Escolar Documentos
Profissional Documentos
Cultura Documentos
WILLIAM GIBSON.
INTRODUÇÃO.
1 Bacharelando em Direito pelo Centro Universitário das Faculdades Metropolitanas Unidas (FMU) e
Mestrando em Integração da América Latina pelo Programa de Pós-Graduação Integração da América Latina da
Universidade de São Paulo - PROLAM/USP. Bacharel em História pela Faculdade de Filosofia, Letras e
Ciências Humanas da Universidade de São Paulo - FFLCH-USP. Membro do Grupo de Pesquisa “Crimes,
dignidade da pessoa humana e sociedade da informação”, vinculado ao Mestrado em Direito da Sociedade da
Informação do Centro Universitário das Faculdades Metropolitanas Unidas (FMU). Professor de História na
rede privada e municipal de Ensino Básico de São Paulo. Currículo Lattes:
http://lattes.cnpq.br/2990623820443581. E-mail: lucas.marangao@usp.br.
dados e/ou identificar o agressor informático. Por legitimação jurídica aqui se entende não
exatamente quem seriam os legitimados legais para práticas de tais atos (embora o debate
passe por tal questão), mas sim formas de tornar juridicamente aceitáveis tais atos. Como
fontes para tal análise, selecionamos as produções acadêmicas de Ariadnée Abreu de França e
Isaac Rodrigues Ramos Neto, autores do Brasil, e Michael Todd Hopkins, autor dos Estados
Unidos. Por sua vez, as obras literárias escolhidas como fonte foram Neuromancer, Count
Zero e Burning Chrome, de William Gibson, considerado o pai deste gênero. Todas elas estão
ambientadas no mesmo universo, o Sprawl. Aqui, atentamos sobretudo aos Black ICEs. A
partir do estudo destes objetos, realizarei uma análise de como os Blacks ICEs poderiam ser
ou não legitimados pelas propostas de França, Ramos e Hopkins, para extrair daí conclusões
éticas quanto a estas.
O estudo sobre o hack back se justifica pelo aumento da criminalidade informática
tanto no número de crimes cometidos como no volume de danos; e crescente debate sobre
políticas mais eficazes no combate a tal criminalidade de modo a garantir maior segurança
informática. Como veremos, o hack back tem sido cada vez mais proposto como parte central
de políticas de segurança cibernética pelo mundo afora.
Por sua vez, nossa escolha pela ficção científica como objeto a ser comparado com
debates jurídicos atuais se deve à sua fecundidade enquanto forma de imaginar realidades
contrafactuais a partir de tendências atuais e estabelecer reflexões éticas a partir dessa
situação fictícia. A seleção em específico da ficção cyberpunk se deveu ao fato desta abordar
elementos típicos da Sociedade da Informação (como a criminalidade informática e as
políticas empregadas em seu combate), extrapolando-os de forma pessimista para apontar de
modo crítico os sentidos em que esta pode se desenvolver.
Ora, o hack back realiza a invasão de dispositivo informático alheio (o dispositivo do hacker),
mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou
destruir dados ou informações presentes no mesmo sem autorização expressa do titular do
dispositivo.
Quando nos detemos e realizamos uma análise atenta percebe-se, porém, que o hack
back se aproxima muito da excludente de ilicitude legítima defesa prevista no Artigo 25 do
Código Penal. Segundo o referido Código, entende-se em legítima defesa quem, usando
moderadamente dos meios necessários, repele injusta agressão, atual ou iminente, a direito
seu ou de outrem (BRASIL, 2017). De fato, o hack back repele uma agressão injusta (i.e, uma
invasão de dispositivo informático alheio) contra direito seu ou de outrem (i.e, o bem jurídico
segurança informática), utilizando meios necessários (i.e, dispositivos e conhecimentos
informáticos) de modo moderado (em princípio, não há motivo para danificar além do
necessário o dispositivo informático do invasor, sendo suficiente que o contra-ataque cesse a
agressão em curso).
Não pretendemos explorar aqui detalhadamente possíveis problemas na adequação do
hack back à legítima defesa tal qual definida no Artigo 25 do Código Penal, o que já fizemos
em outro trabalho (MARANGÃO, 2021). Chamamos atenção apenas ao fato de que os
propositores dessa forma de legitimação da prática (isto é, Isaac Rodrigues Ramos Neto e
Ariadneé Abreu de França) reconhecerem ou mesmo aconselharem que apenas corporações
possam se beneficiar da aplicação da excludente de ilicitude. Ramos Neto afirma que:
[...] é pouco provável a configuração de legítima defesa em relação ao tipo
penal em análise [isso é, a invasão de dispositivo informático] quando a vítima é um
usuário comum, visto não possuir, em regra, aparato e conhecimentos técnicos
para repelir a agressão no tempo adequado. (RAMOS NETO, 2013, p. 56).
