Escolar Documentos
Profissional Documentos
Cultura Documentos
Brasília – DF
2012
Dedico esta obra à Letícia, alegria de
nossas vidas, desejoso de estar
cimentando um pequeno tijolo na
construção de um futuro melhor.
AGRADECIMENTO
The present paper presents the main international mechanism to combat cybercrime,
the Budapest Convention, and analyze its reflection in the Brazilian domestic law. In
view of the phenomena of the Internet and globalization, seeks to demonstrate the
escalation of crime across the network and show that the commission of offenses,
without the physical presence of the agent, difficult, or even preclude the possibility of
a criminal prosecution. Given the mitigation of traditional concepts such as
jurisdiction and sovereignty, seeks to demonstrate the need to increase legal
cooperation between States to prevent and prosecute cybercrime. It talks also about
aspects of information security, providing the foundation for secure communication
and necessary for proper statutory classification of the different species of
cybercrime. Covers the Budapest Convention, detailing its key features and their use
as a paradigm for the formulation of domestic legislation that is consistent with the
desires of the international community and allow legal cooperation.
INTRODUÇÃO ............................................................................................................ 8
CAPÍTULO 1 – A INTERNET E A GLOBALIZAÇÃO ............................................... 10
1.1 A INTERNET .................................................................................................... 10
1.1.1 O tráfego de informações ....................................................................... 12
1.1.2 O microprocessamento .......................................................................... 15
1.2. A GLOBALIZAÇÃO ......................................................................................... 16
1.2.1 O mundo digital e a convergência ......................................................... 19
1.2.2 Reflexos da convergência digital na esfera do direito ........................ 21
CAPÍTULO 2 - OS CIBERCRIMES ........................................................................... 22
2.1 CONCEITO E CATEGORIAS DOS CIBERCRIMES ........................................................ 22
2.2 CARACTERÍSTICAS DOS CIBERCRIMES E O PERFIL DO CIBERCRIMINOSO ................... 26
2.3 EVOLUÇÃO DO CIBERCRIME ................................................................................. 28
2.4 DIFICULDADES NA REPRESSÃO AO CIBERCRIME ..................................................... 34
CAPÍTULO 3 – A TECNOLOGIA DA INFORMAÇAO E A SEARA DA
SEGURANÇA DA INFORMAÇÃO ........................................................................... 37
3.1 PILARES DA COMUNICAÇÃO SEGURA ..................................................................... 38
3.2 DA CRIPTOLOGIA À ASSINATURA DIGITAL ............................................................... 41
3.2.1 Técnicas clássicas de criptografia ........................................................ 42
3.2.2 Técnicas de substituição........................................................................ 44
3.2.3 Técnicas de transposição ...................................................................... 46
3.2.5 Criptografia simétrica ............................................................................. 49
3.2.6 Criptografia assimétrica ......................................................................... 57
3.2.7 Resumo de mensagem (número de hash) ............................................ 61
3.2.8 Assinatura digital .................................................................................... 64
3.3 ASPECTOS LEGAIS SOBRE A CERTIFICAÇÃO DIGITAL E A ICP-BRASIL ..................... 67
3.4 SEGURANÇA DA INFORMAÇÃO .............................................................................. 70
3.4.1 Políticas e práticas de segurança.......................................................... 71
3.4.2 Implementação de um sistema de segurança da informação ............ 73
CAPÍTULO 4 – AÇÃO INTERNACIONAL NO COMBATE AO CIBERCRIME ........ 76
O COMBATE AO CIBERCRIME É BASTANTE INCIPIENTE NO BRASIL, SENDO IMPORTANTE
DESTACAR AS PRINCIPAIS SOLUÇÕES ADOTADAS PELA COMUNIDADE INTERNACIONAL E A
POSSIBILIDADE DE INTERNALIZAÇÃO DE TAIS EXPERIÊNCIAS. ....................................... 76
4.1 MEDIDAS ADOTADAS CONTRA O CIBERCRIME ......................................................... 76
4.2 A CONVENÇÃO DE BUDAPESTE SOBRE O CIBERCRIME ........................................... 78
CAPÍTULO 5 – COOPERAÇÃO JURÍDICA INTERNACIONAL PARA O COMBATE
AO CIBERCRIME ..................................................................................................... 81
5.1 DEFINIÇÃO, CLASSIFICAÇÃO E NATUREZA DA COOPERAÇÃO JURÍDICA INTERNACIONAL
............................................................................................................................... 84
5.2 A COOPERAÇÃO JURÍDICA INTERNACIONAL E O BRASIL ........................................... 87
5.3 DIFICULDADES ENFRENTADAS NA COOPERAÇÃO JURÍDICA INTERNACIONAL .............. 90
CAPÍTULO 6 – PROPOSTAS LEGISLATIVAS BRASILEIRAS PARA O COMBATE
AO CIBERCRIME ..................................................................................................... 94
6.1 PROJETO DE LEI SUBSTITUTIVO DO SENADOR EDUARDO AZEREDO ........................ 95
6.3 NECESSIDADE DE HARMONIZAÇÃO DA LEGISLAÇÃO NACIONAL COM AS DIRETRIZES DA
CONVENÇÃO DE BUDAPESTE ................................................................................... 100
CONCLUSÃO ......................................................................................................... 103
REFERÊNCIAS BIBLIOGRÁFICAS ....................................................................... 105
! 8!
INTRODUÇÃO
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
1
MACÊDO, Manoel Moacir Costa. Metodologia científica aplicada. 2. Ed. Brasília: Scala Gráfica e
Editora, 2009, p. 59.
! 9!
1.1 A INTERNET
!
Nenhuma outra tecnologia, ideologia ou ferramenta causou tamanha
revolução cultural, econômica e social como a Internet. Oriunda da Advanced
Research Projects Agency Network (ARPANet), surgiu durante a Guerra Fria, em
1969, como forma de descentralizar as informações sensíveis, de modo a preservá-
las em caso de ataque nuclear pela extinta União Soviética2.
Com o passar do tempo foi sendo utilizada para troca de mensagens entre
Universidades e, em seguida, agregou diversas outras redes e serviços, culminando
na grande teia que hoje conhecemos e está presente, direta ou indiretamente, na
totalidade dos serviços de que nos utilizamos diuturnamente, v.g. operações
bancárias, telefonia, energia elétrica, comunicações, educação, entre tantos outros.
A rede possui o condão de proporcionar oportunidades, antes impensáveis,
para grande parte das pessoas. Quem nunca teve a chance de ir visitar o museu do
Louvre pode fazê-lo de maneira virtual, apreciando suas milhares de obras; pessoas
podem iniciar relacionamentos afetivos na Internet; uma legião de home brokers
pode investir direta e individualmente em ações de empresas de capital aberto; até
mesmo consultas médicas online se tornaram possíveis e são realidade em alguns
países.
Segundo estudo de 2011 da International Telecommunication Union (ITU),
maior organismo mundial sobre telecomunicações, o mundo hoje conta com 35% da
população mundial já com acesso direto à internet, quase o dobro da quantidade de
internautas estimada em 20063.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
2
SIQUEIRA, Ethevaldo. Para compreender o mundo digital. São Paulo: Globo, 2008, p. 127.
3
Disponível em: <http://www.itu.int/ITU-D/ict/facts/2011/material/ICTFactsFigures2011.pdf>. Acesso
em 07/03/2012.
! One third of the world’s population is online 11!
China:28% Developed
China: 37%
Developed India: 6%
Not using Developing India: 10%
Internet: 82% Developing
Other
Not using Other
developing
countries: 66% Internet: 65% developing
countries: 53%
Note: * Estimate
Source: ITU World Telecommunication/ICT Indicators database
Infográfico
The1– Parcela
world de usuários
is home de internet
to 7 billion em relação
people, one third of àwhich
população mundial.
are using the Internet. 45% of the world’s
Fonte: União Internacional de Telecomunicações
Internet users are below the age of 25. (UIT)
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
4
Seu primeiro uso, todavia, foi de cunho científico e realizado em 1988 pelo Laboratório Nacional de
Computação Científica (LNCC) do CNPq, localizado no Rio de Janeiro, que conseguiu acesso à
Bitnet, por meio de uma conexão de 9.600 bps (bits por segundo) estabelecida com a Universidade
de Maryland. Disponível em: <http://www.rnp.br/newsgen/9806/inter-br.html>. Acesso em 07/03/2012.
5
Cf. VASCONCELOS, Fernando Antônio de. Internet: responsabilidade do provedor pelos danos
praticados. Curitiba: Juruá, 2003, p. 42.
6
Um exemplo dessa transferência é dada por Thomas L. Friedman, ao dizer que cerca de 400 mil
declarações de imposto de renda de norte-americanos, ainda em 2005, foram feitas por empresas e
contadores na Índia, sem que os contribuintes tivessem plena consciência de tal terceirização. O
referido autor acredita que até 2015, quase a totalidade das declarações, pelo menos de seus
elementos básicos, serão terceirizadas por contadores para empresas indianas. FRIEDMAN, Thomas
L. O mundo é plano: uma breve história do século XXI. Rio de Janeiro: Objetiva, 2007, p. 24.
! 12!
24ª edição
Evolução do faturamento – 1os semestres
(em bilhões)
R$ 8,4 bi
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
11
COMER, Douglas E. Redes de Computadores e Internet. 4. ed. Porto Alegre: Bookman, 2007, p.
47.
12
Qualquer equipamento auxiliar (geralmente os de entrada/saída e de armazenamento externo) de
um sistema de processamento de dados, que não seja a unidade central de processamento, como,
por exemplo, teclado, impressoras, scanner. Cf. SAWAYA, Márcia Regina. Dicionário de
Informática & Internet. São Paulo: Nobel, 1999.
13
COMER, op. cit. p. 272.
14
SIQUEIRA, Ethevaldo. Para compreender o mundo digital. São Paulo: Globo, 2008, p. 127.
! 14!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
15
Trata-se de um projeto denominado OPTE, conduzido pelo americano Barrett Lyon, que visa criar
uma representação visual da Internet, demonstrando a distribuição de espaços de IP. Disponível em:
<http://www.opte.org/>. Acesso em 08/03/2012.
16
Livre tradução. No original: “a network component that joins several networks together intelligently.
A router router can look up the best route to a distant site. The Internet relies heavily on routers.”
DOWNING, Douglas A. et al. Dictionary of Computer and Internet Terms. 10. ed. Hauppauge:
Barron’s, 2009, p. 417.
! 15!
1.1.2 O microprocessamento
Importante não olvidar que ao lado da Internet surgiu um outro grande agente
impulsionador de nossa atual tecnologia e conhecimento científico, o
microprocessamento. Com sua pesquisa e desenvolvimento subsidiados pelo
Departamento de Defesa Americano, para substituir as válvulas eletrônicas e serem
utilizados no controle balístico de mísseis, construção de aviônicos18 etc., os
microprocessadores causaram enorme evolução tecnológica.19
Para tanto, basta observar que o primeiro computador, o Electronic Numerical
Integrator and Computer (Eniac), tinha cerca de 50 metros de comprimento20,
pesava 30 toneladas21 e, ainda assim, possuía menor capacidade de processamento
que uma máquina de calcular dos dias atuais.
