Entra em vigor no dia 3 de abril de 2013, no Brasil, a Lei Carolina Dieckmann, número 12.737/2012, que tipifica os crimes cibernéticos (crimes informáticos). A Lei, fruto de um casuísmo, em que o inquérito policial relativo a suposta invasão do computador da atriz sequer foi concluído, e nenhuma Ação Penal intentada (porém os acusados mais que pré-julgados), passa a punir determinados delitos, como a “invasão de dispositivos informáticos”, assim dispondo especificamente: Artigo 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena — detenção, de 3 (três) meses a 1 (um) ano, e multa.
Invadir significa devassar, entrar a força. Esta “invasão” deve se dar em um dispositivo informático, que embora esteja associado a um “hardware” que armazena, trata ou processa informações ou dados, possa ter sua interpretação estendida por autoridades nos casos de invasão de ativos lógicos como um disco virtual, rede social, webmail de um serviço web ou ativos lógicos protegidos que armazenem informações (embora tais interpretações devam ser freadas pelo principio da legalidade, é o que esperamos.)
Deve-se esclarecer que a invasão, para ser criminosa, deve se dar sem a autorização expressa ou tácita do titular dos dados ou do dispositivo. Logo, o agente que faz teste de intrusão “pentest” não pode ser punido, por não estarem reunidos os elementos do crime. Caberá, no entanto, às empresas de segurança e auditoria, adaptarem seus contratos de serviços e pesquisa neste sentido, prevendo expressamente a exclusão de eventual incidência criminosa nas atividades desenvolvidas.
Já as intrusões em sistemas cujo titular não autorizou, poderão ser consideradas condutas criminosas, desde que comprovado que o agente o fez com o objetivo de obter, adulterar ou destruir dados ou informações ou instalar vulnerabilidade para obtenção de vantagem ilícita.
A questão da finalidade de “obter dados” é também polêmica. Para um grupo de juristas, a “espiada” não seria crime, só se falando em obtenção nos casos de cópia dos dados do dispositivo, ou quando o agente entra na “posse dos dados”. Para outra corrente, o simples acesso a dados (um select na tabela da vítima, por exemplo) já agride o bem jurídico protegido pelo Direito Penal, e demonstra a “intenção em obter dados” eis que já permite ao cracker, em certos casos, se beneficiar das informações, de modo que tal “contato” com os dados estaria inserido no contexto do “obter dados”, previsto no tipo penal.
É o Judiciário quem vai interpretar esta questão, porém ao contrário do que alegam alguns advogados, não é necessária a cópia dos dados para a prática do crime, pois trata-se de crime formal e de perigo abstrato, diga-se, basta a invasão com a “intenção da obtenção dos dados”. Tal fato poderá ser provado por perícia técnica.
O agente que faz o footprinting (levantamento de informações do alvo) com programas como nmap ou outro scanner, apenas para identificar se o alvo está ativo, as vulnerabilidades do sistema, portas abertas, serviços desnecessários rodando, sistema operacional, dentre outros, em tese não comete crime, pois atos preparatórios não são puníveis e o agente não chegou a dar início a invasão (ato executório).
Deste modo, quem encontra vulnerabilidade em sistema alheio, mesmo sem autorização para pesquisa, e comunica o administrador, está fazendo a “revelação responsável”, não podendo incidir nas penas o artigo 154-A, agora previsto no Código Penal. Já a prova de conceito, desenvolvida por quem descobre falha em ativo, sem autorização do titular, dependerá da apreciação pericial para se verificar como afetava o dispositivo atingido e qual foi a extensão decorrente da PoC.
É possível também se pensar na invasão tentada, onde o agente chega a executar a invasão, mas é impedido pelo time de resposta a incidentes, equipe de forense, ou IDS (Intrusion Detection System) que detecta o evento em tempo de execução. Caberá ao perito digital avaliar se os códigos executados tinham aptidão técnica para que o agente pudesse ter acesso às informações, manipulá-las ou para “instalar vulnerabilidades”(sic).
O agente que invade sistema, sem autorização, para tão somente demonstrar a insegurança e cooperar para o aprimoramento dos controles, em tese não responde pelo crime. Tal intenção poderá ser demonstrada pelas fases da sua conduta (sempre menos ofensiva à empresa ou titular do dispositivo) ou mesmo pela atuação pericial ou depoimentos, no decorrer de eventual inquérito policial ou Ação Penal.
