A tutela penal dos sistemas de computadores

5.CONDUTAS LESIVAS AOS SISTEMAS DE COMPUTADORES: RELATO DE CASOS^[28]

a)Acesso não-autorizado a sistemas de computadores

Em linha geral, o acesso não-autorizado ao sistema pode ser praticado de duas formas: com a utilização de senhas que dêem acesso ao sistema e também através das falhas do sistema. O acesso através da utilização de senha pode ocorrer quando um funcionário de uma empresa, e. g., revela sua senha a um terceiro e este acessa indevidamente o sistema da mesma. Outro caso de acesso não-autorizado por senha cadastrada no sistema se dá quando, por exemplo, um funcionário de uma empresa é demitido e o seu cadastro ainda permanece no banco de dados da mesma. Como será relatado a seguir, este funcionário ainda com acesso, por vingança, pode danificar o sistema da mesma causando prejuízos. Há também o acesso através de falhas dos sistemas, são as conhecidas "invasões" praticadas pelos hackers.^[29] Vale ressaltar que esta pesquisa trata apenas de analisar condutas lesivas ao sistema de computador em si, não importando, portanto, se com o acesso não-autorizado viola-se a privacidade, por exemplo. Aqui serão analisadas tão somente as condutas que lesionam ou que potencialmente podem lesionar o sistema de computador, impedindo ou dificultando que ele realize a tarefa para a qual fora destinado.

Trata-se de acesso não-autorizado obtido com a utilização de senha cadastrada no sistema. Ocorreu em outubro do ano passado. Patrick McKenna, que trabalhava para a empresa Bricsnet, foi demitido em 20 de outubro de 2000. A empresa, por descuido, não cancelou o cadastro do funcionário no sistema. Dessa forma, ele ainda podia ter acesso ao sistema como se ainda fosse funcionário. No mesmo dia em que fora demitido, McKenna acessou remotamente, via Internet, o sistema da empresa.^[30]

Ao acessar os computadores da empresa, este funcionário poderia ter apagado dados essenciais ao funcionamento do sistema, causando prejuízos consideráveis para a mesma (ameaça à integridade do sistema). Outra atitude que poderia ter ocorrido seria a utilização dos recursos daquele sistema para benefícios pessoais, como, por exemplo hospedar um site (ameaça à disponibilidade do sistema). Neste caso de acesso não-autorizado, o que é relevante é a potencialidade de danos à integridade e disponibilidade dos sistemas acessados, pois o indivíduo não estava autorizado e, mesmo sem permissão, acessou aquele sistema.

O segundo caso diz respeito à ação hacker, às pessoas que buscam falhas nos sistemas e, por esses "buracos", passam a ter o controle do mesmo. Há vários casos, os mais comuns são as invasões aos sites.^[31] Os hackers invadem o sistema em que o site está hospedado e faz uma modificação apenas no texto do site. É como se fosse um aviso para os administradores do site que o sistema dele está com falhas. A alteração não é dos arquivos de funcionamento do sistema, mas sim de arquivos HTML, por exemplo, apenas indicando que eles "estiveram lá", servindo também para mostrar que a integridade e disponibilidade daquele sistema estavam ameaçadas.

Um caso recente que merece ser citado foi a invasão da página oficial da Câmara de Gestão da Crise de Energia (GCE)^[32]. O hacker "Darko - ph4z3n" invadiu o sistema que hospedava o site retirou todos os serviços do ar e ainda deixou as seguintes mensagens: "Ainda bem que nós estamos `aki´ antes do apagão, né..."; "Esse plano de economia deveria ser revisto".^[33] Não obstante ter retirado os serviços do ar, o hacker não danificou o sistema, pois apenas alterou o conteúdo da página. No entanto, o fato de ter alterado o conteúdo, mostra que ele poderia ter danificado os arquivos de sistema, causando assim prejuízos ainda maiores. O mesmo ocorreu com os sites do STF e ANEEL^[34], que foram invadidos como forma de protesto contra o racionamento de energia.

