativa a medidas para garantir um elevado nível global de segurança das redes e dos sistemas de informação em toda a União. (Diretiva (UE) 2016/1148, 2016); Em 2017, o presidente da Comissão Europeia Jean-Claude Juncker anunciou um pacote de Segurança Cibernética que estabelece medidas para responder ao cenário de mudanças nas ameaças cibernéticas (Pacote de Segurança Cibernética, 2017); Em 2018, o Regulamento Geral de Proteção de Dados (RGPD), a diretiva da União Europeia sobre o uso de dados pessoais, entrou em vigor (Regulamento Geral 16 de Proteção de Dados, 2018); Em 2019, a Europol anunciou a adoção de um novo protocolo sobre como as autoridades policiais da União Europeia e além responderão aos principais ataques cibernéticos transfronteiriços. O novo protocolo, adotado pelo Conselho da UE, faz parte do Plano de Resposta Coordenada da UE a Incidentes e Crises de Segurança Cibernética Transfronteiriça em Larga Escala, e será implementado pelo Centro Europeu de Cibercrime da Europol (EC3) (UE Adota Novo Protocolo de Resposta para Grandes Ataques Cibernéticos, 2019). Deve-se notar que, nos últimos anos, todos os países desenvolvidos também adotaram legislação nacional relevante sobre o procedimento penal de crimes cibernéticos, desenvolveram estratégias paracombatê-los e criaram as unidades de aplicação da lei apropriadas (Gutsalyuk, 2016). 5. VULNERABILIDADES O mercado de exploits pode ser analisado em uma perspectiva de consumidor (cliente) e fornecedor (especialista/empresa). Indiferente da perspectiva, para se abordar esse mercado é necessário planejamento, foco e objetivo concreto. É um mercado profissional que conta com desenvolvimento de técnicas e estudo de tecnologias em constante evolução, empregando pessoal técnico altamente capacitado. A participação neste mercado como eventual gerador de necessidade não prescinde de um planejamento bem estruturado, de preferência com suporte e objetivo estratégico, que conte com infraestrutura própria e ferramentas específicas. Por consequente, tal participação requer recursos financeiros e técnicos para implementação de laboratórios avançados para testes de funcionalidades e técnicas de exploração, já que para se atender a uma necessidade, um objetivo claramente definido é fundamental. Além disso, estes tipos de recursos técnicos e financeiros são aplicados de diversas formas. Por exemplo, para permitir a replicação das características técnicas e de ambiente de um alvo específico para testes de efetividade e exploração de uma 17 oportunidade real. Note-se que esta atividade deve ser desenvolvida por pessoal qualificado na área de segurança cibernética. Esta área envolve diversas tecnologias e arquiteturas, tornado a atividade claramente multidisciplinar com viés técnico e especializado. Assim sendo, podem ser considerados como requisitos mínimos para atuação neste tipo de mercado, o domínio e entendimento de tecnologias relacionadas a arquiteturas de hardware dos mais variados tipos, arquiteturas e plataformas de software para avaliação, desenvolvimento e testes funcionais, bem como domínio avançado de tecnologias e protocolos de redes de comunicação, sistemas operacionais, equipamentos de redes de comunicação, serviços de telecomunicação, entre outros requisitos. Isso posto, um dos fundamentos básicos deste mercado é o exploit em si. Sob o aspecto de segurança, ele é o ponto de partida visando uma necessidade específica de emprego de recursos técnicos ligados a um objetivo concreto. É o exploit que oferece as condições mínimas de sucesso na exploração de falhas. Entretanto, para que o exploit obtenha sucesso, diversas etapas precisam ser entendidas corretamente. Os tópicos a seguir detalham alguns aspectos de forma a explicar o que são vulnerabilidades Zero-day, o que são exploits e o processo básico de emprego dos mesmos. Para fins deste artigo, uma vulnerabilidade é um tipo de falha que permite ao atacante obter sucesso na exploração de um recurso tecnológico, seja ele na forma de um hardware ou de um software. VULNERABILIDADES ZERO-DAY Sob o aspecto de segurança da informação, uma vulnerabilidade Zero-day é um tipo de falha para a qual não existe defesa prévia eficiente devido ao fato de não existir uma correção ou uma atualização que a remova do produto sendo explorado. Isso permite a um atacante, considerando o seu objetivo e o nível