3. NOÇÕES SOBRE A ESTRUTURA DAS REDES
De um modo simplista, podemos dizer que computadores são máquinas que recebem dados através de dispositivos de entrada, como o teclado e o mouse e os devolvem ao usuário por dispositivos de saída, como o monitor e a impressora, processados de acordo com as determinadas instruções preestabelecidas, que são os programas, chamados de softwares19. Além disso, tais dados podem ser armazenados em uma memória, que pode ser em disquete, disco rígido, CD ROM, entre outros, para uma recuperação posterior.
Redes de computadores são um conjunto de computadores ligados entre si que compartilham todos ou parte de seus dispositivos. Assim, numa rede, pode-se receber dados a partir do teclado do computador A, armazená-los no disco rígido do computador B e, finalmente, imprimi-los na impressora conectada a um computador C. Acrescente-se que os computadores A, B e C podem estar separados fisicamente por quilômetros de distância, até mesmo em países diferente. Aos computadores que armazenam os dados em suas memórias (B) denominamos de servidores, enquanto os demais (A e C), denominamos clientes.
Os clientes, porém, não têm necessariamente acesso irrestrito a todos os dados armazenados na memória do servidor. Na verdade, cada cliente possui determinadas permissões de acesso que podem variar de restritas a um diretório apenas até absoluta, na qual se pode acessar qualquer dado do servidor. Também pode restringir-se o acesso aos dados como somente leitura. Assim, o cliente pode ler os dados, mas não pode modificá-los.
Se, uma rede de computadores, os dados armazenados em um computador D forem confidenciais, podemos restringir o acesso a eles aos computadores A e B, ficando impedido de acessa-los o computador C. Podemos ainda permitir que a A apenas a leitura de dados, concedendo a B poderes para ler, modificar e apagar esses mesmos dados.
As permissões de acesso são, pois, um dos fundamentos básicos das redes de computadores, uma vez que facultam aos administradores de redes restringir os acessos aos dados armazenados no servidor de acordo com suas necessidades.
O controle de tais permissões é realizado através de um mecanismo muito simples. Toda vez que um computador da rede tenta se conectar a outros é requisitado a ele que se identifique através de seu nome, que denominamos login20, e de sua senha. Somente quando esta identificação é realizada corretamente as permissões são liberadas.
Quando acessamos a Internet por meio de uma linha telefônica ligada a um modem e nosso provedor requisita um nome e uma senha para prosseguir, estamos efetuando a conexão na rede e nosso computador está requisitando permissão de acesso ao servidor que irá liberá-la após a checagem da autenticidade do login e da senha.
Ao conectarmos a Internet, no entanto, não ganhamos acesso apenas aos dados armazenados no nosso provedor de acesso, mas aos milhares de outros servidores conectados a ele. Evidentemente, para a imensa maioria dos dados a que temos acesso na grande rede, temos permissão apenas de leitura, não nos sendo permitido modificá-los ou alterá-los.
Uma página na Internet é um arquivo de dados armazenado em um determinado servidor. O usuário que a acessa tem permissão de somente leitura, isto é, pode visualizar a página, mas não pode modificá-la. Somente o usuário, dono da página, tem permissões de leitura e gravação no servidor. Assim, ele pode desenvolver sua página no microcomputador de sua residência ou escritório e posteriormente conectar-se a rede e armazenar a página no servidor. Quando um cracker invade uma página ele na verdade está adquirindo permissão para modificar e gravar dados num servidor ao qual ele tinha somente acesso somente para leitura.
Da mesma forma que as páginas da Web, um e-mail também é um arquivo de dados armazenados em um servidor. O remetente digita sua mensagem em um computador A (geralmente em seu escritório ou residência) e o envia pela rede para um computador B que armazena a mensagem em sua memória (em geral, o provedor do destinatário). Assim, quando o destinatário conectar seu computador C a B (o servidor), poderá ler a mensagem lá armazenada ou copiá-la para seu computador.
A tem, pois, permissão para somente gravar em B (note que não pode ter permissão de leitura, pois senão poderia ler todas as mensagens de C) e C tem permissão para ler e gravar em B. Um cracker ao invadir uma caixa postal e ler os e-mails lá armazenados está, na verdade, conectando um computador D a B e adquirindo permissão para ler as mensagens e mesmo alterá-las.
Dentro das redes há ainda, computadores que não se relacionam, isto é, não possuem permissões entre si para nada. Se o computador A é um servidor de B e C, que não são seus clientes, evidentemente B e C possuem determinadas permissões de acesso em relação a A. Não há, no entanto, qualquer permissão de acesso entre B e C, já que esses, a princípio, não trocam dados entre si. Um cracker, no entanto, pode conseguir a partir do computador B, uma permissão forçada para ler e gravar em C.
