Baixe o app para aproveitar ainda mais
Prévia do material em texto
Brasília-DF. CyberCrime Elaboração José Jesse Gonçalves Produção Equipe Técnica de Avaliação, Revisão Linguística e Editoração Sumário APRESENTAÇÃO ................................................................................................................................. 4 ORGANIZAÇÃO DO CADERNO DE ESTUDOS E PESQUISA .................................................................... 5 INTRODUÇÃO.................................................................................................................................... 7 UNIDADE ÚNICA CYBERCRIME ....................................................................................................................................... 11 CAPÍTULO 1 O QUE SÃO CRIMES DIGITAIS? ................................................................................................ 11 CAPÍTULO 2 CRIMINOLOGIA DO CRIMINOSO DIGITAL ............................................................................... 22 CAPÍTULO 3 HACKERS E CRIMES DIGITAIS .................................................................................................. 29 CAPÍTULO 4 CRIMES DO “COLARINHO BRANCO” ATRAVÉS DA INTERNET .................................................... 34 CAPÍTULO 5 O USO DE VÍRUS E DE OUTROS CÓDIGOS MALICIOSOS PARA COMETIMENTO DE CRIMES E OBTENÇÃO DE DADOS .......................................................................................................... 38 CAPÍTULO 6 CRIMES SEXUAIS ATRAVÉS DA INTERNET ................................................................................... 47 CAPÍTULO 7 CRIMES DE ÓDIO RACIAL, ÉTNICO E RELIGIOSO PELA INTERNET .............................................. 56 CAPÍTULO 8 A INVESTIGAÇÃO DE CRIMES DE INFORMÁTICA ...................................................................... 62 CAPÍTULO 9 CIBERTERRORISMO ................................................................................................................ 69 PARA (NÃO) FINALIZAR .................................................................................................................... 75 REFERÊNCIAS .................................................................................................................................. 76 4 Apresentação Caro aluno A proposta editorial deste Caderno de Estudos e Pesquisa reúne elementos que se entendem necessários para o desenvolvimento do estudo com segurança e qualidade. Caracteriza-se pela atualidade, dinâmica e pertinência de seu conteúdo, bem como pela interatividade e modernidade de sua estrutura formal, adequadas à metodologia da Educação a Distância – EaD. Pretende-se, com este material, levá-lo à reflexão e à compreensão da pluralidade dos conhecimentos a serem oferecidos, possibilitando-lhe ampliar conceitos específicos da área e atuar de forma competente e conscienciosa, como convém ao profissional que busca a formação continuada para vencer os desafios que a evolução científico- tecnológica impõe ao mundo contemporâneo. Elaborou-se a presente publicação com a intenção de torná-la subsídio valioso, de modo a facilitar sua caminhada na trajetória a ser percorrida tanto na vida pessoal quanto na profissional. Utilize-a como instrumento para seu sucesso na carreira. Conselho Editorial 5 Organização do Caderno de Estudos e Pesquisa Para facilitar seu estudo, os conteúdos são organizados em unidades, subdivididas em capítulos, de forma didática, objetiva e coerente. Eles serão abordados por meio de textos básicos, com questões para refl exão, entre outros recursos editoriais que visam a tornar sua leitura mais agradável. Ao fi nal, serão indicadas, também, fontes de consulta, para aprofundar os estudos com leituras e pesquisas complementares. A seguir, uma breve descrição dos ícones utilizados na organização dos Cadernos de Estudos e Pesquisa. Provocação Textos que buscam instigar o aluno a refletir sobre determinado assunto antes mesmo de iniciar sua leitura ou após algum trecho pertinente para o autor conteudista. Para refletir Questões inseridas no decorrer do estudo a fi m de que o aluno faça uma pausa e refl ita sobre o conteúdo estudado ou temas que o ajudem em seu raciocínio. É importante que ele verifi que seus conhecimentos, suas experiências e seus sentimentos. As refl exões são o ponto de partida para a construção de suas conclusões. Sugestão de estudo complementar Sugestões de leituras adicionais, fi lmes e sites para aprofundamento do estudo, discussões em fóruns ou encontros presenciais quando for o caso. Praticando Sugestão de atividades, no decorrer das leituras, com o objetivo didático de fortalecer o processo de aprendizagem do aluno. 6 Atenção Chamadas para alertar detalhes/tópicos importantes que contribuam para a síntese/conclusão do assunto abordado. Saiba mais Informações complementares para elucidar a construção das sínteses/conclusões sobre o assunto abordado. Sintetizando Trecho que busca resumir informações relevantes do conteúdo, facilitando o entendimento pelo aluno sobre trechos mais complexos. Exercício de fi xação Atividades que buscam reforçar a assimilação e fi xação dos períodos que o autor/ conteudista achar mais relevante em relação a aprendizagem de seu módulo (não há registro de menção). Avaliação Final Questionário com 10 questões objetivas, baseadas nos objetivos do curso, que visam verifi car a aprendizagem do curso (há registro de menção). É a única atividade do curso que vale nota, ou seja, é a atividade que o aluno fará para saber se pode ou não receber a certifi cação. Para (não) fi nalizar Texto integrador, ao fi nal do módulo, que motiva o aluno a continuar a aprendizagem ou estimula ponderações complementares sobre o módulo estudado. 7 Introdução Os avanços científicos e tecnológicos das últimas décadas promoveram um aumento substantivo por produtos e serviços baseados em tecnologia, especialmente os relacionados à computação, telecomunicações, automação, robótica, bioinformática, mecatrônica, nanotecnologia, dentre outras (MANDARINO; CANONGIA, 2010). O barateamento dos custos de computadores, dispositivos móveis e de acesso à internet e os inúmeros serviços disponíveis na rede mundial de computadores, tais como redes sociais, serviços bancários, comércio eletrônico, acesso à informação, pesquisas, estudos, serviços públicos e entretenimento, atraem usuários de diversas classes sociais e níveis escolares. A cultura e os costumes da Sociedade da Informação têm mudado radicalmente nos últimos anos. Além disso, a convergência tecnológica, permitida pela tecnologia digital, aumentou ainda mais a facilidade de acesso e interação na web. Maior exemplo disso são os smartphones, um híbrido de telefone celular e computador, tudo na palma da mão. As pessoas querem estar conectadas à internet em qualquer lugar e a todo o momento, buscando comodidade, simplicidade, conveniência e rapidez no atendimento às suas necessidades. A internet se popularizou rapidamente no início dos anos de 1990 quando foi liberada para fins comerciais, atingindo a marca de 50 milhões de usuários em apenas quatro anos (POLIZELLI; OZAKI, 2008). Sem dúvida, grande parte de sua popularização se deve a criação, por Tim Barnes Lee, de um conjunto de tecnologias que permite a visualização e transmissão de textos, imagem e sons, denominada World Wide Web ou simplesmente Web. Segundo informações obtidas pela Pesquisa Nacional por Amostra de Domicílios (PNAD), realizada pelo Instituto Brasileiro de Geografia e Estatística (IBGE), no Brasil, o percentual de pessoas com 10 anos ou mais de idade que acessaram a Internet passou de 20,9% (31,9 milhões) em 2005 para 46,5% (77,7 milhões) em 2011. 8 Figura 1. Percentual de pessoas, no Brasil, que acessaram a Internet na população de 10 anos ou mais de idade em 2011. Fonte: Gráfico e disponível em: <http://www.ibge.gov.br/home/estatistica/populacao/acessoainternet2011/default.shtm>.Acessado em: 29 jul. 2014. Ainda mais essencial nas organizações públicas ou privadas, a TI tem sido a principal ferramenta na busca de vantagem competitiva das empresas, onde, praticamente todos os processos e relacionamentos são realizados por meios digitais. Num mundo globalizado, a inclusão dos países na era digital tem sido preocupação dos seus respectivos governos, por isso, constantes investimentos em infraestrutura têm sido realizados. Além do impacto na maneira como cada trabalho é realizado, a importância estratégica da TI nas organizações está também na criação dos novos fluxos de informação, aumentando a habilidade das empresas de explorarem melhor os elos entre suas atividades, tanto internas como externas, na busca constante por eficiência e inovação para permanecerem vivas em um mercado cada vez mais competitivo (POLIZELLI; OZAKI, 2008). Infelizmente, atividades criminosas e antiéticas também acompanham e se aproveitam do desenvolvimento tecnológico. Não foram apenas o acesso e o compartilhamento de uma infinidade de informações e de conhecimentos – de forma fácil e rápida, nunca antes imaginada –, entre pessoas do mundo inteiro, que ajudaram a mudar radicalmente o comportamento e a cultura da sociedade moderna (conhecida também por Sociedade da Informação). Os crimes digitais também estão no dia a dia dessa sociedade, fazendo, a cada ano, um número estratosférico de vítimas e colocando em cheque os sistemas legislativos de um mundo globalizado. 9 Objetivos » Conhecer os elementos básicos do cybercrime. » Conhecer as técnicas e tecnologias utilizados por hackers para obter acesso não autorizado a sistemas de informação. » Conceituar crimes digitais e reconhecê-los, apresentando seus principais aspectos. » Conhecer o perfil do criminoso digital, destacando suas principais características. » Apontar e descrever alguns dos principais casos de crimes cibernéticos. » Conhecer o procedimento de investigação e prevenção de crimes cibernéticos. 