CRIMINALIDADE INFORMÁTICA
Lisboa, Fevereiro de 2011
Manuel Aires Magriço
Magistrado do Ministério Público
Criminalidade Informática
Conceito:
Informática como meio para a prática de crimes – quando as tecnologias da informação e comunicação são utilizados enquanto instrumentos para a prática de crimes comuns (eg.: difamação, coacção, ameaça, discriminação racial)
Informática como elemento integrador do tipo legal – quando o bem jurídico protegido é a segurança e liberdade de utilização das tecnologias da informação e da comunicação (eg.: crimes que protegem a integridade dos sistemas informáticos ou a privacidade das telecomunicações)
Exemplos de crimes cometidos através da Internet:
Caso 1 : E-mails Nigerianos (à semelhança das cartas nigerianas) – recepção de e-mail de alguém que se identifica como alto funcionário da Nigéria e necessita de ajuda para depositar uma quantia monetária elevada no estrangeiro, para o que solicita o IBAN de uma conta titulada pelo destinatário da mensagem de correio electrónico, com promessa de uma comissão avultada. No desenvolver da correspondência, é solicitada um pequeno adiantamento para se concretizar essa transferência, indicando o remetente uma conta de depósito. Obviamente, que no caso de a vítima aceder, ficará com o prejuízo respectivo no seu património.
Caso 2 : Usurpação de Identidade – o fabrico através do computador de certidões de nascimento e de documentos de identificação permitiram ao arguido a abertura de contas bancárias, a constituição de uma empresa e obter cartas de condução. Após abrir contas bancárias com os dados de outras pessoas, conseguiu que fossem emitidos cartões de débito e crédito falsos, que utilizava como prova de identidade nas transacções que efectuava através da Internet (Inglaterra).
Caso 3 : Phishing – As situações mais frequentes deste tipo de fenómeno envolvem o envio de um e-mail com um link com aparência de idóneo (eg.: Banco) . Esse link direcciona as vítimas para páginas web que contêm programas maliciosos, que se auto-instam. Por essa via conseguem capturar a sequência das teclas pressionadas e enviar a respectiva informação pela Internet para um site controlado. Esta informação é utilizada para aceder a contas bancárias das vítimas, efectuando-se depois transferências de dinheiro para outras contas.
Caso 4 : Pharming – forma fraudulenta mais perniciosa que o pishing, uma vez que é criado um website com a aparência de verdadeiro (eg.: Banco) onde a vítima introduz os seus dados pessoais e códigos de acesso a contas bancárias. Na posse desses dados os autores da fraude conseguem aceder online ao website verdadeiro e movimentar a conta bancária da vítima, efectuando transferências para outras contas, como se da própria se tratasse.
ENQUADRAMENTO LEGAL
Lei n.º 32/2008, de 17 de Julho – regula conservação e a transmissão dos dados de tráfego e de localização relativos a pessoas singulares e a pessoas colectivas, bem como dos dados conexos necessários para identificar o assinante ou o utilizador registado, para fins de investigação, detecção e repressão de crimes graves por parte das autoridades competentes
ENQUADRAMENTO LEGAL
Lei n.º 32/2008, de 17 de Julho –
Crime grave: crimes de terrorismo, criminalidade violenta, criminalidade altamente organizada, sequestro, rapto e tomada de reféns, crimes contra a identidade cultural e integridade pessoal, contra a segurança do Estado, falsificação de moeda ou títulos equiparados a moeda e crimes abrangidos por convenção sobre segurança da navegação aérea ou marítima – artigo 2.º, n.º 1, alínea g) – corresponde ao artigo 187.º, n.º 2 do CPP.
Lei n.º 32/2008, de 17 de Julho – conservam-se os dados para:
☛ encontrar e identificar a fonte de uma comunicação;
☛ encontrar e identificar o destino de uma comunicação;
☛ identificar a data, a hora e a duração de uma comunicação;
☛ identificar o tipo de comunicação;
☛ identificar o equipamento de telecomunicações dos utilizadores, ou o que se considera ser o seu equipamento;
☛ identificar a localização do equipamento de comunicação móvel.
