Baixe o app para aproveitar ainda mais
Prévia do material em texto
Unidade 2 Cibercrimes ANAÏS EULÁLIO BRASILEIRO Direito Digital Diretor Executivo DAVID LIRA STEPHEN BARROS Diretora Editorial ANDRÉA CÉSAR PEDROSA Projeto Gráfico MANUELA CÉSAR ARRUDA Autor JOANA ÁUREA CORDEIRO BARBOSA Desenvolvedor CAIO BENTO GOMES DOS SANTOS ANAÏS EULÁLIO BRASILEIRO Oi! Meu nome é Anaïs Eulálio Brasileiro. Sou formada em Direito, com especialização em Direito Penal e Processual Civil, Mestre em Direito Constitucional, na linha de Direito Internacional, e agora, Doutoranda em Direito. Sou advogada desde 2016, mas ganhei mais experiência no ano de 2019 ao trabalhar em um escritório com causas diversas. Posso dizer com certeza que sou apaixonada pela área do direito, principalmente a parte de estudar e pesquisar sobre os mais variados assuntos, transmitindo minha experiência de vida àqueles que estão iniciando em suas profissões. Por isso fui convidada pela Editora Telesapiens a integrar seu elenco de autores independentes. Estou muito feliz em poder ajudar você nesta fase de muito estudo e trabalho. Conte comigo!. O AUTOR Olá. Meu nome é Manuela César de Arruda. Sou a responsável pelo projeto gráfico de seu material. Esses ícones irão aparecer em sua trilha de aprendizagem toda vez que: ICONOGRÁFICOS INTRODUÇÃO: para o início do desen- volvimento de uma nova competência; DEFINIÇÃO: houver necessidade de se apresentar um novo conceito; NOTA: quando forem necessários obser- vações ou comple- mentações para o seu conhecimento; IMPORTANTE: as observações escritas tiveram que ser priorizadas para você; EXPLICANDO MELHOR: algo precisa ser melhor explicado ou detalhado; VOCÊ SABIA? curiosidades e indagações lúdicas sobre o tema em estudo, se forem necessárias; SAIBA MAIS: textos, referências bibliográficas e links para aprofundamento do seu conhecimento; REFLITA: se houver a neces- sidade de chamar a atenção sobre algo a ser refletido ou discutido sobre; ACESSE: se for preciso acessar um ou mais sites para fazer download, assistir vídeos, ler textos, ouvir podcast; RESUMINDO: quando for preciso se fazer um resumo acumulativo das últi- mas abordagens; ATIVIDADES: quando alguma ativi- dade de autoapren- dizagem for aplicada; TESTANDO: quando o desen- volvimento de uma competência for concluído e questões forem explicadas; SUMÁRIO Cibercrime: o gênero 10 O gênero do cibercrime 10 Autores do cibercrime e principais motivações 12 Espécies do cibercrime 18 Formas e modalidades do cibercrime 18 Taxonomia do cibercrime 22 Ciberterrorismo 25 Cyber warfare e ciberterrorismo 26 Respostas ao ciberterrorismo 32 Ciberespionagem 33 O contexto da ciberespionagem no direito internacional 33 A ciberespionagem 37 Direito Digital 44 Direito Digital 7 UNIDADE 02 CIBERCRIMES Direito Digital8 Começamos a ver como o mundo digital é o que vivemos e respiramos, desde o básico, como entretenimento em redes sociais, perpassando por necessidades e aplicativos para uma vida mais cômoda. Nós somos e formamos a sociedade da informação. Estamos sempre conectados, de forma instantânea ou não. A tecnologia veio para facilitar nossas vidas, e nós podemos ver isso no nosso dia-a-dia. Entretanto, o mundo digital trouxe consigo perigos que não poderíamos jamais prever algumas décadas atrás, com atividades ilícitas que nem o direito conseguiu adiantar e ainda possui dificuldades em acompanhar. Estamos falando do básico, desde querer tentar acessar um website e ser redirecionado para onde você não quer, como ter todo o seu dinheiro furtado da sua conta através de algum malware em algum dispositivo, ou até atividades cibernéticas ilícitas que podem afetar diretamente nossa vida, como ações capazes de matar alguém ou contribuir com esse propósito. Seja de forma positiva ou negativa, o ciberespaço está repleto de uma sensação de que passamos pelo menos uma vez na vida: o desconhecido. Precisamos estudar constantemente o avanço das tecnologias e o que a sociedade da informação anda experenciando. Ao longo desta unidade letiva você vai compreender melhor sobre os crimes cibernéticos e entender melhor o que está acontecendo no mundo na área criminal. Preparado? Vamos lá! INTRODUÇÃO Direito Digital 9 Olá. Seja muito bem-vindo à Unidade 02 – Cibercrimes. Nosso objetivo é auxiliar você no desenvolvimento das seguintes competências profissio- nais até o término desta etapa de estudos: 1. Compreender o que significa cibercrimes sob sua grande área; 2. Estudar as formas do cibercrime e suas espécies; 3. Entender o ciberterrorismo e suas particularidades a partir do contexto de cyberwarfare; 4. Averiguar a ciberespionagem a partir dos preceitos do direito internacional. E então? Você está pronto para adentrar nesse novo mundo? Vamos lá! OBJETIVOS Direito Digital10 Cibercrime: o gênero INTRODUÇÃO: Ao término deste capítulo você será capaz de compreender o que é o cibercrime, no contexto do ciberespaço, quem são considerados os autores (sujeitos ativos) desses crimes e o que os levariam ao cometimento de tais ações criminosas. E então? Motivado para desenvolver esse aprendizado? Vamos lá! O gênero do cibercrime O que você faria se você tivesse em mente um assalto a alguma loja na sua cidade, em algum dia dessa semana? Você provavelmente precisaria de armas, não é mesmo? Talvez de comparsas? Mas e se você estivesse planejando matar alguém, o que você iria providenciar? Talvez instruções de como melhor fazer isso sem ser descoberto? Alguém para ajudar? Se a primeira resposta que passou na sua cabeça foi algo dentro da área de “iria pesquisar na internet” ou “iria mandar uma mensagem para as pessoas que iriam me ajudar”, você definitivamente está com o seu pensamento de vida voltado ao ciberespaço e essa é a maior prova que você faz parte da sociedade da informação. Como vimos na unidade anterior, existe no âmbito do ciberespaço, muitas formas de praticar atividades ilícitas principalmente quando estamos na deep web ou na dark web. Porém, engana-se quem pensa que existem atividades ilícitas apenas dentro do mundo virtual: as atividades no ciberespaço que auxiliam prática de crimes no mundo real também se configuram como cibercrime. Em que consiste, então, o cibercrime? Vamos dar uma olhada em sua definição segundo Pinto (2011, p. VI). Podemos entender, de forma resumida, que cibercrime consiste em ações que visam os sistemas tecnológicos de informação como alvo principal, podendo ser de atividades mais básicas como violações de direitos de imagem e de autor, ou até mesmo algo mais sério, como espionagem cibernética e crimes contra a vida. Direito Digital 11 É importante entender que no âmbito das atividades ilícitas presentes no ciberespaço, os sistemas informáticos são as armas principais utilizadas para conduzir o intencionado. É isso que pode, inclusive, ocasionar uma guerra da informação. Veja o esquema abaixo: Figura 01: A guerra da informação. Fonte: A Autora. Nesse ponto de vista, os sistemas informáticos (hardware e software) são interpretados como armas, instrumentos de fato utilizados para causar o mal em alguém ou atingir determinado objetivo, levando a uma guerra da informação. Aqui, a guerra da informação deve não apenas englobar a corrida competitiva de desenvolvimento de tecnologias na busca desenfreada por vantagens em relação a outros, mas também deve englobar o próprio sentido de cibercrimes como sendo atividades ilícitas que acontecem no ciberespaço. É importante ressaltar ainda, caso ainda esteja um pouco difícil a compreensão, que quando dizemos que os sistemas informáticos se referem aos hardwares e softwares, queremos dizer que nos referimos a todas as partes das tecnologias informáticas presentes no ciberespaço. Isso é, o hardware envolve as partes físicas que formam os dispositivos informáticos, como o computador, podendo ser, portanto: a placa mãe,o teclado, o visor, o cursor do mouse, entre outros. Já o software seria a parte mental, caso o dispositivo eletrônico fosse um corpo. Quer dizer, engloba os programas que fazem com que o dispositivo em si funcione, desde o próprio Word ou Power Point, até programas muito mais desenvolvidos. Direito Digital12 Ocupando cada vez mais lugar nos noticiários, o cibercrime (ou crime cibernético, ou e-crime, ou ainda guerra informática) sozinho, em todas suas modalidades, custou ao mundo um valor