10 11 UNIDADE ÚNICA CYBERCRIME CAPÍTULO 1 O que são crimes digitais? Quais os alvos mais comuns dos cibercriminosos: internautas domésticos ou grandes corporações? De acordo com o relatório de Tendências de Segurança Cibernética realizado pela Symantec em conjunto com a Organização dos Estados Americanos (OEA), 552 milhões de internautas do mundo todo tiveram seus dados violados por cibercriminosos em 2013. A lista de informações roubadas inclui dados de cartões de crédito, identidade, endereço, número de telefone, e-mails, senhas e registros médicos. Segundo esse levantamento, o prejuízo calculado para os internautas foi de 113 bilhões de dólares, sendo que só no Brasil a perda chegou a 8 bilhões de dólares. De acordo com o relatório, esses números não incluem empresas e governos com roubos de dados, mas apenas consumidores com cartões de crédito. Nesse capítulo, começaremos a embasar o estudo dessa disciplina conceituando crimes digitais e conhecendo os principais tipos de abordagem usados pelos criminosos digitais. Crimes digitais A Sociedade da Informação vem sendo moldada com o avanço acelerado das tecnologias da informação e comunicação e praticamente não há setores dela que não tenham sido atingidos pela evolução em suas atividades e em sua economia. Essa transformação, porém, apresentou também uma face negativa com novos tipos de criminalidade. Dentre as denominações mais usadas estão: crimes digitais, cybercrime, crime cibernético, crime de informática e crime eletrônico. 12 UNIDADE ÚNICA │CYBERCRIME Alguns autores sustentam que o cybercrime não é algo novo, tendo surgido em 1820. Para eles, no entanto, tal fato não é surpreendente, tendo em vista que o ábaco é a forma mais antiga de um computador e já existia desde os anos 3.500 a.C. em países como a Índia, China e Japão. Historiadores contam que, em 1820, o francês Joseph-Marie Jacquard inventou um tear mecânico totalmente automatizado, ou seja, o dispositivo era capaz de ler cartões perfurados e repetir operações numa sequência programada. Esse fato deixou seus funcionários amedrontados por causa de seus empregos. Diante disso, eles resolveram sabotar o sistema para desencorajar Jacquard a utilizar a nova tecnologia. Esse teria sido o primeiro crime cibernético registrado. Os crimes digitais vêm acompanhando o avanço tecnológico, representando uma grande preocupação nos dias de hoje. O alcance global da internet, a facilidade para acessá-la, o baixo custo e a possibilidade do usuário se manter distante e anônimo, contribuem para o aumento dos crimes praticados no meio digital. Muitos crimes já eram praticados antes de a internet existir, porém, a ausência de fronteiras e a abrangência sem precedentes do ciberespaço potencializaram esses crimes. Hoje, o conhecimento avançado de informática facilita a prática de infrações penais e causa grandes danos a terceiros que, não tendo a precaução necessária, tornam-se vítimas (FERNANDES, 2013). Todo sistema tem falhas (os mais complexos são os mais vulneráveis) sendo impossível fugir das falhas. (Kevin Mitnick) Uma foto ou texto com conteúdo racista, por exemplo, que antes fi caria conhecido apenas em um bairro ou uma cidade, hoje pode ser divulgado mundialmente em pouco tempo. E não são só os cidadãos comuns que têm sua privacidade ou suas contas invadidas. Governos e empresas de diversas partes e setores têm sido vítimas dos crimes cibernéticos. É importante salientar que muitos dos crimes que hoje são identifi cados como sendo digitais já eram praticados. A diferença, no cybercrime, consiste na utilização de dados, sistemas ou dispositivos de informática, na ausência de fronteiras e na abrangência do ciberespaço, além de outras características que veremos adiante. Os crimes digitais podem ter como alvos, puramente, os sistemas ou os dados digitais, bem como utilizar os recursos tecnológicos apenas como instrumentos para sua ação sobre terceiros. Esses crimes geralmente estão relacionados à interceptação ou à modifi cação ilegal de informações digitais, trocadas por computadores ou armazenadas em repositórios, a fi m de prejudicar terceiros, causando-lhe algum tipo de dano, material ou patrimonial. Abrangem desde a não entrega de bens ou serviços à disseminação de 13 CYBERCRIME│ UNIDADE ÚNICA vírus, downloads ilegais de mídia, invasões de computadores para fi ns de espionagem econômica, violação de propriedade intelectual, extorsão, lavagem de dinheiro, entre outros. O crime digital é uma conduta típica, ilícita e culpável praticada sempre com a utilização de dispositivos de sistemas de processamento ou comunicação de dados, da qual poderá ou não suceder a obtenção de uma vantagem indevida e ilícita (ROSA, 2005). Normalmente, os crimes cibernéticos são separados em três categorias: » Crimes contra a propriedade: como os crimes fi nanceiros, as transferências de fundos ilegais e a pirataria. » Crimes contra as pessoas: como a falsifi cação de informações pessoais, os crimes sexuais e o racismo. » Crimes contra as nações: como o terrorismo. Antes de nos aprofundarmos sobre alguns desses crimes, é necessário conhecer os principais riscos oferecidos aos usuários do ciberespaço. Esses riscos ocorrem, principalmente, quando os cibercriminosos praticam diversos tipos de golpes e ataques aos internautas. Riscos na internet O que defi ne as chances de um ataque na Internet ser ou não bem-sucedido é o conjunto de medidas preventivas tomadas pelos usuários, desenvolvedores de aplicações e administradores dos computadores, serviços e equipamentos envolvidos. Se cada um fi zer a sua parte, muitos dos ataques realizados via Internet podem ser evitados ou, ao menos, minimizados. A parte que cabe a você, como usuário da Internet, é proteger os seus dados, fazer uso dos mecanismos de proteção disponíveis e manter o seu computador atualizado e livre de códigos maliciosos.” Fonte: <http://cartilha.cert.br/>14 UNIDADE ÚNICA │CYBERCRIME Figura 2. Muitas vezes os usuários comuns são alvos fáceis de golpes e ataques na internet, pois nem sempre conseguem se proteger por falta de conhecimento técnico, de recursos tecnológicos ou de uma navegação segura. Ao contrário, grandes empresas comerciais e bancárias são mais difíceis de serem atacadas, adotam controles mais rígidos, com servidores protegidos e utilizam recursos tecnológicos de ponta, além de possuírem (ou devessem possuir) funcionários bem treinados e de alto conhecimento técnico. Diante disso, muitos crimes digitais estão ligados à persuasão das vítimas para executar algum arquivo malicioso ou fornecer informações pessoais, bem como à vulnerabilidade de programas e computadores de usuários mal protegidos. Golpes na Internet Para aplicar seus golpes, muitas vezes os cibercriminosos fazem uso de prática de interações humanas para enganar e persuadir os usuários de internet. Um conjunto dessas práticas é chamado de engenharia social. A engenharia social não é exclusividade dos crimes digitais, mas é muito utilizada para esse fim, como parte das ações do criminoso a fim de tornar possível ou complementar o ataque digital planejado pelo criminoso. Comumente o cibercriminoso simula o envio de e-mail ou telefonema de um instituição confiável, como bancos, operadoras de telefonia, órgãos públicos, lojas etc., para obter informações ou convencer a vítima a executar procedimentos, como a abertura de um arquivo malicioso anexado ao e-mail ou a transferência de dinheiro ou o cadastramento de informações em sites falsos. Com os dados das vítimas em mão, fica fácil para o cibercriminoso invadir sistemas, realizar transações financeiras, assumir identidade falsa para se cadastrar em sites, criar contas bancárias falsas etc. 15 CYBERCRIME│ UNIDADE ÚNICA A referida engenharia social é bastante utilizada nas chamadas fraudes de antecipação de recurso. Nesse golpe, também conhecido como advance fee scam, são usados e-mails ou páginas web fraudulentas para envolver as vítimas com histórias e promessas e, dessa forma, são obtidas informações confidenciais ou, até mesmo, recursos financeiros, por meio da solicitação de doações ou pagamentos adiantados, na promessa de algum retorno benéfico. Exemplo de fraude de antecipação de recurso que ficou muito conhecida foi o chamado Golpe Nigeriano. Segundo matéria da Folha de São Paulo, de 26/1/2014, “a vítima potencial recebe e-mail de um suposto africano afirmando ter centenas de milhares de dólares, mas dizendo precisar de ajuda para transferir os recursos para fora da Nigéria, Gana ou algum outro país – além dos mais costumeiros, da África Ocidental, há variantes de países do Leste Europeu, por exemplo. Quando alguém responde, começa o jogo de convencimento, e vez ou outra arranca-se algum dinheiro”. Mesmo com histórias tão suspeitas como essa, há vítimas frequentes desse tipo de golpe. Outro golpe muito usado é o phishing ou phishing-scam. Nele, o enganador envia e-mails para obter dados pessoais e financeiros de suas vítimas. Os e-mails tentam estimular as vítimas a acessarem sites fraudulentos e a fornecerem informações pessoais como contas e senhas de internet banking, números de cartão de créditos, informações de contas de e-mail e pessoais. São diversas as técnicas usadas, como páginas falsas de comércio eletrônico, bancos, redes sociais e companhias aéreas, além de mensagens contendo formulários e links escondendo códigos maliciosos. Os golpistas costumam enviar mensagens eletrônicas com histórias falsas, fingindo ser provenientes de instituições importantes e confiáveis, como bancos, órgãos do governo e grandes empresas para atrair a atenção da vítima. Eles usam assuntos curiosos, garantem retorno financeiro, solicitam caridades, fingem a necessidade urgente de atualizações cadastrais para segurança do usuário ou para evitar cancelamento de cartões de créditos, por exemplo. Um tipo específico de phishing, conhecido como pharming, tem como característica o redirecionamento do usuário para sites falsos, enquanto ele está navegando. Ao digitar a URL do site que deseja acessar, se o servidor DNS (Domain Name System) estiver vulnerável a um ataque de Pharming, o endereço poderá apontar para uma página falsa, que simula a aparência da página verdadeira, hospedada em outro servidor cujo controle deve estar nas mãos do criminoso. O usuário, com a falsa impressão de que está no site legítimo, pode vir a fornecer dados privados como login ou números de contas e senhas que serão armazenados pelo servidor falso. 