O importante, neste tipo de invasão, é o potencial que os hackers têm de afetar a integridade e disponibilidade dos sistemas de computadores. Eles poderiam ter danificado arquivos de sistema, no entanto, apenas colocaram em risco a integridade e disponibilidade do sistema de hospedagem do site.

b)Utilização dos recursos do sistema indevidamente

Têm-se aqui casos que afetam diretamente a disponibilidade do sistema. Disponibilidade do sistema significa o mesmo estar disponível para realizar as tarefas para o qual fora concebido. Serão apresentados, aqui, dois casos exemplificativos.

Os principais casos deste tipo de conduta ocorrem com os chamados ataques DoS (denial of service). De forma simplificada, nestes tipos de ataque, o hacker através de um microcomputador, controla vários outros computadores (que previamente foram infectados com um tipo específico de vírus). No controle desses "computadores-zumbi", os hackers começam bombardear o provedor ou servidor alvo. Este provedor/servidor, ao receber essa quantidade excessiva de mensagens, "cai", ficando fora do ar. Nestes casos, o sistema de computador não chega a ser danificado, mas é utilizado de maneira exaustiva, ficando assim fora de serviço ou extremamente lento. Ou seja, utilizam-se os recursos do sistema de maneira excessiva, impedindo que ele seja executado para as finalidades para as quais fora concebido.

Um caso que merece ser citado foi o ataque feito por um grupo hacker ao site da Casa Branca: "Os invasores enviaram uma grande quantidade de dados para o site, provocando uma sobrecarga. Dessa forma, as páginas da Casa Branca ficaram inacessíveis por cerca de seis horas. Segundo oficiais, o conteúdo do site não foi danificado nem alterado".^[35] Esse tipo de ataque, como se pode perceber, não prejudica a integridade do sistema, apenas faz com que ele não esteja disponível para a realização da tarefa para a qual ele fora programado. Em outras palavras, ataques DoS afetam a disponibilidade do sistema.

Outra hipótese possível, porém não muito divulgada, talvez por seu pequeno potencial lesivo, se comparada com as outras, ocorre quando algum hacker invade um sistema ou utiliza uma senha de terceiro para acessá-lo e, a partir desse acesso não-autorizado, desvia os recursos dos sistemas para a realização de atividades sem ter pagado ou ter sido autorizado para usufruir as mesmas.

Vários casos são açambarcados por essa hipótese. Ocorrem casos de hackers que invadem o sistema de provedor e, tendo o controle dos recursos, instalam servidores de IRC.^[36] Há casos também de hackers que utilizam os recursos do provedor invadido para armazenar arquivos de seu interesse. Em outros, o hacker utiliza senhas indevidas para ter acesso à Internet, ou seja, ele não paga por esse serviço, no entanto, utiliza-se dele. Como já foi dito, aqui cabem vários casos de utilização indevida dos recursos do sistema. No entanto, esses casos são menos graves que os advindos de ataques DoS, pois nestes a indisponibilidade do sistema chega a ser máxima. Já, nestes apresentados nesta seção, a disponibilidade é reduzida, mas o sistema ainda continuar funcionando, continua "no ar".

c)Alteração ou destruição de dados essenciais ao funcionamento do sistema

Tratam-se aqui de hipóteses nas quais a pessoa já possui acesso autorizado ao sistema e dolosamente o danifica ou ainda de hackers que invadem o sistema e depois o danifica. Cabe nesta conduta a ação dos vírus de computador, que danificam arquivos essenciais ao sistema Essas condutas afetam diretamente a integridade do sistema, fazendo-o funcionar de forma indevida ou ainda levando à sua total perda.

O caso que será apresentado não foi praticado por hacker, foi fruto de uma perícia para testar a segurança dos sistemas telefônicos de São Paulo, nada obstante, serve perfeitamente para ilustrar um caso de acesso não autorizado seguido de destruição de dados essenciais ao funcionamento do sistema.

