Mundo virtual: um novo campo de batalha para as polícias

A TechBiz Forense Digital conversou com Vito Cuscianna, perito da polícia federal italiana, para aprender um pouco sobre como a Itália está lidando com a crescente incidência de crimes digitais. Entre outras coisas, a conversa revelou que a legislação italiana sobre crimes cibernéticos é bastante detalhada e abrange quase todos os comportamentos criminosos. Também apresentou a importância do CNAIPIC, criado em 2008 para proteger as infraestruturas digitais críticas para a nação. Segundo Vito, o uso das novas tecnologias e a criação de um mercado virtual baseado no uso de dinheiro eletrônico representam um novo campo de batalha entre as Polícias de todo o mundo e terroristas e agentes do crime organizado. Vale a pena ler a entrevista completa.

Qual é a importância do CNAIPIC (Centro Nacional Anti-crime Informatico para a Proteção das Infra-estruturas Criticas) para a pesquisa e o combate ao cibercrime? 

VC - O CNAIPIC é uma unidade especializada da Polizia di Stato - Polizia delle Comunicazioni (Polícia Italiana especializada no combate aos crimes cibernéticos), responsável pela prevenção e repressão de crimes cibernéticos que podem afetar as infraestruturas informáticas críticas de importância nacional. São sistemas e serviços informáticos cuja interrupção, ainda que parcial, pode comprometer a eficiência operacional e a segurança do País. Por exemplo, os sistemas que garantem o abastecimento de água, gás, electricidade, os serviços de transportes e telecomunicações, saúde, segurança, instituições e entidades que gerenciam as atividades nevrálgicas de um País. A importância do CNAIPIC na proteção das Infraestruturas Críticas é a capacidade de gerenciamento global de um ataque cibernético, desde a prevenção até a repressão. Assim podemos fornecer uma resposta em tempo real para a mitigação do ataque às infraestruturas críticas nacionais. A velocidade de resposta é essencial para a conservação dos recursos a serem protegidos e também para a identificação dos culpados. Nesse campo as investigações são muito difíceis porque a maioria dos ataques não é dirigida a objetivos específicos, mas são lançados indiscriminadamente, justamente por isso agilidade na investigação é fundamental.

Em julho de 2011, o Anonymous alguns documentos confidenciais do CNAIPIC. Como a polícia e o governo italiano lidaram com esse ataque?

VC - A divulgação na Internet de alguns documentos subtraídos dos sistemas informáticos do CNAIPIC ocorreu em julho de 2011 e está ainda sob investigação para o esclarecimento dos fatos. Na verdade, o grupo de hackers "Anonymous" em primeiro lugar afirmou ser o responsável pelo ataque, mas logo depois se dissociou completamente alegando ter recebido os arquivos de um outro grupo de hackers chamado "LOAD NKWT", até então desconhecidos no undergound do mundo da web. A história é tão complexa e ainda estão sob investigação para determinar se a divulgação das informações foi de fato causada por um ataque cibernético aos servidores do CNAIPIC. Também estão sob investigação e em análise os documentos publicados, a fim de verificar a autenticidade e a procedência. Uma primeira análise demonstrou que os arquivos de fato atribuível à atividade do CNAIPIC são apenas uma pequena percentagem daqueles que foram publicados. Os resultados desses testes irão ajudar a definir o âmbito de investigação para determinar se o ataque foi uma ação simples como tantas outras manifestações esporádicas que ocorreram em todo o mundo em 2011 ou uma ação de indivíduos motivados por outros interesses.


"A velocidade de resposta é essencial para a conservação dos recursos a serem protegidos e também para a identificação dos culpados." 



A legislação italiana está preparada para lidar com a crescent demanda da polícia em punir os cibercriminosos? 

VC - A legislação italiana sobre crimes cibernéticos é bastante detalhada e abrange quase todos os comportamentos criminosos até hoje conhecidos tanto no uso da internet como meio para cometer crimes tradicionais de forma tecnológica, tais como fraudes, pornografia infantil, jogos de azar, lavagem de dinheiro, difamação, quanto ao que se refere a crimes virtuais que nasceram com o advento da Internet, tais como hacking, cracking, invasão de privacidade, spam, phishing, disseminação de vírus de computador, sniffing, pharming, mail bombing, etc. O primeiro passo da nossa legislação para o combate aos crimes cibernéticos foi a Lei n.547 de 23 dezembro de 1993, que introduziu, no código penal italiano, pressupostos criminosos específicos e ampliou os poderes dos investigadores durante a aquisição de provas através de escutas telefônicas e sistemas de interceptações de dados de computador. Foram assim introduzidos os crimes de fraude informática (artigo 640 ter CP), sabotagem eletrônica (artigo 420 CP), dano a dados ou programas de computador (artigo 635 bis CP), acesso não autorizado a um sistema de computador (artigo 615 ter CP), a disseminação de equipamentos ou programas para danificar um sistema de computador (artigo 615 quinques CP), a interceptação, impedimento ou interrupção das comunicações entre sistemas de computadores (artigo 617 quater CP). Para lidar com a pornografia infantil na web foi emitida Lei n. 269 de 1998.

