Escolar Documentos
Profissional Documentos
Cultura Documentos
FCA –EEditora
dição de Informática, Lda.
Av. Praia
FCAda Vitória,de14Informática
– Editora A – 1000-247 Lisboa
Tel: +351 213 da
Av. Praia 511 448 14 A – 1000-247 LISBOA
Vitória,
fca@fca.pt
Tel: +351 213 511 448
fca@fca.pt
www.fca.pt
www.fca.pt
DISTRIBUIÇÃO
Lidel –DEdições
istribuição
Técnicas, Lda.
Rua D.Lidel – Edições
Estefânia, Técnicas,
183, Lda.– 1049-057 LISBOA
R/C Dto.
R. D. Estefânia, 183, R/C Dto. – 1049-057 LISBOA
Tel: +351 213 511 448
Tel: +351 213 511 448
lidel@lidel.pt
lidel@lidel.pt
www.lidel.pt
www.lidel.pt
LIVRARIAL ivraria
Av. Praia da Vitória,
Av. Praia 14 –141000-247
da Vitória, LISBOA
A – 1000-247 LISBOA
Tel: +351 213 511
Tel: +351 448418
213 541 * Fax: +351 213 173 259
livraria@lidel.pt
livraria@lidel.pt
Copyright © abril
Copyright 2016,FCA
© 2022, FCA– –Editora
Editorade de Informática, Lda.
Informática
ISBN: ®978-972-722-830-0
Marca registada da FCA PACTOR Editores, Lda
ISBN 2.ª edição impressa: 978-972-722-924-6
1.ª edição impressa: abril 2016
1.ª edição impressa: abril de 2018
2.ª edição impressa: novembro de 2022
Paginação: Alice Simões
Impressão e acabamento: A definir
Paginação: Carlos Mendes
Depósito Legal N.º Aguardar
Impressão e acabamento: Tipografia Lousanense, Lda. – Lousã
Capa: Depósito
José Manuel Reis
Legal n.º 507083/22
Ilustração
Capa:da capa:
José Miguel– Look-Ahead
M. Ferrão Montenegro
III
OS AUTORES
Mário Antunes
Professor coordenador do Departamento de Engenharia Informática da Es-
cola Superior de Tecnologia e Gestão do Politécnico de Leiria. Doutorado
em Ciência de Computadores e mestre em Informática, ramo de Sistemas
e Redes, pela Universidade do Porto. Licenciado em Engenharia Informá-
tica pelo Instituto Politécnico do Porto – Instituto Superior de Engenharia
do Porto. Coordenador do Mestrado em Cibersegurança e Informática Fo-
rense e responsável pela lecionação de unidades curriculares nas áreas
temáticas de Redes de Computadores, Segurança na Internet, Administra-
ção de Sistemas e Serviços de Rede e Infraestruturas de Cloud e de Data
Centers. Organiza regularmente ações de formação no âmbito das temáticas
da ciberconsciencialização e da segurança da Internet. É, atualmente, mem-
bro efetivo e investigador do Center for Research in Advanced Computing
Systems do INESC TEC – Institute for Systems and Computer Engineering,
Technology and Science e colabora com o Centro de Investigação em Infor-
mática e Comunicações do Politécnico de Leiria.
Baltazar Rodrigues
Inspetor da Polícia Judiciária, com 32 anos de carreira, nomeadamente na
área do Combate à Criminalidade Informática, onde esteve colocado 17 anos,
tendo vindo a chefiar, em 2005, a equipa de Informática Forense daquela
área e, mais tarde, em 2014, o grupo de Perícias Informáticas da Polícia Ju-
diciária. Licenciado em Engenharia Informática pela Universidade Autónoma
de Lisboa, pós-graduado em Direito e Cibersegurança pela Faculdade de
Direito da Universidade de Lisboa e pós-graduado em Guerra de Informação
pela Academia Militar. Professor adjunto convidado do Mestrado em Ciber-
segurança e Informática Forense do Politécnico de Leiria. Formador da lista
não permanente da European Union Agency for Law Enforcement Training
para as áreas de Informática Forense e Cibersegurança. Detentor de várias
certificações internacionais relevantes na área da Análise Digital Forense,
das quais se destacam as seguintes: “Applied NTFS Forensics”, “Trainer De-
velopment” e “Advanced Windows Forensics” pela University College of
Dublin; “Certified Forensic Computer Examiner” pela International Associa-
tion of Computer Investigative Specialists; “Cyber-Trainer” pela Universida-
de de Zagreb; entre outras da INTERPOL, do OLAF, do FBI e da Europol.
