CIBERCRIME

O termo “cibercrime” foi cunhado no final da década de 90, à medida que a Internet se disseminava pelos países da América do Norte. Um subgrupo das nações do G8 se formou após um encontro em Lyon, na França, para o estudo dos problemas da criminalidade então surgidos e promovidos via Internet ou pela migração de informações para esse meio. Este “grupo de Lyon” usava o termo para descrever, de forma muito ampla, todos os tipos de crime perpetrados na Internet ou nas novas redes de telecomunicações, que estavam cada vez mais acessíveis em termos de custo.
Ao mesmo tempo e por intervenção do grupo de Lyon, o Conselho Europeu iniciou um esboço da Convenção sobre o Cibercrime [1]. Tal convenção, que veio a público pela primeira vez em 2000, incorporou um novo conjunto de técnicas de vigilância consideradas pelas instituições encarregadas do cumprimento da lei como necessárias para se lutar contra o “cibercrime”. Como o cibercrime foi definido? A versão final dessa convenção, passada em novembro de 2001, portanto, após o evento de 11 de setembro, não apresenta uma definição para o termo. É usado como um termo muito geral para se referir aos problemas gerados com a potência cada vez maior dos computadores, o baixo custo das telecomunicações e o fenômeno da Internet, para a polícia e os órgãos de inteligência. Tal convenção descreve as diversas recomendações e áreas sujeitas à nova lei, conforme segue:
Artigo 1 - Crimes contra a confidencialidade, integridade e disponibilidade de dados de computador e sistemas.Artigo 2 - Crimes relacionados a computadores [falsificação e fraude].Artigo 3 - Crimes relacionados ao conteúdo [pornografia].Artigo 4 - Crimes relacionados à infração de da propriedade intelectual e direitos conexos.Artigo 5 - Responsabilidade subsidiária e sanções [esforço e auxílio ou responsabilização corporativa].