de aprofundamento da exploração desejada, uma elevada taxa de sucesso na exploração da falha e, consequentemente, alcançar o objetivo desejado seja ele relacionado à obtenção de informações, seja ao controle do recurso explorado, seja à negação de serviço ao recurso por parte de outrem. Relacionado ao desenvolvimento de produtos e aplicações na área de tecnologia e segurança da informação, um Zero-day é uma falha cujo responsável 18 pelo produto ou aplicação não teve tempo hábil para correção antes de a falha ser explorada, seja por total desconhecimento prévio da falha, seja por inexistência de tempo hábil de publicação de correção antes de a falha ser conhecida e explorada. Após a falha ser publicamente conhecida através de canais oficiais de divulgação, lista de segurança, entre outros, ela deixa de ser considerada uma vulnerabilidade Zero-day e passa a ser uma falha explorável em condições que atendam a versão que é atingida por determinada falha. Devido as características de desenvolvimento de determinados sistemas, uma falha atinge uma única versão de um determinado produto, ou atinge múltiplos produtos em múltiplas versões. Exemplo disso é o caso da falha estar em uma biblioteca que é base de desenvolvimento de vários produtos. EXPLOIT Do ponto de vista técnico, um exploit é um trecho de código de programa desenvolvido e compilado para uma arquitetura de hardware ou para uma arquitetura de software ou para um tipo de aplicativo. Este código é criado com o intuito de explorar uma vulnerabilidade associada a um recurso tecnológico, podendo inclusive ser para exploração de vulnerabilidade Zero-day. Em um maior detalhamento, um exploit é um trecho de código que normalmente utiliza técnicas de linguagem de máquina de baixo nível, por meio de instruções de registradores em linguagem assembly que são capazes de manipular recursos de entrada e saída de memória e de recursos de processamento. Através deste tipo de manipulação, onde exista uma falha capaz de ser explorada em uma aplicação ou hardware, um exploit faz com que um conjunto arbitrário de instruções desejada pelo atacante sejam executadas, em detrimento do conjunto original de instruções que deveria ser executado na aplicação explorada. Do ponto de vista de segurança da informação um exploit pode ser visto e entendido como uma arma cibernética. É um recurso tecnológico especializado que faz uso de técnicas específicas relacionadas à arquitetura de hardware e software, cujo efeito gera vantagem estratégica a um atacante e causa prejuízos variados a quem se torne alvo de uma arma deste tipo. O exploit é um recurso técnico eficiente se bem empregado e se bem 19 controlado, que permite o acesso não autorizado a recursos computacionais, possibilitando a escalação de privilégios ou realizando a negação de serviços. Caso um exploit seja mal empregado, ele se torna um recurso perdido. Uma vez utilizado fora do ambiente de controle, um exploit deixa de ter a eficiência desejada. Ainda, caso mal empregado, permite a implicação de autoria, e como consequência, de possíveis acusações envolvendo crime e espionagem cibernética. Há basicamente dois tipos de exploit – local e remoto. Um exploit local é aquele onde o atacante já possui acesso a um determinando recurso computacional e executa localmente um determinado código com o intuito de aumentar suas permissões no recurso explorado, instalar determinadas ferramentas auxiliares ou permitir ainda que seja possível o controle remoto do recurso computacional mediante exploração de falhas. Um exploit remoto é aquele onde o atacante é capaz de executar um determinado código por meio de um canal de comunicação ou uma rede, permitindo a exploração de falha no recurso computacional, sendo possível o seu controle remotamente. Assim, um exploit é um recurso técnico que pode atingir qualquer usuário em qualquer ambiente cibernético, seja ele conectado ou isolado, sendo que, neste último caso, o exploit pode ser inserido no ambiente por meio de dispositivos removíveis. Normalmente, um exploit pode alterar o funcionamento do hardware ou do software, permitindo que sejam instalados ou manipulados outros recursos de acordo com o objetivo do atacante. 