IV
INTRODUÇÃO
A Internet é uma infraestrutura de comunicação que interliga, à escala global,
vários computadores e utilizadores. O seu papel dinamizador no quotidiano
das empresas tem alavancado a digitalização de vários negócios e poten-
ciado o empreendedorismo tecnológico. Tal está bem visível nas melhorias
obtidas pelo uso das Tecnologias de Informação e Comunicação (TIC) e da In-
ternet num vasto leque de atividades levadas a cabo no ciberespaço, nomea-
damente o tratamento e o processamento de informação, o fortalecimento
de relações comerciais e sociais, a aprendizagem, o entretenimento e, mais
recentemente, a Internet das Coisas (IoT, do inglês Internet of Things) e a In-
dústria 4.0. A presença digital na Internet, por parte das empresas, das orga-
nizações e dos cidadãos, é, por isso, uma necessidade inquestionável e uma
obrigação em prol do desenvolvimento, da competitividade e da inovação.
É uma infraestrutura com uma abrangência global, que tem assistido a um
aumento crescente e exponencial da sua implantação e utilização, quer no
número de utilizadores quer na multiplicidade de serviços disponibilizados.
A Internet ultrapassa as fronteiras físicas, culturais e ideológicas e tem, por
isso, sido o meio condutor para a disseminação de ideologias, para a prolife-
ração de informação aos cidadãos e um aliado em situações de catástrofe.
A gestão e a regulação distribuída da Internet encetaram vários desafios e
potenciaram o aparecimento de um vasto leque de ameaças no ciberespaço.
São inúmeras as vulnerabilidades e as ameaças às empresas, aos cidadãos
e às instituições reguladoras do ciberespaço, de que se destacam a proli-
feração de ataques intrusivos aos dados dos cidadãos e das empresas. Tal
resultou no aumento crescente da vigilância às atividades dos utilizadores
realizadas na Internet, que se traduziu na correspondente perda de privaci-
dade. Realça-se, igualmente, a disseminação de notícias falsas e desinfor-
mação, associada às atividades de hacktivismo e às tentativas de influenciar
eleições de governos, bem como o aumento do discurso de ódio e xenófobo,
particularmente nas redes sociais. As burlas informáticas, o roubo de iden-
tidade digital e a tentativa de extorsão com vista à obtenção de benefícios,
como o acesso aos dados cifrados através de um vírus do tipo ransomware,
© FCA
são incidentes que têm tido um aumento elevado nos últimos anos.
V
INTRODUÇÃO À CIBERSEGURANÇA
VI
Introdução
atualização, em 2021, da Lei n.º 109/2009, de 15 de setembro, pela Lei n.º 79/2021,
de 24 de novembro, e a criação da Lei da Proteção de Dados Pessoais (Lei n.º
58/2019, de 8 de agosto) que atualiza o ordenamento jurídico nacional tendo por
base o Regulamento Geral de Proteção de Dados (Regulamento (UE) n.º 679/2016,
de 27 de abril).
A estrutura do livro manteve-se inalterada nesta 2.ª edição e dá continuidade ao
cariz introdutório dos conceitos da cibersegurança. O alinhamento e a estrutura
dos capítulos mantêm-se intactos, embora o seu conteúdo tenha sido atualizado,
realçando-se as referências às aplicações e ao articulado legal, algumas figuras e
quadros, ligações web e referências bibliográficas.
No Capítulo 1, enquadramos o funcionamento da Internet, a sua organização e
os seus principais intervenientes. Descrevemos os serviços mais relevantes dis-
ponibilizados na Internet e o seu funcionamento geral, analisando em detalhe os
principais desafios existentes a nível da cibersegurança.
