INTRODUÇÃO
Longe de ser fruto da imaginação de escritores de ficção científica e cineastas, a aplicação da biometria na identificação individual é bastante antiga, conforme destaca JOSÉ ALBERTO CANEDO[1]:
“Antes da existência da tecnologia biométrica automatizada, possível com o advento da computação, vários outros métodos não automatizados de biometria foram usados em períodos tão remotos quanto 6.000 anos atrás.
O uso da impressão digital para assinar documentos foi prática entre os antigos Assírios, Babilônios, Japoneses e Chineses. No Leste da Ásia, artesãos da cerâmica usavam a impressão digital marca pessoal para seus produtos. Negociantes do vale do Nilo, no Egito antigo, eram identificados pela altura, cor dos olhos e compleição. Essa informação ajudava a identificar negociantes com os quais os mercadores já tinham feito negócios com sucesso no passado. O explorador João de Barros relatou que os mercadores chineses estampavam mãos e pés de crianças com papel e tinta para distinguir uma criança da outra.”
Etimiologicamente, o vocábulo biometria possui origem grega, sendo formado pela junção das palavras bio (vida) e metria, que deriva de metron (medida). Então, em seu sentido literal biometria seria a “medida da vida”.
Para fins de aplicação prática, a biometria pode ser definida como o estudo das características físicas e comportamentais de um indivíduo, com a finalidade de destacá-lo de forma singular dentro do universo a que pertence. Isto é, através da análise biométrica é possível aferir as particularidades de cada indivíduo – e isso se aplica de forma universal: no reino animal e vegetal -, afinal restando claro que cada organismo vivo possui características únicas.
No âmbito das relações humanas, que é o que interessa à presente análise, é devido a essa importante característica que a biometria tem sido largamente aplicada em diversos setores, como: segurança pública, bancário, empresarial, hospitalar, eleitoral; enfim, atualmente os sistemas biométricos estão presentes em praticamente qualquer situação que demande precisão e segurança na identificação de pessoas ou autenticação dos respectivos dados. Na linguagem popular, e não sem razão, é bastante comum que à biometria seja associado o slogan seu corpo é sua senha.
No mundo todo utilizam-se diversas tecnologias e sistemas biométricos. Pesquisando-se, é possível encontrar pelo menos uma dezena de métodos para se identificar uma pessoa ou verificar se seus dados são autênticos. A impressão digital é apenas um deles, mas o de maior utilização, por apresentar rapidez, baixo custo e alta confiabilidade.
Segundo informa o site iBiometria[2], os sistemas biométricos avaliam as características de uma pessoa levando-se em conta principalmente dois fatores: fisiológico e comportamental, arrolando os principais sistemas como sendo:
Fisiológicos:
- - Impressões digitais;
- - Reconhecimento facial;
- - Geometria dos dedos e mãos;
- - Reconhecimento da íris;
- - Reconhecimento da retina;
- - Geometria das veias;
- - Arcada dentária.
Comportamentais:
- - Padrão de digitação;
- - Assinatura;
- - Voz ou reconhecimento de voz
A mesma publicação aponta, ainda, uma nova tendência no campo da biometria, nominando-a como biometria cognitiva, conforme abaixo transcrito:
“Recentemente, uma nova tendência tem sido desenvolvida, que funde a percepção humana de banco de dados no computador para uma interface cérebro-máquina. Esta abordagem tem sido referida como a Biometria cognitiva. Biometria cognitiva é baseada em respostas específicas do cérebro a estímulos, o que poderia ser utilizado para acionar uma pesquisa de banco de dados de computador. Atualmente, os sistemas de biometria cognitiva estão sendo desenvolvidos para utilizar a resposta do cérebro a estímulos percepção facial do odor e desempenho ambiental para a pesquisa em portos e áreas de alta segurança. Estes sistemas são baseados no uso funcional de Doppler transcraniano (fTCD) e espectroscopia de Doppler transcraniano (fTCDS) para obter respostas do cérebro, que são usados para combinar com um odor de destino, um rosto alvo ou perfil de desempenho de destino armazenados em um banco de dados de computador. Assim, a precisão da percepção humana fornece os dados para coincidir com o armazenado no computador aumentando a sensibilidade do sistema”.
