AO INTERNACIONAL NO COMBATE AO CIBERCRIME E SUA INFLUNCIA
NO ORDENAMENTO JURDICO BRASILEIRO
Dissertao apresentada no Programa de Ps-Graduao Stricto Sensu de Mestrado em Direito Internacional Econmico da Universidade Catlica de Braslia, como requisito parcial para obteno do Ttulo de Mestre em Direito.
Orientadora: Professora Doutora Arinda Fernandes
Braslia DF 2012
Dedico esta obra Letcia, alegria de nossas vidas, desejoso de estar cimentando um pequeno tijolo na construo de um futuro melhor.
AGRADECIMENTO
Agradeo a todos que contriburam, em maior ou menor medida, para o sucesso nesta caminhada, principalmente a meus pais que ofereceram a melhor educao ao seu alcance, sendo que o encerramento deste trabalho coroa toda dedicao que tiveram. Obrigado ao meu pai pelo exemplo, sempre presente, de se continuar trilhando pelas sendas que resolvemos abrir, jamais desistindo. Agradeo minha amada esposa pelo carinho, pacincia em face das ausncias e incentivos dados. Agradeo, especialmente, dileta professora Arinda Fernandes que mais do que orientadora, foi inspirao para escolha do tema e continua sendo incentivadora para minha continuidade na vida acadmica. Rendo minhas homenagens, por fim, a todos os professores, mormente Arnaldo Godoy, Joo Rezende, Leila Bijus, Manoel Moacir e Moura Borges que apoiaram esta rdua tarefa, ao menos para mim, talvez pela profisso de magistrado, pois tive de me despir, muitas vezes, do tecnicismo, das amarras da dogmtica jurdica, para abrir a mente ao pensamento cientfico e perceber que: para bem conhecermos o Direito, devemos deix-lo de lado por algum tempo e enveredar por outras reas do conhecimento! Filho de mecnico, neto de gari, s tenho a agradecer vida e me orgulhar de onde venho e por onde sigo andando...
RESUMO
Referncia: SILVA, Marcelo Mesquita. Ao internacional no combate ao cibercrime e sua influncia no ordenamento jurdico brasileiro. 2012. 109 p. Dissertao de Mestrado em Direito Internacional Econmico da Universidade Catlica de Braslia, Braslia, 2012.
O presente trabalho visa apresentar o principal mecanismo internacional de combate ao cibercrime, a Conveno de Budapeste, e analisar seu reflexo no ordenamento jurdico interno brasileiro. Diante dos fenmenos da Internet e da globalizao, busca demonstrar a escalada da criminalidade atravs da rede e evidenciar que o cometimento de ilcitos, sem a necessidade da presena fsica do agente, dificulta, ou mesmo, afasta a possibilidade de uma persecuo penal. Diante da mitigao de conceitos tradicionais, como jurisdio e soberania, procura demonstrar a necessidade de incremento da cooperao jurdica entre os Estados para prevenir e reprimir o cibercrime. Discorre, ainda, sobre aspectos da Segurana da Informao, apresentando os pilares para uma comunicao segura, e necessrios para uma correta tipificao legal das diferentes espcies de cibercrimes. Aborda a Conveno de Budapeste, detalhando suas principais caractersticas e seu uso como paradigma para a formulao de uma legislao interna, que se coadune com os anseios da comunidade internacional e propicie a cooperao jurdica.
Palavras-chave: Direito internacional. Globalizao. Segurana da Informao. Cibercrime. Conveno de Budapeste.
ABSTRACT
The present paper presents the main international mechanism to combat cybercrime, the Budapest Convention, and analyze its reflection in the Brazilian domestic law. In view of the phenomena of the Internet and globalization, seeks to demonstrate the escalation of crime across the network and show that the commission of offenses, without the physical presence of the agent, difficult, or even preclude the possibility of a criminal prosecution. Given the mitigation of traditional concepts such as jurisdiction and sovereignty, seeks to demonstrate the need to increase legal cooperation between States to prevent and prosecute cybercrime. It talks also about aspects of information security, providing the foundation for secure communication and necessary for proper statutory classification of the different species of cybercrime. Covers the Budapest Convention, detailing its key features and their use as a paradigm for the formulation of domestic legislation that is consistent with the desires of the international community and allow legal cooperation.
Keywords: International law. Globalization. Information Security. Cybercrime. Budapest Convention.
SUMRIO INTRODUO ............................................................................................................ 8 CAPTULO 1 A INTERNET E A GLOBALIZAO ............................................... 10 1.1 A INTERNET .................................................................................................... 10 1.1.1 O trfego de informaes ....................................................................... 12 1.1.2 O microprocessamento .......................................................................... 15 1.2. A GLOBALIZAO ......................................................................................... 16 1.2.1 O mundo digital e a convergncia ......................................................... 19 1.2.2 Reflexos da convergncia digital na esfera do direito ........................ 21 CAPTULO 2 - OS CIBERCRIMES ........................................................................... 22 2.1 CONCEITO E CATEGORIAS DOS CIBERCRIMES ........................................................ 22 2.2 CARACTERSTICAS DOS CIBERCRIMES E O PERFIL DO CIBERCRIMINOSO ................... 26 2.3 EVOLUO DO CIBERCRIME ................................................................................. 28 2.4 DIFICULDADES NA REPRESSO AO CIBERCRIME ..................................................... 34 CAPTULO 3 A TECNOLOGIA DA INFORMAAO E A SEARA DA SEGURANA DA INFORMAO ........................................................................... 37 3.1 PILARES DA COMUNICAO SEGURA ..................................................................... 38 3.2 DA CRIPTOLOGIA ASSINATURA DIGITAL ............................................................... 41 3.2.1 Tcnicas clssicas de criptografia ........................................................ 42 3.2.2 Tcnicas de substituio ........................................................................ 44 3.2.3 Tcnicas de transposio ...................................................................... 46 3.2.5 Criptografia simtrica ............................................................................. 49 3.2.6 Criptografia assimtrica ......................................................................... 57 3.2.7 Resumo de mensagem (nmero de hash) ............................................ 61 3.2.8 Assinatura digital .................................................................................... 64 3.3 ASPECTOS LEGAIS SOBRE A CERTIFICAO DIGITAL E A ICP-BRASIL ..................... 67 3.4 SEGURANA DA INFORMAO .............................................................................. 70 3.4.1 Polticas e prticas de segurana .......................................................... 71 3.4.2 Implementao de um sistema de segurana da informao ............ 73 CAPTULO 4 AO INTERNACIONAL NO COMBATE AO CIBERCRIME ........ 76 O COMBATE AO CIBERCRIME BASTANTE INCIPIENTE NO BRASIL, SENDO IMPORTANTE DESTACAR AS PRINCIPAIS SOLUES ADOTADAS PELA COMUNIDADE INTERNACIONAL E A POSSIBILIDADE DE INTERNALIZAO DE TAIS EXPERINCIAS. ....................................... 76 4.1 MEDIDAS ADOTADAS CONTRA O CIBERCRIME ......................................................... 76 4.2 A CONVENO DE BUDAPESTE SOBRE O CIBERCRIME ........................................... 78 CAPTULO 5 COOPERAO JURDICA INTERNACIONAL PARA O COMBATE AO CIBERCRIME ..................................................................................................... 81 5.1 DEFINIO, CLASSIFICAO E NATUREZA DA COOPERAO JURDICA INTERNACIONAL ............................................................................................................................... 84 5.2 A COOPERAO JURDICA INTERNACIONAL E O BRASIL ........................................... 87 5.3 DIFICULDADES ENFRENTADAS NA COOPERAO JURDICA INTERNACIONAL .............. 90 CAPTULO 6 PROPOSTAS LEGISLATIVAS BRASILEIRAS PARA O COMBATE AO CIBERCRIME ..................................................................................................... 94 6.1 PROJETO DE LEI SUBSTITUTIVO DO SENADOR EDUARDO AZEREDO ........................ 95 6.3 NECESSIDADE DE HARMONIZAO DA LEGISLAO NACIONAL COM AS DIRETRIZES DA CONVENO DE BUDAPESTE ................................................................................... 100 CONCLUSO ......................................................................................................... 103 REFERNCIAS BIBLIOGRFICAS ....................................................................... 105
! 8! INTRODUO
A investigao cientfica parte de um questionamento, de um problema terico ou prtico que ir nortear as observaes e as etapas de pesquisa, como bem assevera Macdo 1 . O presente trabalho, portanto, traz o seguinte problema cientfico: Qual o principal mecanismo internacional de combate ao cibercrime e o seu reflexo no ordenamento jurdico interno brasileiro? Trata-se, pois, de estudo exploratrio que busca conceituar as inter-relaes observadas entre duas esferas de atuao, a comunidade internacional e o poder pblico nacional, em face de um problema comum a todos, o cibercrime. O trabalho tem como objetivos: apontar os fenmenos que alavancam o cibercrime, a Internet e a Globalizao; discorrer sobre aspectos da Segurana da Informao, apresentando os pilares para uma comunicao segura, e necessrios para uma correta tipificao legal das diferentes espcies de cibercrimes; descrever a ao internacional no combate a tais delitos; estudar a Conveno sobre o Cibercrime e apresentar as iniciativas legislativas brasileiras no combate aos crimes cibernticos, mormente o Projeto de Lei Substitutivo do Senador Eduardo Azeredo. O trabalho procurar, ainda, demonstrar a necessidade de uma legislao interna coadunada com as regras internacionais, e ir abordar a importncia da adeso do Brasil Conveno de Budapeste, de modo a facilitar o combate ao cibercrime e intensificar a cooperao jurdica internacional. A globalizao da economia, das comunicaes, da cultura e do indivduo foi acompanhada pela criminalidade. A tecnologia ao aproximar o ser humano o fez em todas as suas dimenses, seja para o bem, seja para o mal. Tamanha facilidade em delinquir distncia resta evidenciada por seu impacto econmico. Pesquisa realizada pela Symantec aponta para um prejuzo de US$ 388 bilhes, somente no ano de 2011, em 24 pases analisados. Somente no Brasil, no mesmo perodo, as perdas foram de US$ 63,3 bilhes. O combate de uma mazela global no pode se dar de forma isolada, por maiores que sejam os esforos. Se os Estados atuarem como ilhas no tero o instrumental necessrio para fazer frente ao cibercrime, sendo imperiosa a adoo !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 1 MACDO, Manoel Moacir Costa. Metodologia cientfica aplicada. 2. Ed. Braslia: Scala Grfica e Editora, 2009, p. 59. ! 9! de medidas preventivas, repressivas e de cooperao, dentro de um panorama transnacional. Nesta tica, de modo a tornar efetiva tal mister, o Brasil deve se alinhar com as solues delineadas pela comunidade internacional e participar ativamente em atividades de cooperao. O trabalho consiste em estudo exploratrio e possui como principais meios de investigao a pesquisa bibliogrfica, documental, legislativa e jurisprudencial. Sero utilizadas as informaes mais atuais e abalizadas trazidas pela doutrina nacional e estrangeira, de forma a embasar o substrato terico do presente estudo. A dinamicidade do assunto abordado demanda, tambm, grande quantidade de pesquisa na rede mundial de computadores.
! 10! CAPTULO 1 A INTERNET E A GLOBALIZAO
1.1 A INTERNET
! Nenhuma outra tecnologia, ideologia ou ferramenta causou tamanha revoluo cultural, econmica e social como a Internet. Oriunda da Advanced Research Projects Agency Network (ARPANet), surgiu durante a Guerra Fria, em 1969, como forma de descentralizar as informaes sensveis, de modo a preserv- las em caso de ataque nuclear pela extinta Unio Sovitica 2 . Com o passar do tempo foi sendo utilizada para troca de mensagens entre Universidades e, em seguida, agregou diversas outras redes e servios, culminando na grande teia que hoje conhecemos e est presente, direta ou indiretamente, na totalidade dos servios de que nos utilizamos diuturnamente, v.g. operaes bancrias, telefonia, energia eltrica, comunicaes, educao, entre tantos outros. A rede possui o condo de proporcionar oportunidades, antes impensveis, para grande parte das pessoas. Quem nunca teve a chance de ir visitar o museu do Louvre pode faz-lo de maneira virtual, apreciando suas milhares de obras; pessoas podem iniciar relacionamentos afetivos na Internet; uma legio de home brokers pode investir direta e individualmente em aes de empresas de capital aberto; at mesmo consultas mdicas online se tornaram possveis e so realidade em alguns pases. Segundo estudo de 2011 da International Telecommunication Union (ITU), maior organismo mundial sobre telecomunicaes, o mundo hoje conta com 35% da populao mundial j com acesso direto internet, quase o dobro da quantidade de internautas estimada em 2006 3 .
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 2 SIQUEIRA, Ethevaldo. Para compreender o mundo digital. So Paulo: Globo, 2008, p. 127. 3 Disponvel em: <http://www.itu.int/ITU-D/ict/facts/2011/material/ICTFactsFigures2011.pdf>. Acesso em 07/03/2012. ! 11!
Infogrfico 1 Parcela de usurios de internet em relao populao mundial. Fonte: Unio Internacional de Telecomunicaes (UIT)
No Brasil, a grande rede passou a ser acessvel, atravs de provedores comerciais 4 , em 1995, quando uma portaria conjunta dos Ministrios da Comunicao e da Cincia e Tecnologia (Portaria 13, datada de 01/06/1995) criou a figura do provedor de acesso privado. 5
Destarte, atualmente vivemos em uma Aldeia Global, para utilizar a expresso cunhada pelo crtico canadense Marshall McLuhan, onde podemos contatar de maneira quase instantnea qualquer pessoa no planeta atravs de um e- mail, ouvir sua voz, ver sua imagem, pinar toda a sorte de informao, distribuir e compartilhar contedos, acessar servios, comprar livros, equipamentos etc. A grande teia permeia nosso dia a dia, mesmo que no nos sentemos diretamente no computador para us-la, passando quase despercebida. Se fizermos, porm, uma reflexo sobre a cadeia de informaes, negcios e servios 6
que trafegam sob essa infraestrutura, veremos a importncia, o alcance e a dependncia em nossas vidas de tal tecnologia. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 4 Seu primeiro uso, todavia, foi de cunho cientfico e realizado em 1988 pelo Laboratrio Nacional de Computao Cientfica (LNCC) do CNPq, localizado no Rio de Janeiro, que conseguiu acesso Bitnet, por meio de uma conexo de 9.600 bps (bits por segundo) estabelecida com a Universidade de Maryland. Disponvel em: <http://www.rnp.br/newsgen/9806/inter-br.html>. Acesso em 07/03/2012. 5 Cf. VASCONCELOS, Fernando Antnio de. Internet: responsabilidade do provedor pelos danos praticados. Curitiba: Juru, 2003, p. 42. 6 Um exemplo dessa transferncia dada por Thomas L. Friedman, ao dizer que cerca de 400 mil declaraes de imposto de renda de norte-americanos, ainda em 2005, foram feitas por empresas e contadores na ndia, sem que os contribuintes tivessem plena conscincia de tal terceirizao. O referido autor acredita que at 2015, quase a totalidade das declaraes, pelo menos de seus elementos bsicos, sero terceirizadas por contadores para empresas indianas. FRIEDMAN, Thomas L. O mundo plano: uma breve histria do sculo XXI. Rio de Janeiro: Objetiva, 2007, p. 24. The World in 2011 ICT FaCTs and FIgures One third of the worlds population is online 45% of Internet users below the age of 25 Share of Internet users in the total population Not using Internet: 82% Users, developed China:28% India: 6% Other developing countries: 66% Developed
Developing
Users China: 37% Other developing countries: 53% India: 10% Not using Internet: 65%
Developing Developed Total population: 6.5 billion Total population: 7 billion Note: * Estimate Source: ITU World Telecommunication/ICT Indicators database - The world is home to 7 billion people, one third of which are using the Internet. 45% of the worlds Internet users are below the age of 25. - Dver the last ve years, developIng countrIes have Increased theIr share of the world's total number of nternet users from 44 In 2006, to 62 In 2011. Today, nternet users In ChIna represent almost 25 of the worlds total Internet users and 37% of the developing countries Internet users. Internet users by age and by development level, 2011* 77% 71% 30% 23% 36% 34% 23% 29% 70% 77% 64% 66 % 0.0 0.5 1.0 1.5 2.0 2.5 3.0 3.5 4.0 4.5 Under 25 Over 25 Under 25 Over 25 Under 25 Over 25 Developed Developing World Note: * Estimate Source: ITU World Telecommunication/ICT Indicators database 2006 2011* Not using Internet Using Internet B i l l i o n s
o f
p e o p l e Using Internet: 18% Using Internet: 35% - Younger people tend to be more online than older people, in both developed and developing countries. - In developing countries, 30% of those under the age of 25 use the Internet, compared to 2J of those 25 years and older. - At the same tIme, 70 of the under 25year olds a total of 1.9 billion are not online yet: a huge potentIal If developIng countrIes can connect schools and increase school enrolment rates. ! 12! No Brasil, j passamos de 81,3 milhes de internautas, segundo noticiou a F/Nazca Datafolha em abril de 2011 7 , e as compras de bens de consumo feitas via Web atingiram, apenas nos primeiros seis meses do ano de 2011, R$ 8,4 bilhes (vide Infogrfico 2). Isso representa um aumento de 24% sobre o faturamento do primeiro semestre de 2010, de R$ 6,8 bilhes, em negcios B2C 8 , segundo o Relatrio Webshoppers da e-bit 9 . Isso representa cada vez mais nossa insero neste ambiente, sendo que neste ano de 2012 existe a previso de que o Brasil quebrar a barreira dos 100 milhes de internautas, segundo o Ibope 10 .
Infogrfico 2 Evoluo da compra de bens de consumo Fonte: e-bit Informao <http://www.ebitempresa.com.br>
Tais nmeros revelam as possibilidades, a irreversibilidade e o crescimento da Internet. As grandes corporaes, ao realizarem investimentos de bilhes de dlares nesse ambiente virtual, ao trocarem informaes sensveis e ao fazerem transaes comerciais de elevado vulto, evidenciam ser inexorvel seu uso.
1.1.1 O trfego de informaes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 7 Disponvel em: <http://tinyurl.com/3othmf5>. Acesso em 09/01/2012. 8 B2C Business to Consumer, i.e. negcios realizados entre empresas e consumidores finais que se diferencia do B2B Business to Business, referindo-se a transaes efetuadas entre empresas. GUERREIRO, Carolina Dias Tavares. In: FILHO, Valdir de Oliveira Rocha (Coord.). O direito e a Internet. Rio de Janeiro: Forense Universitria, 2002, p. 84. 9 Disponvel em: <http://www.webshoppers.com.br/webshoppers/WebShoppers24.pdf>. Acesso em 07/02/2012. 10 Disponvel em: <http://www.ibope.com.br/calandraWeb/servlet/CalandraRedirect?temp=5&proj= PortalIBOPE&pub=T&db=caldb&comp=IBOPE//NetRatings&docid=0116050742209ADD83257536006 05E31>. Acesso em 07/02/2012.
24 edio 12 Copyright e-bit Todos os Direitos Reservados Apoio: Evoluo do faturamento 1 os semestres (em bilhes) Fonte: e-bit Informao (www.ebitempresa.com.br) Balano do 1 semestre de 2011 Um dos principais acontecimentos nesse primeiro semestre foi, inclusive, o nmero de e-consumidores. No perodo, 4 milhes de consumidores compraram pela primeira vez pelo e-commerce. Com esse nmero, chegamos a 27,4 milhes de e-consumidores que fizeram, ao menos, uma aquisio pela internet at hoje. O nmero de pedidos tambm chamou ateno: 25 milhes em seis meses! R$ 8,4 bi E-Commerce: Satisfao para quem compra! No que depender do e-consumidores, o comrcio eletrnico no deve parar de evoluir. Muito embora questes logsticas tenham afetado o setor no primeiro semestre, os consumidores virtuais continuam seguros e confiantes em realizar compras via web. De acordo com dados levantados pela e-bit, em parceria com o Movimento Internet Segura (MIS), comit da Cmara Brasileira de Comrcio Eletrnico (camara-e.net), em mdia, 86,54% dos consumidores brasileiros ficaram satisfeitos com o comrcio virtual no primeiro semestre. No mesmo perodo do ano passado, esse mesmo ndice foi de 86,0%. ! 13!
Toda rede de computadores consiste de mera infraestrutura fsica por onde podem transitar dados. Assim, embora tenha esse potencial, a rede, de per si, passiva. Segundo Comer:
Na verdade ela no contm estrutura alguma para processar informao. Todo processamento de dados realizado por programas aplicativos. Quando aplicativos usam a rede, eles os fazem em pares o par utiliza a rede meramente para trocar mensagens. 11
Desta forma, o grande dilema no nascedouro de um grande conjunto de redes o que em verdade a Internet foi como conect-las, permitir servios distintos, interligar computadores de marcas diversas, utilizar perifricos 12 dos mais variados. A soluo foi o uso de pacotes de informao organizados de uma maneira uniforme, os chamados protocolos. Estes consistem em verdadeiros envelopes digitais nos quais a informao segue em grupos de tamanho determinado, possuindo no cabealho o endereo de destino. Tal endereamento consiste em um nmero de Internet Protocol (IP), formado por quatro octetos, ou seja, nmeros de 0 a 255, no seguinte formato: nnn.nnn.nnn.nnn, podendo, pois, variar de 0.0.0.0 a 255.255.255.255. O nmero de IP permite que computadores, sites, perifricos, bancos de dados, roteadores etc., recebam um nmero nico e possam ser encontrados na grande nuvem. O IP dividido em prefixo e sufixo, sendo que o primeiro identifica a rede fsica onde o dispositivo est conectado, enquanto o sufixo o identifica, de forma nica, em tal rede. 13
A utilizao de padres, portanto, permitiu a evoluo da Internet. O primeiro protocolo de carter universal, visando um compartilhamento de dados independentemente da natureza dos equipamentos que interliga foi o Transmission Control Protocol/Internet Protocol (TCP-IP), inventado em 1973 por Vinton Cerf e Robert Kahn. 14
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 11 COMER, Douglas E. Redes de Computadores e Internet. 4. ed. Porto Alegre: Bookman, 2007, p. 47. 12 Qualquer equipamento auxiliar (geralmente os de entrada/sada e de armazenamento externo) de um sistema de processamento de dados, que no seja a unidade central de processamento, como, por exemplo, teclado, impressoras, scanner. Cf. SAWAYA, Mrcia Regina. Dicionrio de Informtica & Internet. So Paulo: Nobel, 1999. 13 COMER, op. cit. p. 272. 14 SIQUEIRA, Ethevaldo. Para compreender o mundo digital. So Paulo: Globo, 2008, p. 127. ! 14! Muitos outros protocolos foram criados para finalidades diversas: troca de e- mails, transferncia de arquivos, trfego de udio e vdeo, hipertexto, v.g. Simple Mail Transfer Protocol (SMTP), File Transfer Protocol (FTP), User Datagram Protocol (UDP), Hypertext Transfer Protocol (HTTP), que no primavam, quando de sua concepo, pela confidencialidade na transmisso de tais dados. Como poucas eram as redes fsicas, geralmente interligaes entre universidade, agncias governamentais, centros de pesquisas, rgos militares, a segurana repousava na pouca capilaridade da rede, o que no mais realidade h alguns anos. A Figura 1 bem ilustra essa miscelnea de redes que compem a Internet, retratada em 11 de janeiro de 2005, onde so representados os principais pases, por onde os dados so roteados. 15 A Internet se vale, fundamentalmente, de roteadores, componentes estes que unem vrias redes entre si de forma inteligente, podendo procurar a melhor rota para um ponto distante 16 , v.g. algum brasileiro acessando ndices da bolsa de Osaka, no Japo.
Figura 1 Representao grfica de roteadores de Internet Fonte: Projeto OPTE. Disponvel em: <http://www.opte.org/>
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 15 Trata-se de um projeto denominado OPTE, conduzido pelo americano Barrett Lyon, que visa criar uma representao visual da Internet, demonstrando a distribuio de espaos de IP. Disponvel em: <http://www.opte.org/>. Acesso em 08/03/2012. 16 Livre traduo. No original: a network component that joins several networks together intelligently. A router router can look up the best route to a distant site. The Internet relies heavily on routers. DOWNING, Douglas A. et al. Dictionary of Computer and Internet Terms. 10. ed. Hauppauge: Barrons, 2009, p. 417. ! 15! Isso nos leva s caractersticas marcantes da Internet, consistentes nessa imensurvel conectividade, velocidade, desmaterializao, irrelevncia do lugar fsico e uma comunicao assncrona, quando necessria ou desejvel. 17
Tal difuso, todavia, aliada a um surgimento no planejado, no escalonado e sem primar pela segurana da informao, facilitou, entre outros elementos, o desenvolvimento da criminalidade na rede, e atravs da rede, a ser abordada no item 1.3.
1.1.2 O microprocessamento
Importante no olvidar que ao lado da Internet surgiu um outro grande agente impulsionador de nossa atual tecnologia e conhecimento cientfico, o microprocessamento. Com sua pesquisa e desenvolvimento subsidiados pelo Departamento de Defesa Americano, para substituir as vlvulas eletrnicas e serem utilizados no controle balstico de msseis, construo de avinicos 18 etc., os microprocessadores causaram enorme evoluo tecnolgica. 19
Para tanto, basta observar que o primeiro computador, o Electronic Numerical Integrator and Computer (Eniac), tinha cerca de 50 metros de comprimento 20 , pesava 30 toneladas 21 e, ainda assim, possua menor capacidade de processamento que uma mquina de calcular dos dias atuais. O microprocessamento permitiu, portanto, um crescimento exponencial da capacidade computacional, a miniaturizao de dispositivos eletrnicos e a diminuio de seus custo, j que feitos em larga escala e base de silcio. Observe- se ainda, vigir a lei de Moore, segundo a qual, a cada 18 (dezoito) meses dobra-se a capacidade dos processadores de computador. 22
Diante disso o que se v um gigantesco nmero de dispositivos mveis, como celulares, cujo volume j ultrapassava os 4 bilhes de unidades, em 2009. O mais interessante nisso no se refere, meramente, ampliao dos servios de !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 17 SPENCE, Michael. The next convergence: the future of economic growth in a multispeed world. 1st. ed. New York: Farrar, Straus and Giroux, 2011, p. 235. 18 Entendidos como todo equipamento eletrnico utilizado para auxiliar no voo de aeronaves. 19 SPENCE, op. cit. p. 225-226. 20 Disponvel em: <http://www.upenn.edu/almanac/v42/n18/eniac.html>. Acesso em: 16/03/2012. 21 BRITZ, Marjie T. Computer forensics and cyber crime: an introduction. New Jersey: Prentice Hall, 2009, p. 24. 22 SPENCE, op. cit. p. 226. ! 16! telefonia, mas na disponibilizao de um meio barato e simples de acesso Internet. 23 Tais equipamentos se tornaram pontos de acesso, gerando o fenmeno da converso digital, adiante abordado.
1.2. A GLOBALIZAO
A globalizao consiste em um complexo processo de estreitamento das relaes sociais, culturais, polticas e, especialmente, econmicas no mundo. Divergem os autores quanto ao seu surgimento, bem como suas causas. Alguns, como Friedman, acreditam remontar poca das grandes navegaes, que diminuiu distncias e inaugurou o comrcio entre o velho e o novo mundo. 24
Grande parte dos historiadores econmicos apontam, todavia, como uma primeira grande era da globalizao, precisamente, o sculo que antecedeu o ano de 1914. Para tanto, trs fatores foram fundamentais. Primeiramente as novas tecnologias como trens, ferrovias, canais e o telgrafo. Em segundo, as ideias de livre comrcio encampadas por economistas como Adam Smith e David Ricardo comearam a se difundir. Por fim, a adoo do ouro como lastro financeiro, em meados de 1870, trouxe estabilidade na circulao de diferentes moedas, facilitando o comrcio internacional. 25
Por sua vez, Michael Spence 26 , ganhador do prmio Nobel de Economia de 2001, aponta como marco para o incio da globalizao o final da segunda grande guerra mundial. Segundo o autor, aps tal evento:
[...] uma semente foi plantada, que acabou por ser um dos dois principais blocos de construo da economia global. Lderes dos pases !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 23 SPENCE, Michael. The next convergence: the future of economic growth in a multispeed world.1st. ed. New York: Farrar, Straus and Giroux, 2011, p. 222. 24 FRIEDMAN, Thomas L. O mundo plano: uma breve histria do sculo XXI. Rio de Janeiro: Objetiva, 2007, p. 19-20. 25 RODRIK, Dani. The Globalization paradox: democracy and the future of the world economy. 1st. ed. New York: W. W. Norton & Conpany, 2011, p. 24-25. 26 Livre traduo. No original: a seed was planted that turned out to be one of the two main building blocks of the global economy. Leaders in the developed countries after the war set out to create a different international order, with perhaps more hope than confidence of creating a more benign and inclusive world. The opportunity was probably created by the horror of the war itself, and the devastation right after. It was a crisis. Generally, crises are opportunities for change because they weaken vested interests and resistance. The opportunity is not, however, always seized. SPENCE, op. cit. p. 26. ! 17! desenvolvidos aps a guerra se preparam para desenvolver uma ordem internacional diferente, talvez mais esperanosos do que confiantes, em criar um mundo mais benigno e de incluso. A oportunidade foi provavelmente criada pelo horror da guerra e da devastao advinda. Foi uma crise e, geralmente, estas so oportunidades para a mudana, j que enfraquecem interesses e resistncias. A oportunidade no , todavia, sempre aproveitada.
Dito isso, ele continua para afirmar que o General Agreement on Tariffs and Trade (GATT), criado em 1947, foi o comeo da criao do que conhecemos hoje como economia global. O GATT, ao reduzir tarifas diminuiu severas barreiras do comrcio internacional e foi o catalisador de uma revoluo econmica, na qual centenas de milhes de pessoas experimentaram o benefcio do crescimento. 27
Naturalmente que tal crescimento no alcanou todas as naes, como bem adverte o ex-vice-presidente Snior para Polticas de Desenvolvimento do Banco Mundial, Joseph Stiglitz, tambm ganhador do Nobel de Economia de 2001:
Os pases ocidentais tm pressionado os pases pobres a eliminar as barreiras comerciais, mas manteve suas prprias barreiras, impedindo que os pases em desenvolvimento possam exportar seus produtos agrcolas, privando-os do rendimento das exportaes que tanto necessitam. 28
No obstante as diversas vises, marcos, justificativas e crticas em torno do fenmeno que hoje vivemos, o certo que houve um crescimento muito grande na economia e na produo de vrios pases, ao lado de uma mobilidade de capital, bens e servios nunca antes vistos, especialmente, a mudana da riqueza econmica do Ocidente para o Oriente, como destaca o novo relatrio da CIA para 2025: Em termos de tamanho, velocidade e fluxo direcional, a mudana econmica da riqueza relativa hoje em curso basicamente do Ocidente para o Oriente no tem precedentes na Histria moderna. 29
Interessante destacar, ainda, segundo o mesmo relatrio, que China e ndia ultrapassaro o PIB japons em 2025, e a China superar o PIB americano em meados de 2036. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 27 SPENCE, Michael. The next convergence: the future of economic growth in a multispeed world. 1st. ed. New York: Farrar, Straus and Giroux, 2011, p. 28-29. 28 Livre traduo. No original: The Western countries have pushed poor countries to eliminate trade barriers, but kept up their own barriers, preventing developing countries from exporting their agricultural products and so depriving them of desperately needed export income. STIGLITZ, Joseph E. Globalization and its discontents. New York: W. W. Norton & Company, 2003, p. 6. 29 O Novo Relatrio da CIA: como ser o mundo amanh. 1. ed. So Paulo: Gerao Editorial, 2009, p. 61. ! 18! H quem sustente que j estamos em uma nova era da globalizao, denominada globalidade, onde ao invs de uma migrao das empresas do Ocidente para o Oriente, em busca de menores custos de fabricao e mercados mais simples de lidar, hoje vivemos em um ambiente no qual os negcios fluem em todas as direes 30 :
As empresas no possuem centros. A ideia de estrangeirismo estranha a essa era. O comrcio gira, e o domnio do mercado muda. A ortodoxia empresarial ocidental se entrelaa com a filosofia empresarial oriental e cria uma mentalidade totalmente nova, que abrange tanto o lucro e a concorrncia quanto a sustentabilidade e a colaborao.