20 6. RESULTADOS E DISCUSSÃO A Internet surgiu em meio à Guerra Fria (anos 60) para comunicação das bases militares dos Estados Unidos em caso de ataques inimigos, sendo de acesso restrito. Não obstante, o acesso ao público em geral demorou, tendo em vista que já naquela época temia-se o mal-uso da tecnologia. Não há dúvidas de que a tecnologia e a Internet trouxeram muitos benefícios e melhorias paraas pessoas, negócios, métodos de trabalhos em setores industriais, propagação da informação, superação de limites de tempo e espaço, saúde, segurança, meio de trabalho, entretenimento, entre tantos outros benefícios incomensuráveis. Sendo sem fronteiras, o ambiente digital permite que o criminoso (usuário mal- intencionado) esteja em vários lugares ao mesmo tempo, aplicando variados golpes. Segundo dados estatísticos do IBOPE (Instituto Brasileiro de Opinião Pública e Estatística), uma pesquisa feita entre setembro de 2013 e fevereiro de 2014 revelou que há 68,2 milhões de domicílios com acesso à Internet. É a sociedade se tornando cada vez mais globalizada, informada e conectada. O avanço tecnológico, no entanto, não trouxe apenas benefícios. Com toda essa gama de oportunidades, abriram-se também as portas para a prática de crimes cibernéticos. A Internet estreitou as distâncias, tornou tudo mais instantâneo e também trouxe a sensação do anonimato, por meio da qual os criminosos transformaram a finalidade da tecnologia em um meio para a prática de crimes com o pensamento de que nenhum vestígio será encontrado. Vancin e Neves (2014, p.74) afirmam que há uma “errônea ideia de que a Internet simboliza um meio anônimo, como ‘anarquismo virtual’, por meio do qual as pessoas que nela ‘navegam’ são totalmente desconhecidas e imaginárias, principalmente de impossível identificação”. De acordo com Gimenes (2014), a Internet e a realidade virtual alimentam no ser humano a sensação de liberdade, pois, com um computador em mãos, uma pessoa pode assumir muitas faces, personalidades e falsas identidades. Não se pode negar que hoje a Internet é destacada como o mais forte e mais popular meio de comunicação, pois com uma disponibilidade de 24 horas por dia, seu poder se torna inimaginável. Para Vancin e Neves (2014), indiscutível é o avanço e as benesses que a utilização ética da Internet trouxe para o compartilhamento da informação, com 21 vantagens incontáveis em sua propagação. Todavia, tem-se o perigo intrínseco à tecnologia da informatização, principalmente no tocante aos crimes informáticos, para os quais há inúmeras denominações e possibilidades de prática, no ambiente virtual. Algumas denominações populares são: Crimes Virtuais, Crimes Digitais, Crimes Informáticos, Crimes de Informática, Crimes de Computador, Delitos Computacionais, Crimes Eletrônicos, Crimes Cibernéticos, Crimes da Internet, Cybercrimes, E-Crime, Fraude Informática, entre vários outros títulos que são dados à prática de crimes cujo meio ou ferramenta seja o equipamento eletrônico. Crimes Digitais são crimes que existem muito antes do computador, porém atualmente praticados sob utilização tecnológica como método, meio ou como fim. Como método, o indivíduo utiliza meios eletrônicos para obter um resultado ilícito. Como meio, é a ocasião na qual para a realização do delito, é necessário o uso de um computador. E como fim, para danificar um equipamento eletrônico. Um crime informático não precisa estar diretamente relacionado à Internet, ou seja, o equipamento eletrônico nem sempre precisa estar conectado a uma rede de Internet para estar apto à prática dos delitos. De acordo com Bueno e Coelho (2009, p.1), “o surgimento dos crimes informáticos, que começou na década de 1960, época em que apareceram na imprensa e na literatura científica os primeiros casos de uso do computador para a prática de delitos, constituídos, sobretudo, por manipulações, sabotagens, espionagem e uso abusivo de computadores e sistemas, denunciados em matérias jornalísticas”. Em 2012, houve um acréscimo expressivo no índice de incidentes de segurança no Brasil, atingindo a margem de quase 500 mil incidentes reportados. A partir dos eventos reportados pelo CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) em 1999, Segundo o mesmo Centro de Estudos, o maior volume de ataques em 2013 ocorreu às segundas-feiras, e o Brasil tem liderado progressivamente este ranking. Criminosos também tentam burlar os grampos telefônicos da polícia utilizando serviços como VoIP (voz sobre Protocolo de Internet) para estabelecerem comunicação entre si. Santos (2013, p.6), acrescenta que “eles montam suas próprias centrais virtuais de VoIP, gerando aí uma total independência de um serviço telefônico”. Estimam Vancin e Neves (2014, p.25) que existam “2 bilhões de terminais conectados à Internet no mundo. 