Cibercrime: a caixa de Pandora


As recomendações a respeito dos crimes são na verdade muito breves, pois a maior parte da convenção está associada a leis de procedimentos e de cooperação internacional. A ação penal bem-sucedida exigia novas técnicas para reunir provas, garantindo a integridade e o compartilhamento além-fronteiras. As solicitações expedidas de preservação de dados, as garantias eletrônicas, a captura de dados em tempo real e a retenção de dados de tráfego - todos significavam interferência nas liberdades civis. A confiança cada vez maior nos tratados de assistência jurídica mútua, mesmo nos casos em que não houvesse dupla incriminação, abriu a caixa de Pandora de potenciais acusações criminais que ficariam fora dos regimes em todo o mundo. Ao mesmo tempo em que a Convenção sobre o Cibercrime anunciava agora claramente os problemas inerentes à investigação criminal global, ela não tinha tocado ainda na questão dos métodos de manutenção da privacidade e dos direitos humanos.
No início, houve uma grande confusão. O cibercrime se aplicava a novos tipos de criminalidade, tais como a pornografia na Internet ou a distribuição de fotos com imagens pornográficas que violam a legislação de determinados países (porém não de todos), no que diz respeito ao material que explora a pornografia ou que a apresenta de forma inaceitável. Como a Internet não tem fronteiras, foi ficando cada vez mais fácil para os indivíduos distribuírem materiais para além da fronteira de seus países, às vezes sem mesmo deixar rastros de origem. Quebrar sistemas de computador ou exercer atividades de hacker também era considerado um novo crime, o que muitos países ainda não tinham assumido como um delito criminoso. Um dos objetivos desse Tratado sobre o Cibercrime foi estabelecer regras e um acordo para o seu cumprimento, regras estas deveriam ser seguidas pelos aderentes, a fim de se lutar contra a nova atividade criminosa de forma bem coordenada. As apostas online foram uma outra questão e o turfe virtual foi se popularizando na Internet. Embora os países apresentassem grandes variações de apreciação sobre jogos com apostas, houve um número suficiente de países desenvolvidos a contar com suas receitas em seus orçamentos governamentais ou em suas economias derivadas do turismo, para que o surgimento de concorrentes virtuais operando de paraísos fiscais se tornasse uma preocupação real.
Retenção de dados e criptografia: duas questões centrais de segurança em jogo
Antes de o tratado sobre o cibercrime surgir para a opinião pública, libertários civis em todo o mundo viviam ocupados em lutas internas contra a introdução da retenção obrigatória de dados ou a armazenagem de registros de telecomunicações e de tráfego na Internet, para fins de investigação criminal. A retenção de dados era vista como parte do pacote de controle, que o FBI tinha iniciado anos antes, nos idos de 1992, alegando ser algo necessário para se lutar contra o crime na nova “via” de informação (“information highway”, em referência às modernas rodovias americanas), como era chamada a Internet em seus primórdios. Ao longo dos anos 90, ativistas da Internet, especialistas da área técnica e empresas privadas lutaram contra a imposição de controles sobre a criptografia, incluindo esquemas com caução de chave, nos quais o governo teria uma cópia de todas as chaves criptográficas para poder mais facilmente investigar atividades criminais e procurar provas. O mais famosos desses esquemas foi o Clipper chip, de origem americana, um esquema que não propunha apenas que o governo mantivesse as chaves para a criptografia, mas também um algoritmo fechado ou proprietário, que nenhum especialista estava autorizado a ter acesso e testar. A segurança é uma batalha sem fim, com algoritmos e controles de segurança necessários para sua implementação bem-sucedida sendo atacados tão logo apresentados. Assim, a única medida de segurança em que os especialistas confiam são os sistemas expostos ao ataque e que sobreviveram ao teste. Originalmente, a criptografia era o domínio de especialistas de segurança nacional e de militares, mas se torna cada vez mais campo de estudo de civis e está vindo ao uso público.
Em 1991, o ativista pela paz e especialista em criptografia Phil Zimmerman lançou na Usenet um programa de criptografia chamado Pretty Good Privacy, o PGP, disponibilizando-o potencialmente para os países aos quais os EUA se recusassem a exportar uma forte criptografia. O governo americano iniciou uma investigação no Grande Júri que durou três anos, até que, sem provas criminais, ela foi arquivada em janeiro de 1996. Phil se tornou um herói na comunidade da Internet, uma vez que ajudou dissidentes políticos de países, como a Letônia, a criptografar sua comunicação e impedir a vigilância do Estado. Porém, durante três anos, viu-se confrontado à possibilidade de ser preso por exportar a criptografia.
Essa reserva com relação à exportação da tecnologia criptográfica persistiu por vários anos, porque era uma situação clássica em que não haveria vencedores. Certamente era verdade que, se um crime de colarinho branco pudesse ser completamente ocultado por um indivíduo com uma criptografia forte e inquebrável, também era verdade que uma empresa precisava se proteger da espionagem industrial e da interferência criminosa em seus próprios registros, utilizando-se da mesma criptografia. Por fim, o Clipper chip deixou de ser usado e os EUA e os outros países do G8 abrandaram seu controle sobre a criptografia, ao mesmo tempo em que surgiu o Tratado sobre o Cibercrime. No entanto, nessa época o clima entre os ativistas da Internet e os especialistas ficou um pouco pesado com sentimentos de desconfiança, por causa das ações governamentais para tentar acabar com a privacidade e a criptografia na Internet. A fundamental luta pelo poder tinha se estabelecido, entre o Estado, que queria poder ler tudo que vinha por meio das redes de telecomunicações, especialmente a Internet, e os indivíduos (representados pelos grupos em defesa da liberdade civil), que não achavam que o governo procurava na verdade protegê-los, mas que em vez disso tomar o poder no início da nova era de informação e instalar sistemas de vigilância que iriam proliferar e ameaçar nossas liberdades.