Importante para nossa análise também que Ramos Neto não descarta uma possível
automatização do processo de hack back a partir de aplicativos desenvolvidos pela indústria
de cibersegurança - sem contudo especificar quais medidas poderiam ser automatizadas (isto
é, recuperação de dados, interrupção de incursão e/ou identificação do invasor) (RAMOS
NETO, 2013, p. 62).
O que é o cyberpunk? Tal estilo pode ser caracterizado como um tipo de ficção
científica distópica onde a informatização atingiu esferas novas, as diferenças sociais e
econômicas se tornaram mais agudas, os Estados-Nação perderam seu poder antigo e
corporações assumiram funções estatais nos mais diversos âmbitos, cenário sintetizado na
expressão high tech, low life, isso é, alto desenvolvimento tecnológico e baixa qualidade de
vida. Segundo Adriana Amaral,
[...] a visão cyberpunk reconhece o enfraquecimento do espaço público e o
aumento da privatização da vida social, na qual os laços sociais fortes não
existem mais. Para os autores, nesse espaço público as pessoas são tecnologizadas e
reprimidas ao mesmo tempo, sendo que a tecnologia media nossas vidas sociais.
(AMARAL, 2003, p. 4).
Dentro desse universo, os hackers (ou cowboys, como são chamados) são
protagonistas de diversos enredos de Gibson. Atuando à margem da lei em diversas situações,
tais anti-heróis são recrutados por agentes vários pela sua habilidade dentro do ciberespaço:
corporações, grupos criminosos e cultos religiosos. Suas missões envolvem normalmente a
invasão de sistemas e burla de mecanismos de segurança, em especial os Intrusion
Countermeasures Electronics (ICE). Vejamos como Gibson os relaciona em Burning
Chrome:
Bobby era um cowboy, e o ICE era seu arroz e feijão, ICE de Intrusion
Countermeasures Electronics [...]. Bobby era um cowboy. Bobby era um invasor,
um ladrão, sempre de olho no sistema nervoso ampliado da Humanidade, subtraindo
dados e créditos na multidão da matrix, um espaço monocromático onde as únicas
estrelas são densas concentrações de informação [...] (GIBSON, 1987, p. 169-170,
tradução nossa)2.
Os ICEs são na ficção de Gibson softwares corporativos que protegem contra invasões
eletrônicas. Caberia compará-los aos nossos firewalls, que cumprem função similar. Todavia,
existem ICEs que não só impedem os hackers de adentrar em um sistema: os chamados Black
ICEs contra-atacam os hackers e criam um fluxo de informação maior do que a capacidade de
processamento neurológica dos criminosos informáticos, levando-os a ataques convulsivos
que podem matá-los, praticando uma modalidade letal de hack back. Vejamos como um
Black ICE é descrito em Burning Chrome:
[...] black ICE é parte da mitologia. ICE que mata. Ilegal, mas não somos também,
todos nós? Um tipo de arma que cria um feedback neural, e você se conecta a ela
uma vez só. É como uma palavra terrível que come a mente de dentro pra fora.
Como um espasmo epiléptico que não cessa até que nada mais reste... (GIBSON,
1987, p. 182, tradução nossa)3.
2 No original: Bobby was a cowboy, and ice was the nature of his game, ice from ICE, Intrusion
Countermeasures Electronics [...]. Bobby was a cowboy. Bobby was a cracksman, a burglar, casing mankind’s
extended electronic nervous system, rustling data and credit in the crowded matrix, monochrome nonspace
where the only stars are dense concentrations of information [...].
3 No original: [...] black ice is a part of the mythology. Ice that kills. Illegal, but then aren’t we all? Some kind
of neural-feedback weapon, and you connect with it only once. Like some hideous Word that eats the mind from
the inside out. Like an epileptic spasm that goes on and on until there’s nothing left at all...
experiências de quase morte ao serem alvos de tais programas, e se tornam lendas do
submundo hacker quando sobrevivem: é o caso de Case, protagonista de Neuromancer, de
Bobby Newmark, protagonista de Count Zero, e de Bobby Quinne, protagonista de Burning
Chrome.
Iremos analisar agora se o hack back que emprega um Black ICE poderia ser
legitimamente utilizado de acordo com as propostas brasileiras e estadunidenses já
apresentadas.
Desse modo, nossa análise buscará empregar os Black ICEs como parâmetro para criticar as
propostas de legitimação do hack back. Compararemos inicialmente as propostas brasileiras
ao software ficcional.