Pelo exposto, está claro que a ação dos crackers é sempre no sentido de obter ou ampliar permissões de acesso a computadores ligados em redes. Para tanto, os crackers possuem basicamente três caminhos: descobrir a senha de um usuário já existente, criar um novo par de login e senha ou ainda, conseguir forçar uma permissão por meio da força bruta enviando milhares de pacotes de dados a um servidor até que ele entre em pane, devido ao acesso de dados, e permita a entrada não autorizada do cracker.
A maioria dos criminosos se vale dos seus conhecimentos técnicos, na verdade bastantes simples para o mal, que torna a situação ainda mais delicada, uma vez que o número de pessoas são teoricamente capazes de praticar ilícitos é muito maio do que se poderia imaginar sem uma análise mais profunda da realidade.
Para conseguirem acessos não autorizados a computadores, os crackers, em sua maioria absoluta, procuram tirar proveito de uma das maiores deficiências na estrutura de qualquer rede: o usuário. A quase totalidade dos usuários dá pouquíssima importância a suas senhas, criando-as com absoluta displicência, o que facilita em muito a ação do crackers. Senhas formadas só por números ou letras, ou ainda, as piores deles, formando palavras são de fácil dedução por pessoas mal intencionadas. Vejamos os principais métodos utilizados:
3.1. Dedução
É o método mais simples utilizado pelos crackers para conseguir uma senha. Como vimos, para que um acesso seja liberado, o servidor requer do usuário sempre um login e uma senha. O login em geral é público e na maioria dos casos é muito fácil descobri-lo. No caso de provedores de acesso a Internet, o login do usuário é a parte do e-mail anterior ao caracter @. Se o e-mail do usuário for [email protected] , seu login será, portanto, nome.
Conhecendo o login do usuário, o cracker procura a partir dele deduzir a senha correspondente. A primeira tentativa de 99% dos crackers e usar o login como senha. No início da Internet esse método era extremamente eficaz, mas hoje em dia pouquíssimos usuários utilizam uma senha igual ao login.
Atualmente, os crackers procuram deduzir as senhas dos usuários baseando-se numa relação entre elas e seus correspondentes logins. Para um login TICO é natural que o cracker tente como primeira opção senha TECO. Para o logins BATMAN a senha ROBIN é bastante intuitiva.
Parece incrível, mas grande número de usuários cria suas senhas dessa forma, o que proporciona aos crackers um acesso não autorizado extremamente fácil.
3.2. Engenharia Social
É uma dedução um pouco mais elaborada. Aqui o cracker utiliza como conhecimentos prévios a respeito da vítima para tentar usá-los como senha. A primeira tentativa é sempre com a data de nascimento no formato DDMMAA.
É, sem sombra de dúvidas, a de maior grau de acerto. Sobrenomes, nomes de esposas, namoradas e filhos também são extremamente comuns.
3.3. Tentativa e erro
O cracker tenta todas nas combinações de letras e números possíveis até encontrar a correta. Seria um método inviável se o cracker tivesse que digitar uma por uma todas as combinações, mas já existem programas, criados por eles, que os poupam do trabalho braçal. É 100% eficaz, porém muito lento, o que torna inviável para senhas com mais de cinco caracteres.
Os crackers, no entanto, aperfeiçoaram seus programas e hoje em dia há softwares que testam senhas pela tentativa e erro com base num dicionário de senhas previamente escrito pelo cracker contendo senhas prováveis, como, nomes de pessoas, todas as datas de nascimento num período próximo a da vítima, dentre outros.
3.4. Cavalo de Tróia
O cracker oferece a vítima um programa de computador alegando ser um jogo ou algo parecido. Na verdade é um presente de grego (na expressão mitológica do termo). A vítima executa o programa em seu computador e se contamina com uma espécie de vírus denominado trojan horse ou Cavalo de Tróia21, que é um pequeno programa que permite ao cracker se conectar diretamente ao computador da vítima, que torna-se servidor do computador do cracker.
Este passa, então, a ter permissão absoluta de acesso aos dados lá armazenados, podendo desde ler, alterar e apagar arquivos no computador da vítima até abrir e fechar a porta do dispositivo de CDROM. Os crackers copiam então os arquivos armazenados no diretório e podem, inclusive, acessar o provedor de acesso à Internet da vítima em seu nome.
Evidentemente as senhas dos arquivos estão criptografadas, mas isso não é problemas para os crackers que possuem programas que conseguem desencriptografar as mesmas.
3.5. Invasão do servidor
Dos métodos analisados, este é o único que exige um conhecimento avançado por parte do cracker. Nele o cracker consegue forçar sua conexão a um servidor e então copia de lá os arquivos em que ficam armazenadas as senhas dos usuários. Depois já desconectado da rede, o cracker desencriptografa as senhas. Evidentemente, há inúmeros outros métodos utilizados pelos crackers. Citamos aqui apenas os mais usuais.
4. CLASSIFICAÇÃO DOS DELITOS INFORMÁTICOS
Em rigor, para que um delito seja considerado informático é necessário que o bem jurídico por ele protegido seja a inviolabilidade de dados.
A simples utilização, por parte do agente, de um computador para a execução de um delito, por si só não configuraria um crime informático, caso o bem jurídico afetado não fosse a informação automatizada.