22 Em 2020, projeções são de que haverá 50 bilhões de terminais conectados. A Internet, portanto, será muito mais presente em nossas vidas do que imaginamos hoje”. O ambiente digital criou um novo terreno para os criminosos, por ser área fértil para cometer crimes (SUDRÉ, 2014). Há uma vasta lista de técnicas ou golpes aplicados pelos malfeitores, alguns são mais comuns como: implantação de vírus, germes, cavalos de Tróia ou qualquer outro programa que invada computadores alheios em busca de dados pessoais, os quais serão futuramente utilizados com finalidades ilícitas. Muitos crimes, embora já tenham sido tipificados pela lei criminal, passaram a ser inovados pela prática com o auxílio de um equipamento eletrônico. Sendo os crimes digitais condutas antijurídicas praticadas por meio da rede mundial de computadores, a maioria das ações ilícitas já dispõe de previsão legal, podendo ser tipificada nas condutas ilícitas como, por exemplo: crime contra a honra, na modalidade injúria, cuja previsão legal está capitulada pelo artigo 140 do CP - Código Penal Brasileiro; crime de ameaça (artigo 147 do CP); crime de plágio (artigo 148 CP); crime de pedofilia (artigo 247 do ECA - Estatuto da Criança e do Adolescente; dentre tantos outros delitos informáticos que ocorrem sem que as autoridades penais tenham conhecimento. Diariamente as pessoas são potenciais vítimas de diversos crimes digitais tais como em redes sociais, nas caixas de e-mails, num CD de músicas, num serviço de troca de mensagens e muitos outros, os quais são sempre praticados com a utilização de um equipamento eletrônico, aparentemente É possível concluir que a velocidade do avanço tecnológico não foi acompanhada pela atualização da legislação criminal. Há inúmeros delitos a serem tipificados e, a cada dia, surgem novas formas de praticar um crime informático, sem que tal conduta tenha uma previsão legal, fato que induz o julgamento de tais crimes por analogia, o que talvez contribua para o aumento do número de delitos informáticos praticados. De forma conjunta, há também uma carência de políticas de prevenção e repressão aos crimes informáticos. Além disso, o uso indevido da ferramenta tecnológica tem influenciado no incremento das estatísticas dos delitos virtuais. Há a premente necessidade de investimentos no setor, a fim de possibilitar a discussão franca e aberta sobre o fomento de políticas públicas de educação informática não somente para que o 23 processo de inclusão digital seja uma realidade no país, mas sobretudo como forma de coibir o crescente aumento dos crimes virtuais, pelo esclarecimento dos usuários da rede mundial de computadores. Abrangendo as Ciências Jurídicas, o estudo sobre o Direito, no contexto da Informática, aborda os crimes digitais e oferece os conhecimentos que todo usuário deve ter sobre os direitos e deveres virtuais. E um estudo aprofundado no assunto, abrange uma área pouco explorada, a Perícia Forense Computacional, uma área do Direito aplicada aos crimes digitais. O uso da tecnologia vem crescendo a cada dia, tornando-se, atualmente, uma ferramenta indispensável ao bem-estar. Há quem se beneficie no ambiente de trabalho, educação, pesquisa, passatempo, enfim, uma infinidade de razões, inclusive para a prática de crimes (SANTOS, 2013). Neste contexto, surge o Direito Digital para regulamentar as condutas humanasante as inúmeras oportunidades de operações das ferramentas tecnológicas, as quais, segundo Zanata (2010), possuem características próprias e conflitantes. O Direito Digital surge em uma etapa seguinte na qual a Internet se tornou um espaço livre, sem controle, sem limites, e insubordinado a qualquer poder punitivo (ZANATA, 2010). A consumação da informação lapidada em sistemas informatizados não restringiu em apenas benesses para a sociedade brasileira, e a utilização inapropriada dessa gama de informações torna-se um crime de delicado controle (DAOUN; LIMA 2007). 