Brasil em plena Copa do Mundo de 2014. Um ataque de hackers e crackers deixa milhares de pessoas sem acesso a cartões de crédito e a serviços bancários. Sites oficiais fora do ar. Pane no sistema de energia. Se isso ocorresse, a repercussão social e o prejuízo à imagem do país seriam enormes. O episódio de junho, quando invasores derrubaram sites governamentais, embora sem maiores consequências, serviu de alerta para uma ameaça real. Para prevenir incidentes mais graves em meio aos megaeventos dos próximos anos, a Polícia Federal antecipou os planos para criação de uma coordenação específica para reprimir crimes cibernéticos, com delegacias em cada Estado.
De acordo com o chefe da Unidade de Repressão a Crimes Cibernéticos da Polícia Federal, delegado Carlos Eduardo Miguel Sobral, até 2013 tudo estará em pleno funcionamento. Atualmente, dez pessoas trabalham na formatação do projeto, que é considerado prioritário pela Direção-Geral. A ideia é transformar os atuais grupos de combate a fraudes eletrônicas em delegacias de repressão a crimes cibernéticos. As unidades atuariam tanto na investigação de hackers, em crimes de alta tecnologia, quanto no combate a fraudes bancárias eletrônicas, o que já é feito atualmente com o Projeto Tentáculos de forma bastante efetiva (veja quadro ao final).
A previsão é que sejam investidos R$ 15 milhões em cinco projetos, que envolvem a estruturação, a compra de equipamentos, a capacitação e o desenvolvimento de soluções tecnológicas. Cada delegacia terá oito policiais: um delegado, um escrivão, quatro agentes e dois peritos, o que é considerado um bom número, de acordo com o delegado Sobral. Para buscar o que há de mais moderno no mundo e ver o que melhor se adéqua ao Brasil, a Polícia Federal já identificou os países que estão na vanguarda do combate aos crimes cibernéticos. A instituição estuda as experiências da Espanha, da Correia do Norte, dos Estados Unidos (FBI) e da Inglaterra (Scotland Yard).
|ORÁCULO. Além das fraudes eletrônicas bancárias, a Polícia Federal também investiga incidentes nas redes do Governo Federal por meio do Projeto Oráculo. A atuação é conjunta com o Departamento de Segurança da Informação e Comunicações (DSIC), órgão subordinado ao Gabinete de Segurança Institucional da Presidência da República. O DSIC é o responsável por planejar e coordenar a execução de atividades de segurança cibernética na administração pública federal. Quando ocorre algum ataque ou tentativa, o DSIC informa à PF para apurar.
De acordo com o diretor do DSIC, Raphael Mandarino, o ataque de junho não foi dos mais sérios, apesar da grande repercussão na mídia. “Do ponto de vista de defesa, foi uma brincadeira de criança”, assegurou. Mandarino explica que houve foi um ataque de negação de serviço a sites governamentais, que funciona mais ou menos como “entupir um canal”. Imagine uma cidade que acorda sem ônibus, carro ou taxi e todos precisam se deslocar unicamente por metrô. Apesar de os trilhos e os vagões estarem lá, o usuário não conseguirá ser atendido, pois não cabe todo mundo. De acordo com o diretor do DSCI, foi isso que ocorreu no Brasil. E não existe defesa prévia para esse tipo de investida. O que se pode fazer é desviar o tráfico ou diminuir o atendimento a essas requisições para que o servidor não ficar sobrecarregado.
“Infelizmente, os atacantes jogam com as pedras brancas [analogia com as regras do xadrez], sempre saem na frente e temos que correr atrás”, afirma Mandarino. A resposta ao incidente pode ser rápida no sentido de fechar a fragilidade, mas a investigação se prolonga por muito tempo. Sem legislação adequada, muitas vezes a PF não tem as ferramentas necessárias para atuar e depende da boa vontade dos provedores para obter alguma informação.