O microprocessamento permitiu, portanto, um crescimento exponencial da
capacidade computacional, a miniaturização de dispositivos eletrônicos e a
diminuição de seus custo, já que feitos em larga escala e à base de silício. Observe-
se ainda, vigir a lei de Moore, segundo a qual, a cada 18 (dezoito) meses dobra-se a
capacidade dos processadores de computador.22
Diante disso o que se vê é um gigantesco número de dispositivos móveis,
como celulares, cujo volume já ultrapassava os 4 bilhões de unidades, em 2009. O
mais interessante nisso não se refere, meramente, à ampliação dos serviços de
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
17
SPENCE, Michael. The next convergence: the future of economic growth in a multispeed world.
1st. ed. New York: Farrar, Straus and Giroux, 2011, p. 235.
18
Entendidos como todo equipamento eletrônico utilizado para auxiliar no voo de aeronaves.
19
SPENCE, op. cit. p. 225-226.
20
Disponível em: <http://www.upenn.edu/almanac/v42/n18/eniac.html>. Acesso em: 16/03/2012.
21
BRITZ, Marjie T. Computer forensics and cyber crime: an introduction. New Jersey: Prentice
Hall, 2009, p. 24.
22
SPENCE, op. cit. p. 226.
! 16!
1.2. A GLOBALIZAÇÃO
[...] uma semente foi plantada, que acabou por ser um dos dois principais
blocos de construção da economia global. Líderes dos países
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
23
SPENCE, Michael. The next convergence: the future of economic growth in a multispeed
world.1st. ed. New York: Farrar, Straus and Giroux, 2011, p. 222.
24
FRIEDMAN, Thomas L. O mundo é plano: uma breve história do século XXI. Rio de Janeiro:
Objetiva, 2007, p. 19-20.
25
RODRIK, Dani. The Globalization paradox: democracy and the future of the world economy. 1st.
ed. New York: W. W. Norton & Conpany, 2011, p. 24-25.
26
Livre tradução. No original: “a seed was planted that turned out to be one of the two main building
blocks of the global economy. Leaders in the developed countries after the war set out to create a
different international order, with perhaps more hope than confidence of creating a more benign and
inclusive world. The opportunity was probably created by the horror of the war itself, and the
devastation right after. It was a crisis. Generally, crises are opportunities for change because they
weaken vested interests and resistance. The opportunity is not, however, always seized.” SPENCE,
op. cit. p. 26.
! 17!
Dito isso, ele continua para afirmar que o General Agreement on Tariffs and
Trade (GATT), criado em 1947, foi o começo da criação do que conhecemos hoje
como economia global. O GATT, ao reduzir tarifas diminuiu severas barreiras do
comércio internacional e foi o catalisador de uma revolução econômica, na qual
centenas de milhões de pessoas experimentaram o benefício do crescimento.27
Naturalmente que tal crescimento não alcançou todas as nações, como bem
adverte o ex-vice-presidente Sênior para Políticas de Desenvolvimento do Banco
Mundial, Joseph Stiglitz, também ganhador do Nobel de Economia de 2001:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
27
SPENCE, Michael. The next convergence: the future of economic growth in a multispeed world.
1st. ed. New York: Farrar, Straus and Giroux, 2011, p. 28-29.
28
Livre tradução. No original: “The Western countries have pushed poor countries to eliminate trade
barriers, but kept up their own barriers, preventing developing countries from exporting their
agricultural products and so depriving them of desperately needed export income.” STIGLITZ, Joseph
E. Globalization and its discontents. New York: W. W. Norton & Company, 2003, p. 6.
29
O Novo Relatório da CIA: como será o mundo amanhã. 1. ed. São Paulo: Geração Editorial, 2009,
p. 61.
! 18!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
30
SIRKIN, Harold L.; HEMERLING, James W.; BHATTACHARYA, Arindam. Globalidade – a nova
era da globalização: como vencer num mundo em que se concorre com todos, por tudo e em toda
parte. Trad. Marcello Lino. Rio de Janeiro: Nova Fronteira, 2008, p. 15.
31
FRIEDMAN, Thomas L. O mundo é plano: uma breve história do século XXI. Rio de Janeiro:
Objetiva, 2007, p. 473.
32
Ibidem, p. 475.
! 19!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
33
FRIEDMAN, Thomas L. O mundo é plano: uma breve história do século XXI. Rio de Janeiro:
Objetiva, 2007, p. 20-21.
34
Livre tradução. No original: “Human potential is scattered around the world pretty much randomly. In
an increasing portion of the world, that human potential is being turned into valuable talent by
combining it with education and the learning that goes with productive employment. But much of that
human talent is inaccessible. In the global economy, goods and capital are quite mobile, but labor
(that is, people) is much less so. To make use of human talent, jobs can move to people or people can
move to jobs. In most healthy national economies, both happen. But in the global economy, people
face high barriers when it comes to moving to jobs: the more important process is jobs moving to
people. And that is what has been happening.” SPENCE, Michael. The next convergence: the future
of economic growth in a multispeed world. 1st. ed. New York: Farrar, Straus and Giroux, 2011, p. 235.
35
SIQUEIRA, Ethevaldo. Para compreender o mundo digital. São Paulo: Globo, 2008, p. 11.
! 20!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
36
JENKINS, Henry. Cultura da convergência. São Paulo: Aleph, 2008, p. 45.
37
Livre tradução. No original: “People may still live in environments in which the physical infrastructure
is deficient by advanced-country standards. It takes many years to build all that. But the gap in
knowledge, information, transactions, and connectivity in the virtual world is closing faster than anyone
could have believed possible even ten years ago.” SPENCE, Michael. The next convergence: the
future of economic growth in a multispeed world. 1st. ed. New York: Farrar, Straus and Giroux, 2011,
p. 243.
38
OLIVEIRA JR., José Alcebíades. Teoria jurídica e novos direitos. Rio de Janeiro: Lumen Juris,
2000, p. 100 apud VASCONCELOS, Fernando Antônio de. Internet: responsabilidade do provedor
pelos danos praticados. Curitiba: Juruá, 2003, p. 22.
! 21!
CAPÍTULO 2 - OS CIBERCRIMES
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
phenomena. By operationalizìng terms, researchers (and practitioners and policy makers) can avoid
inappropriately commingling meanings of different types of abuse, deviancy, crime, and security
threats. Operationalizing terms helps to prevent confusing research findings that would be of little
value for creating crime prevention and information security programs, enacting new crime legislation,
or enforcing laws and regulations. Preventing such confusion does generally improve criminal justice
and security practices and policies.” MCQUADE III, Samuel C. Understanding and managing
cybercrime. Boston: Pearson, 2006, p. 17-18.
45
Livre tradução. No original: “l. Crimes in which the computer or computer network is the target of the
criminal activity. For example, hacking, malware and DOS attacks. 2. Existing offences where the
computer is a tool used to Commit the crime. For example, child pornography, stalking, criminal
copyright infringement and fraud. 3. Crimes in which the use of the computer is an incidental aspect of
the commission of the crime but may afford evidence of the crime. For example, addresses found in
the computer of a murder suspect, or phone records of conversations between offender and victim
before a homicide. In such cases the computer is not significantly implicated in the commission of the
offence, but is more a repository for evidence.” CLOUGH, Jonathan. Principles of Cybercrime. New
York: Cambridge University Press, 2010, p. 10.
46
Ibidem, p. 10.
! 25!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
47
MCQUADE III, Samuel C. Understanding and managing cybercrime. Boston: Pearson, 2006, p.
15-17.
48
FICHTELBERG, Aaron. Crime without borders: an introduction to international criminal justice.
New Jersey: Pearson Prentice Hall, 2008, p. 265.
49
CLOUGH, op. cit. p. 9.
50
MCQUADE III, Samuel C. Understanding and managing cybercrime. Boston: Pearson, 2006, p.
15.
51
Livre tradução. No original: “Cybercrime is now the term most often used to label activities in which
perpetrators use computers or other electronic IT devices via information systems to facilitate illegal
behaviors. In essence, cybercrime involves using electronic gadgets to access, control, manipulate, or
use data for illegal purposes.” Ibidem, p. 16-17.
! 26!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
52
Livre tradução. No original: “[...] computer-mediated activities which are either illegal or considered
illicit by certain parties and which can be conducted through global electronic networks.”
FICHTELBERG, Aaron. Crime without borders: an introduction to international criminal justice. New
Jersey: Pearson Prentice Hall, 2008, p. 265.
53
Naturalmente que se refere aos cibercrimes que visam derrubar serviços, destruir dados, paralisar
rotinas, ou mesmo, destruir equipamentos alterando a normalidade das configurações de máquinas
controladas por computador. Assim, não se inclui, o furto de uma loja de eletro-eletrônicos
54
SILVA, Rita de Cássia Lopes da. Direito penal e sistema informático. São Paulo: Revista dos
Tribunais, 2003, p. 60.
55
ALBUQUERQUE, Roberto Chacon de. A criminalidade informática. São Paulo: Juarez de
Oliveira, 2006, p. 40.
! 27!
prevenção e combate. Segundo Clough: “Foi dito que existem três fatores
necessários para a prática de crime: a existência de criminosos motivados,
disponibilidade de oportunidades adequadas e a ausência de vigilância eficaz”.56
Tais elementos são facilmente encontrados, de forma extrema, no
ciberespaço. Com cerca de 2,45 bilhões de internautas no mundo, o potencial
número de criminosos e vítimas é impressionante. Munido de um ponto de conexão
e um computador, ou outro dispositivo, qualquer pessoa pode, no conforto de sua
casa, ou de um lugar qualquer, cometer uma série de delitos. O fator que propicia
isto é o anonimato, seja aquele real alcançado por experts (dito hackers), seja a
mera sensação de distanciamento do usuário mediano, ao utilizar falsas identidades
online ou se valer de simples programas de mascaramento de IP57.
A percepção dos delinquentes é a de que não serão identificados, além de
terem a confiança, em regra, infelizmente verdadeira, de que o poder público não
tem aparato suficiente para produzir provas necessárias para lastrear uma
condenação. A prova pericial é inafastável nestes casos, e a volatilidade da
informação, sem uma infraestrutura tecnológica e humana eficiente, pode restar
corrompida, perdida ou não ser admitida em juízo. Segundo Érica Ferreira58:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
56
Livre tradução. No original: “It has been said that there are three factors necessary for the
commission of crime: a supply of motivated offenders, the availability of suitable opportunities and the
absence of capable guardians.” CLOUGH, Jonathan. Principles of Cybercrime. New York:
Cambridge University Press, 2010, p. 5.
57
Através desta técnica, utiliza-se um equipamento que intermedia a conexão, fazendo-se passar
pelo computador do usuário, de modo que se forem rastreados os acessos feitos pelo criminoso será
identificado o endereço de IP da máquina intermediária.