Os Black ICEs não se adequam plenamente à proposta brasileira de legitimação do
hack back. Tendo em vista que a legítima defesa prevista no Artigo 25 possui como
pressuposto a moderação na resposta defensiva, um hipotético estímulo informacional que
leve a convulsões e até à morte do hacker para impedir a obtenção de dados está longe de se
adequar à referida excludente de ilicitude. A utilização desse tipo de software para proteger
dados se afasta do princípio da proporcionalidade de Georg Jellinek (o qual asseverava que
não se abatem pardais com canhões), posto que a conduta do hacker contra-atacado com o
Black ICE não lesiona, em princípio, os bens jurídicos vida, integridade física ou integridade
psíquica, e sim a segurança informática. O entendimento quanto à necessidade de
proporcionalidade entre a ofensa e a defesa para que esta seja legítima é disseminado na
doutrina brasileira (NUCCI, 2015, p. 313).
Se poderia ainda argumentar que toda a execução do hack back do Black ICE se dá de
forma automatizada e que, por isso, as comparações com a prática atual carecem de sentido.
Lembremos, contudo, que defensores da legitimação do hack back através do Artigo 25
vislumbram positivamente cenários em que a prática poderia ser automatizada a partir de
softwares desenvolvidos especificamente para tal intento (RAMOS NETO, 2013, p. 62).
Desse modo, o fato do Black ICE constituir um programa (atuando, assim, de forma
automatizada) não o exclui da prática do hack back, em princípio4.
Contudo, os únicos sujeitos que empregam o Black ICE na ficção de Gibson são
corporações - as quais, como vimos, são fortes o suficiente para escapar da responsabilização
de seus atos. Nessa toada, a sugestão de França de restringir o uso do hack back ao ambiente
corporativo aproxima-se da forma com que o Black ICE é empregado na realidade fática
descrita no Sprawl, isto é, como de modo monopolístico pelas grandes corporações.
Cabe salientar que já à altura da aprovação de leis sobre invasões de dispositivos
informáticos foram debatidos mecanismos que legalizavam a legítima defesa informática. No
Substitutivo aos PLS 76/2000, PLS 137/2000 e PLC 89/2003, apresentado pelo Senador
Eduardo Azeredo (PSDB), foi proposta a criação de um Artigo 154-C dentro do Código Penal
que definia a legítima defesa em âmbito informático como a manipulação de código malicioso
por agente técnico ou profissional habilitado, em proveito próprio ou de seu preponente, e
sem risco para terceiros, de forma tecnicamente documentada e com preservação da cadeia de
custódia no curso dos procedimentos correlatos, a título de teste de vulnerabilidade, de
resposta a ataque, de frustração de invasão ou burla, de proteção do sistema, de interceptação
defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e
de práticas gerais de segurança da informação. A restrição de tal legítima defesa apenas a
pessoas habilitadas, contudo, afastava essa modalidade da legítima defesa da prevista no
Artigo 25 do Código Penal, motivo pelo qual foi rejeitado o Substitutivo pela Comissão de
Constituição, Justiça e Cidadania do Senado Federal (RAMOS NETO, 2013, p. 58-59). Como
se pode ver, a restrição sugerida por França e Ramos Neto é problemática.
4 Em razão dos limites do trabalho, não debateremos se um programa de tal natureza poderia ser classificado
como um ofendículo e se o emprego de ofendículo dessa natureza constituiria modalidade de legítima defesa,
embora seja pesquisa a se desenvolver.
Esse é o sentido, aliás, em que caminha também a proposta de Hopkins da criação de
cartas de corso virtuais, a qual analisaremos a partir de agora. Como vimos, ela fornece
apenas a grandes corporações de segurança informática o direito ao hack back, através da
exigência de depósitos judiciais razoáveis. Essa situação se agrava tendo em vista que
Hopkins defende abertamente que as próprias empresas responsáveis pelos hack backs
legítimos participem conjuntamente das agências regulatórias da prática, tornando a esfera de
controle do hack back muito mais cinzenta e problemática. De fato, não é tão difícil imaginar
que em um cenário tal qual delineado por Hopkins modalidades ilegais de hack back
poderiam se concretizar, tal qual é o caso do Black ICE, em razão da assunção do papel
regulatório pelas próprias reguladas.
O caráter problemático, contudo, se acentua quando temos em mente que o Black ICE
poderia se adequar às “defesas ativas” cibernéticas propostas por Hopkins, na medida em que
o emprego desse software constitui evidente uso da força para proteger o setor privado, na
distopia de Gibson.
