O termo “cibercrime” foi cunhado no final da década de 90, à medida que a Internet se disseminava pelos países da América do Norte. Um subgrupo das nações do G8 se formou após um encontro em Lyon, na França, para o estudo dos problemas da criminalidade então surgidos e promovidos via Internet ou pela migração de informações para esse meio. Este “grupo de Lyon” usava o termo para descrever, de forma muito ampla, todos os tipos de crime perpetrados na Internet ou nas novas redes de telecomunicações, que estavam cada vez mais acessíveis em termos de custo.

Ao mesmo tempo e por intervenção do grupo de Lyon, o Conselho Europeu iniciou um esboço da Convenção sobre o Cibercrime [1]. Tal convenção, que veio a público pela primeira vez em 2000, incorporou um novo conjunto de técnicas de vigilância consideradas pelas instituições encarregadas do cumprimento da lei como necessárias para se lutar contra o “cibercrime”. Como o cibercrime foi definido? A versão final dessa convenção, passada em novembro de 2001, portanto, após o evento de 11 de setembro, não apresenta uma definição para o termo. É usado como um termo muito geral para se referir aos problemas gerados com a potência cada vez maior dos computadores, o baixo custo das telecomunicações e o fenômeno da Internet, para a polícia e os órgãos de inteligência. Tal convenção descreve as diversas recomendações e áreas sujeitas à nova lei, conforme segue:

Artigo 1 - Crimes contra a confidencialidade, integridade e disponibilidade de dados de computador e sistemas.

Artigo 2 - Crimes relacionados a computadores [falsificação e fraude].

Artigo 3 - Crimes relacionados ao conteúdo [pornografia].

Artigo 4 - Crimes relacionados à infração de da propriedade intelectual e direitos conexos.

Artigo 5 - Responsabilidade subsidiária e sanções [esforço e auxílio ou responsabilização corporativa].

Cibercrime: a caixa de Pandora

As recomendações a respeito dos crimes são na verdade muito breves, pois a maior parte da convenção está associada a leis de procedimentos e de cooperação internacional. A ação penal bem-sucedida exigia novas técnicas para reunir provas, garantindo a integridade e o compartilhamento além-fronteiras. As solicitações expedidas de preservação de dados, as garantias eletrônicas, a captura de dados em tempo real e a retenção de dados de tráfego - todos significavam interferência nas liberdades civis. A confiança cada vez maior nos tratados de assistência jurídica mútua, mesmo nos casos em que não houvesse dupla incriminação, abriu a caixa de Pandora de potenciais acusações criminais que ficariam fora dos regimes em todo o mundo. Ao mesmo tempo em que a Convenção sobre o Cibercrime anunciava agora claramente os problemas inerentes à investigação criminal global, ela não tinha tocado ainda na questão dos métodos de manutenção da privacidade e dos direitos humanos.

No início, houve uma grande confusão. O cibercrime se aplicava a novos tipos de criminalidade, tais como a pornografia na Internet ou a distribuição de fotos com imagens pornográficas que violam a legislação de determinados países (porém não de todos), no que diz respeito ao material que explora a pornografia ou que a apresenta de forma inaceitável. Como a Internet não tem fronteiras, foi ficando cada vez mais fácil para os indivíduos distribuírem materiais para além da fronteira de seus países, às vezes sem mesmo deixar rastros de origem. Quebrar sistemas de computador ou exercer atividades de hacker também era considerado um novo crime, o que muitos países ainda não tinham assumido como um delito criminoso. Um dos objetivos desse Tratado sobre o Cibercrime foi estabelecer regras e um acordo para o seu cumprimento, regras estas deveriam ser seguidas pelos aderentes, a fim de se lutar contra a nova atividade criminosa de forma bem coordenada. As apostas online foram uma outra questão e o turfe virtual foi se popularizando na Internet. Embora os países apresentassem grandes variações de apreciação sobre jogos com apostas, houve um número suficiente de países desenvolvidos a contar com suas receitas em seus orçamentos governamentais ou em suas economias derivadas do turismo, para que o surgimento de concorrentes virtuais operando de paraísos fiscais se tornasse uma preocupação real.

