A melhor maneira do hacker sondar quais os riscos que estará correndo durante o preparo de um PLANO DE ATAQUE e até corrigir detalhes do seu plano antes de colocá-lo em prática, é através da SONDAGEM DE CONSEQUÊNCIAS. Consiste em simular que o plano foi colocado em prática e verificar quais consequências decorreriam dali. A sondagem também poderá ser feita junto às pessoas. Como elas reagiriam diante de determinada situação? Como elas reagiriam se tivessem o E-Mail invadido? Como uma empresa reagiria se o site fosse desfigurado? Você pode ligar para diversas empresas como se estivesse fazendo uma pesquisa.
Eu liguei para o Procon do Rio de Janeiro e fiz o seguinte teste: aleguei ter sido enganado por uma loja virtual falsa, onde fiz o pagamento para receber determi- nado produto e o mesmo não me foi enviado. A atendente pediu os dados da loja, incluindo nome do responsável e endereço. Aleguei não ter nada disso, pois a loja é ‘virtual’ e eu não me preocupei em verificar se havia endereço físico da loja no site. A atendente disse então que nada o Procon poderia fazer, pois eu não pos- suía nenhuma informação da loja que permitisse a eles tomar as providencias cabíveis. E o Procon não vai em busca das provas materiais para o reclamante. Quem tem que apresentar estas provas é quem entra com a queixa.
○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Fiz outra experiência ligando para uma delegacia de bairro e contando a mesma história. O policial que me atendeu perguntou se o prejuízo era alto. Eu disse ter feito um depósito de duzentos reais. Ele sugeriu que eu deixasse isso pra lá, pois seria muito difícil reaver esse dinheiro ou localizar os responsáveis.
Liguei para mais uma delegacia, que me indicou a Especializada em Crimes de Informática. Mas também me alertou para ter mais cuidado da próxima vez, pois são crimes em que a polícia ainda tem dificuldades para coibir.
É claro que não liguei para a Especializada em Crimes de Informática. primeiro por que conheço o pessoal de lá. E também por que eles saberiam quais provi- dencias tomar e eu poderia me complicar e ser enquadrado em falsa comunicação de crime, se levasse adiante minha ‘pesquisa’.
Também consultei o Fórum (Juizado Especial de Pequenas Causas) de Nilópolis. Depois de muitas consultas a colegas e até a alguns advogados que se encontravam presentes no local (formou-se uma roda para discutir a questão), o funcionário pediu que eu conseguisse pelo menos o endereço do provedor. Sem o qual não teria como dar entrada no processo. De nada adiantou eu falar que o provedor era fora do Brasil. Também me orientou a procurar a delegacia de polícia e deixou bem claro que seria praticamente impossível conseguir o dinheiro de volta.
Vamos analisar duas situações hipotéticas:
CASO 1: o hacker invadiu a conta de E-Mail do senhor X. Como forma de goza-
ção ativou o recurso de resposta automática com um xingamento a ser enviado a cada E-Mail recebido.
DESDOBRAMENTO UM - o cidadão foi a delegacia, que por não ter meios
nem o conhecimento necessário para lidar com o episódio, apenas orientou o senhor X para entrar em contato com o provedor. Caso não resolvesse, voltar a delegacia com o maior número de informações possível.
DESDOBRAMENTO DOIS - o cidadão é pessoa influente. Entrou em con-
tato diretamente com um político local, que pressionou o delegado. Este, por sua vez, intimou o provedor a fornecer os dados da conexão. Devido a falta de meios e conhecimento da polícia para lidar com o caso, foi chamado um especialista (eu por exemplo) para ajudar na identificação e forma de ação
para se chegar ao hacker. O hacker foi enquadrado no mes- mo artigo que trata da violação de correspondência, mais danos morais e mais falsidade ideológica. E se não fosse a presença da imprensa, teria levado a mesma injeção que matou por infecção generalizada o sequestrador da filha do Sílvio Santos.