Outras formas de acesso indevido, onde não ocorre a “invasão”, que é conduta comissiva/ativa, podem não se enquadrar no tipo penal. Assim, na engenharia social que faz com que a vitima forneça credenciais de acesso ou mesmo acesse voluntariamente determinado programa que libera o acesso a seu dispositivo, fica eliminada, em tese, a incidência do delito em comento, podendo o agente, diante do caso concreto, responder por outros delitos do Código Penal, de acordo com a extensão do dano.
Do mesmo modo, o acesso indevido feito por um agente através de protocolo RDP (Remote Desktop Protocol) ou tecnologias como Terminal Service, VNC, PCAnywhere, Logmein, dentre outras, não caracterizam invasão se o serviço de “assistência remota” foi habilitado pelo titular do dispositivo sem qualquer mecanismo de autenticação, o que equivaleria a uma “autorização tácita” do titular do dispositivo para acessos.
No que diz respeito a empresas de pesquisa e segurança da informação, a Lei tenta “imitar” os princípios da convenção de Budapeste, também punindo aquele que produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da invasão. Temos que entender ou “ler”, no intuito de permitir a prática da invasão com fins ilícitos, tal como previsto no artigo 154-A (A Convenção do Cibercrime de Budapeste recomenda até mesmo a punição de quem disponibiliza senhas para acesso a ativos de terceiros).
Assim, distribuições Linux como Backtrack, programas para invasão como sqlmap, havij, e frameworks como Metasploit, são amplamente utilizados por profissionais de segurança e empresas na consecução dos seu trabalhos, e não poderão ser confundidos, por autoridades, com por exemplo, códigos para coleta de dados de cartão de crédito, Keyloggers bancários desenvolvidos especificamente para lesar correntistas, dentre outros códigos que por sua natureza e diante do contexto do caso concreto, avaliada por perito digital, restar claro não se tratar de ferramentas usadas para “boas finalidades”.
Porém repise-se. Não é a ferramenta que define a finalidade do agente, mas o próprio agente define como usar a ferramenta, para boas ou más finalidades. Infelizmente, o legislador não pensou nesta hipótese. Caberá dose extraordinária de bom-senso às autoridades e observância às conclusões da perícia em geral para constatar que não é porque alguém é encontrado distribuindo ferramentas que permitem invasão que este alguém é um criminoso.
Para pesquisadores e profissionais que desenvolvem exploits, provas de conceito, códigos, frameworks, ferramentas de pentest, caberá à revisão das políticas de uso e distribuição dos referidos programas, fazendo menção expressa à ausência de responsabilidade do desenvolvedor diante do mau uso, consignando expressamente a finalidade lícita da criação da ferramenta.
Por fim, repise-se que a invasão, para caracterizar conduta criminosa, deve ocorrer em ativo protegido por mecanismo de segurança. Resistimos à simplicidade daqueles que entendem que basta uma senha no dispositivo para que ele esteja “protegido”, logo preenchendo os requisitos da lei. Poderemos ter a hipótese de um sistema operacional, por exemplo, Windows, com senha, mas que tem uma vulnerabilidade antiga no navegador nativo (MS11_003 por exemplo). Nesses casos a perícia deverá constatar que a despeito da senha, a máquina estava “desprotegida”, com patches desatualizados e que o titular, por sua conta e risco assim mantinha o serviço na rede em um sistema defasado.
Logo, é preciso esclarecer que nem todo o dispositivo “com senha” está com efetivo “mecanismo de segurança” e, consequentemente, nem toda invasão a dispositivo “com senha” poderá ser considerada conduta criminosa, como muitos pensam. Cada caso é um caso. Por outro lado, a lei também veio para proteger usuários comuns, pessoas físicas, logo, não se pode engessar a aplicabilidade porque tal usuário não empreendeu o “melhor” mecanismo de segurança existente para proteger seu ativo. Repise-se, cada caso deverá ter suas características e circunstâncias avaliadas pelo Judiciário, não existindo solução pronta.
Seja como for, a segurança da informação, agora, passa a ser não apenas útil para impedir que o ato potencialmente criminoso não ocorra, garantindo a disponibilidade, integridade e confidencialidade da informação, mas, em caso de invasão consumada, para que o criminoso possa responder criminalmente.
Como visto, a não conformidade em segurança da informação, agora, pode representar claramente a impunidade em casos de invasão, pois não se pode invadir o que está “aberto”, por nítida falha, negligência, imprudência ou imperícia dos contratados e que tinham o dever de garantir segurança do ativo de informação.
Por José Antonio Milagre, analista de segurança da informação e advogado especializado em Direito Tecnológico e das Telecomunicações.
Fonte: Revista Consultor Jurídico