Agência de Notícias

Audiodescrição de imagem: uma palestrante fala a público de juízes, ministros e militares reunidos em auditório. Audiodescrição de imagem: uma palestrante fala a público de juízes, ministros e militares reunidos em auditório.
02/05/2022

Crimes Cibernéticos: provedores do Brasil não conseguem mais identificar cibercriminosos pelo endereço IP

A Escola Nacional de Formação e Aperfeiçoamento de Magistrados da Justiça Militar da União (Enajum) iniciou, nesta segunda-feira (2),  o “Simpósio sobre Crimes Cibernéticos no Contexto da Justiça Militar da União (JMU)”.

O evento, contextualizado na expansão dos crimes cibernéticos no cenário contemporâneo, está sendo feito na modalidade presencial, na sede da Escola, em Brasília (DF). A coordenação científica é do ministro Carlos Vuyk de Aquino, do juiz federal Alexandre Augusto Quintas e, ainda, dos promotores de Justiça do Ministério Público do Rio de Janeiro Sauvei Lai e Pedro Borges Mourão Sá Tavares de Oliveira. Na plateia, ministros do Superior Tribunal Militar (STM), juízes federais e servidores da Justiça Militar da União. O evento foi aberto pelo presidente do STM, ministro Luis Carlos Gomes Mattos.

A palestra de abertura coube à procuradora regional eleitoral e coordenadora-adjunta do Grupo de Apoio sobre Crimes Cibernéticos  (GACC) da Câmara Criminal do Ministério Público  Federal Neide Cardoso de Oliveira, umas da maiores  especialista do Ministério Público Federal em direito cibernético.

Segundo a procuradora Neide Cardoso, um dos maiores desafios das autoridades brasileiras, ao investigar crimes digitais, é hoje rastrear o protocolo IP, uma espécie de assinatura individual de cada usuário da Internet.  Ela afirma que boa parte dos países civilizados aboliram o antigo protocolo IP, na versão 4 (IPv4), escrito como uma sequência de dígitos de 32 bits,  e que  migraram para uma versão maior e mais atualizada o IPv6.

No Brasil, os provedores foram obrigados a fazer estas mudanças até 2015, quando os antigos IPv4 ficaram indisponíveis. Mas as empresas demoraram a buscar a nova tecnologia por ser muito dispendiosa. Quando não havia mais jeito, sob pena de perderam inclusive chamadas telefônicas, tentaram migrar. Mas já não havia IPv6 disponíveis. Os provedores, então,  partiram para usar um sistema capaz de compartilhar um só IPv6 por mais de 100 pessoas, de forma simultânea, através de uma versão de porta lógica, chamada de Nat44.  

Isso, segundo a procuradora, dificultou muito o rastreamento dos criminosos que usam a internet. Antes, o IP era individualizado, identificando hora, minutos e segundos e o usuário daquele endereço eletrônico. Hoje pode haver mais de 100 usuários usando o mesmo IP. “Isso nos obriga a fazer uma série de outras ingerências para identificar o verdadeiro autor da ação criminosa”, afirma. Para produzir provas digitais, além dos IPs, os investigadores também usam dezenas de outras ferramentas, como  a geolocalização do celular ou imagens de câmera de segurança para comprovação válida.

Os crimes mais comuns catalogados pelas autoridades federais de infratores digitais, os chamados crimes digitais próprios, são a fraude bancária, a supressão de dados, a invasão de dispositivos, a troca de conteúdos de pornografia infantil, o ciberterrorismo, ameaça, ciber bullying, pornografia de vingança, crimes de ódio, incitação e apologia ao crime, a injúria racial, venda ilegal de medicamentos e os crimes contra a propriedade intelectual.

A procuradora citou ainda outro crime muito comum no Brasil e em outras partes do mundo que é ransomware, em especial em ataques contra órgãos públicos ou a grandes empresas e instituições. O ransomware é um malware que criptografa arquivos importantes no armazenamento local e de rede e exige um resgate para descriptografar os arquivos. Os atacantes desenvolvem esse malware (software malicioso) para ganhar dinheiro com extorsão digital, cobrados em moedas digitais para dificultar o rastreamento dos invasores. No país, a autoridades brasileiras tentam punir este tipo de crime como extorsão, relativamente muito mais grave do que aquele previsto na Lei nº 12.737/2012, dispositivo criado após o episódio envolvendo a subtração de arquivos privados da atriz Carolina Dieckmann.

Neste dispositivo, a conduta é “invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de (…) instalar vulnerabilidades para obter vantagem ilícita” (CP, art. 154-A). A pena é de detenção de 3 meses a 1 ano e multa. A sanção é aumentada de 1/6 a 1/3 se da invasão resultar prejuízo econômico (§2º). Trata-se de crime cujo processamento depende de representação da vítima (CP, art. 154-B).

A extorsão, por outro lado, é “constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa” (CP, art. 158). Este é um crime grave, cuja pena implica prisão, com pena de 4 a 10 anos e multa.

Inovação

Antes de finalizar sua apresentação, a procuradora Neide Cardoso trouxe uma inovação brasileira que tem sido adaptada para outros países, que é o uso do código hash como prova inequívoca. Conforme Neide Cardoso, um simples print de uma tela de um computador ou de uma mensagem de Whatsaap, por exemplo, não têm valor algum como prova de crime digital, imagens que podem ser facilmente burladas ou adulteradas. O que está sendo usado para comprovação são os códigos hash. Ele é gerado por um analista em TI ou por um software que identifica fielmente a página usada pelo infrator. “Se uma vírgula for alterada de endereço da página não se pode gerar este código. Sua adulteração é impossível”, diz ela.

E são estes códigos que os provedores dispõem e são obrigados a preservar. Mas o conteúdo da página, infelizmente, a lei brasileira não obriga a sua preservação. Por isso, há enormes desafios para as autoridades nacionais em obter e levar ao Poder Judiciário as provas de determinados cibercrimes, sem contar as empresas especializadas em “anonimização”, que fazem registro terceirizado de sites. “Mesmo estas, que mantém os dados do real proprietário, têm obrigação de guardar os dados. Mas tudo a partir de ordem judicial”, disse a procuradora.

A jornada deste primeiro dia do “Simpósio sobre Crimes Cibernéticos no Contexto da Justiça Militar da União (JMU)” foi encerrada com a palestra do advogado e especialista em segurança da Tecnologia da Informação, o doutorando Frank Ned Santa Cruz, que contextualizou os crimes cibernéticos junto aos prejuízos causados à sociedade e, pela tarde, com os promotores de Justiça do Ministério Público do Rio de Janeiro Sauvei Lai e Pedro Borges Mourão Sá Tavares de Oliveira. 

A palestra dos promotores abordaram a Convenção de Budapeste, um tratado internacional que amarrou o enfretamento internacional na guerra contra os cibercrimes. A convenção foi assinada pelos países em 2001. 

Somente duas décadas depois, em 2021, que o Brasil fez sua adesão ao tratado. "Um atraso enorme, que hoje corremos atrás para nos ajustar, com muitas dificuldades e desafios gigantescos", disse o promotor Sauvei Lai.

 

WhatsApp Image 2022 05 02 at 12.40.29

WhatsApp Image 2022 05 02 at 12.40.27

 

Mais nesta categoria