☛ Período de conservação dos dados – um ano a contar da data da conclusão da comunicação.
☛ Transmissão dos dados – despacho fundamentado do juiz de instrução, no âmbito da investigação, detecção e repressão de crimes graves.
☛ Só pode ser autorizada a transmissão de dados – relativos ao suspeito ou arguido; a pessoa que sirva de intermediário de suspeito ou arguido; ou a vítima de crime, mediante o respectivo consentimento, efectivo ou presumido.
ENQUADRAMENTO LEGAL
Lei n.º 109/2009, de 15 de Setembro – aprova a Lei do Cibercrime – estabelece as disposições penais materiais e processuais, bem como as disposições relativas à cooperação internacional em matéria penal, relativas ao domínio do cibercrime e da recolha de prova em suporte electrónico, transpondo para a ordem jurídica interna a Decisão Quadro n.º 2005/222/JAI, do Conselho, de 24 de Fevereiro, relativa a ataques contra sistemas de informação, e adaptando o direito interno à Convenção sobre Cibercrime do Conselho da Europa.
Artigo 11.º – disposições processuais a processos relativos a crimes:
☛ previstos na presente lei;
☛ Cometidos por meio de um sistema informático;
☛ em relação aos quais seja necessário proceder à recolha de prova em suporte electrónico
☛ Mas: as disposições da Lei do Cibercrime não prejudicam o regime da Lei n.º 32/2008, de 17 de Julho
Artigo 12.º – Preservação expedita dos dados: indicar, sob pena de nulidade:
☛ Natureza dos dados
☛ dados de base – identificação utilizador (eg.: lista telefónica)
☛ dados de tráfego ou dados de localização (eg.: origem de uma comunicação, destino, trajecto, hora, a data, o tamanho ou o tipo de serviço subjacente) – cfr. Artigo 2.º, alínea c).
☛ A origem e destino dos dados, se forem conhecidos;
☛ O período de tempo pelo qual devem ser conservados, num máximo de 3 meses, até ao limite máximo de um ano – cfr. Lei n.º 32/2008, de 17 de Julho
Artigo 16.º, n.º 7 – Apreensão de dados informáticos:
Tipos de apreensão:
☛ Apreensão do suporte onde está instalado o sistema ou apreensão do suporte onde estão armazenados os dados informáticos, bem como os dispositivos necessários à sua leitura;
☛ Realização de uma cópia dos dados, em suporte autónomo, que será junto ao processo;
☛ Preservação, por meios tecnológicos, da integridade dos dados sem realização de cópia ou remoção dos mesmos;
☛ Eliminação não reversível ou bloqueio do acesso aos dados.
Artigo 16.º, n.º 8 – Apreensão de dados informáticos:
☛ No caso de realização de uma cópia dos dados, esta é efectuada em duplicado, sendo uma das cópias selada e confiada ao secretário judicial dos serviços onde o processo correr os seus termos e, se tal for tecnicamente possível, os dados apreendidos são certificados por meio de assinatura digital
☛ Boas práticas OLAF – European Anti-Fraud Office
Princípio 1 – as acções desencadeadas pelas forças policiais ou seus agentes não devem alterar os dados mantidos num computador ou num dispositivo de armazenamento que possa a vir a ser apresentado em tribunal como prova
Princípio 2 – Em circunstância excepcionais, caso uma pessoa considere necessário aceder aos dados originais mantidos num computador ou num dispositivo de armazenamento, essa pessoa deve ter competência para o fazer e poder apresentar provas, explicando a relevância e as implicações das suas acções.
Princípio 3 – Deve ser criada e preservada uma pista de auditoria ou outro registo de todos os processos aplicados a elementos de prova electrónicos informáticos. Um terceiro independente deve poder examinar esses processos e obter o mesmo resultado.