perto de 600 bilhões de dólares, atingindo todos os países de forma geral de acordo com as pesquisas do UNODC (Escritório das Nações Unidas sobre Drogas e Crime). Ao passo que cibercrime circula na definição de ações ilícitas dentro do âmbito do ciberespaço, estudos apontam que esse é o gênero das atividades criminosas, ou seja, o cibercrime envolve um grupo de espécies que possuem, todas elas, a mesma característica de acontecerem no mundo virtual, com impactos no mundo real. Autores do cibercrime e principais motivações Quem são, entretanto, os autores dos cibercrimes? Como eles são conhecidos? Os estudos sobre o tema classificam os autores dependendo do seu nível de conhecimento e dependendo da forma que agem, sendo o seu objetivo um ponto também muito importante. Confira o esquema abaixo: Figura 02: Nomenclatura dos autores do cibercrime. Fonte: A Autora. Os crackers são as pessoas que possuem intenção de provocar danos a outras pessoas. Eles possuem capacidades básicas, desde invadir e desconfigurar websites, até capacidades mais avançadas para descobrir senhas e informações de aplicativos, por exemplo. Eles conseguem crackear as travas de seguranças digitais, ou seja, conseguem encontrar um meio de abrir e destravar o que querem. Os phreakers, por outro lado, possuem capacidade de violar sistemas através de suas vulnerabilidades. Eles conseguem, por exemplo, clonar telefones ou acionar dispositivos que permitem a escuta de conversas telefônicas de forma ilegal. Direito Digital 13 Já os cyberpunks agem de forma mais egoísta, procurando seu próprio enriquecimento às custas de outras pessoas, agindo por vezes também por pura diversão só porque possuem habilidades suficientes para tal. No âmbito dos hackers, o assunto tende a ficar mais complexo. Dependendo de suas intenções e dos seus níveis de conhecimento, os hackers possuem subclassificações, como podes ser verificado na figura abaixo, de acordo com os estudos de Sabillon et all (2016): Figura 03: Os hackers e suas subclassificações. Fonte: A Autora. Sobre os hackers, o primeiro ponto que devemos destacar é que eles nem sempre intencionam o mal. Há hackers com habilidades suficientes e grande conhecimento do sistema cibernético que seguem uma espécie de código de ética criado por eles mesmo que prega como ponto maior “não fazer mal a ninguém”. Eles são os chamados White Hats (da tradução livre do inglês, capacetes brancos) e podem até ajudar os sistemas informacionais a ficarem mais seguros. Os que também possuem um alto nível de conhecimento, mas que também não o utilizam para causar mal a outras pessoas, se chamam de Gray Hats (da tradução livre do inglês, capacetes cinzentos). Se diferem dos White Hats porque utilizam seus conhecimentos para trabalhar para empresas, principalmente de segurança eletrônica, como consultores. Já os hackers que primeiro vêm em sua mente quando escuta palavra, se trata dos Black Hats (da tradução livre do inglês, capacetes negros). Esses são os hackers que intencionam ações capazes de causar mal a outras pessoas. Podem ser motivados por situações que despertem sentimentos de raiva e ódio, ou até mesmo a busca pelo maior poder e status. São esses que oferecem mais perigo, justamente por não seguirem o código de ética da classe. Direito Digital14 Além de suas intenções, os hackers podem ser classificados tam- bém pelo seu nível de conhecimento e habilidades, independentemente de sua motivação, conforme a segunda metade do esquema abaixo: Figura 04: Os hackers a partir de seus níveis. Fonte: A Autora. Como o próprio nome indica, os hackers de elite possuem o mais alto nível de habilidades na classificação, com muito tempo de dedicação e estudo. É considerado como o melhor status no âmbito dos hackers, e pode ser adquirido a partir de um grande feitio ou longevidade. Os Script Kiddies (tradução livre do inglês, crianças de roteiro) são os hackers mais novatos que não possui muito estudo ou muita habilidade. Na verdade, eles se utilizam das ferramentas e dos caminhos já criados por hackers experientes, como os próprios hackers de elite. Como status, é o mais baixo nível. Os ciberterroristas são hackers com um propósito bem mais definido, qual seja de perturbar o governo, causando um terror na população. Eles se utilizam dos mecanismos de criptografia para trocar informações entre si, se comunicar online e planejar atos terroristas. Essa espécie, em conjunto com o próprio crime de cibercrime, será mais bem analisada no capítulo 3. Pouco conhecida, a classe dos Disgruntled (ex) employees (tradução livre do inglês, [ex] funcionários descontentes) acaba sendo uma das mais perigosas justamente em razão de sua pouca popularização. Na visão desses funcionários, ou ex funcionários de uma empresa, eles mereceriam um reconhecimento bem maior pelo seu trabalho e não o tendo, buscam uma vingança específica. Direito Digital 15 Se aproveitando de falhas nos sistemas informáticos já encontradas anteriormente pelas outras classes de hackers, os Virus Writers (da tradução livre do inglês, os criadores de vírus) exploram ainda mais a vulnerabilidade encontrada e conseguem criar códigos e métodos para executar tais falhas através de diferentes tipos de vírus. A última classe, a dos Hacktivistas, se refere aos hackers que possuem capacidades suficientes para agir como ativistas através de motivações políticas, religiosas e sociais. Eles agem principalmente através de Serviços de Negação (Denial of Service – DOS em inglês), fazendo com que um servidor tenha uma sobrecarga de utilização e fique indisponível, podendo ser mais reconhecido como aqueles ataques que “tiram do ar” alguns determinados websites. Além dessas classificações, Sabillon et all (2016) acrescentam mais três classificações de hackers: os Suicide Hackers (hackers suicidas), os Spy Hackers (hackers espiões) e State Sponsored Hackers (hackers financiados pelo Governo). Como você pode imaginar, os hackers suicidas não ligam se suas ações os levarem para prisão. Eles objetivam acabar a estrutura informacional de algum lugar específico com ações radicais e são um dos grupos intrinsecamente ligado aos ciberterroristas. Os hackers espiões são contratados com fins específicos de obter informações e repassar segredos, enquanto os financiados pelo Governo são os envolvidos na área da guerra cibernética, empregados pelos Governos para descobrir falhas dos sistemas de outros países. Como vimos, a intenção dos hackers pode indicar sua classificação. Mas que tipos de intenção podem motivar pessoas a cometerem atos ilícitos no ciberespaço, envolvendo as quatro opções de autores dessas ações criminosas? Os estudos de Morais Neto (2009) relatam as possíveis motivações por trás da classificação dos autores de cibercrimes, em conjunto com seus objetivos. De forma adaptada, analisemos o que pode levar pessoas com conhecimentos específicos a praticar atividades criminosas: Para sua melhor compreensão, classificamos as principais motivações a partir dos estudos de Morais Neto (2009), levando em consideração que as quatro modalidades de autores podem ser Direito Digital16 motivadas por qualquer uma das categorias apresentadas na figura 05, havendo a possibilidade de o sujeito ativo fazer parte de uma ou mais categorias de autor de cibercrime. Figura 05: Motivações dos autoresde cibercrimes. Fonte: A Autora, adaptado de Morais Neto (2009, p. 87) Podem praticar furto cibernético os crackers e os phreakers, por exemplo, vai depender da forma que agem. Mas calma! O formato de suas ações criminosas será discutido de forma mais detalhada no próximo capítulo. A motivação de caráter ideológico se dá em decorrência de fortes convicções capazes de despertar nas pessoas um sentimento de indignação, sejam convicções de cunho religioso, moral ou social. É o caso, por exemplo, do ciberterrorismo ou de outras espécies do cibercrime que têm como alvo o mundo ocidental e seu costume (ou o contrário). Com caráter comercial, tem-se que há diversas pessoas físicas e jurídicas (empresas) que buscam vantagens econômicas a qualquer preço. Para isso, se utilizam principalmente da ciberespionagem, para identificar o que a competição está fazendo ou até para pesquisar com programas espiões o que o consumidor está curtindo ou procurando. No quesito da privacidade, tem-se que há pessoas mais interessadas em invadir a privacidade alheia, seja para conseguir material para chantagear o dono, seja para encontrar segredos da vida social. Essa motivação, por vezes é atribuída ao Governo quando alega querer trazer mais segurança para a sociedade, como veremos mais para frente. Direito Digital 17 Os autores motivados por benefícios próprios geralmente não possuem uma agenda cheia de objetivos eles querem apenas atingir vantagens que não teriam caso fossem pelos meios legais. É o caso de pessoas que clonam cartões de crédito para fazer compras para si, ou até mesmo diferentes tipos de esquemas para possuir serviços de graça, como água, energia e telefone. As motivações de vingança e busca de reconhecimento se remetem justamente aos hackers frustrados que costumavam trabalhar para alguém e sentem que seus esforços não foram devidamente corres- pondidos. Geralmente, eles focam sua vingança para os responsáveis do sentimento de frustração, dos rivais. A busca de mais conhecimento incita o autor do cibercrime a buscar cada vez mais se superar, atingindo novos patamares em seus serviços até ser considerado de elite. Já os provocadores são as pessoas que gostam de ser desafiadas, gostam de provocar ao demonstrar que conseguem por exemplo invadir um sistema considerado seguro. Por fim, temos os autores guiados pelo instinto de destruição, maior do que qualquer outra razão. Eles objetivam a destruição dos sistemas. Quando foi colocado na figura 05 a categoria de “dados” foi em razão das motivações ligadas aos que possuem como alvo os dados de outras pessoas ou organizações se países. Seria o caso, por exemplo, de clonagem de identidade ou verificação de dados para uma organização criminosa. E então? Gostou da primeira parte da nossa segunda unidade? Agora, só para termos certeza de que você realmente entendeu o tema de estudo deste capítulo, vamos resumir tudo o que vimos. Você deve ter aprendido que como membros da sociedade da informação, o cibercrime está presente nas nossas vidas na mesma medida que suas vantagens tecnológicas. Nesse entendimento, consideramos de maneira bem resumida que o cibercrime é formado por qualquer atividade ilícita que acontece no plano do ciberespaço, com repercussões no plano real. Além disso, vimos que o cibercrime é o gênero que abrange várias espécies de crime cibernéticos diferentes, com sujeitos ativos das atividades criminosas podendo ser Crackers, Phreakers, Cyberpuks e Hackers. Estudamos o que significa cada um deles e as motivações que os levariam a praticar tais ações ilegais. Agora sim podemos dar continuidade a esse aspecto do mundo digital! Vamos continuar? Direito Digital18 Espécies do cibercrime INTRODUÇÃO: Ao término desta competência, você poderá entender as espécies do cibercrime, percebendo os tipos penais possíveis de se ter nas legislações, ou seja, você poderá compreender quais são as ações previstas como crimes cibernéticos e as principais formas que elas podem acontecer. Vamos lá, seguir para o desdobramento do cibercrime? Formas e modalidades do cibercrime Como você pode ter percebido no capítulo anterior, temos o cibercrime como a visão macro do assunto, como se fosse um grande gênero que abarca várias espécies, ou seja, vários tipos diferentes. Entretanto, antes de adentrarmos nas espécies do cibercrime propriamente ditas, é necessário ter em mente que o cibercrime pode se apresentar de três principais formas no ciberespaço, com repercussões no mundo real. Os estudos científicos tendem a tratar sobre elas da seguinte forma: Figura 6: Principais formas que o cibercrime se apresenta. Fonte: A Autora. O que devemos entender por “cibersabotagem” e como podemos identificá-la? Bem, de maneira resumida, a cibersabotagem implica na intenção de sabotar os sistemas tecnológicos informacionais, em sua totalidade ou em partes, deixando-os inoperantes. Essas sabotagens podem causar rupturas e desorganizações no sistema, podendo até trazer prejuízos a longo prazo. Para melhor visualização do exposto, tenha em mente uma situação de pessoas que invadem os programas de um hospital e criptografam os Direito Digital 19 documentos e prontuários com os dados de certos pacientes, exigindo quantias para liberar o acesso; ou invadir o sistema de algum governo, conseguir documentos secretos e divulgá-los na mídia; ou ainda, conseguir entrar no sistema que opera dispositivos de saúde como o marcapasso e desligar o aparelho. Tudo isso se classifica como cibercrime na forma de sabotagem. Um tipo específico de cibersabotagem que é bastante utilizado é o ataque em DOS (Serviço de negação em português), mencionado anteriormente. Para atingir esse objetivo, não é nem necessário um alto conhecimento de informática, já que é possível praticar esse ataque sem infiltrar propriamente um sistema. Confira o esquema: Figura 07: Serviço de Negação – DOS. Fonte: A Autora. Um ataque DOS pode ser realizado por uma pessoa ou um grupo de pessoas, sem precisar de fato de um malware (programas maliciosos, como um bot construído para essa função), caso o grupo tenha acesso a múltiplos dispositivos que consigam sobrecarregar o servidor, que vai aparecer uma mensagem de erro, ou de acesso negado. Outra opção que ocorre com frequência, é também hackear múltiplos dispositivos, transformando-os em “zumbis”, implantando bots em cada um deles para que eles acessem o navegador pretendido. Já a forma de ciberespionagem, veremos de forma detalhada no capítulo 4 dessa unidade. Basta, por enquanto, entender que a espionagem consiste no ato de violar a privacidade de comunicações em geral para obtenção de material que deveria ser secreto. Quanto a forma de desestabilização, devemos compreender que seu maior objetivo é atacar as vulnerabilidades de algum órgão, Direito Digital20 deixando suas fundações desestabilizadas, fazendo com que percam um pouco sua credibilidade. Essa perda de credibilidade é visível quando o acontecido for relatado pela mídia, que acaba também divulgando os motivos (princi- palmente de cunho ideológicos e ativistas) para as pessoas estarem fazendo isso. Um meio de fazer isso é hackeando páginas de websites governamentais e alterando o seu conteúdo. Foi, inclusive, o que aconteceu recentemente, em janeiro de 2020. Quando os Estados Unidos conseguiram assassinar o líder militar iraniano General Qassem Soleimani, um grupo de hackers do Irã conseguiram hackear a página do governo federal americano, o website da Federal Depository Library Program. De acordo com Barone (2020), a mensagem continha um recado de vingança ao governo americano, com uma imagem do Presidente Americano como se tivesse levado um murro em sua boca, saindo sangue. A mensagem foi assinada como “Iran Cyber Security Group Hackers”. Além dessas três principais formas, Pinto (2011) destaca em sua teseoutras modalidades de crimes cibernéticos que são utilizadas por qualquer tipo de autor de crime, por qualquer motivação. Essas modalidades são importantes para que possamos entender como os ataques cibernéticos acontecem. Confira a figura abaixo para entender melhor: Figura 08: Modalidades do cibercrime. Fonte: A Autora, baseado nos preceitos de Pinto (2011, p. 57-70) Direito Digital 21 Bem, você já deve conhecer pelo menos um dessas modalidades: o vírus. São entendidos como programas que geralmentem infectam dispositivos eletrônicos chegando a causar danos muito destrutivos. Eles conseguem se multiplicar, infectando outros dispositivos, conhecidos também na atualidade por serem tão sutis que são quase imperceptíveis. Os worms são os programas criados para atacar websites considerados hospedeiros. Eles conseguem infectar os dispositivos, mas, ao contrário dos vírus, os worms não possuem qualquer técnica de engenharia para causar dano, eles se infiltram nos sitemas em decorrência das vulnerabilidades existentes. Pode acontecer de os worms conseguirem copiar dados para suas pasas e apagar os dados originais no dispositivo infectado. Os trojans, ou cavalos de Troia, não se reproduzem de forma automática. O programa é transferido de um dispositivo para o outro de forma intencional e parece inofensivo. Assim como os worms, podem apagar os dados no dispositivo, assim como conseguem alterar configurações no sistema informacional para abrir brechas que permitam que os autores de crimes possam se infiltrar. Derivados dos