O laudo produzido pelo Instituto de Criminalística, órgão da Secretaria da Segurança Pública de São Paulo, concluiu que qualquer pessoa munida de um computador pessoal, modem e um bom conhecimento em informática poderia tirar do ar os sistemas telefônicos paulista e carioca, deixando sem comunicação alguns milhões de pessoas e empresas que utilizam as linhas para transmitir dados. O hacker poderia excluir dados ou mesmo impedir o funcionamento de todo o sistema de telefonia. Na simulação da invasão, o perito conseguiu, depois de algumas tentativas, invadir os computadores centrais das duas empresas, sem que elas se dessem conta. A principal causa da fragilidade desses sistemas estaria na falta de pessoal qualificado para tratar do assunto, aliada ao desconhecimento propriamente dito dos riscos que seus sistemas de informática estão correndo. Além disso, há o fato de os hackers estarem sempre se atualizando e estudando as chaves que permitem invadir os computadores alheios. "A verdade é que não existe nenhum sistema de computação completamente inexpugnável. Mesmo as redes militares americanas já sofreram ataques de hackers. Mas também é certo que existem meios de aumentar a segurança dessas redes", diz Ivan Moura CAMPOS.^[37]

Este caso mostra indubitavelmente que se fosse um hacker que tivesse invadido o sistema de telefonia, ele poderia ter simplesmente destroçado tal sistema, causando prejuízos incalculáveis. Vê-se que aqui a agressão é direta contra a integridade do sistema que, por via reflexa, também ocasiona a indisponibilidade do mesmo.

Outro caso de destruição ou alteração de sistema pode ser praticado por funcionário que tenha a senha e dolosamente lesiona o sistema afetando sua integridade. As estatísticas desse tipo de conduta são altas, uma pesquisa da Modulo Security Solutions constatou que 35% das invasões a sistemas de computadores são praticadas por funcionários da própria empresa. Aqui o dano se dá por ato de quem estar autorizado a acessar o sistema.

Uma terceira hipótese que pode ser citada é a destruição de dados essenciais ao funcionamento pelos chamados vírus de computador. Os vírus podem danificar o sistema, lesando a integridade do mesmo. Há vários tipos de vírus, com as mais diversas finalidades, no entanto, só interessa para esta pesquisa aqueles que danificam o sistema.

Um caso que pode ser citado é o recente vírus O EIC.Trojan, um programa DOS (de apenas 68 bytes) que corrompe o setor de inicialização do disco rígido (HD), tornando impossível a partida do sistema. Para escapar à vigilância dos antivírus, o trojan é programado com código similar aos dos arquivos Standard Antivirus Test File (Eicar), que são testes-padrão para identificar a presença de vírus no computador. Além de danificar o setor de boot do disco, o vírus também pode programar outros setores do HD, destruindo pastas e arquivos. Nas máquinas contaminadas, talvez seja possível recuperar o sistema, mediante a reconstrução do setor de boot. No entanto, a programação em outras partes do disco pode também levar à destruição do sistema. Nesse caso não há outra alternativa senão formatar o HD e reinstalar o Windows.^[38]

d)Produzir ou disseminar vírus de computador

A produção de um vírus de computador é uma ameaça à integridade do sistema. A pessoa, ao produzir um vírus de computador, cria potencialmente a possibilidade de se destruir um sistema de computador. "Disseminar", por seu turno, ocorre quando uma pessoa, embora não tenha fabricado um vírus, passa-o a outras pessoas. Tal conduta também se caracteriza pela potencialidade de dano aos sistemas de computadores.

O caso do vírus I Love You é exemplificativo. O estudante filipino Onel de Guzman criou o vírus e este se espalhou pela Internet por acidente. No entanto, nada obstante ele apenas ter criado o vírus, sem intenção de espalhá-lo pela Internet, pode-se dizer que a conduta dele, ao criar um vírus era potencialmente lesiva, o que se concretizou com a disseminação do mesmo pela Internet.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.