Deve-se notar, segundo Friedman, que o mundo ao ser planificado no sentido de estarmos todos (indivduos, empresas, pases) em um mesmo nvel, sem maiores barreiras de transporte ou comunicao, com idnticas possibilidades de acesso informao, compartilhamento de ideias, contedos, oportunidades de capacitao, concorrncia ao contrrio de uma homogeneizao de determinada cultura, como a americana, o que se viu, e se v, a globalizao do local. 31
Atravs desta expresso, cunhada pelo indiano Indrajit Banerjee, ex- secretrio-geral do Centro Asitico de Informao e Comunicao de Mdia (AMIC), o autor quer demonstrar que ao lado de um natural espraiamento da cultura Americana, se deu, em maior medida, uma disseminao de culturas locais, antes impraticvel. 32 Ao se permitir o upload, i.e. o envio de contedo, diversas pessoas no mundo puderam e podem compartilhar suas opinies, ideias, msicas, fotos, vdeos, reportagens, experincias, talentos, etc. Nessa linha, Friedman assevera ter existido trs momentos da globalizao. O primeiro, denominado Globalizao 1.0, iniciou-se em 1492, quando Colombo embarcou, inaugurando o comrcio com o novo mundo, estendendo-se at meados de 1800. Isso aproximou os pases, derrubando diversas barreiras, foi a Globalizao dos pases. A segunda grande era, a Globalizao 2.0, durou de 1800 a 2000, sendo interrompida pela grande depresso e pelas duas grandes guerras mundiais. Com o declnio dos custos de transporte e facilidade de comunicao, as !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 30 SIRKIN, Harold L.; HEMERLING, James W.; BHATTACHARYA, Arindam. Globalidade a nova era da globalizao: como vencer num mundo em que se concorre com todos, por tudo e em toda parte. Trad. Marcello Lino. Rio de Janeiro: Nova Fronteira, 2008, p. 15. 31 FRIEDMAN, Thomas L. O mundo plano: uma breve histria do sculo XXI. Rio de Janeiro: Objetiva, 2007, p. 473. 32 Ibidem, p. 475. ! 19! empresas migraram, buscando novos mercados e menores custos de produo, foi a Globalizao das empresas. Por fim, a Globalizao 3.0, a partir do ano 2000, na qual se verifica a Globalizao do indivduo, essencialmente alavancada pela Internet. 33
Isso demonstra um dos maiores efeitos a longo prazo, da massificao da Internet. Segundo Spence 34 :
O potencial humano est espalhado em todo o mundo praticamente de forma aleatria. Em uma parcela crescente do globo, tal potencial est sendo transformado em valioso talento, atravs da combinao da educao e aprendizagem adquiridos atravs de um emprego rentvel. Muito deste potencial talento humano, todavia, est inacessvel. Na economia global, mercadorias e capitais possuem grande mobilidade, mas o trabalho (isto , as pessoas) no. Para fazer uso do talento humano os empregos podem chegar para as pessoas ou as pessoas podem se deslocar para postos de trabalho. Nas economias nacionais mais saudveis ambas hipteses acontecem. Na economia global, porm, as pessoas enfrentam barreiras quando se trata de mover-se para empregos distantes: o processo mais importante deslocar os postos de trabalhos at as pessoas. E isso que vem acontecendo.
1.2.1 O mundo digital e a convergncia
Ao lado do desenvolvimento da Internet, da globalizao e diante do processo de digitalizao das informaes e.g. sons, imagens, fotos, textos, mensagens, vdeos em meio digital surgiu um fenmeno chamado convergncia, consistente na fuso entre comunicaes, computadores e contedo. 35 Desta maneira, aparelhos celulares no se limitam ao que eram inicialmente, meros aparelhos de telefone. Diante da convergncia, tais dispositivos verdadeiros microcomputadores, com programas para navegar na internet, reprodutores de mdia para assistir vdeos ou ouvir msica, rodar jogos eletrnicos, mquinas de !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 33 FRIEDMAN, Thomas L. O mundo plano: uma breve histria do sculo XXI. Rio de Janeiro: Objetiva, 2007, p. 20-21. 34 Livre traduo. No original: Human potential is scattered around the world pretty much randomly. In an increasing portion of the world, that human potential is being turned into valuable talent by combining it with education and the learning that goes with productive employment. But much of that human talent is inaccessible. In the global economy, goods and capital are quite mobile, but labor (that is, people) is much less so. To make use of human talent, jobs can move to people or people can move to jobs. In most healthy national economies, both happen. But in the global economy, people face high barriers when it comes to moving to jobs: the more important process is jobs moving to people. And that is what has been happening. SPENCE, Michael. The next convergence: the future of economic growth in a multispeed world. 1st. ed. New York: Farrar, Straus and Giroux, 2011, p. 235. 35 SIQUEIRA, Ethevaldo. Para compreender o mundo digital. So Paulo: Globo, 2008, p. 11. ! 20! fotografar, calculadoras, agenda eletrnica tornaram-se um fcil e onipresente ponto de acesso Internet. Um outro aspecto deste fenmeno, alm dos contedos flurem atravs de mltiplos suportes miditicos, a mudana cultural dos usurios de tal material. Antigamente tais consumidores eram indivduos isolados, passivos, silenciosos. 36
Hoje so atuantes, presentes, exigentes, compartilham, criticam, alardeiam. A comunicao era de um para muitos (como a tev aberta), hoje de muitos para muitos (cada um produzindo ou buscando contedo exclusivo), o que em certa medida explica alguns tipos de cibercrimes adiante discutidos. A democratizao do conhecimento uma das maiores nuances da globalizao. O acesso informao, o incremento contnuo da conectividade, a propagao da convergncia, a possibilidade de uma educao bsica interativa aumentam o potencial humano de crescimento e permitem a diminuio do isolamento, promovendo uma extensa forma de incluso social, como bem observa Spence que arremata:
As pessoas ainda podem viver em ambientes nos quais a infraestrutura fsica deficiente, se cotejada com os padres de pases avanados. Dever levar muitos anos para se chegar a uma situao prxima a tais padres, mas a lacuna no conhecimento, informaes e conectividade no mundo virtual est diminuindo mais rpido do que qualquer um poderia ter imaginado possvel, mesmo h 10 anos atrs. 37
Tamanho foi o impacto desta convergncia digital, na seara jurdica, que j se props a criao de uma quinta gerao de direitos, consistentes nos direitos da realidade virtual. 38 Apesar da nomenclatura no nos parecer ideal e preferirmos a notao direitos da tecnologia da informao, o fato que tal categoria possui tanta importncia quanto as geraes anteriores (direitos polticos, sociais, difusos e bioticos) e seus reflexos sero abordados em seguida.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 36 JENKINS, Henry. Cultura da convergncia. So Paulo: Aleph, 2008, p. 45. 37 Livre traduo. No original: People may still live in environments in which the physical infrastructure is deficient by advanced-country standards. It takes many years to build all that. But the gap in knowledge, information, transactions, and connectivity in the virtual world is closing faster than anyone could have believed possible even ten years ago. SPENCE, Michael. The next convergence: the future of economic growth in a multispeed world. 1st. ed. New York: Farrar, Straus and Giroux, 2011, p. 243. 38 OLIVEIRA JR., Jos Alcebades. Teoria jurdica e novos direitos. Rio de Janeiro: Lumen Juris, 2000, p. 100 apud VASCONCELOS, Fernando Antnio de. Internet: responsabilidade do provedor pelos danos praticados. Curitiba: Juru, 2003, p. 22. ! 21! 1.2.2 Reflexos da convergncia digital na esfera do direito
A amlgama de contedo, conectividade e dispositivos dos mais diversos, v.g. computadores, smartphones, tablets, consoles de videogames, televisores aptos a navegar na internet, vem provocando profundas mudanas culturais e comportamentais que refletem na seara jurdica. A conectividade operou imenso impacto na seara do direito. Institutos como domiclio funcional devero ser modificados, diante do teletrabalho de servidores pblicos. A desmaterializao do processo judicial j uma realidade, atravs do processo eletrnico. A temtica da responsabilidade civil adquiriu novas fronteiras, diante do comrcio eletrnico. Os campos da propriedade intelectual e do direito autoral enfrentam grandes desafios. Isso apenas para falar de alguns. Importa ao presente trabalho o fato de que a globalizao, ao aproximar pases, mercados, empresas e pessoas, alterou arraigados institutos como o da soberania e da territorialidade quando tratamos dos cibercrimes. As aes delitivas que so iniciadas em um determinado local e se utilizam de computadores infectados em diversos pases para produzir resultados danosos em outro ponto do globo, levam a uma imperiosa necessidade dos pases reverem conceitos de territorialidade, mitigar aspectos de sua soberania, se dispor a pedir e prestar cooperao, sob pena dos cibercrimes restarem impunes.
! 22!
CAPTULO 2 - OS CIBERCRIMES
Os perigos da conectividade so extremamente subestimados. Mesmo sociedades tradicionalmente fechadas e caracterizadas pela desconfiana em relao a estranhos, como a norte americana, onde as crianas so rotineiramente advertidas dos perigos de abrir portas ou falar com estranhos, no toma as mesmas cautelas quando no ambiente ciberntico. Como assevera Britz:
No entanto, o advento da tecnologia reduziu as barreiras tradicionais e, em verdade, serviu como um convite informal a visitantes desconhecidos. Muitos perceberam tarde demais os perigos de sua desateno e se tornaram vtimas de furto, perda de dados privados e similares. Outros permanecem ignorantes de sua vulnerabilidade, prestes a sofrerem as consequncias negativas de sua postura. 39
Este natural despreparo dos internautas em aspectos de Segurana da Informao, aliada a uma forte dependncia da tecnologia no dia a dia e uma falsa sensao de distanciamento de problemas, ao se utilizar um computador no conforto de casa, tem facilitado demasiadamente o cibercrime.
2.1 CONCEITO E CATEGORIAS DOS CIBERCRIMES
Questo tortuosa tentar encontrar uma nomenclatura que albergue os delitos que podem ser cometidos atravs de redes de dados. Diversos termos so utilizados, indiscriminadamente, para se referir a um gnero de delitos ou misturar- se suas espcies. Exemplo dessa variedade encontra-se nos nomes das delegacias especializadas de Polcia Civil de diversos Estados brasileiros, destinadas investigao de tais infraes: Diviso de Represso aos Crimes de Alta Tecnologia (Dicat) DF; Ncleo de Represso a Crimes Eletrnicos (Nureccel) ES; Diviso de Represso aos Cibercrimes GO; Delegacia Especializada de Investigaes de Crimes Cibernticos (Deicc) MG; Delegacia Virtual PA; Ncleo de Combate aos !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 39 Livre traduo. No original: However, the advent of technology has lowered traditional barriers and actually served as an informal invitation for unknown visitors. Many have recognized only too late the dangers of their inattentiveness victims of theft, stolen privacy, and the like; while others, yet to suffer negative consequences, remain blissfully unaware of their own vulnerability. BRITZ, Marjie T. Computer forensics and cyber crime: an introduction. New Jersey: Prentice Hall, 2009, p. 4. ! 23! Cibercrimes (Nuciber) PR; Delegacia interativa PE; Delegacia de Represso aos Crimes de Informtica (DRCI) RJ; Delegacia de Delitos Cometidos por meios Eletrnicos SP. 40
Tal dificuldade no experimentada apenas no Brasil. Os Estados Unidos da Amrica, pas mais frente na represso dessa nova modalidade delitiva, sofre, tambm, o mesmo problema. Expresses como: computer crime, computer-related crime, crime by computer. Depois, com a maior disseminao da tecnologia vieram os: high-tecnology crime, information-age crime. Com o advento da Internet surgiram: cybercrime, virtual crime, Internet crime, net crime, alm de outras variantes mais genricas como: digital crime, electronic crime, e-crime, high-tech crime ou technology-enable crime. 41
Conforme doutrina de Clough, nenhum dos termos perfeito, pois sofrem uma ou mais deficincias, no alcanando com perfeio todo o sentido desta nova categoria de crime que se quer conceituar. As expresses contendo o vocbulo computador podem no incorporar as infraes cometidas contra as redes de dados; o termo cibercrime pode ser visto tendo como foco exclusivo a Internet; crimes de alta-tecnologia podem ser entendidos como referncias, to somente aos delitos envolvendo avanadas e recentes searas da tecnologia, como a nanotecnologia ou a bioengenharia. 42
Observe-se que isso no se trata, ao contrrio do que possa parecer, de mero tecnicismo, de simples discusso acadmica da melhor terminologia. Como bem asseveram estudiosos do tema, a ausncia de uma padronizao, de uma homogeneizao no conceito e identificao de tais delitos impede um melhor levantamento estatstico, dificulta a implementao de aes preventivas e repressivas. Exemplifica, Clough, que o crime de acesso no autorizado no Misuse Act do Reino Unido, que tipifica alguns cibercrimes, referido como outras fraudes nas estatsticas sobre infraes penais, do mesmo pas. 43 No mesmo sentido, diz McQuade 44 : !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 40 Disponvel em: <http://www.mp.mg.gov.br/portal/public/interno/repositorio/id/3815>. Acesso em 20/03/2012. 41 CLOUGH, Jonathan. Principles of Cybercrime. New York: Cambridge University Press, 2010, p. 9. 42 CLOUGH, Jonathan. Principles of Cybercrime. New York: Cambridge University Press, 2010, p. 9. 43 Ibidem, p. 14. 44 Livre traduo. No original: In research, the concept of operationalizing terms refers to creating precise definitions in order to enable consistent labeling, understanding, and measurement of ! 24! Na pesquisa, o conceito de termos padronizados refere-se a criao de definies precisas a fim de permitir a rotulagem consistente, a compreenso e mensurao dos fenmenos. Ao padronizar termos, os pesquisadores (e tambm profissionais e agentes polticos) podem evitar a inadequada mistura entre os significados de diferentes tipos de ameaas como: conduta abusiva, desvio de conduta, crime e de incidentes de segurana. A padronizao de termos ajuda a prevenir confuso nos resultados de investigaes, evitando transtornos na criao de programas de preveno de crime e estabelecimento de medidas de segurana da informao, alm facilitar a tipificao de novos crimes e o cumprimento da lei. Prevenir tal confuso, geralmente, aprimora a justia criminal e as prticas e polticas de segurana.
Uma primeira tarefa, portanto, para alcanarmos uma terminologia satisfatria, apresentar uma diviso das trs principais categorias de crimes relacionados com o uso da Tecnologia da Informao, segundo a doutrina. Tal distino, adotada pelo Departamento de Justia Americano 45 , vem sendo albergada por diversos estudiosos:
l. Crimes em que o computador ou rede de computador o alvo da atividade criminosa. Por exemplo, malware, hackers e ataques DOS. 2. Infraes tradicionais onde o computador uma ferramenta utilizada para cometer o crime. Por exemplo, pornografia infantil, ameaa, violao de direitos autorais e fraude. 3. Crimes em que o uso do computador um aspecto incidental no cometimento do crime, mas pode suprir provas na sua persecuo. Por exemplo, endereos encontrados no computador de um suspeito de assassinato, ou registros telefnicos de conversas entre o agressor e a vtima antes de um homicdio. Nesses casos, o computador no est significativamente implicado na prtica do delito, mas incrementa o repositrio de provas.
Essa classificao tripartite de crimes adotada, com algumas pequenas variaes, e utilizada no ordenamento interno da Austrlia, Canad, Reino Unido e, em grande medida, a nvel internacional. 46
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! phenomena. By operationalizng terms, researchers (and practitioners and policy makers) can avoid inappropriately commingling meanings of different types of abuse, deviancy, crime, and security threats. Operationalizing terms helps to prevent confusing research findings that would be of little value for creating crime prevention and information security programs, enacting new crime legislation, or enforcing laws and regulations. Preventing such confusion does generally improve criminal justice and security practices and policies. MCQUADE III, Samuel C. Understanding and managing cybercrime. Boston: Pearson, 2006, p. 17-18. 45 Livre traduo. No original: l. Crimes in which the computer or computer network is the target of the criminal activity. For example, hacking, malware and DOS attacks. 2. Existing offences where the computer is a tool used to Commit the crime. For example, child pornography, stalking, criminal copyright infringement and fraud. 3. Crimes in which the use of the computer is an incidental aspect of the commission of the crime but may afford evidence of the crime. For example, addresses found in the computer of a murder suspect, or phone records of conversations between offender and victim before a homicide. In such cases the computer is not significantly implicated in the commission of the offence, but is more a repository for evidence. CLOUGH, Jonathan. Principles of Cybercrime. New York: Cambridge University Press, 2010, p. 10. 46 Ibidem, p. 10. ! 25! Uma diviso em duas categorias, todavia, geralmente se referindo s duas primeiras, daquelas trs apresentadas, a que mais vem sendo utilizada pelos doutrinadores e acolhida nesta dissertao. McQuade utiliza-se dos termos computer crime e computer-related crime. 47 De acordo com Fichtelberg, os criminologistas dividem os cibercrimes em duas categorias, uma na qual constam crimes convencionais que utilizam computadores como ferramenta e outra de delitos especficos que no existiam antes da inveno dos computadores e da internet. 48
Como fora dito anteriormente, no se ir lograr uma terminologia perfeita e acaba, isenta de crticas. Por tal motivo no se deve receber tais nomenclaturas de forma literal, mas como uma descrio ampla que enfatize o principal papel da tecnologia utilizada no delito. 49
Desta forma, no esteio de Clough, o presente trabalho ir adotar a terminologia cibercrime por ser aquela que melhor alberga os delitos aqui tratados, por ser a mais utilizada na doutrina internacional, por ressaltar a importncia dos computadores conectados em rede e, especialmente, por ser o termo utilizado na Conveno de Budapeste, adiante estudada. O termo cybercrime foi inicialmente cunhado por Sussman e Heuston em 1995, conforme aponta McQuade, tendo sido utilizado, j em 1997, em relatrio de comisso presidencial formada para estudar a proteo de infraestrutura crtica 50 . O autor define cibercrime e tambm assevera ser a terminologia mais aceita 51 :
O cibercrime agora o termo mais frequentemente usado para rotular as atividades em que os delinquentes usam computadores, ou outros dispositivos eletrnicos de TI, atravs de sistemas de informao para facilitar comportamentos ilegais. Em essncia, o cibercrime envolve o uso de aparelhos eletrnicos para acessar, controlar, manipular ou utilizar os dados para fins ilcitos.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 47 MCQUADE III, Samuel C. Understanding and managing cybercrime. Boston: Pearson, 2006, p. 15-17. 48 FICHTELBERG, Aaron. Crime without borders: an introduction to international criminal justice. New Jersey: Pearson Prentice Hall, 2008, p. 265. 49 CLOUGH, op. cit. p. 9. 50 MCQUADE III, Samuel C. Understanding and managing cybercrime. Boston: Pearson, 2006, p. 15. 51 Livre traduo. No original: Cybercrime is now the term most often used to label activities in which perpetrators use computers or other electronic IT devices via information systems to facilitate illegal behaviors. In essence, cybercrime involves using electronic gadgets to access, control, manipulate, or use data for illegal purposes. Ibidem, p. 16-17. ! 26! Segundo Fichtelberg 52 , cibercrimes podem ser definidos como: [...] atividades atravs do uso de computador que so ilegais, ou consideradas ilcitas por determinadas partes, e que podem ser conduzidas atravs de redes globais de dados. Assim se extrai, portanto, que a grande maioria dos cibercrimes consiste em delitos tradicionais, agora com nova roupagem, alcance e potencial lesivo, alm de cibercrimes propriamente ditos, que so novas infraes voltadas contra computadores 53 e redes de computadores, sem os quais no existiriam. Diante disso, este trabalho adota a terminologia cibercrimes prprios e imprprios, no esteio de outras categorias de crimes, como os militares, para diferenciar aqueles que so propriamente praticados em face de bens jurdicos afetos tecnologia da informao, daqueles que eventualmente utilizam a tecnologia da informao como ferramenta para lesar bens jurdicos tradicionais, como a honra, patrimnio, os costumes, liberdade, entre outros. A escolha de tais nomen juris, prprios e imprprios, parece a mais acertada diante de seu largo uso pela doutrina, na seara penal, alm do fato de j ter sido utilizada para os delitos em estudo 54 , no sendo demais apontar a existncia de outras nomenclaturas para a mesma diviso, como delitos informticos puros e impuros, ou aquelas adotadas por Chacon: crimes informticos comuns e especficos 55 .
2.2 CARACTERSTICAS DOS CIBERCRIMES E O PERFIL DO CIBERCRIMINOSO
Importante analisar as principais caractersticas do cibercrime, de maneira a compreender o mecanismo desta modalidade delitiva, identificando formas de !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 52 Livre traduo. No original: [...] computer-mediated activities which are either illegal or considered illicit by certain parties and which can be conducted through global electronic networks. FICHTELBERG, Aaron. Crime without borders: an introduction to international criminal justice. New Jersey: Pearson Prentice Hall, 2008, p. 265. 53 Naturalmente que se refere aos cibercrimes que visam derrubar servios, destruir dados, paralisar rotinas, ou mesmo, destruir equipamentos alterando a normalidade das configuraes de mquinas controladas por computador. Assim, no se inclui, o furto de uma loja de eletro-eletrnicos 54 SILVA, Rita de Cssia Lopes da. Direito penal e sistema informtico. So Paulo: Revista dos Tribunais, 2003, p. 60. 55 ALBUQUERQUE, Roberto Chacon de. A criminalidade informtica. So Paulo: Juarez de Oliveira, 2006, p. 40. ! 27! preveno e combate. Segundo Clough: Foi dito que existem trs fatores necessrios para a prtica de crime: a existncia de criminosos motivados, disponibilidade de oportunidades adequadas e a ausncia de vigilncia eficaz. 56
Tais elementos so facilmente encontrados, de forma extrema, no ciberespao. Com cerca de 2,45 bilhes de internautas no mundo, o potencial nmero de criminosos e vtimas impressionante. Munido de um ponto de conexo e um computador, ou outro dispositivo, qualquer pessoa pode, no conforto de sua casa, ou de um lugar qualquer, cometer uma srie de delitos. O fator que propicia isto o anonimato, seja aquele real alcanado por experts (dito hackers), seja a mera sensao de distanciamento do usurio mediano, ao utilizar falsas identidades online ou se valer de simples programas de mascaramento de IP 57 . A percepo dos delinquentes a de que no sero identificados, alm de terem a confiana, em regra, infelizmente verdadeira, de que o poder pblico no tem aparato suficiente para produzir provas necessrias para lastrear uma condenao. A prova pericial inafastvel nestes casos, e a volatilidade da informao, sem uma infraestrutura tecnolgica e humana eficiente, pode restar corrompida, perdida ou no ser admitida em juzo. Segundo rica Ferreira 58 :
Estudos demonstram que os internautas possuem algumas caractersticas prprias: em geral so imparciais, liberais, tolerantes por natureza, politicamente incorretos, descrentes a respeito dos meios estabelecidos, se sentem menos ameaados pelo governo na medida em que o considera antiquado e inoperante.
Importante instrumento para a rdua tarefa de prevenir e combater os cibercrimes consiste na capacidade de avaliar o potencial delitivo de determinados indivduos, traando-se um adequado perfil. Embora banalizado por seriados de TV americanos, esta atividade, que se arrima em elementos de criminologia, tem a crucial finalidade de estabelecer a conduta delitiva de cada pessoa. Isso especialmente importante nos delitos perpetrados atravs da Internet, j que os !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 56 Livre traduo. No original: It has been said that there are three factors necessary for the commission of crime: a supply of motivated offenders, the availability of suitable opportunities and the absence of capable guardians. CLOUGH, Jonathan. Principles of Cybercrime. New York: Cambridge University Press, 2010, p. 5. 57 Atravs desta tcnica, utiliza-se um equipamento que intermedia a conexo, fazendo-se passar pelo computador do usurio, de modo que se forem rastreados os acessos feitos pelo criminoso ser identificado o endereo de IP da mquina intermediria. 58 MUOZ MACHADO, Santiago. La regulacin de la red: Poder y Derecho en internet. Madrid: Taurus, 2000, p. 17, apud FERREIRA, rica Loureno de Lima. Internet: macrocriminalidade e jurisdio internacional. Curitiba: Juru, 2007, p. 91. ! 28! agentes esto amparados pela distncia, dificultando a perfeita atribuio da participao de cada indivduo. Para tanto, foram criados mtodos de investigao, entre eles o SKRAM desenvolvido pelo Consultor em Segurana da Informao, Donn Parker, conforme apresenta McQuade 59 :
Donn Parker creditado pelo desenvolvimento de um modelo de avaliao de criminosos que engloba o estudo de motivos, a oportunidade e os meios disponveis para traar o perfil de suspeitos em uma investigao. Conhecido como SKRAM (skills, knowledge, resources, authority and motives), seu modelo adaptado para avaliar as habilidades, conhecimentos, recursos, autoridade tcnica para acessar e manipular localizaes e dados, sejam fsicos ou virtuais, e avaliar a intensidade de motivos para cometer cibercrimes.
2.3 EVOLUO DO CIBERCRIME
O primeiro registro de delito com o uso de computador data de 1958, no qual um empregado do Banco de Minneapolis, Estados Unidos da Amrica, havia alterado os programas de computador do banco de modo a depositar para si as fraes de centavos resultantes de milhes de movimentaes financeiras. A primeira condenao por uma corte federal norte americana deu-se em 1966, por alterao de dados bancrios. 60
A variedade de crimes cometidos com o uso da Internet impressionante, e mesmo homicdios j foram cometidos com o uso da rede. Exemplo disso foi o caso de John Edward Robinson primeiro serial killer conhecido que se utilizava da rede, onde aliciava suas vtimas para a prtica de relaes sadomasoquistas tendo sido condenado em 2000 pela morte de trs mulheres, alm de ser acusado pela morte de outras oito, em outro Estado norte-americano. 61 Conforme Franken, citado por Chacon, j houve casos em que criminosos modificaram dados sobre a dosagem de !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 59 Livre traduo. No original: Donn Parker is credited with developing an attacker assessment model that subsumes the classic motive, opportunity, and means framework for establishing suspects in an investigation. Known as SKRAM, his model is adapted here to refer to the skills, knowledge, resources, and technical authority to access and manipulate physical and cyber locations and data, and intensity of motives for committing cybercrimes. MCQUADE III, Samuel C. Understanding and managing cybercrime. Boston: Pearson, 2006, p. 118. 60 MCQUADE III, Samuel C. Understanding and managing cybercrime. Boston: Pearson, 2006, p. 12. 61 BRITZ, Marjie T. Computer forensics and cyber crime: an introduction. New Jersey: Prentice Hall, 2009, p. 7. ! 29! irradiao a ser ministrada em pacientes, atravs de sistemas informticos pertencentes a hospitais. 62
Uma outra decorrncia da Internet foi o aumento de determinados delitos pela simples exposio de informao. Exemplo disso a pornografia infantil, na qual pessoas passaram a exercer a pedofilia pela experimentao, atividade delitiva que no teriam ingressado se a informao no fosse to acessvel. 63
Apesar das estimativas variarem, dados de 2003 revelam que a quase totalidade das 500 maiores empresas do mundo foram vtimas de alguma espcie de cibercrime, totalizando cerca de 10 bilhes de dlares por ano, mas somente cerca de 17% das vtimas noticiaram os crimes s autoridades. 64 O que se extrai dessa informao o gigantesco impacto econmico de tais delitos, isso h quase 10 anos atrs, e uma equivocada postura de no se noticiar o crime, seja por no se crer na possibilidade de identificar e encontrar os malfeitores e, muito menos, recuperar o prejuzo. Outro aspecto a necessidade das empresas de manterem uma imagem ilibada, j que seus negcios dependem desta confiana, na segurana de sua infraestrutura e servios, por parte de seus clientes e consumidores. Um ltimo aspecto, no menos importante, que a pouca capacitao da polcia e a defasagem de seu aparato tecnolgico podem causar enormes transtornos na continuidade dos negcios da empresa, com a apreenso de computadores, servidores, roteadores, entre outros, para serem periciados. Em recente pesquisa 65 , patrocinada por uma das maiores empresas de segurana do mundo, a Symantec, demonstraram-se nmeros alarmantes acerca do cibercrime no ano de 2011, estando o Brasil entre os cinco pases do mundo com maior nmero de ataques. No ano de 2011, em apenas 24 pases pesquisados foram 431 milhes de vtimas, quantidade de pessoas maior do que toda a populao dos Estados Unidos e Canad juntos. O impacto financeiro em tais pases foi de US$ 388 bilhes, maior que o mercado clandestino mundial de !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 62 FRANKEN, Hans. Computing and Security. In: H.W.K. Kaspersen; A. Oskamp. Amongst Friends in Computers and Law. Editors. Devent/Boston: Kluwer Law and Taxation Publishers, 1990, p. 131. apud ALBUQUERQUE, Roberto Chacon de. A criminalidade informtica. So Paulo: Juarez de Oliveira, 2006, p. 37. 63 BRITZ, op. cit. p. 14. 64 Ibidem, p. 9. 65 A pesquisa foi realizada pela Agncia Internacional de pesquisa StrategyOne, entre os dias 6 de fevereiro de 2011 e 14 de maro de 2011, em 14 pases, tendo ouvido 12.704 adultos (incluindo 2956 pais), 4553 crianas (de alunos entre 8 e 17 anos) e 2379 professores (de alunos entre 8 e 17 anos). Pesquisa completa disponvel em: <http://www.symantec.com/content/en/us/home_homeoffice/ html/ncr/>. Acesso em: 27/03/2012. ! 30! maconha, cocana e herona combinados (US$ 295 bilhes), e se aproximando do valor de todo o trfico de drogas internacional (US$ 411 bilhes). Destes US$ 388 bilhes, US$ 114 bilhes foi o custo financeiro direto do crime ciberntico dinheiro roubado pelos criminosos ou gasto na soluo de ataques pela internet e outros US$ 274 bilhes foi o prejuzo com o tempo perdido decorrente do delito, sendo que a mdia de resoluo do problema, em mdia, foi de 10 dias. Somente no Brasil os prejuzos foram de US$ 63,3 bilhes, ou seja, mais de R$ 120 bilhes. 66
Interessante observar que algumas espcies delitivas, cibercrimes prprios, que se voltam apenas contra as redes, causando lentido, derrubando portais e servios (DoS Denial of Service) 67 , destruindo arquivos de computadores ou servidores de rede (worms) 68 , sem furtar qualquer valor das vtimas, no chamam tanto a ateno da populao, ou mesmo do poder pblico, como outros crimes, a exemplo da odiosa pedofilia online. Trata-se de um equivocado tratamento, pois aqueles crimes possuem efeitos financeiros nefastos, na ordem de dezenas de bilhes de dlares por ano e, especialmente, criam brechas para o uso indevido de mquinas na prtica de outros delitos (que maculam bens jurdicos mais graves do que o simples patrimnio, como a vida, a sade, a liberdade...). Exemplo disso foram as consequncias de um worm, batizado de ILOVEYOU, que se espalhou pelo mundo em cerca de 10 dias, no ano de 2000, infectando cerca de 50 milhes de mquinas e causando um prejuzo estimado em mais de US$ 8,75 bilhes 69 , sendo esta praga apenas uma de milhares que circularam desde aquela poca. Uma prtica que vem se disseminando o uso, e mesmo aluguel, de botnets para a prtica de diversos delitos, como envio de spam, distribuio DoS (Denial of Service), manuteno de sites fraudulentos, entre diversos outros. Os botnets podem ser definidos como:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 66 Disponvel em: <http://now-static.norton.com/now/pt/pu/images/Promotions/2012/cybercrimereport/ assets/downloads/pt-br/NCR-DataSheet.pdf>. Acesso em: 27/03/2012. 67 Um ataque feito em um sistema de computador que nega o acesso da vtima a um servio particular. A vtima pode ser um nico servidor, mltiplos servidores, um roteador ou uma rede de computadores. PHOHA, Vir V. Internet security dictionary. New York: Springer-Verlag, 2002, p. 37. 68 Um destrutivo programa de computador que se dissemina atravs da Internet ou uma LAN, se autorreplicando e se transmitindo a outros computadores a partir de um j infectado. Livre traduo. No original: a destructive computer program that spreads through the Internet or a LAN by transmitting itself to other computers from the infected one. DOWNING, Douglas A. et al. Dictionary of Computer and Internet Terms. 10. ed. Hauppauge: Barrons, 2009, p. 536. 69 Disponvel em: <http://www.computereconomics.com/article.cfm?id=133>. Acesso em: 28/03/2012. ! 31! [...] um grupo de computadores infectados por um programa malicioso (malware), tambm chamado de zumbis ou bots, que podem ser usados remotamente para realizar ataques contra outros sistemas de computador. Bots geralmente so criados por encontrar vulnerabilidades em sistemas computacionais, explorando estas vulnerabilidades com malware, e da introduo de malware para esses sistemas, entre outros. Botnets so mantidas por criminosos comumente referidos como bot headers ou bot masters que podem controlar remotamente esta rede de computadores infectados. Os bots so, ento, programados e instrudos para executar uma variedade de ataques cibernticos, incluindo ataques que envolvem a distribuio e instalao de cdigos maliciosos em mais mquinas, expandindo a rede de computadores zumbis. 70
Os computadores infectados so aqueles do internauta comum, que no se apercebe do fato de estar sua mquina na mo de criminosos. Os cdigo maliciosos de botnets, naturalmente, procuram se manter dissimulados e distribuem tarefas que no pesam nas mquinas invadidas. Assim, unindo uma pequena parcela de poder computacional de centenas de milhares, ou milhes de computadores, os delinquentes possuem em mos uma poderosa ferramenta. Exemplo de tais redes, que bem demonstra suas dimenses, o caso do Zeus Botnet cuja derrubada por autoridades se fez com amplo suporte de empresas de tecnologia, como no caso da Microsoft, que noticiou no seu site 71 , em 25 de maro de 2012:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 70 Livre traduo. No original: A botnet is a group of malware infected computers also called zombies or bots that can be used remotely to carry out attacks against other computer systems. Bots are generally created by finding vulnerabilities in computer systems, exploiting these vulnerabilities with malware, and inserting malware into those systems, inter alia. Botnets are maintained by malicious actors commonly referred to as bot herders or bot masters that can control the botnet remotely. The bots are then programmed and instructed by the bot herder to perform a variety of cyber attacks, including attacks involving the further distribution and installation of malware on other information systems. Relatrio Ministerial DSTI/ICCP/REG(2007)5/FINAL da OECD (Organisation for Economic Co-operation and Development), disponvel em: <http://www.oecd.org/dataoecd/53/34/ 40724457.pdf>. Acesso em 28/03/2012. 71 Livre traduo. No original: In its most complex effort to disrupt botnets to date, Microsoft Corp., in collaboration with the financial services industry including the Financial Services Information Sharing and Analysis Center (FS-ISAC) and NACHA The Electronic Payments Association as well as Kyrus Tech Inc., announced it has successfully executed a coordinated global action against some of the most notorious cybercrime operations that fuel online fraud and identity theft. With this legal and technical action, a number of the most harmful botnets using the Zeus family of malware worldwide have been disrupted in an unprecedented, proactive cross-industry action against this cybercriminal organization. Through an extensive and collaborative investigation into the Zeus threat, Microsoft and its banking, finance and technical partners discovered that once a computer is infected with Zeus, the malware can monitor a victims online activity and automatically start keylogging, or recording a persons every keystroke, when a person types in the name of a financial institution or ecommerce site. With this information, cybercriminals can steal personal information that can be used for identity theft or to fraudulently make purchases or access other private accounts. In fact, since 2007, Microsoft has detected more than 13 million suspected infections of the Zeus malware worldwide, including approximately 3 million computers in the United States alone. Disponvel em: < http://www.microsoft.com/Presspass/press/2012/mar12/03-25CybercrimePR.mspx>. Acesso em: 28/03/2012. ! 32! No mais complexo esforo para interromper a atuao de botnets at hoje, a Microsoft Corporation, em colaborao com a indstria de servios financeiros, incluindo os Servios Financeiros Compartilhamento de Informao e Centro de Anlise (FS-ISAC) e a Associao de Pagamentos Eletrnicos (NACHA), bem como a Kyrus Tech Inc., anunciou que tem executado com sucesso uma ao global coordenada contra algumas das operaes de cibercrime mais notrias que abastecem a fraude online e roubo de identidade. Com essa ao jurdica e tcnica, um grande nmero de botnets que usam um dos mais nocivos malware de todo o mundo, o Zeus, foram interrompidas em uma ao de escala sem precedentes. Atravs de uma extensa investigao e colaborao para a ameaa de Zeus, a Microsoft e sua banca, finanas e parceiros tcnicos descobriram que uma vez que um computador esteja infectado com o Zeus, o malware pode monitorar a atividade online de uma vtima e iniciar automaticamente keylogging, ou seja, a gravao de cada tecla pressionada pela pessoa quando digita no nome de uma instituio financeira ou site de comrcio eletrnico. Com esta informao os criminosos podem se apoderar de informaes pessoais que podem ser usadas para furtar a identidade ou, de forma fraudulenta, fazer compras ou acessar outras contas privadas. Na verdade, desde 2007, a Microsoft detectou mais de 13 milhes de infeces suspeitas, pelo malware Zeus, em todo o mundo, incluindo cerca de 3 milhes de computadores apenas nos Estados Unidos.