Retenção de dados e criptografia: duas questões centrais de segurança em jogo

Antes de o tratado sobre o cibercrime surgir para a opinião pública, libertários civis em todo o mundo viviam ocupados em lutas internas contra a introdução da retenção obrigatória de dados ou a armazenagem de registros de telecomunicações e de tráfego na Internet, para fins de investigação criminal. A retenção de dados era vista como parte do pacote de controle, que o FBI tinha iniciado anos antes, nos idos de 1992, alegando ser algo necessário para se lutar contra o crime na nova “via” de informação (“information highway”, em referência às modernas rodovias americanas), como era chamada a Internet em seus primórdios. Ao longo dos anos 90, ativistas da Internet, especialistas da área técnica e empresas privadas lutaram contra a imposição de controles sobre a criptografia, incluindo esquemas com caução de chave, nos quais o governo teria uma cópia de todas as chaves criptográficas para poder mais facilmente investigar atividades criminais e procurar provas. O mais famosos desses esquemas foi o Clipper chip, de origem americana, um esquema que não propunha apenas que o governo mantivesse as chaves para a criptografia, mas também um algoritmo fechado ou proprietário, que nenhum especialista estava autorizado a ter acesso e testar. A segurança é uma batalha sem fim, com algoritmos e controles de segurança necessários para sua implementação bem-sucedida sendo atacados tão logo apresentados. Assim, a única medida de segurança em que os especialistas confiam são os sistemas expostos ao ataque e que sobreviveram ao teste. Originalmente, a criptografia era o domínio de especialistas de segurança nacional e de militares, mas se torna cada vez mais campo de estudo de civis e está vindo ao uso público.

Em 1991, o ativista pela paz e especialista em criptografia Phil Zimmerman lançou na Usenet um programa de criptografia chamado Pretty Good Privacy, o PGP, disponibilizando-o potencialmente para os países aos quais os EUA se recusassem a exportar uma forte criptografia. O governo americano iniciou uma investigação no Grande Júri que durou três anos, até que, sem provas criminais, ela foi arquivada em janeiro de 1996. Phil se tornou um herói na comunidade da Internet, uma vez que ajudou dissidentes políticos de países, como a Letônia, a criptografar sua comunicação e impedir a vigilância do Estado. Porém, durante três anos, viu-se confrontado à possibilidade de ser preso por exportar a criptografia.

Essa reserva com relação à exportação da tecnologia criptográfica persistiu por vários anos, porque era uma situação clássica em que não haveria vencedores. Certamente era verdade que, se um crime de colarinho branco pudesse ser completamente ocultado por um indivíduo com uma criptografia forte e inquebrável, também era verdade que uma empresa precisava se proteger da espionagem industrial e da interferência criminosa em seus próprios registros, utilizando-se da mesma criptografia. Por fim, o Clipper chip deixou de ser usado e os EUA e os outros países do G8 abrandaram seu controle sobre a criptografia, ao mesmo tempo em que surgiu o Tratado sobre o Cibercrime. No entanto, nessa época o clima entre os ativistas da Internet e os especialistas ficou um pouco pesado com sentimentos de desconfiança, por causa das ações governamentais para tentar acabar com a privacidade e a criptografia na Internet. A fundamental luta pelo poder tinha se estabelecido, entre o Estado, que queria poder ler tudo que vinha por meio das redes de telecomunicações, especialmente a Internet, e os indivíduos (representados pelos grupos em defesa da liberdade civil), que não achavam que o governo procurava na verdade protegê-los, mas que em vez disso tomar o poder no início da nova era de informação e instalar sistemas de vigilância que iriam proliferar e ameaçar nossas liberdades.

O cibercrime não é virtual

Então, o que é o cibercrime? Em primeiro lugar, o que é o ciberespaço? O termo foi cunhado pelo escritor de ficção científica William Gibson em 1982, tendo sido aplicado à Internet por Howard Rheingold, quando então decolou como um rótulo para essa nova infra-estrutura de comunicação. Mas, às vezes, esquecemos que ele realmente não existe. O que existe é uma rede com muitos servidores e equipamentos. As comunicações na Internet começaram a parecer efêmeras e a evaporar e, na mente das pessoas, é assim que opera a gestalt. Talvez seja por causa da fragilidade do próprio relacionamento do indivíduo comum com seus computadores e programas de mensagens eletrônicas. Quem nunca perdeu um documento por esquecer de salvá-lo ou perdeu agendas ou mensagens eletrônicas? Na verdade, um bom investigador armado de boas ferramentas pode encontrar e exumar quase tudo, porque, diferente do mundo analógico, o mundo digital deixa as informações de transação após cada bit e byte que é enviado. Como essas ferramentas e técnicas não estão disponíveis para o consumidor comum, então o conceito de ciberespaço, um tipo de hiperespaço mágico no qual os dados vêm e vão parece adequado.