Inscrever

6.MODELO DAS CONDUTAS LESIVAS AOS SISTEMAS DE COMPUTADORES

Vistos os casos de condutas lesivas aos sistemas de computadores, procedeu-se à elaboração de um modelo que englobasse todas essas condutas relatadas, lembrando que todas são praticadas por meio das redes integradas de computadores, são elas:

a)Acessar, sem estar previamente autorizado, sistema de computador;

b)Utilizar os recursos do sistema de computador indevidamente ou para finalidade diversa;

c)Alterar ou apagar dados essenciais ao normal funcionamento do sistema de computador;

d)Criar ou disseminar vírus de computador.

Percebe-se, então, que este modelo açambarca todas as hipóteses citadas. Finda esta etapa da pesquisa, procedeu-se à busca de dispositivos legais que tipificassem cada uma dessas condutas.

7.DISPOSITIVOS LEGAIS CORRELACIONADOS ÀS CONDUTAS LEVANTADAS

Esta parte do trabalho mostrará os dispositivos legais (presentes em leis, projetos de lei e anteprojetos) encontrados e que de alguma forma estão correlacionados com as condutas, não significando que eles necessariamente serão aplicados a elas. Ao final desta etapa, já será possível verificar se os tipos penais existentes no ordenamento jurídico brasileiro são suficientes para se garantir proteção legal ao sistema de computador.

a)Acessar, sem estar previamente autorizado, sistema de computador

Encontrou-se tal conduta prevista em alguns projetos de lei. O primeiro que pode ser citado é o Projeto n. 2.558 do Alberto Fraga. Estabelece tal projeto que se acrescente o art. 151-A ao Código Penal, in verbis:

Art. 151-A – Violar indevidamente o conteúdo de banco de dados eletrônico, ou interceptar comunicação fechada em rede de comunicação eletrônica. (grifei)

Da análise de tal dispositivo, depreende-se que o tipo não se refere propriamente ao acesso não-autorizado. Ele fala em "interceptar comunicação" que se dá, por seu turno, através do acesso não-autorizado ao sistema de computador. Vale ressaltar ainda que este dispositivo foi inserido dentro da seção "dos crimes contra a inviolabilidade de correspondência", ficando indevidamente localizado.

Outro dispositivo correlato foi encontrado no Projeto de Lei n. 84/99 do Deputado Luiz Piauhylino:

Art. 9º - Obter acesso, indevido ou não autorizado, a computador ou rede de computadores.

Pena: detenção, de seis meses a um ano, e multa.

§ 1º Na mesma pena incorre quem, sem autorização ou indevidamente, obtém, mantém ou fornece a terceiro qualquer meio de identificação ou acesso a computador ou rede de computadores.

§ 2º Se o crime é cometido:

I – com acesso a computador ou rede de computadores da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos;

II – com o considerável prejuízo para a vítima;

III – com o intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;

IV – abuso de confiança;

V – por motivo inútil;

VI – com o uso indevido de senha ou processo de identificação de terceiro; ou

VII – com a utilização de qualquer outro meio fraudulento.

Pena: detenção, de um a dois anos, e multa.

Fica evidente que esse dispositivo é mais completo que o anterior, açambarcando diversas hipóteses.

Tal conduta também foi prevista no Projeto de Lei n. 1713 elaborado pelo Deputado Cássio Cunha Lima, em 1996:

Art. 19. Obter acesso, indevidamente, a um sistema de computador ou a uma rede integrada de computadores:

Pena – detenção, de 6 (seis) meses a 1 (um) ano, e multa.

§ 1º - Se o acesso se faz por uso indevido de senha ou processo de identificação magnética de terceiro:

Pena – detenção, de 1 (um) ano a 2 (dois) anos, e multa.

§ 2º - Se, além disso, resulta prejuízo econômico para o titular:

Pena – detenção, de 1 (um) ano a 3 (três) anos, e multa.

§ 3º - Se o acesso tem por escopo causar dano à outrem ou obter vantagem indevida:

Pena – detenção, de 2 (dois) ano a 4 (quatro) anos, e multa.