De fato, a Itália foi um dos primeiros países criar uma lei. A lei, entretanto, teve muitas dificuldades na aplicação antes da Convenção de Budapeste, por causa dos limites territoriais com que esses crimes são cometidos. Com a Lei n.248 de 2000, foram introduzidos os crimes de pirataria digital e o importante decreto legislativo n.231 de 2001, que estendeu as sanções penais previstas para crimes cibernéticos tambem às pessoas juridicas.

“Hoje, graças à Convenção de Budapeste existe uma rede entre as forças policiais dos países membros operando continuamente 24 horas por dia e 7 dias por semana (…) A intervenção pelo ajuste da legislação italiana depois da ratificação da Convenção introduziu em nossa legislação nacional uma ferramenta importante na luta contra a ciber criminalidade” 


Como a Convenção de Budapeste interfere nos procedimentos para se investigar um crime de computador? 

VC - A "Convenção do Conselho da Europa sobre o Cibercrime" foi assinada em Budapeste em 2001 e hoje é aprovada por 42 países, incluindo alguns não europeus como os Estados Unidos, Canadá, Japão e África do Sul. O Parlamento italiano implementou a Convenção com a Lei n.48 de 2008. A Convenção representa a primeira tentativa para superar as limitações das investigações devido a ausência de limites geográficos dos crimes cometidos na internet. O tratado da UE destina-se a promover uma política internacional comum sobre a proteção contra a criminalidade informática, em especial no domínio da pornografia infantil, fraude e violação das redes. A Convenção visa harmonizar as legislações nacionais dos países membros e promover a cooperação na fase de investigação (muitas vezes bloqueada por atrasos burocráticos). Muitas das questões abrangidas pela Convenção como a fraude, acesso ilegal a sistemas de computador, a pornografia infantil, a interceptação de dados telemáticos eram, em grande parte, já abrangidas pela lei italiana mas as investigações eram limitadas quando os criminosos ou delitos estavam localizados fora dos limites territoriais italianos.

Hoje, graças à Convenção, existe uma rede entre as forças policiais dos países membros operando continuamente 24 horas por dia e 7 dias por semana; na Itália existe um órgão operativo no Servizio Polizia Postale e delle Comunicazioni, com a missão de prestar assistência contínua no fornecimento de informações pedidas de outros países e congelamento de dados nos provedores italianos (artigo 35 Conv. Rede 24/7). A intervenção pelo ajuste da legislação italiana depois da ratificação da Convenção de Budapeste introduziu em nossa legislação nacional uma ferramenta importante na luta contra a cibercriminalidade, integrando um aparato de normas complexo para o combate das atividades criminosas virtuais emergentes - hoje em dia mais do que nunca.

“(…) A nova forma de lavagem de dinheiro chamada Cyber-laundering  indica a última tendência em termos de reciclagem para esconder e investir o dinheiro de atividades ilícitas. A Internet também é o meio preferencial de propaganda utilizado por organizações terroristas.” 


Como se dá a interação entre os crimes cometidos no mundo “real” e as possibilidades do crime virtual? 

VC - Inovações em tecnologia e comunicações decorrentes do advento da Internet permitem que a criminalidade em geral e o crime organizado em particular se tornem cada vez mais sofisticados e difíceis de combater. O volume, a velocidade do movimento de moeda eletrônica e o anonimato permitido pela internet têm aumentado as oportunidades para as organizações criminosas e terroristas, reduzindo o risco de exposição física para cometer crimes e de ser identificadas. Basta pensar na nova forma de lavagem de dinheiro chamada Cyber-laundering que indica a última tendência em termos de reciclagem para esconder e investir o dinheiro de atividades ilícitas. A internet também é o meio preferencial de propaganda utilizado por organizações terroristas. Grupos terroristas, principalmente os ligados à Jihad Islâmica, criam bate-papo em espaços da web não identificados por motor de pesquisa como o Google, Yahoo, MSN (técnica do deep web) para evitar de serem rastreados, colocam documentos de propaganda e instruções para construir armas e bombas "feitas em casa" em servidores desprotegidos (técnicas chamadas de "parasiting"), desfrutam os novos sistemas de mapeamento, tais como Google Maps para preparar ataques em qualquer lugar do mundo, usam canais de comunicação anônimos e cripografados para se comunicar entre eles e, acima de tudo, exploram o potencial da Web para recrutar novos membros e para difundir a ideologia do terrorismo. O uso dessas novas tecnologias e a criação de um mercado virtual baseado no uso de dinheiro eletrônico representam um novo campo de batalha entre as Polícias de todo o mundo e terroristas e agentes do crime organizado.

Conte um pouco sobre a operação da polícia italiana que, em 2011, resultou na prisão de três marroquinos que espalharam informações na internet sobre como fazer explosivos, utilizar armas e hackear sistemas de computadores.

VC - Depois de uma investigação complexa que durou cerca de dois anos, a Polizia di Stato Italiana prendeu na cidade de Catanzaro, na Calábria, três cidadãos estrangeiros de origem marroquina, acusados de ter cometido o crime de atividade de formação para o fim de terrorismo internacional. Durante as investigações, através de atividades de escutas e de interceptações telemáticas, foram adquiridas inúmeras evidências de crime de formação para ações violentas e de propaganda do terrorismo islâmico. O material foi coletado na Internet em fóruns frequentados por fundamentalistas islâmicos e em CD e pendrives contendo manuais e instruções para a criação e uso de armas e explosivos, para fazer transmissões anônimas e de forma segura de documentos e instruções para realizar sabotagem de sistemas de computador. A operação policial denominada "Hanein" leva o nome de um dos espaços da web em árabe, cujo significado é traduzido em "Saudade", com conteúdo relacionado ao fundamentalismo islâmico que os presos costumavam participar.

“A cyberwar, que significa o uso da rede digital como uma nova dimensão da guerra, é a última fronteira em termos de exploração do potencial da Internet e um dos quatro principais tipos de ameaças ciberneticas para as sociedades tecnologicamente avançadas, bem como o cyber-terrorismo, o cyber-espionagem e cyber-crime.” 


Como a Itália se prepara para lidar com a ciberguerra? 

VC - A cyberwar, que significa o uso da rede digital como uma nova dimensão da guerra, é a última fronteira em termos de exploração do potencial da Internet e um dos quatro principais tipos de ameaças ciberneticas para as sociedades tecnologicamente avançadas, bem como o cyber-terrorismo, o cyber-espionagem e cyber-crime. Estes fenômenos estão  evoluindo rapidamente. Embora o cyber-espionagem e cyber-crime sejam hoje em dia os tipos de crime que causam o maior dano às sociedades avançadas, no futuro os riscos de segurança maior podem vir da guerra cibernética e do ciberterrorismo. A Itália está em linha com as políticas europeias no campo da cyber-security que por um lado, incentivam o diálogo e o intercâmbio das melhores práticas (best practices) entre os Países-Membros e entre estes e as instituições europeias - através da criação de estruturas dedicadas como a Agência Europeia de Segurança das Redes e da Informação (European Network and Information Security Agency, ENISA), e por outro lado promovem a melhoria da capacidade europeia e dois países para responder aos ataques ou incidentes informaticos. As principais ações tomadas até agora pela UE (União Europeia) nesse campo atendem à necessidade comum de assegurar a segurança das redes e das informações (Network and Information Security, NIS) e a proteção das infraestruturas críticas (Critical Information Infrastructure Protection, CIIP).

Em relação aos aspectos operacionais, a capacidade de resposta aos ataques ou incidentes informáticos se foca na capacitação (capacity building) e formação/treinamento (training), mas especialmente sobre a criação, em cada país europeu, de estruturas chamadas CERT (Computer Emergency Response Teams). Os CERT são equipes para a gestão das emergências informáticas, financiadas pelas universidades, agências governamentais, ou, mais recentemente, pelas corporações, e são constituídas por especialistas do setor que têm um duplo papel: prestar assistência imediata em caso de anomalias das redes eletrônicas e realizar atividades de monitoramento, prevenção e treinamento. Os CERT são a base do Sistema de Alerta e Troca de Informações que a ENISA planeja desenvolver até 2013 e têm um papel fundamental durante as provas que são regularmente realizadas para testar os conhecimentos de informática dos estados membros da UE.

Em novembro de 2010 teve lugar pela primeira vez, uma prova conjunta a nível europeu "Cyber Europe 2010" onde estiveram presentes peritos de instituições públicas (ministérios, agências reguladoras, CERT) dos 22 países europeus que tiveram que lidar com mais de 300 ataques que simulavam a perda de conexão a Internet em grande escala com um impacto óbvio na entrega de serviços on-line de importância crítica em toda a Europa. Na Itália, um player importante foi a Polizia di Stato, ou seja o CNAIPIC (Centro Nacional Anti-crime Informático para a Proteção das Infra-estruturas Criticas). A prova foi um sucesso e é certamente um exemplo a seguir para melhorar a capacidade de gestão em termos de velocidade de resposta e contraste aos ataques digitais realizados em grande escala. “A Comissão Europeia tem se concentrado na cooperação público-privado como uma ferramenta para facilitar e aprofundar o entendimento mútuo sobre a questão da cibersegurança”

As ações das forças da lei italianas estão alinhadas com as ações de empresas privadas no combate ao crime digital? Como ocorre essa interação? 

VC - Empresas particulares, mas também universidades e associações, têm um papel importante uma vez que representam a maior parte da pesquisa e desenvolvimento no setor do ICT (Information and Communication Technology) e têm o melhor conhecimento do funcionamento das tecnologias de hardware e software que usam. E, pelo menos na Itália, são as maiores operadoras de infraestruturas críticas cruciais. Elas desempenham um papel importante também no campo da consultoria e treinamento. Parcerias entre os setores público e privado representam uma arma a mais no combate a cibercriminalidade. A Comissão Europeia tem se concentrado na cooperação público-privado como uma ferramenta para facilitar e aprofundar o entendimento mútuo sobre a questão da cibersegurança. Na Itália, um bom exemplo de colaboração entre a Polícia e o mundo privado é o acordo entre Poste Italiane (maior empresa italiana de correios), a Polizia di Stato - Polizia delle Comunicazioni (Polícia Italiana) e o U. S. Secret Service (Serviço Secreto dos EUA) que em 2009 criaram o European Electronic Crime Task Force - EECTF (Grupo Europeu de Crime Eletrônico). O objetivo desta iniciativa é melhorar o combate a cibercriminalidade, graças a uma maior interação entre público e privado. Esta é a primeira iniciativa italiana neste campo e, mais importante, quer envolver outros parceiros europeus.

"Apenas algumas regras de segurança simples e básicas são suficientes para evitar a maioria dos crimes de computador, como atualizar seu computador com os últimos patches e atualizações, escolher senhas fortes e mantê-los em um lugar seguro, proteger os dados com software de segurança, proteger as informações pessoais, desconfiar de ofertas on-line que parecem boas demais para ser verdadeiras, verificar regularmente extratos bancários e de cartão de crédito, etc." 


Que alerta ou conselho você daria aos cidadãos sobre os crimes digitais? 

VC - O cibercrime se apresenta como a característica fundamental a ausência de fronteiras geográficas, portanto lidar com esse tipo de crime é muito complexo e caro em termos de tempo e recursos econômicos, mas também em termos de recursos humanos e profissionais. Por esta razão, enquanto as investigações digitais e, mais genericamente, a repressão dos cibercrimes é prerrogativa dos profissionais do mundo da ICT security, a prevenção não deve ser limitada a especialistas, pois cada indivíduo na sociedade pode contribuir na defesa das informações. Eu acho que a cyber security é uma questão que afeta todos os componentes de uma instituição ou organização, a partir dos níveis inferiores até os níveis mais altos. Portanto, o desenvolvimento de uma "consciência no uso do computador" é indispensável em um mundo em que o computador já faz parte da vida cotidiana. É importante que cada pessoa possa adquirir as ferramentas certas para ser vigilante e estar ciente de sua responsabilidade no mundo digital. Apenas algumas regras de segurança simples e básicas são suficientes para evitar a maioria dos crimes de computador, como atualizar seu computador com os últimos patches e atualizações, escolher senhas fortes e mantê-los em um lugar seguro, proteger os dados com software de segurança, proteger as informações pessoais, desconfiar de ofertas on-line que parecem boas demais para ser verdadeiras, verificar regularmente extratos bancários e de cartão de crédito, etc. Enfim, eu acho que a longo prazo, investimentos em educação e cultura da segurança cibernética em larga escala irá representar o primeiro passo da redução do cibercrime.

Comentários