Neste exemplo hipotético do segundo desdobramento, o hacker foi tão azarado quanto o foi Kevin Mitnick ao inva-
dir o computador do Tsutomu Shimomura. Era uma ação que tinha tudo para dar em nada, mas a realidade foi outra. Sugiro que assista o filme Caçada Virtual para ter uma idéia de como foi a captura do Kevin Mitnick.
No Brasil, uma empresa ou pessoa, ao ser invadida, não pode contar muito com a polícia para chegar ao ‘culpa- do’. E mesmo que encontre este elemento, é preciso que existam provas concretas. Nosso sistema judiciário ainda está longe de poder obter provas de crimes de informática que possa incriminar alguém.
Buscando na Internet você vai encontrar vários artigos escritos por advogados de renome, dissertando sobre os
crimes de informática e de como um hacker poderá ser preso se invadir um computador. Tudo isto é besteira. A teoria é uma. A prática é outra. Advogado defende (ou acusa) tanto o culpado, como o inocente (Ôpa!). A decisão final compete ao juiz. É o juiz quem manda. Ganha quem convencer o juiz e não quem estiver certo ou errado. É triste mas é a verdade e temos que lidar com ela. E a polícia? A polícia prende até sair a decisão do juiz.
Um caso...
O editor do TI Master (www.timaster.com.br) fez a besteira de me azucrinar na lista de discussão Jornalistas da Web devido a uma DICA DA SEMANA que foi parar no E-Mail dele. Na lista formou-se uma calorosa discussão, incluindo a sugestão do editor do Infoguerra (www.infoguerra.com.br) para que o indivíduo me proces- sasse pela prática de SPAM (o infeliz achou mesmo que um processo destes fosse possível). No fim das contas o processado foi ele - o editor do TI Master, conforme pode ser visto no site do judiciário na Internet ou no Fórum de Nilópolis. O editor do Infoguerra, quando soube do processo contra o amigo de farda, calou-se como uma moça.
Não quero que pensem que estou desfazendo do judiciário e nem dizendo que uma ação hacker não vai dar em nada. Também não estou incentivando meus leitores a hackear indiscriminadamente. O que quero deixar claro é que tem mui- to teórico de salto alto, incluindo advogados, juristas e pseudoespecialistas, que aterrorizam os hackers com o alardeamento de supostas punições que na verda- de não existem. Ou por inexistência ou por inaplicabilidade ou por brechas na legislação em vigor. Faça um clipping (coleção de notícias sobre determinado as- sunto) de casos envolvendo hackers e confirmem o que eu estou dizendo. Mas tome cuidado para não virar o bode expiatório que nem o foi Kevin Mitnick.
○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ A demonstração de falta de conhecimento por parte de alguns profissionais de Direito já começa no uso equivocado da expressão crime virtual. Se é virtual não existe e se não existe não é crime. O virtual não é real. A expressão correta, ao meu ver, é crime de informática ou algo do tipo. Muitos já utilizam esta forma de expressão. Mas vamos encontrar ‘crime virtual’ em várias publicações e sites. Busquem no Google por esta palavra e poderão comprovar o que digo. Até a Módulo, uma das mais antigas empresas na área de segurança na informática, comete este deslize em vários de seus artigos.
Em meu livro Proteção e Segurança na Internet eu falo mais um pouco sobre a legis- lação pertinente aos crimes de informática, incluindo um apêndice com o que existe na legislação vigente ou Projetos de Lei e que se aplica a este tipo de crime. No site da empresa de segurança Módulo Security você encontra artigos e cole- tâneas de legislação, incluindo os mais recentes Projetos de Lei sobre crimes de informática. Vale a pena consultar o seguinte link:
www.modulo.com.br/pt/page_i.jsp?page=2&tipoid=16&pagecounter=0
Se este link estiver quebrado, acesse a página principal do site e procure pelo título Documentos -> Leis:
www.modulo.com.br
Você precisa conhecer o tipo de punição para o que pretende fazer, até pra ver se vale a pena. Em certa ocasião, em uma destas confusões de trocar e renovar o título de leitor, soube que se não o fizesse no prazo pagaria uma multa de seis reais. Preferi ficar em casa...