Ontem dia 2 de Abril de 2013, a Lei Carolina Dieckmann, número 12.737/2012, que
tipifica os crimes cibernéticos (crimes informáticos). A Lei, fruto de
um casuísmo, em que o inquérito policial relativo a suposta invasão do
computador da atriz sequer foi concluído, e nenhuma ação penal intentada
(porém os acusados mais que pré-julgados), passa a punir determinados
delitos, como a “invasão de dispositivos informáticos”, assim dispondo
especificamente o Art. 154-A:
Invadir dispositivo informático
alheio, conectado ou não à rede de computadores, mediante violação
indevida de mecanismo de segurança e com o fim de obter, adulterar ou
destruir dados ou informações sem autorização expressa ou tácita do
titular do dispositivo ou instalar vulnerabilidades para obter vantagem
ilícita: Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
Invadir significa devassar, entrar à força. Esta “invasão” deve se
dar em um dispositivo informático, que embora esteja associado a um
hardware que armazena, trata ou processa informações ou dados, possa ter
sua interpretação estendida por autoridades nos casos de invasão de
ativos lógicos como um disco virtual, rede social, webmail de um serviço
web ou ativos lógicos protegidos que armazenem informações (Embora tais
interpretações devam ser freadas pelo principio da legalidade, é o que
esperamos.
Deve-se esclarecer que a invasão, para ser criminosa, deve se dar sem
a autorização expressa ou tácita do titular dos dados ou do
dispositivo. Logo, o agente que realiza teste de intrusão (pentest), não
pode ser punido, por não estarem reunidos os elementos do crime.
Caberá, no entanto, às empresas de segurança e auditoria, adaptarem seus
contratos de serviços e pesquisa neste sentido, prevendo expressamente a
exclusão de eventual incidência criminosa nas atividades desenvolvidas.
Já as intrusões em sistemas cujo titular não autorizou poderão ser
consideradas condutas criminosas, desde que comprovado que o agente o
fez com o objetivo de obter, adulterar ou destruir dados ou informações
ou instalar vulnerabilidade para obtenção de vantagem ilícita.
A questão da finalidade de “obter dados” é também polêmica. Para um
grupo de juristas, a “espiada” não seria crime, só se falando em
obtenção nos casos de cópia dos dados do dispositivo, ou quando o agente
entra na “posse dos dados”. Para outra corrente, o simples acesso a
dados (um select na tabela da vítima, por exemplo) já agride o bem
jurídico protegido pelo Direito Penal, e demonstra a “intenção em obter
dados” eis que já permite ao cracker, em certos casos, se beneficiar das
informações, de modo que tal “contato” com os dados estaria inserido no
contexto do “obter dados”, previsto no tipo penal.
É o Judiciário quem vai interpretar esta questão, porém ao contrário
do que alegam alguns advogados, não é necessário a cópia dos dados para a
prática do crime, pois trata-se de crime formal e de perigo abstrato,
diga-se, basta a invasão com a “intenção da obtenção dos dados”. Tal
fato poderá ser provado por perícia técnica.
O agente que realiza o footprinting (levantamento de informações do
alvo) com programas como nmap ou outro scanner, apenas para identificar
se o alvo está ativo, as vulnerabilidades do sistema, portas abertas,
serviços desnecessários rodando, sistema operacional, dentre outros, em
tese não comete crime, pois atos preparatórios não são puníveis e o
agente não chegou a dar início a invasão (ato executório).
Deste modo, quem encontra vulnerabilidade em sistema alheio, mesmo
sem autorização para pesquisa, e comunica o administrador, está
realizando a “revelação responsável”, não podendo incidir nas penas o
art. 154-A, agora previsto no Código Penal. Já a prova de conceito,
desenvolvida por quem descobre falha em ativo, sem autorização do
titular, dependerá da apreciação pericial para se verificar como afetava
o dispositivo atingido e qual foi a extensão decorrente da PoC.
É possível também se pensar na invasão tentada, onde o agente chega a
executar a invasão, mas é impedido pelo time de resposta a incidentes,
equipe de forense, ou IDS (Intrusion Detection System) que detecta o
evento em tempo de execução. Caberá ao perito digital avaliar se os
códigos executados tinham aptidão técnica para que o agente pudesse ter
acesso às informações, manipulá-las ou para “instalar
vulnerabilidades”(sic).
O agente que invade sistema, sem autorização, para tão somente
demonstrar a insegurança e cooperar para o aprimoramento dos controles,
em tese não responde pelo crime. Tal intenção poderá ser demonstrada
pelas fases da sua conduta (sempre menos ofensiva à empresa ou titular
do dispositivo) ou mesmo pela atuação pericial ou depoimentos, no
decorrer de eventual inquérito policial ou ação penal.