O Governo Federal possui 320 grandes redes para monitorar, segundo Mandarino. Isso parece pouco, mas não é. Por exemplo, toda a Defesa, incluindo Exército, Marinha e Aeronáutica, é considerada uma única rede. Esses ambientes sofrem de seis a sete milhões de incidentes por ano. Desse montante, o que realmente preocupa é 1% dos casos, que são as tentativas sérias de furtos de dados. Isso representa uma média de dois mil ataques graves por hora nessas 320 redes, que partem de organizações criminosas ou de grupos de hackers mal-intencionados. Por mês, o DSIC analisa 200 novos malwares que ainda não são identificados por antivírus.
|NÃO TEM PREÇO. Os prejuízos à Nação são imensuráveis quando um ataque desses é bem-sucedido. O diretor do DSIC questiona, por exemplo, o valor de uma informação prévia da reunião do Comitê de Política Monetária ou de indicadores da política industrial nacional (que estava sendo anunciada no dia da entrevista). “Temos que evitar que essas informações sensíveis de Estado circulem e possam ser acessadas por pessoas com interesses específicos”, afirma Mandarino.
Nas fraudes eletrônicas convencionais os criminosos capturam os dados das vítimas por meio da clonagem de cartões de crédito, com equipamentos conhecidos como “chupas-cabras”, ou pelo internet bank, com programas do tipo “fishing”. Entretanto, o que mais tem preocupado a Polícia Federal é a invasão de base de dados corporativos. Em vez de capturar os dados de cartões e contas de maneira artesanal, o hacker invade a base de dados de uma empresa e rouba milhares de dados de uma só vez.
Foi o que ocorreu recentemente com a Sony. Hackers invadiram sua rede virtual com 77 milhões de usuários do videogame Playstation. O ataque deve custar à empresa R$ 37,7 bilhões, segundo estimativa do Instituto Americano Ponemon, especializado em pesquisa de segurança de dados. De acordo com o delegado Sobral, esse tipo de crime será foco da futura coordenação e delegacias de repressão aos crimes cibernéticos.
|MARCO CIVIL X LEI AZEREDO. Não há um perfil único dos criminosos que atacam as redes brasileiras. Tem de tudo. Mas o diretor do DSIC, Raphael Mandarino, faz questão de enfatizar que “hacker é bandido” e deve ser tratado dessa forma. O diretor do DSIC lamenta que as discussões sobre o tema estejam travadas no Congresso, onde as discussões se arrastam há pelo menos 12 anos. O delegado Sobral, por sua vez, destaca quatro condutas que ainda precisam ser tipificadas: a produção e a distribuição de código malicioso; a invasão de base de dados; a destruição de dados; e a interrupção de serviços.
Em tramitação na Câmara dos Deputados há mais de uma década, o Projeto de Lei 84/99, que tipifica 11 crimes de alta tecnologia no Código Penal brasileiro, não encontra consenso para aprovação. Ativistas da internet livre afirmam que o projeto prejudica a privacidade. Além disso, dizem que a proposta poderá criminalizar práticas corriqueiras e cotidianas de usuários. Por outro lado, os que defendem a aprovação rápida do texto, justificam que alguns crimes que vêm sendo cometidos pela internet seguem sem punição.
Antes de votar o PL 84/99, de autoria do ex-senador, hoje deputado federal Eduardo Azeredo (PSDB-MG), o Governo quer emplacar o PL 2.126/2011, que cria o marco civil da internet, com direitos, deveres e responsabilidades de internautas, empresas, governo e Judiciário. Enquanto o marco civil regulamenta o uso da rede e a Lei Azeredo tipifica crimes cometidos pela internet e estabelece punições.
Os defensores do marco partem da premissa de que a primeira lei sobre a internet no Brasil deve ser garantidora de direitos e não criminalizante. No entanto, para juristas, antes de discutir a regulação da internet, é necessário avançar na tipificação dos crimes virtuais, para evitar decisões judiciais controversas.
O diretor do DSIC, Raphael Mandarino, faz questão de enfatizar que a PF tem avançado com as investigações e as prisões, tentando enquadrar os culpados por analogia com a legislação existente. Entretanto, isso nem sempre é possível dado às especificidades do crime virtual.
Mandarino exemplifica que a pichação de uma página na internet não pode ser comparada a pichação de uma casa. “Se você picha o site de uma empresa conceituada, afeta a imagem dessa organização; não é uma simples pichação”, justifica. O diretor do DSIC lembra ainda todo o gasto que será feito para identificar os culpados. “Não basta dar uma mão de tinta na porta”, pondera.
Enquanto autoridades e especialistas discutem o que vem primeiro, se o ovo ou a galinha, a internet segue solta, sem regras. Um ambiente profícuo para a atuação de criminosos.