cavalos de Troia, o programa conhecido como spyware invade a privacidade dos dispositivos eletrônicos e possuem a intenção de comunicar aos autores dos crimes cibernéticos informações julgadas importantes. Como o nome indica, é um programa espião essencial na ciberespionagem, e será visto com mais atenção no capítulo 4 desta unidade. Também muito conhecido, o SPAM se configura como aquelas mensagens de companhias publicitárias que acabam chegando em grande número na sua caixa de emails. Às vezes, possuem um link no corpo do email que contém algum vírus, mas também podem ser resultado de um dispositivo que esteja já infectado, que faz com que o seu email envie mensagens para todos os seus contatos. Se você algum dia já se perguntou como esses SPAMs chegam em seu email, Pinto (2011) explica: os spammers (as pessoas que produzem os SPAMs) encontram diversos endereços de email em salas de bate-papo ou rede sociais e sites de lojas. Essa lista de endereços é geralmente vendida para outros spammers, que enviam de fato as mensagens eletrônicas. Direito Digital22 A última modalidade de programas criados é o phishing, que cada vez mais vem sendo comum. Seu objetivo é conseguir seus dados para depois serem utilizados, incluindo senhas de acesso do ID Apple por exemplo. Os criadores do phishing criam sites que se parecem com websites oficiais, como a Apple, e mandam emails dizendo que houve algum erro na sua conta e você precisa colocar seu login. Nisso, eles conseguem pegar seus dados e fazer o que bem entendem. Por outro lado, as fontes de entreterimento como jogos e músicas se referem ao seu conteúdo racista e xenofóbico amplamente divulgado no ciberespaço, ainda que de forma ilegal. São exemplos, jogos que são contras pessoas de determinadas nacionalidades, como os Árabes, e o gênero de música que divulgam discurso de ódio, como o Nazi Punk. Os domínios expirados se referem aos endereços no ciberespaço que se expiram e se apresentam como novas fontes aos cibercriminosos, que podem se apropriar deles e alterar sua configuração, colocando malwares capazes de danificar os dispositivos de quem os acessa. Por fim, temos a engenharia social, que busca as vulnerabilidades dos sistemas e o firmware (programa que controla o dispositivo eletrônico em si). A forma de fazer isso é alterando os códigos do firmware, como a partir de alguns drives que removem o limite de DVDs originais e conseguem fazer inúmeras cópias, para vender naquele centro de cidade conhecidos como filmes pirateados. As pessoas também podem ser enganadas pela engenharia social, manipulando o conteúdo para obter informações suas, enquanto finge para todos possuir um objetivo e precisar de ajuda, ou simplesmente encontram uma forma de oferecer “ajuda”. Taxonomia do cibercrime Além das possíveis formas de crime cibernético, é necessário que tenhamos em mente quais são consideradas as suas espécies, ainda que nossa legislação nacional não aborde todos os temas ainda. Sabillon et all (2016, p. 72) realizaram um estudo importantíssimo nessa questão, analisando a taxonomia do cibercrime – ou seja, sua classificação e categorização em crimes. Direito Digital 23 Para facilitar a compreensão do tema, já que eles encontraram vinte e sete classificações, nós as dividimos em categorias maiores a partir do objeto em comum de cada uma: A categoria que envolve menores de idade; a categoria de espécies com o objetivo de atingir uma pessoa ou um grupo de pessoas específico; a categoria que possui o objetivo de atingir a propriedade intelectual; a categoria que visa dados pessoais; a categoria que possui objetivo financeiro; as espécies individuais de Hacking e Spam; a categoria com objetivo militar; e, por fim, o ciberterrorismo. Iremos aqui analisar a maior parte dessa classificação, deixando para os próximos capítulos o estudo específico do ciberterrorismo e da ciberespionagem, em razão de ambas demandarem mais atenção já que não são tão simples de se entender. Vamos lá? Considere a figura abaixo que envolve uma das categorias mais inquietantes do cibercrime: Figura 09: Categoria do cibercrime que envolve menores de idade. Fonte: A Autora. Como você deve imaginar, a pornografia envolve as condutas de pornografia ilegal online, incluindo menores de idade (meninos e meninas) em contextos de atividades sexuais. Inclui não apenas vídeos e filmes com menores de idades, mas também a própria prostituição e o turismo infantil. O cybergrooming se refere a possíveis ferramentas online que permitem com que adultos construam relacionamentos com crianças escolhidas como vítimas (adultos que inclusive já se enquadram como pedófilos). O cybering inclui comportamentos onlines que sejam de índole sexual, com o objetivo de estimular os menores de idade através de mensagens, fotos e vídeos. Já a obscenidade online envolve a indústria da pornografia que contém jovens, ainda que maiores de idade, em relacionamentos com pessoas muito mais velhas, afetando a moralidade do público alvo. Direito Digital24 A segunda categoria possui mais espécies do que a primeira, sendo de fácil entendimento quando percebemos que elas possuem como público alvo um determinado grupo de pessoas – ou seja, o alvo é focalizado. Confira a imagem abaixo: Figura 10: Categoria com objetivo de atingir um grupo específico de pessoas. Fonte: A Autora. O cyberbullying envolve intimidações em meios eletrônicos, por meio de mensagens ou imagens. Já o cyberstalking se refere a uma espécie de monitoramento de alguém sem qualquer consentimento, ao passo que o revenge porn se refere à distribuição de material sexual de pessoas que permitiram a gravação, mas não o seu compartilhamento. O vandalismo cibernético se refere ao uso de programas maliciosos que conseguem deletar websites junto com todos os seus dados, enquanto o disgruntled employees se refere aos (ex) funcionários descontentes de determinada companhia, como já visto anteriormente. Por fim, temos o discurso de ódio cibernético que envolvem expressões capazes de violar a honra de outras pessoas. Os seus desdobramentos, as ofensas racistas, xenofóbicas e religiosas se referem de distribuição de materiais eletrônicos com intuito de discriminar, insultar e ameaçar os grupos vítimas. A terceira categoria, contra a propriedade intelectual,vai abarcar todas as ações que consigam transgredir normas de proteção de patentes, marcas e objetos desse ramo do direito. A quarta categoria, objetiva o uso de dados sem permissão, e envolve a ciberespionagem, data breech (dados que são violados e publicados) e o phishing, já tratado no tópico anterior. Direito Digital 25 Em linhas gerais, a quinta categoria que objetiva a perspectiva financeira, envolve a extorsão, fraude cibernética, roubos maiores, lavagem de dinheiro, furto de identidades e jogos onlines. A extorsão envolve a intimidação e ameaças com materiais em troca de dinheiro, enquanto a fraude se refere por exemplo a clonagem de cartões de crédito ou até propagandas enganosas com malwares. Os roubos maiores envolvem grandes instituições financeiras como vítimas, enquanto a lavagem de dinheiro, como vimos anterior- mente, envolve as criptomoedas. O furto de identidades se refere ao fato de cibercriminosos adquirirem identidades de outras pessoas para ter alguma vantagem financeira. Por fim, os jogos onlines envolvem esquemas de enriquecimento ilícito, como apostas onlines ou aquisição de dados dos jogadores de forma ilegal. As categorias de hacking e spam, já trabalhadas anteriormente, incluem o uso não autorizado dos sistemas informacionais tecnológicos. As últimas categorias, com objetivo militar e o ciberterrorismo, serão trabalhadas nos próximos capítulos. E então, você já está se sentindo mais familiarizado com essa questão de cibercrime? Espero que sim! Nesta segunda parte aprendemos sobre as principais formas de cometimento de crimes cibernéticos, incluindo conceitos técnicos que nos auxiliam a entender como os ataques acontecem, como é o caso do DOS (ataque de serviço de negação). Além disso, vimos em linhas gerais toda a taxonomia do cibercrime, dividido por categorias a partir de seus objetos, o que nos permite a analisar como e com que intenções os cibercriminosos podem agir. Ciberterrorismo INTRODUÇÃO: Ao término desta competência você compreenderá o que se entende propriamente quando se fala “ciberterrorismo”, após compreender também o contexto do cyber warfare, pois os dois conceitos se complementam. Direito Digital26 Cyber warfare e ciberterrorismo Se fosse para ser traduzido literalmente, o termo “cyber warfare” significaria guerra cibernética e é a categoria do cibercrime que possui objetivos militares de maneira direta. Você se lembra quando tratamos um pouco sobre a Guerra Fria na unidade anterior? Agora temos ainda outro conceito de guerra que acontece no ciberespaço. Hoje em dia, os países não precisam mandar todas suas tropas com armas pesadas para outro território assim que acontece algum desentendimento ou desconfiança. Agora, temos o universo do ciberes- paço com todo seu sistema tecnológico informático para ajudar os objetivos de cada país, por meio do cyber warfare. Ao contrário dos conceitos normais de guerra, na guerra cibernética nós não conseguimos ver grandes armas de destruição em massa ou câmaras de gases. Pelo contrário, no ciberespaço, a cyber warfare é mito mais sutil e pode ser quase imperceptível até tarde demais. Nessa categoria de cibercrime, entretanto, os países geralmente estão cientes de qualquer programa malicioso instalado nos sistemas informacionais de outros países, e até influenciam isso para espionar ou prejudicá-los de forma quase secreta, apesar do governo nunca ser formalmente envolvido nos casos. De forma mais técnica, Brenner (2009, p. 65) consegue definir o termo cyber warfare de forma suscinta, adicionando ao que foi visto até aqui: DEFINIÇÃO: “Cyber warfare” pode ser entendido como o sistema de operações de origem principalmente militar exclusivamente no âmbito do ciberespaço, com o objetivo de atingir o mesmo ponto que atingiria se mandasse de fato suas tropas para a linha de frente em uma guerra física – ou seja, vantagens a partir de informações coletadas ou prevenir que aconteça algum ataque. Assim, na guerra cibernética, a partir dos objetivos militares se acredita que é uma forma de guerra que dá um suporte maior às estratégias do governo, podendo até prejudicar seus inimigos de forma econômica. Direito Digital 27 Você já parou para pensar que, nesses moldes, podemos viver em um período com guerras cibernéticas ativas e nós nunca nem paramos para perceber? Pois é, a categoria de cyber warfare acontece quase que diariamente em algum lugar do ciberespaço, ainda que nos termos técnicos não seja considerada uma “cyberwar” propriamente dita. Antes de podermos entender qualquer exemplo de cyber warfare, precisamos primeiramente ter em mente que as armas utilizadas são das espécies que foram tratadas no capítulo anterior, ou seja: os ataques de serviço de negação (DOS) são bastante utilizados, assim como worms, phishing e engenharia social que levam os cibercriminosos a infiltrar os sistemas internacionais de maneira silenciosa. Para uma melhor com- preensão, analise o exemplo verídico que aconteceu em 2010: Um poderoso worm, que popularmente ficou conhecido como Stuxnet, tinha capacidade suficiente de modificar códigos de execução no painel de controle de sistemas industriais. De forma intencional ou não (não se sabe ao certo), um funcionário de uma indústria nuclear iraniana inseriu no sistema um dispositivo de USB infectado com esse worm, que por sua vez conseguiu alterar o comportamento das centrífugas de maneira quase imperceptível: alterando a velocidade de suas rotações e alterando os relatórios produzidos pelos sistemas para evitar que qualquer pessoa notasse. Com essas centrífugas prejudicadas e danificadas, o programa nuclear iraniano foi atrasado por mais de um ano. Apesar de nunca terem descoberto como o worm chegou lá, grande parte dos estudiosos desse caso atribuem o ataque à Israel e/ou Estados Unidos. SAIBA MAIS: Caso você tenha curiosidade acerca desse tema, há um documentário interessante de 2016 chamado Zero Days que retrata o worm Stuxnet, reconstruindo o caso do exemplo tratado. Com um contexto semelhante, temos também o ciberterrorismo como uma das principais categorias do cibercrime, comumente confundido com o cyber warfare. De forma introdutória, podemos considerar o ciberterrorismo como ataques no ciberespaço a dispositivos tecnológicos informacionais com o objetivo específico de intimidar ou Direito Digital28 constranger um governo e seus integrantes, por motivos principalmente políticos ou sociais, que podem acabar resultando em violência contra indivíduos de forma suficiente para gerar o sentimento de terror geral. O ciberterrorismo utiliza uma rede de sistemas tecnológicos informáticos para conduzir ataques com alvos específicos governamentais a partir de motivações psicológicas (movidos pelo ódio, por exemplo), sociais, políticas ou religiosas. Para Al Mazari et al (2016, p. 12), há cinco critérios de análise do ciberterrorismo, como verificado na figura abaixo. Figura 11: Critérios para conceituar o ciberterrorismo. Fonte: A Autora. Para os autores, é fundamental que os ataques ciberterroristas tenham um alvo específico. O alvo não precisa ser necessariamente uma só pessoa, pode ser qualquer prédio ou funcionário que pertença ao contexto das forças armadas militares ou governamentais, presentes no ciberespaço. O motivo é também de extrema importância pois é o que faz o ciberterrorismo pertencer também ao gênero do terrorismo, qual seja o de ter motivações políticas, sociais, ideológicas, sociais e/ou culturais. Já que tem que acontecer no ciberespaço, é fácil de perceber que os meios do ciberterrorismo são essencialmente através dos sistemas tecnológicos informacionais, principalmente computadores e dispositivos de comunicação como smartphones. Como efeitos dessa categoria de cibercrime, os autores destacam principalmente a destruição em parte ou total de sistemas operacionais einformacionais dos alvos, além das repercussões no mundo real que podem ter danos inclusive que coloquem suas vidas em risco. Direito Digital 29 Por fim, outro critério que auxilia o conceito de ciberterrorismo é a intenção específica. Ou seja, o ciberterrorista planeja seus ataques visando algo em específico, que geralmente é o de criar o terror, medo e pavor na população, acabando por coagir os governos a atuarem como eles querem. Além desses critérios que auxiliam a análise do conceito de ciberterrorismo, Yannakogeorgos (2014, p. 46) define as atividades do ciberterrorismo em um espectro específico, em razão dos ataques cibernéticos seguirem um padrão quando inseridos no contexto do ciberterrorismo. Confira a figura abaixo, adaptado do autor: Figura 12: Espectro do ciberterrorismo. Fonte: A Autora, adaptado de Yannakogeorgos (2014, p. 46) Uma das características do ciberterrorismo é o uso da mídia para divulgação dos seus ideais, conseguindo captar a atenção de pessoas que possivelmente poderiam se interessar em participar pela causa. É por esse motivo que a propaganda é importante, principalmente considerando que cada ataque ciberterrorista gera uma cobertura da mídia, que explica o que o grupo está intencionando fazer. Os fóruns online de discussão permitem que os interessados pela propaganda sejam atingidos de maneira direta pelos ciberterroristas, possibilitando a comunicação entre eles no ciberespaço, com compartilhamento de material que dê mais detalhes sobre seus ideais. A partir disso, o recrutamento fica mais fácil, através de dois processos: o bottom-up, em que os interessados, de forma voluntária, procuram os grupos ciberterroristas e o top-down, em que as organizações terroristas Direito Digital30 selecionam pessoas que seriam ideais para participar dos ataques, como afirma Silva (2012, p.13). Quanto ao financiamento, em razão de suas grandes proporções, os ataques ciberterroristas precisam de equipamentos tecnológicos de ponta a uma grande conexão internacional. Para conseguir esse financiamento, os ciberterroristas se utilizam de formas específicas que, segundo a UNODC podem ser quatro: a via direta, o comércio virtual, pagamentos online e organizações legítimas. Veja a figura abaixo sobre essas formas de financiamento: Figura 13: Formas de financiamento do ciberterrorismo. Fonte: A Autora. A via direta, como você pode imaginar, é a forma mais direta possível através de chats online, mensagens instantâneas ou e-mails e seus próprios sites, solicitando auxílio financeiro às pessoas que demonstram