58
MUÑOZ MACHADO, Santiago. La regulación de la red: Poder y Derecho en internet. Madrid:
Taurus, 2000, p. 17, apud FERREIRA, Érica Lourenço de Lima. Internet: macrocriminalidade e
jurisdição internacional. Curitiba: Juruá, 2007, p. 91.
! 28!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
59
Livre tradução. No original: “Donn Parker is credited with developing an attacker assessment model
that subsumes the classic motive, opportunity, and means framework for establishing suspects in an
investigation. Known as SKRAM, his model is adapted here to refer to the skills, knowledge,
resources, and technical authority to access and manipulate physical and cyber locations and data,
and intensity of motives for committing cybercrimes.” MCQUADE III, Samuel C. Understanding and
managing cybercrime. Boston: Pearson, 2006, p. 118.
60
MCQUADE III, Samuel C. Understanding and managing cybercrime. Boston: Pearson, 2006, p.
12.
61
BRITZ, Marjie T. Computer forensics and cyber crime: an introduction. New Jersey: Prentice
Hall, 2009, p. 7.
! 29!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
66
Disponível em: <http://now-static.norton.com/now/pt/pu/images/Promotions/2012/cybercrimereport/
assets/downloads/pt-br/NCR-DataSheet.pdf>. Acesso em: 27/03/2012.
67
Um ataque feito em um sistema de computador que nega o acesso da vítima a um serviço
particular. A vítima pode ser um único servidor, múltiplos servidores, um roteador ou uma rede de
computadores. PHOHA, Vir V. Internet security dictionary. New York: Springer-Verlag, 2002, p. 37.
68
Um destrutivo programa de computador que se dissemina através da Internet ou uma LAN, se
autorreplicando e se transmitindo a outros computadores a partir de um já infectado. Livre tradução.
No original: “a destructive computer program that spreads through the Internet or a LAN by
transmitting itself to other computers from the infected one”. DOWNING, Douglas A. et al. Dictionary
of Computer and Internet Terms. 10. ed. Hauppauge: Barron’s, 2009, p. 536.
69
Disponível em: <http://www.computereconomics.com/article.cfm?id=133>. Acesso em: 28/03/2012.
! 31!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
70
Livre tradução. No original: “A botnet is a group of malware infected computers also called
“zombies” or bots that can be used remotely to carry out attacks against other computer systems. Bots
are generally created by finding vulnerabilities in computer systems, exploiting these vulnerabilities
with malware, and inserting malware into those systems, inter alia. Botnets are maintained by
malicious actors commonly referred to as “bot herders” or “bot masters” that can control the botnet
remotely. The bots are then programmed and instructed by the bot herder to perform a variety of
cyber attacks, including attacks involving the further distribution and installation of malware on other
information systems.” Relatório Ministerial DSTI/ICCP/REG(2007)5/FINAL da OECD (Organisation for
Economic Co-operation and Development), disponível em: <http://www.oecd.org/dataoecd/53/34/
40724457.pdf>. Acesso em 28/03/2012.
71
Livre tradução. No original: “In its most complex effort to disrupt botnets to date, Microsoft Corp., in
collaboration with the financial services industry — including the Financial Services – Information
Sharing and Analysis Center (FS-ISAC) and NACHA – The Electronic Payments Association — as
well as Kyrus Tech Inc., announced it has successfully executed a coordinated global action against
some of the most notorious cybercrime operations that fuel online fraud and identity theft. With this
legal and technical action, a number of the most harmful botnets using the Zeus family of malware
worldwide have been disrupted in an unprecedented, proactive cross-industry action against this
cybercriminal organization. Through an extensive and collaborative investigation into the Zeus threat,
Microsoft and its banking, finance and technical partners discovered that once a computer is infected
with Zeus, the malware can monitor a victim’s online activity and automatically start keylogging, or
recording a person’s every keystroke, when a person types in the name of a financial institution or
ecommerce site. With this information, cybercriminals can steal personal information that can be used
for identity theft or to fraudulently make purchases or access other private accounts. In fact, since
2007, Microsoft has detected more than 13 million suspected infections of the Zeus malware
worldwide, including approximately 3 million computers in the United States alone.” Disponível em: <
http://www.microsoft.com/Presspass/press/2012/mar12/03-25CybercrimePR.mspx>. Acesso em:
28/03/2012.
! 32!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
74
Disponível em: <http://www.cert.br/stats/incidentes/2011-jan-dec/total.html>. Acesso em:
24/03/2012.
! 34!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
80
Livre tradução. No original: “Social and professional experiences, combined with our understanding
of how technology can be used for illicit purposes, help shape our views about social deviance,
computer abuse, threats to information security, and crime.” MCQUADE III, Samuel C.
Understanding and managing cybercrime. Boston: Pearson, 2006, p. 20-21.
! 37!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
81
ALBUQUERQUE, Roberto Chacon de. A criminalidade informática. São Paulo: Juarez de
Oliveira, 2006, p. 22.
82
Ibidem, p. 53.
83
Ibidem, p. 41.
! 38!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
86
O uso de digitais é mais antigo do que se imagina, havendo relatos de que na China antiga os
governantes as utilizavam para lacrar documentos relevantes. Na Dinastia Tang (618-907 a.c.), as
impressões digitais de comerciantes eram aplicadas em placas de barro para confirmar a sua
identidade em transações realizadas. Cf. PINHEIRO, José Maurício. Biometria nos sistemas
computacionais: você é a senha. Rio de Janeiro: Ciência Moderna, 2008, p. 39.
87
Disponível em: <http://news.bbc.co.uk/2/hi/science/nature/1991517.stm>. Acesso em 20/02/2012
88
Naturalmente, desde o experimento, houve uma evolução de tais leitores de digitais, podendo estes
hoje verificar se as digitais são oriundas de um organismo vivo e outras características, o que
incrementa sua segurança, mas não afasta as desvantagens apontadas.
! 41!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
89
Trata-se esta palavra de um neologismo – apesar de termos em nosso léxico o seu antônimo a
cifragem, como ato de cifrar – já que tal vocábulo não consta em nossa língua.
90
TKOTZ, Viktoria. Criptografia: segredos embalados para viagem. São Paulo: Novatec, 2005, p. 17.
! 42!
poderá ser aberto e perfeitamente lido no programa e versão que lhe deu origem (ou
outros que sejam compatíveis).
A criptografia é mais que isso, ela é uma desorganização (de forma
estruturada, naturalmente, pois do contrário não poderia ser revertida) do texto claro
(plaintext, cleartext ou texto original) que, através de processos matemáticos de
substituição, transposição, enchimento, gera um texto cifrado (ciphertext¸ codetext,
texto codificado, mensagem cifrada ou criptograma) irreconhecível.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
91
Apesar de a maioria dos autores utilizarem essa referência como um dos primeiros usos da técnica
de cifrar uma mensagem, David Kahn, em sua célebre obra The Codebreakers, aponta como o mais
remoto uso conhecido de um dos elementos da criptografia a troca de alguns hieróglifos, inscritos na
tumba de um faraó egípcio, por um escriba, situada em uma vila do antigo Egito, chamada Menet
Khufu, por volta do ano de 1900 a.C. Apesar da modificação não visar tornar ininteligível o texto (e foi,
sim, uma deferência ao inumado), o escriba utilizou-se de um dos elementos essenciais da
criptografia, a troca deliberada da escrita. No original, “Thus the inscription was not secret writing, but
it incorporated one of the essencial elements of cryptography: a deliberate transformation of the
writing. It is the oldest text known to do so.” KAHN, David. The Codebreakers: the story of secret
writing. Abridged Version. New York: The Macmillan Company, 1973, p. 65.
! 43!
tempo, eles estavam cientes das consequências, caso suas mensagens caíssem em
mãos erradas, revelando segredos preciosos a nações rivais, ou divulgando
informações vitais para forças inimigas92.”
A criptografia utilizava diversas técnicas para tornar ininteligíveis as
mensagens (uso de códigos, cifragem por substituição, por transposição) ou
meramente buscava esconder a mensagem dentro de outros textos, chamada de
esteganografia (do grego estegano, ‘oculto’, ‘coberto’, ‘impenetrável’ e graphia, ‘ação
de escrever’).
A esteganografia – que não deve ser confundida com a estenografia93 (forma
de escrita baseada em símbolos que substituem palavras ou frases de modo a
acelerar a escrita) – ao invés de tornar ininteligível a mensagem, simplesmente a
esconde. Seu primeiro uso conhecido, conforme assevera Tkotz, está relatado em
um texto de Heródoto, do século V a.C., onde narra a história de Histio que,
desejando remeter uma informação secreta ao seu superior, pegou um escravo fiel,
raspou-lhe os cabelos e tatuou a mensagem. Após, esperou que os cabelos
crescessem e enviou o escravo ao seu chefe, com a instrução de que lhe raspassem
a cabeça94.
Na outra via, surgiu, posteriormente, a criptoanálise, que buscava decifrar
aquelas mensagens incompreensíveis95 (tentava-se descobrir o conteúdo da
mensagem cifrada, devassar o segredo) e, mais recentemente, passou também a
verificar o nível de segurança e qualidade do algoritmo96 – entendido este como um
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
92
SINGH, Simon. The code book: the evolution of secrecy from Mary Queen of Scots to quantum
cryptography. New York: Anchor Books, 1999, p. xiii. Livre tradução do autor. No original: “For
thousands of years, kings, queens and generals have relied on efficient communication in order to
govern their countries and command their armies. At the same time, they have all been aware of the
consequences of their messages falling into the wrong hands, revealing precious secrets to rival
nations and betraying vital information to opposing forces.”
93
Ou taquigrafia (do grego taqui, ‘rápido’ e graphia, ‘ação de escrever’). Sendo que a diferença entre
as duas está no fato de que a taquigrafia é feita à mão, utilizando-se uma caneta ou lápis, e a
estenotipia por uma máquina.
94
A esteganografia ainda é bastante utilizada, e na seara da informática utilizam-se arquivos de fotos
e vídeos para esconder mensagens, alterando-se os bits menos significativos, não sendo perceptível
qualquer alteração na imagem.
95
Sua utilização durante a Segunda Guerra Mundial foi essencial para seu desfecho, podendo os
aliados decifrar as mensagens transmitidas e cifradas pela maquina criptográfica alemã, ENIGMA.
96
“Conjunto de regras e operações bem definidas e ordenadas, destinadas à solução de um
problema, ou de uma classe de problemas, em um número finito de etapas” (Dicionário Aurélio).