Ocorre, no entanto, que muitos autores acabaram, por analogia, denominando crimes informáticos os delitos em que o computador serviu como instrumento da conduta. Apesar de imprópria, esta denominação tornou-se popular e hoje é impossível ignorá-la.
Aos delitos que o computador foi o instrumento para a execução do crime, mas não houve ofensa ao bem jurídico inviolabilidade de dados, ou seja, as informações contidas no computador, denominaremos Delitos Informáticos Impróprios, e como exemplo destes podemos citar os crimes contra a honra: calúnia, art. 138. CP; difamação, art. 139. CP; injúria, art. 140. CP, cometidos pelo simples envio de um e-mail.
Também são considerados crimes informáticos impróprios, que podem ser cometidos através da simples publicação em uma página na Internet a concorrência desleal, preceituado no artigo 195 da Lei n° 9.279/96, violação de direito autoral, citado no artigo 12 da Lei n° 9.609/98 e uma série de crimes eleitorais dentre ele o que se encontra capitulado no artigo. 337. da Lei n° 4.737/65.
É importante notar que em nenhum destes delitos há qualquer ofensa ao bem jurídico inviolabilidade das informações automatizadas , ainda que a execução mais complexa que o envio de e-mail, a criação e publicação de uma página simples na Internet não requer conhecimentos sofisticados em computação. Seu grau de complexidade não é superior ao uso de um editor de textos ou de uma planilha de cálculos.
Aos delitos que o bem jurídico afetado foi a inviolabilidade dos dados, chamamos de Delitos Informáticos Próprios e dentre estes destaca-se a criação e divulgação de programas de computador destrutivos, que tem como principal representante os vírus informáticos.
A palavra vírus deriva do latim e significa veneno. O termo acabou sendo usado pelas Ciências Biológicas para designar diminutos agentes infecciosos, visíveis apenas ao microscópio eletrônico, que se caracterizam por não ter metabolismo e ter a capacidade de reprodução apenas no interior de células hospedeiras vivas.
O homem criou os vírus de computador à imagem e semelhança de seus homônimos biológicos. Os vírus informáticos são programas que infectam outros programas, podendo causar variados danos aos dados armazenados no sistema e se reproduzindo a partir do hospedeiro22.
São programas extremamente pequenos, capazes de se reproduzir através de contaminação em disquetes, ou modernamente, por meio de e-mail.
Na legislação brasileira não há um tipo penal específico visando a repressão dos vírus informáticos, mas é perfeitamente possível a punição por crime de dano, mencionado no artigo 163 do CP, quando a conduta destruir, inutilizar ou deteriorar os dados armazenados no sistema computacional.
Alguns juristas nacionais entendem que os dados não podem ser considerados coisa e, portanto, não estariam protegidos pela norma. Ora, se não são coisas são o quê? Segundo consta no Dicionário Aurélio, coisa é tudo aquilo que existe ou pode existir. Se os dados existem, são coisas.
Apesar de ser perfeitamente aplicável a condenação por dano causado por vírus de computador, melhor seria que houvesse lei específica prevendo a criação e divulgação dos vírus.
Ressalta-se, no entanto, que a tipificação da criação e divulgação de vírus deve prever como elemento subjetivo do tipo o dolo específico de causar dano, pois caso contrário estar-se-ia impedindo que programadores bem intencionados criassem vírus para estudo, até mesmo como forma de criar antídotos contra outros já existentes.
Por fim, nos casos em que um Delito Informático Próprio é praticado como crime-meio para a realização de um crime-fim não informático, este acaba por receber daquele a característica de informático, razão pela qual o denominamos de Delito Informático Mediato ou Indireto.
Se alguém acessa sem autorização a home-page de um banco e transfere indevidamente dinheiro para a sua conta, estará cometendo dois delitos distintos: o acesso não autorizado à Internet e o furto; o primeiro, crime informático, e o segundo patrimonial.
O acesso não autorizado será executado como delito-meio para se poder executar o delito-fim que consiste na subtração da coisa alheia móvel.
Desta forma, o agente só será punido pelo furto, aplicando ao caso o princípio da consumação diz ZAFFARONI et PIERANGELI: “Em função do princípio da consumação, um tipo descarta outro porque consome ou exaure o seu conteúdo proibitivo, isto é, porque há um fechamento material.”23
O delito informático mediato não se confunde com o delito informático impróprio, pois aqui há lesão ao bem jurídico inviolabilidade dos dados informáticos, ainda que esta ofensa não seja punida pelo princípio da consumação.
Pode-se cita ainda como exemplo de delito informático mediato o acesso indevido a um banco de dados de uma empresa de comércio eletrônico para a aquisição de número de cartões de crédito dos clientes.
O uso posterior destes números de cartões de crédito para a realização de compras na Internet constituiria um estelionato. Aplicar-se-ia o princípio da consumação e o agente seria punido tão-somente pelo delito patrimonial.