Nada obstante todos os métodos elencados, a proposta deste estudo circunscreve-se ao uso da impressão digital, pois, como mencionado, é um método rápido, barato, e considerado de alta confiabilidade.
Em sua obra clássica sobre Medicina Legal, HÉLIO GOMES, citando EDMOND LOCARD, consigna que “três são as qualidades que conferem às impressões digitais valor sem igual para a identificação: perenidade, imutabilidade e variedade dos desenhos digitais” (Medicina Legal. 20ª ed. Rio de Janeiro: Freitas Bastos, 1980, p. 75-76).
Em síntese, significa que as impressões digitais permanecem com o indivíduo por toda a vida; nunca desaparecem (perenes). Além disso, os desenhos digitais jamais se modificam, mesmo que sofram lesões químicas, térmicas, mecânicas etc. (imutabilidade). Por fim - e este é o ponto considerado mais importante pelos estudiosos da matéria -, as impressões digitais nunca são idênticas em dois indivíduos, mesmo em gêmeos univitelínicos (variedade).
Em razão das características acima descritas, não restam dúvidas de que, de fato, o uso das impressões digitais ainda é um meio eficiente de identificação e autenticação de dados. Sendo assim, o proposto neste trabalho debruça-se sobre uma aplicação alternativa das impressões digitais, adaptando-se as tecnologias já existentes para a respectiva leitura, como forma de, no mínimo, diminuir drasticamente as fraudes perpetradas no campo da segurança da informação de um modo geral, isto é, em todos os setores em que se aplica a identificação ou autenticação por meio de impressões digitais.
O PROBLEMA
Nada obstante o que se afirmou sobre a eficiência das impressões digitais como meio idôneo a identificar pessoas e autenticar dados pessoais, para citar apenas fatos recentes, os meios de comunicação noticiaram a prática de diversas fraudes com a utilização de “dedos” de silicone para burlar leitores biométricos, demonstrando que esse sistema, apesar de sua alta confiabilidade, da forma como vem sendo utilizado, isto é, apenas com a aposição do polegar no leitor biométrico, já apresenta certo grau de vulnerabilidade.
Somente do início do ano até o momento em que se escreve este artigo, pelo menos três casos de fraude envolvendo “dedos” de silicone ganharam as páginas policiais.
O primeiro caso noticiado data do mês de fevereiro, envolvendo fraude no leitor biométrico do DETRAN de São Paulo, praticado por alunos de uma autoescola. Por imposição legal, quem pretende obter a CNH deve passar por 45 horas de aulas teóricas e 20 horas de aulas práticas. Na matéria destaca-se que “duas autoescolas das zonas sul e sudeste de São Paulo cobravam R$ 3 mil para os alunos não terem que comparecer às aulas. A biometria era burlada por dedos de silicone com as digitais dos clientes” (disponível em: http://gizmodo.uol.com.br/fraude-biometria-detran-autoescolas/).
Na matéria em referência asseverou-se, ainda, que “não é a primeira vez que isso acontece. Em 2010, 2011 e 2012, casos muito semelhantes foram descobertos, o que deixa bem claro que é fácil enganar o sistema biométrico de digitais: em todos eles, o esquema era o mesmo e usava moldes de silicone para reproduzir as digitais dos alunos.”
O segundo caso – talvez o que causou mais repercussão – veio a público no mês de março, e refere-se à utilização de “dedos” de silicone num esquema envolvendo uma médica do Serviço de Atendimento Móvel de Urgência - SAMU de Ferraz de Vasconcelos, na Região Metropolitana de São Paulo. No caso, a médica usava os dedos falsos para marcar o ponto de colegas que deveriam estar de plantão (disponível em: http://g1.globo.com/sp/mogi-das-cruzes-suzano/noticia/2013/03/medica-do-samu-e-detida-com-seis-dedos-de-silicone-em-ferraz.html).