Com o fito de angariar informaes sobre atividades ilcitas na rede e traar mecanismos de preveno, diversos organismos, governamentais e privados, foram criados. O principal deles, o Computer Emergency Response Team (Cert), foi lanado em 1998, pelos EUA. Trata-se do rgo mais importante no mundo para a deteco e preveno de incidentes e acidentes de segurana da informao. 72
Outros organismos similares foram sendo criados por rgos de Estados diversos, como o Brasil, sendo o Cert.br mantido pelo Ncleo de Informao e Coordenao do Ponto BR, rgo pertencente ao Comit Gestor da Internet no Brasil. O Cert.br vem colecionando importantes dados de modo a fornecer um panorama muito realista dos incidentes de segurana no pas. Abaixo, segue tabela com os Incidentes 73 Reportados ao Cert.br - Janeiro a Dezembro de 2011. 74
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 72 FERREIRA, rica Loureno de Lima. Internet: macrocriminalidade e jurisdio internacional. Curitiba: Juru, 2007, p. 134. 73 Legenda: worm: notificaes de atividades maliciosas relacionadas com o processo automatizado de propagao de cdigos maliciosos na rede; dos (DoS -- Denial of Service): notificaes de ataques de negao de servio, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operao um servio, computador ou rede; invaso: um ataque bem- sucedido que resulte no acesso no autorizado a um computador ou rede; web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfiguraes de pginas na Internet; scan: notificaes de varreduras em redes de computadores, com o intuito de identificar quais computadores esto ativos e quais servios esto sendo disponibilizados por eles. amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possveis vulnerabilidades aos servios habilitados em um computador; fraude: segundo Houaiss, "qualquer ato ardiloso, enganoso, de m-f, com o intuito de lesar ou ludibriar outrem, ou de no cumprir determinado dever; logro". Esta categoria engloba as notificaes de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem; outros: notificaes de incidentes que no se enquadram nas categorias anteriores. ! 33! Tabela 1 - Incidentes reportados no ano de 2011 ao CERT.br Ms Total worm (%) dos (%) invaso (%) web (%) scan (%) fraude (%) outros (%) Jan. 16840 1041 6 9 0 6 0 996 5 8343 49 3098 18 3347 19 Fev. 26289 865 3 9 0 8 0 784 2 8234 31 3457 13 12932 49 Mar. 47630 1207 2 13 0 25 0 1005 2 8820 18 3814 8 32746 68 Abr. 44908 1157 2 10 0 12 0 901 2 7269 16 3891 8 31668 70 Mai. 42715 1038 2 2 0 5 0 1091 2 6628 15 3307 7 30644 71 Jun. 39458 933 2 2 0 2 0 1183 3 7950 20 2544 6 26844 68 Jul. 42262 1236 2 11 0 11 0 2697 6 8523 20 3307 7 26477 62 Ago. 33209 2161 6 170 0 10 0 1757 5 13265 39 3451 10 12395 37 Set. 25409 3518 13 31 0 10 0 1446 5 11698 46 3300 12 5406 21 Out. 27966 3903 13 3 0 5 0 856 3 14868 53 3238 11 5093 18 Nov. 27248 3624 13 3 0 6 0 1243 4 14053 51 3819 14 4500 16 Dez. 25581 6214 24 9 0 6 0 1532 5 10104 39 3155 12 4561 17 Total 399515 26897 6 272 0 106 0 15491 3 119755 29 40381 10 196613 49 Fonte: CERT.br Disponvel em: <http://www.cert.br>
Imperioso destacar que os cibercrimes prprios, i.e. aqueles voltados contra computadores e redes de computadores, podem causar efeitos devastadores, paralisando servios essenciais como gua, energia, hospitais, sistemas financeiros, servios de emergncia, controle de trfego de avies/trens/navios. Tamanha a gravidade de alguns que recaem na esfera de atos terroristas, passando a serem definidos como ciberterrorismo. As redes de computadores esto sendo empregadas, ainda, para a guerra entre governos. No estamos nos referindo simples guerra miditica, espionagem, arregimentao de simpatizantes ou recursos, mas de ataque a instituies, rgos e instalaes tidas como inimigas. Exemplo recente e documentado foi a criao do worm STUXNET. Esta praga eletrnica tem o fito, exclusivo, de invadir sistemas de computador que controlam usinas atmicas, tendo as usinas do Ir sido as mais afetadas. O worm no apenas espiona as instalaes, mas pode reprogramar seu funcionamento, podendo causar enormes danos s centrfugas enriquecedoras de urnio, fato que teria ocorrido com cerca de 50 destes equipamentos naquele pas, atrasando o seu programa nuclear. Apesar de a extenso dos danos no ter sido comprovada, o prprio presidente iraniano, Mahmoud Ahmadinejad, reconheceu terem existido, sendo os autores do ataque, possivelmente, um programa !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 74 Disponvel em: <http://www.cert.br/stats/incidentes/2011-jan-dec/total.html>. Acesso em: 24/03/2012. ! 34! israelense-americano, conforme noticiou o New York Times. 75 Tal atividade chamada de ciberguerra (no ingls, cyberwarfare) e ir modificar as armas hoje existentes e, em especial, o campo de batalha.
2.4 DIFICULDADES NA REPRESSO AO CIBERCRIME
Muito da dificuldade encontrada no combate ao cibercrime advm da prpria natureza do meio onde ocorre parte dos atos executrios do delito (ou mesmo, por vezes, todos): o ciberespao. Este pode ser conceituado como o espao indefinido onde os indivduos transacionam e se comunicam. Ou, ainda, o lugar entre os lugares. 76 Apesar de tal terminologia ter sido criada pelo escritor de fico cientfica William Gibson, em 1984, ainda hoje consiste em um conceito novo, no apreendido pela maioria das pessoas. 77
fato, infelizmente, que o poder pblico no combate ao cibercrime no consegue reconhecer a potencialidade delitiva de novas tecnologias, at que seja tarde. A resposta dada pelo aparato policial e judicial est muito aqum do mnimo necessrio para uma represso adequada. Mesmo nos Estados Unidos da Amrica a polcia se v obrigada a realizar mtodos de investigao desprovidos de respaldo legal suficiente. A falta de recursos do poder pblico para o combate ao cibercrime situao comum a todos os pases, isso para no falar dos indispensveis aportes necessrios para a criao de um permanente plano de preveno para alguns destes delitos. Tal deficincia pode ser suprida, em parte, estabelecendo-se parcerias com a iniciativa privada para auxiliar nesta empreitada. As empresas de tecnologia so as mais indicadas para o suporte nesta batalha, j que detm capacidade financeira, aparato tecnolgico e humano para tanto. Isto o que vem sendo feito nos EUA. O desenvolvimento constante de novas tecnologias exige uma capacitao permanente dos agentes, j que o potencial delitivo vem crescendo !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 75 Disponvel em: <http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?pagewanted =all>. Acesso em: 22/03/2012. 76 Livre traduo. No original: [...] the indefinite place where individuals transact and communicate. It is the place between the places. BRITZ, Marjie T. Computer forensics and cyber crime: an introduction. New Jersey: Prentice Hall, 2009, p. 3. 77 Ibidem, p. 3. ! 35! exponencialmente. Esta capacitao de agentes pblicos, todavia, bastante complicada, pois demanda o afastamento dessas pessoas de suas funes, em cursos que chegam a durar algumas semanas. O investimento bastante alto e corre-se o risco dos melhores peritos, investigadores, sarem para a iniciativa privada, onde os salrios so muito mais interessantes. Afora esta necessria capacitao, imprescindvel, ainda, a criao de laboratrios, com toda infraestrutura tecnolgica para analisar evidncias, produzir provas, identificar e localizar suspeitos que ficam atrs de uma barricada eletrnica, podendo estar na mesma cidade, ou em um pas distante. Alm de equipamentos, grande parte dos custos recai na aquisio de programas de computador, que demandam atualizaes peridicas. Como demonstra Britz, nos EUA apenas alguns grupos mais especializados do FBI possuem tal aparato, mas mesmo assim no conseguem atender, sequer, aos crimes especficos para os quais foram criados, como o caso dos escritrios de investigao de explorao e pornografia infantis. Tais grupos no possuem estrutura para investigar outro delitos federais, muito menos auxiliar as polcias estaduais, dentro da esfera de atribuies destas. 78
Outro problema apontado por Britz, est no pouco conhecimento e falta de experincia dos promotores pblicos na persecuo de tais delitos. Ademais, muitos no tomam tais infraes como delitos graves, dando-lhes muito pouca prioridade. 79
Importante observao feita por McQuade reside nas diferentes percepes acerca do cibercrime entre os profissionais que detm o mister de reprimi-lo. Assim como nos crimes tradicionais, fato que aquelas pessoas que j foram vtimas de determinada espcie de delito tornam-se mais intolerantes com sua prtica. Felizmente, a grande maioria de ns no fora vtima da mirade de delitos tradicionais existentes, j o cibercrime, de outra sorte, vem alcanando grande parcela das pessoas. Muitos pensam no haver ilicitude, ou pelo menos grande reprovabilidade, em se efetuar o download de uma msica em formato mp3, ou um livro indevidamente digitalizado em arquivos pdf. Certamente se tal pessoa fosse um profissional do direito e tivesse uma obra sua, digamos um livro jurdico, indevidamente digitalizado e disponibilizado na Internet de forma gratuita, sem sua !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 78 BRITZ, Marjie T. Computer forensics and cyber crime: an introduction. New Jersey: Prentice Hall, 2009, p. 12. 79 BRITZ, Marjie T. Computer forensics and cyber crime: an introduction. New Jersey: Prentice Hall, 2009, p. 8. ! 36! anuncia, prejudicando, ou mesmo obstando a venda de seu livro impresso, o juzo sobre tal modalidade delitiva, possivelmente seria diferente. Segundo o autor 80 :
Experincias sociais e profissionais, combinados com a nossa compreenso de como a tecnologia pode ser utilizada para fins ilcitos, ajudam a moldar os nossos pontos de vista sobre desvio social, abuso no uso de computador, as ameaas segurana da informao e crime.
Outrossim, devemos reconhecer que as vises sobre o cibercrime so distintas, variando conforme o horizonte de conhecimento da pessoa, conceitos, posio social, trato com a informtica, histrico pessoal, formao, interesses, entre outros. Isso ajuda a compreender as barreiras e a contorn-las, de modo a possibilitar a implementao de medidas de segurana, ou a levantar elementos de convico para a represso do crime. imperioso entender que a viso de um diretor financeiro de uma empresa completamente diversa, seno antagnica, com a do diretor de TI, na compreenso das ameaas e necessidade de altos investimentos para prevenir incidentes. Sem isso, o diretor de TI ter grandes dificuldades em conseguir aportar recursos, e somente gerar atritos. Ao contrrio, se estiver cnscio desta problemtica, poder demonstrar, atravs de uma melhor abordagem, que a perda de imagem da empresa perante seus clientes, no caso de incidentes, ou a sada do ar do site da empresa, poderiam causar prejuzos mais vultosos do que o investimento necessrio para evit-los. Da mesma forma, subsidiar a atividade policial com a formao tcnica para compreender que a lesividade e alcance de um estelionatrio por Internet bem mais abrangente que a de um estelionatrio na rua, imprescindvel. A simples falta de capacitao, desconhecimento de como investigar, identificar e encontrar o cibercriminoso faz com que, em regra, o estelionatrio investigado seja somente o da rua, ficando o cibercrime em segundo plano, ou em plano algum.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 80 Livre traduo. No original: Social and professional experiences, combined with our understanding of how technology can be used for illicit purposes, help shape our views about social deviance, computer abuse, threats to information security, and crime. MCQUADE III, Samuel C. Understanding and managing cybercrime. Boston: Pearson, 2006, p. 20-21. ! 37! CAPTULO 3 A TECNOLOGIA DA INFORMAAO E A SEARA DA SEGURANA DA INFORMAO
Importante ressaltar, como bem observa Chacon 81 , que a melhor maneira de prevenir os cibercrimes repousa no desenvolvimento e adoo de medidas de segurana, ao invs de deix-los aos cuidados do direito penal, simplesmente. Neste sentido, entra em cena uma seara da Tecnologia da Informao chamada de Segurana da Informao. Necessrio apresentar os interesses jurdicos a serem protegidos em relao aos cibercrimes, de modo a permitir uma escorreita tipificao legal das condutas tidas como ilcitas. Estes podem ser extrados, precisamente, dos pilares da segurana da informao adiante estudados. So estes aspectos que devem ser resguardados atravs de medidas preventivas, ou tutelados penalmente para as aes reativas. Isso, inclusive, facilita uma tortuosa misso, que aquela de querer definir todos os elementos que orbitam o cibercrime, como dados e sistemas informticos. Mais importante, portanto, delimitar as condutas que afetaro os bens jurdicos protegidos. A vantagem em tal postura que no obstante o avano e mudanas advindas com o tempo, o comportamento ilcito se manter o mesmo, dando maior sobrevida aos tipos penais 82 . Trata-se de buscar uma neutralidade tecnolgica na formulao dos tipos penais para os cibercrimes, sob pena de restarem, em pouco tempo, defasados em relao tecnologia, dando azo a sendas legais para a impunidade. Isso porque no admissvel, em uma sociedade democrtica, correr- se o risco de admitir, com base na analogia malem partem, que se determine o que pode e o que no pode ser objeto de sano criminal no caso dos cibercrimes. 83
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 81 ALBUQUERQUE, Roberto Chacon de. A criminalidade informtica. So Paulo: Juarez de Oliveira, 2006, p. 22. 82 Ibidem, p. 53. 83 Ibidem, p. 41. ! 38!
3.1 PILARES DA COMUNICAO SEGURA
Como visto anteriormente, a Internet segue expandindo-se em nmero de usurios e facilidades. Despida da segurana necessria, porm, no se poderia empreender uma srie de atividades tais como: transaes bancrias, comerciais, cientficas e, inclusive, judiciais, a exemplo da utilizao do sistema de processo eletrnico. Para se alcanar tal desiderato, alguns requisitos bsicos devem ser observados: a autenticao, a autorizao, o no repdio ou irretratabilidade, a integridade dos dados e a privacidade, que doravante denominaremos de pilares para uma comunicao de dados fidedigna. Estas premissas podem ser alcanadas atravs do uso da assinatura e certificao digital, brevemente explanadas adiante, onde consta, ainda, uma concisa introduo sobre criptologia, cincia que respalda a tecnologia da certificao digital. Essa temtica essencial para que se entenda, mais profundamente, o cerne dos aspectos explorados pelos cibercriminosos, facilitando a compreenso da atividade criminosa por eles perpetrada, e como desenvolver mecanismos para seu combate, ou mesmo, preveno. Alm dos pressupostos elencados (pilares), atente-se para a necessidade da observncia de polticas e prticas da seara da segurana da informao, a serem discorridos ao final deste captulo, tendo sempre em mente que a criptografia apenas uma ferramenta que se coloca para se alcanar uma comunicao segura, no devendo ser empregada de forma isolada, ou incorreta, pois pode no agregar uma real segurana. A autenticao consiste no conhecimento da autoria da mensagem (ou informao). a possibilidade de provar a identidade de uma pessoa, fsica ou jurdica (vinculando-a gerao ou ao fornecimento de uma informao) 84 . No !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 84 Mesmo na identificao de um usurio de um sistema, o seu login (nome de usurio, nickname ou apelido, como se queira chamar) a informao prestada, recaindo a autenticao no correto fornecimento da senha correspondente quele login (que est vinculado, atravs de um cadastro prvio, a uma pessoa, individualizando-a). ! 39! mundo concreto, faz-se uso de carteiras de identidade emitida por autoridades de reconhecida idoneidade, difceis de serem forjadas ou adulteradas, que so vinculadas ao indivduo, seu titular. Da mesma forma, no mundo digital a autenticao deve identificar de forma unvoca a pessoa; ser verificvel por terceiros; oferecer alto nvel de dificuldade para falsificao; ser de fcil uso e permitir a vinculao da identidade informao por ele gerada. Alguns meios utilizados para autenticao so o uso de login/senha e leitores biomtricos. Os primeiros consistem em um apelido (nickname) e uma senha, meramente, e no oferecem segurana suficiente, pois podem ser interceptados, atravs de programas espies 85 , ou descobertos atravs de engenharia social (i.e. estuda-se os hbitos do usurio, seus gostos, relao familiar, para se descobrir uma senha fraca, como o nome do time predileto, o apelido da filha, a data de nascimento da esposa) ou por fora bruta (em que um programa vai testando as possveis senhas, normalmente com uso de lxicos de um dicionrio, at que se logre acertar o segredo). Normalmente os usurios utilizam senhas fceis de serem lembradas e, por outra via, fceis de serem descobertas ou quebradas. A utilizao de senhas fortes, com caracteres maisculos, minsculos, smbolos e nmeros, apesar de bastante seguros, sofrem o incmodo da dificuldade de serem memorizadas e, normalmente, seus detentores as escrevem em algum lugar, geralmente no muito seguro (como embaixo do teclado, ou em um papel colocado na carteira). Ademais, podem ser fcil e indevidamente compartilhados, bastando seu detentor fornecer os dois dados a uma terceira pessoa. Assim, pessoas que ainda no possuem muito trato com a informtica, poderiam informar seu nome de usurio e senha para seu assessor, ou estagirio, a fim de que utilizarem determinado sistema. Ocorre que tais colaboradores poderiam no adotar as devidas cautelas e, contrariando as regras bsicas de segurana, anotar em um lugar facilmente devassvel tais informaes, ou mesmo, dolosamente, pass-las para terceiros. Aqui se encaixa a mxima: se duas pessoas sabem um segredo, no h segredo! Temos, ainda, a possibilidade do uso de leitores biomtricos. Consistem estes em dispositivos que conseguem verificar caractersticas fsicas nicas de uma pessoa, comparando-a com a informao anteriormente cadastrada, como uma !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 85 Os chamados keyloggers, softwares que, de forma dissimulada, gravam todos os dados digitados no computador, capturando, assim o login e senha. ! 40! digital. 86 O uso, todavia, unicamente de leitores biomtricos (desvinculados de outra tecnologia), como o leitor de digitais, tambm padece de fraquezas, como a possibilidade de serem ludibriados (o que foi feito experimentalmente por um professor de engenharia da Universidade de Yokohama, no Japo, Tsutomu Matsumoto, que logrou confeccionar um molde de gelatina e burlou 87 , em 2002, cerca de 80% dos leitores de digitais do mercado). 88 Alm disso, mesmo os leitores biomtricos mais avanados, que se utilizam de outras caractersticas mais seguras, como os vasos da retina, os vasos da mo etc., possuem a grande desvantagem de, por serem oriundos de caractersticas individuais nicas, uma vez indevidamente copiados, no podem ser alterados ou descartados. Conhecida a autoria da mensagem ou informao, ou seja, autenticada uma transao, resta saber se aquela pessoa possui poderes, competncia, autorizao para a realizao daquela interveno. Desta forma, autenticao e autorizao esto totalmente associadas, mas no devem, jamais, ser confundidas. Neste sentido, para utilizar um exemplo mais corriqueiro da seara jurdica, um tcnico judicirio, ou um escrevente, pode estar devidamente autenticado em um sistema de processo eletrnico, podendo observar os eventos, proceder aos atos processuais que lhe competem, mas no poder assinar uma sentena, por exemplo, j que o sistema toma a identificao do usurio e limita sua atuao conforme as regras. O no repdio se funda na criao de um arcabouo tecnolgico capaz de demonstrar, atravs de provas incontestveis, a realizao por determinada pessoa, devidamente autenticada, de uma transao (sempre aqui entendida como um ato volitivo de enviar uma mensagem, prover uma informao, remeter um dado) de modo que no possa ser refutada posteriormente. Para tanto, da mesma forma que ocorre no mundo concreto, faz-se necessria a interveno de um terceiro, como o reconhecimento de uma firma, o registro em cartrio, que comprovam o exerccio de um ato, afastando sua futura rejeio. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 86 O uso de digitais mais antigo do que se imagina, havendo relatos de que na China antiga os governantes as utilizavam para lacrar documentos relevantes. Na Dinastia Tang (618-907 a.c.), as impresses digitais de comerciantes eram aplicadas em placas de barro para confirmar a sua identidade em transaes realizadas. Cf. PINHEIRO, Jos Maurcio. Biometria nos sistemas computacionais: voc a senha. Rio de Janeiro: Cincia Moderna, 2008, p. 39. 87 Disponvel em: <http://news.bbc.co.uk/2/hi/science/nature/1991517.stm>. Acesso em 20/02/2012 88 Naturalmente, desde o experimento, houve uma evoluo de tais leitores de digitais, podendo estes hoje verificar se as digitais so oriundas de um organismo vivo e outras caractersticas, o que incrementa sua segurana, mas no afasta as desvantagens apontadas. ! 41! Outro pilar para uma comunicao segura a criao de mecanismos que garantam a integridade dos dados, quer dizer, o teor, o contedo da informao deve ter sua inviolabilidade afervel, de modo que qualquer modificao no autorizada possa ser detectada. A privacidade reside no resguardo da informao sigilosa, impedindo seu conhecimento por terceiros no autorizados. Levando em conta que a Internet consiste em uma miscelnea de redes e protocolos (em diversas camadas, HTTP, FTP, TCP/IP, UDP) que no primavam, quando de sua concepo, pela confidencialidade na transmisso de dados, faz-se mister uma estrutura que garanta o sigilo dos dados transmitidos, evitando sua interceptao e leitura. Nos tpicos posteriores, buscaremos esses pilares, demonstrando como implementar os mecanismos para alcanar uma comunicao de dados segura, evitando-se grande parte dos ataques de cibercriminosos.
3.2 DA CRIPTOLOGIA ASSINATURA DIGITAL
Neste tpico so apresentadas algumas noes acerca da criptologia, que pode ser definida como um dos ramos da cincia que, tendo como divises a criptografia e a criptoanlise, estuda os mtodos de cifragem ou codificao de uma informao, tornando-a ininteligvel, quer para o homem, quer para a mquina e seus diversos programas, bem como o caminho inverso de decifragem 89 ou decodificao da informao, tornando-a novamente legvel ao ser humano ou mquina, atravs do programa computacional para a qual foi desenvolvida. Viktoria Tkotz bem pontua em sua obra 90 que a criptografia, como cincia, bastante recente, mas na forma de arte possui milhares de anos. Atente-se que o fato de um determinado arquivo do processador de textos do Word 7.0, por exemplo, no conseguir ser aberto ou abrir todo truncado (com caracteres estranhos) numa verso mais antiga de Word, Excel ou qualquer outro programa para o qual no foi desenhado, no significa dizer, obviamente, que o arquivo est criptografado. Apesar de ininteligvel para toda uma gama de softwares, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 89 Trata-se esta palavra de um neologismo apesar de termos em nosso lxico o seu antnimo a cifragem, como ato de cifrar j que tal vocbulo no consta em nossa lngua. 90 TKOTZ, Viktoria. Criptografia: segredos embalados para viagem. So Paulo: Novatec, 2005, p. 17. ! 42! poder ser aberto e perfeitamente lido no programa e verso que lhe deu origem (ou outros que sejam compatveis). A criptografia mais que isso, ela uma desorganizao (de forma estruturada, naturalmente, pois do contrrio no poderia ser revertida) do texto claro (plaintext, cleartext ou texto original) que, atravs de processos matemticos de substituio, transposio, enchimento, gera um texto cifrado (ciphertext codetext, texto codificado, mensagem cifrada ou criptograma) irreconhecvel.
3.2.1. Tcnicas clssicas de criptografia
Apesar dos inenarrveis infortnios da guerra, ela a me de boa parte da cincia e tecnologia modernas. Poder-se-ia elencar uma mirade de exemplos, como: os satlites que propiciaram as comunicaes modernas e o sistema de posicionamento global (GPS); o desenvolvimento dos circuitos integrados (incentivado pelo Departamento de Defesa Americano para aumentar preciso dos sistemas de guia de msseis); o forno de micro-ondas, descoberto acidentalmente, quando um cientista aproximou uma barra de chocolate de um magnetron (o componente principal dos radares militares) e esta derreteu; equipamentos mdicos; a prpria Internet, inicialmente nominada de Arpanet, surgida durante a Guerra Fria, como forma de descentralizar as informaes. Da mesma forma, a guerra foi a impulsionadora da criptografia, surgida h mais de 2 mil anos 91 , tendo os romanos utilizado a tcnica para mandar mensagens codificadas, evitando que o inimigo decifrasse seu contedo, o que foi repetido e crucial durante as grandes batalhas da humanidade. Segundo Simon Singh: Durante milhares de anos, reis, rainhas e generais dependeram de comunicaes eficientes, de modo a governar seus pases e comandar seus exrcitos. Ao mesmo !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 91 Apesar de a maioria dos autores utilizarem essa referncia como um dos primeiros usos da tcnica de cifrar uma mensagem, David Kahn, em sua clebre obra The Codebreakers, aponta como o mais remoto uso conhecido de um dos elementos da criptografia a troca de alguns hierglifos, inscritos na tumba de um fara egpcio, por um escriba, situada em uma vila do antigo Egito, chamada Menet Khufu, por volta do ano de 1900 a.C. Apesar da modificao no visar tornar ininteligvel o texto (e foi, sim, uma deferncia ao inumado), o escriba utilizou-se de um dos elementos essenciais da criptografia, a troca deliberada da escrita. No original, Thus the inscription was not secret writing, but it incorporated one of the essencial elements of cryptography: a deliberate transformation of the writing. It is the oldest text known to do so. KAHN, David. The Codebreakers: the story of secret writing. Abridged Version. New York: The Macmillan Company, 1973, p. 65. ! 43! tempo, eles estavam cientes das consequncias, caso suas mensagens cassem em mos erradas, revelando segredos preciosos a naes rivais, ou divulgando informaes vitais para foras inimigas 92 . A criptografia utilizava diversas tcnicas para tornar ininteligveis as mensagens (uso de cdigos, cifragem por substituio, por transposio) ou meramente buscava esconder a mensagem dentro de outros textos, chamada de esteganografia (do grego estegano, oculto, coberto, impenetrvel e graphia, ao de escrever). A esteganografia que no deve ser confundida com a estenografia 93 (forma de escrita baseada em smbolos que substituem palavras ou frases de modo a acelerar a escrita) ao invs de tornar ininteligvel a mensagem, simplesmente a esconde. Seu primeiro uso conhecido, conforme assevera Tkotz, est relatado em um texto de Herdoto, do sculo V a.C., onde narra a histria de Histio que, desejando remeter uma informao secreta ao seu superior, pegou um escravo fiel, raspou-lhe os cabelos e tatuou a mensagem. Aps, esperou que os cabelos crescessem e enviou o escravo ao seu chefe, com a instruo de que lhe raspassem a cabea 94 . Na outra via, surgiu, posteriormente, a criptoanlise, que buscava decifrar aquelas mensagens incompreensveis 95 (tentava-se descobrir o contedo da mensagem cifrada, devassar o segredo) e, mais recentemente, passou tambm a verificar o nvel de segurana e qualidade do algoritmo 96 entendido este como um !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 92 SINGH, Simon. The code book: the evolution of secrecy from Mary Queen of Scots to quantum cryptography. New York: Anchor Books, 1999, p. xiii. Livre traduo do autor. No original: For thousands of years, kings, queens and generals have relied on efficient communication in order to govern their countries and command their armies. At the same time, they have all been aware of the consequences of their messages falling into the wrong hands, revealing precious secrets to rival nations and betraying vital information to opposing forces. 93 Ou taquigrafia (do grego taqui, rpido e graphia, ao de escrever). Sendo que a diferena entre as duas est no fato de que a taquigrafia feita mo, utilizando-se uma caneta ou lpis, e a estenotipia por uma mquina. 94 A esteganografia ainda bastante utilizada, e na seara da informtica utilizam-se arquivos de fotos e vdeos para esconder mensagens, alterando-se os bits menos significativos, no sendo perceptvel qualquer alterao na imagem. 95 Sua utilizao durante a Segunda Guerra Mundial foi essencial para seu desfecho, podendo os aliados decifrar as mensagens transmitidas e cifradas pela maquina criptogrfica alem, ENIGMA. 96 Conjunto de regras e operaes bem definidas e ordenadas, destinadas soluo de um problema, ou de uma classe de problemas, em um nmero finito de etapas (Dicionrio Aurlio). Segundo Burnett e Paine: A palavra algoritmo um termo cientfico para uma receita ou procedimento passo a passo. Ela uma lista de instrues ou coisas a serem feitas em uma determinada ordem. Um algoritmo talvez tenha uma lista rgida de comandos a ser seguida ou talvez contenha uma srie de perguntas e, dependendo das respostas, descreve os passos apropriados a ! 44! elenco de aes destinadas soluo de um problema ou a realizao de uma tarefa, e.g. uma receita para a criao de bolo e dos mtodos matemticos aplicados na cifragem. Em suma, os criptoanalistas testam a fora da criptografia. A criptografia, como mtodo para tornar uma mensagem indecifrvel, necessitava de uma tcnica que somente era conhecida pelos interlocutores: emissor(es) e destinatrio(s). O segredo estava no algoritmo criptogrfico, no criptossistema, ou seja, na forma como se processava a desorganizao (cifragem) e reorganizao (decifragem) do texto. Assim, surgiram tcnicas como as da substituio e da transposio 97 .