Quando foram iniciados os primeiros esforços para se fazer o anteprojeto do Tratado sobre o Cibercrime, a maior parte das instituições encarregadas do cumprimento da lei também mostravam um certo atraso tecnológico. Não se sabia como investigar, como levantar provas nos computadores sem contaminá-los, como preservar os dados no caso de o proprietário ter enviado um programa para destruí-los, como rastrear a origem de uma mensagem, particularmente quando criptografada com o uso de anonymizers. Esses são problemas complexos e parte dos primeiros trabalhos dessas instituições foi um esforço para “parar a máquina” e dar atenção às suas próprias necessidades de recursos para atacar o novo problema. Dado que, em geral, é mais fácil obter novos recursos para atacar um novo problema do que melhorar os recursos antigos, não é de se surpreender que novos termos tenham sido criados. No entanto, não é claro que “cibercrime” seja um termo útil; ele poder a uma total confusão. O crime ocorre no mundo real, em geral envolvendo pessoas reais e também dinheiro real. É importante concentrar-se nesse aspecto do problema, em vez de nos aspectos efêmeros como o envio de comunicações.

Há três aspectos ligados ao “cibercrime”

Há o novo crime relacionado à quebra, invasão ou espionagem nos sistemas de computador de outras pessoas ou organizações. As opiniões diferem quanto a se olhar apenas é um crime, em especial desde os primeiros hackers [2], que logo detectavam falhas de segurança e sentiam-se cidadãos honestos, reportando-as. É claro que entrar em um sistema com intenção criminosa é uma outra questão.

Depois, há situações em que o crime é velho mas o sistema é novo, tal como nos golpes via Internet. O golpe de marketing está presente há milênios, assim como os golpes por telefone também aí estão há décadas, e agora temos a versão para a Internet. O mesmo é verdade para a pornografia e os direitos autorais.

O terceiro elemento é a investigação, em que o computador serve como um repositório de provas, estas necessárias para a acusação de qualquer crime que esteja em processo. O que costumava ser registrado em papel hoje não se registra mais senão em meio digital e pode ser destruído ou criptografado de forma remota.

Um bom cão farejador parece habitar em um universo paralelo, pode morar conosco e andar na mesma rua, mas vivencia algo totalmente diferente dos humanos, um mundo rico de informações químicas. A humanidade agora construiu um mundo em que os chips de silício geram novas informações, enviam-nas pelo mundo em fluxos eletrônico-digitais e somos incapazes de detectá-las sem a ajuda dos computadores. Por isso, esse mundo digital paralelo existe e os bits digitais compõem um novo tipo de prova. Os bits digitais também apresentam um novo tipo de risco para os indivíduos, porque uma pessoa que sabe como falsificar provas digitais pode criar uma nova personalidade digital. Esse é o quarto tipo de crime, mais sutil do que os outros e mais conhecido quando se apresenta como roubo de identidade. Se essa tendência persistir, “cibercrime” pode bem tornar-se um termo útil para descrever os crimes contra a personalidade digital.

A personalidade digital

O que é a personalidade digital? Esse é um termo útil? A expressão foi usada na última década pelo menos, para descrever a impressão deixada por uma pessoa na Internet. Dr. Roger Clarke a descreveu bem no resumo de um dos primeiros artigos a respeito [3]

A personalidade digital é um modelo do indivíduo, o qual é estabelecido por meio da coleta, armazenagem e análise de seus dados. É um conceito muito útil e também necessário para chegar a compreender o comportamento do novo mundo interligado em rede. Este artigo apresenta a noção geral, rastreia suas origens e dá exemplo de sua aplicação. Sugere que a compreensão de muitos aspectos do comportamento em rede será facilitada ou aprimorada com o uso desse conceito.

A personalidade digital é também um fenômeno potencialmente ameaçador, degradante e talvez até mesmo socialmente perigoso. Uma área na qual seu lado mais ameaçador deve ser levado em consideração é a da vigilância de dados, isto é, o monitoramento de pessoas por meio de seus dados. A vigilância de dados é um meio economicamente eficiente de exercer o controle sobre o comportamento de indivíduos e sociedades. Discute-se a maneira pela qual a personalidade digital contribui para o entendimento de determinadas técnicas de vigilância de dados, tais como perfil e identificação de computadores, delineiam-se assim os riscos inerentes à monitoração das personalidades digitais.

Onze anos depois, chegamos perigosamente perto do ponto a que ele se referiu. Clarke identifica a personalidade digital como uma construção útil para o entendimento da sombra que deixamos no mundo digital do ciberespaço e faz a distinção entre personalidades passivas, ativas e autônomas. Ele a define como: a personalidade digital é um modelo da personalidade pública de, baseado nos dados informatizados, e mantido por transações, se destinando a servir de substituto para o indivíduo.

