Baixe o app para aproveitar ainda mais
Prévia do material em texto
DIREITO E NOVAS TECNOLOGIAS AULA 2 Prof. Helio Augusto Camargo de Abreu CONVERSA INICIAL Nesta aula, trataremos sobre infraestrutura de chaves públicas brasileira, o ICP-Brasil, e sobre a criação de Delegacias Especializadas em Crimes Cibernéticos (DECC). No estudo da ICP-Brasil, abordaremos sua infraestrutura hierárquica e seus principais conceitos de acordo com a instituição da MP n. 2.200-2. Na criação de Delegacias Especializadas e Crimes Cibernéticos, explanaremos o que tipificam as condutas no uso de sistemas eletrônicos, digitais e similares, que regulamentam a prevenção de delitos em rede de computadores nos meios de comunicação, prevendo os crimes e suas punições. TEMA 1 – COMO FUNCIONA A ICP-BRASIL A Medida Provisória n. 2.200-2, de 24 de agosto de 2001, deu início à implantação do Sistema Nacional de Certificação Digital da ICP-Brasil, portanto o Brasil possui uma infraestrutura pública, mantida e auditada por um órgão público, o Instituto Nacional de Tecnologia da Informação (ITI), autoridade máxima do segmento e que tem o papel de credenciar, descredenciar, supervisionar e fazer auditorias. Segue regras de funcionamento estabelecidos pelo comitê gestor da ICP-Brasil que possui como membros representantes dos poderes públicos, sociedade civil organizada e pesquisa acadêmica. O ICP-Brasil é a infraestrutura de chaves públicas brasileira, também conhecida no meio informático como PKI (Public Key Infrastructure). A cadeia hierárquica da ICP está demonstrada na figura a seguir: Figura 1 – Cadeia hierárquica da ICP 3 Explanaremos a definição da hierarquia, de acordo com as regulamentações do ICP-Brasil. 1.1 Autoridade Certificadora Raiz A AC-Raiz é a primeira autoridade da cadeia de certificação. É ela quem executa as políticas de certificados e as normas técnicas e operacionais aprovadas pelo comitê Gestor da ICP-Brasil. Compete à AC-Raiz emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao seu. 1.2 AC – Autoridade Certificadora As ACs são entidades públicas ou pessoas jurídicas de direito privado credenciadas à AC-Raiz e que emitem certificados digitais vinculando pares de chaves criptográficas ao respectivo titular nos termos do art. 8 da MP n. 2.200/01. Art. 8º Às AC, entidades autorizadas a emitir certificados digitais vinculando pares de chaves criptográficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários lista de certificados revogados e outras informações pertinentes e manter registro de suas operações. As Autoridades Certificadoras podem emitir certificados digitais para outras ACs, conhecidas como Autoridades Certificadoras de primeiro nível. As ACs que recebem os certificados de outras ACs são conhecidas como Autoridades Certificadoras de segundo nível. Alguns exemplos de AC Nível 1: Serpro, Caixa Econômica Federal, Serasa Experian, Receita Federal do Brasil, Certisign e outros. Vale observar que a Lei não impede que entidades não vinculadas à ICP-Brasil estabeleçam suas próprias ACs, emitindo certificados próprios, que sigam suas diretrizes de segurança e propósitos de uso específico. Também é importante verificar a confiabilidade do certificado adquirido. Para isso, deve-se analisar se a AC pertence à ICP-Brasil. 1.3 AR – Autoridade de Registro As ARs também podem ser tanto entidades públicas quanto pessoas jurídicas de direito privado credenciadas pela AC-Raiz e sempre serão 4 vinculadas operacionalmente a determinada AC. As ARs são as que fazem a interface entre o usuário e a Autoridade Certificadora. Art. 7º Às AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usuários na presença destes encaminhar solicitações de certificados às AC e manter registros de suas operações (Brasil, 2001). TEMA 2 – CERTIFICADO DIGITAL 2.1 Certificado digital O certificado digital é disponibilizado como um produto e não um serviço. Ele é considerado um produto intangível por ser digital. Não se trata de um software que pode ser vendido em caixinha. No procedimento de emissão, são verificadas características pessoais de cada pessoa que adquire o certificado. O certificado digital funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, uma Autoridade Certificadora (AC), que, seguindo regras estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas. 2.2 Assinatura digital Trata-se de um mecanismo que identifica o remetente de determinada mensagem eletrônica. Na ICP-Brasil, a assinatura digital possui autenticidade, integridade, confidencialidade e o não repúdio. Seu autor não poderá, por forças tecnológicas e legais, negar que seja responsável pelo seu conteúdo. A assinatura digital fica vinculada ao documento eletrônico. Caso seja feita qualquer alteração no documento, a assinatura se torna inválida. A técnica permite não só verificar a autoria do documento como estabelecer a “imutabilidade lógica” de seu conteúdo. Qualquer alteração no documento pode invalidar a assinatura. 