16 UNIDADE ÚNICA │CYBERCRIME O furto de identidade, por sua vez, é quando o cibercriminoso assume uma identidade falsa, tentando se passar por outra pessoa, para obter benefícios próprios. O criminoso pode usar perfis falsos em redes sociais, invadir correio eletrônico ou simular o envio de e-mails como sendo de outra pessoa, podendo causar prejuízos financeiros e/ou morais, não só à pessoa que teve sua identidade roubada, mas também aos parentes e amigos da vítima. É preciso ficar atento às informações relacionadas a sua identidade que são divulgadas, pois quanto mais informações disponíveis sobre uma pessoa, mais fácil será para o criminoso furtar a identidade. O boato (hoax) é outro tipo de golpe muito comum que faz uso dos correios eletrônicos e das redes sociais. São enviadas ou postadas mensagens com conteúdos falsos, mas com teores alarmantes e apelativos, quase sempre atribuídas a instituições, empresas ou pessoas importantes. Embora pareçam inofensivas, causando apenas o transtorno de recebê-las, essas mensagens podem ter código malicioso e se muitas pessoas acreditam nos boatos e continuam a espalhar a “desinformação” para seus contatos, podem causar graves danos àquelas pessoas ou instituições. » Engenharia social: muito utilizada para crimes digitais como parte das ações do criminoso a fim de tornar possível, ou complementar o ataque digital planejado por ele. » Fraudes de antecipação de recurso: e-mails ou páginas web fraudulentas são usados para envolver as vítimas e obter informações confidenciais ou recursos financeiros, como no caso de solicitações de doação ou pagamento adiantado, com a falsa promessa de retornar algum tipo de benefício. » Phishing ou phishing-scam: golpe aplicado por meio de e-mails que tentam estimular as vítimas a acessarem sites fraudulentos e fornecerem informações pessoais. » Pharming: tipo específico de phishing. Tem como característica o redirecionamento do usuário para sites falsos enquanto ele está navegando. » Furto de identidade: o cibercriminoso assume uma identidade falsa, tentando se passar por outra pessoa, para obter benefícios próprios. » Boato: utiliza correios eletrônicos e redes sociais para enviar ou postar mensagens com conteúdos falsos, mas com teores alarmantes e apelativos. Podem conter códigos maliciosos anexados. 17 CYBERCRIME│ UNIDADE ÚNICA Ataques na Internet Outro tipo de risco oferecido pelos cibercriminosos são os ataques na internet. Eles geralmente são feitos por pessoas com conhecimento técnico e ferramentas tecnológicas adequadas. Como é usual nos cybercrimes, o criminoso busca vulnerabilidades em sistemas e servidores para realizar o ataque. Sistemas operacionais ou outros tipos de softwares desatualizados ou com falhas são algumas das portas de entradas para a violação da segurança de sistemas. Os ataques mais conhecidos são: » Defacement: consiste na alteração do conteúdo de uma página da web. O tipo mais conhecido é o vandalismo, uma espécie de pichação de sites. » Negação de serviço (DoS – Denial of Service): esse tipo de ataque visa causar, por meio de um computador, a inoperabilidade de um sistema ou de um computador conectado à internet, por meio da sobrecarga no processamento de dados ou no tráfego da rede. A negação de serviço pode ser realizada de forma distribuída, utilizando um conjuntode computadores para o ataque. Nesse caso, denomina-se negação de serviço distribuído ou DDoS (Distributed Denial of Service). » E-mail Spoofing: é um ataque para falsificação de e-mails, cujo autor modifica os campos do cabeçalho para ludibriar quem o recebe. Muito usado para golpes como phishing e para disseminar códigos maliciosos. O criminoso pode, por exemplo, modificar o remetente da mensagem eletrônica para alguém da lista de contato da vítima, que pode ter sido obtido previamente. » Sniffing: é a interceptação de tráfego de dados em uma rede de computadores, por meio de programas denominados sniffers (em inglês, farejadores). Quando usado de forma maliciosa, os cibercriminosos tentam acesso a informações importantes, como senhas, número de cartões de crédito etc. » Scan: consiste na varredura em redes de computadores, cujo intuito é identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por cibercriminosos para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador. Observação: a expressão “ataque na internet” é comumente usada de forma genérica para os diversos crimes digitais, inclusive para os golpes e códigos maliciosos. 18 UNIDADE ÚNICA │CYBERCRIME Códigos maliciosos Os códigos maliciosos são programas de computadores indesejados, instalados ou executados sem o devido consentimento do usuário. São exemplos de códigos maliciosos: o vírus, o worm, o botnet, o spyware, o rootkit e o cavalo de troia. Aprofundaremos esse tema no capítulo 5 desse curso. O fator humano é o elo mais fraco da segurança. Vimos que são inúmeras as maneiras pelas quais os criminosos digitais podem realizar os seus crimes. É importante ressaltar que a prevenção para vários desses crimes digitais perpassa o bom senso do usuário da internet. Além de verifi car a procedência dos softwares instalados em seu computador, o usuário deve mantê-los sempre atualizados para corrigir erros de projetos que podem representar falha de segurança. É essencial ter conhecimento sobre mecanismos de segurança e sobre os tipos de crimes digitais existentes, instalar e ativar programas de antivirus, antispywares, fi rewalls e similares e sempre mantê-los atualizados. O usuário deve verifi car a origem das mensagens eletrônicas recebidas, navegar por sites confi áveis, ter a certeza de onde e para quem ele fornece seus dados, ter senhas seguras e frequentemente alterá-las, fi car atento aos redirecionamentos de sites ou à abertura automática de páginas de internet e janelas pop-ups, desconfi ar de histórias mirabolantes e de ofertas de fácil retorno fi nanceiro em sites, redes sociais e e-mails. É preciso muito cuidado com mensagens eletrônicas com arquivos anexados e sites que tentam instalar programas. Desconfi ar de mensagens recebidas de supostas instituições que tentam induzir a fornecer informações, acessar links ou arquivos em anexo; verifi car se os sites de comércio eletrônico e internet banking usam conexão segura e pesquisar sobre as mensagens recebidas para verifi car sua veracidade são alguns dos procedimentos indispensáveis. Dados estatísticos Com o aumento do número de crimes na internet, diversas organizações realizam estudos e pesquisas a fi m de verifi car os principais tipos de crimes praticados no ciberespaço e, consequentemente, melhorar seus sistemas de segurança para prevenir e evitar tais práticas. A seguir, apresentamos alguns dados referentes aos crimes digitais. 19 CYBERCRIME│ UNIDADE ÚNICA Atualmente a maioria das empresas depende direta ou indiretamente da Tecnologia da Informação e Comunicação para se manter competitiva no mercado, buscando sempre por inovações e melhorias. Entretanto, as empresas também são muito visadas pelos criminosos digitais, prejudicando o comércio, a produtividade e a inovação. De acordo com estudo global realizado pelo Instituto Ponemon a pedido da Websense, empresa de segurança da informação, as empresas brasileiras têm sido as que mais sofreram ataques cibernéticos no mundo. Segundo a pesquisa, no Brasil, 59% das empresas entrevistadas admitiram terem sido vítimas de cybercrimes nos últimos 12 meses, sendo que no mundo essa taxa é de 44%. Segundo pesquisa do Centro de Estudos Estratégicos e Internacionais (CSIS, na sigla em inglês), patrocinado pela companhia de software de segurança McAfee e divulgado pela revista EXAME, os crimes cibernéticos custam, por ano, cerca de 445 bilhões de dólares à economia global e os prejuízos a empresas devido ao furto de propriedade intelectual ultrapassam os 160 bilhões de dólares de perdas a indivíduos por ataques eletrônicos. O estudo afirma ainda que as maiores economias do mundo ficaram com o grosso dos prejuízos, alcançando o custo total de 200 bilhões de dólares ao ano para os Estados Unidos, China, Japão e Alemanha. Os prejuízos ligados a informações pessoais, como roubo de dados de cartões de créditos, ficaram em cerca de 150 bilhões de dólares. Na Pesquisa Global sobre Crimes econômicos 2014 – Brasil, da multinacional PricewaterhouseCoopers (PwC), houve uma redução significativa dos crimes digitais, de 32% em 2011, para 17% em 2014, a despeito do aumento na ocorrência de fraudes eletrônicas no mundo (de 23%, para 24%). Com isso, esse crime passou a ocupar a 5ª posição no ranking de crimes econômicos. Apesar dessa diminuição, a pesquisa também revelou que 52% dos entrevistados brasileiros afirmaram que o risco com os crimes digitais aumentou nos dois últimos anos. Segundo o documento, essa aparente contradição pode significar a existência de um cenário de falta de consciência sobre a situação real das empresas em relação ao problema, pois, atualmente, os perigos relacionados ao cybercrime são muito mais camuflados. Consta do Relatório que: “para um ataque ser bem-sucedido, bastam algumas horas. Mas, para a empresa perceber esse ataque, pode levar meses ou até anos, e 82% das detecções são feitas por terceiros”, afirma Fernando Carbone, diretor de Forensic Technology Services da PwC Brasil “(…) para complicar ainda mais esse cenário, mesmo quando é detectado, o crime digital com frequência não é divulgado.” Ainda, de acordo com o Relatório sobre Crimes da Internet de 2013, do FBI (Federal Bureau of Investigation), o Centro de Reclamações de Crimes na Internet (IC3) registrou, naquele ano, 262.813 reclamações, das quais 119.457 relatavam perdas que totalizavam mais de 781 milhões de dólares. O Relatório indica que a maioria das vítimas tinha 20 UNIDADE ÚNICA │CYBERCRIME entre 40 e 59 anos (42,3%). O documento aponta como crimes mais comuns: a fraude envolvendo leilões de automóveis na internet; golpes relacionados a romance, nos quais uma pessoa procura um companheiro on-line; e-mails oferecendo trabalho em casa (home office) com a garantia de recebimento de dinheiro fácil; entre outros. Por sua vez, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) aponta como principais golpes aplicados na internet: o furto de identidade, a fraude de antecipação de recursos, golpes de comércio eletrônico, entre outros. Observa-se que, de acordo com os dados apresentados pelo Centro, os prejuízos alcançados pelos crimes digitais eram inimagináveis há poucas décadas e tudo indica que o crime cibernético é uma indústria em crescimento. Vejamos: Figura 3. Incidentes Reportados ao CERT.br por ano. Fonte: Gráfico e disponível em: <http://www.cert.br/stats/incidentes/>. Acesso em: 19 jul. 2014. 21 CYBERCRIME│ UNIDADE ÚNICA Figura 4. Incidentes Reportados ao CERT.br de janeiro a dezembro de 2013. Gráfico e disponível em: <http://www.cert.br/stats/incidentes/2013-jan-dec/tipos-ataque.html>. Acesso em: 19 jul. 2014. Mas o que permite que esses crimes sejam tão frequentes? No próximo capítulo veremos quais são as características que potencializam a ação dos cibercriminosos.22 CAPÍTULO 2 Criminologia do criminoso digital A Engenharia Social usa a infl uência e a persuasão para enganar as pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é, ou pela manipulação. Como resultado, o engenheiro social pode aproveitar-se das pessoas para obter as informações com ou sem o uso da tecnologia. (…) Para mim não foi difícil tornar-me profi ciente em engenharia social. O lado paterno da minha família trabalhava com vendas há gerações, de modo que a arte da infl uência e persuasão pode ter sido um traço que herdei. Quando você combina uma inclinação para enganar as pessoas com os talentos da infl uência e persuasão, você chega ao perfi l de um engenheiro social. (…) Como descrevi em meu testemunho no Congresso perante os Senadores Lieberman e Thompson anos depois: Tive acesso não autorizado aos sistemas de computadores de algumas das maiores corporações do planeta, e consegui entrar com sucesso em alguns dos sistemas de computadores mais protegidos que já foram desenvolvidos. Usei meios técnicos e não técnicos para obter o código-fonte de diversos sistemas operacionais e dispositivos de telecomunicações para estudar suas vulnerabilidades e seu funcionamento interno. Toda essa atividade visava satisfazer minha própria curiosidade, ver o que eu poderia fazer e descobrir informações secretas sobre os sistemas operacionais, telefones celulares e tudo o que chamasse minha atenção. Últimas Idéias Reconheci desde a minha prisão que minhas ações eram ilegais e que cometi invasões de privacidade. Meus crimes foram motivados pela curiosidade. Eu queria saber o máximo possível sobre o modo como funcionavam as redes de telefonia e os prós e contras da segurança de computadores. Trecho extraído de Mitnick e Simon, 2003. 23 CYBERCRIME│ UNIDADE ÚNICA O uso da tecnologia pelo criminoso Conforme vimos anteriormente, os crimes digitais são ações ilícitas que fazem uso de recursos computacionais, podendo ter como vítima pessoas ou computadores, sistemas computacionais e dados. Sendo assim, o cibercriminoso pode usar o recurso tecnológico como ferramenta para suas ações, como alvo de suas ações ou para ambos. Diante dessas possibilidades, uma classificação bastante utilizada para os crimes digitais é a seguinte: » Crimes digitais puros: o agente objetiva atingir, física ou tecnicamente, o computador, o sistema de informática ou os dados e as informações de sistemas. » Crimes digitais mistos: o uso do sistema informático é condição sine qua non para a efetivação da conduta, embora o objetivo não seja atingi-lo, isto é, o criminoso não visa o sistema de informática e seus componentes, porém, a informática é instrumento indispensável para consumação da ação criminosa, como no caso das transferências ilícitas de sistemas homebanking. » Crimes digitais comuns: o agente não visa o sistema de informática e seus componentes, mas usa a informática como instrumento (não essencial, poderia ser outro o meio) de realização de um delito tradicional, isto é, já tipificado pela lei, como por exemplo, a pornografia infantil. Se antes esse crime era veiculado por vídeos e fotografias (não digitais), hoje ele se dá por meio de páginas da internet. Mudou-se a forma, mas o crime é essencialmente o mesmo. De forma semelhante, Wendt e Jorge (2013) subdividem os crimes cibernéticos em dois tipos: 1. Crimes cibernéticos abertos: o computador é apenas o meio utilizado para praticar um crime que poderia ser praticado sem ele. 2. Crimes exclusivamente cibernéticos: aqueles que só podem ser praticados com o auxílio de computadores ou outros recursos tecnológicos que permitem acesso à internet. Segundo os autores, há ainda uma terceira conduta indevida praticada por computador denominada ação prejudicial atípica, cujo resultado pode causar algum transtorno ou dano à vítima, porém não existe previsão penal. A figura abaixo mostra a classificação feita pelos autores: 24 UNIDADE ÚNICA │CYBERCRIME Figura 5. Condutas indevidas praticadas por computador. Fonte: Wendt e Jorge, 2013. Características da informática utilizadas pelo criminoso digital O cybercrime possui características que dificultam muito sua prevenção, investigação, repressão e punição, ou seja, permitem e facilitam sua execução e continuidade. Essas características, quando usadas para fins benéficos, são as mesmas que tornam o ciberespaço atrativo e importante para o desenvolvimento da sociedade moderna, pois potencializam a troca e a obtenção de informação, bem como a construção de conhecimento. Quando usadas de forma maliciosa e ilícita facilitam o cometimento de crimes e dificultam a repressão dos criminosos. Dias (2012) destaca algumas dessas características: » Transnacionalidade e atemporalidade: no ciberespaço não existem fronteiras territoriais. É possível interagir e trocar dados e informações com pessoas do mundo todo em questão de segundos. Entretanto, a ausência de fronteiras dificulta o controle do local dessa troca, potencializando a capacidade de um criminoso digital atingir um número massivo de pessoas de várias partes do mundo. Além disso, o criminoso dá preferência aos servidores localizados em países cuja legislação é fraca ou os mecanismos de investigação deficientes. Somada a isso, está também a possibilidade de o cibercriminoso atacar as suas vítimas de maneira planejada, do ponto de vista inicial de sua prática à materialização do crime propriamente dito. Por exemplo, quando ele instala um código malicioso que entrará efetivamente em ação em determinada data ou o controla remotamente. 25 CYBERCRIME│ UNIDADE ÚNICA » Permanência, automatismo e repetição: os recursos tecnológicos permitem ao cibercriminoso que suas ações ilícitas possam se tornar permanentes, sem conhecimento de suas vítimas, sendo executadas de forma automática e repetidas vezes. » Anonimato ou identidade falsa: a possibilidade de não ser identificado é uma característica muito atrativa na internet e muito usada pelos seus usuários que se sentem confortáveis em poder conversar e visitar páginas da web sem serem identificados. Porém, essa é considerada também a característica que mais impulsiona a iniciação da atividade criminosa na internet, uma vez que pode vir a impedir a punição do criminoso por seus atos. » Alta tecnicidade: o avançado do conhecimento técnico usado no cybercrime é o que dificulta, por exemplo, o rastreamento das operações de informática usadas nas ações ilícitas, a obtenção de provas para julgamentos e a identificação do cibercriminoso. » Disseminação e potencialização dos danos: a tecnologia permite que os crimes digitais alcancem uma massiva quantidade de vítimas, a custos baixíssimos, de forma dificilmente alcançada pelos crimes tradicionais. Existem crimes financeiros nos quais as quantias roubadas individualmente são mínimas, porém, quando realizadas no meio virtual, tornam-se astronômicas, pois atingem diversas vítimas. O mesmo raciocínio pode ser seguido para outros tipos de crimes, por exemplo, os danos morais. A fácil disseminação de conteúdos racistas, de desonra, de intimidade, entre outros, tornam-se rapidamente acessíveis a pessoas de todo mundo, podendo ocasionar danos irreparáveis às vítimas. Dias (2012) também destaca que a não percepção direta da ação do criminoso, haja vista as características citadas, torna a ação mais fácil, moralmente mais tolerável e com menos riscos para o autor do crime. Algumas características do criminoso digital Com o avanço da internet, passou-se a falar sobre um novo perfil da criminalidade. O agente criminoso, como mencionado anteriormente, utiliza conhecimentos técnicos específicos, sendo que, para cometer os delitos, não se apropria das armas consideradas tradicionais, pois, no anonimato e à distância, inexiste o contato com a vítima. 