24 CONCLUSÃO Se de um lado a modernidade, marcada pelo uso em comum da internet e pelo início da era homo digitalis, trouxe elementos facilitadores ao desenvolvimento social, por outro também criou amplos desafios daqueles que têm por objetivo e função primordial a manutenção dos direitos e da paz social. O enfrentamento e a punibilidade dos chamados crimes informáticoscometidos essencialmente por meio da internet ou de dispositivos eletrônicos vindos até a sociedade moderna, graças à evolução tecnológica ainda representam grandes problemáticas ao Direito, que, em muito, encontra-se preso aos bens jurídicos edificados a partir das antigas revoluções. O ordenamento jurídico brasileiro, apesar de carente de normas específicas sobre o tema, desde muito punia tais crimes praticados por meios virtuais de forma análoga aos tipos penais previstos no Código Penal ou nas legislações esparsas. Porém, o momento presente não é mais o mesmo. A criminalidade virtual tem sofrido imensurável crescimento, nos quais as condutas passam a ser dotadas de alta lesividade, com características típicas de crime plurilocal isto é, realizado longe do local onde se dá o evento e com delinquentes pertencentes ao ramo informático, o que dificulta demasiadamente a captura deles. Justamente nesse contexto é que foi promulgada a batizada “Lei Carolina Dieckmann”, criadora de modalidade de crime informático puro no ordenamento jurídico brasileiro, situação nunca antes vista no cenário brasileiro. Não obstante o fato de que a entrada em vigor de novas leis, regulamentando a situação jurídica nos meios virtuais, deu importantes subsídios para solucionar os impasses criados pelos delitos informáticos, ainda deficientes em vários pontos, especialmente por não preverem qualquer forma de violência moral praticada com o auxílio dos meios cibernéticos. E quem mais sofre com essa modalidade de violência são as mulheres, que acabam vitimadas por seus companheiros e friamente expostas no mundo virtual, sem qualquer tipo de autorização, originando o fenômeno criminológico conhecido por “pornografia de vingança”, e sequer podem recorrer às vias judiciais, visto que há um enorme vácuo legislativo, pois a temática não foi abordada por qualquer política. Por isso, ao modificar a Lei Maria da Penha e acrescentar um novo delito ao Código Penal, o Projeto de Lei nº 5.555/2013 – hoje em trâmite perante o Senado 25 Federal, aguardando votação mostra-se essencial para assegurar às pessoas, em especial às mulheres, maior proteção no âmbito da moral subjetiva e no ambiente familiar, erradicando cada vez mais a violência doméstica. A proposta tende a acrescentar valores indispensáveis à comunidade brasileira, que procura incessantemente instrumentos capazes de combater a criminalidade dos tempos modernos, sobretudo no que se refere aos direitos de dignidade das mulheres, além de incluir o direito à comunicação como condição fundamental para o nivelamento dos direitos femininos no Brasil. 26 REFERÊNCIAS ALMEIDA FILHO, José Carlos de Araújo. Direito Eletrônico ou Direito da Informática? Informática Pública, v. 7, 2005. Disponível em: . BARBAGALO, Érica Brandini. Contratos Eletrônicos. São Paulo: Saraiva, 2001. p. 39. BRASIL. Projeto de Lei nº 5.555, de 2013. Disponível em: . CUNHA, Rogério Sanches. Manual de Direito Penal: parte geral (arts. 1º ao 120). 4. ed. Bahia: JusPODIVM, 2017. FERREIRA, Ivete Senise. A criminalidade informática. In: De LUCCA, Newton; SIMÃO FILHO, Adalberto (Coord.). Direito e Internet: aspectos jurídicos relevantes. Bauru: Edipro, 2000. FIORILLO, Celso Antônio Pacheco. Tutela jurídica do meio ambiente cultural como patrimônio normativo da denominada sociedade da informação no Brasil. Disponível em: . Acesso em: dez. 2017. MASSON, Cléber. Direito Penal Esquematizado 7. ed. São Paulo: Editora Método, 2015. v. 2. PAIVA, Mário Antônio Lobato de. Os institutos do Direito Informático. Âmbito Jurídico, Rio Grande, VI, n. 14, ago 2003. Disponível em: . Acesso em: out. 2017. PINHEIRO, Patrícia Peck. Direito Digital. 3. ed. São Paulo: Saraiva, 2009. ROSA, Fabrízio. Crimes de Informática. 2. ed. Campinas: BookSeller, 2005. ROSSINI, Augusto Eduardo de Souza. Brevíssimas considerações sobre delitos informáticos. Caderno Jurídico, Ano 2, n. 4, jul. 2002. SMANIO, Gianpaolo Poggio. Tutela Penal dos Interesses Difusos. São Paulo: Atlas, 2000. TIEDEMANN, Klaus. Poder Económico y Delito. Barcelona: Editorial Ariel, 1985. ______. Criminalidad Mediante Computadoras. Disponível em: . Acesso em: dez. 2017.
Compartilhar