2.3 Suspensão e revogação de certificado De acordo com o ICP-Brasil, um certificado de AC de nível imediatamente subsequente ao da AC Raiz pode ser revogado a qualquer instante, por 5 solicitação da própria AC titular do certificado ou por decisão motivada da AC Raiz, resguardados os princípios do contraditório e da ampla defesa. Um certificado deve obrigatoriamente ser revogado: a. Quando constatada emissão imprópria ou defeituosa dele; b. Quando for necessária a alteração de qualquer informação constante deste; c. O caso de dissolução da AC titular do certificado; ou d. No caso de comprometimento da chave privada da AC ou da sua mídia armazenadora. As principais informações contidas em um Certificado Digital são: chave pública do titular, nome, endereço de e-mail, nome da autoridade certificadora, número de série do certificado digital, assinatura digital da AC, período de validade do certificado. TEMA 3 – A RELAÇÃO ENTRE A CERTIFICAÇÃO DIGITAL E A CRIPTOGRAFIA O certificado digital vincula pares de chaves criptográficas ao respectivo titular. Para entendermos o que é criptografia, temos que percorrer sua história que se iniciou na Grécia, com a combinação de dois radicais: kryptos (escondido) e grafo (escrita). A criptografia é utilizada há muito tempo desde gerações passadas. A principal razão para usar a criptografia é que ela é vista como um meio seguro para manter a informação confidencial. No uso de um sistema de criptografia, tanto o remetente quanto o destinatário devem usar o mesmo algoritmo acordado. Existem três tipos de algoritmos criptográficos, que veremos a seguir. 3.1 Criptografia simétrica Esse sistema possui um algoritmo e uma chave em que o remetente compartilha com o destinatário. A capacidade de ambos manterem em segredo a chave secreta determina a força do sistema. Exemplo: a chave pública é letra (X)+5, portanto a letra A criptografada fica como F. 3.2 Criptografia assimétrica Este método de criptografia utiliza um par de chaves: 6 a. Chave pública – Distribuída livremente para todos os correspondentes via e-mail etc. b. Chave privada – Deve ser conhecida apenas pelo seu dono. Antes de transmitir a mensagem, ela é cifrada com a chave pública do remetente (emissor) para garantir a autenticidade do documento. Após a mensagem ser cifrada com a chave pública, só pode ser decifrada pela sua chave privada correspondente,e é utilizada para garantir a integridade e a confidencialidade. 3.3 Criptografia de mão única Conhecida também como função por partes (hash), pode ser comparada a uma mistura de tintas, porque depois que duas cores são misturadas, elas formam outra cor e não podem se separar novamente. Esse tipo de algoritmo é usado para determinar se um dado foi alterado. A mensagem é convertida em valor numérico e, utilizando um algoritmo, o destinatário pode verificar se a mensagem tem uma parte correta do valor, e caso a combinação das partes estiverem corretas, a mensagem pode ser recuperada e validada. TEMA 4 – CRIAÇÃO DE DELEGACIAS ESPECIALIZADAS EM CRIMES CIBERNÉTICOS Com a instituição da criação da Delegacia Especializada em Crimes Cibernéticos que foi determinada pela Lei n. 12.735/12, o país dispõe de recursos para registro de Boletim de Ocorrência para crimes que ocorrem no mundo digital e nos meios de comunicação. Ressaltamos que a Lei n. 12.735/12 altera o Decreto-Lei n. 2.848, de 7 de dezembro de 1940 (Código Penal), o Decreto-Lei n. 1.001, de 21 de outubro de 1969 (Código Penal Militar), e a Lei n. 7.716, de 5 de janeiro de 1989. Embora a Lei preveja alcance para todo território nacional, não são todos os estados que já dispõem de uma DECC. Os que já contam com esse suporte são: Bahia, Espírito Santo, Maranhão, Mato Grosso, Minas Gerais, Pará, Paraná, Pernambuco, Piauí, Rio Grande do Sul, São Paulo (1), São Paulo (2), Sergipe, Rio de Janeiro, Tocantins e Distrito Federal. 7 TEMA 5 – TIPIFICAÇÃO DE CONDUTA EM CRIMES INFORMÁTICOS As tipificações são determinadas pelos órgãos da polícia judiciária, por meio de equipes especializadas no combate aos mais diversos delitos praticados contra sistemas informatizados e similares. A Lei n. 12.737/12 trata de assunto sobre a tipificação de crimes e delitos informáticos. Ela acrescenta em seu art. 2º dois artigos ao Decreto-Lei n. 2.848, de 7 de dezembro de 1940 – Código Penal. Trata-se dos arts. 154-A e 154-B. Essa Lei também é chamada de Lei Carolina Dieckmann, nome escolhido por ter a atriz sido vítima de apropriação e divulgação não autorizada de fotos da sua intimidade. Acontece que o técnico que recebeu o computador da atriz tentou suborná-la solicitando vantagem financeira em troca da não divulgação das imagens, fato que deu origem à criação da Lei, procurando penalizar atos ilícitos praticados quando da invasão e uso de dispositivos informáticos alheios. Um crime cibernético é caracterizado por invasão de computadores, com o objetivo de se apropriar de forma criminosa e sem autorização, de senhas, violação de dados, obtenção e divulgação de informações sigilosas. Vamos à letra da Lei para melhor compreendermos esse assunto. Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa. § 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. § 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. § 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. § 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. § 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra: I - Presidente da República, governadores e prefeitos; II - Presidente do Supremo Tribunal Federal; III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou 8 IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.” “Ação penal Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.” Art. 3º Os arts. 266 e 298 do Decreto-Lei n. 2.848, de 7 de dezembro de 1940 - Código Penal, passam a vigorar com a seguinte redação: “Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública Art. 266.. ....................................................................... § 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento. § 2º Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.” (NR) “Falsificação de documento particular Art. 298.. ....................................................................... Falsificação de cartão Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito. (NR) (Brasil, 2012) Os dados atuais sobre a atuação da Delegacia Especializada em Crimes Cibernéticos apresentam números alarmantes, conforme o quadro abaixo: Quadro 1 – Atuação da Delegacia Especializada em Crimes Cibernéticos Itens Números Denúncias 133.732 Páginas 49.302 Páginas removidas 3.081 Idiomas 9 Países atribuídos 69 Continentes 6 TLD ** 166 ** Todo domínio na internet consiste em alguns nomes separados por pontos, e o último desses nomes é o domínio de topo, ou o TLD (Exemplo: <www.xxx.com>, <www.xxx.org>). Essas informações são referentes ao ano de 2018, deixando o Brasil em 5º lugar no ranking de países com maior número de ataques crimes cibernéticos, conforme informações da Associação SaferNet Brasil, a qual controla a Central Nacional de Denúncias. Crimes contra os direitos humanos e fraudes bancárias apresentaram destaque nos números. De acordo com Tozzeto (2010), a Federação Brasileira de Bancos (Febraban) divulgou que bancos brasileiros perderam R$ 1,8 bilhão 9 só em 2015. Crimes desta natureza ocorrem desde o roubo de senhas, ataques de phishing scam, e “kits boletos” que é exclusividade do Brasil. Podemos reconhecer ataques cibernéticos nas suas mais variadas formas. Conhecemos a definição desses tipos de crimes que são praticados nos meios informáticos. Alguns deles não chegam a ser especializados, visto que ferramentas e kits prontos para ataques podem ser adquiridos na web. Dessa forma, entendemos que as vítimas são pessoas que conhecem pouco sobre segurança da informação, tornando-se alvos fáceis dos criminosos. Destacamos ainda outros tipos de crimes cibernéticos: pornografia infantil, violação de direitos autorais, racismo, ciberterrorismo etc. NA PRÁTICA A criação de mecanismos de proteção de dados traz segurança jurídica aos usuários que precisam ter seus dados protegidos e a criação das delegacias de crimes cibernéticos regionais atende a uma necessidade de se conhecer melhor os crimes virtuais, oferecendo serviços de profissionais especializados em novas tecnologias para os cidadãos. FINALIZANDO Nesta aula, fizemos a explanação sobre a instituição da Infraestrutura de Chaves Públicas Brasileira, definida por meio de medida provisória. Destacamos os principais conceitos para o entendimento de comoé composta a infraestrutura e como é aplicada no Brasil. Foi possível entender sua importância para as transações digitais, visto a necessidade de se garantir a autenticidade, integridade e confidencialidade destas. Também abordamos o assunto sobre a criação das Delegacias Especializadas em Crimes Cibernéticos. 10 REFERÊNCIAS BRASIL. Lei n. 12.737, de 30 de novembro de 2012. Diário Oficial da União, Poder Legislativo, Brasília, DF, 3 dez. 2012. _____. Medida Provisória n. 2.200, de 27 de julho de 2001. Diário Oficial da União, Poder Legislativo, Brasília, DF, 28 jul. 2001. TOZETTO, C. Cibercrime faz bancos perderem R$ 1,8 bilhão. O Estado de S. Paulo, 21 dez. 2015.
Compartilhar