Por fim, em junho foi a vez de outro caso envolvendo fraude contra o DETRAN de Minas Gerais para a obtenção de CNH, numa autoescola da cidade de Muzambinho. Da mesma forma, usava-se os “dedos”de silicone para fraudar a frequência dos alunos às aulas obrigatórias para a obtenção de habilitação para dirigir (disponível em: http://g1.globo.com/mg/sul-de-minas/noticia/2013/06/dedos-de-silicone-sao-apreendidos-em-autoescola-de-muzambinho-mg.html).
Passando ao âmbito das instituições financeiras, o jornal Valor Econômico informa que a Federação Brasileira dos Bancos – FEBRABAN apurou, no final de 2012, que o prejuízo dos bancos com fraudes eletrônicas foi estimado em R$1,4 bilhão[3]. Embora os dados apontem os golpes praticados via internet como os principais responsáveis pela cifra, não há dúvidas de que, além do chamado phishing (captura de dados através de sites falsos etc.), os estelionatários criam dispositivos de captura de dados e senhas que são instalados nos caixas eletrônicos dos bancos, v. g., câmeras filmadoras ocultas destinadas à captura de senhas e dados de cartões de clientes.
A propósito, sobre a engenhosidade desse tipo de estelionatário, vale conferir o importante alerta do professor especialista em Direito e Tecnologia SPENCER TOTH SYDOW em sua página na internet, em que relata a experiência negativa pela qual passou, tendo sido vitimado por um dos mecanismos que vêm sendo utilizados por criminosos em fraudes eletrônicas. Resumidamente, o autor diz tratar-se de um sistema em que o cliente, ao tentar fazer um depósito em um caixa eletrônico, acaba tendo o envelope de depósito colhido pela máquina. Ato contínuo, a máquina identifica que o depósito sofrera um problema e que, portanto, será feita a devolução do envelope. Contudo, o mecanismo de devolução não restitui o envelope pela mesma gaveta em que o cliente o insere, muito embora o terminal informe que a operação de devolução tenha ocorrido com sucesso. O sistema cria uma situação de “engasgue” da máquina, em que o envelope fica preso e não consegue mais sair. Quando o consumidor vitimizado desiste de reaver seu cheque ou dinheiro entalado, o estelionatário vai ao local e desinstala o aparato, levando o material que seria depositado[4].
Registre-se que estes são apenas alguns exemplos de fraudes perpetradas com a utilização de meios eletrônicos, citando-se somente os casos mais recentes.
O MÉTODO PROPOSTO: LEITURA SEQUENCIAL DE IMPRESSÕES DIGITAIS
Como dito, a técnica que se propõe nesta oportunidade é bastante simples, consistindo num simples avanço no campo da metodologia já existente para a identificação biométrica com impressões digitais.
Atualmente, a leitura de impressões digitais é feita através da simples aposição – geralmente do dedo polegar – sobre o leitor biométrico, a fim de identificar a pessoa ou autenticar seus dados. De um modo geral, o sistema de leitura de impressões digitais é seguro, mas, como a inventividade humana é ilimitada (inclusive para o mal, infelizmente), há que se desenvolver mais instrumentos de combate à criminalidade.
Conforme informado nas matérias jornalísticas arroladas linhas atrás, encontrou-se um meio de burlar o sistema biométrico de leitura de impressões digitais, através da reprodução das papilas dérmicas presentes nas polpas dos dedos, com a utilização de silicone - material que retém facilmente o desenho das digitais. Infelizmente, de fato a prática da fraude é facilitada com a simples aposição do dedo no leitor biométrico.
Em razão disso, o que se propõe neste trabalho é a simples criação de um sistema que permita ao usuário criar, com suas impressões digitais, uma senha, similar ao método numérico comumente utilizado, mas substituindo-se os números pelas impressões digitais de ambas as mãos, realizando-se combinações com os dedos.
Em outras palavras, a pessoa definiria uma sequência de impressões digitais, da mesma forma como se faz com números. Para melhor visualização, imagine-se a seguinte sequência hipotética contendo seis caracteres:
1 ----------------- 2 ----------------- 3 ----------------- 4 ----------------- 5 ----------------- 6
dedo dedo dedo dedo dedo dedo
indicador mínimo polegar indicador anular mínimo
Logicamente, as possibilidades de combinações são enormes, assim como ocorre com as senhas numéricas. Isto é, pode-se criar sequências de 4, 5, 6, 10 impressões digitais, tudo conforme a capacidade do sistema a ser desenvolvido e o nível de segurança exigido ou desejável.