Úteis como uma construção para identificar indivíduos com o propósito de se referir a eles (como exemplo, os endereços eletrônicos), ou para identificá-los como pessoas autorizadas a desempenhas funções (pagar contas online, organizar viagens), os bits desenvolveram logo uma série de hábitos e personalidades tão reais quanto os seres humanos que estão por trás deles. Os governos e as empresas agora contam com essas personalidades como uma “forma de conhecer seu consumidor” e provas ou personalidades eletrônicas logo se tornaram ainda mais verdadeiras do que os indivíduos que as animam. No entanto, as falhas de segurança agora demonstram como essa confiança pode ser mal empregada. O “phishing” [4] e os ataques de “pharming”, ou o envenenamento de mensagens eletrônicas e sítios Web levam pessoas a dar informações pessoais via Internet, que então serão utilizadas pelos fraudadores para persuadir uma empresa, o governo ou o banco de que eles são a pessoa em questão. Ainda mais sofisticados no ambiente atual, os ladrões estão também colocando amálgamas de dados para criar perfis pessoais fictícios, ainda que prováveis.

Fora do ciberespaço, pode haver qualquer uma dessas criações em funcionamento, em geral com fins criminosos, mas nem sempre. Colocando-se como crianças em salas de bate-papo virtual, policiais conseguem pegar aliciadores de menores. Compradores misteriosos estão testando os serviços de atendimento ao consumidor. Adultos em todo o mundo estão criando personalidades em sites da Internet de busca de parceiros, para ocultar sua verdadeira identidade até alcançarem o nível de confiança desejado com os estranhos com quem conversam.

À medida que nos encaminhamos para um mundo no qual a vigilância digital dos seres humanos está crescendo exponencialmente, questionar o rumo sendo tomado. Em breve, chips RFID nas roupas que usamos e nos nossos cartões de identidade farão a comunicação com o ambiente em que habitamos, assim como transmissores embutidos rastrearão nossos movimentos. Se alguém conseguir interferir nessas pistas com sucesso, um ser humano real lutará na justiça com uma personalidade digital, cuidadosamente construída fora do controle do indivíduo interessado. Tentativas de ligar essas pistas ao indivíduo por meio do uso de biométricas podem resolver o problema ou podem na verdade piorá-lo. Especialistas em liberdade civil se preocupam com o abuso das leitoras biométricas no nosso dia-a-dia, argumentando que elas não são confiáveis e produzem muitos resultados falsos, tanto positivos quanto negativos. Um recente experimento para “enganar” as leitoras de impressões digitais, retirando as digitais de uma pessoa e aplicando-as em dedos falsos modelados em gel, confirmou essa suspeita, mas contribuiu pouco para frear a disseminação dos sistemas [5].

Roger Clarke, em seu artigo sobre a personalidade digital, apontou a construção junguiana do ser, com a anima voltada para dentro com face para o inconsciente e a persona, com face para o mundo. À medida que a personalidade digital cresce em importância social e econômica, ela atrai a atenção de criminosos. Frente à luta digital corpo-a-corpo pelo controle da própria personalidade individual, para não deixá-la nas mãos do mercado ou dos criminosos, o que está acontecendo com a anima? Na verdade, o indivíduo é forçado a se desassociar de sua personalidade, apenas para lidar com as expectativas de uma vigilância e de uma ameaça constantes, que estamos agora sofrendo e que não trazem bons presságios para nossa saúde coletiva.

27 de Fevereiro de 2006

couverture du livre enjeux de mots Este texto é extraído do livro Desafios de Palavras: Enfoques Multiculturais sobre as Sociedades da Informação. Coordenado por Alain Ambrosi, Valérie Peugeot e Daniel Pimienta, este livro foi publicado em 5 de novembro de 2005 por C & F Éditions.

O texto é publicado por licença Creative Commons Atribuição; não é autorizado uso comercial.

O conhecimento deve ser dado em acesso livre... Porém, ao mesmo tempo, os autores e editores necessitam fundos para continuar seu trabalho. Caso disponha dos meios necessários, encomende o livro em linha (39 EUR).

O cibercrime 21 de Novembro de 2009, por Piva

Excelente texto.Trouxe de forma sucinta e eficaz, os rumos positivos e negaticvos que as novas tecnologias de comunicação, em especial a internet, trouxeram com seus avanços.