Segundo Burnett e Paine: “A palavra algoritmo é um termo científico para uma receita ou
procedimento passo a passo. Ela é uma lista de instruções ou coisas a serem feitas em uma
determinada ordem. Um algoritmo talvez tenha uma lista rígida de comandos a ser seguida ou talvez
contenha uma série de perguntas e, dependendo das respostas, descreve os passos apropriados a
! 44!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
101
Cada língua possui um número de palavras, sílabas e letras mais utilizadas e conforme a
quantidade e disposição em que aparecem pode-se determinar a língua utilizada. O português, por
exemplo, tem como letras mais frequentes o “a” (14,63%), “e” (12,57%), as consoantes “s” (7,81%),
“r” (6,53%). Disponível em: <http://tinyurl.com/3j9op2p>. Acesso em 12/03/2012. No inglês, por sua
vez, segundo estudo da Universidade de Matemática de Cornell, a letra mais usada é a vogal “e”
(12,02%), seguida da consoante “t” (9,1%), seguida da vogal “a” (8,12%). Disponível em:
<http://tinyurl.com/2atmvu6>. Acesso em 12/03/2012. Destarte, apenas observando os caracteres
substituídos e a frequência com que aparecem, pode-se, estatisticamente, definir uma língua.
102
Posteriormente foram criados mecanismos para compensar essa disparidade, atribuindo-se cifras
diversas para as letras mais frequentes, de modo que a distribuição no texto ficasse igualitária, a
exemplo da homophonic substitution cipher, descrita por SINGH, Simon. The code book: the
evolution of secrecy from Mary Queen of Scots to quantum cryptography. New York: Anchor Books,
1999, p. 52.
103
Disponível em: <http://tinyurl.com/62ccdvt>. Acesso em 12/03/2012.
! 46!
V M S A ROE
A O S I H J
transposição das letras. Tal tira era, então, transportada, muitas vezes na forma de
cinto e, quando o destinatário a recebia, enrolava em um bastão com diâmetro
idêntico e decifrava a mensagem.
Apesar da criptografia por cifras, aplicando unicamente a técnica da
transposição não ser recomendada (por não ser forte o suficiente) uma vez aliada, a
técnica de substituição continua a ser uma importante e atual ferramenta
criptográfica108 .
importantes com a sede de sua corporação. Ou seja, não existe como esconder o
algoritmo.
A solução foi a criação de técnicas criptográficas, cuja força estivesse
baseada, não no sigilo do algoritmo (no programa), mas na sua qualidade de cifrar a
mensagem através de uma engenhosa equação matemática. Esta permitia um
simples e leve processamento para cifrar ou decifrar (desde que se conheça a
chave, obviamente), afinal, não se poderia ficar horas, sequer minutos, codificando
uma mensagem. Ao mesmo tempo, devia ser complexo, lento e caro para um
invasor chegar à mensagem clara, partindo da mensagem cifrada. Importante
ressaltar, inclusive, que grande parte destes algoritmos criptográficos111 são abertos
ao público, propiciando que a comunidade de pesquisa criptográfica possa analisar,
apontar brechas e encontrar falhas.
A criptografia moderna baseia-se, pois, em equações de mão única, na
aritmética modular, cujo cálculo é simples e rápido. Agora, sem a chave e partindo
do resultado, querer descobrir os valores de todas as variáveis componentes da
equação, mesmo se sabendo sua fórmula (lembre-se que toda a metodologia é
conhecida), é extremamente difícil, demorado e demandaria muito investimento (é o
que se chama computacionalmente difícil).
Assim, a segurança da informação se fulcra em dois fatores: tempo e custo. O
criptossistema escolhido deverá oferecer uma força (uma segurança) cujo tempo
necessário para ser quebrado deverá ser muito superior à vida útil da informação (do
tempo necessário na manutenção do sigilo). Poderá ser eleito também baseado no
custo financeiro para a devassa, devendo este ser bem maior que o valor da
informação que se quer proteger.
Pode-se dizer, para fazer uma metáfora um tanto singela, que o algoritmo
para criptografar uma mensagem é uma tranca, uma fechadura transparente, que
contém n (leia-se, trilhões de trilhões de trilhões...) possíveis chaves e só pode ser
lacrada e aberta com apenas uma delas. Pode-se ver e entender o mecanismo
interno da fechadura (a equação), apenas não se sabe qual a chave (a variável),
“aleatoriamente” escolhida e invisível ao cibercriminoso, que foi acionada para
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
111
Ou seja, a estrutura, a lógica e técnicas utilizadas (como se operam as substituições,
transposições, enchimentos etc.) no algoritmo são conhecidas, sendo muito mais seguro confiar em
um criptossistema publicamente aberto e submetido ao crivo de criptoanalistas de todo o mundo, do
que em um outro cujos métodos estejam somente nas mãos da empresa desenvolvedora (e,
certamente, de um punhado de cibercriminosos).
! 49!
trancar, isto é, cifrar a mensagem (resultado da equação) e deve ser utilizada para
destrancar a fechadura, ou seja, decifrar a informação.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
112
BURNETT, Steve; PAINE, Stephen. Criptografia e segurança. Rio de Janeiro: Campus, 2002, p.
10.
113
Apesar de alguns matemáticos e criptólogos apontarem a cifra One-Time Pad como única
impossível de ser quebrada – ainda que somada a capacidade computacional de todos os
computadores do mundo. Este método de substituição utiliza uma chave, gerada aleatoriamente, que
possui a mesma extensão do texto claro. Em função desta característica, tentar atacá-la é infrutífero,
pois poderia se tentar n combinações que gerariam textos claros diversos, não se podendo afirmar
qual deles é o correto. O grande problema de sua utilização reside na dificuldade de se gerar chaves
realmente aleatórias em grande quantidade e de grandes dimensões (o que demandaria um perfeito
programa gerador de números randômicos, RNG – Random Numbers Generators). SINGH, Simon.
The code book: the evolution of secrecy from Mary Queen of Scots to quantum cryptography. New
York: Anchor Books, 1999, p. 122-123, assevera: “The security of the onetime pad cipher is wholly
due to the randomness of the key”.
! 50!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
117
Designação usualmente atribuída a experts (hackers) que utilizam sua expertise com o fito de
cometer ilícitos.
118
São várias estas ferramentas disponíveis na Net. Apesar de muitas não terem sido concebidas
inicialmente para ataques e sim teste de sistemas, auditorias, seu uso foi deturpado e hoje se
encontra disseminado na rede.
119
Somadas ao uso de um canal seguro de transmissão de dados, Secure Sockets Layer (SSL), ou
seu sucessor, o Transport Layer Security (TSL). STALLINGS, William. Criptografia e segurança de
redes. 4. ed. São Paulo: Pearson Prentice Hall, 2008, pag. 379.
! 52!
por força-bruta (brute force attack) que consiste na técnica de tentativa e erro120 . Ele
tentará decifrar a mensagem, inserindo todas as possíveis chaves (tecnicamente
denominado espaço de chaves).121
Ao se falar em quebra de chaves, deve-se considerar a capacidade
computacional do invasor. Cada máquina possui uma capacidade, limitada por sua
estrutura e características, de processar certa quantidade de informações por
segundo, o que chamamos em informática de FLOPS (floating point operations per
second, i.e. operações de ponto flutuante por segundo, ou, simplesmente, número
de instruções por segundo)122, máquinas domésticas avançadas, v.g. com um
processador Intel Core i7 Extreme Edition 990x, possuem uma capacidade de
processamento em torno de 159 gigaFLOPS (159 bilhões de FLOPS)123.
Já os supercomputadores possuem elevadíssima capacidade computacional,
mas não são vendidos a qualquer um, e mesmo governos de determinados países
não podem comprar tais máquinas, por questões de segurança, já que podem ser
utilizados para efetuar cálculos balísticos de mísseis, produção de armas de
destruição em massa, etc.
A mais poderosa máquina da atualidade é o Supercomputador K Japonês,
apresentado em 2011, formado por 68.544 processadores de 8 núcleos. Foi
desenhado para superar a capacidade de 8,16 petaFLOPS (8,16 quatrilhões de
FLOPS), podendo chegar a 10 petaFLOPS. Mas já deverá ser superado, em breve,
pelo IBM Blue Gene/Q Sequoia que está sendo construído e deverá operar ainda
agora em 2012, com nominais 20 petaFLOPS. Para se ter uma ideia do que este
número representa, segundo noticiado pela própria IBM124, a capacidade de
processamento dessa máquina em um dia, equivaleria a colocar cada pessoa de
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
120
Existem, é claro, outros métodos de ataque, como o ataque dicionário, pelo qual um programa se
utiliza de palavras comuns combinadas com números e símbolos simples, ataque estatístico, entre
outros. TERADA, Routo. Segurança de dados. São Paulo: Blucher, 2008, p. 25.
121
Em verdade, cerca de metade delas, pois ele irá dividir a análise do universo de número de
chaves em várias partes, tendo a chance de acertar, após analisar não muito mais que 50% destas.
122
Apesar de tais máquinas poderem processar essa imensa quantidade de operações em seus
processadores, trata-se de mero número de referência, já que para se verificar a efetiva capacidade
de um supercomputador deve-se analisar seu desempenho na execução de determinada tarefa (v.g.
software de meteorologia, biologia, cálculos balísticos, processamento gráfico, ou mesmo um
programa de benchmark etc.) e a velocidade de comunicação entre seus componentes, como do
processador para as memórias, destas para os dispositivos de armazenamento. Por isso tornou-se
usual mensurar o número de milhões de instruções por segundo MIPS (million of instructions per
second) em um programa de benchmark (que compara a performance de máquinas), ou em
aplicativos reais.
123
Mensurado através do SiSoftware Sandra 2011, disponível em: <http://tinyurl.com/6gc3lgy>.
Acesso em 13/01/2012
124
Disponível em: <http://tinyurl.com/3r8uuzm>. Acesso em 13/01/2012.
! 53!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
125
Como o sistema de espionagem de comunicações (telefone, fax, e-mail) que pode interceptar
comunicações privadas e comerciais em todo o globo e cuja existência, negada pelos EUA, é
praticamente inconteste. Conhecido como ECHELON, é administrado pela Austrália, Canadá,
Estados Unidos, Nova Zelândia e Reino Unido. Sua existência, alcance e ameaça, inclusive, já foi
alvo de estudo no âmbito da União Europeia, através do relatório A5-0264/2001 do Parlamento
Europeu, disponível em:<http://tinyurl.com/3fu4yk2>. Acesso em 15/01/2012. Através deste sistema
poderia ser processado um número gigantesco de informações, tendo como alvo pessoas, órgãos e
empresas determinados (ou de maneira global) com a utilização de um método de dicionários, de
modo que uma vez detectadas certas palavras importantes, previamente estabelecidas, aquela
comunicação passaria a ser avaliada.
126
TERADA, Routo. Segurança de dados. São Paulo: Blucher, 2008, p. 58.
127
O internauta, no caso, baixa e instala um pequeno módulo que irá receber uma fração do espaço
de chaves para ser analisada. O programa apenas utiliza a capacidade ociosa do computador, de
! 54!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
modo que no momento que o usuário faz uso de sua máquina o desempenho não seja afetado.
Confira: <http://www.distributed.net>. Acesso em 18/01/2012.
128
Naturalmente que o reflexo maior não se daria na máquina do usuário, por exemplo de um sistema
de Internet banking, mas nos servidores de rede da instituição financeira ao processarem milhares de
transações simultaneamente.