26 UNIDADE ÚNICA │CYBERCRIME O criminoso digital – apesar de, atualmente, serpossível notar algumas mudanças nesses critérios (DIAS, 2012) –, em regra, é jovem, estudioso, com Q.I acima da média, perito em computadores e programação, do sexo masculino, introvertido, associal, empregado e está sempre buscando ampliar seus conhecimentos de computadores e informática. Sua escolaridade costuma ser alta e raramente tem menos que o ensino médio completo. Figura 6. Algumas nomenclaturas comumente utilizadas para referir-se a esses criminosos são as seguintes: » Hackers: é o termo mais utilizado. Diz respeito àqueles indivíduos que dominam o conhecimento da informática e apenas buscam ampliar seu conhecimento com novos desafios, sem o desejo de cometer crime (aprofundaremos esse tema no próximo capítulo). » Crackers: também são indivíduos com conhecimento profundo de informática, porém, nesse caso, são especializados em invadir sistemas, transpondo barreiras de segurança a fim de quebrar senhas de jogos, de programas, de sistemas, de celulares, de automóveis etc. » Lammers ou script kid: são indivíduos que fazem uso antissocial da rede com intuito apenas de perturbar, causar confusão. Normalmente são crianças ou adolescentes, que ainda não têm conhecimento aprofundado sobre informática e apenas buscam utilizar-se de técnicas de outras pessoas com conhecimento avançado. » Phreakers: são indivíduos que fraudam diversas organizações, utilizando os meios de comunicação (telefonia, modem etc.) sem pagar pelos serviços. 27 CYBERCRIME│ UNIDADE ÚNICA Alguns outros termos são: carders (especialistas em roubos de número de cartões de crédito), coders (especialistas em alguma linguagem de programação que buscam vulnerabilidades), virri (responsáveis por programar virus, jogos ou outros programas), wares (responsáveis pela pirataria de softwares), newbie (são os novatos na rede de computadores), defacer (responsáveis pela invasão e desfi guração de determinados sites), cyberpunks (aqueles que buscam a pluralidade de acesso aos computadores, difundindo, gratuitamente, ferramentas e programas de criptografi as de massa). Procure na internet outras nomenclaturas utilizadas para nos referirmos aos criminosos digitais e perceba como, cada vez, esses termos estão se tornando mais específi cos. Convenção de Budapeste e a tipificação dos crimes digitais Essa nova modalidade de crime, ou pelo menos de um novo modus operandi dos criminosos, gerou tantos problemas e prejuízos que governantes do mundo inteiro sentiram a necessidade de dar providências específi cas. No contexto internacional, um passo importante para o combate ao cybercrime foi a Convenção sobre o Cybercrime, conhecida também como Convenção de Budapeste, fi rmada no âmbito do Conselho da Europa em 2001. Atualmente a Convenção já foi assinada por 11 países e ratifi cada por 42. O Brasil ainda não fi gura nessa lista. A Convenção diz respeito a um tratado internacional de direito penal e processual penal, que visa à proteção da sociedade contra os crimes no ciberespaço. Ela veio tipifi car as seguintes condutas: 1. Infrações contra a confi dencialidade, integridade e disponibilidade dos dados e sistemas informáticos: » acesso doloso e ilegal a um sistema de informática; » interceptação ilegal de dados ou comunicações telemáticas; » atentado à integridade dos dados; » atentado à integridade de um sistema; e » produção, comercialização, obtenção ou posse de aplicativos ou códigos de acesso que permitam a prática dos crimes acima indicados. 2. Infrações informáticas: 28 UNIDADE ÚNICA │CYBERCRIME » falsifi cação de dados; » estelionatos eletrônicos (como, por exemplo, os phishing-scams). 3. Infrações relativas ao conteúdo: » pornografi a infantil (produção, oferta, procura, transmissão e posse de fotografi as ou imagens realistas de menores ou de pessoas que aparecem como menores, em comportamento sexual explícito); » racismo e xenofobia (difusão de imagens, ideias ou teorias que preconizem ou incentivem o ódio, a discriminação ou a violência contra uma pessoa ou contra um grupo de pessoas, em razão da raça, religião, cor, ascendência, origem nacional ou étnica; injúria e ameaça qualifi cadas pela motivação racista ou xenófoba; negação, minimização grosseira, aprovação ou justifi cação do genocídio ou outros crimes contra a humanidade); » atentado à propriedade intelectual e aos direitos que lhe são conexos. Saiba mais sobre a Convenção sobre o Cybercrime, acessando o documento na íntegra, disponível em: <http://www.coe.int/t/dghl/cooperation/ economiccrime/Source/Cybercrime/TCY/ETS_185_Portugese.pdf>. A lista dos países signatários da Convenção está disponível em: <http:// conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=1&DF=9/2/ 2006&CL=ENG> Passaremos, agora, ao Capítulo 3, que tratará mais especifi camente da atuação dos hackers e sua relação com os crimes digitais. 29 CAPÍTULO 3 Hackers e crimes digitais Existe uma comunidade, uma cultura compartilhada, de programadores experts e gurus de rede cuja história remonta a décadas atrás, desde os primeiros minicomputadores de tempo compartilhado e os primeiros experimentos na ARPANET. Os membros dessa cultura deram origem ao termo ‘hacker’. Hackers construíram a Internet. Hackers fi zeram do sistema operacional Unix o que ele é hoje. Hackers mantêm a Usenet. Hackers fazem a World Wide Web funcionar. Se você é parte desta cultura, se você contribuiu a ela e outras pessoas o chamam de hacker, você é um hacker. Existe outro grupo de pessoas que se dizem hackers, mas não são. São pessoas (adolescentes do sexo masculino, na maioria) que se divertem invadindo computadores e fraudando o sistema telefônico. Hackers de verdade chamam essas pessoas de “crackers”, e não têm nada a ver com eles. Hackers de verdade consideram os crackers preguiçosos, irresponsáveis, e não muito espertos, e alegam que ser capaz de quebrar sistemas de segurança torna alguém hacker tanto quanto fazer ligação direta em carros torna alguém um engenheiro automobilístico. Infelizmente, muitos jornalistas e escritores foram levados a usar, erroneamente, a palavra “hacker” para descrever crackers; isso é muito irritante para os hackers de verdade. A diferença básica é esta: hackers constroem coisas, crackers as destroem. Texto extraído de Como se Tornar um Hacker, disponível em: <https://linux.ime.usp. br/~rcaetano/docs/hacker-howto-pt.html> Atualmente é quase inevitável que o termo hacker seja associado às pessoas que causam danos à internet, espalhando vírus e invadindo sistemas. Contudo, o fundamento dessa terminologia é bem diferente. As três gerações de Hackers O termo hacker foi usado pela primeira vez no fi nal da década de 1950 para denominar membros de um clube, o Tech Model Railroad Club (TMRC), do Massachussetts Institute of Technology (MIT), que possuíam e buscavam conhecimento aprofundado em tecnologia e se dedicavam a estudos e pesquisas para o desenvolvimento tecnológico, juntamente com sua paixão por ferromodelismo. O clube foi formado com o intuito de os membros se divertirem ao mesmo tempo em que se dedicavam ao desenvolvimento de algo construtivo, aplicando seus estudos e pesquisas computacionais. Esse tipo de projeto era chamado de hack e aqueles mais dedicados e que obtinham mais destaque no grupo eram denominados de hackers. 30 UNIDADE ÚNICA │CYBERCRIME A segunda geração dos hackers é atribuída aos indivíduos que participaram da construção dos computadores pessoais (PCs), um conceito improvável de existir para a época. Esses hackers queriam que os computadores fossem mais acessíveis, pois os existentes eram máquinas enormes, escassas, caras, complicadas, além de monopolizadas e feitas apenas para grandes corporações. Os hackers não sabiam exatamente o que fariam com computadores pessoais, mas a atração de um grupo de pessoas pela ideia de dominar a tecnologia dos computadores e de construir um PC os levou a fundar o clube Homebrew,no Vale do Silício, Califórnia – EUA. Lá, eles se reuniam para a troca de conhecimentos e experiências. Essa brincadeira começou na garagem de Stephen Wozniak, considerado o pioneiro na construção do PC e na busca por sua popularização. A dedicação e o sucesso do projeto de Wozniak levou-o a fundar a Apple, juntamente com Steve Jobs, para vender seus primeiros computadores. Apesar de inicialmente não haver intenção comercial entre os membros do Homebrew, mas apenas o prazer desafi ador de construir seu próprio computador e criar várias utilidades para ele – mais uma vez trabalho e diversão se confundindo –, além da Apple, várias outras empresas de computadores surgiram dessa experiência. Documentário: A origem dos Hackers. Disponível em: <https://www.youtube. com/watch?v=cgI1pesO1do> Filme: Pirates of Silicon Valley, de Martin Burke (1999). O jornalista Steven Levy (2010) fala ainda de uma terceira geração de hackers, aqueles programadores responsáveis pelos jogos de computadores. Uma nova conotação para o termo hacker Nós nascemos com um impulso interno de explorar a natureza daquilo que nos cerca. Como todos os jovens, Kevin Mitnick e eu éramos muito curiosos sobre o mundo e ansiosos para testar a nós mesmos. Quase sempre fomos recompensados pelas nossas tentativas de aprender coisas novas, solucionar quebra-cabeças e ganhar jogos. Mas ao mesmo tempo, o mundo ao nosso redor nos ensinou regras de comportamento que restringiam nossa necessidade de exploração livre. Para os nossos ousados cientistas e empreendedores tecnológicos, bem como para pessoas como Kevin Mitnick, seguir essa vontade traz as maiores emoções e permite que realizemos coisas que os outros acreditam que não podem ser feitas. Steven Wozniak. 