3.2.2 Tcnicas de substituio
Atravs desta tcnica, que rene o maior nmero de diferentes mtodos criptogrficos, trocam-se os caracteres de uma mensagem por outros predefinidos para cifrar uma mensagem. Assim, por exemplo, o Alfabeto, ou Cdigo de Csar empreendia uma tcnica de substituio simples, utilizada pelo Imperador Romano, onde cada letra da mensagem era trocada pela terceira letra seguinte. Por exemplo: o a por d, o m por p. Assim, uma conhecida frase de Virglio, Sic itur ad astra 98 , uma vez cifrada, passaria a se escrever Vlf lwxu dg dvtud 99 . Apesar de tal algoritmo criptogrfico, outrora bastante utilizado em Roma, ser hoje enormemente simples podendo um computador domstico, em uma frao de segundo, quebrar uma criptografia deste nvel a tcnica da substituio persistiu e foi aprimorada, permanecendo at os dias atuais. No exemplo apresentado, um criptoanalista observaria 100 que o texto est separado em grupos de diversos tamanhos, o que leva a crer que formam palavras; que certos caracteres se repetem com frequncia; que pela frequncia de cada letra !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! serem seguidos. BURNETT, Steve; PAINE, Stephen. Criptografia e Segurana. Rio de Janeiro: Campus, 2002, p. 14. 97 Que so tcnicas da criptografia por cifras, onde se modifica a unidade da informao, (no caso de um texto, uma letra, por exemplo) mas fique assentado que existe a criptografia por cdigos, onde um grande volume de informaes, palavras, frases so trocadas por um cdigo. TKOTZ, Viktoria. Criptografia: segredos embalados para viagem. So Paulo: Novatec, 2005, p. 21. 98 Assim se vai s estrelas!, Eneida, livro IX, verso 64. 99 Para decifrar a mensagem, naturalmente, basta fazer o caminho inverso, tomando o texto cifrado e substituindo cada letra pela terceira anterior. 100 Chamado de ataque estatstico. TERADA, Routo. Segurana de dados. So Paulo: Blucher, 2008, p. 25. ! 45! poderia determinar a lngua utilizada no texto 101 ; poderia pegar as palavras mais simples, com o menor nmero de slabas e de acordo com a lngua, descobrir quais so e, a partir da, quebrar o cdigo 102 . Ou, simplesmente, empreender a fora bruta e tentar todas as possibilidades, substituindo todas as letras por uma anterior. Se no retornasse um texto legvel (no exemplo acima ficaria: Uke kvwt cf custc), substituiria por 2 letras anteriores (no caso, Tjd juvs bd btrsb), nada ainda. Trocar- se-ia, ento, por 3 letras e se chegaria mensagem clara: Sic itur ad astra. Muitas foram as ideias e diversos os personagens que ao longo da histria aprimoraram tal tcnica. Ao invs de deixar as palavras separadas, alguns passaram a junt-las em blocos de 5 (ou uma outra quantidade de letras), assim, evitou-se o reconhecimento de palavras. Em vez de trocarem uma letra pela terceira seguinte, ou outra quantidade fixa qualquer, (de modo que cada letra vai ter uma s outra correspondente), passou-se a trocar em blocos, digamos de cinco letras. Assim, efetuavam-se deslocamentos diferentes, digamos 43182, ou seja, a primeira letra do texto substituda pela quarta letra seguinte no alfabeto, a segunda letra, pela terceira posterior, a terceira, pela letra seguinte, a quarta pela oitava e a quinta pela segunda, reiniciando tudo novamente. Isso evita que uma mesma letra possua um s correspondente, afastando-se o ataque por dicionrio e mesmo por estatsticas. Depois se aprimorou ainda este mtodo, e utilizou-se uma chave progressiva, com um nmero de deslocamentos diferentes (para substituio dos caracteres) evitando a repetio de uma mesma chave, o que enfraquecia a tcnica. Utilizando esta metodologia Blaise de Vigenre, em meados do ano de 1586, publicou uma obra 103 , Trait des chiffres ou Secrtes Manires d'crire (Tratado das !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 101 Cada lngua possui um nmero de palavras, slabas e letras mais utilizadas e conforme a quantidade e disposio em que aparecem pode-se determinar a lngua utilizada. O portugus, por exemplo, tem como letras mais frequentes o a (14,63%), e (12,57%), as consoantes s (7,81%), r (6,53%). Disponvel em: <http://tinyurl.com/3j9op2p>. Acesso em 12/03/2012. No ingls, por sua vez, segundo estudo da Universidade de Matemtica de Cornell, a letra mais usada a vogal e (12,02%), seguida da consoante t (9,1%), seguida da vogal a (8,12%). Disponvel em: <http://tinyurl.com/2atmvu6>. Acesso em 12/03/2012. Destarte, apenas observando os caracteres substitudos e a frequncia com que aparecem, pode-se, estatisticamente, definir uma lngua. 102 Posteriormente foram criados mecanismos para compensar essa disparidade, atribuindo-se cifras diversas para as letras mais frequentes, de modo que a distribuio no texto ficasse igualitria, a exemplo da homophonic substitution cipher, descrita por SINGH, Simon. The code book: the evolution of secrecy from Mary Queen of Scots to quantum cryptography. New York: Anchor Books, 1999, p. 52. 103 Disponvel em: <http://tinyurl.com/62ccdvt>. Acesso em 12/03/2012. ! 46! Cifras ou Maneiras Secretas de Escrever), onde apresentou um criptossistema, cuja qualidade foi to elevada que levou mais de 300 (trezentos) anos para ser quebrado. Muitas outras tcnicas foram utilizadas at chegar na criptografia moderna que, como j asseverado, utiliza-se da tcnica da substituio, aliada com a da transposio adiante estudada.
3.2.3 Tcnicas de transposio
Diferentemente da substituio e, como o prprio nome indica, a transposio, simplesmente, mistura, realoca a posio dos caracteres 104 , sem substitu-los por outros. Um exemplo simples de transposio a tcnica de rail fence apontada por Stallings 105 , onde o texto claro escrito em diagonais e o texto cifrado lido em linha. Para ilustrar, observe-se um exemplo com 2 (duas) linhas, com a mensagem: VAMOS SAIR HOJE
O texto cifrado ficaria VMSAROEAOSIHJ. Apesar de ser computacionalmente fcil criptoanalisar essa tcnica, que foi utilizada na Guerra de Secesso Norte Americana 106 , ela evoluiu com o tempo e passou a utilizar diagramas, onde se inseria o texto claro nas linhas e o codificado era extrado das colunas, que para uma maior complexidade eram permutadas. Muitas outras tcnicas seguiram, com transposies duplas, assimtricas, giratrias, etc. A mquina criptogrfica mais antiga de que se tem notcia 107 o scytalae, tambm conhecido como Basto de Licurgo, que seria um basto de madeira, onde se enrolava uma tira de tecido, ou de couro, e se escrevia uma mensagem. Depois de desenrolada a tira, a mensagem tornava-se irreconhecvel, operava-se uma !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 104 Ou na atualidade, na era da informtica, dos bits que, como ser apresentado adiante, consistem na unidade mnima, da linguagem bsica da computao, consistente em zeros e uns. 105 STALLINGS, William. Criptografia e segurana de redes. 4. ed. So Paulo: Pearson Prentice Hall, 2008, p. 32. 106 TKOTZ, Viktoria. Criptografia: segredos embalados para viagem. So Paulo: Novatec, 2005, p. 175. 107 Segundo Tkotz, alguns historiadores no confirmam a existncia do equipamento que, de qualquer forma foi descrito em uma das obras de Plutarco, nascido ao redor do ano de 50 a.C. Ibidem, p. 157. V M S A R O E A O S I H J ! 47! transposio das letras. Tal tira era, ento, transportada, muitas vezes na forma de cinto e, quando o destinatrio a recebia, enrolava em um basto com dimetro idntico e decifrava a mensagem. Apesar da criptografia por cifras, aplicando unicamente a tcnica da transposio no ser recomendada (por no ser forte o suficiente) uma vez aliada, a tcnica de substituio continua a ser uma importante e atual ferramenta criptogrfica 108 .
3.2.4 Tcnicas modernas de criptografia
A criptografia moderna passou por uma importante fase evolutiva, tendo o segredo sado do par algoritmo/chave e passado somente para esta. Isso fcil de perceber, pois a singeleza dos primeiros algoritmos, acaso amplamente conhecidos, permitiria com a simples tentativa e erro revelar o segredo. 109
Poderia se perguntar por que no esconder, hodiernamente, o algoritmo. A resposta simples: ele sempre, invariavelmente, descoberto. 110 Ademais, imagine- se que para a troca de informao entre uma determinada empresa e sua subsidiria, colaboradora ou fornecedora, fosse necessrio um algoritmo, ou seja, um programa computacional desenvolvido apenas para ambas cifrarem mensagens entre si. No h como, tcnica e financeiramente, no mundo atual, em face das mltiplas relaes comerciais e avano nas comunicaes, um algoritmo criptogrfico ser desenvolvido para cada relao. Alm disso, nada impede que um funcionrio descontente ou aliciado envie, a um cibercriminoso invasor, cpia do programa. Ou simplesmente poderia haver uma invaso remota, via Web, onde se lograsse conseguir uma cpia do algoritmo, ou mesmo fosse furtado ou perdido aquele ultrassecreto e caro programa criptogrfico que estava armazenado no notebook de seu presidente, para trocar informaes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 108 Utilizada, por exemplo, no criptossistema de criptografia simtrica DES (Data Encryption Standard ou Padro de Criptografia de Dados). 109 Se os inimigos de Csar soubessem que este utilizava uma tcnica simples de substituio de letra, tentariam usar as diferentes 26 chaves, i.e. as 26 letras do alfabeto, e teriam em poucos minutos a mensagem. Ou se fosse conhecida a tcnica do basto de Licurgo, tentar-se-ia utilizar dimetros diferentes de bastes at revelar o segredo. 110 Como bem ressaltam Burnett e Paine: Nunca na histria da criptografia algum foi capaz de manter um algoritmo em segredo. BURNETT, Steve; PAINE, Stephen. Criptografia e segurana. Rio de Janeiro: Campus, 2002, p. 18. ! 48! importantes com a sede de sua corporao. Ou seja, no existe como esconder o algoritmo. A soluo foi a criao de tcnicas criptogrficas, cuja fora estivesse baseada, no no sigilo do algoritmo (no programa), mas na sua qualidade de cifrar a mensagem atravs de uma engenhosa equao matemtica. Esta permitia um simples e leve processamento para cifrar ou decifrar (desde que se conhea a chave, obviamente), afinal, no se poderia ficar horas, sequer minutos, codificando uma mensagem. Ao mesmo tempo, devia ser complexo, lento e caro para um invasor chegar mensagem clara, partindo da mensagem cifrada. Importante ressaltar, inclusive, que grande parte destes algoritmos criptogrficos 111 so abertos ao pblico, propiciando que a comunidade de pesquisa criptogrfica possa analisar, apontar brechas e encontrar falhas. A criptografia moderna baseia-se, pois, em equaes de mo nica, na aritmtica modular, cujo clculo simples e rpido. Agora, sem a chave e partindo do resultado, querer descobrir os valores de todas as variveis componentes da equao, mesmo se sabendo sua frmula (lembre-se que toda a metodologia conhecida), extremamente difcil, demorado e demandaria muito investimento ( o que se chama computacionalmente difcil). Assim, a segurana da informao se fulcra em dois fatores: tempo e custo. O criptossistema escolhido dever oferecer uma fora (uma segurana) cujo tempo necessrio para ser quebrado dever ser muito superior vida til da informao (do tempo necessrio na manuteno do sigilo). Poder ser eleito tambm baseado no custo financeiro para a devassa, devendo este ser bem maior que o valor da informao que se quer proteger. Pode-se dizer, para fazer uma metfora um tanto singela, que o algoritmo para criptografar uma mensagem uma tranca, uma fechadura transparente, que contm n (leia-se, trilhes de trilhes de trilhes...) possveis chaves e s pode ser lacrada e aberta com apenas uma delas. Pode-se ver e entender o mecanismo interno da fechadura (a equao), apenas no se sabe qual a chave (a varivel), aleatoriamente escolhida e invisvel ao cibercriminoso, que foi acionada para !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 111 Ou seja, a estrutura, a lgica e tcnicas utilizadas (como se operam as substituies, transposies, enchimentos etc.) no algoritmo so conhecidas, sendo muito mais seguro confiar em um criptossistema publicamente aberto e submetido ao crivo de criptoanalistas de todo o mundo, do que em um outro cujos mtodos estejam somente nas mos da empresa desenvolvedora (e, certamente, de um punhado de cibercriminosos). ! 49! trancar, isto , cifrar a mensagem (resultado da equao) e deve ser utilizada para destrancar a fechadura, ou seja, decifrar a informao.
3.2.5 Criptografia simtrica
Como visto no tpico anterior, as tcnicas modernas de criptografia baseadas em equaes matemticas de sentido nico, fundam-se na manuteno do sigilo de um dos valores da frmula matemtica, que chamamos de chave. Assim, a chave um valor matemtico de determinado tamanho, utilizado para cifrar uma mensagem. Caso se esteja lidando com a criptografia simtrica, com a mesma chave pode-se decifrar a informao. Observa-se aqui uma das principais caractersticas da criptografia simtrica, a utilizao de uma nica chave para codificar e decodificar a mensagem. Para decifrar ser necessria a utilizao da mesma chave, ou no poderemos jamais recuperar a informao. Note-se o destaque no verbete, j que no existe 112 criptografia impossvel de ser quebrada 113 . Toda criptografia solvel, atravs de mtodos de fora bruta e fatorao de nmeros. Ento, poderia se perguntar qual seu desiderato, j que pode ser quebrada. A resposta, como mencionado h pouco, dormita na dificuldade, lentido e custo financeiro para efetuar a quebra. Apesar de ser uma verdade inexorvel a de que em algum momento o cdigo ser quebrado, a segurana repousa no tempo em que isto levar, estando diretamente ligado qualidade do algoritmo e da chave. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 112 BURNETT, Steve; PAINE, Stephen. Criptografia e segurana. Rio de Janeiro: Campus, 2002, p. 10. 113 Apesar de alguns matemticos e criptlogos apontarem a cifra One-Time Pad como nica impossvel de ser quebrada ainda que somada a capacidade computacional de todos os computadores do mundo. Este mtodo de substituio utiliza uma chave, gerada aleatoriamente, que possui a mesma extenso do texto claro. Em funo desta caracterstica, tentar atac-la infrutfero, pois poderia se tentar n combinaes que gerariam textos claros diversos, no se podendo afirmar qual deles o correto. O grande problema de sua utilizao reside na dificuldade de se gerar chaves realmente aleatrias em grande quantidade e de grandes dimenses (o que demandaria um perfeito programa gerador de nmeros randmicos, RNG Random Numbers Generators). SINGH, Simon. The code book: the evolution of secrecy from Mary Queen of Scots to quantum cryptography. New York: Anchor Books, 1999, p. 122-123, assevera: The security of the onetime pad cipher is wholly due to the randomness of the key. ! 50! Os computadores utilizam dois estados para efetuar todo o processamento em seus chips, ausncia e presena de corrente eltrica 114 . Tais impulsos eltricos so representados como 0 (ausncia) e 1 (presena). Diz-se, pois, que a linguagem do computador binria, j que possui apenas dois dados de informao, chamados de bits (sigla advinda de BInary digiT, dgito binrio) cuja representao b minsculo. No confundir com Bytes, representado por B 115 maisculo, que consiste num agrupamento de 8 bits (tambm chamado de octeto) e geralmente utilizado para informar o tamanho de nossos arquivos (fotos, msicas, textos etc.) enquanto na transmisso de dados, como a velocidade de acesso Internet, fornecida e vendida em bits e seus mltiplos 116 . Desta forma, os computadores utilizam um byte como um conjunto de oito bits (apesar de que poderia se escolher um nmero diferente), como menor unidade de informao. O motivo de se utilizarem apenas oito reside no fato de ser o suficiente para representar todos os caracteres de um teclado (seja letra maiscula, minscula, nmeros, sinais de pontuao e smbolos) e os cdigos para realizar a troca de informaes entre os componentes do computador. Se um byte possui 8 bits estamos falando de 256 combinaes possveis. Isso porque cada bit possui dois estados (0 ou 1), ou seja, duas combinaes, para cada bit agregado, multiplicamos por dois, assim 2 bits representam 4 possibilidades (4 nmeros): 00, 01, 10, 11; 3 bits oito combinaes: 000, 001, 010, 011, 100, 101, 110 e 111. E assim sucessivamente. Ou se pode, simplesmente, utilizar a operao de exponenciao. No caso, a base igual quantidade de informao de cada bit, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 114 Ao invs de ausncia e presena de energia os dois estados podem ser representados por uma carga positiva e outra negativa, ou em uma carga aqum e alm de uma voltagem padro. Podem ser representados fisicamente por vrios meios alm da eletricidade, v.g. mdias pticas de armazenamento (CDs e DVDs); atravs de ondas eletromagnticas (rede wireless); por via de polarizao magntica em discos rgidos (HD, Hard Driver), por uma intensidade de pulso de luz em fibras ticas. 115 Apesar de que a melhor prtica recomendada seria o uso da representao da unidade de bits em bit e byte em b, uma vez que B refere-se a bel (que expressa o valor de grandezas logartmicas, como o nvel de rudo) no Sistema Internacional, conforme orienta o prprio Inmetro. Disponvel em: <http://tinyurl.com/44jh5rr>. Acesso em: 20/02/2012. 116 Aqui muitas dvidas so geradas na medida em que so utilizados os prefixos adotados pelo Sistema Internacional (que indicam potncias de base 10), como quilobyte, megabyte, gigabyte, terabyte, petabyte, exabyte, zettabyte e yottabyte, para representar grandezas em base 2, adotada pela International Electrotechnical Commission (IEC), rgo internacional de padronizao de medidas relativas a eletro-eletrnica), que possui uma nomenclatura prpria de prefixos como kibibyte, mebibyte, gibibyte etc., evitando-se a confuso da proporo 1:1000 e 1:1024. Assim, um quilobyte (1KB, normalmente representando com K maisculo, apesar da forma recomendvel ser o k minsculo, para no se confundir com kelvin no SI) possui 10 3 bytes ou 1000 bytes e no 1024 bytes ou 2 10 bytes, como se costuma apregoar, tratando-se este valor de um kibibyte. Esta ltima notao vem ganhando terreno e prefervel ser utilizada por estar na base 2. ! 51! no caso 2 (0 ou 1) elevado ao nmero de bits, v.g. 8, 2 8 = 256. Destarte, verifica-se algo interessante que deve ser lembrado: para cada bit acrescentado, dobra-se o nmero de combinaes possveis. Os principais padres de criptografia simtrica, atualmente, utilizam chaves de 128 e 256 bits, cujo tamanho j se pode ter uma noo. No caso de uma chave de 128 bits trata-se de 2 128 combinaes possveis. Algo como um nmero de 39 dgitos. Observe-se que ao se falar de uma chave com o dobro do tamanho, uma de 256 bits, no significa que ela ter apenas o dobro de combinaes, lembre-se que dobramos o nmero destas, bastando adicionar um bit, e aqui adicionamos mais 128. A seguir so apresentadas as formas que os cibercriminosos tentam romper essa barreira. Caso se adote o uso de tal criptografia, observe-se como um cibercriminoso pode ter acesso informao protegida. Ele, seja competente cracker 117 , ou um simples lammer ou script kid (denominaes dadas a pessoas, geralmente adolescentes, que apesar de no terem os excepcionais conhecimentos de um hacker, utilizam-se de ferramentas j prontas 118 para efetuar invases, desviar e observar o trfego de dados) consegue uma cpia da mensagem cifrada. Observe-se que no existe como impedir de maneira inexorvel que uma mensagem, ainda que criptografada, chegue ao delinquente. Pode-se minimizar em muito esse acesso indevido, desde que utilizadas as ferramentas adequadas segurana da informao, explanadas posteriormente 119 , porm, tem-se sempre de considerar que, ou durante o trfego, ou no armazenamento dos dados, poder se conseguir uma cpia da mensagem, razo pela qual ela sempre dever estar criptografada. O cibercriminoso, portanto, no exemplo dado, possui a mensagem codificada, o algoritmo de criptografia, mas no possui o essencial, a chave. Assim, ele ter de tentar adivinhar o valor da chave, valendo-se para tanto de um programa de ataque !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 117 Designao usualmente atribuda a experts (hackers) que utilizam sua expertise com o fito de cometer ilcitos. 118 So vrias estas ferramentas disponveis na Net. Apesar de muitas no terem sido concebidas inicialmente para ataques e sim teste de sistemas, auditorias, seu uso foi deturpado e hoje se encontra disseminado na rede. 119 Somadas ao uso de um canal seguro de transmisso de dados, Secure Sockets Layer (SSL), ou seu sucessor, o Transport Layer Security (TSL). STALLINGS, William. Criptografia e segurana de redes. 4. ed. So Paulo: Pearson Prentice Hall, 2008, pag. 379. ! 52! por fora-bruta (brute force attack) que consiste na tcnica de tentativa e erro 120 . Ele tentar decifrar a mensagem, inserindo todas as possveis chaves (tecnicamente denominado espao de chaves). 121
Ao se falar em quebra de chaves, deve-se considerar a capacidade computacional do invasor. Cada mquina possui uma capacidade, limitada por sua estrutura e caractersticas, de processar certa quantidade de informaes por segundo, o que chamamos em informtica de FLOPS (floating point operations per second, i.e. operaes de ponto flutuante por segundo, ou, simplesmente, nmero de instrues por segundo) 122 , mquinas domsticas avanadas, v.g. com um processador Intel Core i7 Extreme Edition 990x, possuem uma capacidade de processamento em torno de 159 gigaFLOPS (159 bilhes de FLOPS) 123 . J os supercomputadores possuem elevadssima capacidade computacional, mas no so vendidos a qualquer um, e mesmo governos de determinados pases no podem comprar tais mquinas, por questes de segurana, j que podem ser utilizados para efetuar clculos balsticos de msseis, produo de armas de destruio em massa, etc. A mais poderosa mquina da atualidade o Supercomputador K Japons, apresentado em 2011, formado por 68.544 processadores de 8 ncleos. Foi desenhado para superar a capacidade de 8,16 petaFLOPS (8,16 quatrilhes de FLOPS), podendo chegar a 10 petaFLOPS. Mas j dever ser superado, em breve, pelo IBM Blue Gene/Q Sequoia que est sendo construdo e dever operar ainda agora em 2012, com nominais 20 petaFLOPS. Para se ter uma ideia do que este nmero representa, segundo noticiado pela prpria IBM 124 , a capacidade de processamento dessa mquina em um dia, equivaleria a colocar cada pessoa de !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 120 Existem, claro, outros mtodos de ataque, como o ataque dicionrio, pelo qual um programa se utiliza de palavras comuns combinadas com nmeros e smbolos simples, ataque estatstico, entre outros. TERADA, Routo. Segurana de dados. So Paulo: Blucher, 2008, p. 25. 121 Em verdade, cerca de metade delas, pois ele ir dividir a anlise do universo de nmero de chaves em vrias partes, tendo a chance de acertar, aps analisar no muito mais que 50% destas. 122 Apesar de tais mquinas poderem processar essa imensa quantidade de operaes em seus processadores, trata-se de mero nmero de referncia, j que para se verificar a efetiva capacidade de um supercomputador deve-se analisar seu desempenho na execuo de determinada tarefa (v.g. software de meteorologia, biologia, clculos balsticos, processamento grfico, ou mesmo um programa de benchmark etc.) e a velocidade de comunicao entre seus componentes, como do processador para as memrias, destas para os dispositivos de armazenamento. Por isso tornou-se usual mensurar o nmero de milhes de instrues por segundo MIPS (million of instructions per second) em um programa de benchmark (que compara a performance de mquinas), ou em aplicativos reais. 123 Mensurado atravs do SiSoftware Sandra 2011, disponvel em: <http://tinyurl.com/6gc3lgy>. Acesso em 13/01/2012 124 Disponvel em: <http://tinyurl.com/3r8uuzm>. Acesso em 13/01/2012. ! 53! toda a populao mundial (7 bilhes de indivduos, para efetuar operaes em uma calculadora, 24 horas por dia, 7 dias por semana, durante mais de 700 (setecentos) anos. No entanto, um invasor qualquer a no ser que se esteja falando de governos (que tambm criptoanalisam dados confidenciais) 125 no possui acesso a essas caras e nicas mquinas. Como o processamento de dados necessrio para se descobrir a chave muito grande, o invasor, cibercriminoso ou cracker (no presente trabalho no se utiliza o termo hacker, j que este no sinnimo de criminoso, como se costuma apontar, significando, meramente, um expert, uma pessoa com profundos conhecimentos de informtica em searas como sistemas operacionais, redes e desenvolvimento de softwares), por melhor que seja, necessita de uma capacidade computacional elevadssima. Para tanto, o cracker necessitar utilizar milhares, ou dezenas de milhares de computadores pessoais em rede, geralmente invadidos, que passam a servir como escravos (slaves) ou zumbis. Tratam-se das botnets anteriormente abordadas. O computador central (master) divide a tarefa de processar e analisar o cdigo, remetendo parte do trabalho para cada mquina que, caso no encontre a informao, solicita nova tarefa ao computador central, e assim segue at que finde o trabalho de criptoanlise. Desta maneira funciona um dos maiores computadores distribudos na Internet, na atualidade, o Deep Crack. 126 Criado pela rede DistributedNet, que se trata de uma organizao que busca analisar a fora de criptossistemas e suas chaves, contando com a participao de milhares de internautas que, atravs de suas mquinas conectadas grande rede, formam um supercomputador e colaboram no projeto. 127
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 125 Como o sistema de espionagem de comunicaes (telefone, fax, e-mail) que pode interceptar comunicaes privadas e comerciais em todo o globo e cuja existncia, negada pelos EUA, praticamente inconteste. Conhecido como ECHELON, administrado pela Austrlia, Canad, Estados Unidos, Nova Zelndia e Reino Unido. Sua existncia, alcance e ameaa, inclusive, j foi alvo de estudo no mbito da Unio Europeia, atravs do relatrio A5-0264/2001 do Parlamento Europeu, disponvel em:<http://tinyurl.com/3fu4yk2>. Acesso em 15/01/2012. Atravs deste sistema poderia ser processado um nmero gigantesco de informaes, tendo como alvo pessoas, rgos e empresas determinados (ou de maneira global) com a utilizao de um mtodo de dicionrios, de modo que uma vez detectadas certas palavras importantes, previamente estabelecidas, aquela comunicao passaria a ser avaliada. 126 TERADA, Routo. Segurana de dados. So Paulo: Blucher, 2008, p. 58. 127 O internauta, no caso, baixa e instala um pequeno mdulo que ir receber uma frao do espao de chaves para ser analisada. O programa apenas utiliza a capacidade ociosa do computador, de ! 54! Destarte, com base nesta capacidade de processamento que se projeta o tempo necessrio para que uma chave com certo tamanho possa ser quebrada. Dependendo de sua dimenso e caractersticas (uma chave simtrica mais robusta que uma assimtrica) pode levar, por exemplo, 2 (dois), 10 (dez), 30 (trinta) ou 100 (cem) anos. Os usurios, portanto, devem eleger a dimenso da chave, conforme o tempo que creem necessrio manter em segredo uma determinada informao. Mas, por que no escolher, de logo, uma chave muito grande? Pelo simples fato de que, quanto maior a chave, maior e mais lenta fica a operao de criptografar. Desta forma, deve-se elevar com parcimnia o tamanho da chave, mormente nas operaes via Internet, de modo a no se inviabilizar a comunicao. 128
Pelo que foi visto neste tpico, pode-se verificar que, mesmo havendo um aumento muito grande do desempenho dos computadores no futuro, de modo a abreviar o tempo de quebra de chaves, tambm certo que ir permitir a utilizao de chaves cada vez maiores, sem afetar a performance do sistema, de modo perceptvel ao usurio. Assim, o impacto computacional, no acrscimo, no tamanho de uma chave, que, como visto, dobra o nmero de possibilidades para cada bit adicionado, muito menor para a operao de criptografar do que a dificuldade computacional agregada criptoanlise de um invasor, estando em vantagem sempre, em favor do criptgrafo. Atente-se, apenas, para o fato de que, apesar da existncia de tal vantagem, deve-se fazer projees com cautela, pensando sempre na hiptese mais desfavorvel para que o usurio no seja pego de surpresa, escolhendo uma chave com determinada extenso, que pensava ter uma sobrevida de 30 (trinta) anos e venha a ser quebrada em 10 (dez) 129 . Apesar de tal alerta, o tempo de quebra das !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! modo que no momento que o usurio faz uso de sua mquina o desempenho no seja afetado. Confira: <http://www.distributed.net>. Acesso em 18/01/2012. 128 Naturalmente que o reflexo maior no se daria na mquina do usurio, por exemplo de um sistema de Internet banking, mas nos servidores de rede da instituio financeira ao processarem milhares de transaes simultaneamente. 129 Mesmo o ltimo supercomputador conhecido da IBM, antes mencionado, o Blue Gene/Q tem uma previso de alcanar uma capacidade de 20 (vinte) petaFLOPS em 2012. Tal evoluo no compromete as previses atualmente feitas, apenas cogitveis atravs da computao quntica. Observe-se j existirem computadores qunticos sendo comercializados, ainda com meros 128 qubits (bits qunticos), pela empresa D-Wave. Disponvel em: <http://tinyurl.com/63uacch>. Acesso em 18/01/2012. Para a quebra de uma criptografia simtrica, em uma tentativa aleatria de todas as possveis n de chaves, o computador quntico conseguiria reduzir as tentativas para a raiz ! 55! chaves est muito prximo das previses feitas, devendo os gestores da rea de TI de empresas e rgo pblicos atentar para as recomendaes existentes. Em decorrncia disso, ressalta-se a inestimvel importncia dos criptoanalistas que analisam os algoritmos criptogrficos de natureza aberta, pblica, procurando identificar fragilidades e quebrar as diversas extenses de chaves. Muitos desenvolvedores de criptossistemas incentivam principalmente aps o lanamento de um novo padro que a comunidade de criptoanalistas tente quebrar uma chave, inclusive oferecendo prmios em dinheiro para o primeiro que conseguir. Tal atitude traz maior segurana para os usurios e submete o criptossistema a uma rigorosa avaliao pblica, evitando a falcia da pseudossegurana de criptossistemas fechados, no publicamente testados, eventualmente j violados por invasores que, por bvio, quedam em silncio. Para se ter uma noo da durabilidade de tais algoritmos simtricos (aqui considerando o tempo necessrio para a quebra da chave, considerando sua extenso, to somente, e no eventual brecha do prprio criptossistema), consta abaixo uma tabela com algumas chaves j quebradas e a expectativa de vida das que seguem inclumes 130 .