129
Mesmo o último supercomputador conhecido da IBM, antes mencionado, o Blue Gene/Q tem uma
previsão de alcançar uma capacidade de 20 (vinte) petaFLOPS em 2012. Tal evolução não
compromete as previsões atualmente feitas, apenas cogitáveis através da computação quântica.
Observe-se já existirem computadores quânticos sendo comercializados, ainda com meros 128 qubits
(bits quânticos), pela empresa D-Wave. Disponível em: <http://tinyurl.com/63uacch>. Acesso em
18/01/2012. Para a quebra de uma criptografia simétrica, em uma tentativa aleatória de todas as
possíveis “n” de chaves, o computador quântico conseguiria reduzir as tentativas para a raiz
! 55!
chaves está muito próximo das previsões feitas, devendo os gestores da área de TI
de empresas e órgão públicos atentar para as recomendações existentes.
Em decorrência disso, ressalta-se a inestimável importância dos
criptoanalistas que analisam os algoritmos criptográficos de natureza aberta, pública,
procurando identificar fragilidades e quebrar as diversas extensões de chaves.
Muitos desenvolvedores de criptossistemas incentivam – principalmente após
o lançamento de um novo padrão – que a comunidade de criptoanalistas tente
quebrar uma chave, inclusive oferecendo prêmios em dinheiro para o primeiro que
conseguir. Tal atitude traz maior segurança para os usuários e submete o
criptossistema a uma rigorosa avaliação pública, evitando a falácia da
pseudossegurança de criptossistemas fechados, não publicamente testados,
eventualmente já violados por invasores que, por óbvio, quedam em silêncio.
Para se ter uma noção da “durabilidade” de tais algoritmos simétricos (aqui
considerando o tempo necessário para a quebra da chave, considerando sua
extensão, tão somente, e não eventual brecha do próprio criptossistema), consta
abaixo uma tabela com algumas chaves já quebradas e a expectativa de vida das
que seguem incólumes130.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
135
STALLINGS, William. Criptografia e segurança de redes. 4. ed. São Paulo: Pearson Prentice
Hall, 2008, p. 46-47.
136
Gordon Moore, fundador da maior fábrica de processadores do mundo, a INTEL.
137
Efetivamente, dobra-se a quantidade de transistores contida em um processador, sem aumento
significativo de custo, a cada 18 meses. Esta “lei” continua em voga e ainda deve ser aplicável por,
pelo menos, mais uma década. Argumenta-se que no futuro deixará de subsistir, pois a
miniaturização nos circuitos de silício alcançará seu limite, alcançado cada transistor o tamanho de
poucos átomos. Apesar de que tal elemento poderá ser substituído por um material chamado grafeno
(uma camada de átomos de carbono com um átomo de profundidade) que em razão de sua
capacidade de multiplicar frequências, poderá produzir chips com velocidade de até 100 vezes
superior aos chips convencionais, conforme estudos do MIT, divulgados em março de 2009.
Disponível em: <http://tinyurl.com/cmrpx4>. Acesso em 23/02/2012.
! 57!
De nada vai adiantar que um cibercriminoso acerte uma das chaves – no caso
da engenharia reversa, a última – pois ele vai chegar na mensagem cifrada pela
segunda vez. Ou seja, ele apenas poderá lograr a quebra quando conseguir achar
corretamente cada uma das chaves e combiná-las de modo a chegar a uma
mensagem legível e verificar que houve sucesso. Fazendo uma analogia simples,
seria o mesmo que dizer que cada chave pode ser um número de 2 dígitos, ou seja,
ter 100 combinações (de 0 a 99), podendo um computador hipotético testar 100
combinações em uma hora, e que uma chave de 6 dígitos (3 vezes mais extensa)
pudesse ser quebrada no triplo do tempo, em 3 horas... Isso, claro, não é
verdadeiro, pois uma chave de 6 dígitos teria 1 milhão de combinações (de 0 a
999.999) e o computador hipotético do exemplo (muito lento por sinal), verificando
100 chaves por hora, apenas iria lograr analisar a todas em 10 mil horas, ou cerca
de 416 dias!
Apesar da relativa segurança da chave Triple DES, que equivaleria a uma
chave de 168 bits138 , seu algoritmo estava obsoleto e assim o NIST resolveu, em
1997, promover uma competição para a criação de uma chave avançada de
criptografia batizada de Advanced Encryption Standard (AES) onde deviam os
candidatos satisfazer uma série de requisitos. Em 1999, foram anunciados os 5
(cinco) finalistas, e em outubro de 2000, o vencedor da competição, o algoritmo
RIJNDAEL, de autoria de Joan Daemen e Vicent Rijmen.
O algoritmo simétrico AES-RIJNDAEL vem, portanto, substituindo o antigo
padrão DES, que ainda pode ser encontrado em algumas aplicações139.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
140
Apesar disso, algumas agências norte-americanas e britânicas, reivindicam terem desenvolvido a
técnica entre 1960 e 1970. BURNETT, Steve; PAINE, Stephen. Criptografia e segurança. Rio de
Janeiro: Campus, 2002, p. 82.
141
Posteriormente, três professores do Massachusetts Institute of Technology (MIT), Ron Rivest, Adi
Shamir e Len Adleman, publicaram em 1978 o algoritmo de criptografia assimétrica RSA, até hoje
utilizado.
142
Se a chave pública de alguém for utilizada para cifrar uma mensagem está se garantindo com isso
que só o autor a recupere (com sua chave privada), temos uma autenticação parcial (no caso só do
destinatário) e garante-se a privacidade da informação. Caso seja cifrada com a chave privada de
uma pessoa determinada informação, não haverá privacidade já que qualquer um ao informar nossa
chave pública poderá reaver a informação. Garante-se, contudo, uma autenticação parcial (no caso
do remetente) servindo como uma assinatura digital.
! 59!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
143
Conforme cálculo de Wolfram Alpha, disponível em: <http://tinyurl.com/6f3eq5m>. Acesso em
23/02/2012.
! 60!
Sds.
Dr. Brasileiro
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
147
Significando hash, por sua vez, espalhar, misturar etc., o que bem define seu escopo.
148
Caso o leitor tenha interesse de baixar um programa gratuito para calcular os principais números
de hash do mercado, baixe o HashX em: <http://www.boilingbit.com/>. Acesso em 23/02/2012.
! 62!
Sds.
Dr. Brasileiro
!
Número de hash: d2 45 39 8a e5 fb e9 5f c0 5e f3 96 65 91 2f 05 8f 8e 97 d1
No exemplo acima, fora utilizado o padrão de hash mais difundido na
atualidade o SHA-1 (Secure Hash Algorithm, i.e. algoritmo de hash seguro),
evolução do SHA, onde foram identificados algumas fraquezas, e batizada sua
versão aprimorada de SHA-1, existindo ainda a SHA-2 256, SHA- 2 384 e SHA-2
512. Como se pode inferir, os números referem-se ao tamanho do número hash
gerado, em bits. A SHA-1, possui 160 bits, o que significa que possui 20 bytes,
representados, geralmente, em números hexadecimais (que podem ser
representados por um par de algarismos, um par de letras ou por um algarismo e
uma letra)149.
O primeiro padrão a ser maciçamente utilizado foi o MD, desenvolvido por
Ron Rivest, que foi sendo aprimorado através do MD2, MD4 e MD5. Apesar de o
último da série ser ainda bastante utilizado, já foram encontradas fraquezas e
demonstradas colisões (adiante explicadas), que o tornam contraindicado, tendo em
seu lugar, sido disseminado o uso do SHA-1 e SHA-256.
Agora, mesmo o SHA-1 e seus sucessores estão sendo postos em cheque150,
de forma que o NIST – a exemplo do que fez com a criptografia assimétrica, abrindo
um certame151 para a escolha de um padrão AES – iniciou um concurso em 2007
para a escolha de um AHS – Advanced Hashing Standard, cujo resultado deverá se
dar em 2012.152
As principais propriedades de uma boa função de hashing são153:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
149
O sistema hexadecimal, conforme o nome diz, utiliza uma base de 16 “algarismos” (símbolos): os
10 algarismos decimais (de 0 a 9) e mais as letras A, B, C, D, E e F (significando, respectivamente,
os números 10, 11, 12, 13, 14, 15 e 16).
150
Por força de uma vulnerabilidade apontada em fevereiro de 2005, o que deverá abreviar a vida útil
do algoritmo.
151
Para mais informações sobre o projeto AHS do NIST, visite: <http://tinyurl.com/3rfahb8>. Acesso
em 17/02/2012.
152
TERADA, Routo. Segurança de dados. São Paulo: Blucher, 2008, p. 87.
153
BURNETT, Steve; PAINE, Stephen. Criptografia e segurança. Rio de Janeiro: Campus, 2002, p.
121-122.
! 63!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
154
Apenas para exemplificar, uma mensagem de texto contendo três bytes: “oi!” irá gerar um número
de hash com os mesmos 20 bytes, ab 6f 48 e2 92 19 36 b2 5c 34 4f f8 a0 e5 9e 08 62 c7 cf 7c. Isso,
naturalmente, falando-se de SHA-1, pois a SHA-2 de 512 bits gerará uma saída de hash com 64
bytes.
155
Aqui a força bruta não se aplica. Querer, pela técnica da tentativa e erro, testar as possíveis
mensagens e fazer seus resumos para ver se se chega ao número de hash é quase impossível, pois
como visto a mensagem pode ter qualquer dimensão.
156
Veja que esta propriedade é diferente da anterior, naquela foi explicada a impossibilidade de se
achar precisamente a mensagem que produziu determinado número de hash. Nessa, a
impossibilidade de se achar qualquer mensagem que chegue ao mesmo valor.
! 64!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
157
Atente-se que o ataque MITM, i.e. man-in-the-middle (também chamado de bucket-brigade attack),
tanto pode ser usado para forjar uma assinatura digital como para violar o sigilo de uma informação,
bastando que o intruso intercepte a comunicação e forneça sua própria chave pública como sendo a
da vítima. Caso o outro interlocutor a utilize para verificar a assinatura, ocorrerá a primeira hipótese.
Se utilizar a falsa chave pública para criptografar uma mensagem, o intruso conseguirá devassar a
informação confidencial.
158
O ataque MITM não se dá somente na comunicação entre duas pessoas, mas pode ser aplicado
entre o usuário e um servidor (de um site de compras), roubando a sessão (troca de informações) e
logrando-se conseguir o número do cartão de crédito do comprador. Para evitar este ilícito podemos
utilizar canais de conexão segura como o Secure Sockets Layer (SSL), hoje na sua versão 3, ou seu
sucessor o Transport Layer Security (TLS), que criptografam a sessão e autenticam o servidor e o
cliente, criando um canal seguro e impedindo a intervenção por um terceiro. Além dessas tecnologias,
temos a Secure Electronic Transaction (SET), utilizada em operações financeiras, e mesmo numa
camada mais abaixo (camada de rede), o IP Security Protocol (IPSec), que permite toda uma gama
de medidas de segurança. STALLINGS, William. Criptografia e segurança de redes. 4. ed. São
Paulo: Pearson Prentice Hall, 2008, p. 380 et seq.