31 CYBERCRIME│ UNIDADE ÚNICA Como se pôde observar, o termo hacker foi inicialmente associado aos experientes programadores de computadores, indivíduos apaixonados pelo que faziam, dedicados a buscar e compartilhar conhecimento e domínio de sistemas e redes de computadores, visando a soluções, inovações e diversão. Para eles, o compartilhamento de conhecimento e a liberdade da informação faziam parte de sua cultura e eram a melhor forma de desenvolver novos conhecimentos. Os hackers, nesse sentido, são considerados grandes responsáveis pelo avanço da internet no mundo. Porém, a popularização da rede mundial acabou trazendo consigo uma nova geração de usuários que passaram a utilizar a internet para fins considerados ilícitos, como a invasão de computadores e sistemas. Esses internautas também foram chamados de hackers. Com esse tipo de comportamento, o termo hacker passou a ter uma conotação pejorativa e a ser difundido pela imprensa de massa como alguém que usa seus conhecimentos avançados de computação com o intuito criminoso, deturpando, assim, a terminologia clássica. Os hackers passaram de heróis da revolução do computador a cibercriminosos. A propagação desse novo conceito ganhou ainda mais força com algumas obras de ficção científica. O filme War Game, de 1983, foi um sucesso de bilheteria. O filme contava a história de um jovem que invade os computadores dos órgãos de defesa dos Estados Unidos e quase provoca a terceira guerra mundial. A ideia de que um gênio da computação fosse capaz de proezas como essa tomou conta do imaginário coletivo na época e atraiu o interesse de diversos jovens daquela geração para a informática. Kevin Mitnick é um dos hackers mais conhecidos e foi preso diversas vezes por invadir computadores de empresas de telefonia, de tecnologia e de provedores de internet. O medo e a mística em torno desse novo tipo de criminoso eram tão grandes que renderam a Mitnick punições severas. A ele foi decretada prisão em solitária e longe de qualquer aparelho telefônico. Cabe ressaltar, nesse momento, que a invasão de sistemas de comunicação não ocorreu apenas com o advento da internet. Um dos pioneiros na invasão de sistemas telefônicos ficou conhecido como Capitão Crunch. O norte americano John Deper ganhou esse apelido ao conseguir fazer ligações telefônicas usando um apito de plástico que vinha de brinde em uma caixa de cereal matinal, numa época em que o sistema telefônico era o ponto alto da tecnologia de comunicação. 32 UNIDADE ÚNICA │CYBERCRIME A luta pelo sentido original A respeito do uso ambíguo do termo hacker, o clube TMRC, do MIT, possui a seguinte declaração em sua página na internet: Nós da TMRC usamos o termo “hacker” só em seu signifi cado original, alguém que aplica a engenhosidade para criar um resultado inteligente, o que é chamado de “hack”. A essência de um “hack” é que ele é feito rapidamente e geralmente é deselegante. Ele alcança o objetivo desejado sem alterar o projeto do sistema no qual está incorporado. Apesar de muitas vezes não estar em acordo com a concepção do sistema como um todo, um “hack” é geralmente muito inteligente e efi caz. Este signifi cado original e benigno está em contraste gritante com o signifi cado posterior, e mais comumente usado do termo “hacker”, empregado normalmente como uma pessoa que invade redes de computadores para roubar ou vandalizar. Aqui no TMRC, onde as palavras “hack” e “hacker” se originaram e têm sido usadas com orgulho desde o fi nal dos anos 1950, nos ressentimos da má aplicação da palavra para signifi car o cometimento de atos ilegais. As pessoas que fazem essas coisas são melhor descritas por expressões como “ladrões”, “crackers de senhas” ou “vândalos de computadores”. Eles certamente não são verdadeiros hackers, pois eles não entendem a ética hacker. Entretanto, apesar dos esforços envidados, a comunidade hacker não teve êxito em difundir o termo cracker. A sociedade e a mídia em geral utilizam a palavra indiscriminadamente, inclusive para identifi car aqueles que cometem crimes digitais. Também encontramos referências como hacker do bem (ou ético) e hacker do mal (ou antiético). Essa, para identifi car o criminoso digital, isto é, o cracker, cujo conhecimento avançado de informática é usado para invadir computadores e sistemas, criar vírus e outras ações ilícitas. Aquela, para identifi car o hacker que crê que o compartilhamento de informação é um bem para a sociedade, que a informação deve ser livre e descentralizada, e que um dever ético para o hacker é aplicar seus conhecimentos para criar experiências positivas e compartilhá-las. Você conhece o caso de Edward Snowden? Você sabia que Edward Snowden tem o título de “hacker ético” concedido pela International Council of E-Commerce Consultants (EC-Council) enquanto ele trabalhava na Dell, em 2010? 33 CYBERCRIME│ UNIDADE ÚNICA Is there a hacker ethic for 90s hackers? Disponível em: <http://www2.fi u. edu/~mizrachs/hackethic.html> Super-hackers - Escola prepara adolescentes para o combate de crimes digitais. Disponível em: <http://revistaeducacao.uol.com.br/textos/108/artigo233859-1. asp> 34 CAPÍTULO 4 Crimes do “Colarinho Branco” através da Internet (...) o dano provocado pelo crime do colarinho branco é tão ou mais insidioso que o outro, na medida que ele é uma das principais causas da miséria e, não necessariamente como decorrência dela, da própria violência. É responsável, também, pela escuridão do analfabetismo e pela dor na fi la dos hospitais (...). Trecho extraído de Simon, 2010. Crime do “Colarinho Branco” Crime do colarinho branco é uma tradução literal de “white collar crime”, termo cunhado pelo criminalista estadunidense Edwin Sutherland, em 1939. Sutherland defi niu esse crime como sendo aquele “cometido por uma pessoa respeitável e de alta posição social, no exercício de suas ocupações, graças às oportunidades encontradas no mundo corporativo para que se cometam fraudes, suborno, uso de informações privilegiadas, peculato, crimes informáticos e contrafação. Esses crimes podem ser mais facilmente perpetrados por funcionários ou empresários engravatados, daí a referência ao colarinhobranco”. Muitas discussões foram feitas em torno da terminologia criada por Sutherland, por sua defi nição ser considerada aberta, acabando por abranger crimes tradicionais. Porém, esse termo é muito usado para designar o comportamento reprovável do homem de negócio que obtém vantagem indevida e causa danos à coletividade por seu desvio de conduta profi ssional e ética (PIMENTEL, 1974). Trata-se de um crime sofi sticado que geralmente visa ao enriquecimento fi nanceiro ou ao aumento de poder do criminoso, usualmente de alta sociedade e com acesso a cargos importantes em sua organização. São exemplos de crimes de colarinho branco as fraudes mobiliárias, violações antitruste, suborno, lavagem de dinheiro, entre outros. É sabido que esse crime, na maioria das vezes, causa menos comoção na sociedade do que outros que usam a violência física, por razões óbvias. Frequentemente, entretanto, em termos fi nanceiros, ele é muito mais oneroso à sociedade e atinge muito mais pessoas. 35 CYBERCRIME│ UNIDADE ÚNICA Cibercriminoso de “Colarinho Branco” Assim como os demais, o crime de “colarinho branco” também se potencializou com os recursos tecnológicos e tem dificultado o seu rastreamento e a coleta de evidências. Os cibercriminosos do colarinho branco também são conhecidos como insiders e geralmente são funcionários altamente qualificados e colaboradores de confiança de suas organizações. No ciberespaço, temos como exemplos mais comuns de crimes de colarinho branco a espionagem econômica, o roubo de segredos comerciais, a fraude de seguros e de cartões de crédito, por exemplo. Os criminosos digitais de colarinho branco se aproveitam do conhecimento interno da organização em que trabalham, do seu sistema informático e de suas deficiências para praticar atividades ilícitas, violar a disponibilidade e integridade de informações, eliminar dados, sabotar sistemas ou serviços e vender informações confidenciais a concorrentes (DIAS, 2012). Um insider pode promover o vazamento de senhas, o acesso a informações internas e de clientes, bem como o acesso a redes e documentos estratégicos de uma organização. Os motivos para essas ações podem ser diversos, por exemplo, vingança e descontentamento com a organização ou com superiores, interesse financeiro, extorsão, ideologia e falta de conhecimento. Grandes empresas investem muito dinheiro para se proteger de ataques externos e evitar vazamento de informações estratégicas. Entretanto, muitas vezes não tomam medidas de segurança internas. As empresas e organizações, de modo geral, devem saber que seus funcionários com maior acesso à informação podem oferecer riscos à organização (intencionalmente ou não) e medidas de prevenção devem ser aplicadas. Segundo a Pesquisa Global sobre Crimes Econômicos, de 2011, da PwC, a percepção da origem das ameaças digitais se dá da seguinte forma: 44% das empresas acreditam que as fraudes têm origem interna e externa à empresa; 24% acreditam que têm origem interna e outros 24% que têm origem externa. Os demais 8% não souberam responder. Treinamentos, conscientização e termos de confidencialidade para os funcionários com maior acesso à informação estratégica da empresa são medidas básicas a serem tomadas. Internamente também devem ser usados recursos tecnológicos de segurança: controle rígido de acesso de funcionários a recursos, sistemas e banco de dados; documentação e descentralização de processos de infraestrutura; agilidade na suspensão de acesso de ex-funcionários etc. Acessos a redes sociais e a mídias removíveis também devem ser objeto de atenção. Além disso, os cibercriminosos do colarinho branco, que antes já se mantinham no anonimato, protegidos por “testas de ferro” e “laranjas”, também aproveitam das características estudadas no Capítulo 2 para proteger sua identidade ou dificultar o levantamento de provas materiais que podem condená-lo. 36 UNIDADE ÚNICA │CYBERCRIME Caso prático Apesar de ser de difícil identificação e consequente punição, apresentamos a seguir um caso emblemático ocorrido no Brasil. Em 2008, meses depois da apreensão pela Polícia Federal (PF) de um conjunto de HDs que estavam escondidos no apartamento do banqueiro Daniel Dantas, durante a Operação Satiagraha, foi noticiado pelos principais jornais que a PF não conseguia abrir os arquivos do HD devido à criptografia utilizada. Veja o que dizia a matéria. (...) Numa análise inicial, peritos da Polícia Federal disseram que precisariam de um ano para quebrar os códigos. Um dos peritos disse que nunca havia visto um sistema de proteção tão sofisticado no Brasil. O delegado Protógenes Queiroz, que coordenou a Satiagraha, diz que os HDs “guardam segredos da República”. Quando tentaram abrir os arquivos dos HDs, na superintendência da PF de São Paulo, os peritos descobriram que o acesso era criptografado. Isso significa que quem criou os arquivos inseridos nos HDs usou uma chave secreta para protegê-los. É como uma senha eletrônica. Sem ela, os arquivos, quando abertos, aparecem embaralhados e incompreensíveis na tela do computador. (...) O impasse levou os investigadores da PF a estudar uma alternativa jurídica para o rompimento do sigilo. Em conjunto com o juiz federal Fausto De Sanctis, informado há mais de um mês sobre os problemas nos HDs, os policiais discutem a possibilidade de obrigar, por ordem judicial, a empresa norte-americana que criou o software a fornecer as chaves eletrônicas que abrem os arquivos. É também aguardada a chegada de um grupo de peritos da PF de Brasília. Não é a primeira vez que investigadores da Operação Satiagraha se vêem às voltas com dados criptografados do banco Opportunity, de Dantas. Em 28 de junho de 2006, os procuradores da República Rodrigo de Grandis e Ana Carolina Alves Araújo Roman informaram à 2ª Vara Federal de São Paulo que “muitos dos arquivos (mensagens de e-mail e anotações)” que integravam o disco rígido do banco estavam protegidos por senhas sigilosas, “o que torna impossível o seu acesso”. Após termos estudado nesse capítulo apenas um dos inúmeros tipos de crimes digitais, vamos passar para o próximo capítulo, no qual falaremos de alguns meios específicos utilizados pelos criminosos para a prática de suas atividades. 37 CAPÍTULO 5 O uso de vírus e de outros códigos maliciosos para cometimento de crimes e obtenção de dados Figura 7. A propagação dos crimes digitais é tamanha que os cibercriminosos buscam agir em atividades rotineiras de um usuário comum de internet quando ele está, por exemplo, simplesmente navegando por páginas web, visitando redes sociais ou mesmo acessando seus e-mails. Os usuários podem ser vítimas de ataque de códigos maliciosos que são, em geral, softwares desenvolvidos especificamente para executar atividades maliciosas, como roubar dados dos computadores em que forem instalados. Esse tipo de programa de computador também é conhecido como malware, termo proveniente do inglês “malicious software”. Formas e motivos de ataque por códigos maliciosos Sistemas computacionais vulneráveis podem ser facilmente usados por cibercriminosos que utilizam códigos maliciosos para realizar seus ataques. Segundo o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), dentre as diversas formas que um malware pode infectar um computador, destacam-se: » pela exploração de vulnerabilidades existentes nos programas instalados; » pela autoexecução de mídias removíveis infectadas, como, por exemplo, os pen-drives; » pelo acesso a páginas web maliciosas, utilizando navegadores vulneráveis; 38 UNIDADE ÚNICA │CYBERCRIME » pela ação direta de atacantes que, após invadirem o computador, incluem arquivos contendo códigos maliciosos; » pela execução de arquivos previamente infectados, existentes em anexos de mensagens eletrônicas, via mídias removíveis, em páginas web ou diretamente de outros computadores (por meio do compartilhamento de recursos).Os motivos que levam ao ataque por meio de códigos maliciosos podem variar, mas geralmente o criminoso digital busca vantagem financeira, obtenção de dados e acesso a conteúdos confidenciais, além de muitas vezes desejar destacar-se entre os seus colegas de ataques cibernéticos, por desafio ou simplesmente por vandalismo. Principais tipos de códigos maliciosos Os principais tipos de malwares são: o vírus, o worm, o bot, o spyware, o backdoor, o cavalo de troia, e o rootkit. Vírus O vírus é um programa ou parte de um programa que tem como característica principal ficar hospedado em um sistema e, quando executado, se propagar, infectando outros arquivos e programas, isto é, inserindo cópias de si mesmo em outros arquivos e programas. Nem sempre os vírus executam ações que são percebidas pelos usuários do computador infectado. Há vírus que ficam hospedados e ativos sem que o usuário perceba e, dessa forma, vão se proliferando e executando diversas ações. Por outro lado, existem vírus que ficam incubados e inativos durante um tempo, aguardando uma data ou uma ocasião específica para deflagrar sua ativação e o usuário ser vítima dos efeitos. Esses vírus são denominados bomba relógio (time bomb). O modo de propagação dos vírus pode ocorrer de diversas formas, sendo os mais comuns por meio de mídias removíveis, como os pen-drives, e por meio de e-mails. O vírus propagado por e-mail fica em um arquivo anexado em uma mensagem de correio eletrônico. Ele entra em ação quando o arquivo é executado pelo usuário, infectando arquivos e/ou programas e enviando por e-mail cópias de si mesmo para a lista de contatos do usuário. Também por e-mail é possível a ação dos chamados vírus de script. Ele, não é propagado apenas nos anexos às mensagens de correio eletrônico, mas também pode fazer parte 39 CYBERCRIME│ UNIDADE ÚNICA do próprio corpo do e-mail em formato HTML e, dependendo da configuração do programa leitor de e-mail, ser executado automaticamente. Analogamente, o vírus de script, que leva esse nome, por ser escrito em linguagem de script, (JavaScript, por exemplo), pode ser recebido ao acessar uma página da web e ser automaticamente executado, dependendo da configuração do navegador que o usuário utiliza. Outro vírus bastante comum é o vírus de macro. Uma macro é um conjunto de comandos utilizados por alguns aplicativos (editores de textos, planilhas eletrônicas, apresentação, edição de imagem, etc.) para executar tarefas repetitivas. O vírus de macro é um programa ou parte de um programa escrito na mesma linguagem e tenta infectar os softwares que utilizam macros. Com a popularização dos celulares, os principais sistemas operacionais voltados às tecnologias móveis também têm sido vítimas de códigos maliciosos. A propagação do vírus de telefone celular se dá por meio da tecnologia bluetooth ou de mensagens MMS (Multimedia Message Service). A infecção ocorre quando um usuário permite o recebimento de um arquivo infectado e o executa. Após infectar o celular, o vírus pode se manifestar de diversas formas, inclusive por problemas técnicos no aparelho. Ele pode destruir ou sobrescrever arquivos, remover ou transmitir contatos da agenda, efetuar ligações telefônicas e drenar a carga da bateria. Além disso, o telefone celular infectado comumente apresenta propagandas não solicitadas, redirecionamento automático para páginas web duvidosas, aparição de ícones estranhos, lentidão e excesso de uso da conexão de dados. Worm O worm, ou verme, é um tipo de malware que se propaga pelas redes, replicando-se automaticamente de computador para computador. Diferentemente dos vírus, esse código malicioso não precisa, necessariamente, da ação direta de usuários para enviar cópias de si mesmo. Para se instalar em um computador alvo, além da possibilidade de sua autoexecução, o worm geralmente tira proveito da vulnerabilidade ou falha de programas. Após o computador alvo ser infectado ele também se torna um computador originador de ataques. O worm comumente consome muitos recursos, degradando o desempenho de redes e de computadores, devido à propagação de grande quantidade de suas cópias. E, da mesma forma que os vírus, pode levar à propagação de códigos maliciosos por e-mail e redes sociais, usando a lista de contatos da vítima. 40 UNIDADE ÚNICA │CYBERCRIME Em 2013, o Brasil estava entre os três países mais afetados por um worm propagado via Skype. Depois de instalado e assumindo total acesso aos recursos do programa, o worm solicitava ao usuário permissão para usar o Skype. Uma vez infectado, o computador podia ser controlado por cibercriminosos, baixando outros códigos maliciosos com função de enviar spam, realizar ataques de negação de serviço etc. Bot e botnet O bot é um programa que dispõe de mecanismos de comunicação que permitem que ele seja controlado remotamente. Assim, o cibercriminoso que faz uso desse tipo de código, pode se comunicar com o bot, via canais de IRC (Internet Relay Chat), redes P2P (Peer-to-peer), servidores web etc., para furtar dados, enviar spam, propagar malwares, inclusive o próprio bot, sem o conhecimento do usuário e enquanto o computador estiver infectado. O mecanismo de propagação desse malware é análogo ao do worm, uma vez que utiliza as falhas e vulnerabilidades de softwares instalados em computadores para se replicar automaticamente. O botnet é a rede de vários computadores infectados por um bot. Os computadores infectados são denominados zumbis e quanto mais zumbis fizerem parte do botnet, maior poderá ser a ação de quem controla o bot. Spyware Spyware é o nome dado aos programas de computador que são responsáveis por monitorar as atividades de um sistema para coletar informações e enviá-las a terceiros. Embora seja mais comum o uso desses programas de forma deturpada ou maliciosa, os spywares podem ser usados de forma legítima, se instalados com o conhecimento e o consentimento do usuário em seu computador e dependendo das informações monitoradas, das ações realizadas e do uso das informações por quem as recebe. Quando usados de forma maliciosa, são programas espiões que podem comprometer a privacidade do usuário e a segurança do computador. Os principais tipos de spywares são: » Keylogger: termo em inglês que significa “registrador de teclado”, trata- se de programa capaz de capturar e armazenar as teclas digitadas pelo usuário do computador onde está instalado. Seu uso mal-intencionado quase sempre visa à coleta de informações importantes dos usuários para serem usadas pelos cibercriminosos. 41 CYBERCRIME│ UNIDADE ÚNICA » Screenlogger: mais avançado que o keylogger, permite armazenar a posição do cursor e a tela apresentada no monitor nos momentos em que o usuário executa um clique com o mouse ou a região que circunda o cursor do mouse quando ele é clicado. Muito utilizado por cibercriminosos para capturar senhas em teclados virtuais utilizados, por exemplo, em sites de Internet Banking. » Adware ou Advertising Software: são softwares desenvolvidos para apresentar propagandas. São classificados como spywares quando usados de forma maliciosa, monitorando a navegação dos usuários, especialmente sem seu consentimento, para direcionar determinadas propagandas. Tem sido usado, entretanto, de forma legítima sendo incorporado por programas livres com intuito de patrocinar seus desenvolvedores ou prestadores de serviços gratuitos. » Scarewares: geralmente tem o objetivo de causar medo ou ansiedade aos usuários tentando convencê-los a executar alguma ação, como acessar alguma página web ou baixar algum aplicativo. Muitas vezes pode ser classificado como um Adware, tendo como objetivo a aquisição comercial de algum produto. Uma ação maliciosa muito comum que usa o scareware é o bombardeio de avisos ao usuário de que seu computador está infectado, sugerindo que sejam baixados programas falsos de antivirus ou antispyware específicos para que o computador seja “vacinado”.Backdoor O backdoor é um programa cuja instalação deixa o computador vulnerável a invasões de criminosos digitais. Usualmente, esse tipo de malware é incluído pela ação de outros códigos maliciosos, visando o acesso futuro do cibercriminoso ao computador afetado, de forma remota, sem a necessidade dos procedimentos usados para a invasão ou infecção e com o intuito de não ser notado pela vítima. Cavalo de troia Cavalo de troia, também conhecido como trojan ou trojan horse, é a denominação de um programa cuja principal característica é apresentar-se como desejável, por exemplo, na forma de cartões virtuais, álbuns de fotografias e protetores de tela. No entanto, além de realizar as funções relativas a esses programas, também executa códigos maliciosos. Outra característica importante é que o cavalo de troia não se reproduz infectando outros arquivos e nem se autorreplica, sendo necessário, portanto, que ele seja diretamente executado pelo usuário do computador para ser instalado. 42 UNIDADE ÚNICA │CYBERCRIME Existem diferentes tipos de trojans que podem executar funções maliciosas, tais como: instalação de spywares, ferramentas de negação de serviços, furtos de senhas e de número de cartões de crédito, inclusão de backdoors, envio de spams, redirecionamento de navegação para sites específicos etc. Rootkit O rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou outro código malicioso em um computador infectado. Sendo assim, o rootkit não é usado por um cibercriminoso para obter o acesso privilegiado a um computador, mas para ajudá-lo a manter o acesso obtido por outros meios. Figura 8. Comparação entre os principais tipos de malwares. Fonte: <http://cartilha.cert.br/>. Acessado em: 30 jul. 2014. 43 CYBERCRIME│ UNIDADE ÚNICA Conceitos básicos de prevenção Os ataques por códigos maliciosos tomaram uma proporção tão grande que ameaçam até mesmo os hábitos simples de uso da web, como a leitura de e-mails, a navegação por páginas e a participação em redes sociais. O principal meio para se defender dos malwares são os antimalwares, que podem ser os antivirus, antispyware, antirootkit etc. Os antimalwares são programas que executam a varredura em arquivos do computador ou monitoram algumas ações em busca de indícios de atividades maliciosas. Entretanto, frequentemente, há surgimento de novas variações de códigos maliciosos sempre procurando passar despercebido pelos antimalwares. Por isso, é preciso destacar que o comportamento do usuário, ao realizar suas atividades na internet e na manutenção de seu computador, dos softwares nele instalados e dos mecanismos de segurança, é crucial para evitar ser vítima dos cibercriminosos. A Cartilha para Segurança na Internet da CERT.br, apresenta diversos mecanismos de segurança para que o usuário se mantenha longe dos ataques. Muitas delas são hábitos simples, que as pessoas usam em seu dia a dia para escapar, por exemplo, de golpes de engenharia social, mas que também deveriam usar no meio digital: » solicitar e permitir que uma entidade (pessoa, empresa ou programa de computador) se identifique; » verificar a veracidade da identificação da entidade; » determinar quais ações a entidade pode executar; » manter a integridade e a confidencialidade das informações e recursos. Outro hábito é manter sempre seu computador seguro, realizando as seguintes ações, como: » manter o sistema operacional e os demais programas sempre atualizados; » instalar e manter atualizado bons programas de antivírus e antispywares. É importante também permitir que o antivírus realize rotineiramente varreduras completas nos discos usados pelo computador; » manter ativo e bem configurado o firewall de seu sistema operacional, ou outro firewall instalado; 44 UNIDADE ÚNICA │CYBERCRIME » navegar com segurança pela internet, tomando medidas como não clicar em links suspeitos ou de sites desconhecidos, realizar logout quando terminar de usar uma página web, verifi car a procedência dos sites antes de se cadastrar etc.; » ser cuidadoso no uso dos sites de Internet Banking. Algumas medidas básicas são: › verifi car a procedência dos modos de seguranças de sites bancários que irá instalar; › seguir as instruções de segurança presentes no site do banco; › só utilizar computadores confi áveis para logar os sites bancários, isto é, não usar, em hipótese alguma, computadores públicos ou desconhecidos ou redes wi-fi públicas para esse fi m; › digitar sempre manualmente a URL do banco no navegador; e › nunca abrir arquivos ou clicar em links enviados por e-mail dizendo ser do banco. » ter cuidado com os downloads, e-mails recebidos, informações divulgadas, senhas etc. O lixo eletrônico do seu servidor de e-mail anda lotado? Você recebe mensagens de e-mail não solicitados de pessoas desconhecidas? Você diariamente apaga mensagens de propagandas de sua caixa de entrada? Difi cilmente os usuários de correio eletrônico respondem “não” a uma dessas perguntas, quanto mais para todas elas. Sendo assim, a maioria dos usuários de e-mail tem uma noção, conscientemente ou não, do que é um SPAM. SPAM são mensagens eletrônicas enviadas, geralmente, para várias pessoas e que recebemos sem o nosso consentimento. O SPAM não é um malware, mas é uma prática ruim e também pode ser usado para disseminar malwares. E você sabe o que são spam zombies? Spam zombies são computadores de usuários fi nais que foram comprometidos por códigos maliciosos em geral, como worms, bots, vírus e cavalos de troia. Esses códigos maliciosos, uma vez instalados, permitem que spammers utilizem 45 CYBERCRIME│ UNIDADE ÚNICA a máquina para o envio de spam, sem o conhecimento do usuário. Enquanto utilizam máquinas comprometidas para executar suas atividades, dificultam a identificação da origem do spam e dos autores também. Os spam zombies são muito explorados pelos spammers, por proporcionar o anonimato que tanto os protege. Para saber mais sobre SPAM, acesse o site Antispam.br <http://www.antispam. br/>. O site é mantido pelo Comitê Gestor da Internet no Brasil (CGI.br) a fim de informar o usuário e o administrador de redes sobre o spam, suas implicações e formas de proteção e combate. 46 CAPÍTULO 6 Crimes sexuais através da Internet O abuso de crianças não é pornografi a. Uma imagem sexual de uma criança é “abuso” ou “exploração” e nunca deve ser descrita como “pornografi a”. Pornografi a é um termo usado para os adultos envolvidos em atos sexuais consensuais distribuídos (normalmente) legalmente para o público em geral para satisfazer o seu prazer sexual. Imagens de abuso de crianças não são. Elas envolvem crianças que não podem e não consentem e que são vítimas de um crime. As imagens de abuso infantil são provas documentadas de um crime em andamento – uma criança sendo abusada sexualmente. Crime grave, defi nição séria. Adultos que fi cam sexualmente excitados por essas imagens de abuso de crianças não se importam se a criança está sendo abusada ou nem mesmo acreditam que este seja o caso. Referir-se a essas imagens como “pornô de crianças”, “pornô infantil”, ou termos similares, lhes permite pensar que, de alguma forma, esse fato seria aceitável e legítimo, assim como outros tipos de pornografi a. Os adultos que veem essas imagens também possuem e trocam esse material para alimentar seus desejos sexuais para com as crianças e isso pode resultar em uma ofensa a uma criança que eles entram em contato. Os termos “pornô de crianças” e “pornô infantil” são usados por criminosos e não devem ser utilizados como uma linguagem legítima pela polícia, judiciário, público ou mídia. (...). Tais defi nições e nomes refl etem uma época onde não se tinha o entendimento completo do impacto do abuso sexual e está, aos poucos, mudando à medida que a legislação vai sendo revisada e as vítimas tendo mais direitos e recebendo
Compartilhar