O cibercrime não é virtual
Então, o que é o cibercrime? Em primeiro lugar, o que é o ciberespaço? O termo foi cunhado pelo escritor de ficção científica William Gibson em 1982, tendo sido aplicado à Internet por Howard Rheingold, quando então decolou como um rótulo para essa nova infra-estrutura de comunicação. Mas, às vezes, esquecemos que ele realmente não existe. O que existe é uma rede com muitos servidores e equipamentos. As comunicações na Internet começaram a parecer efêmeras e a evaporar e, na mente das pessoas, é assim que opera a gestalt. Talvez seja por causa da fragilidade do próprio relacionamento do indivíduo comum com seus computadores e programas de mensagens eletrônicas. Quem nunca perdeu um documento por esquecer de salvá-lo ou perdeu agendas ou mensagens eletrônicas? Na verdade, um bom investigador armado de boas ferramentas pode encontrar e exumar quase tudo, porque, diferente do mundo analógico, o mundo digital deixa as informações de transação após cada bit e byte que é enviado. Como essas ferramentas e técnicas não estão disponíveis para o consumidor comum, então o conceito de ciberespaço, um tipo de hiperespaço mágico no qual os dados vêm e vão parece adequado.
Quando foram iniciados os primeiros esforços para se fazer o anteprojeto do Tratado sobre o Cibercrime, a maior parte das instituições encarregadas do cumprimento da lei também mostravam um certo atraso tecnológico. Não se sabia como investigar, como levantar provas nos computadores sem contaminá-los, como preservar os dados no caso de o proprietário ter enviado um programa para destruí-los, como rastrear a origem de uma mensagem, particularmente quando criptografada com o uso de anonymizers. Esses são problemas complexos e parte dos primeiros trabalhos dessas instituições foi um esforço para “parar a máquina” e dar atenção às suas próprias necessidades de recursos para atacar o novo problema. Dado que, em geral, é mais fácil obter novos recursos para atacar um novo problema do que melhorar os recursos antigos, não é de se surpreender que novos termos tenham sido criados. No entanto, não é claro que “cibercrime” seja um termo útil; ele poder a uma total confusão. O crime ocorre no mundo real, em geral envolvendo pessoas reais e também dinheiro real. É importante concentrar-se nesse aspecto do problema, em vez de nos aspectos efêmeros como o envio de comunicações.


Há três aspectos ligados ao “cibercrime”


Há o novo crime relacionado à quebra, invasão ou espionagem nos sistemas de computador de outras pessoas ou organizações. As opiniões diferem quanto a se olhar apenas é um crime, em especial desde os primeiros hackers [2], que logo detectavam falhas de segurança e sentiam-se cidadãos honestos, reportando-as. É claro que entrar em um sistema com intenção criminosa é uma outra questão.
Depois, há situações em que o crime é velho mas o sistema é novo, tal como nos golpes via Internet. O golpe de marketing está presente há milênios, assim como os golpes por telefone também aí estão há décadas, e agora temos a versão para a Internet. O mesmo é verdade para a pornografia e os direitos autorais.
O terceiro elemento é a investigação, em que o computador serve como um repositório de provas, estas necessárias para a acusação de qualquer crime que esteja em processo. O que costumava ser registrado em papel hoje não se registra mais senão em meio digital e pode ser destruído ou criptografado de forma remota.
Um bom cão farejador parece habitar em um universo paralelo, pode morar conosco e andar na mesma rua, mas vivencia algo totalmente diferente dos humanos, um mundo rico de informações químicas. A humanidade agora construiu um mundo em que os chips de silício geram novas informações, enviam-nas pelo mundo em fluxos eletrônico-digitais e somos incapazes de detectá-las sem a ajuda dos computadores. Por isso, esse mundo digital paralelo existe e os bits digitais compõem um novo tipo de prova. Os bits digitais também apresentam um novo tipo de risco para os indivíduos, porque uma pessoa que sabe como falsificar provas digitais pode criar uma nova personalidade digital. Esse é o quarto tipo de crime, mais sutil do que os outros e mais conhecido quando se apresenta como roubo de identidade. Se essa tendência persistir, “cibercrime” pode bem tornar-se um termo útil para descrever os crimes contra a personalidade digital.