! 65!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
159
Ou no inglês CA (Certification Authority).
160
Os servidores de um órgão ou empresa podem ser certificados de modo a se garantir que o
usuário, ao utilizar de seus serviços, via Internet, não seja vítima de phishing (ser direcionado a um
falso site a fim de que as informações fornecidas pelo usuário sejam obtidas pelo fraudador).
161
Veremos que a Lei 11.419/2006, em seu artigo 4º, §1º, para a disponibilização de diário da justiça
eletrônico, exige além da certificação do conteúdo – na verdade do(s) responsável(is) pela
disponibilização da informação – a certificação do sítio (os servidores de internet).
162
BURNETT, Steve; PAINE, Stephen. Criptografia e segurança. Rio de Janeiro: Campus, 2002, p.
146.
163
Padrão desenvolvido pela International Telecommunication Union (ITU).
! 66!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
164
O certificado da AC Raiz é autoassinado. Isto significa dizer que se trata do único certificado de
toda uma ICP que é assinado por sua própria chave privada.
165
Ou, no inglês, PKI – Public Key Infrastructure.
166
Disponível em: <https://www.icpbrasil.gov.br/apresentacao>. Acesso em 17/02/2012.
! 67!
[...] todas as paredes, piso e teto deverão ser revestidos de aço e concreto
ou de outro material de resistência equivalente. As paredes, piso e teto
deverão ser inteiriços, constituindo uma célula estanque contra ameaças de
acesso indevido, água, vapor, gases e fogo. Os dutos de refrigeração e
energia, bem como os dutos de comunicação, não deverão permitir a
invasão física das áreas de quarto nível. Adicionalmente, esses ambientes
de nível 4 – que constituem as chamadas salas-cofre – deverão possuir
168
proteção contra interferência eletromagnética externa.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
167
Sem mencionar os níveis 5 e 6, localizados dentro do nível 4, consistindo o primeiro em um cofre
ou gabinete reforçado e trancado, onde ficarão guardadas chaves, material e equipamento
criptográfico. O nível 6 consiste de pequenos depósitos, dispondo de fechadura, onde deverão ser
guardados os dados de ativação da chave privada.
168
Item 5.1.2.1.8 da Resolução nº 42 de 18 de abril de 2006, do Comitê Gestor da ICP-Brasil.
169
MENKE, Fabiano. Assinatura eletrônica: aspectos jurídicos no direito brasileiro. São Paulo:
Editora Revista dos Tribunais, 2005, p. 67.
! 68!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
170
Observe-se que referida MP está plenamente em vigor, não tendo sido alcançada pela norma
constitucional trazida pela EC 32, o art. 62, §3º, da CF (que torna sem eficácia as MPs não
convertidas em lei, no prazo de sessenta dias) por ser anterior a alteração constitucional.
171
GONÇALVES, Carlos Roberto. Direito civil brasileiro. Volume 1: parte geral. 9. ed. São Paulo:
Saraiva, 2011, pag. 540.
172
MENKE, Fabiano. Assinatura eletrônica: aspectos jurídicos no direito brasileiro. São Paulo:
Editora Revista dos Tribunais, 2005, p. 141.
173
Ao contrário da manuscrita, sem reconhecimento de firma, a assinatura digital carrega em si a
certeza da sua autenticidade e afasta o repúdio. Propicia, ainda, a impossibilidade de alteração do
documento assinado, o que não pode garantir a manuscrita, em suporte tradicional, como o papel.
! 69!
Emilio Llinás: “Hay equivalente funcional, e incluso puede haber mayor seguridad en
la firma digital que en la manuscrita; pero por medios completamente distintos.”174
O segundo ponto, trazido no §2º, é que a ICP-Brasil não exclui a possibilidade
de assinatura digital com certificados diversos, desde que seja admitido pelas partes
como válido, ou aceito pela pessoa a quem for oposto o documento. Trata-se da
adoção de uma neutralidade tecnológica plena, que propicia liberdade, em
detrimento da segurança e de uma padronização. Diego Rivero, conceituando o
princípio da neutralidade tecnológica diz:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
174
LLINÁS, Emilio Suñé (coordinador). Tratado de derecho informático, volumen II. Servicios de
la sociedad de la información e innovación jurídica: firma digital, servicios de la sociedad de la
información y comercio electrónico. Madrid: servicio de publicaciones de la Facultad de Derecho de la
Universidad Complutense de Madrid, 2006, p. 26.
175
RIVERO, Diego Cruz. Eficacia formal y probatoria de la firma electrónica. Madrid: Marcial
Pons, 2006, p. 26.
176
Livre tradução. No original: “La firma elettronica qualificata deve avere lo stesso regime della firma
autografa (come, peraltro, è previsto dalla direttiva europea) senza aggiunti che possano dare luogo a
incertezze interpretative e, soprattutto, a disarmonie con l’ordinamento esistente”. CAMMARATA,
Manlio. Firme elettroniche: problemi normativi del documento informatico. 2. ed. Lavis:
Monti&Ambrosini, 2007, p. 115.
! 70!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
182
Perceba-se que alguns autores enumeram uma quantidade diferente de elementos da segurança
da informação, não podendo se dizer que um elenco esteja certo ou errado, mas, somente que um é
mais analítico que os demais.
183
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de segurança da
informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2006,
p. 9-10.
! 72!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
184
Processos aqui no sentido das atividades
185
Já que os usuários procurarão utilizar meios alternativos, podendo expor a rede interna ao tentar
obter acesso ao conteúdo bloqueado.
! 73!
Diante do que foi apresentado, três obstáculos devem ser superados para a
criação e colocação em prática de um sistema de segurança da informação em
empresas e órgão públicos:
a) A sensibilização da direção do órgão para que atente a esta
nova realidade, perceba a necessidade de sua implementação e não só isso,
mas também sua imprescindível participação na elaboração, avaliação e
execução das políticas.
b) A dificuldade no âmbito dos órgão públicos em não se poder
mensurar, economicamente, o valor da informação a ser protegida, ou do
processo, cuja disponibilidade deva ser garantida, a fim de que sejam feitos
investimentos em segurança, compatíveis. Um banco, ou um site de vendas
por Internet, por exemplo, pode quantificar economicamente os prejuízos,
caso o site fique fora do ar por determinado período de tempo, ou venha a
perder parte de um banco de dados, com informações de clientes. Por outro
lado, quanto vale a saída do ar do servidor de Internet que hospeda o site de
um tribunal, por exemplo, e dá acesso ao sistema de processo eletrônico, por
algumas horas, ou por alguns dias? Quanto vale o indevido acesso a
informações sigilosas de um processo sob a égide do segredo de justiça?
Sendo prestadores de um serviço público e instrumentos do exercício da
garantia de acesso à justiça e da prestação jurisdicional, não existe como se
mensurar, economicamente, o escopo que se quer proteger. Trata-se de um
negócio, prestar a jurisdição, de valor inestimável. Assim, o investimento em
segurança, mais do que uma relação de custo/benefício, como ocorre na área
privada, está baseado na prudência, na disponibilidade financeira da corte, na
consciência e responsabilidade de cada administrador, neste aspecto.
c) A complexa, imprescindível e constante conscientização e
capacitação de servidores, funcionários, dirigentes e prestadores de serviço
na adoção, manutenção, atualização e cumprimento das políticas de
seguranças estabelecidas no estabelecimento. O fator humano,
! 74!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
186
Desastre é uma terminologia adotada em segurança da informação e se refere a um evento
súbito, de grandes proporções, capaz de causar prejuízos aos ativos ou paralisações dos processos
críticos da organização. FONTES, Edison Luiz Gonçalves. Praticando a segurança da informação.
Rio de Janeiro: Brasport, 2008, p. 74-75.
187
NG, Reynaldo. Forense Computacional Corporativa. Rio de Janeiro: Brasport, 2007, p. 5-6.
188
Esta norma adota o modelo conhecido como Plan-Do-Check-Act (PDCA), ou seja: planejar
(estabelecer o SGSI, i.e. Sistema de Gestão de Segurança da Informação), fazer (implementar e
operar o SGSI), checar (monitorar e analisar criticamente o SGSI) e agir (manter e melhorar o SGSI).
189
Associação Brasileira de Normas Técnicas, órgão fundado em 1940 e responsável
pela normalização técnica
no país, fornecendo a base necessária ao desenvolvimento tecnológico brasileiro.
! 75!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
190
Livre tradução do autor. DEMARCO, Tom. Controlling software projects: management,
measurement & estimation. New York: Yourdon Press, 1982, p. 58. No original: “You can’t control
what you can’t measure”.
191
Interessante frisar que tal máxima é geralmente creditada ao célebre Peter Drucker, mas esta não
é formulada em qualquer de suas obras.
192
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de segurança da
informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2006,
p. 95.
193
ROSENSTEIN, Bruce. O legado de Peter Drucker: lições eternas do pai da administração
moderna para a vida e para os negócios. Rio de Janeiro: Elsevier, 2010, p. 47.
! 76!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
194
BRITZ, Marjie T. Computer forensics and cyber crime: an introduction. New Jersey: Prentice
Hall, 2009, p. 207.
! 77!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
195
FICHTELBERG, Aaron. Crime without borders: an introduction to international criminal justice.
New Jersey: Pearson Prentice Hall, 2008, p.8.
196
Disponível em: < http://www.coe.int/t/dghl/standardsetting/t-cy/ETS_185_Portugese.pdf>. Acesso
em 16/02/2012.
! 79!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
197
Livre tradução. No original: “The Council of the European Union recently requested that a feasibility
study be conducted to determine the potential effectiveness of new agency to coordinate international
cybercrime investigations. This proposed agency would work to ensure that member countries of the
Council of Europe`s Cybercrime Convention would have access to a contact that would assist in
Cybercrime investigations. An additional mission of the new agency would be to provide evidence of
the need for more countries to ratify the Council of Europe’s Cybercrime Convention, which requires
standardized laws for certain cybercrime behaviors. Further, the agency would potentially be
responsible for collecting data on cybercrime throughout Europe, and potentially throughout other
member countries, compiling this data und preparing reports that would potentially aid in the
development of new laws and policies related to regulation of cybercrime. The timeline for the
development and implementation of this agency is yet undetermined, as the feasibility study is
expected to address questions on where the agency should be housed, how the agency should be
financed, and the scope of the agency`s duties”. MOORE, Robert. Cybercrime : investigating high-
technology computer crime. 2. ed. Oxford: Elsevier, 2011, p. 15.
! 80!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
198
Não há de se confundir crime transnacional, onde há violação de bens jurídicos de ao menos dois
países, com os crimes internacionais, onde são violados bens jurídicos universais, previamente
estabelecidos pela comunidade internacional.
199
FERREIRA, Érica Lourenço de Lima. Internet: macrocriminalidade e jurisdição internacional.
Curitiba: Juruá, 2007, p. 129.
200
Livre tradução. No original: “The concept of sovereignty has been the centerpiece of international
politics Since the Peace of Westphalia in l648. Prior to the formation of the International Military
Tribunal at Nuremberg in 1945, it was a central legal principle that leaders of sovereign states could
do whatever they wanted wherever they wanted without having to be held criminally liable for their
actions. One of the central features of twentieth-century international law in general and twentieth-
century international criminal law in particular is that this principle has been seriously weakened.
Sovereignty does not mean everything that it once did. Globalization has changed what it means to be
a sovereign state and has tied the hands of political leaders in some important ways.” FICHTELBERG,
Aaron. Crime without borders: an introduction to international criminal justice. New Jersey: Pearson
Prentice Hall, 2008, p. 279.
! 82!
demais, levar a cabo uma ação penal em face de um agente que deixou seu
território. Onde havia, inicial e meramente, um compromisso moral de colaboração
(comitas gentium) entre os Estados, surgiu uma verdadeira obrigação jurídica.
A importância da cooperação jurídica é demonstrada na Convenção das
Nações Unidas contra o Crime Organizado Transnacional. Segundo Hufnagel201:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
201
Livre tradução. No original: “An excellent example of the foregoing is the United Nations
Convention against Transnational Organised Crime. This convention not only provides a broad
definition of transnational organised crime but also encompasses a large number of provisions related
to the harmonisation of criminal law and the law of Criminal proceedings, in particular where that
involves the use of proactive investigation methods. It also has a fairly large number of articles
concerning police cooperation and mutual legal assistance, for example with respect to exchanging
information, seizing goods and protecting witnesses.” HUFNAGEL, Saskia; HARFIELD, Clide;
BRONITT, Simon. Cross-border Law Enforcement, Regional Law Enforcement Cooperation –
European, Australian and Asia-Pacific perpectives. 1. Ed. New York: Routledge, 2012, p. 3.
202
Livre tradução. No original: “First, the seriousness of the transnational crime problem plays an
important role. It is not the case, however, that the more serious the problem, the closer the
cooperation. That is because, secondly, the degree of mutual cooperation fostered by states also
depends largely on the extent to which they appreciate the seriousness of the problem in the same
way and at the same level. If they agree that the problem is a serious one, then there is obviously
greater scope to expand or intensify their cooperation. If they do not, then there is little chance that
their cooperation will flourish. Thirdly, there is the related factor that the degree of cooperation is
determined to some extent by the common (mainly political and economic) interests of states. These
interests may induce states to cooperate even then they do not consider the problem to be urgent,
because doing so will be conducive to mutual relations. Fourthly, it should be noted, by extension, that
states may be concerned about maintaining public order and security in their immediate surroundings
and therefore feel obliged, for example, to conclude police cooperation and legal assistance treaties
with neighboring countries.” Ibidem, p. 9.
! 83!
O Brasil, nos últimos anos, vem abrindo portas para uma maior participação
em matéria penal junto à comunidade internacional, seja estabelecendo acordos e
protocolos de assistência mútua, seja se submetendo à jurisdição de Cortes
Internacionais. Pode-se elencar algumas destas principais iniciativas: a) Emenda
Constitucional 45/04 que elevou à categoria de emenda constitucional os tratados e
convenções internacionais sobre direitos humanos, bem como submeteu o país à
jurisdição do Tribunal Penal Internacional, cf. Estatuto de Roma; b) Carta dos
Direitos das Pessoas perante a Justiça no âmbito do Judiciário Ibero-americano,
assinada em 29/11/2002; c) MP 27, de 24/01/2002, que trata de infrações penais de
repercussão interestadual, ou internacional, que exigem repressão uniforme; d)
Decreto 3.468/2000, que promulga o Protocolo de Assistência Mútua em Assuntos
Penais entre os países do Mercosul; e) Convenção de 1971 para prevenir e punir
atos de terrorismo configurados em delitos contra as pessoas e a extorsão conexa,
quando tiverem eles transcendência internacional, promulgada pelo Decreto
3.018/1999; f) Acordos de Cooperação Judiciário e Assistência Mútua em Matéria
Penal entre Brasil e Itália, Portugal, França, Colômbia, Estados Unidos da América;
g) Decreto de 07/06/1993, que cria o grupo brasileiro da Associação Internacional de
Direito Penal, entidade civil consultiva, em matéria penal, do Conselho Nacional de
Política Criminal e Penitenciária (CNPCP), órgão do Ministério da Justiça; h) Decreto
585/1992, que promulga o acordo sobre gratuidade parcial da execução de Cartas
Rogatórias em matéria penal, entre o Brasil e a França.203
Não obstante tais iniciativas, para um país que já é a sexta maior economia
do mundo e um dos maiores locais de vitimização de delitos transnacionais, o
estreitamento com a comunidade internacional em matéria penal ainda é muito
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
203
FERREIRA, Érica Lourenço de Lima. Internet: macrocriminalidade e jurisdição internacional.
Curitiba: Juruá, 2007, p. 67-68.
! 84!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
204
BECHARA, Fábio Ramazzini. Cooperação jurídica internacional em matéria penal: eficácia da
prova produzida no exterior. São Paulo: Saraiva, 2011, p. 42-43.
205
Ibidem, p. 44-46.
! 85!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
206
CERVINI, Raúl; TAVARES, Juarez. Princípios de cooperação judicial penal internacional no
protocol do Mercosul. São Paulo: RT, 2000, p. 54-55 apud BECHARA, Fábio Ramazzini. Cooperação
jurídica internacional em matéria penal: eficácia da prova produzida no exterior. São Paulo:
Saraiva, 2011, p. 44.
207
BECHARA, Fábio Ramazzini. Cooperação jurídica internacional em matéria penal: eficácia da
prova produzida no exterior. São Paulo: Saraiva, 2011, p. 93.
208
Ibidem, p. 65.
! 86!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
209
Ibidem, p. 98.
210
BECHARA, Fábio Ramazzini. Cooperação jurídica internacional em matéria penal: eficácia da
prova produzida no exterior. São Paulo: Saraiva, 2011, p. 153.
211
Não se deve olvidar que tal princípio não exige uma correspondência perfeita entre os tipos
penais, sendo bastante que contenham semelhanças no preceito primário e busquem proteger o
mesmo bem jurídico.
212
BECHARA, op. cit., p. 155.
213
Através de um pedido de extensão, segundo explica MORO, Sergio Fernando. In: JUNIOR, José
Paulo Baltazar; LIMA, Luciano Flores de (Org.). Cooperação jurídica internacional em matéria
penal. Porto Alegre: Verbo Jurídico, 2010, p. 48.
! 87!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
214
BECHARA, op. cit., p. 157.
215
Nós, representantes do povo brasileiro, reunidos em Assembleia Nacional Constituinte para
instituir um Estado Democrático, destinado a assegurar o exercício dos direitos sociais e individuais, a
liberdade, a segurança, o bem-estar, o desenvolvimento, a igualdade e a justiça como valores
supremos de uma sociedade fraterna, pluralista e sem preconceitos, fundada na harmonia social e
comprometida, na ordem interna e internacional, com a solução pacífica das controvérsias,
promulgamos, sob a proteção de Deus, a seguinte CONSTITUIÇÃO DA REPÚBLICA FEDERATIVA
DO BRASIL.
! 88!
As cartas rogatórias podem ter por objeto atos decisórios ou não decisórios.
Parágrafo único. Os pedidos de cooperação jurídica internacional que
tiverem por objeto atos que não ensejem juízo de delibação pelo Superior
Tribunal de Justiça, ainda que denominados como carta rogatória, serão
encaminhados ou devolvidos ao Ministério da Justiça para as providências
necessárias ao cumprimento por auxílio direto.
Acordo de Cooperação Judicial em Matéria Penal entre o Promulgado pelo Decreto nº 6.462,
Governo da República Federativa do Brasil e o Governo da de 21 de maio de 2008
República de Cuba
Acordo de Cooperação e Auxílio Jurídico Mútuo em Matéria Promulgado pelo Decreto nº 6.681,
Penal entre a República Federativa do Brasil e o Reino da de 8 de dezembro de 2008
Espanha
Acordo de Assistência Judiciária em Matéria Penal entre o Promulgado pelo Decreto nº 3.810,
Governo da República Federativa do Brasil e o Governo de 2 de maio de 2001
dos Estados Unidos da América
Acordo de Cooperação Judiciária em Matéria Penal entre o Promulgado pelo Decreto nº 3.324,
Governo da República Federativa do Brasil e o Governo da de 30 de dezembro de 1999
República Francesa
Tratado sobre Cooperação Judiciária em Matéria Penal, Promulgado pelo Decreto nº 862,
entre a República Federativa do Brasil e a República de 9 de julho de 1993
Italiana
Acordo de Assistência Jurídica em Matéria Penal entre o Promulgado pelo Decreto nº 3.988,
Governo da República Federativa do Brasil e o Governo da de 29 de outubro de 2001
República do Peru
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
216
TIBÚRCIO, Carmen. As Cartas rogatórias executórias no Direito brasileiro no âmbito do Mercosul.
São Paulo: RT, 2001, p.107 apud BECHARA, Fábio Ramazzini. Cooperação jurídica internacional
em matéria penal: eficácia da prova produzida no exterior. São Paulo: Saraiva, 2011, p. 139.
217
BECHARA, Fábio Ramazzini. Cooperação jurídica internacional em matéria penal: eficácia da
prova produzida no exterior. São Paulo: Saraiva, 2011, p. 139.
218
Disponível em: < http://portal.mj.gov.br/data/Pages/MJD6765F39ITEMID2D47B89B61AF41498B
54471D880805DDPTBRIE.htm>. Acesso em: 09/04/2012.
! 90!
Tratado de Auxílio Mútuo em Matéria Penal entre o Promulgado pelo Decreto nº 1.320,
Governo da República Portuguesa e o Governo da de 30 de novembro de 1994
República Federativa do Brasil
Tratado de Assistência Mútua em Matéria Penal entre o Promulgado pelo Decreto nº 6.747,
Governo da República Federativa do Brasil e o Governo do de 22 de janeiro de 2009
Canadá
Acordo de Cooperação e Auxílio Jurídico Mútuo em Matéria Promulgado pelo Decreto nº 6.681,
Penal entre a República Federativa do Brasil e o Reino da de 8 de dezembro de 2008
Espanha
Tratado de Cooperação Jurídica em Matéria Penal entre a Promulgado pelo Decreto nº 6.974,
República Federativa do Brasil e a Confederação Suíça de 7 de outubro de 2009
Tratado entre o Governo da República Federativa do Brasil Promulgado pelo Decreto nº 6.832,
e o Governo da República do Suriname sobre Assistência de 29 de abril de 2009
Jurídica Mútua em Matéria Penal
Acordo de Assistência Judiciária em Matéria Penal entre a Promulgado pelo Decreto nº 5.984
República Federativa do Brasil e a Ucrânia de 12 de dezembro de 2006
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
219
GODOY, Arnaldo Sampaio de Moares. Direito Tributário Internacional Contextualizado. São
Paulo: Quartier Latin, 2009, p. 224.
! 91!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
220
BECHARA, Fábio Ramazzini. Cooperação jurídica internacional em matéria penal: eficácia da
prova produzida no exterior. São Paulo: Saraiva, 2011, p. 54-55.
221
Ibidem, p. 55.
222
DE AMICIS, Gaetano. Problemi e prospettive dela cooperazione giudiziaria penale in âmbito
Europeu: forme e modelli di colaborazione allá luce dell Titolo VI del Trattato di Amsterdam. Palestra
proferida em 6 de dezembro de 2001, em Áquila apud BECHARA, Ibidem, p. 57.
223
Inclusive admitido pela Lei do Processo Eletrônico, 11.419/2006, em seu art. 7º.
! 92!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
224
Livre tradução. No original: “Greater harmonisation facilitates the exchange of information and
knowledge between governments and industry, and is crucial for co-operation between law
enforcement agencies.” CLOUGH, Jonathan. Principles of Cybercrime. New York: Cambridge
University Press, 2010, p. 21.
225
Livre tradução. No original: “[…] the effective operation of police and judicial cooperation requires
far more than concluding agreements, establishing procedures, organising special bureaus and
reserving capacity. It also demands insight into the foundations, the structures and the cultures of
foreign criminal law systems. In addition, it is necessary to know how things work in actual practice.
And there also needs to be investment in training and educating police officers and judicial officials
who are regularly required to cooperate.” HUFNAGEL, Saskia; HARFIELD, Clive; BRONITT, Simon.
Cross-Border Law Enforcement: Regional Law Enforcement cooperation – European, Australian
and Asia-Pacific perspectives. New York: Routledge, 2012, p. 12.
! 93!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
226
BECHARA, Fábio Ramazzini. Cooperação jurídica internacional em matéria penal: eficácia da
prova produzida no exterior. São Paulo: Saraiva, 2011, p. 163.
! 94!
los em tipos penais onde se exige tal circunstância elementar. Assim, por exemplo,
não se pode aceitar dados eletrônicos como bens móveis, passíveis do delito de
furto. Isso porque os bens móveis permitem o desapossamento, enquanto os dados
podem continuar na posse de seu titular. O pintor que tem um quadro furtado perde
totalmente sua posse. Há um completo afastamento entre o detentor e seu objeto.
Isso não se dá com perda de dados.
Para se compreender esta característica, deve-se notar que os dados
eletrônicos são formados por bits, a menor unidade de informação atualmente
existente. Os dados, portanto, podem, no mesmo momento, estar armazenados em
um meio magnético, como um HD do servidor de banco de dados, e ser convertidos
em pulsos elétricos, encaminhados para a memória RAM de tal servidor,
transformados em fótons (partículas de luz) e mandados para o servidor de
aplicação, através do cabeamento óptico da rede. Depois disso, seguiriam por
pulsos eletromagnéticos pela rede Wi-Fi (sem fio) até o notebook do usuário que
solicitou sua visualização.
Verifica-se, pois, uma das modalidades da virtualização, o desprendimento do
aqui e agora, defendida por um dos maiores filósofos da informação da atualidade,
Pierre Lévy230. Ao se perguntar onde estão estes dados eletrônicos, pode-se dizer
que, na verdade, existem em vários lugares, não se podendo falar que a informação
que permanece no Banco de Dados seja a original e a contida na memória dos
servidores, ou no notebook do usuário A, B ou C – acaso estejam consultando ao
mesmo tempo – suas cópias.
Essa é a imaterialidade que se apregoa quanto aos dados eletrônicos. Veja-
se que o documento físico se imiscui com seu suporte material, o papel. A
informação inserida com tinta, carvão, grafite, plástico, cera etc., não consegue se
desvencilhar do meio onde está armazenada, de forma que, perdido o suporte,
perde-se a informação, pois estamos tratando de um documento físico, único,
original.
O mesmo não sucede com o documento, a informação e os dados digitais. A
informação, composta por bits, não está vinculada a qualquer meio que não possa
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
230
“Desterritorializado, presente por inteiro em cada uma de suas versões, de suas cópias e de suas
projeções, desprovido de inércia, habitante ubíquo do ciberespaço, o hipertexto contribui para
produzir aqui e acolá acontecimentos de atualização textual, de navegação e de leitura. Embora
necessite de suportes físicos para subsistir e atualizar-se, o imponderável hipertexto não possui um
lugar.” LÉVY, Pierre. O que é o virtual? 1. ed. São Paulo: Editora 34, 1996, p. 19-20.
! 99!
Destarte, a cópia de dados não pode ser tipificada através dos delitos
tradicionais contra o patrimônio, como furto, roubo e apropriação indébita, já que
aqueles não constituem objeto tangível.232 Isso nos remete à necessidade de
tipificação de delitos específicos, de modo a alcançar tais condutas ilícitas, sob pena
de restarem no limbo da impunidade, estando equivocado, pois, o PLS, ao prever,
meramente, uma nova qualificadora para o crime de furto:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
231
ALBUQUERQUE, Roberto Chacon de. A criminalidade informática. São Paulo: Juarez de
Oliveira, 2006, p. 45.
232
Ibidem, p. 46.
! 100!
afasta a sua importância para uma diversidade de sistemas, com sérias e diferentes
consequências jurídicas, em caso de modificação indevida.233
Muitas vezes os dados não são, sequer, perceptíveis para o homem. Podem
constituir parâmetros, drivers, linhas de código, apenas inteligíveis para programas
de computador cuja modificação provocará um funcionamento não esperado de tais
softwares.
!
A Convenção de Budapeste foi enfática no sentido de alcançar como
cibercrimes apenas as condutas delitivas de caráter doloso. O elemento subjetivo
nesta espécie delitiva é de suma importância. Não se poderia admitir que a
esmagadora parte dos usuários da TI, que não possuem capacitação técnica
suficiente, fossem apontados como autores de delito por, inadvertidamente,
reencaminhar um e-mail que tenha imiscuído uma praga eletrônica qualquer, por
exemplo. É certo que devem, todos, adotar as medidas preventivas básicas, como
uso de antivírus e anti-spyware, mas estas se revelam frágeis na detecção da
miríade de vírus, worms, trojans, entre outros, que permeiam o ciberespaço.
De tal maneira, seja o Substitutivo Azeredo, seja um outro projeto de lei, entre
tantos que tramitam, o fato é que todas as condutas eventualmente tipificadas
devem exigir o elemento subjetivo do dolo específico. Neste aspecto, um projeto de
lei alternativo que vem tramitando, com maior receptividade da população, o PL
2793/2011, foi mais acertado ao tipificar condutas que exigem dolo do agente. Entre
outros, propõe a inclusão no Código Penal do artigo 154-A:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
233
ALBUQUERQUE, Roberto Chacon de. A criminalidade informática. São Paulo: Juarez de
Oliveira, 2006, p. 178-179.
! 101!
CONCLUSÃO
!
!
Diante das análises feitas, ao longo do trabalho, verifica-se a extrema
relevância do estudo sobre a temática do cibercrime. Esta modalidade delitiva vem
se espraiando, e seus impactos econômicos e financeiros são elevadíssimos,
colocando-a pouco atrás dos valores movimentados com o tráfico ilícito de
entorpecentes anualmente.
Demonstrou-se que o Brasil está entre os cinco países mais vitimados por tais
delitos, causando prejuízos da ordem de mais de US$ 63 bilhões, somente em 2011.
O desejo, a ânsia e a falta de saciedade pela tecnologia estão se tornando
uma grande fonte de vitimização destes delitos, cujo combate exige grande
aperfeiçoamento tecnológico dos aparatos policial e judicial, raramente encontrado,
mesmo nos países mais desenvolvidos.
Os Estados devem cada vez mais, em razão das caraterísticas destes delitos,
estreitar laços de cooperação, sob pena de restar infrutífera qualquer ação
preventiva ou repressiva. Exemplo disso pode ser extraído do combate ao tráfico de
entorpecentes, conforme destaca Hufnagel:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
234
Livre tradução. No original: “A clear lesson from the history of drug control is that the mere sum of
uncoordinated national and sectoral efforts, even successful ones, cannot result in a global success.
Another lesson is that countries with limited means cannot resist, and counter the impact of, powerful
transnational trafficking flows on their own.” United Nations Office on Drugs and Crime (UNDOC),
World Drug Report, apud HUFNAGEL, Saskia; HARFIELD, Clide; BRONITT, Simon. Cross-border
Law Enforcement, Regional Law Enforcement Cooperation: European, Australian and Asia-Pacific
perpectives. 1. Ed. New York: Routledge, 2012, p. Xv.
! 104!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
235
FERREIRA, Érica Lourenço de Lima. Internet: macrocriminalidade e jurisdição internacional.
Curitiba: Juruá, 2007, p. 30.
! 105!
REFERÊNCIAS BIBLIOGRÁFICAS
!
!
ALBUQUERQUE, Roberto Chacon de. A criminalidade informática. São Paulo:
Juarez de Oliveira, 2006.
DOWNING, Douglas A. et al. Dictionary of computer and internet terms. 10. ed.
Hauppauge: Barron’s, 2009.
FRIEDMAN, Thomas L. O mundo é plano: uma breve história do século XXI. Rio de
Janeiro: Objetiva, 2007.
GONÇALVES, Carlos Roberto. Direito civil brasileiro. Volume 1: parte geral. 9. ed.
São Paulo: Saraiva, 2011.
JUNIOR, José Paulo Baltazar; LIMA, Luciano Flores de (Org.). Cooperação jurídica
internacional em matéria penal. Porto Alegre: Verbo Jurídico, 2010.
KAHN, David. The codebreakers: the story of secret writing. Abridged Version. New
York: The Macmillan Company, 1973.
LÉVY, Pierre. O que é o virtual? 1. ed. São Paulo: Editora 34, 1996.
O Novo Relatório da CIA: como será o mundo amanhã. 1. ed. São Paulo: Geração
Editorial, 2009.
PINHEIRO, Patrícia Peck. Direito digital. 2. ed. São Paulo: Saraiva, 2007.
RODRIK, Dani. The Globalization paradox: democracy and the future of the world
economy. 1. ed. New York: W. W. Norton & Conpany, 2011.
SAWAYA, Márcia Regina. Dicionário de Informática & Internet. São Paulo: Nobel,
1999.
SILVA, Rita de Cássia Lopes da. Direito penal e sistema informático. São Paulo:
Revista dos Tribunais, 2003.
SINGH, Simon. The code book: the evolution of secrecy from Mary Queen of Scots
to quantum cryptography. New York: Anchor Books, 1999.
STIGLITZ, Joseph E. Globalization and its discontents. New York: W. W. Norton &
Company, 2003.