Tabela 2 - Expectativa de vida til de chaves simtricas Tamanho da chave em bits 131
Vida til (mtodo das Equaes de Lenstra & Verheul) Vida til (recomendao do NIST 132 ) Vida til (recomendao do ECRYPT II 133 ) 56 obsoleta em 1997 obsoleta em 1997 obsoleta em 1997 80 2013 2010 2009-2012 96 2034 2011-2030 2013-2020 112 2055 2011-2030 2021-2030 128 2076 >2030 134 2031-2040 256 2243 >2030 >2041 Fonte: <http://www.keylength.com>. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! quadrada de n. Para a criptografia simtrica necessrio que o nmero de bits qunticos seja superior a duas vezes o tamanho em bits da chave para poder quebr-la, o que ainda levar algum tempo, segundo o trabalho: Notas em matemtica aplicada 8, da Sociedade Brasileira de Matemtica Aplicada e Computacional. Disponvel em: <http://tinyurl.com/4xr3osh>. Acesso em 23/01/2012. 130 Disponvel em: <http://www.keylength.com>. Acesso em 23/02/2012. 131 Nas projees deve ser considerado o padro AES cujo conceito ser visto adiante. 132 NIST, ou National Institute of Standards in Technology, o Instituto Nacional de Padres em Tecnologia Norte Americano. 133 ECRYPT II uma rede europeia de excelncia em criptologia, vinculada ICT (Information & Communication Technologies) da Comisso Europeia. Disponvel em: <http://www.ecrypt.eu.org/>. Acesso em 23/02/2012. 134 O NIST no efetua projees alm de 2030. ! 56!
Muitos so os modelos de criptossistemas. Enquanto alguns esto completamente obsoletos, outros continuam em vigor, tendo sido aperfeioados apenas em alguns aspectos e aumentando o tamanho de suas chaves ao longo do tempo. Existem os mais atuais, desenvolvidos segundo os padres da AES, suscintamente apresentados para que se saiba quais esto em vigor. O primeiro a ser massivamente utilizado foi o Data Encryption Standard ou Padro de Criptografia de Dados (DES), baseado no algoritmo LUCIFER e desenvolvido pela IBM em 1977, utilizando uma chave de 56 bits. Foi adotado pelo National Bureal of Standards (NBS), hoje National Institute of Standards in Technology (NIST), como padro nos Estados Unidos para informaes comerciais 135 . Com o passar do tempo e o aumento da capacidade computacional das mquinas lembrando-se da lei de Moore 136 , que assevera que a cada 18 (dezoito) meses dobra-se a capacidade dos processadores de computador 137 sua quebra foi alcanada em 1999, na RSA Conference, pela Electronic Frontier Foundation, em menos de 24 horas. At que se desenvolvesse um novo padro, passou-se a utilizar a Triple DES que, conforme o prprio nome indica, trata-se de uma criptografia DES, aplicada 3 vezes sobre a informao a ser cifrada. Primeiramente, cifra-se a mensagem clara com uma chave, pega-se a uma segunda e criptografa-se o resultado da primeira criptografia e, por fim, criptografa-se com a primeira chave a segunda criptografia. Observe-se que a quebra de tal chave de 56 bits em menos de 24 horas, ainda no ano de 1999, no significa que levaria apenas de 3 dias para quebrar a tripla codificao. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 135 STALLINGS, William. Criptografia e segurana de redes. 4. ed. So Paulo: Pearson Prentice Hall, 2008, p. 46-47. 136 Gordon Moore, fundador da maior fbrica de processadores do mundo, a INTEL. 137 Efetivamente, dobra-se a quantidade de transistores contida em um processador, sem aumento significativo de custo, a cada 18 meses. Esta lei continua em voga e ainda deve ser aplicvel por, pelo menos, mais uma dcada. Argumenta-se que no futuro deixar de subsistir, pois a miniaturizao nos circuitos de silcio alcanar seu limite, alcanado cada transistor o tamanho de poucos tomos. Apesar de que tal elemento poder ser substitudo por um material chamado grafeno (uma camada de tomos de carbono com um tomo de profundidade) que em razo de sua capacidade de multiplicar frequncias, poder produzir chips com velocidade de at 100 vezes superior aos chips convencionais, conforme estudos do MIT, divulgados em maro de 2009. Disponvel em: <http://tinyurl.com/cmrpx4>. Acesso em 23/02/2012. ! 57! De nada vai adiantar que um cibercriminoso acerte uma das chaves no caso da engenharia reversa, a ltima pois ele vai chegar na mensagem cifrada pela segunda vez. Ou seja, ele apenas poder lograr a quebra quando conseguir achar corretamente cada uma das chaves e combin-las de modo a chegar a uma mensagem legvel e verificar que houve sucesso. Fazendo uma analogia simples, seria o mesmo que dizer que cada chave pode ser um nmero de 2 dgitos, ou seja, ter 100 combinaes (de 0 a 99), podendo um computador hipottico testar 100 combinaes em uma hora, e que uma chave de 6 dgitos (3 vezes mais extensa) pudesse ser quebrada no triplo do tempo, em 3 horas... Isso, claro, no verdadeiro, pois uma chave de 6 dgitos teria 1 milho de combinaes (de 0 a 999.999) e o computador hipottico do exemplo (muito lento por sinal), verificando 100 chaves por hora, apenas iria lograr analisar a todas em 10 mil horas, ou cerca de 416 dias! Apesar da relativa segurana da chave Triple DES, que equivaleria a uma chave de 168 bits 138 , seu algoritmo estava obsoleto e assim o NIST resolveu, em 1997, promover uma competio para a criao de uma chave avanada de criptografia batizada de Advanced Encryption Standard (AES) onde deviam os candidatos satisfazer uma srie de requisitos. Em 1999, foram anunciados os 5 (cinco) finalistas, e em outubro de 2000, o vencedor da competio, o algoritmo RIJNDAEL, de autoria de Joan Daemen e Vicent Rijmen. O algoritmo simtrico AES-RIJNDAEL vem, portanto, substituindo o antigo padro DES, que ainda pode ser encontrado em algumas aplicaes 139 .
3.2.6 Criptografia assimtrica
Como visto ao final do tpico anterior, a criptografia de chave simtrica (tambm chamada de criptografia de chave secreta, ou de chave nica) apresenta !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 138 Segundo os criptoanalistas, descobriu-se uma maneira de simplificar o ataque de fora-bruta de modo que uma Triple-DES equivale a uma chave de 108, o que j no oferece uma grande margem de segurana. BURNETT, Steve; PAINE, Stephen. Criptografia e segurana. Rio de Janeiro: Campus, 2002, p. 40. 139 No se olvide a existncia de outros respeitados modelos de algoritmos simtricos em uso como o IDEA, Blowfish, Twofish, RC6 etc. Os dois ltimos, por sinal, foram um dos cinco finalistas do concurso para o AES, aquele de autoria de Bruce Schneier, J. Kelsey, D. Whiting, D. Wagner, Chris Hall e Niels Ferguson e este de Ron Rivest, M.J.B. Robshaw, R Sidney e Y.L. Yin. TERADA, Routo. Segurana de dados. So Paulo: Blucher, 2008, p. 45. ! 58! uma severa deficincia, o compartilhamento da chave. De nada adiantaria o remetente criptografar uma mensagem com um forte algoritmo, como um de 512 bits AES-Rijndael, e encaminhar a chave por e-mail para o destinatrio. Pensando nisso, Whitfield Diffie e Martin Hellman desenvolveram, em 1976, um mecanismo de permuta de chaves, dando origem a criptografia assimtrica 140 , ou de chave pblica 141 . Como se infere do prprio nome, trata-se de uma tcnica criptogrfica que se utiliza de duas chaves, uma privada, mantida em sigilo por seu titular, e uma pblica, disponvel para todos. Elas esto ligadas matematicamente, de forma que, o que uma faz, somente a outra desfaz. Importante observar que no obstante a vantagem apresentada da criptografia da assimtrica quanto a distribuio de chaves, a assimtrica continua em uso, conjuntamente com aquela, por chegar a ser milhares de vezes mais rpida para cifrar e decifrar uma informao, alm de ser mais segura. Como mencionado, a chave pblica e a privada possuem uma afinidade matemtica e ao utilizarmos uma delas para cifrar uma mensagem, apenas a outra poder decifr-la. Interessante destacar que h possibilidade de cifrar uma informao, tanto com a chave pblica, como a privada, surgindo com isso, claro, consequncias diversas abordadas adiante. 142
Atravs desta metodologia, qualquer interlocutor poderia, utilizando a chave pblica do destinatrio, enviar-lhe uma mensagem cifrada de modo seguro, sabendo-se que apenas o detentor da chave privada poderia decifr-la. Tal vantagem, porm, esconde uma limitao: a carga computacional para cifrar e, principalmente, decifrar a mensagem (e aqui nos referimos queles que possuem a chave, no o invasor que veremos adiante) na criptografia assimtrica, muitssimo elevada. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 140 Apesar disso, algumas agncias norte-americanas e britnicas, reivindicam terem desenvolvido a tcnica entre 1960 e 1970. BURNETT, Steve; PAINE, Stephen. Criptografia e segurana. Rio de Janeiro: Campus, 2002, p. 82. 141 Posteriormente, trs professores do Massachusetts Institute of Technology (MIT), Ron Rivest, Adi Shamir e Len Adleman, publicaram em 1978 o algoritmo de criptografia assimtrica RSA, at hoje utilizado. 142 Se a chave pblica de algum for utilizada para cifrar uma mensagem est se garantindo com isso que s o autor a recupere (com sua chave privada), temos uma autenticao parcial (no caso s do destinatrio) e garante-se a privacidade da informao. Caso seja cifrada com a chave privada de uma pessoa determinada informao, no haver privacidade j que qualquer um ao informar nossa chave pblica poder reaver a informao. Garante-se, contudo, uma autenticao parcial (no caso do remetente) servindo como uma assinatura digital. ! 59! A matemtica aplicada, para que se utilizem duas chaves distintas e complementares, necessita de uma carga computacional centenas ou milhares de vezes maior para efetuar a operao de criptografia, se comparada com a criptografia simtrica. Assim, arquivos extensos, na ordem de megabytes ou gigabytes, no podem ser submetidos criptografia de chave pblica, pois o tempo seria proibitivo. Ademais, a matemtica utilizada na criptografia assimtrica exige chaves mais extensas que a simtrica, de modo a manter a mesma segurana. Diante disso, a soluo encontrada simples, mas engenhosa, e consiste na utilizao das duas. A assimtrica permite a distribuio de chaves, a simtrica a cifragem e a decifragem da informao. Assim, cifra-se o contedo do arquivo com a simtrica, aproveitando de todas as vantagens de performance, velocidade e segurana. E a chave utilizada para tanto enviada utilizando-se a criptografia assimtrica. Diante de tal implementao de segurana, o cibercriminoso agora possui a mensagem codificada e a chave simtrica, tambm, cifrada. Querer decifrar a mensagem atravs da fora bruta, como j vimos, um caminho tortuoso. Ele agora tentar investir contra a criptografia assimtrica, que cifrou a chave simtrica. Contra a criptografia assimtrica, no cabvel a fora bruta, em face da grande extenso das chaves. Tentar todas as combinaes de uma chave de 2048 bits, ou seja, achar uma precisa combinao em um universo, em que os nmeros chegam a ter 617 dgitos 143 inconcebvel, ainda que somada a capacidade computacional de todas as mquinas existentes no mundo. Aqui, o mtodo mais rpido para um intruso a fatorao de nmeros. Neste criptossistema, utilizam-se dois nmeros primos, digamos p e q (com tamanhos prximos e com mais de uma centena de dgitos) que, multiplicados, geram um nmero n que servir para criptografar a mensagem, atravs de uma funo matemtica. Encontrar o produto dos nmeros primos computacionalmente simples, agora, partindo do resultado, descobrir tais fatores computacionalmente difcil. O motivo de se usar nmeros primos o fato de no serem inteiramente divisveis por qualquer outro nmero, alm de 1 e de si mesmo, o que dificulta sua fatorao. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 143 Conforme clculo de Wolfram Alpha, disponvel em: <http://tinyurl.com/6f3eq5m>. Acesso em 23/02/2012. ! 60! Assim, ele tentar descobrir o valor dos primos (constituintes da chave privada) que, multiplicados chegam ao valor que ele tem em mos, n (a chave pblica). 144 Ele dever se valer de um programa que analisar o nmero n e ir gerar um gigantesco conjunto de nmeros primos com a extenso provvel, passando a multiplic-los para ver se chega ao valor da chave pblica. Trata-se da aplicao da tcnica de tentativa e erro. Tal anlise computacionalmente difcil, mas no tanto quanto a da simtrica, razo pela qual a extenso das chaves privadas bem maior que as das chaves nicas utilizadas na simtrica, para manter o mesmo nvel de segurana. Aqui se deve repensar o que foi dito anteriormente quanto ao motivo de no se escolher, de plano, uma chave muito grande, pois quanto maior for esta, mais lenta ficar a operao de criptografar, devendo, portanto, ser elevado, com cautela, o tamanho da chave privada, mormente neste modelo de criptografia, que conceitualmente possui um processamento mais lento. Quanto expectativa de segurana oferecida por tais algoritmos assimtricos, (aqui considerando o tempo necessrio para a fatorao da chave pblica, analisando sua extenso, to somente, e no eventual brecha do prprio criptossistema), traz-se, abaixo, uma tabela com algumas chaves j quebradas 145 e a expectativa de vida das que seguem ilesas 146 .
Tabela 3 - Tamanho de Chaves Assimtricas Tamanho da chave em bits Vida til (recomendao do NIST) Tamanho da chave em bits Vida til (recomendao do ECRYPT II) 1024 2010 1008 2010 2048 2011-2030 1776 2013-2020 3072 >2030 3248 2031-2040 Fonte: <http://www.keylength.com>.
Como dito anteriormente, o conceito da criptografia assimtrica foi desenvolvida por Whitfield Diffie e Martin Hellman, tendo os professores do MIT !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 144 Claro que aqui foi simplificada a matemtica aplicada que se baseia na aritmtica modular. Os passos e funes matemticas envolvidas seriam: 1) Escolha dois nmeros primos extensos, p e q; 2) Calcule n = p x q; 3) z = (p 1 ) x ( q 1); 4) Escolha um nmero relativamente primo em relao a z e chame-o de e; 5) Encontre d de forma que d = e-1 mod z. Portando, a chave pblica (KU) consiste em KU = {e, n} e a chave privada (KR) consiste em KR = {d, n}. Caso o leitor tenha inclinao pelo assunto, recomendamos a leitura de STALLINGS, William. Criptografia e segurana de redes. 4. ed. So Paulo: Pearson Prentice Hall, 2008, p. 188-193. 145 Aqui se trata da existncia de capacidade computacional para quebra de tal chave, no querendo dizer, necessariamente, que toda a informao criptografada com tal extenso de chave est imediatamente acessvel, demandando, ainda, extenso trabalho de criptoanlise. 146 Disponvel em: <http://www.keylength.com>. Acesso em 23/02/2012. ! 61! (Massachusetts Institute of Technology) Ron Rivest, Adi Shamir e Len Adleman, posteriormente, criado o modelo de criptografia de chave pblica mais difundido da atualidade, o RSA (sigla formada pelas iniciais de Rivest, Shamir e Adleman). Alm do RSA, outros modelos, como a Criptografia de Curvas Elpticas, cuja vantagem a utilizao de chaves menores, vm sendo desenvolvidas, mas ainda no atingiram grande disseminao.
3.2.7 Resumo de mensagem (nmero de hash)
Tambm conhecido por funo de espalhamento, ou funo hashing, trata-se de um algoritmo que gera, a partir de um arquivo de qualquer tamanho, um nmero com dimenso definida (nmero de hash 147 ). Assim, atravs de diversas operaes matemticas, so efetuados clculos que consideram todas as informaes contidas na mensagem, de modo a fornecer um nmero com dimenso definida e de forma que qualquer modificao do arquivo, de um bit que seja, do mero acrscimo de um espao em branco, gera-se um nmero totalmente diverso. Veja-se o exemplo:
Tal mensagem de texto, utilizando-se a funo de hash SHA-1, levaria ao seguinte nmero 148 : fb 6a cd 45 44 1c e9 dc 93 5e 7f de 73 5a 58 22 94 f7 07 0c Agora, apenas modificando o nmero 2 por 3, na mensagem, observe-se a completa modificao do nmero de hash gerado: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 147 Significando hash, por sua vez, espalhar, misturar etc., o que bem define seu escopo. 148 Caso o leitor tenha interesse de baixar um programa gratuito para calcular os principais nmeros de hash do mercado, baixe o HashX em: <http://www.boilingbit.com/>. Acesso em 23/02/2012. Prezado Dr. Italiano:
Informo que estou concluindo a anlise solicitada em 2 meses.
Sds. Dr. Brasileiro ! ! 62!
Nmero de hash: d2 45 39 8a e5 fb e9 5f c0 5e f3 96 65 91 2f 05 8f 8e 97 d1 No exemplo acima, fora utilizado o padro de hash mais difundido na atualidade o SHA-1 (Secure Hash Algorithm, i.e. algoritmo de hash seguro), evoluo do SHA, onde foram identificados algumas fraquezas, e batizada sua verso aprimorada de SHA-1, existindo ainda a SHA-2 256, SHA- 2 384 e SHA-2 512. Como se pode inferir, os nmeros referem-se ao tamanho do nmero hash gerado, em bits. A SHA-1, possui 160 bits, o que significa que possui 20 bytes, representados, geralmente, em nmeros hexadecimais (que podem ser representados por um par de algarismos, um par de letras ou por um algarismo e uma letra) 149 . O primeiro padro a ser maciamente utilizado foi o MD, desenvolvido por Ron Rivest, que foi sendo aprimorado atravs do MD2, MD4 e MD5. Apesar de o ltimo da srie ser ainda bastante utilizado, j foram encontradas fraquezas e demonstradas colises (adiante explicadas), que o tornam contraindicado, tendo em seu lugar, sido disseminado o uso do SHA-1 e SHA-256. Agora, mesmo o SHA-1 e seus sucessores esto sendo postos em cheque 150 , de forma que o NIST a exemplo do que fez com a criptografia assimtrica, abrindo um certame 151 para a escolha de um padro AES iniciou um concurso em 2007 para a escolha de um AHS Advanced Hashing Standard, cujo resultado dever se dar em 2012. 152
As principais propriedades de uma boa funo de hashing so 153 : !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 149 O sistema hexadecimal, conforme o nome diz, utiliza uma base de 16 algarismos (smbolos): os 10 algarismos decimais (de 0 a 9) e mais as letras A, B, C, D, E e F (significando, respectivamente, os nmeros 10, 11, 12, 13, 14, 15 e 16). 150 Por fora de uma vulnerabilidade apontada em fevereiro de 2005, o que dever abreviar a vida til do algoritmo. 151 Para mais informaes sobre o projeto AHS do NIST, visite: <http://tinyurl.com/3rfahb8>. Acesso em 17/02/2012. 152 TERADA, Routo. Segurana de dados. So Paulo: Blucher, 2008, p. 87. 153 BURNETT, Steve; PAINE, Stephen. Criptografia e segurana. Rio de Janeiro: Campus, 2002, p. 121-122. Prezado Dr. Italiano:
Informo que estou concluindo a anlise solicitada em 3 meses.
Sds. Dr. Brasileiro ! ! 63! a) a de que qualquer mensagem, independentemente de seu tamanho, gerar um nmero de hash de mesma extenso, no caso da SHA-1, como visto, com 20 bytes, ainda que a mensagem contenha somente um ou dois bytes 154 ; b) dois arquivos, por maiores que sejam, caso tenham uma mnima diferena, iro gerar nmeros de hash totalmente diversos; c) no se pode construir a mensagem a partir do resumo, ou seja, a partir do nmero de hash no se pode chegar precisa informao que o gerou; 155
d) no se pode encontrar qualquer mensagem que produza um nmero de hash em particular 156 . e) no se pode encontrar duas mensagens que gere um mesmo nmero de hash. Assim, os ataques contra as funes de hash visam quebrar algumas dessas propriedades, mormente as duas ltimas, pois caso no se verifiquem, geram o que se chama coliso. As chances de colises diminuem quanto melhor a qualidade do algoritmo e quanto maior for o nmero de hash, j que apesar do infinito nmero de possveis mensagens, o universo de nmeros de hash finito, estando e.g. no caso da funo SHA-1, na ordem de 2 160 possveis nmeros, ou seja, 1.461.501.637.330.902.918.203.684.832.716.283.019.655.932.542.976 nmeros. Dito isso, pode-se compreender a finalidade das funes de espalhamento: a possibilidade de se aferir a integridade de um arquivo, de uma mensagem. Assim, qualquer alterao de dados, por mnima que seja, ir gerar um nmero de hash totalmente distinto, se submetido verificao. Destarte, usurios de Internet, digamos duas grandes corporaes, podem trocar grandes arquivos de computador, podendo averiguar se houve qualquer adulterao nas mensagens enviadas.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 154 Apenas para exemplificar, uma mensagem de texto contendo trs bytes: oi! ir gerar um nmero de hash com os mesmos 20 bytes, ab 6f 48 e2 92 19 36 b2 5c 34 4f f8 a0 e5 9e 08 62 c7 cf 7c. Isso, naturalmente, falando-se de SHA-1, pois a SHA-2 de 512 bits gerar uma sada de hash com 64 bytes. 155 Aqui a fora bruta no se aplica. Querer, pela tcnica da tentativa e erro, testar as possveis mensagens e fazer seus resumos para ver se se chega ao nmero de hash quase impossvel, pois como visto a mensagem pode ter qualquer dimenso. 156 Veja que esta propriedade diferente da anterior, naquela foi explicada a impossibilidade de se achar precisamente a mensagem que produziu determinado nmero de hash. Nessa, a impossibilidade de se achar qualquer mensagem que chegue ao mesmo valor. ! 64! 3.2.8 Assinatura digital
Diante do substrato tecnolgico apresentado, pode-se compreender que ao se utilizar a chave pblica de algum, conseguimos ter a certeza de que somente tal pessoa poder recuperar a mensagem. Fora visto, ainda, que as chaves na criptografia assimtrica so reversas, o que uma faz, a outra desfaz. Desta forma, se aplicarmos o inverso, ou seja, se algum assina com sua chave privada um arquivo, est garantindo, erga omnes, que aquela informao foi gerada por ele. Trata-se, portanto, da assinatura digital. O que d validade a esta assinatura, o que comprova que tal contrato, mensagem, programa, petio, ofcio ou mesmo uma sentena, assinado digitalmente e enviado, o fora por determinada pessoa, so dois elementos: um tcnico e um jurdico. O substrato tecnolgico repousa na criptografia assimtrica que, como visto, garante que ningum, de posse da chave pblica, chegue chave privada do indivduo. Juridicamente, no Brasil, a MP 2.200-2/01, que por conta da segurana do criptossistema, confere validade jurdica juris tantum a esta autenticao criptogrfica, vinculando a chave ao seu titular. Para evitar que um cibercriminoso simplesmente intercepte uma mensagem e, fingindo ser o remetente, ou o destinatrio, distribua sua prpria chave, levando o outro a crer que detinha a chave do verdadeiro remetente, tipo de ataque conhecido por MITM - Man in the middle attack 157 (literalmente, ataque de homem no meio) 158 , necessrio que terceiro afira tal titularidade. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 157 Atente-se que o ataque MITM, i.e. man-in-the-middle (tambm chamado de bucket-brigade attack), tanto pode ser usado para forjar uma assinatura digital como para violar o sigilo de uma informao, bastando que o intruso intercepte a comunicao e fornea sua prpria chave pblica como sendo a da vtima. Caso o outro interlocutor a utilize para verificar a assinatura, ocorrer a primeira hiptese. Se utilizar a falsa chave pblica para criptografar uma mensagem, o intruso conseguir devassar a informao confidencial. 158 O ataque MITM no se d somente na comunicao entre duas pessoas, mas pode ser aplicado entre o usurio e um servidor (de um site de compras), roubando a sesso (troca de informaes) e logrando-se conseguir o nmero do carto de crdito do comprador. Para evitar este ilcito podemos utilizar canais de conexo segura como o Secure Sockets Layer (SSL), hoje na sua verso 3, ou seu sucessor o Transport Layer Security (TLS), que criptografam a sesso e autenticam o servidor e o cliente, criando um canal seguro e impedindo a interveno por um terceiro. Alm dessas tecnologias, temos a Secure Electronic Transaction (SET), utilizada em operaes financeiras, e mesmo numa camada mais abaixo (camada de rede), o IP Security Protocol (IPSec), que permite toda uma gama de medidas de segurana. STALLINGS, William. Criptografia e segurana de redes. 4. ed. So Paulo: Pearson Prentice Hall, 2008, p. 380 et seq. ! 65! Tendo em conta o crescente nmero de usurios e sua disperso geogrfica, faz-se mister o uso de um meio de se validar a titularidade de uma chave pblica, tarefa resolvida atravs da utilizao da Certificao Digital de Chaves Pblicas. Deixar o titular de uma chave pblica na responsabilidade de afirmar tal vnculo, seria o mesmo que autorizar cada indivduo a imprimir sua prpria identidade, ou carteira de motorista, em casa. Nada impediria um mal intencionado de utilizar sua foto e imprimir os dados da vtima, fazendo-se passar por ela. Assim como necessrio que um rgo, um terceiro confivel, v.g. Secretaria de Segurana Pblica, Detran, OAB, emita a identidade ou documento e lhe confira validade, resta evidente que no mundo digital precisamos de um agente, chamado de Autoridade Certificadora 159 (AC), para emitir um certificado (contendo a chave pblica) e o vincular a uma pessoa (fsica ou jurdica) ou, mesmo, a um servidor 160/161 (um site), de forma inequvoca. A chave pblica, portanto, constar em um certificado emitido por uma AC de confiana, que o assinar, garantindo-se sua autenticidade, e dando-lhe publicidade. Como definem Burnett e Paine 162 :
[...] um certificado de chave pblica (public-key certificate PKC) um conjunto de dados prova de falsificao que atesta a associao de uma chave pblica a um usurio final. Para fornecer essa associao, um conjunto de terceiros confiveis confirma a identidade do usurio.
O padro mais adotado nas infraestruturas de chave pblica o X.509 163 , que depois de revisado e aprimorado, encontra-se na sua verso nmero 3. Neste modelo de certificado constam algumas informaes essenciais utilizadas para a verificao da integridade e validade do certificado. Neste documento eletrnico temos, ento, basicamente: a verso, o nome do titular, sua chave pblica, nmero de srie do certificado, o nome do emissor, o algoritmo de assinatura, assinatura do emissor e perodo de validade do mesmo. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 159 Ou no ingls CA (Certification Authority). 160 Os servidores de um rgo ou empresa podem ser certificados de modo a se garantir que o usurio, ao utilizar de seus servios, via Internet, no seja vtima de phishing (ser direcionado a um falso site a fim de que as informaes fornecidas pelo usurio sejam obtidas pelo fraudador). 161 Veremos que a Lei 11.419/2006, em seu artigo 4, 1, para a disponibilizao de dirio da justia eletrnico, exige alm da certificao do contedo na verdade do(s) responsvel(is) pela disponibilizao da informao a certificao do stio (os servidores de internet). 162 BURNETT, Steve; PAINE, Stephen. Criptografia e segurana. Rio de Janeiro: Campus, 2002, p. 146. 163 Padro desenvolvido pela International Telecommunication Union (ITU). ! 66! Mas, poderia surgir a dvida de como saber se dado certificado verdadeiro. A autenticao do certificado se d atravs da assinatura digital aposta pelo rgo que o emitiu. Da mesma forma, tal rgo que emitiu o certificado do titular tambm possui um par de chaves e um certificado. Tal certificado emitido e assinado pela AC imediatamente superior e ela. E esta ltima, por sua vez, possui certificado emitido e assinado pela AC Raiz 164 . Observa-se, portanto, que a resposta est em uma cadeia de certificados e assinaturas de uma AC a outra, que termina (na verdade, se inicia) na AC Raiz, chamada de Infraestrutura de Chaves Pblicas ou, simplesmente, ICP 165 . Como mencionado, uma ICP uma cadeia de relacionamentos tcnicos, jurdicos, administrativos e de fiscalizao entre as autoridades certificadoras, autoridades de registro, titulares de certificados e terceiros confiantes, a fim de manter uma estrutura fidedigna, no uso da criptografia assimtrica. Uma ICP pode ser desenvolvida por uma instituio privada ou, como no caso do Brasil, por um rgo estatal.