interesse na causa. O comércio virtual se dá por meio de sites com transações online, envolvendo também a terceira categoria de pagamentos online, com a diferença que esta inclui meios fraudulentos para conseguir os fundos, como clonagem de cartões de crédito. No caso do Reino Unido x Younis Tsouli, foi demonstrado que o réu obtinha dinheiro através da clonagem de cartões de crédito, conseguindo lavar dinheiro através das criptomoedas para financiar os sites da Al-Qaeda, um dos maiores grupos terroristas internacionais, com vídeos e equipamentos tecnológicos. A categoria de organizações legitimadas se refere a instituições existentes que se disfarçam com um caráter legal para encobrir a angariação de fundos para as organizações terroristas, como é o caso por exemplo de Direito Digital 31 fundações de caridade, que desviam todo ou parte do seu dinheiro para os grupos terroristas. Após conseguir o financiamento necessário, os grupos terroristas seguem para a etapa de planejamento de seus ataques, definindo os alvos e as formas de ciberataques que eles irão realizar, utilizando-se de todas as formas possíveis de tecnologia para comunicação e efetivos ataques, incluindo criptografia e compactação de mensagens, vídeos circulados no ciberespaço, programas criptografados em conjunto com todas as formas estudadas no capítulo anterior. O planejamento dos ataques ciberterroristas são geralmente cuidadosos, incluindo também o plano de desaparecimento após os efetivos ataques, ainda que deixem alguma mensagem ou assinatura final. Suas técnicas de evasão também são características comuns do ciberterrorismo. É importante, aqui, que você considere que além das ferramentas normais de comunicação disponíveis no ciberespaço, os grupos terroristas podem criar também seus próprios aplicativos de comunicação, como foi o caso do Estado Islâmico, que teve seus ciberterroristas criando o The Dawn of Glad Tidings (Dawn), atualizando todos os membros da organização terrorista dos acontecimentos (BERGER, 2014). Bom, a partir dessas noções conceituais sobre cyber warfare e ciberterrorismo, você saberia diferenciar essas duas categorias? Apesar de serem semelhantes, é importante considerar que os seus autores, intenções e efeitos são bem diferentes. No ciberterrorismo, existe a intenção de causar efeitos de pânico e terror na população, utilizando a mídia, enquanto o cyber warfare é um crime cibernético muito mais silencioso. Apesar disso, é notável que os ciberterroristas podem se utilizar de estratégias existentes no cyber warfare, para principalmente se infiltrar no ciberespaço referente a organizações governamentais. Nesse ponto de vista, alguns estudiosos compreendem que o ciberterrorismo é uma forma de cyber warfare. O grupo considerado terrorista, o IRA (Irish Republican Army, em inglês), agia com extrema violência, causando terror na sociedade, mas tinha um objetivo um tanto militar: unificar a Irlanda e fazer com que a força militar britânica lidasse com os Nacionalistas. Nesse caso, o ciberterrorismo e o cyber warfare andaram de mãos dadas para atingir o propósito do IRA, justificando o motivo de tantas pessoas confundirem as duas categorias de cibercrime. Direito Digital32 Respostas ao ciberterrorismo Levando em consideração os conceitos e critérios que envolvem o ciberterrorismo, é possível que você, caro aluno, esteja se perguntando “e agora?” Como podemos atingir um patamar que ofereça respostas suficientes para, não só o ciberterrorismo, mas o cibercrime em si? Primeiramente, temos que entender que à medida que a socie- dade evolui, o direito tem que evoluir também. É a partir da evolução do direito que podemos obter respostas para algo que aflige nossa sociedade internacional da informação. Para isso, os países desenvolveram e ainda estão desenvolvendo normas nacionais específicas que ofereçam punições aos ciberterroristas e demais autores de crimes cibernéticos, como veremos mais à frente de forma detalhada. O que importa destacar é que ao passo que os governos desenvolvem normas, são desenvolvidas também tecnologias em outro aspecto: as de vigilância. A teoria por trás da tecnologia de vigilância é que, com os governos dos países sabendo o que está acontecendo, eles teriam capacidade de prevenir ataques cibernéticos, e, principalmente, o ciberterrorismo ao ter condições de vigiar pessoas suspeitas de envolvimento. A título ilustrativo, temos a previsão de vigilância e investigação de dados de biometria e câmeras para identificar e selecionar os suspeitos de ciberterrorismo. Nos Estados Unidos, tem-se o Ato Patriota, que autoriza sua polícia federal a obter dados, incluindo os de identificação financeira, como informações de cartões de crédito, sem autorizações judiciais. Você já parou para pensar que tecnologias de vigilância possuem capacidade de violar nossa privacidade? Seria como oferecer um acesso aberto ao governo para acessar nossas câmeras de segurança, nossos celulares e computadores. Dependendo da real intenção do governo, poderia ser criado inclusive uma base de dados sobre cada um de nós – o que, de fato não é uma teoria longe da nossa realidade. Sabemos que é possível quando vimos o poder da NSA (National Security Agency) de criar uma base de dados até sobre pessoas que moram em outro país. Alémdo desenvolvimento dessas tecnologias de vigilância, a UNODC parece otimista quanto às respostas estatais para o ciberterrorismo. Segundo seus estudos, na mesma proporção que os aparatos do ciber- terrorismo crescem com o desenvolvimento da tecnologia, também crescem os aparatos tecnológicos de combate às categorias do cibercrime. Direito Digital 33 Para evitar a disseminação das grandes propagandas com pro- pósitos ciberterroristas, temos a mesma grande mídia com poder de apresentar também uma contra narrativa. A exemplo disso, os Estados Unidos lançaram uma iniciativa desse nível intencionando a redução da disseminação de propagandas terroristas, fazendo com que em 2010 o país conseguisse rebater argumentos de propagandas/anúncios da Internet em apenas alguns dias. E então? O que achou de conhecer essas categorias do cibercrime de forma mais detalhada? Vamos relembrar um pouco comigo! Começa- mos com o contexto de cyber warfare, a partir de seus objetivos militares e como a guerra no ciberespaço é a nova forma de mandar tropas armadas para outros países. Depois disso, vimos o ciberterrorismo, que vem preocupando cada vez mais a sociedade em razão do sentimento de terror e pânico que seus ataques são capazes de produzir. Vimos como é o processo do ciberterrorismo, desde sua propaganda, até o momento pós-ataque, e como eles planejam. Por fim, vimos que como resposta, os países estão desenvolvendo cada vez mais as tecnologias de vigilância, com o intuito de prevenir os ataques ciberterroristas. Preparado agora para mais uma espécie do cibercrime? Vamos lá! Ciberespionagem INTRODUÇÃO: Ao término desta competência você será capaz de analisar a ciberespionagem – ou seja, o que essa espécie de cibercrime significa e seu contexto a partir do direito internacional. Também veremos alguns casos e suas repercussões. Vamos juntos! O contexto da ciberespionagem no direito internacional Você se lembra de quando estudamos na unidade anterior sobre as soberanias de cada país? Aqui vamos precisar relembrar um pouco disso em razão do contexto do direito internacional, já que é um dos principais princípios desse ramo do direito. A primeira coisa que temos que entender aqui é que todas as noções de globalização, sociedade da informação, ciberespaço e internet Direito Digital34 nos levam ao fenômeno da transnacionalidade, que consegue traduzir muito bem o mundo e período em que vivemos: “Transnacionalidade” é também um desdobramento da globali- zação, mas oferece uma interconexão entre os atores do Direito Internacional, que, nos termos da atualidade, não podem permanecer sozinhos e isolados. Ao mencionarmos atores do Direito Internacional, incluímos os sujeitos do direito internacional clássico, que são os Estados (países), Organizações Internacionais e os Indivíduos, bem como os sujeitos incluídos pelo direito internacional mais moderno, como as empresas multinacionais que podem até fazer negócios com países. Nesse contexto, temos um dos sujeitos do direito internacional, os países, que seguem o princípio da soberania. Basicamente, o direito internacional clássico nos ensina que cada país é dono do seu próprio território, de forma que cada um tem condições para criar suas próprias leis e oferecer códigos de conduta específico para os seus nacionais (as pessoas que vivem nesses territórios). Perceba o esquema que temos a partir dessas ideias de base, para melhor formação do raciocínio lógico que esse tema requer: Figura 14: Esquema da transnacionalidade no contexto do direito internacional. Fonte: A Autora. O direito internacional, como você pode perceber na figura 14, envolve o conceito clássico com a soberania individual de cada país nos limites de seu território. Com o advento do ciberespaço, entretanto, a tendência é que cada país vire uma grande sociedade transnacional com diversos elos entre si. Isso também indica que o território e extensão de Direito Digital 35 cada país acaba sendo modificado, não existindo apenas as fronteiras físicas como no desenho dos mapas. Mas... por que é importante ter essa relação em mente? É que quando seguimos mais a fundo no assunto, podemos nos deparar com situações que no direito internacional chamamos de Jus ad bellum – ou seja, o Direito Internacional Humanitário (DIH) ou ainda o nome do direito internacional que estuda e conduz as regras sobre guerra entre países diferentes. No contexto de sociedade da informação transnacional, os conflitos entre países devem ser evitados para que seus territórios e independência política sejam respeitados, em virtude principalmente da soberania de cada país. Em razão disso, também temos o princípio da não intervenção, pois se cada país é soberano e dono de si, não faria sentido que um decidisse intervir por achar que o outro não está agindo como deveria. O que é claro no direito internacional é que, em condições normais é proibido o uso da força de acordo com o artigo 2 (4) da Carta das Nações Unidas, que desencoraja profundamente as guerras. Mais na frente, a Carta atribui ao Conselho de Segurança diversas competências que não incluam o uso das forças armadas. Outro ponto estudado pelo direito internacional e defendido nas convenções e Carta da ONU (artigo 5º) é o princípio da auto defesa (ou legítima defesa), ou seja, quando um país acaba agindo para se defender, caso outro país se utilize indevidamente das forças armadas para lhe atacar. Entretanto, caso ocorra de fato uma guerra entre países, com conflito armado realmente instalado, é necessário entender outros princípios basilares do direito internacional, como o princípio da distinção que prevê que o país só ataque o país em que está em conflito e, ainda, de forma proporcional. Esse é o sentido do conflito armado: ainda que em períodos de guerra, há regras a serem respeitadas. Nesse cenário, podemos entender que o Direito Internacional Huma- nitário só é aplicado quando há a presença fática de conflitos armados. A Convenção de Genebra (que trata sobre esse Direito Internacional Humanitário) é clara ao abordar duas formas de conflitos armados que são possíveis, conforme pode ser verificado na figura abaixo: Direito Digital36 Figura 15: Conflitos armados. Fonte: A Autora. Os casos, portanto, que acontecem envolvendo conflitos com armas de fogo em um país entre as forças militares e grupos criminosos, por exemplo, são uma espécie de conflito armado não-internacional, enquanto a guerra propriamente dita entre países diferentes é o conflito armado internacional. Segundo a Convenção de Genebra, ainda, situações que envolvam tensões internas, como rebeliões, de forma isoladas e esporádicas com alguns atos de violência não são suficientes para serem considerados eventos em conflito armados. Quando há, de fato, um conflito armado independente da sua espécie, a ONU e o Direito Humanitário revelam que, além dos ataques serem proporcionais e terem como alvo apenas os países envolvidos no conflito, é preciso que se respeite as normas. Dentre elas, destacamos: Figura 16: Diretrizes do conflito armado. Fonte: A Autora. O Direito Humanitário prevê a responsabilidade criminal de comandantes para tentar evitar que os chefes tenham o poder subindo suas cabeças e agissem como se fossem invencíveis, deixando claro que eles podem ser responsabilizados posteriormente. Direito Digital 37 Os princípios da distinção e proporcionalidade se referem ao que já foi falado antes aqui: os países em conflito precisam respeitar as regras de atacar apenas os diretamente envolvidos, bem como atacá- los de forma proporcional a qualquer ataque sofrido. Quando se diz categoria de pessoas, quer dizer que há profissões que merecem ser respeitadas e não atacadas em hipótese alguma. É o caso de médicos e equipe médica em serviço, jornalistas, bem como arquivos diplomatas e arquivos que registrem a história do paíscomo propriedade cultural. As pessoas detidas nos conflitos armados também devem ter seus direitos humanos protegidos, indicando a não permissão de tortura para obter informações por exemplo (apesar de sabermos a dificuldade de isso realmente ser respeitado). Bom, a partir desses conceitos gerais, podemos agora compreender o que a Organização do Tratado do Norte (OTAN) quis dizer em 2014 quando atualizou suas diretrizes sobre defesas de países e passou a considerar o seu art. 5º, que aborda a defesa coletiva, como norma que envolve também os ciber ataques como nova forma equivalente a um conflito armado. Uma espécie de cibercrime que é bastante discutida no âmbito do conflito armado, é a ciberespionagem. Mas por que isso acontece? E em que consiste a ciberespionagem? Vamos ver! A ciberespionagem Como citado no segundo capítulo dessa unidade, uma importante forma de crime cibernético é a espionagem. Em linhas gerais, devemos entender aqui a espionagem, em um sentido amplo, como a prática de espionar ou usar ferramentas de espionagem para obter informações que, sem a espionagem, você não teria acesso. No ciberespaço, a ciberespionagem pode até parecer inofensiva, mas possui grandes impactos no mundo. Nesse universo digital, a ciberespionagem pode se tratar de espionagem de outro governo de outro país ou de uma empresa da competição. Entenda melhor com o seu conceito mais técnico: Direito Digital38 O objetivo da ciberespionagem é obter informações secretas, desde propriedade intelectual, até segredos de estados, seja por ganância ou em conjunto com objetivos militares e/ou terroristas provindos do cyber welfare, estudada no capítulo anterior. Acerca dos pontos principais da ciberespionagem, analise a figura abaixo: Figura 17: Características definidoras da ciberespionagem. Fonte: A Autora. Sendo as motivações principais a ganância ou o lucro, é notório que na ciberespionagem os objetivos podem ser facilmente interlaçados com o militar e o terrorismo, o que acaba ligando as três espécies (cyber warfare, ciberterrorismo e ciberespionagem) ainda mais. Ou seja, além da ciberespionagem auxiliar a guerra cibernética e o ciberterrorismo, ela também consegue gerar como consequência a obtenção de vantagens (de uma empresa e suas competições por exemplo) ou até mesmo a perca de material importante, como dados, própria infraestrutura do sistema, ou até mesmo a perda de vida de alguém em específico. DEFINIÇÃO: “Ciberespionagem” pode ser entendida como a ação de um grupo de hackers ao redor do mundo que utilizam de suas habilidades e malwares para espionar serviços não autorizados que contenham material classificado como secreto. Geral- mente, são ataques sutis e quase imperceptíveis, através principalmente de códigos e programas que são executados como pano de fundo sem você ao menos perceber. Direito Digital 39 É interessante perceber também que a ciberespionagem nasceu da ampla e assídua competição entre empresas, que para descobrir o que os outros estavam fazendo, começaram a implantar falsos empregados que pudessem ter acesso aos dados e projetos da outra empresa. Com o avanço da tecnologia, a única coisa necessária é desenvolver programas espiões que consigam fazer a mesma coisa. Qualquer pessoa que tenha um mínimo de acesso ao prédio do local, pode usar um pen drive para colocar um programa malicioso, como o caso do worm Stuxnet, o que deixa a situação da ciberespionagem muito mais fácil em uma questão de segundos. Além da opção de instalar um malware nos dispositivos inimigos, há brechas que