Utilizando-se esse sistema, acredita-se que mesmo na hipótese de alguém, de alguma forma, conseguir capturar as marcas das digitais do usuário, e com elas forjar “dedos” de silicone, Necessitaria, além disso, de conhecer a sequência de digitação por ele definida (senha), para só então obter êxito com a fraude, o que, admita-se, seria extremamente improvável ou, no mínimo, muito mais difícil do que o que ocorre atualmente, quando o fraudador simplesmente obtém as digitais do usuário e com elas constrói um “dedo”.
Como não se deseja dar asas à imaginação de pessoas mal intencionadas, este autor limita-se a conservar no plano mental as remotas e improváveis hipóteses de burla desse sistema. O que se pode dizer é que adotando-se esse sistema, caso uma fraude dessas proporções venha a ser praticada, graves suspeitas recairão sobre o próprio usuário da senha, pois somente ele será (ou deverá ser) o conhecedor da sequência que previamente definiu. Se alguém munido de “dedos” de silicone tiver acesso a essa sequência, provavelmente será porque o próprio usuário a revelou.
Imperioso advertir ao leitor menos atento que esse sistema não se confunde com outro sistema biométrico conhecido como padrão de digitação, o qual, segundo informações do já referido site iBiometria, nada tem a ver com o proposto neste trabalho. Eis no que consiste o padrão de digitação:
“Padrão de Digitação: A tecnologia, que mede o tempo que as teclas permanecem pressionadas, bem como o intervalo entre a digitalização, tira proveito do fato de que a maioria dos usuários de computador tem um método (perfil) de escrever que é coerente e idiossincrática - especialmente para as palavras usadas com freqüência como um nome de usuário e senha. Ao se cadastrar, o usuário digita seus detalhes nove vezes para que o software possa gerar um perfil. Tentativas de login Futuro são medidas em relação a esse perfil que analiticamente é capaz de reconhecer as teclas digitadas do mesmo usuário, com 99 por cento de exatidão, usando o que é conhecido como uma ‘biometria comportamental’.”
Como visto, o padrão de digitação é sistema que utiliza biometria comportamental. Já o sistema de leitura sequencial de impressões digitais continua baseando-se no método fisiológico. Ou seja, em momento algum investiga-se o ritmo de digitação do usuário, a força com que pressiona o leitor biométrico etc; verifica-se tão somente se a sequência por ele digitada no momento da identificação ou autenticação de dados corresponde àquela por ele previamente definida.
Para que se confira ainda mais segurança ao sistema, da mesma forma como ocorre com os protocolos de segurança atualmente em uso, deve-se sugerir ao usuário que altere a sequência de digitais periodicamente.
Concluindo, deve-se registrar que o tema não se esgota nesta breve proposta, até mesmo em razão das limitações teóricas e práticas deste autor, que possui formação jurídica, sendo que diversos aspectos abordados no estudo demandam conhecimentos de matérias estranhas ao Direito (informática, antropologia, dentre outras), sobre as quais, por ora, seria inoportuno um maior aprofundamento. Todavia, não se pode negar que a segurança da informação interessa sobremaneira ao Direito, já que não só na justiça brasileira, mas no mundo todo tramitam milhares de processos movidos por pessoas lesadas pelas práticas fraudulentas descritas no texto.
Notas
[1] Disponível em: http://www.forumbiometria.com/fundamentos-de-biometria/118-historia-da-biometria.html
[2] Disponível em: http://www.ibiometrica.com.br/biometria_sistemas.asp
[3] Disponível em: http://www.valor.com.br/financas/2925300/perdas-dos-bancos-com-fraude-eletronica-devem-recuar-7-diz-febraban
[4] Disponível em: http://atualidadesdodireito.com.br/spencersydow/2012/04/30/golpe-de-caixa-eletronico-e-vitimodogmatica/