A ICP-Brasil Infraestrutura de Chaves Pblicas Brasileira um conjunto de entidades, padres tcnicos e regulamentos, elaborados para suportar um sistema criptogrfico com base em certificados digitais. Criada a partir da percepo do Governo Federal, na importncia de se regulamentar as atividades de certificao digital no pas, denota maior segurana nas transaes eletrnicas e incentiva a utilizao da Internet como meio para a realizao de negcios. A ICP-Brasil foi instituda pela Medida Provisria 2.200-2, de 24 de agosto de 2001, que cria o Comit Gestor da ICP-Brasil, a Autoridade Certificadora Raiz Brasileira e define as demais entidades que compem sua estrutura. A partir dessa MP, foram elaborados os regulamentos que regem as atividades das entidades integrantes da ICP-Brasil: so as Resolues do Comit Gestor da ICP-Brasil, as Instrues Normativas e outros documentos, que podem ser consultados em Legislao. O modelo de Infraestrutura adotado pela ICP-Brasil foi o de certificado com raiz nica. O Instituto Nacional de Tecnologia da Informao (ITI) est na ponta desse processo, como Autoridade Certificadora Raiz AC Raiz da Infraestrutura de Chaves Pblicas Brasileira. Cabe ao ITI credenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos. 166
Destarte, a segurana advinda nesse formato muito elevada. O sistema de credenciamentos de uma AC bastante rgido, as auditorias e vistorias frequentes, a estrutura fsica possui mnimos exigveis. Apenas para ilustrar ao leitor, as atividades !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 164 O certificado da AC Raiz autoassinado. Isto significa dizer que se trata do nico certificado de toda uma ICP que assinado por sua prpria chave privada. 165 Ou, no ingls, PKI Public Key Infrastructure. 166 Disponvel em: <https://www.icpbrasil.gov.br/apresentacao>. Acesso em 17/02/2012. ! 67! desenvolvidas por uma AC devem estar situadas em instalaes com 4 nveis de acesso fsico 167 , aumentando o controle do ingresso de pessoas, conforme a importncia das tarefas envolvidas. A cada nvel (estando o seguinte dentro do espao fsico e devendo atender s exigncias do anterior), aumenta-se o controle de acesso. Utilizam-se sistemas mltiplos de credenciamento, carto magntico, senhas de acesso, leitura biomtrica (ris, voz ou digital), probem-se o ingresso de equipamentos eletrnicos estranhos atividade da AC (celular, notebooks). Somente podem ingressar pessoas acompanhadas por um funcionrio, com toda a atividade monitorada por sistemas de vigilncia, desde a entrada at a sada, de modo que no nvel 4:
[...] todas as paredes, piso e teto devero ser revestidos de ao e concreto ou de outro material de resistncia equivalente. As paredes, piso e teto devero ser inteirios, constituindo uma clula estanque contra ameaas de acesso indevido, gua, vapor, gases e fogo. Os dutos de refrigerao e energia, bem como os dutos de comunicao, no devero permitir a invaso fsica das reas de quarto nvel. Adicionalmente, esses ambientes de nvel 4 que constituem as chamadas salas-cofre devero possuir proteo contra interferncia eletromagntica externa. 168
3.3 ASPECTOS LEGAIS SOBRE A CERTIFICAO DIGITAL E A ICP-BRASIL
Depois de explicado em que consiste a tecnologia de uma Infraestrutura de Chaves Pblicas e introduzido a ICP-Brasil, compete discorrer novamente sobre tal tema, desta vez enfocando de maneira mais detalhada o seu aspecto legal. Inicialmente, cabe ressaltar que a assinatura digital foi albergada pelos ordenamentos jurdicos de diversos pases, sendo os Estados Unidos da Amrica um dos primeiros, atravs de uma lei no Estado de Utah, datada de 1 de maio de 1995 169 , ao qual se seguiram diversos outros, bem como o Brasil, em 2002, atravs !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 167 Sem mencionar os nveis 5 e 6, localizados dentro do nvel 4, consistindo o primeiro em um cofre ou gabinete reforado e trancado, onde ficaro guardadas chaves, material e equipamento criptogrfico. O nvel 6 consiste de pequenos depsitos, dispondo de fechadura, onde devero ser guardados os dados de ativao da chave privada. 168 Item 5.1.2.1.8 da Resoluo n 42 de 18 de abril de 2006, do Comit Gestor da ICP-Brasil. 169 MENKE, Fabiano. Assinatura eletrnica: aspectos jurdicos no direito brasileiro. So Paulo: Editora Revista dos Tribunais, 2005, p. 67. ! 68! da MP 2.200-2, de 24 de agosto de 2001 170 , que instituiu a Infraestrutura de Chaves Pblicas do Brasil (ICP-Brasil), criou o Comit Gestor da ICP-Brasil, a Autoridade Certificadora Raiz Brasileira e definiu as demais entidades que compem sua Estrutura. A partir dessa MP, foram elaborados os regulamentos que regem as atividades das entidades integrantes da ICP-Brasil: so as Resolues do Comit Gestor da ICP-Brasil, as Instrues Normativas e outros documentos. O cerne de tal diploma legal repousa em seu art. 10, vejamos:
Consideram-se documentos pblicos ou particulares, para todos os fins legais, os documentos eletrnicos de que trata esta Medida Provisria. 1 As declaraes constantes dos documentos em forma eletrnica produzidos com a utilizao de processo de certificao disponibilizado pela ICP-Brasil presumem-se verdadeiros em relao aos signatrios, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Cdigo Civil. 2 O disposto nesta Medida Provisria no obsta a utilizao de outro meio de comprovao da autoria e integridade de documentos em forma eletrnica, inclusive os que utilizem certificados no emitidos pela ICP- Brasil, desde que admitido pelas partes como vlido ou aceito pela pessoa a quem for oposto o documento.
Observam-se, pois, dois aspectos da norma em anlise. Segundo o pargrafo primeiro, todos os documentos, pblicos ou particulares, assinados digitalmente atravs da ICP-Brasil possuem plena validade jurdica e presuno juris tantum de veracidade, em relao aos seus signatrios, na forma do art. 219, do Cdigo Civil (correspondente do art. 131, de CC de 1916), independentemente de qualquer aceite ou necessidade de testemunha 171 . Aqui, a norma equiparou os efeitos jurdicos da assinatura digital quela manuscrita. Trata-se da chamada equivalncia funcional. Martinez Nadal, citado por Fabiano Menke 172 , assevera que existe a mais do que uma equivalncia, pois a assinatura digital possui efeitos at mesmo superiores manuscrita, tendo em vista poder proporcionar integridade, autenticidade e no repdio 173 . No mesmo sentido, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 170 Observe-se que referida MP est plenamente em vigor, no tendo sido alcanada pela norma constitucional trazida pela EC 32, o art. 62, 3, da CF (que torna sem eficcia as MPs no convertidas em lei, no prazo de sessenta dias) por ser anterior a alterao constitucional. 171 GONALVES, Carlos Roberto. Direito civil brasileiro. Volume 1: parte geral. 9. ed. So Paulo: Saraiva, 2011, pag. 540. 172 MENKE, Fabiano. Assinatura eletrnica: aspectos jurdicos no direito brasileiro. So Paulo: Editora Revista dos Tribunais, 2005, p. 141. 173 Ao contrrio da manuscrita, sem reconhecimento de firma, a assinatura digital carrega em si a certeza da sua autenticidade e afasta o repdio. Propicia, ainda, a impossibilidade de alterao do documento assinado, o que no pode garantir a manuscrita, em suporte tradicional, como o papel. ! 69! Emilio Llins: Hay equivalente funcional, e incluso puede haber mayor seguridad en la firma digital que en la manuscrita; pero por medios completamente distintos. 174
O segundo ponto, trazido no 2, que a ICP-Brasil no exclui a possibilidade de assinatura digital com certificados diversos, desde que seja admitido pelas partes como vlido, ou aceito pela pessoa a quem for oposto o documento. Trata-se da adoo de uma neutralidade tecnolgica plena, que propicia liberdade, em detrimento da segurana e de uma padronizao. Diego Rivero, conceituando o princpio da neutralidade tecnolgica diz:
Segn este principio, y considerando que la firma electrnica es simplemente el medio electrnico idneo para sustituir a la firma tradicional, resulta irrelevante la tecnologa empleada para firmar el mensaje. De este modo, se conjuga la necesaria estabilidad del ordenamiento jurdico con los continuos avances tcnicos, causantes de la rpida obsolescencia de las medidas de seguridad y la aparicin de otras nuevas. 175
O desiderato da norma no sentido de dar plena independncia para as partes estabelecerem a forma de celebrar contrato, firmar documentos e expressar sua vontade. Ela se arrima, ainda, no disposto no art. 107, do Cdigo Civil Brasileiro: A validade da declarao de vontade no depender de forma especial, seno quando a lei expressamente a exigir. As vantagens oriundas da neutralidade tecnolgica, contudo, ficam aqum daquelas advindas da aplicao da regra da equivalncia funcional, sendo esta ltima adotada em outros ordenamentos, como no italiano, bem como pela Diretriz Europeia para Assinatura Eletrnica 1999/93/CE, como observa Cammarata. Diz o autor que o regramento da assinatura digital deve ser idntico ao da manuscrita, no devendo agregar nada que possa dar lugar incerteza interpretativa ou, sobretudo, gerar desarmonia com o ordenamento existente 176 . Pelo que fora visto, no h qualquer entrave jurdico na substituio da assinatura manuscrita para uma digital. Como precisamente assinala Patricia Peck: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 174 LLINS, Emilio Su (coordinador). Tratado de derecho informtico, volumen II. Servicios de la sociedad de la informacin e innovacin jurdica: firma digital, servicios de la sociedad de la informacin y comercio electrnico. Madrid: servicio de publicaciones de la Facultad de Derecho de la Universidad Complutense de Madrid, 2006, p. 26. 175 RIVERO, Diego Cruz. Eficacia formal y probatoria de la firma electrnica. Madrid: Marcial Pons, 2006, p. 26. 176 Livre traduo. No original: La firma elettronica qualificata deve avere lo stesso regime della firma autografa (come, peraltro, previsto dalla direttiva europea) senza aggiunti che possano dare luogo a incertezze interpretative e, soprattutto, a disarmonie con lordinamento esistente. CAMMARATA, Manlio. Firme elettroniche: problemi normativi del documento informatico. 2. ed. Lavis: Monti&Ambrosini, 2007, p. 115. ! 70! A problemtica da substituio do papel, no entanto, mais cultural que jurdica, uma vez que nosso Cdigo Civil prev contratos orais e determina que a manifestao de vontade pode ser expressa por qualquer meio. 177
3.4 SEGURANA DA INFORMAO
Knowledge is Power 178 (conhecimento poder). Especialmente nesta etapa do desenvolvimento da humanidade, denominada era da informao 179 , observa-se a importncia e a necessidade de proteger a avalanche de informao que movimentamos diariamente. A definio de informao, todavia, ainda ambgua, mas se pode extrair do senso comum que ela composta de dados e componente do conhecimento 180 , de forma que uma mesma informao poder gerar diferentes nveis de apreenso, dependendo do horizonte de conhecimento de cada indivduo, sua cultura, formao, expectativas, objetivos. Destarte, a informao, tida como uma coletnea de dados, deve ser protegida contra o conhecimento no autorizado, contra a modificao indevida e contra sua perda e indisponibilidade, constituindo esses escopos as bases da Segurana da Informao. Observe-se que alguns dos pilares da comunicao segura estudados acima, aqui se repetem, porm no se confundem. Ali estvamos tratando do trfego de uma mensagem (tinha-se um escopo definido) que, ainda que atenda a todos aqueles requisitos, dever, quando armazenada, atender as bases da seara da Segurana da Informao para sua conservao e recuperao 181 . Assim, uma mensagem por exemplo uma petio, enviada a um Sistema de Processo Eletrnico, via Internet, por um advogado ainda que cumpra os pilares !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 177 PINHEIRO, Patrcia Peck. Direito digital. 2. Ed. So Paulo: Saraiva, 2007, p. 160. 178 Pensamento do filsofo londrino Sir Francis Bacon. 179 Expresso primeiramente utilizada por Peter Drucker, filsofo e economista de origem austraca, considerado como o pai da administrao moderna. 180 Cf. CAMPOS, Andr. Sistema de segurana da informao: controlando os riscos. 2. ed. Florianpolis: Visual Books, 2007, p. 15-16. 181 Um equvoco, mais comumente cometido do que se imagina, a implementao do uso de uma comunicao segura (para a informao em trnsito), utilizando um canal SSL ou TSL, crendo-se que isso basta e olvidando-se que estas facilidades apenas criptografam o trfego entre o cliente e o servidor de Internet e quando a informao recebida ela decifrada, ficando sujeita (informao em repouso) ao acesso indevido. ! 71! da autenticao, autorizao, no repdio, integridade e privacidade durante seu envio, dever, quando inserida no banco de dados, atender s polticas e prticas de segurana. Isso visa garantir que, depois de armazenada a petio, ela s possa ser acessada pelas pessoas devidamente autorizadas; que mesmo no podendo ser alterada, j que assinada digitalmente, esta no seja corrompida ou apagada; que esteja sempre ao alcance das partes, do magistrado, ou seja, permanea disponvel, de forma ininterrupta.
3.4.1 Polticas e prticas de segurana
As bases da Segurana da Informao (Autorizao, Privacidade, Integridade e Disponibilidade) 182 devem ser perseguidas atravs das polticas e prticas de segurana, sendo estas duas atividades distintas. Polticas de segurana so todas as orientaes, metodologias, estratgias para garantir as bases mencionadas. Trata-se, em suma, de toda documentao que elenca os objetivos que se quer alcanar em SI, consistindo em diretrizes, normas e procedimentos 183 . Prticas, por outro turno, so as implementaes realizadas, so as atividades concretas para implementao das polticas. Com a migrao das mais diversas transaes tradicionalmente feitas em papel para o meio digital, cuja tramitao passa a ser feita atravs da grande rede mundial, imperioso que os rgos pblicos e privados atentem, estabeleam, capacitem e conscientizem seus colaboradores em polticas de segurana da informao. Para tanto, algumas etapas e condies so necessrias. Inicialmente cada empresa ou rgo pblico dever capacitar duas ou mais pessoas de seu quadro, geralmente de TI, em segurana da informao. Com os conhecimentos obtidos, devero atuar junto direo para que se crie uma comisso ou comit de segurana da informao, de carter representativo, alcanando diversos setores da !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 182 Perceba-se que alguns autores enumeram uma quantidade diferente de elementos da segurana da informao, no podendo se dizer que um elenco esteja certo ou errado, mas, somente que um mais analtico que os demais. 183 FERREIRA, Fernando Nicolau Freitas; ARAJO, Mrcio Tadeu de. Poltica de segurana da informao: guia prtico para elaborao e implementao. Rio de Janeiro: Cincia Moderna, 2006, p. 9-10. ! 72! empresa ou do rgo pblico, rea de RH, departamento jurdico, setor de TI e, principalmente, a participao efetiva de um ou mais membros da direo geral. Para uma efetiva implementao de polticas e prticas de segurana, imperioso que a direo da empresa ou rgo pblico esteja cnscia desta necessidade, participe ativamente e, assistida pela comisso ou comit de segurana, estabelea as diretrizes e polticas a serem adotadas, vinculando toda a cadeia humana naquele ambiente. Do contrrio, no adotando a direo uma postura efusiva, pode ocorrer algo bastante comum em rgos da administrao pbica, e mesmo em empresas privadas, a direo v (geralmente depois de ter sofrido uma perda de dados ou havido um acesso no autorizado de informao) a necessidade de implementar alguma proteo e decide determinar que o setor de TI elabore umas regras de segurana... Isso, todavia, est fadado ao insucesso por vrios motivos. Vejamos alguns. Inicialmente, cabe assentar no existir 100% (cem por cento) de segurana. Em decorrncia disso, extraem-se dois objetivos: deve-se estabelecer a maior segurana possvel e, alm deste ponto, elencar e assumir os riscos. Trata-se de uma relao inversamente proporcional (quanto maior a segurana menor o risco), que ser dosada de acordo com a valorao dada informao que se quer proteger, o risco que se quer assumir e a disponibilidade e o desejo de se investir financeiramente em segurana. Atento a isso, verifica-se que somente a direo da empresa ou do rgo pblico (auxiliada pelo comit de segurana) pode definir o valor da informao e dos processos 184 que se quer proteger, apontar os riscos, admitir sua assuno e, especialmente, definir o quanto ir investir. Ademais, deixar, simplesmente, que o diretor de informtica, por exemplo, balize o uso da Internet, o uso do e-mail (uma das maiores fontes de ameaas) etc. sem uma poltica advinda de cima, bem definida, com a participao, conscientizao e capacitao de todos os usurios e, inclusive, com previso de sanes apenas ir gerar animosidade, descumprimento e mesmo uma maior insegurana 185 . !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 184 Processos aqui no sentido das atividades 185 J que os usurios procuraro utilizar meios alternativos, podendo expor a rede interna ao tentar obter acesso ao contedo bloqueado. ! 73!
3.4.2 Implementao de um sistema de segurana da informao
Diante do que foi apresentado, trs obstculos devem ser superados para a criao e colocao em prtica de um sistema de segurana da informao em empresas e rgo pblicos: a) A sensibilizao da direo do rgo para que atente a esta nova realidade, perceba a necessidade de sua implementao e no s isso, mas tambm sua imprescindvel participao na elaborao, avaliao e execuo das polticas. b) A dificuldade no mbito dos rgo pblicos em no se poder mensurar, economicamente, o valor da informao a ser protegida, ou do processo, cuja disponibilidade deva ser garantida, a fim de que sejam feitos investimentos em segurana, compatveis. Um banco, ou um site de vendas por Internet, por exemplo, pode quantificar economicamente os prejuzos, caso o site fique fora do ar por determinado perodo de tempo, ou venha a perder parte de um banco de dados, com informaes de clientes. Por outro lado, quanto vale a sada do ar do servidor de Internet que hospeda o site de um tribunal, por exemplo, e d acesso ao sistema de processo eletrnico, por algumas horas, ou por alguns dias? Quanto vale o indevido acesso a informaes sigilosas de um processo sob a gide do segredo de justia? Sendo prestadores de um servio pblico e instrumentos do exerccio da garantia de acesso justia e da prestao jurisdicional, no existe como se mensurar, economicamente, o escopo que se quer proteger. Trata-se de um negcio, prestar a jurisdio, de valor inestimvel. Assim, o investimento em segurana, mais do que uma relao de custo/benefcio, como ocorre na rea privada, est baseado na prudncia, na disponibilidade financeira da corte, na conscincia e responsabilidade de cada administrador, neste aspecto. c) A complexa, imprescindvel e constante conscientizao e capacitao de servidores, funcionrios, dirigentes e prestadores de servio na adoo, manuteno, atualizao e cumprimento das polticas de seguranas estabelecidas no estabelecimento. O fator humano, ! 74! reconhecidamente, a maior causa de incidentes e desastres 186 de segurana da informao. Mais do que isso, a maior fonte dolosa de quebra de segurana perpetrada pelas pessoas que fazem parte da organizao 187 , quer seja empresa ou um rgo pblico. Diante disso, uma srie de providncias, no sentido de alertar, conclamar (atravs de campanhas, material impresso, cursos, vdeos) cada colaborador, para que adote uma postura positiva, indispensvel. Afora isso, deve a organizao divulgar as polticas de monitoramento e alertar para as consequncias (que devem ser aplicadas, sob pena de ineficcia de toda a poltica), do uso indevido. Assim, uma vez criado e adotado um sistema de gesto de segurana da informao 188 preferencialmente atendida as normas dispostas na ABNT 189 NBR ISO/IEC 27001:2006 (elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao), cada empresa ou rgo pblico ter em mos sua anlise de risco, seu plano de continuidade de negcio, seu plano de resposta, etc. Tudo de modo que os seus sistemas crticos que se utilizem da comunicao de dados atravs de redes estejam sempre estveis, disponveis, com suas informaes devidamente armazenadas, ntegras, atendendo ao sigilo e controle de acesso necessrios. Importante observar, que para a Administrao Pblica Federal foi, inclusive, criada normatizao de modo a aplicar uma Poltica de Segurana da Informao em tal esfera, atravs do Decreto 3.505/2000. O setor pblico, no obstante as dificuldades em se mensurar o valor da informao e dos processos que tem de proteger, como j expusemos, deve, cada vez mais, procurar implementar tais polticas. Tal dificuldade no pode ser bice para tanto, tendo em vista que o Poder !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 186 Desastre uma terminologia adotada em segurana da informao e se refere a um evento sbito, de grandes propores, capaz de causar prejuzos aos ativos ou paralisaes dos processos crticos da organizao. FONTES, Edison Luiz Gonalves. Praticando a segurana da informao. Rio de Janeiro: Brasport, 2008, p. 74-75. 187 NG, Reynaldo. Forense Computacional Corporativa. Rio de Janeiro: Brasport, 2007, p. 5-6. 188 Esta norma adota o modelo conhecido como Plan-Do-Check-Act (PDCA), ou seja: planejar (estabelecer o SGSI, i.e. Sistema de Gesto de Segurana da Informao), fazer (implementar e operar o SGSI), checar (monitorar e analisar criticamente o SGSI) e agir (manter e melhorar o SGSI). 189 Associao Brasileira de Normas Tcnicas, rgo fundado em 1940 e responsvel pela normalizao tcnica no pas, fornecendo a base necessria ao desenvolvimento tecnolgico brasileiro. ! 75! Pblico exerce atividades essenciais, indelegveis e, portanto, inestimveis. Como disse Tom DeMarco 190 : Voc no pode gerenciar aquilo que no pode mensurar. 191
Em um segundo momento, qui, nossas grandes empresas e rgos pblicos que detm informaes sensveis, organizaro uma equipe forense computacional, como forma de angariar evidncias e embasar investigaes e procedimentos disciplinares 192 . Trata-se de um instrumento que, ao lado do comit de segurana da informao, visa resguardar o bom andamento de suas atividades. A adoo de mais este instrumento pode parecer uma viso excessivamente cautelosa, mas assim no deve ser entendida. Como disse Peter Drucker, tido como pai da administrao moderna: O propsito do trabalho de formar o futuro no decidir o que deve ser feito amanh, mas o que deve ser feito hoje, para se ter um amanh. 193 Tais cautelas podem minimizar, sobremaneira a perpetrao de cibercrimes, e caso estes sejam praticados, fornecero melhores elementos a realizao da investigao policial e para embasar a persecuo penal.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 190 Livre traduo do autor. DEMARCO, Tom. Controlling software projects: management, measurement & estimation. New York: Yourdon Press, 1982, p. 58. No original: You cant control what you cant measure. 191 Interessante frisar que tal mxima geralmente creditada ao clebre Peter Drucker, mas esta no formulada em qualquer de suas obras. 192 FERREIRA, Fernando Nicolau Freitas; ARAJO, Mrcio Tadeu de. Poltica de segurana da informao: guia prtico para elaborao e implementao. Rio de Janeiro: Cincia Moderna, 2006, p. 95. 193 ROSENSTEIN, Bruce. O legado de Peter Drucker: lies eternas do pai da administrao moderna para a vida e para os negcios. Rio de Janeiro: Elsevier, 2010, p. 47. ! 76! CAPTULO 4 AO INTERNACIONAL NO COMBATE AO CIBERCRIME
Como visto em captulo anterior, o cibercrime apesar de atualmente se disseminar sem encontrar obstculos e parecer uma temeridade recente, h muito tempo ocorre, precisamente desde quando as primeiras redes e dispositivos computacionais surgiram. Desta forma, como o combate ao cibercrime bastante incipiente no Brasil, torna-se imprescindvel destacar as principais solues adotadas pela comunidade internacional e a possibilidade de internalizao de tais experincias.
4.1 MEDIDAS ADOTADAS CONTRA O CIBERCRIME
A primeira ao de abrangncia internacional no combate aos comportamentos delitivos via Internet deu-se entre os anos de 1983 e 1985, quando um comit, patrocinado pela Organisation for Economic Co-operation and Development (OECD), discutiu sobre uma possvel harmonizao internacional das leis penais, de modo a combater os crimes econmicos cometidos com o uso de computador. At os dias atuais, a OECD, no momento composta por 34 pases, continua a envidar esforos na luta em face do cibercrime, alm de discutir acerca de segurana online. 194
No ano de 1997, um subgrupo do G8 voltado ao combate dos crimes de alta tecnologia, chamado G8 Subgroup on High-Tech Crime, criou uma rede denominada 24/7 High-Tech Crime Point-of-Contact Network, que visa interligar policiais de diversos pases, inclusive no membros do G8, com o fito de facilitar a interlocuo e assistncia mtua para represso ao cibercrime. O Brasil participa de tal rede, cujas vantagens so imensas, se comparadas aos mtodos tradicionais de cooperao jurdica, uma vez que prima pela agilidade, informalidade e contato direto entre as autoridades envolvidas. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 194 BRITZ, Marjie T. Computer forensics and cyber crime: an introduction. New Jersey: Prentice Hall, 2009, p. 207. ! 77! Outras iniciativas, apesar de no tratarem precisamente de cibercrimes, foram importantes para criar uma cultura de cooperao entre pases e organismos internacionais, iniciar a abertura de barreiras burocrticas, facilitar a comunicao entre autoridades, permitir uma troca de informaes mais clere, entre outros. Neste sentido, pode-se elencar o Grupo de Ao Financeira sobre Lavagem de Dinheiro (GAFI), criado em julho de 1989 no encontro do G-7; a Virtual Global Taskforce, fora tarefa global, criada em 2003, para o combate pornografia infantil online, pela Polcia Federal Australiana, Centro de Proteo Online e Combate Explorao Infantil do Reino Unido, Europol, Ministrio do Interior dos Emirados rabes, Polcia da Nova Zelndia, Interpol, Servio Postal Italiano, Real Polcia Montada Canadense e o Servio de Imigrao e Controle de Aduana Americano; a Conveno das Naes Unidas contra o Crime Organizado Transnacional, de 2003. Quanto propriedade intelectual, diversas rodadas da Organizao Mundial do Comrcio buscaram estabelecer mnimos de proteo a serem seguidos pelos pases membros, as chamadas Trade-Related Aspects of Intellectual Property Rights (TRIPS). Ao lado da OMC e das TRIPS, diversas organizaes internacionais pblicas e privadas buscam uma maior regulamentao. Exemplo disso a World Intellectual Property Organization (WIPO), rgo da ONU, e a International Intellectual Property Alliance (IIPA). Importante ressaltar que os cibercrimes, tal qual outros delitos graves, como o trfico internacional de drogas, de pessoas e o terrorismo, no so alcanados pela competncia do Tribunal Penal Internacional. Os crimes internacionais sob a gide do direito penal internacional so limitados ao genocdio, agresso, crimes de guerra e contra a humanidade. Este diminuto escopo se d pela fragilidade do direito internacional em relao ao direito interno dos pases. A independncia dos pases, conferida pela soberania, torna sinuosa a criminalizao de condutas delitivas diante de diversos obstculos decorrentes de interesses polticos, religiosos e econmicos. Para a criao de uma efetiva justia criminal internacional, faz-se necessria a existncia de quatro elementos: um ordenamento jurdico para definir os tipos penais, fora policial para investigar tais delitos, um sistema judicirio para aplicar a lei a um caso concreto e um sistema prisional para punir, ou recuperar os condenados. Em razo destas instituies no existirem, em nvel internacional, com a independncia e o alcance existentes daquelas domsticas, o sistema penal internacional no pode ser pensado como o interno, sendo formado pela interao e ! 78! sobreposio de diferentes instituies e ordenamentos, dificultando sua efetividade e abrangncia. 195
4.2 A CONVENO DE BUDAPESTE SOBRE O CIBERCRIME
O Conselho da Europa, mais antiga instituio europeia em funcionamento, fundada em 1949 e hoje composta por 47 pases, elaborou em 2001 a Conveno sobre o Cibercrime, que entrou em vigor em 1 de julho de 2004. Os considerandos da Conveno so bastante elucidativos, bem demonstrando as justificativas da Conveno e seus propsitos. O instrumento se fulcra na necessidade de manter, com carter prioritrio, uma poltica criminal comum, a fim de proteger as sociedades da criminalidade no ciberespao, mormente atravs da adoo de uma legislao adequada e da melhoria da cooperao internacional. Demonstrou-se preocupao com as profundas mudanas provocadas pela digitalizao, pela convergncia e pela globalizao, bem como o uso das redes informticas para o cometimento de infraes. Destaca, tambm, que as provas de tais delitos so armazenadas e transmitidas atravs dessas redes. Reconheceu-se a necessidade de uma cooperao entre os Estados e a indstria privada no combate cibercriminalidade, especialmente as empresas de TI, bem como a necessidade de proteger os interesses legtimos ligados ao uso e desenvolvimento das tecnologias da informao, alm de uma maior difuso da cooperao internacional entre Estados, mais rpida e eficaz em matria penal. Bem delineou, ainda, os bens jurdicos a serem protegidos, que repousam nos pilares da segurana da informao, anteriormente estudados: confidencialidade, integridade e disponibilidade de sistemas informticos, de redes e dados informticos, destacando que a utilizao fraudulenta desses sistemas, redes e dados devem ser incriminados. Preocupa-se, por fim, em estabelecer 196 :
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 195 FICHTELBERG, Aaron. Crime without borders: an introduction to international criminal justice. New Jersey: Pearson Prentice Hall, 2008, p.8.
196 Disponvel em: < http://www.coe.int/t/dghl/standardsetting/t-cy/ETS_185_Portugese.pdf>. Acesso em 16/02/2012. ! 79! [...] um equilbrio adequado entre os interesses da aplicao da lei e o respeito pelos direitos fundamentais do ser humano, tal como garantidos pela Conveno para a Proteo dos Direitos do Homem e das Liberdades Fundamentais do Conselho da Europa de 1950, pelo Pacto Internacional sobre os Direitos Civis e Polticos das Naes Unidas de 1966, bem como por outros tratados internacionais aplicveis em matria de direitos do Homem, que reafirmam o direito liberdade de opinio sem qualquer ingerncia, o direito liberdade de expresso, incluindo a liberdade de procurar, de receber e transmitir informaes e ideias de qualquer natureza sem consideraes de fronteiras e, ainda, o direito ao respeito pela vida privada.
Interessante frisar o destaque conferido pela Conveno cooperao jurdica, assunto abordado adiante e de extrema importncia para a consecuo dos fins perseguidos de proteo aos bens jurdicos e de punio das condutas no toleradas. Tamanha a necessidade de uma melhor coordenao no combate ao cibercrime que o Conselho da Europa j estuda a criao de uma nova agncia, voltada para nortear as aes em face desta modalidade delitiva, segundo noticia Moore 197 :
O Conselho da Unio Europeia solicitou, recentemente, um estudo de viabilidade para determinar a convenincia de criao de nova agncia para coordenar investigaes sobre delitos cibernticos internacionais. Esta agncia trabalharia para garantir que os pases participantes da Conveno sobre o Cibercrime teriam acesso a um contato que poderia ajudar em investigaes sobre delitos cibernticos. Uma nova misso da nova agncia seria demonstrar a necessidade de mais pases ratificarem a Conveno de Budapeste, que exige leis padronizadas para certos comportamentos cibercriminosos. Alm disso, a agncia seria potencialmente responsvel pela coleta de dados sobre cibercrimes em toda a Europa e, tambm, dos demais pases membros, compilando estes dados e elaborando relatrios que poderiam ajudar, sobremaneira, no desenvolvimento de novas polticas de leis relacionadas regulao do cibercrime. O cronograma para o desenvolvimento e implementao desta agncia ainda indeterminado, sendo o estudo de viabilidade destinado, tambm, para resolver questes como local de funcionamento, fonte de recursos e delimitao das atribuies da agncia.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 197 Livre traduo. No original: The Council of the European Union recently requested that a feasibility study be conducted to determine the potential effectiveness of new agency to coordinate international cybercrime investigations. This proposed agency would work to ensure that member countries of the Council of Europe`s Cybercrime Convention would have access to a contact that would assist in Cybercrime investigations. An additional mission of the new agency would be to provide evidence of the need for more countries to ratify the Council of Europes Cybercrime Convention, which requires standardized laws for certain cybercrime behaviors. Further, the agency would potentially be responsible for collecting data on cybercrime throughout Europe, and potentially throughout other member countries, compiling this data und preparing reports that would potentially aid in the development of new laws and policies related to regulation of cybercrime. The timeline for the development and implementation of this agency is yet undetermined, as the feasibility study is expected to address questions on where the agency should be housed, how the agency should be financed, and the scope of the agency`s duties. MOORE, Robert. Cybercrime : investigating high- technology computer crime. 2. ed. Oxford: Elsevier, 2011, p. 15. ! 80! A Conveno divide-se em quatro captulos, sendo o primeiro destinado s terminologias; o segundo define os tipos penais a serem adotados pelos Estados, estabelece os bens jurdicos a serem protegidos, fixa as medidas cautelatrias necessrias; o captulo terceiro trata da cooperao jurdica e os princpios que a regem; o quarto, e ltimo, trata das disposies finais. Em sede de direito material, a Conveno tipifica entre os cibercrimes, as infraes contra sistemas e dados informticos (Captulo II, Ttulo 1), as infraes relacionadas com computadores (Captulo II, Ttulo 2), infraes relacionadas com o contedo, pornografia infantil (Captulo II, Ttulo 3), infraes relacionadas com a violao de direitos autorais (Captulo II, Ttulo 4). Em matria processual versa sobre condies e salvaguardas, conservao expedita de dados informticos armazenados, injuno, busca e apreenso de dados informticos armazenados, recolhimento, em tempo real, de dados informticos e interceptao de dados relativos ao contedo, afora competncia e cooperao internacional.
! 81! CAPTULO 5 COOPERAO JURDICA INTERNACIONAL PARA O COMBATE AO CIBERCRIME
Conforme foi visto, ao se tratar do fenmeno da globalizao, a planificao do mundo impulsionou a mobilidade das pessoas, facilitando, inclusive, a fuga de criminosos da persecuo penal no pas onde cometeram delitos. Evidencia-se aqui que o poder de dizer o direito, a jurisdio, no acompanhou, pari passu, tal mobilidade. Os Estados se vem limitados a seus limites geogrficos para aplicar o direito, enquanto o delito transnacional 198 se espraia em todos os locais, especialmente no ciberespao, de modo que autores chegam a asseverar a necessidade de criao de um novo fenmeno chamado de metaterritorialidade, reavaliando, ou mesmo afastando os conceitos tradicionais de competncia internacional e extraterritorialidade. 199 Segundo Fichtelberg 200 :
O conceito de soberania tem sido a pea central da poltica internacional desde a Paz de Westflia, em 1648. Antes da constituio do Tribunal Militar Internacional de Nuremberg em 1945, tratava-se de um princpio central pelo qual os lderes de Estados soberanos poderiam fazer o que quisessem, onde quisessem, sem serem responsabilizados penalmente por suas aes. Uma das caractersticas centrais do sculo XX no mbito do direito internacional em geral, e do direito penal internacional em particular, que este princpio tem sido seriamente enfraquecido. Soberania j no tem o teor e o alcance de outrora. A globalizao mudou o significado de Estado soberano e amarrou as mos de lderes polticos em alguns importantes aspectos.
Diante disso foram sendo criadas ferramentas de cooperao, de maneira que o Estado cujos bens jurdicos foram maculados possa, com a colaborao dos !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 198 No h de se confundir crime transnacional, onde h violao de bens jurdicos de ao menos dois pases, com os crimes internacionais, onde so violados bens jurdicos universais, previamente estabelecidos pela comunidade internacional. 199 FERREIRA, rica Loureno de Lima. Internet: macrocriminalidade e jurisdio internacional. Curitiba: Juru, 2007, p. 129. 200 Livre traduo. No original: The concept of sovereignty has been the centerpiece of international politics Since the Peace of Westphalia in l648. Prior to the formation of the International Military Tribunal at Nuremberg in 1945, it was a central legal principle that leaders of sovereign states could do whatever they wanted wherever they wanted without having to be held criminally liable for their actions. One of the central features of twentieth-century international law in general and twentieth- century international criminal law in particular is that this principle has been seriously weakened. Sovereignty does not mean everything that it once did. Globalization has changed what it means to be a sovereign state and has tied the hands of political leaders in some important ways. FICHTELBERG, Aaron. Crime without borders: an introduction to international criminal justice. New Jersey: Pearson Prentice Hall, 2008, p. 279. ! 82! demais, levar a cabo uma ao penal em face de um agente que deixou seu territrio. Onde havia, inicial e meramente, um compromisso moral de colaborao (comitas gentium) entre os Estados, surgiu uma verdadeira obrigao jurdica. A importncia da cooperao jurdica demonstrada na Conveno das Naes Unidas contra o Crime Organizado Transnacional. Segundo Hufnagel 201 :
Esta conveno no s fornece uma ampla definio de crime organizado transnacional, mas tambm engloba um grande nmero de disposies relacionadas com a harmonizao do direito penal e da lei de processo penal, nomeadamente quando que envolve o uso de mtodos de investigao pr-ativas. Ela tambm tem um nmero bastante grande de artigos relativos cooperao policial e assistncia jurdica mtua, v.g. intercmbio de informaes, apreenso de mercadorias e proteo de testemunhas.
Afora isso, tal conveno possui, inclusive, diversas disposies relativas assistncia tcnica e financeira, tornando possvel a participao dos pases pobres na cooperao jurdica internacional. A cooperao, seja policial ou judicial, possui, naturalmente, diversos tipos de fatores que influenciam a forma como, de fato, acontece. Hufnagel lista as quatro que se reputam mais importantes 202 :
Em primeiro lugar a gravidade do crime transnacional em foco desempenha um papel importante. Isso no implica, todavia, que quanto maior a problemtica, mais prxima ser a cooperao. Isso porque, em segundo lugar, o grau de cooperao mtua promovida por Estados tambm depende muito de como e se eles percebem a gravidade do problema da !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 201 Livre traduo. No original: An excellent example of the foregoing is the United Nations Convention against Transnational Organised Crime. This convention not only provides a broad definition of transnational organised crime but also encompasses a large number of provisions related to the harmonisation of criminal law and the law of Criminal proceedings, in particular where that involves the use of proactive investigation methods. It also has a fairly large number of articles concerning police cooperation and mutual legal assistance, for example with respect to exchanging information, seizing goods and protecting witnesses. HUFNAGEL, Saskia; HARFIELD, Clide; BRONITT, Simon. Cross-border Law Enforcement, Regional Law Enforcement Cooperation European, Australian and Asia-Pacific perpectives. 1. Ed. New York: Routledge, 2012, p. 3. 202 Livre traduo. No original: First, the seriousness of the transnational crime problem plays an important role. It is not the case, however, that the more serious the problem, the closer the cooperation. That is because, secondly, the degree of mutual cooperation fostered by states also depends largely on the extent to which they appreciate the seriousness of the problem in the same way and at the same level. If they agree that the problem is a serious one, then there is obviously greater scope to expand or intensify their cooperation. If they do not, then there is little chance that their cooperation will flourish. Thirdly, there is the related factor that the degree of cooperation is determined to some extent by the common (mainly political and economic) interests of states. These interests may induce states to cooperate even then they do not consider the problem to be urgent, because doing so will be conducive to mutual relations. Fourthly, it should be noted, by extension, that states may be concerned about maintaining public order and security in their immediate surroundings and therefore feel obliged, for example, to conclude police cooperation and legal assistance treaties with neighboring countries. Ibidem, p. 9. ! 83! mesma maneira e ao mesmo nvel. Se eles concordam que o problema srio, ento, obviamente, haver maior chances de se expandir ou intensificar sua cooperao. Caso no haja esta comunho de percepo da gravidade, haver pouca chance de que a cooperao ir florescer. Em terceiro lugar, o grau de cooperao determinado por outro fator que repousa nos simples interesses polticos e econmicos dos Estados. Estes interesses podem induzir os Estados a cooperar, ainda que no considerem o problema urgente, porque isso ser propcio para relaes mtuas. Em quarto lugar, deve notar-se que os Estados podem estar preocupados com a manuteno da ordem pblica e da segurana em sua vizinhana e, portanto, sentirem-se obrigados, por exemplo, em estabelecer cooperao policial e tratados de assistncia jurdica com os pases vizinhos.
O Brasil, nos ltimos anos, vem abrindo portas para uma maior participao em matria penal junto comunidade internacional, seja estabelecendo acordos e protocolos de assistncia mtua, seja se submetendo jurisdio de Cortes Internacionais. Pode-se elencar algumas destas principais iniciativas: a) Emenda Constitucional 45/04 que elevou categoria de emenda constitucional os tratados e convenes internacionais sobre direitos humanos, bem como submeteu o pas jurisdio do Tribunal Penal Internacional, cf. Estatuto de Roma; b) Carta dos Direitos das Pessoas perante a Justia no mbito do Judicirio Ibero-americano, assinada em 29/11/2002; c) MP 27, de 24/01/2002, que trata de infraes penais de repercusso interestadual, ou internacional, que exigem represso uniforme; d) Decreto 3.468/2000, que promulga o Protocolo de Assistncia Mtua em Assuntos Penais entre os pases do Mercosul; e) Conveno de 1971 para prevenir e punir atos de terrorismo configurados em delitos contra as pessoas e a extorso conexa, quando tiverem eles transcendncia internacional, promulgada pelo Decreto 3.018/1999; f) Acordos de Cooperao Judicirio e Assistncia Mtua em Matria Penal entre Brasil e Itlia, Portugal, Frana, Colmbia, Estados Unidos da Amrica; g) Decreto de 07/06/1993, que cria o grupo brasileiro da Associao Internacional de Direito Penal, entidade civil consultiva, em matria penal, do Conselho Nacional de Poltica Criminal e Penitenciria (CNPCP), rgo do Ministrio da Justia; h) Decreto 585/1992, que promulga o acordo sobre gratuidade parcial da execuo de Cartas Rogatrias em matria penal, entre o Brasil e a Frana. 203
No obstante tais iniciativas, para um pas que j a sexta maior economia do mundo e um dos maiores locais de vitimizao de delitos transnacionais, o estreitamento com a comunidade internacional em matria penal ainda muito !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 203 FERREIRA, rica Loureno de Lima. Internet: macrocriminalidade e jurisdio internacional. Curitiba: Juru, 2007, p. 67-68. ! 84! tnue. Para uma melhor persecuo da macrocriminalidade, a dinamizao e desburocratizao da cooperao jurdica imprescindvel.
5.1 DEFINIO, CLASSIFICAO E NATUREZA DA COOPERAO JURDICA INTERNACIONAL
A definio de cooperao jurdica internacional adotada neste trabalho segue o esteio da doutrina de Bechara no sentido de dar-lhe larga dimenso e incluir no somente o intercmbio entre rgos judiciais, mas tambm entre rgos judiciais e administrativos de Estados diversos, ou mesmo, entre rgos investigativos de Estados distintos. Como assevera o autor 204 : A qualificao da cooperao como jurdica est muito mais associada aos efeitos que desta possam advir do que propriamente natureza do objeto da cooperao ou qualidade de quem coopera. A cooperao jurdica internacional pode ser classificada de acordo com os seguintes critrios: iniciativa da solicitao, qualidade de quem coopera e procedimento. Pelo primeiro pode ser ativa ou passiva, conforme se trate de quem requeira ou seja requerido, respectivamente. O segundo informa a qualidade de quem coopera, se entre autoridades judiciais, consistindo cooperao jurdica judicial, ou entre autoridades no judiciais, tratando-se de cooperao jurdica administrativa. O ltimo critrio consiste no procedimento pelo qual o pedido de cooperao se processa, quais sejam: a) procedimento de extradio; b) procedimento de pedido de homologao de sentena estrangeira; c) procedimento de carta rogatria e, d) procedimento de auxlio direto. 205
Quanto natureza jurdica da cooperao internacional, diversas so as teorias propostas, sendo que Ral Cervini descreve trs dessas consistindo: a primeira em uma jurisdio prpria, em funo da vinculao do juzo requerido com o processo em curso no Estado requerente; a segunda seria uma delegao de jurisdio efetuada pelo requerente ao requerido e a terceira segundo a qual a cooperao seria um mecanismo que se subsumi a uma ordem jurdica !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 204 BECHARA, Fbio Ramazzini. Cooperao jurdica internacional em matria penal: eficcia da prova produzida no exterior. So Paulo: Saraiva, 2011, p. 42-43. 205 Ibidem, p. 44-46. ! 85! internacional, onde os Estados sofrem uma influncia determinante dos tratados internacionais 206 , sendo esta a vertente adotada neste trabalho. certo que a produo da prova em diferentes sistemas de tradies jurdicas diversas, como o civil law e o common law, pode apresentar certas dificuldades quando se busca internalizar no Estado requerente, a prova produzida no estrangeiro. A dimenso de tais dificuldades pode ser muito reduzida, caso o procedimento de produo e a valorao da prova sigam um padro universal de garantias. Segundo Bechara:
A observncia das garantias que integram o processo justo constitui o modelo garantista na atividade probatria, ou seja, o padro ou standard obrigatrio que deve ser respeitado na definio do procedimento probatrio no plano abstrato e normativo, assim como na atividade dos sujeitos processuais. Na hiptese da prova produzida no exterior, a diversidade entre os sistemas superada pelo reconhecimento do padro normativo universal das garantias processuais, as quais se posicionam como standard universal e demandam dos Estados solicitados um esforo de verificao quanto a equivalncia e compatibilidade da regulao interna com esses valores, resguardando, assim, a eficcia da prova a ser produzida. 207
O autor elenca o seguinte ncleo mnimo de garantias processuais necessrias ao estabelecimento do standard mencionado: direito prova; presuno de inocncia; contraditrio; igualdade de armas; direito de defesa; durao razovel do processo; assistncia gratuita do intrprete; respeito vida privada, intimidade e inviolabilidade do domiclio. Deve-se ressaltar que os direitos humanos classificam-se como standard normativo universal, sendo incorporados aos ordenamentos jurdicos internos de cada Estado atravs do processo de harmonizao, criando, assim, no a incorporao de normas e procedimentos, mas de um modelo desejvel, de um padro de valores a serem preservados por cada Estado, independentemente das particularidades de seu arcabouo normativo. 208 Diante disso, bom frisar que nos pedidos de cooperao que tenham como objeto a produo de provas, e no de !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 206 CERVINI, Ral; TAVARES, Juarez. Princpios de cooperao judicial penal internacional no protocol do Mercosul. So Paulo: RT, 2000, p. 54-55 apud BECHARA, Fbio Ramazzini. Cooperao jurdica internacional em matria penal: eficcia da prova produzida no exterior. So Paulo: Saraiva, 2011, p. 44. 207 BECHARA, Fbio Ramazzini. Cooperao jurdica internacional em matria penal: eficcia da prova produzida no exterior. So Paulo: Saraiva, 2011, p. 93. 208 Ibidem, p. 65. ! 86! meros elementos de informao, faz-se necessria a interveno do juiz, a fim de garantir tal coleta. 209
Quanto ao direito aplicvel nos pedidos de assistncia internacional, deve ser apreciado sob dois aspectos. O primeiro, da lei material, no traz grandes dvidas, sendo cabvel aquela do Estado requerente, por fora do princpio da territorialidade. J a lei adjetiva aplicvel gera grandes controvrsias, sendo a regra, contudo, segundo o Cdigo de Bustamante, a incidncia da lei processual do Estado requerido. As diretrizes internacionais, todavia, em momento algum estipulam uma regra para tanto, deixando ao alvedrio dos Estados a fixao da lei cabvel. Assim, o ideal, como acertadamente aponta Bechara, que as partes elejam o direito processual do Estado requerente, de modo a resguardar a utilidade da prova, evitando-se eivas, desde que, naturalmente, sejam respeitados os princpios basilares do Estado requerido. 210
No casos de cooperao jurdica internacional, onde no haja restrio a direito fundamental, no praxe a exigncia da regra da dupla incriminao 211 . Neste sentido a Resoluo n 10 (Seo IV), adotada no XIII Congresso Internacional de Direito Penal realizado no Cairo, em 1984, no qual se prescreveu que tal regra deve ser afastada quando a cooperao jurdica internacional no implicar medidas coercitivas. 212
Outro princpio que permeia a cooperao jurdica internacional o da especialidade. Segundo este, o Estado requerente dever se restringir finalidade que motivou o seu pedido de cooperao, sob pena de invalidao, salvo se o Estado requerido autorizar o uso do material para finalidade diversa 213 . Tal exigncia, comum nos pedidos de extradio, vem sendo feita, tambm, para os demais pedidos de cooperao jurdica. Trata-se, em verdade, de instituto que visa controlar o uso da prova emprestada. Assim, se a prova produzida for pessoal, como a oitiva de uma testemunha, e o princpio for desatendido, estar inquinada de vcio !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 209 Ibidem, p. 98. 210 BECHARA, Fbio Ramazzini. Cooperao jurdica internacional em matria penal: eficcia da prova produzida no exterior. So Paulo: Saraiva, 2011, p. 153. 211 No se deve olvidar que tal princpio no exige uma correspondncia perfeita entre os tipos penais, sendo bastante que contenham semelhanas no preceito primrio e busquem proteger o mesmo bem jurdico. 212 BECHARA, op. cit., p. 155. 213 Atravs de um pedido de extenso, segundo explica MORO, Sergio Fernando. In: JUNIOR, Jos Paulo Baltazar; LIMA, Luciano Flores de (Org.). Cooperao jurdica internacional em matria penal. Porto Alegre: Verbo Jurdico, 2010, p. 48. ! 87! insanvel. Caso consista em mera prova documental, se violado o princpio, poder desqualificar o dado como prova, mas ainda poder ser tomado como elemento de informao. 214
5.2 A COOPERAO JURDICA INTERNACIONAL E O BRASIL
As principais fontes formais, no ordenamento brasileiro, para a cooperao jurdica em matria penal, afora os tratados internacionais assinados e ratificados pelo Brasil, repousam na Constituio Federal de 1988 e no Cdigo de Processo Penal. O prembulo da CF perfilha a ordem interna e internacional para a soluo pacfica das controvrsias. 215
Segue a carta, em seu artigo 3, inciso I, asseverando constituir a solidariedade um dos objetivos da Repblica Federativa do Brasil. Ressalte-se o grande salto de constitucionalizao dos direitos humanos no ordenamento brasileiro, com a promulgao da CF/88, ao estatuir em seu art. 4:
A Repblica Federativa do Brasil rege-se nas suas relaes internacionais pelos seguintes princpios: [...] II - prevalncia dos direitos humanos; III - autodeterminao dos povos; [...] VIII - repdio ao terrorismo e ao racismo; IX - cooperao entre os povos para o progresso da humanidade; X - concesso de asilo poltico.
Destaque-se, tambm, a contribuio do 3, do art. 5, da CF, introduzido pela EC 45/2004, ao elevar categoria de emenda constitucional os tratados e convenes internacionais sobre direitos humanos que forem aprovados, em cada Casa do Congresso Nacional, em dois turnos, por trs quintos dos votos dos respectivos membros, resolvendo parte da antiga e longa discusso acerca da hierarquia das normas internacionais diante do ordenamento interno. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 214 BECHARA, op. cit., p. 157. 215 Ns, representantes do povo brasileiro, reunidos em Assembleia Nacional Constituinte para instituir um Estado Democrtico, destinado a assegurar o exerccio dos direitos sociais e individuais, a liberdade, a segurana, o bem-estar, o desenvolvimento, a igualdade e a justia como valores supremos de uma sociedade fraterna, pluralista e sem preconceitos, fundada na harmonia social e comprometida, na ordem interna e internacional, com a soluo pacfica das controvrsias, promulgamos, sob a proteo de Deus, a seguinte CONSTITUIO DA REPBLICA FEDERATIVA DO BRASIL. ! 88! Quanto aos procedimentos da cooperao jurdica internacional, a Constituio Federal estabelece o Supremo Tribunal Federal como rgo competente para o julgamento da extradio solicitada por Estado estrangeiro, art. 102, inciso I, alnea g; a competncia do Superior Tribunal de Justia para a homologao de sentenas estrangeiras e a concesso de exequatur s cartas rogatrias, art. 105, inciso I, alnea i e fixa a competncia da Justia Federal para a execuo de carta rogatria, aps o exequatur, e de sentena estrangeira, aps a homologao, nos termos do art. 109, inciso X. Na legislao infraconstitucional temos o CPP que, em seu art. 780 e seguintes, regra como se do as relaes jurisdicionais com as autoridades estrangeiras. Destaca-se o art. 783 ao dizer que: As cartas rogatrias sero, pelo respectivo juiz, remetidas ao Ministro da Justia, a fim de ser pedido o seu cumprimento, por via diplomtica, s autoridades estrangeiras competentes. J o regramento do CPP quanto s cartas rogatrias passivas no fora recepcionado pelo CF/88, salvo o art. 781, do CPP, onde reza que As sentenas estrangeiras no sero homologadas, nem as cartas rogatrias cumpridas, se contrrias ordem pblica e aos bons costumes. Alm disso, temos no estatuto do estrangeiro, Lei 6.815/80, o procedimento da extradio. Importante destacar, tambm, o art. 7, da Resoluo n 9/2005 do STJ, que dispe sobre a competncia acrescida ao Superior Tribunal de Justia, pela Emenda Constitucional n 45/2005:
As cartas rogatrias podem ter por objeto atos decisrios ou no decisrios. Pargrafo nico. Os pedidos de cooperao jurdica internacional que tiverem por objeto atos que no ensejem juzo de delibao pelo Superior Tribunal de Justia, ainda que denominados como carta rogatria, sero encaminhados ou devolvidos ao Ministrio da Justia para as providncias necessrias ao cumprimento por auxlio direto.
Referida resoluo regra o procedimento para o cumprimento das rogatrias e bem demonstra a burocracia que emperra o iter processual do Estado requerente, afrontando toda a celeridade buscada em uma persecuo penal. Afora outros tantos bices para a implementao de uma cooperao mais fluida, destaca-se o entendimento predominante do Supremo Tribunal Federal (STF) de no admisso de carta rogatria cujo objeto tenha carter executrio. No obstante a existncia de tal posicionamento no STF, Carmen Tibrcio assevera que o Protocolo de Las Lens e o Protocolo de Ouro Preto alteraram a postura do direito brasileiro a esse respeito, ! 89! na medida em que admitem cartas com carter executrio. 216 Ademais, Bechara assevera que mesmo no havendo tratado internacional dispondo sobre a possibilidade de atendimento de carter executrio, este plenamente admissvel, diante de uma relao de interdependncia entre as ordens pblicas nacionais e a ordem pblica internacional na promoo e proteo dos direitos humanos. 217
Apesar do Brasil possuir uma enorme rede de parceiros comerciais e relaes diplomticas com a quase totalidade dos Estados no globo, o nmero de instrumentos de cooperao firmados bastante tmido. Segue um elenco atualizado, do Ministrio da Justia 218 , de todos os existentes, at o final de 2011:
Tabela 4 - Lista de instrumentos internacionais estabelecendo cooperao jurdica e assistncia mtua Instrumento Internacional Decreto Acordo de Cooperao Judicial em Matria Penal entre o Governo da Repblica Federativa do Brasil e o Governo da Repblica de Cuba Promulgado pelo Decreto n 6.462, de 21 de maio de 2008 Acordo de Cooperao e Auxlio Jurdico Mtuo em Matria Penal entre a Repblica Federativa do Brasil e o Reino da Espanha Promulgado pelo Decreto n 6.681, de 8 de dezembro de 2008 Acordo de Assistncia Jurdica Mtua em Matria Penal entre o Governo da Repblica Federativa do Brasil e o Governo da Repblica Popular da China Promulgado pelo Decreto n 6.282, de 3 de dezembro de 2007 Acordo de Assistncia Judiciria em Matria Penal entre o Governo da Repblica Federativa do Brasil e o Governo dos Estados Unidos da Amrica Promulgado pelo Decreto n 3.810, de 2 de maio de 2001 Acordo de Cooperao Judiciria e Assistncia Mtua em Matria Penal entre o Governo da Repblica Federativa do Brasil e o Governo da Repblica da Colmbia Promulgado pelo Decreto n 3.895, de 23 de agosto de 2001 Acordo de Cooperao Judiciria em Matria Penal entre o Governo da Repblica Federativa do Brasil e o Governo da Repblica Francesa Promulgado pelo Decreto n 3.324, de 30 de dezembro de 1999 Tratado sobre Cooperao Judiciria em Matria Penal, entre a Repblica Federativa do Brasil e a Repblica Italiana Promulgado pelo Decreto n 862, de 9 de julho de 1993 Acordo de Assistncia Jurdica em Matria Penal entre o Governo da Repblica Federativa do Brasil e o Governo da Repblica do Peru Promulgado pelo Decreto n 3.988, de 29 de outubro de 2001 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 216 TIBRCIO, Carmen. As Cartas rogatrias executrias no Direito brasileiro no mbito do Mercosul. So Paulo: RT, 2001, p.107 apud BECHARA, Fbio Ramazzini. Cooperao jurdica internacional em matria penal: eficcia da prova produzida no exterior. So Paulo: Saraiva, 2011, p. 139. 217 BECHARA, Fbio Ramazzini. Cooperao jurdica internacional em matria penal: eficcia da prova produzida no exterior. So Paulo: Saraiva, 2011, p. 139. 218 Disponvel em: < http://portal.mj.gov.br/data/Pages/MJD6765F39ITEMID2D47B89B61AF41498B 54471D880805DDPTBRIE.htm>. Acesso em: 09/04/2012. ! 90! Tratado de Auxlio Mtuo em Matria Penal entre o Governo da Repblica Portuguesa e o Governo da Repblica Federativa do Brasil Promulgado pelo Decreto n 1.320, de 30 de novembro de 1994 Tratado entre a Repblica Federativa do Brasil e a Repblica da Coreia sobre Assistncia Jurdica Mtua em Matria Penal Promulgado pelo Decreto n 5.721, de 13 de maro de 2006 Tratado de Assistncia Mtua em Matria Penal entre o Governo da Repblica Federativa do Brasil e o Governo do Canad Promulgado pelo Decreto n 6.747, de 22 de janeiro de 2009 Acordo de Cooperao e Auxlio Jurdico Mtuo em Matria Penal entre a Repblica Federativa do Brasil e o Reino da Espanha Promulgado pelo Decreto n 6.681, de 8 de dezembro de 2008 Tratado de Cooperao Jurdica em Matria Penal entre a Repblica Federativa do Brasil e a Confederao Sua Promulgado pelo Decreto n 6.974, de 7 de outubro de 2009 Tratado entre o Governo da Repblica Federativa do Brasil e o Governo da Repblica do Suriname sobre Assistncia Jurdica Mtua em Matria Penal Promulgado pelo Decreto n 6.832, de 29 de abril de 2009 Acordo de Assistncia Judiciria em Matria Penal entre a Repblica Federativa do Brasil e a Ucrnia Promulgado pelo Decreto n 5.984 de 12 de dezembro de 2006
Fonte: Ministrio da Justia <http://www.mj.gov.br>
Apesar de ser ainda diminuta tal gama de instrumentos, o Acordo de Assistncia Judiciria em Matria Penal entre o Governo da Repblica Federativa do Brasil e o Governo dos Estados Unidos da Amrica (principal Estado em matria de cooperao jurdica), Decreto n 3.810 de 02/05/2001, possui uma extrema abrangncia, denotando, como bem assevera Godoy, um grande esforo de ambos os pases para se alcanar um mnimo de marcos regulatrios que facilitem o combate criminalidade internacional. 219
5.3 DIFICULDADES ENFRENTADAS NA COOPERAO JURDICA INTERNACIONAL
Diante dos obstculos apresentados, passou-se a utilizar a figura do pedido de auxlio direto que, apesar de no possuir previso constitucional, encontra fundamento infraconstitucional, especialmente decorrente de tratados e acordos bilaterais. A diferena deste, diante das rogatrias, repousa no fato de no se tratar !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 219 GODOY, Arnaldo Sampaio de Moares. Direito Tributrio Internacional Contextualizado. So Paulo: Quartier Latin, 2009, p. 224. ! 91! de requerimento feito por autoridade judicial estrangeira, mas administrativa a uma autoridade judicial, ou administrativa, nacional. Isso, todavia, deve ser feito atravs da autoridade central, que em regra o Ministrio da Justia, eleita nos acordos bilaterais para fins de cooperao jurdica internacional, assim como a assistncia direta prevista em tratados internacionais como a Conveno das Naes Unidas contra o Crime Organizado Transnacional e a Conveno contra a Corrupo. 220
O pedido de auxlio direto possui grande vantagem sobre o instituto da rogatria, j que o ato praticado por autoridade nacional 221 , afastando qualquer argumento de invaso, supresso ou afronta soberania nacional. O ato realizado por autoridade nacional, sendo devidamente avaliada em seus aspectos formais e materiais, processado e decidido luz de nossa principiologia constitucional e ordenamento infraconstitucional. Deve-se observar, todavia, que mesmo o auxlio direto possui alguns dos entraves burocrticos existentes na tramitao das rogatrias, como problemas de instruo de pedidos, traduo, tramitao fsica de documentos entre setores de diversos rgos. Diante do quadro apresentado, faz-se mister uma mudana de paradigmas, devendo a cooperao jurdica passar a uma nova fase, onde haja maior informalidade, celeridade e eficincia no seu processamento. Deve-se almejar a formatao de um modelo de assistncia onde haja reconhecimento recproco das deliberaes das autoridades dos outros Estados, sem mediao governamental e sem tantos filtros e verificaes de legitimidade. 222
Um caminho para simplificar a atividade de cooperao o uso de sistemas eletrnicos para envio, recebimento e processamento de cartas rogatrias 223 , conforme visto em tpicos anteriores. Outro agente facilitador seria a supresso da necessidade de exequatur por um Tribunal Superior, cujos elevados misteres no justificam tal trmite. Assim, o prprio juzo, destinatrio final da solicitao poderia processar, de plano, o pedido, podendo haver, qui, recurso direto para o STJ das decises tomadas. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 220 BECHARA, Fbio Ramazzini. Cooperao jurdica internacional em matria penal: eficcia da prova produzida no exterior. So Paulo: Saraiva, 2011, p. 54-55. 221 Ibidem, p. 55. 222 DE AMICIS, Gaetano. Problemi e prospettive dela cooperazione giudiziaria penale in mbito Europeu: forme e modelli di colaborazione all luce dell Titolo VI del Trattato di Amsterdam. Palestra proferida em 6 de dezembro de 2001, em quila apud BECHARA, Ibidem, p. 57. 223 Inclusive admitido pela Lei do Processo Eletrnico, 11.419/2006, em seu art. 7. ! 92! Da mesma maneira, nos pedidos de auxlio direto, prescindvel a intermediao de rgo central, podendo o destinatrio receber diretamente a demanda feita. Desnecessria, tambm, as tramitaes por meios consulares. As autoridades envolvidas podem ser previamente cadastradas, sob uma infraestrutura de chaves pblicas, recebendo cada uma seu certificado digital de modo a poder trocar documentos eletrnicos, assinados digitalmente, garantindo-se, destarte, todos os pilares da comunicao segura anteriormente apresentados: autenticao, autorizao, no-repdio ou irretratabilidade, integridade dos dados e privacidade. A fim de facilitar tal controle, poderiam as corregedorias dos tribunais, por exemplo, ficar responsveis pelo recebimento, distribuio dos pedidos solicitados por rgos estrangeiros, bem como o envio de tais pedidos de cooperao. Afora isso, importante rememorar a necessidade premente, j referida em captulo anterior, no apenas na colaborao entre governos, mas entre o poder pblico e as empresas de tecnologia, j que estas detm capacidade econmica e estrutura para auxiliar no combate aos crimes cibernticos. Neste sentido 224 , Clough afirma que: Uma maior harmonizao facilita a troca de informaes e a disseminao de conhecimento entre os governos e a indstria, sendo crucial para a cooperao entre os rgos de represso ao crime.