também podem acontecer até por websites, facilitando um ciberataque. É o caso da própria forma de phishing, através de e-mails que parecem ser oficiais, mas que na verdade foram mandados por hackers que conseguem obter dados significativos de acesso aos sistemas operacionais. Além disso, uma forma fácil de se encontrar uma brecha nos sistemas operacionais inimigos é algum erro de segurança no código das páginas e navegadores, com a inauguração de alguma ferramenta nova que por descuido alterou a linha do código de segurança. Um exemplo de ciberespionagem ficou conhecido em 2009, quando tivemos a presença de um grupo de hacktivistas da China, adquirindo informações de contas do Gmail. O Google descobriu os ciber-ataques e avisou as empresas que estavam tendo seus e-mails descobertos através do navegador Explorer. Um ano depois foi dado o nome Aurora para esse ataque, através de um malware enviado para os alvos com acesso a espécies de propriedade intelectual. Após o caso Aurora, os códigos de segurança foram consertados e algumas das empresas e governos afetados alteraram seus navegadores. Os alvos da ciberespionagem podem variar um pouco, mas eles auxiliam a compreensão dessa espécie de cibercrime, pode ser analisada na figura abaixo: Os dados internos se referem aos sistemas, operações, pesquisas, desenvolvimentos e projetos de alguma empresa ou algum governo, enquanto a propriedade intelectual envolve a parte mais inteligente Direito Digital40 da situação. Isto é, se refere a fórmulas e ingredientes secretos, por exemplo, a projetos altamente secretos de departamentos de Estado e Defesa, ou qualquer informação que, se descoberta por outras pessoas, possa prejudicar o dono delas. Figura 18: Principais alvos da ciberespionagem. Fonte: A Autora. Os dados de clientes se referem ao exemplo oferecido anterior- mente, em que os clientes das companhias que tinham contas de Gmail foram o alvo. Pode ser também clientes que ofereçam um perfil específico ou ainda para descobrir a forma que a empresa está lidando com os clientes, por exemplo. Quanto ao marketing e inteligência, esse alvo se refere a objetivos de marketing e inteligência e conhecimento sobre a competição em questão. Todavia, tendo em vista que vimos tantos conceitos do direito internacional quando adentramos neste capítulo de ciberespionagem, você deve estar se perguntando, não é? Os conceitos de conflito armado são importantes aqui. Os cibercrimes, envolvidos nas diretrizes sobre conflitos armados, envolvem os conceitos de uso de força. Para a maioria dos autores, como Yoo (2015), os ciber-ataques podem ser considerados com uso de força quando possuem suas condutas que se elevem ao conceito de ataque armado e realmente consiga machucar ou até matar alguém, ou destruir prédios e objetos. Entretanto, ataques mais sutis com objetivo de espionagem, como desabilitar mecanismos de ciber-segurança não são considerados como uso de força, apesar de serem invasivos aos sistemas e indivíduos. Direito Digital 41 Isso quer dizer que, por exemplo, os documentos que Edward Snowden vazou, apesar de terem sido bastante controversos e chocantes, por não terem machucado diretamente ninguém ou nenhum objeto não foi considerado como ataque com uso de força e por isso esse ciber- ataque não se enquadraria nas regras de conflito armado. Além disso, ciber-ataques com alvos puramente econômicos também não entrariam nos conceitos apresentados, pois não machucaria o corpor ou a vida de ninguém, muito menos objetos. Nessa questão, outros autores e organizações defendem que a ciberespionagem deveria ser tratada como inclusa no âmbito de cibercrimes com uso de força, pois a ciberespionagem é forte o suficiente por si só para causa muitos prejuízos às pessoas, incluindo o auxílio nos casos de cyber warfare e ciberterrorismo. O que você achou dessa nossa última seção? Gostou do gostinho de direito internacional que vimos por aqui? Com certeza pode ser apaixonante não é mesmo? Bom, relembrando um pouquinho esse capítulo, começamos com os conceitos básicos de direito internacional para entender como o mundo atual transnacional, interconectado, vem modificando definições clássicas e tradicionais, como o próprio conceito de ciberespaço e território. Vimos, a partirdisso, diretrizes do Direito internacional humanitário, que se refere ao guia do que deve ser respeitado em caso de conflito armado, entendendo que os cibercrimes são considerados como tais. A exceção, entretanto, está justamente na espécie da ciberespionagem, que de tão sutil não é nem ao menos considerada como espécie do cibercrime com uso de força. Bom, espero que você tenha aproveitado o máximo possível dessa parte que envolve os crimes cibernéticos e suas formas. Até a próxima e nos vemos na próxima unidade! Direito Digital42 BIBLIOGRAFIA BARONE, V|incent. Group claiming to represent Tehran hacks obscure federal website. 2020. New York Post. Disponível em: https://bit. ly/3g0re5I. Acesso em: 03 abr. 2020. BERGER, J. M. How ISIS Games Twitter: The militant group that conquered northern Iraq is deploying a sophisticated social-media strategy. 2014. The Atlantic, Global. Disponível em: <https://bit.ly/3g4WBMO>. Acesso em: 04 jun. 2018. BRENNER, Susan W. Cyberthreats: the emerging fault lines of the nation state. Nova Iorque: Oxford Press, 2009. 312 p. FEDOTOV, Yury. Atuando para deter o cibercrime. 2019. UNODC. Disponível em: <https://bit.ly/3bJ2vPW>. Acesso em: 19 jul. 2019. MAZARI, Ali Al et al. Cyber Terrorism Taxonomies: Definition, targets, patterns and mitigation strategies. In: EUROPEAN CONFERENCE ON INFORMATION WARFARE AND SECURITY (ECCWS), 1., 2015, Hatfied. Paper. Hatfied: Eccws, 2016. p. 11 - 18. Disponível em: <https://bit.ly/3bMasnE>. Acesso em: 16 maio 2018. P. 12. MORAIS NETO, Arnaldo Sobrinho de. Cibercrime e cooperação penal internacional: Um enfoque à luz da Convenção de Budapeste. 2009. 188 f. Dissertação (Mestrado) - Curso de Mestrado em Direito Econômico, Programa de Pós-Graduação em Ciências Jurídicas, Universidade Federal da Paraíba, João Pessoa, 2009. Disponível em: <https://bit.ly/3cOKrWk>. Acesso em: 18 maio 2018. P. 86. PINTO, Marco Aurélio Gonçalves. Teoria relativista do ciberterro- rismo.2011. 115 f. Dissertação (Mestrado) - Curso de Mestrado em Guerra da Informação, Departamento de Estudos Pós-graduados, Academia Militar, Lisboa, 2011. Disponível em: <https://bit.ly/36aFRij>. Acesso em: 17 maio 2018. P. VI SABILLON, Regner et al. Cybercrime and Cybercriminals: A Com- prehensive Study. International Journal Of Computer Networks And Commu- nications Security, Online, v. 4, n. 6, p.165-176, jun. 2016. E-ISSN 2308-9830. Disponível em: <https://bit.ly/2AGvpDJ>. Acesso em: 5 ago. 2019. Direito Digital 43 SILVA, Lígia Gonçalves. O processo de recrutamento em organi- zações terroristas. 2012. 41 f. Dissertação (Mestrado) - Curso de Faculdade de Psicologia e de Ciências da Educação, Universidade de Coimbra, Coimbra, 2012. Disponível em: <https://bit.ly/36cE5NC>. Acesso em: 02 jun. 2018.S p. 13. UNODC, United Nations Office On Drugs And Crime. The use of Internet for terrorist purposes. Nova Iorque: United Nations, 2012. Disponível em: <https://bit.ly/3cJoOGO>. Acesso em: 03 jun. 2018. P. 7. Yannakogeorgos P (2014) Rethinking the threat of cyberterrorism. In: Chen T, Jarvis L, Macdonald S (eds) Cyberterrorism: understanding, assessment, and response. Springer, New York. Yoo, Christopher S. Cyber espionage or cyberwar?: international law, domestic and self-protective measures. In Penn Law: Legal Scholarship, University of Pennsylvania Carey Law School. 2015. Dispo- nível em: https://ssrn.com/abstract=2596634. Acesso em 08 abril 2020. ZERO Days. Direção de Alex Gibney. Produção de Jennie Amias, Javier Alberto Botero, (...) Jeff Skoll, Diane Weyermann. Intérpretes: David Sanger, Emad Kiyaei, Eric Chien. Roteiro: Alex Gibney. Música: Will Bates. [s.i]: Jigsaw Productions, 2016. (116 min.), son., color. Legendado. _GoBack Cibercrime: o gênero O gênero do cibercrime Autores do cibercrime e principais motivações Espécies do cibercrime Formas e modalidades do cibercrime Taxonomia do cibercrime Ciberterrorismo Cyber warfare e ciberterrorismo Respostas ao ciberterrorismo Ciberespionagem O contexto da ciberespionagem no direito internacional A ciberespionagem Direito Digital
Compartilhar