Assim, mesmo a violação do direito à vida do hacker durante um hack back não é
contraditória com a estrutura legitimatória proposta pelo estadunidense. A situação poderia
ocorrer mesmo que o hacker não seja passível de classificação como agente beligerante, já
que um indivíduo pode ser objeto legítimo de uso da força independentemente desse status e
fora de conflitos armados - como o próprio Hopkins reconhece (HOPKINS, 2011, p. 72).
Lembramos também que incidentes de fronteira envolvendo agentes estatais ou não-estatais,
mesmo quando resultam em mortes, não são unanimemente considerados como "uso de força"
de acordo com a legislação internacional - estando, portanto, dentro do limite proposto por
Hopkins para o uso das “defesas ativas” (HOPKINS, 2011, p. 70). Ademais, é necessário
recordar que o exemplo fornecido pelo militar dos Estados Unidos de uso da força dentro do
ambiente cibernético abaixo do limite do ataque armado é o malware Stuxnet - exemplo que
está longe de ser passivamente aceito enquanto tal, já que tratou-se de um ataque à
infraestrutura crítica de um outro Estado (GIL&DUCHEINE, 2013, p. 459). Como se pode
ver, a proposta por Hopkins é aberta a possibilidades que, se aplicadas ao mundo do Sprawl (o
qual, lembramos, é uma distopia), forneceriam margem para que o hack back letal dos Black
ICEs fosse juridicamente legitimado ao menos em alguns casos - realidade que não se verifica
nem mesmo na realidade distópica imaginada por Gibson. Há evidente relativização de outros
direitos em busca da defesa da segurança informática dos setor privado não crítico, os quais
podem incluir até mesmo o ataque às infraestruturas críticas de outros Estados (e, por
consequência, violações a direitos básicos de outras populações).
O trabalho aponta assim os problemas éticos implícitos na legalização do hack back
segundo as propostas brasileiras e, sobretudo, estadunidenses. Embora não haja uma
adequação perfeita do uso do Black ICE como imaginado por Gibson às propostas, a
aproximação se dá em todos os casos pelos agentes legitimados exclusivos (isto é, as
corporações). Se caminha aqui a uma situação de redução do monopólio estatal das atividades
policiais (entre elas a investigação e o exercício da violência legítima) em sentido muito
similar ao da distopia gibsoniana, isto é, fornecendo estes poderes às corporações. No caso
brasileiro, há também proponentes da automatização da prática, tal qual o Black ICE. No caso
da proposta de Hopkins, contudo, a aproximação é mais intensa e problemática, já que há a
autorização de que em meio ao hack back ocorram danos típicos de situações em que o uso da
força (e segundo alguns autores também o ataque armado) é legitimado, tal qual no caso do
Black ICE.
CONCLUSÃO.
REFERÊNCIAS BIBLIOGRÁFICAS.
BRASIL. Código Penal. Decreto Lei nº 2.848 de 7 de Dezembro de 1940. In: Vade Mecum.
21. ed. São Paulo: Saraiva Educação, 2019.
FRANÇA, Ariadnée Abreu de. Legítima Defesa Digital: uma estratégia de governança
corporativa e de criminal compliance para a preservação das empresas. 2019. 83 f. Dissertação
(Mestrado em Direito Digital). Faculdade de Direito do Recife da Universidade Federal de
Pernambuco, Recife, 2019.
GILL, Terry D.; DUCHEINE, Paul A. L. "Antecipatory Self-Defense in the cyber context".
International Law Studies, EUA, v. 89, p. 439-471, 2013. Disponível em: <https://digital-
commons.usnwc.edu/cgi/viewcontent.cgi?
referer=https://www.google.com/&httpsredir=1&article=1037&context=ils>. Acesso em 10.
Jul. 2021.
NUCCI, Guilherme de Souza. Código Penal Comentado. Rio de Janeiro: Forense, 2015.
PINTO, Sandra Monica Martins Reis. Ficção Científica, Direito e Ética. Disponível em:<
https://docgo.net/ficcao-cientifica-direito-e-etica-sandra-monica-martins-reis-pinto>. Acesso
em: 26 Mai. 2020.
RAMOS NETO, Isaac Rodrigues. A prática do Ethical Hacking pelos times de resposta a
incidentes de segurança computacional como conduta de legítima defesa. 2013. 69 f.
Trabalho de Conclusão de Curso (Bacharel em Direito). Faculdade de Direito da Universidade
Federal do Ceará, Fortaleza, 2013.
SEGAL, Adam. The hacked world order: how nations fight, trade, maneuver, and
manipulate in the digital age. 1ª ed. New York: PublicAffairs, 2016.