Hufnagel explicita que 225 :
[...] o funcionamento eficaz da cooperao policial e judicial exige muito mais do que celebrao de acordos estabelecendo procedimentos, organizando agncias especiais e destinando recursos. Exige tambm o conhecimento e a imerso nos fundamentos, das estruturas e culturas dos sistemas penais estrangeiros envolvidos. Alm disso, necessrio saber como as coisas funcionam na prtica real. E h, tambm, a necessidade de investimentos na formao e capacitao de policiais e servidores judiciais que esto regularmente chamados a cooperar.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 224 Livre traduo. No original: Greater harmonisation facilitates the exchange of information and knowledge between governments and industry, and is crucial for co-operation between law enforcement agencies. CLOUGH, Jonathan. Principles of Cybercrime. New York: Cambridge University Press, 2010, p. 21. 225 Livre traduo. No original: [] the effective operation of police and judicial cooperation requires far more than concluding agreements, establishing procedures, organising special bureaus and reserving capacity. It also demands insight into the foundations, the structures and the cultures of foreign criminal law systems. In addition, it is necessary to know how things work in actual practice. And there also needs to be investment in training and educating police officers and judicial officials who are regularly required to cooperate. HUFNAGEL, Saskia; HARFIELD, Clive; BRONITT, Simon. Cross-Border Law Enforcement: Regional Law Enforcement cooperation European, Australian and Asia-Pacific perspectives. New York: Routledge, 2012, p. 12. ! 93! No demais repisar que, precisamente no tocante ao cibercrime, obstaculizar a cooperao internacional dar azo criao de parasos de cibercriminosos, a exemplo do que acontece com os parasos fiscais. Aqueles redutos possuem, todavia, muito maior alcance que os parasos financeiros, pois, ao contrrio das transferncias bancrias, as atividades cibercriminosas podem ser completamente mascaradas, sem qualquer possibilidade de rastreamento. Assim, torna-se imperioso que a comunidade internacional envide esforos no sentido de desburocratizar a cooperao jurdica, o que pode ser feito: no se exigindo a dupla incriminao; buscando-se uma homogeneizao da legislao; adotando-se um standard universal de garantias, de modo a facilitar a colheita de provas; incrementando a cooperao direta e, mesmo, permitindo o contato direto entre as autoridades dos pases sem intermdio de autoridades centrais, a exemplo da rede 24/7 High-Tech Crime Point-of-Contact Network, abordada anteriormente. Esse tipo de cooperao administrativa direta, clere, desburocratizada constitui importante instrumento para o combate ao cibercrime. Exemplo de comprovada eficcia a rede formada pelas Unidades de Inteligncia Financeira (UIFs), componentes do Grupo de Egmont, destinada ao combate em face da lavagem de dinheiro. Assim, diante do standard normativo universal de direitos humanos, faz-se plenamente possvel a comunicao direta, seja na cooperao jurdica judicial, seja na administrativa. Desta forma, a autoridade central no precisa ser consultada, podendo uma autoridade policial contatar a fora policial de outro Estado no intuito de levantar elementos de informao, ou mesmo prova documental, sendo vedada, todavia, a produo de prova testemunhal, tomada de interrogatrios etc., sem que o pedido seja jurisdicionalizado. 226
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 226 BECHARA, Fbio Ramazzini. Cooperao jurdica internacional em matria penal: eficcia da prova produzida no exterior. So Paulo: Saraiva, 2011, p. 163. ! 94! CAPTULO 6 PROPOSTAS LEGISLATIVAS BRASILEIRAS PARA O COMBATE AO CIBERCRIME
Grandes foras na atualidade se digladiam quanto necessidade de criminalizao de certas condutas na rede. Exemplo claro o SOPA (Stop Online Piracy Act) americano onde a indstria cinematogrfica, produtoras de msica, associaes das mais diversas de proteo de propriedade intelectual, como The Walt Disney Company, Universal Music Group, Motion Picture Association of America, Recording Industry Association of America, Wal-Mart, Toshiba, Time Warner e CBS, entre outras, apoiam a medida, enquanto grandes empresas provedoras de contedo, ou de busca de contedo, como Facebook, Twitter, Google, Yahoo!, LinkedIn, Mozilla, Wikimedia, Zynga, Amazon, eBay, para elencar algumas, a repudiam de forma veemente. Em meio a este embate, cujas motivaes mercadolgicas e ideolgicas ainda esto em uma rea cinzenta, por no termos precisamente definido, explicado e internalizado as sutis diferenas entre conduta abusiva, desvio de conduta e conduta criminosa quanto ao direito de propriedade intelectual na rede, os cibercrimes ficam em um vcuo normativo. Delitos outros, em diversas escalas de gravidade, que poderiam ser tipificados, adequados ou majorados, sem grandes discusses, j que repreensveis por ferir de forma acintosa o comportamento esperado em sociedade, ficam merc desta lida cada vez mais complexa de se resolver. Apesar disso, muitos projetos de lei caminham no sentido de tipificar diversas condutas delitivas relacionadas tecnologia da informao, majorar algumas, qualificar outras. Tal desiderato natural, porm o que se desenha no legislativo nacional um regramento ainda distanciado de uma padronizao, mormente da Conveno de Budapeste, o que dificulta um combate efetivo em face dessa atividade criminosa. Outra questo que se observa a predileo pela tipificao de crimes e majorao de penas em detrimento do aspecto processual. O maior esforo deveria se voltar quanto aos aspectos processuais na persecuo penal de tais delitos como: a preservao dos elementos de prova; produo de provas tcnicas; tratamento de informaes protegidas pelas garantias constitucionais da intimidade; ! 95! medidas de carter executrio; a simplificao e dinamizao da cooperao jurdica, especialmente, o auxlio direto.
6.1 PROJETO DE LEI SUBSTITUTIVO DO SENADOR EDUARDO AZEREDO
O Projeto de Lei Substitutivo conhecido como projeto Azeredo, em razo do Substitutivo apresentado pelo ento senador, hoje deputado, Eduardo Azeredo, aos projetos 89/2003, 76/2000 e 137/2000, o de maior importncia da atualidade. Contendo 23 artigos, o PLS ao Projeto de Lei 84/99 altera o Cdigo Penal (Decreto-Lei 2.848/40) e o Cdigo Penal Militar (Decreto-Lei 1.001/69), prevendo os seguintes crimes: - Acesso no autorizado a sistema informatizado protegido por restrio de acesso; - Obteno, transferncia ou fornecimento no autorizado de dado ou informao; - Divulgao, utilizao, comercializao e disponibilizao de dados e de informaes pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro; - Destruio, inutilizao, deteriorao de coisa alheia ou dado eletrnico alheio; - Insero ou difuso de cdigo malicioso ou vrus em sistema informatizado; - Estelionato eletrnico (difundir cdigo malicioso para facilitar ou permitir acesso indevido a sistema informatizado); - Atentado contra a segurana ou o funcionamento de servio de gua, luz, fora, calor, informao, telecomunicao ou outro servio de utilidade pblica; - Interrupo ou perturbao de servio telegrfico, telefnico, informtico, telemtico ou sistemas informatizados; - Falsificar, no todo ou em parte, dado eletrnico ou documento pblico ou particular. As penas vo de recluso de um a seis anos, conforme o crime, mais multa. Observe-se que no obstante a exposio de motivos do projeto asseverar que ele est arrimado na Conveno sobre o Cibercrime, isso no o que ocorre de fato, conforme discutido adiante. ! 96! 6.2 CRTICAS SOBRE O PROJETO
Muitas so as crticas em torno do PLS, algumas mais contundentes, inclusive nominando o PL de AI-5 Digital. Outros embates so mais tcnicos e fulminam a m redao dos tipos e as terminologias adotadas. Alguns rgos, como o Instituto Brasileiro de Defesa do Consumidor (Idec), esto fazendo campanha para tentar derrubar o projeto. O principal argumento repousa na alegao de riscos de violao de privacidade e restries na rede, limitando a liberdade de compartilhamento, expresso, criao e acesso dos internautas. Seguem dizendo que os Provedores de Internet se tornaro a polcia da rede, efetuando uma indevida vigilncia. 227
O PLS se encontra em fase avanada de tramitao, mas ainda gera debates bastante acirrados, inclusive com propostas de projetos alternativos, havendo grandes indcios de que poder ser completamente substitudo ou, ao menos, drasticamente reduzido. No o escopo deste trabalho, todavia, analisar o arcabouo sociolgico, discutir os elementos constantes no marco civil da Internet, tambm j em discusso atravs do PL 2126/2011, mas, to-somente, a adequao dos tipos penais e dos instrumentos processuais penais propostos no Substitutivo luz da Conveno de Budapeste. O PLS inicia de forma indevida, tentando explicar determinados termos, certos elementos de Tecnologia da Informao cuja evoluo vertiginosa. No cabe definir de forma unvoca o que significam: dados, sistemas informatizados, redes de computadores, dispositivo de comunicao. Isso porque a tecnologia progride velozmente, deixando um rastro de solues obsoletas, diariamente. 228
Dados, por exemplo, j esto sendo armazenados em meios biolgicos, em carter experimental. Pesquisadores da Universidade de Hong Kong armazenaram 90GB de informao em um grama de bactrias. 229 Da mesma forma, a definio de redes de dados no contempla as redes neurais, os sistemas informatizados no preveem os computadores qunticos etc. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 227 Disponvel em: <http://www.idec.org.br/mobilize-se/campanhas/consumidores-contra-o-pl- azeredo#6>. Acesso em 23/03/2012. 228 ALBUQUERQUE, Roberto Chacon de. A criminalidade informtica. So Paulo: Juarez de Oliveira, 2006, p. 60-61. 229 Disponvel em: <http://2010.igem.org/files/presentation/Hong_Kong-CUHK.pdf>. Acesso em: 23/02/2012. ! 97! Como j dito, os bens jurdicos tutelados que devem compor os tipos penais, deixando de lado conceitos hermticos, sob pena de uma caducidade precoce da tutela penal quanto a tais ilcitos, que seguem, a reboque, a evoluo tecnolgica. Neste sentido, a Conveno de Budapeste bastante feliz pois elenca como bens jurdicos, a serem protegidos, no Ttulo 1, Seo 1, Captulo II, a confidencialidade, integridade e disponibilidade de sistemas informticos e dados informticos. Tal enfoque nos pilares da Segurana da Informao a maneira mais escorreita de definir os tipos legais, pois estes se preservam, mesmo diante da inexorvel modificao das tecnologias e das modalidades delitivas. Observando os tipos penais sugeridos, verifica-se um grande laconismo nas elementares dos crimes, um grave silncio quanto ao elemento subjetivo dos tipos propostos, dificultando a tarefa do intrprete na aplicao do direito. O PLS chega a tipificar condutas culposas, como no caso do art. 163-A, 2, que reputa crime a difuso de cdigo malicioso eletrnico, digital ou similar, seguido de dano: Se do crime resulta destruio, inutilizao, deteriorao, alterao, dificultao do funcionamento, ou funcionamento desautorizado pelo titular, de dispositivo de comunicao, de rede de computadores, ou de sistema informatizado, e as circunstncias demonstram que o agente no quis o resultado, nem assumiu o risco de produzi-lo: Pena recluso de 3 (trs) 5 (cinco) anos, e multa.
Evidentemente, diante da parca capacidade tcnica da quase totalidade dos internautas, no h como se admitir a tipificao de conduta culposa nos moldes propostos. As pragas virtuais, como demonstrado em tpico anterior, so elaboradas, cada vez mais, por agentes de elevadssima capacidade tcnica e buscam se imiscuir em sistemas de forma automtica, clandestina, se replicando e espraiando em progresses geomtricas. Muitos destes programas maliciosos no so, sequer, rastreveis pelos mais modernos sistemas de segurana (antivrus, anti-spywares, firewalls). Querer, portanto, que o usurio seja penalmente, ou mesmo, civilmente (em decorrncia de uma condenao criminal), responsabilizado pela difuso no intencional de tais cdigos um grande equvoco. Importante destacar que no obstante alguns cibercrimes imprprios aparentarem ser mera nova roupagem para antigos delitos, deve-se ter em mente que os dados no podem ser tomados como coisas mveis, com o fito de encaix- ! 98! los em tipos penais onde se exige tal circunstncia elementar. Assim, por exemplo, no se pode aceitar dados eletrnicos como bens mveis, passveis do delito de furto. Isso porque os bens mveis permitem o desapossamento, enquanto os dados podem continuar na posse de seu titular. O pintor que tem um quadro furtado perde totalmente sua posse. H um completo afastamento entre o detentor e seu objeto. Isso no se d com perda de dados. Para se compreender esta caracterstica, deve-se notar que os dados eletrnicos so formados por bits, a menor unidade de informao atualmente existente. Os dados, portanto, podem, no mesmo momento, estar armazenados em um meio magntico, como um HD do servidor de banco de dados, e ser convertidos em pulsos eltricos, encaminhados para a memria RAM de tal servidor, transformados em ftons (partculas de luz) e mandados para o servidor de aplicao, atravs do cabeamento ptico da rede. Depois disso, seguiriam por pulsos eletromagnticos pela rede Wi-Fi (sem fio) at o notebook do usurio que solicitou sua visualizao. Verifica-se, pois, uma das modalidades da virtualizao, o desprendimento do aqui e agora, defendida por um dos maiores filsofos da informao da atualidade, Pierre Lvy 230 . Ao se perguntar onde esto estes dados eletrnicos, pode-se dizer que, na verdade, existem em vrios lugares, no se podendo falar que a informao que permanece no Banco de Dados seja a original e a contida na memria dos servidores, ou no notebook do usurio A, B ou C acaso estejam consultando ao mesmo tempo suas cpias. Essa a imaterialidade que se apregoa quanto aos dados eletrnicos. Veja- se que o documento fsico se imiscui com seu suporte material, o papel. A informao inserida com tinta, carvo, grafite, plstico, cera etc., no consegue se desvencilhar do meio onde est armazenada, de forma que, perdido o suporte, perde-se a informao, pois estamos tratando de um documento fsico, nico, original. O mesmo no sucede com o documento, a informao e os dados digitais. A informao, composta por bits, no est vinculada a qualquer meio que no possa !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 230 Desterritorializado, presente por inteiro em cada uma de suas verses, de suas cpias e de suas projees, desprovido de inrcia, habitante ubquo do ciberespao, o hipertexto contribui para produzir aqui e acol acontecimentos de atualizao textual, de navegao e de leitura. Embora necessite de suportes fsicos para subsistir e atualizar-se, o impondervel hipertexto no possui um lugar. LVY, Pierre. O que o virtual? 1. ed. So Paulo: Editora 34, 1996, p. 19-20. ! 99! ser extrada. Pode estar presente em mais de um local, simultaneamente, sem perder a sua integralidade, sua unicidade. No h de se falar em original e suas cpias, pois pelas caractersticas da atemporalidade e ubiquidade, todas suas cpias so, de per si, o mesmo, idntico e nico documento digital. Disso se extrai importante observao do professor Chacon 231 :
O ato de copiar um conjunto de dados no impede que terceiros, ou o titular do prprio conjunto de dados, continuem a possu-los. O titular no perde a posse dos dados, ele perde apenas a posse exclusiva deles. Dados no podem ser considerados coisas mveis. Constituem uma categoria jurdica a parte.
Destarte, a cpia de dados no pode ser tipificada atravs dos delitos tradicionais contra o patrimnio, como furto, roubo e apropriao indbita, j que aqueles no constituem objeto tangvel. 232 Isso nos remete necessidade de tipificao de delitos especficos, de modo a alcanar tais condutas ilcitas, sob pena de restarem no limbo da impunidade, estando equivocado, pois, o PLS, ao prever, meramente, uma nova qualificadora para o crime de furto:
Art. 4 O 4 do art. 155 do Decreto-Lei n 2.848, de 7 de dezembro de 1940 (Cdigo Penal), passa a vigorar acrescido do seguinte inciso V: Art. 155. [...] 4 [...] V mediante uso de rede de computadores, dispositivo de comunicao ou sistema informatizado ou similar, ou contra rede de computadores, dispositivos de comunicao ou sistemas informatizados e similares.
Nesta mesma linha, deve-se destacar que a falsificao informtica bastante diversa da falsificao documental, no podendo, sequer, constituir espcie desta. Isto porque dados que possuem o condo de constituir prova, quando simplesmente armazenados, ou trafegando entre sistemas, mas que no constituam, efetivamente, um documento, devem tambm ser tutelados. Exemplo esclarecedor trazido por Chacon, quando fala da alterao de uma simples informao quanto a data de nascimento de uma pessoa. Claro que somente tal informao no constitui um documento, dentro da acepo tradicionalmente admitida. Isso, porm, no !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 231 ALBUQUERQUE, Roberto Chacon de. A criminalidade informtica. So Paulo: Juarez de Oliveira, 2006, p. 45. 232 Ibidem, p. 46. ! 100! afasta a sua importncia para uma diversidade de sistemas, com srias e diferentes consequncias jurdicas, em caso de modificao indevida. 233
Muitas vezes os dados no so, sequer, perceptveis para o homem. Podem constituir parmetros, drivers, linhas de cdigo, apenas inteligveis para programas de computador cuja modificao provocar um funcionamento no esperado de tais softwares.
6.3 NECESSIDADE DE HARMONIZAO DA LEGISLAO NACIONAL COM AS DIRETRIZES DA CONVENO DE BUDAPESTE
! A Conveno de Budapeste foi enftica no sentido de alcanar como cibercrimes apenas as condutas delitivas de carter doloso. O elemento subjetivo nesta espcie delitiva de suma importncia. No se poderia admitir que a esmagadora parte dos usurios da TI, que no possuem capacitao tcnica suficiente, fossem apontados como autores de delito por, inadvertidamente, reencaminhar um e-mail que tenha imiscudo uma praga eletrnica qualquer, por exemplo. certo que devem, todos, adotar as medidas preventivas bsicas, como uso de antivrus e anti-spyware, mas estas se revelam frgeis na deteco da mirade de vrus, worms, trojans, entre outros, que permeiam o ciberespao. De tal maneira, seja o Substitutivo Azeredo, seja um outro projeto de lei, entre tantos que tramitam, o fato que todas as condutas eventualmente tipificadas devem exigir o elemento subjetivo do dolo especfico. Neste aspecto, um projeto de lei alternativo que vem tramitando, com maior receptividade da populao, o PL 2793/2011, foi mais acertado ao tipificar condutas que exigem dolo do agente. Entre outros, prope a incluso no Cdigo Penal do artigo 154-A:
Invaso de dispositivo informtico Art. 154-A. Devassar dispositivo informtico alheio, conectado ou no rede de computadores, mediante violao indevida de mecanismo de segurana e com o fim de obter, adulterar ou destruir dados ou informaes sem autorizao expressa ou tcita do titular do dispositivo, instalar vulnerabilidades ou obter vantagem ilcita: Pena deteno, de 3 (trs) meses a 1 (um) ano, e multa. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 233 ALBUQUERQUE, Roberto Chacon de. A criminalidade informtica. So Paulo: Juarez de Oliveira, 2006, p. 178-179. ! 101! 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde programa de computador com o intuito de permitir a prtica da conduta definida no caput. 2o Aumenta-se a pena de um sexto a um tero se da invaso resulta prejuzo econmico. 3o Se da invaso resultar a obteno de contedo de comunicaes eletrnicas privadas, segredos comerciais e industriais, informaes sigilosas assim definidas em lei, ou o controle remoto no autorizado do dispositivo invadido: Pena recluso, de 6 (seis) meses a 2 (dois) anos, e multa. 4o Na hiptese do 3o, aumenta-se a pena de um a dois teros se houver divulgao, comercializao ou transmisso a terceiro, a qualquer ttulo, dos dados ou informaes obtidos, se o fato no constitui crime mais grave. 5o Aumenta-se a pena de um tero metade se o crime for praticado contra: I Presidente da Repblica, governadores e prefeitos; II - Presidente do Supremo Tribunal Federal; III - Presidente da Cmara dos Deputados; do Senado Federal; de Assembleia Legislativa de Estado; da Cmara Legislativa do Distrito Federal ou de Cmara de Vereadores; ou IV - Dirigente mximo da administrao direta e indireta federal, estadual, municipal ou do Distrito Federal.
Outro detalhe no qual o ordenamento deve se arrimar na Conveno de Budapeste, j reiteradamente debatido neste trabalho, a tipificao de condutas que atentem contra os pilares da Segurana da Informao, conferindo-se, destarte, maior preciso terminolgica e sobrevida aos tipos penais. Neste sentido diz a Conveno:
Captulo II Medidas a tomar a nvel nacional Seco 1 Direito penal material Ttulo 1 Infraces contra a confidencialidade, integridade e disponibilidade de sistemas informticos e dados informticos
Artigo 2 - Acesso ilegtimo Cada Parte adoptar as medidas legislativas e outras que se revelem necessrias para estabelecer como infraco penal, no seu direito interno, o acesso intencional e ilegtimo totalidade ou a parte de um sistema informtico.
As Partes podem exigir que a infraco seja cometida com a violao de medidas de segurana, com a inteno de obter dados informticos ou outra inteno ilegtima, ou que seja relacionada com um sistema informtico conectado a outro sistema informtico.
Artigo 3 - Intercepo ilegtima Cada Parte adoptar as medidas legislativas e outras que se revelem necessrias para estabelecer como infraco penal, no seu direito interno, a intercepo intencional e ilegtima de dados informticos, efectuada por meios tcnicos, em transmisses no pblicas, para, de ou dentro de um sistema informtico, incluindo emisses electromagnticas provenientes de um sistema informtico que veicule esses dados. As Partes podem exigir que a infraco seja cometida com dolo ou que seja relacionada com um sistema informtico conectado com outro sistema informtico. ! 102!
Artigo 4 - Interferncia em dados 1. Cada Parte adoptar as medidas legislativas e outras que se revelem necessrias para estabelecer como infraco penal, no seu direito interno, o acto de intencional e ilegitimamente danificar, apagar, deteriorar, alterar ou eliminar dados informticos.
2. Uma Parte pode reservar-se o direito de exigir que a conduta descrita no n. 1 provoque danos graves.
Imperiosa, ainda, a reformulao de institutos, a criao de novas abordagens e tipos penais tendo em considerao os aspectos tecnolgicos do cibercrime, os fenmenos da desmaterializao, ubiquidade, unicidade e no, simplesmente, a adaptao dos velhos tipos penais. Deve-se enfatizar que a Conveno de Budapeste, no obstante buscar uma grande tipificao de condutas delitivas, ressalva a necessidade de garantir-se os direitos fundamentais. Atenta, portanto, para a preservao de um standard universal de garantias no combate ao cibercrime. Esse standard essencial para que se possa alavancar, dinamizar e simplificar um ponto de destaque na Conveno, que at mereceu capitulao prpria, a cooperao jurdica. Essa busca por uma assistncia mtua, inclusive estabelecendo a Conveno, em seu art. 35 a criao de uma rede 24/7:
1. Cada Parte designar um ponto de contacto disponvel 24 horas sobre 24 horas, 7 dias por semana, a fim de assegurar a prestao de assistncia imediata a investigaes ou procedimentos respeitantes a infraces penais relacionadas com dados e sistemas informticos, ou a fim de recolher provas, sob forma electrnica, de uma infraco penal. O auxlio incluir a facilitao, ou se o direito e prticas internas o permitirem, a aplicao directa das seguintes medidas: a) A prestao de aconselhamento tcnico; b) A conservao de dados em conformidade com os artigos 29 e 30; e c) A recolha de provas, informaes de carcter jurdico e localizao de suspeitos.
Tal esforo, no sentido de estreitarem-se os laos de assistncia entre Estados, seus rgos e autoridades, no encontra, infelizmente, ressonncia em qualquer projeto de lei sobre cibercrime no Brasil. Tal silncio deveras frustrante para a persecuo dos fins a que se destina toda essa movimentao legislativa. Os parlamentares se limitam a propor normas de carter penal substantivo, to- somente. A importncia da Cooperao Jurdica Internacional, demonstrada em tpico anterior, no encontra respaldo na evoluo do ordenamento interno brasileiro, esvaindo, sobremaneira, a efetividade da represso ao cibercrime. ! 103! CONCLUSO ! ! Diante das anlises feitas, ao longo do trabalho, verifica-se a extrema relevncia do estudo sobre a temtica do cibercrime. Esta modalidade delitiva vem se espraiando, e seus impactos econmicos e financeiros so elevadssimos, colocando-a pouco atrs dos valores movimentados com o trfico ilcito de entorpecentes anualmente. Demonstrou-se que o Brasil est entre os cinco pases mais vitimados por tais delitos, causando prejuzos da ordem de mais de US$ 63 bilhes, somente em 2011. O desejo, a nsia e a falta de saciedade pela tecnologia esto se tornando uma grande fonte de vitimizao destes delitos, cujo combate exige grande aperfeioamento tecnolgico dos aparatos policial e judicial, raramente encontrado, mesmo nos pases mais desenvolvidos. Os Estados devem cada vez mais, em razo das caratersticas destes delitos, estreitar laos de cooperao, sob pena de restar infrutfera qualquer ao preventiva ou repressiva. Exemplo disso pode ser extrado do combate ao trfico de entorpecentes, conforme destaca Hufnagel:
Uma lio clara a partir da histria do controle de drogas que a mera soma das descoordenadas esforos nacionais, ou setoriais, mesmo os bem- sucedidos, no pode resultar em um sucesso global. Outra lio que os pases com recursos limitados no podem resistir, por si s, e conter o impacto do poderoso trfico transnacional. 234
Os fenmenos da Internet e da globalizao alavancam essa problemtica exigindo um intercmbio de informaes e de esforos para serem superadas as dificuldades no rastreamento de evidncias, na identificao dos agentes e da persecuo penal dos cibercriminosos. O processo globalizante afeta diretamente os sistemas jurdicos dos Estados, desafiando o conceito tradicional de soberania e !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 234 Livre traduo. No original: A clear lesson from the history of drug control is that the mere sum of uncoordinated national and sectoral efforts, even successful ones, cannot result in a global success. Another lesson is that countries with limited means cannot resist, and counter the impact of, powerful transnational trafficking flows on their own. United Nations Office on Drugs and Crime (UNDOC), World Drug Report, apud HUFNAGEL, Saskia; HARFIELD, Clide; BRONITT, Simon. Cross-border Law Enforcement, Regional Law Enforcement Cooperation: European, Australian and Asia-Pacific perpectives. 1. Ed. New York: Routledge, 2012, p. Xv. ! 104! impondo uma anlise mais aprofundada dos principais sistemas de harmonizao das normas internacionais com as nacionais. 235
Os aspectos da Segurana da Informao tratados neste trabalho ajudam a entender quais so as fragilidades exploradas pelos cibercriminosos, bem como identificar os bens jurdicos a serem protegidos pela normas penais. A certificao digital abordada demonstra como evitar certos ataques e, tambm, consiste em ferramenta apta a dinamizar e simplificar a cooperao jurdica entre autoridades responsveis pelo combate ao cibercrime. Procurou-se demonstrar a necessidade de uma desburocratizao na cooperao jurdica, simplificando e informalizando a troca de informaes entre autoridades, sempre respeitando, naturalmente, um standard universal com um mnimo de garantias fundamentais. Buscou-se, sem adentrar em minudncias na formulao de tipos penais, apresentar, em linhas gerais, as balizas norteadoras da Conveno de Budapeste, demonstrando as vantagens de uma harmonizao de uma futura legislao interna brasileira com as diretrizes da Conveno, mormente a represso de delitos de carter doloso, o respeitos aos direitos fundamentais e um estreitamento na cooperao jurdica entre os Estados. Pde-se concluir, por fim, que o principal projeto de lei que busca tipificar de forma mais ampla o cibercrime no Brasil, padece de atecnias e no reflete as diretrizes da Conveno de Budapeste e os anseios da comunidade internacional, dificultando, portanto, a persecuo penal desta modalidade delitiva. Deve-se ressaltar que tal obstculo afeta no apenas o Brasil, mas a aplicao da lei e dos ideais de justia no ciberespao que, como visto, consiste no lugar, entre os lugares. Desta forma, nosso pas segue na contramo em tal combate e faz letra morta nossa Carta Magna, na parte em que ala seara constitucional a cooperao entre os povos.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 235 FERREIRA, rica Loureno de Lima. Internet: macrocriminalidade e jurisdio internacional. Curitiba: Juru, 2007, p. 30. ! 105!
REFERNCIAS BIBLIOGRFICAS ! ! ALBUQUERQUE, Roberto Chacon de. A criminalidade informtica. So Paulo: Juarez de Oliveira, 2006.
BECHARA, Fbio Ramazzini. Cooperao jurdica internacional em matria penal: eficcia da prova produzida no exterior. So Paulo: Saraiva, 2011.
BRITZ, Marjie T. Computer forensics and cyber crime: an introduction. New Jersey: Prentice Hall, 2009.
BURNETT, Steve; PAINE, Stephen. Criptografia e segurana. Rio de Janeiro: Campus, 2002.
CAMMARATA, Manlio. Firme elettroniche: problemi normativi del documento informatico. 2. ed. Lavis: Monti&Ambrosini, 2007.
CAMPOS, Andr. Sistema de segurana da informao: controlando os riscos. 2. ed. Florianpolis: Visual Books, 2007.
CLOUGH, Jonathan. Principles of cybercrime. New York: Cambridge University Press, 2010.
COMER, Douglas E. Redes de computadores e internet. 4. ed. Porto Alegre: Bookman, 2007.
DOWNING, Douglas A. et al. Dictionary of computer and internet terms. 10. ed. Hauppauge: Barrons, 2009.
FERREIRA, rica Loureno de Lima. Internet: macrocriminalidade e jurisdio internacional. Curitiba: Juru, 2007.
FERREIRA, Fernando Nicolau Freitas; ARAJO, Mrcio Tadeu de. Poltica de segurana da informao: guia prtico para elaborao e implementao. Rio de Janeiro: Cincia Moderna, 2006.
FICHTELBERG, Aaron. Crime without borders: an introduction to international criminal justice. New Jersey: Pearson Prentice Hall, 2008.
FILHO, Valdir de Oliveira Rocha (Coord.).O direito e a internet. Rio de Janeiro: Forense Universitria, 2002.
FONTES, Edison Luiz Gonalves. Praticando a segurana da informao. Rio de Janeiro: Brasport, 2008. ! 106!
FRIEDMAN, Thomas L. O mundo plano: uma breve histria do sculo XXI. Rio de Janeiro: Objetiva, 2007.
GODOY, Arnaldo Sampaio de Moares. Direito tributrio internacional contextualizado. So Paulo: Quartier Latin, 2009.
GONALVES, Carlos Roberto. Direito civil brasileiro. Volume 1: parte geral. 9. ed. So Paulo: Saraiva, 2011.
HUFNAGEL, Saskia; HARFIELD, Clide; BRONITT, Simon. Cross-border law enforcement, regional law enforcement cooperation: European, Australian and Asia-Pacific perpectives. 1. ed. New York: Routledge, 2012.
JENKINS, Henry. Cultura da convergncia. So Paulo: Aleph, 2008.
JUNIOR, Jos Paulo Baltazar; LIMA, Luciano Flores de (Org.). Cooperao jurdica internacional em matria penal. Porto Alegre: Verbo Jurdico, 2010.
KAHN, David. The codebreakers: the story of secret writing. Abridged Version. New York: The Macmillan Company, 1973.
LVY, Pierre. O que o virtual? 1. ed. So Paulo: Editora 34, 1996.
LLINS, Emilio Su (coordinador). Tratado de derecho informtico, volumen II. Servicios de la sociedad de la informacin e innovacin jurdica: firma digital, servicios de la sociedad de la informacin y comercio electrnico. Madrid: servicio de publicaciones de la Facultad de Derecho de la Universidad Complutense de Madrid, 2006.
RIVERO, Diego Cruz. Eficacia formal y probatoria de la firma electrnica. Madrid: Marcial Pons, 2006.
RODRIK, Dani. The Globalization paradox: democracy and the future of the world economy. 1. ed. New York: W. W. Norton & Conpany, 2011.
ROSENSTEIN, Bruce. O legado de Peter Drucker: lies eternas do pai da administrao moderna para a vida e para os negcios. Rio de Janeiro: Elsevier, 2010.
SAWAYA, Mrcia Regina. Dicionrio de Informtica & Internet. So Paulo: Nobel, 1999.
SILVA, Rita de Cssia Lopes da. Direito penal e sistema informtico. So Paulo: Revista dos Tribunais, 2003.
SINGH, Simon. The code book: the evolution of secrecy from Mary Queen of Scots to quantum cryptography. New York: Anchor Books, 1999.
SIQUEIRA, Ethevaldo. Para compreender o mundo digital. So Paulo: Globo, 2008.
SIRKIN, Harold L.; HEMERLING, James W.; BHATTACHARYA, Arindam. Globalidade a nova era da globalizao: como vencer num mundo em que se concorre com todos, por tudo e em toda parte. Rio de Janeiro: Nova Fronteira, 2008.
SPENCE, Michael. The next convergence: the future of economic growth in a multispeed world. 1. ed. New York: Farrar, Straus and Giroux, 2011.
STALLINGS, William. Criptografia e segurana de redes. 4. ed. So Paulo: Pearson Prentice Hall, 2008.
STIGLITZ, Joseph E. Globalization and its discontents. New York: W. W. Norton & Company, 2003.
TERADA, Routo. Segurana de dados. So Paulo: Blucher, 2008.
TKOTZ, Viktoria. Criptografia: segredos embalados para viagem. So Paulo: Novatec, 2005.
VASCONCELOS, Fernando Antnio de. Internet: responsabilidade do provedor pelos danos praticados. Curitiba: Juru, 2003.
Mediação e conciliação digital como ferramentas de soluções para o retorno do crédito concedido no âmbito do Sistema Financeiro: a pandemia no processo de aceleração digital e a inadimplência