A temática das redes sociais e os desafios específicos a nível da segurança, rela-
cionados com a sua utilização massificada, são tratados no Capítulo 2. A classifi-
cação das redes sociais e os indicadores sobre a sua utilização foram atualizados.
O Capítulo 3 aborda a organização do sistema judiciário português, as suas entida-
des e as principais leis associadas aos crimes realizados na Internet e com recurso
às TIC. Foram atualizados os normativos legais relacionados com a atividade crimi-
nosa no ciberespaço, bem como a estrutura das instituições do sistema judiciário
português.
No Capítulo 4, damos a conhecer os principais termos relacionados com a gíria do
cibercrime. Para cada um dos conceitos transmitidos, atualizados relativamente à
1.ª edição, descrevemos o provável enquadramento legal dos crimes praticados
em cada um dos casos, tendo em conta a legislação em vigor, nomeadamente a
Lei do Cibercrime (Lei n.º 109/2009, de 15 de setembro) e a sua atualização mais
recente (Lei n.º 79/2021, de 24 de novembro). O articulado legal proposto resulta
da vasta experiência de investigação criminal de um dos autores e tem em conta
os cenários típicos para os crimes enunciados. Atendendo às variantes existentes
para os vários crimes descritos, ressalva-se, pois, a necessidade de interpretar o
articulado legal como uma proposta, não sendo (nem podendo ser) uma avaliação
rigorosa e jurídica, extensível a todos os cenários concretos.
O Capítulo 5 é inteiramente dedicado a uma introdução à análise digital forense.
Introduz-se, neste capítulo, o conceito de prova digital, o seu percurso e uma me-
© FCA
VII
INTRODUÇÃO À CIBERSEGURANÇA
Mário Antunes
Baltazar Rodrigues
VIII
SISTEMA
JUDICIÁRIO
PORTUGUÊS 3
Organização do sistema judiciário
Organização dos tribunais
Hierarquia das leis
Ministério Público (MP)
Gabinete Cibercrime
Órgãos de Polícia Criminal (OPC)
Lei do Cibercrime (Lei n.º 109/2009)
Formalização da queixa
Fases do processo penal
O aumento considerável de transações que passaram a ser realizadas na In-
ternet acelerou o aparecimento de novas oportunidades para o crime e para a
realização de ações ilícitas. Neste sentido, os sistemas judiciários tiveram de
ajustar as suas leis à tipologia de crimes que surgiu com a Internet.
Para o cidadão comum, o conhecimento sobre as leis relacionadas com este
tipo de criminalidade significa mais cidadania, mais conhecimento e, em certa
medida, mais prevenção e mais segurança na utilização da Internet e dos seus
serviços.
INTRODUÇÃO
No entanto, como em tantas outras áreas, o que é bom e tem enormes vantagens
também revela o seu lado obscuro. O espírito aberto e descentralizado com que
a Internet foi crescendo e acolhendo todas as pessoas e instituições, não lhes im-
pondo qualquer “direito de admissão”, permitiu que nela fossem entrando os mais
diversos tipos de utilizadores e com as mais variadas motivações. Desde logo, os
que passaram a utilizar a Internet como meio para agilizar e melhorar a forma como
realizavam as suas atividades profissionais, mas também os que viram na Inter-
net um mundo de oportunidades para praticar o mais variado conjunto de crimes.
E são diversas as atividades ilícitas que são praticadas na Internet, das quais damos
conta ao longo desta obra.
É assim neste contexto que, ao longo do tempo e à medida que os crimes pratica-
dos na Internet se iam desenvolvendo, os governos, o sistema judiciário e as polí-
cias se foram organizando para esta nova realidade. Alteraram-se procedimentos,
© FCA
77
INTRODUÇÃO À CIBERSEGURANÇA
78
Sistema Judiciário Português
93
INTRODUÇÃO À CIBERSEGURANÇA
Já os capítulos II, III e IV são os mais relevantes e nos quais podemos encontrar
os artigos que poderão ser acionados num vasto conjunto de crimes que utilizam
equipamentos informáticos. Para estes três capítulos em particular apresentamos
de seguida uma descrição detalhada.
7
Disponível na Procuradoria-Geral Distrital de Lisboa, em https://www.pgdlisboa.pt/leis/lei_mostra_articulado.
php?nid=1137&tabela=leis&so_miolo=.
8
https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32005F0222.
94
Gíria do Cibercrime
111
INTRODUÇÃO À CIBERSEGURANÇA
Tipo de Data da
Número Título Última revisão
norma publicação
Código do Direito de Decreto-Lei n.º 9/2021,
14 de março
Decreto-Lei 63/85 Autor e dos Direitos de 29 de janeiro
de 1985
Conexos (17.ª versão)
Proteção jurídica Lei n.º 92/2019,
20 de outubro
Decreto-Lei 252/94 de programas de 4 de setembro
de 1994
de computador (4.ª versão)
Lei n.º 94/2021,
15 de março
Decreto-Lei 48/95 Código Penal de 12 de dezembro
de 1995
(55.ª versão)
Lei n.º 103/2015,
Lei da Proteção 26 de outubro
Lei 67/98 de 24 de agosto
de Dados Pessoais de 1998
(3.ª versão)
Proteção de dados Lei n.º 46/2012,
18 de agosto
Lei 41/2004 pessoais e privacidade de 29 de agosto
de 2004
nas telecomunicações (2.ª versão)
Conservação de
dados gerados ou
Lei n.º 79/2021,
tratados no contexto 17 de junho
Lei 32/2008 de 24 de novembro
da oferta de serviços de 2008
(2.ª versão)
de tomunicações
eletrónicas
15 de Lei n.º 79/2021,
Lei 109/2009 Lei do Cibercrime setembro de 24 de novembro
de 2009 (2.ª versão)
Lei da Proteção 8 de agosto
Lei 58/2019 Sem atualizações
de Dados Pessoais de 2019
Além da identificação inequívoca das normas em causa (número e ano, título e data
de publicação), é possível, em alguns casos, identificar a existência de revisões.
112
Gíria do Cibercrime
Realçamos ainda que algumas das normas identificadas são de âmbito muito alar-
gado (por exemplo, o Código Penal), pelo que, como veremos neste capítulo, ape-
nas alguns artigos das mesmas são passíveis de serem aplicados. Por outro lado,
existem normas que têm um âmbito mais restrito (por exemplo, a Lei do Ciber-
crime), nas quais encontramos um maior número de artigos relacionados com as
atividades ilícitas abrangidas pelo cibercrime.
A Figura 4.1 apresenta uma classificação das atividades de hacking em dois gran-
des grupos:
• Hacking não ético – visa provocar danos, como a destruição de dados, o roubo
ou a espionagem, para obtenção de benefícios para os praticantes.
113
INTRODUÇÃO À CIBERSEGURANÇA
Hacking
A comunidade de hacking ético, ou hacking “do bem”, engloba quatro tipos distin-
tos de praticantes:
• Lamer – principiante que ainda não tem conhecimentos fundamentais para ace-
der ilegitimamente a computadores, mas que anseia fazê-lo rapidamente;
114
A globalização do uso da Internet, a sua governação descentralizada e o caráter
livre e aberto subjacente ao seu funcionamento potenciaram a realização de
atividades ilícitas e alertaram para a necessidade da sua anonimização e da dos
utilizadores que as praticam.
A dark web e as criptomoedas são dois exemplos dos conceitos entretanto
criados para anonimizar a atividade criminosa na Internet. Conhecer o seu fun-
cionamento e contextualizá-los nos princípios arquiteturais da Internet torna-se
fundamental para compreender melhor os vários espaços digitais criados pela
Internet e as vertentes do cibercrime que cada um comporta.
INTRODUÇÃO
O ciberespaço, constituído pela Internet e por uma miríade de TIC que a suportam,
é regulado por várias entidades públicas e privadas. Desde logo, os operadores
de telecomunicações que registam os acessos, passando pelos serviços web de
alojamento e indexação de conteúdos acessíveis pelos motores de busca (por
exemplo, Google, Yahoo! ou Bing), até às entidades que governam a Internet e das
quais demos resumidamente conta no Capítulo 1.
Onion Router).
231