§ 4º - Se o sistema ou rede integrada de computadores pertence a pessoa jurídica de direito público interno, autarquias, empresas públicas, sociedades de economia mista, fundações instituídas ou mantidas pelo Poder Público e serviços sociais autônomos, a pena é agravada em um terço.

Esses foram os tipos encontrados relacionados ao acesso indevido.

b)Utilizar os recursos do sistema de computador indevidamente ou para finalidade diversa

Não foi falado no tópico anterior, mas a conduta "utilizar os recursos do sistema de computador indevidamente" também é chamada de "furto (ou roubo) de tempo de sistema". Para esta conduta foram encontrados os seguintes dispositivos.

No Código Penal:

Art. 155 – Subtrair, para si ou para outrem, coisa alheia móvel:

Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.

§ 1º A pena aumenta-se de um terço, se o crime é praticado durante o repouso noturno.

§ 2º Se o criminoso é primário, e é de pequeno valor a coisa furtada, o juiz pode substituir a pena de reclusão pela de detenção, diminuí-la de um a dois terços, ou aplicar somente a pena de multa.

§ 3º Equipara-se à coisa móvel a energia elétrica ou qualquer outra que tenha valor econômico.

Esse artigo é correlato porque quando se fala que um sistema de computador está sendo utilizado para finalidade diversa, pode-se dizer, por conseqüência, que há furto de bits^[39]. Ao utilizar indevidamente um recurso, o indivíduo "furta" bits para que a tarefa seja realizada.

Encontra-se tal conduta prevista no Projeto de Lei n. 1.806, de 1999, do Deputado Freire Júnior, que propões alteração do § 3º do art. 155:

Art. 155............ § 3º Equipara-se à coisa móvel: (NR)

I – a energia elétrica ou qualquer outra que tenha valor econômico; (NR)

II – o acesso aos serviços de comunicação; (NR)

III – o acesso aos sistemas de armazenamento, manipulação ou transferência de dados eletrônicos.

c)Alterar ou apagar dados essenciais ao normal funcionamento do sistema de computador

Foram encontrados vários dispositivos referentes a essa conduta. Serão apresentados os principais.

No Código Penal:

Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:

Pena – detenção, de 1 (um) a 6 (seis) meses, ou multa.

Consultando o Projeto de Lei n. 1713/96 do Deputado Cássio Cunha Lima, encontramos o seguinte tipo:

Art. 23. Obstruir o funcionamento de rede integrada de computadores ou provocar-lhe distúrbios:

Pena – detenção, de 1 (um) a 2 (dois) anos, e multa.

Parágrafo único. Se resulta obstrução permanente ou distúrbio grave:

Pena - reclusão, de 4 (quatro) a 6 (seis) anos, e multa.

Esses foram os tipos principais e de relevância para posterior análise.

d)Criar ou disseminar vírus de computador

Para esta conduta foi encontrado apenas um tipo interessante, que está previsto no projeto do Deputado Luiz Piauhylino:

Art. 13. Criar, desenvolver ou inserir, dado ou programa em computador ou rede de computadores, de forma indevida ou não autorizada, com a finalidade de apagar, destruir, inutilizar ou modificar dado ou programa de computador ou de rede de computadores, dificultar ou impossibilitar, total ou parcialmente, a utilização de computador ou rede de computadores.

Pena: reclusão, de um a três anos, e multa.

Parágrafo único. Se o crime é cometido:

I - contra interesse da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos;

II – com considerável prejuízo para a vítima;

III- com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;

IV – com abuso de confiança;

V – por motivo fútil;

VI – com o uso indevido de senha ou processo de identificação de terceiro; ou

VII- com a utilização de qualquer outro meio fraudulento.

Pena: reclusão, de dois a seis anos, e multa. "

Esses foram os dispositivos legais encontrados. Agora, tendo em mãos o modelo das condutas e esses dispositivos, será possível responder à questão central do trabalho, que consiste saber se os tipos penais presentes no ordenamento jurídico brasileiro são suficientes para se garantir proteção legal aos sistemas de computadores.