Outras formas de acesso indevido, onde não ocorre a “invasão”, que é
conduta comissiva/ativa, podem não se enquadrar no tipo penal. Assim, na
engenharia social que faz com que a vitima forneça credenciais de
acesso ou mesmo acesse voluntariamente determinado programa que libera o
acesso a seu dispositivo, fica eliminada, em tese, a incidência do
delito em comento, podendo o agente, diante do caso concreto, responder
por outros delitos do Código Penal, de acordo com a extensão do dano.
Do mesmo modo, o acesso indevido feito por um agente através de
protocolo RDP (Remote Desktop Protocol) ou tecnologias como Terminal
Service, VNC, PCAnywhere, Logmein, dentre outras, não caracterizam
invasão se o serviço de “assistência remota” foi habilitado pelo titular
do dispositivo sem qualquer mecanismo de autenticação, o que
equivaleria a uma “autorização tácita” do titular do dispositivo para
acessos.
No que diz respeito a empresas de pesquisa e segurança da informação,
a Lei tenta “imitar” os princípios da convenção de Budapeste, também
punindo aquele que produz, oferece, distribui, vende ou difunde
dispositivo ou programa de computador com o intuito de permitir a
prática da invasão. Temos que entender ou “ler”, no intuito de permitir a
prática da invasão com fins ilícitos, tal como previsto no artigo 154-A
(A Convenção do Cibercrime de Budapeste recomenda até mesmo a punição
de quem disponibiliza senhas para acesso a ativos de terceiros).
Assim, distribuições Linux como Backtrack, programas para invasão
como sqlmap, havij, e frameworks como Metasploit, são amplamente
utilizados por profissionais de segurança e empresas na consecução dos
seus trabalhos, e não poderão ser confundidos, por autoridades, como,
por exemplo, códigos para coleta de dados de cartão de crédito,
Keyloggers bancários desenvolvidos especificamente para lesar
correntistas, dentre outros códigos que por sua natureza e diante do
contexto do caso concreto, avaliada por perito digital, restar claro não
se tratar de ferramentas usadas para “boas finalidades”.
Porém repise-se. Não é a ferramenta que define a finalidade do
agente, mas o próprio agente define como usar a ferramenta, para boas ou
más finalidades. Infelizmente, o legislador não pensou nesta hipótese.
Caberá dose extraordinária de bom-senso às autoridades e observância às
conclusões da perícia em geral para constatar que não é porque alguém é
encontrado distribuindo ferramentas que permitem invasão que este alguém
é um criminoso.
Para pesquisadores e profissionais que desenvolvem exploits, provas
de conceito, códigos, frameworks, ferramentas de pentest, caberá a
revisão das políticas de uso e distribuição dos referidos programas,
fazendo menção expressa à ausência de responsabilidade do desenvolvedor
diante do mau uso, consignando expressamente a finalidade lícita da
criação da ferramenta.
Por fim, repise-se que a invasão, para caracterizar conduta
criminosa, deve ocorrer em ativo protegido por mecanismo de segurança.
Resistimos a simplicidade daqueles que entendem que basta uma senha no
dispositivo para que ele esteja “protegido”, logo preenchendo os
requisitos da lei. Poderemos ter a hipótese de um sistema operacional,
por exemplo, Windows, com senha, mas que tem uma vulnerabilidade antiga
no navegador nativo (MS11_003por exemplo). Nestes casos a perícia deverá
constatar que a despeito da senha, a máquina estava “desprotegida”, com
patches desatualizados e que o titular, por sua conta e risco assim
mantinha o serviço na rede em um sistema defasado.
Logo, é preciso esclarecer que nem todo o dispositivo “com senha”
está com efetivo “mecanismo de segurança” e, consequentemente, nem toda a
invasão a dispositivo “com senha”, poderá ser considerada conduta
criminosa, como muitos pensam. Cada caso é um caso. Por outro lado, a
lei também veio para proteger usuários comuns, pessoas físicas, logo,
não se pode engessar a aplicabilidade porque tal usuário não empreendeu o
“melhor” mecanismo de segurança existente para proteger seu ativo. É
preciso repetir, cada caso deverá ter suas características e
circunstâncias avaliadas pelo Judiciário, não existindo solução pronta.
Seja como for, a segurança da informação, agora, passa a ser não
apenas útil para impedir que o ato potencialmente criminoso ocorra,
garantindo a disponibilidade, integridade e confidencialidade da
informação, mas, em caso de invasão consumada, para que o criminoso
possa responder criminalmente.
Como visto, a não conformidade em segurança da informação, agora,
pode representar claramente a impunidade em casos de invasão, pois não
se pode invadir o que está “aberto”, por nítida falha, negligência,
imprudência ou imperícia dos contratados e que tinham o dever de
garantir segurança do ativo de informação de alguém.
fonte: