Os
bancos e instituições financeiras do Brasil sofreram diversos ataques
aos seus portais na primeira semana de fevereiro. Devidos aos ataques,
suas páginas na Internet ficaram inacessíveis por períodos que variaram
entre alguns minutos a algumas horas, impossibilitando os clientes de
realizarem transações via internet banking. O movimento foi nomeado
pelos responsáveis como #OpWeeksPayment, ou seja, "operação da semana de
pagamento", em clara referência a semana em que os salários seriam
pagos. A autoria foi reivindicada pelo grupo "Anonymous Brasil", que se
autoproclamam hackers com o objetivo de chamar a atenção para injustiças
no país. Estes afirmaram que "Os ataques da ultima semana foram apenas
para chamar a atenção de todos para nossos reais objetivos, nada além
disso."
Importante
enaltecer que apesar de quase todas as instituições financeiras
brasileiras terem sido atingidas, os sistemas dos bancos não foram
invadidos, e nenhum dado de correntista foi copiado ou valores
desviados. Tal fato foi destacado pela Federação dos Bancos do Brasil -
FEBRABAN. Para corroborar essa afirmação, necessário entender como se
deram os ataques. Trata-se basicamente de uma quantidade de acessos
demasiada aos portais eletrônicos dos Bancos, além da capacidade por
estes suportada. Bombardeia-se a página com milhões de acessos
simultâneos até que ela fique lenta e inacessível. Esta metodologia
recebe o nome de "Ataque distribuído de negação de serviços", DDoS, na
sua sigla em inglês. Para que esses milhares de acessos simultâneos
sejam possíveis, necessária a utilização de grandes servidores, ou, como
é mais comum, de milhares de computadores individuais. Estes estão
infectados por softwares/vírus/trojans/malwares, que podem ter sido
instalados das mais diversas maneiras. Estes malwares permitem a tomada
de controle do computador por terceiro desconhecido. Ao iniciar o
ataque, cada computador irá acessar a página da Internet alvo quando
receber tal comando. As ordens partem de
uma autoridade central, denominada "Autoridade de Comando e Controle"
(Command & Control, CC). A autoridade de comando é controlada por
uma entidade, por pessoas, por indivíduos. No presente caso,
supostamente, pelo "Anonymous Brasil".
Podemos,
desta forma, imaginar o cenário acima descrito como uma rede de
soldados que são controlados por um general. Só que os combatentes
desconhecem que é o seu comandante, muito menos sabem que irão travar
uma batalha e que interesses esta pretende colocar em disputa. Por isso a
nomenclatura "redes zumbis", pois os computadores são controlados sem
nenhuma ciência do que estão fazendo e do que irão fazer.
Após
explicado a forma como se deram os ataques, uma visão sobre o enfoque
jurídico. Os atos perpetrados podem, sim, ser considerados ilícitos
cíveis e criminais. Algumas premissas, todavia, devem ser colocadas de
antemão. A primeira: não houve acesso indevido aos sistemas dos bancos e
das instituições financeiras. Talvez tenham havido acessos não
autorizados aos computadores de cidadãos. Segunda: Não houve desvio de
numerários das contas dos correntistas dos bancos. Terceira: pode ter
havido dano pecuniário aos bancos, pois o tempo que seus portais ficaram
significam que centenas, milhares de transações deixaram de ser
realizadas, e taxas de serviço não foram auferidas pelas instituições.
Quarta: os serviços de internet banking não são considerados serviços de
utilidade pública para fins penais.
Dito
isto, os aspectos legais. Ainda não dispomos no ordenamento jurídico
pátrio de tipificação penal para (i) acesso não autorizado a sistema
informatizado; (ii) difusão ou inserção de código malicioso; e (iii)
interrupção ou perturbação de serviço informático - todos estes tipos
previstos nos projetos de lei sobre crimes informáticos. Todavia,
condutas existentes podem ser imputadas aos responsáveis pelos ataques. O
crime de dano, previsto no art. 163 do Código Penal, de acordo com a
jurisprudência dos tribunais superiores, pode ser enquadrado a qualquer
atitude que cause um dano a uma propriedade, seja esta material ou
imaterial. Entretanto, o dano tem que ser comprovado. No caso em
análise, caso os bancos apresentem evidências que houve dano pecuniário
devido a impossibilidade de acesso ao seu portal, estaria caracterizada a
conduta. E por tratar-se de ação penal privada, caberia a instituição
iniciar eventual procedimento criminal. É possível, ainda, caracterizar
dano a imagem do banco, um ilícito cível ao qual a reparação pode ser
buscada. O artigo 265 do Código Penal, que pune aquele que atentar
contra a segurança ou serviço de utilidade pública, não poderia ser aqui
utilizado, uma vez que o serviço alvo não preenche os requisitos do
tipo penal.
O
real problema está na individualização dos responsáveis pelas condutas.
Em ilícitos por meios informáticos, o principal meio para auferir os
indícios de autoria é através do número IP (Internet Protocol). Toda
página da Internet, ao ser acessada, registra em seus sistemas as
conexões à Internet (IPs) de seus usuários. Ao se ter acesso a estes
números IP, é possível, através de uma demanda judicial, identificar a
pessoa responsável por eles. Todavia, caso seja verificado os milhares
de acessos das páginas dos bancos, e, em um exercício de elucubração,
sejam propostas medidas judicias para todos eles objetivando identificar
seus responsáveis, o máximo que teremos são os nomes e endereços dos
proprietários dos computadores que receberam as ordens da "Autoridade de
Comando e Controle". E qualquer pessoa pode estar com seu computador
infectado, controlado por terceiros desconhecidos. Portanto, é
necessário averiguar os responsáveis por trás da "C&C". E estes,
normalmente, encontram-se protegidos por diversas camadas de conexões,
tornando praticamente impossível utilizar números IP para tentar
identificá-los. Temos, então, um caso onde outras evidências devem ser
utilizadas, como investigações em fóruns de discussão onde normalmente
os agentes discutem suas táticas e medidas. Trata-se, portanto, de um
caso clássico onde nem sempre o número IP é útil, nem sempre a
obrigatoriedade de guarda de logs é tem valia.
Assim,
podemos concluir que os ataques de negação de serviço perpetrados
contra os bancos tiraram do ar os seus serviços de Internet Banking por
curtos períodos. Nenhum numerário foi desviado e nenhum dado copiado.
Tratou-se de uma quantidade além do normal de acessos aos seus sites.
Referida conduta, quando realizada com dolo pode caracterizar o tipo
penal de dano, desde que este seja devidamente provado. Todavia, a real
dificuldade se encontra em identificar os responsáveis, uma vez que em
casos como este a quebra de sigilo de números IP não são suficientes.
Fonte: Migalhas
Nenhum comentário:
Postar um comentário