Princípio 4 – A pessoa responsável pelo inquérito (relator do processo) deve assumir a responsabilidade global pela observância da lei e dos presentes princípios
http://ec.europa.eu/dgs/olaf/legal/rulings/PT.pdf
Artigo 17.º – Apreensão de correio electrónico e registos de comunicações de natureza semelhante:
☛ Competência para apreensão: Juiz de Instrução Criminal
☛ Regime aplicável: apreensão de correspondência previsto no Código de Processo Penal
☛ Cfr. AC TRL 11.01.2011 – Proc. N.º 5412/08.9TDLSB-A.L1-5 – Correio Electrónico – Apreensão – JIC
http://www.dgsi.pt/jtrl.nsf/33182fc732316039802565fa00497eec/e5ed1936deb44eb180257824004ab09d?OpenDocument&ExpandSection=1,2,3,4,5,6,7
Artigo 18.º – Intercepção de comunicações:
☛ Competência para autorização: Juiz de Instrução Criminal
☛ Crimes previstos na Lei do Cibercrime;
☛ Crimes cometidos por meio de um sistema informático ou em relação aos quais seja necessário proceder à recolha de prova em suporte electrónico, quando tais crimes se encontrem previstos no artigo 187.º do Código de Processo Penal
Artigo 19.º – Acções Encobertas:
☛ É admissível o recurso às acções encobertas previstas na Lei n.º 101/2001, de 25 de Agosto;
☛ Consideram-se acções encobertas aquelas que sejam desenvolvidas por funcionários de investigação criminal ou por terceiro actuando sob o controlo da Polícia Judiciária para prevenção ou repressão dos crimes, com ocultação da sua qualidade e identidade;
Artigo 19.º – Acções Encobertas:
☛ No âmbito do inquérito as acções encobertas dependem de prévia autorização do competente magistrado do Ministério Público, sendo obrigatoriamente comunicada ao juiz de instrução e considerando-se a mesma validada se não for proferido despacho de recusa nas setenta e duas horas seguintes
OUTRA LEGISLAÇÃO
☛ Lei n.º 41/2004 de 18 de Agosto – Transpõe para a ordem jurídica nacional a Directiva n.o 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de Julho, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas.
☛ Portaria n.º 469/2009, de 2 de Maio – Estabelece os termos das condições técnicas e de segurança em que se processa a comunicação electrónica para efeitos da transmissão de dados de tráfego e de localização relativos a pessoas singulares e a pessoas colectivas, bem como dos dados conexos necessários para identificar o assinante ou o utilizador registado, nos termos previstos na Lei n.º 32/2008, de 17 de Julho.
☛ Decreto-Lei n.º 7/2004, de 7 de Janeiro – transpõe para a ordem jurídica interna a Directiva n.o 2000/31/CE, do Parlamento Europeu e do Conselho, de 8 de Junho de 2000, relativa a certos aspectos legais dos serviços da sociedade de informação, em especial do comércio electrónico, no mercado interno (Directiva sobre Comércio Electrónico) bem como o artigo 13.o da ☛ Directiva n.o 2002/58/CE, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e a protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à Privacidade e às Comunicações Electrónicas).
☛ Decreto-Lei n.º 290-D/99 de 2 de Agosto – regula a validade, eficácia e valor probatório dos documentos electrónicos e a assinatura digital.
Decreto Regulamentar n.º 25/2004 de 15 de Julho – regulamenta o Decreto- ☛ Lei n.o 290-D/99, de 2 de Agosto, com a redacção que lhe foi dada pelo Decreto-Lei n.o 62/2003, de 3 de Abril, abordando as regras técnicas e de segurança aplicáveis às entidades certificadoras estabelecidas em Portugal na emissão de certificados qualificados destinados ao público.
☛ Lei n.º 52/2003, de 22 de Agosto – Lei de combate ao terrorismo
Artigo 2º Organizações terroristas
1 – Considera-se grupo, organização ou associação terrorista todo o agrupamento de (…), visem prejudicar a integridade e a independência nacionais, impedir, alterar ou subverter o funcionamento das instituições do Estado (…) , mediante:
b) Crime contra a segurança dos transportes e das comunicações, incluindo as informáticas, telegráficas, telefónicas, de rádio ou de televisão; – pena de prisão de 8 a 15 anos.
Caso 1: ENQUADRAMENTO – Estónia
Data: 26 e 27Abr-18Mai07
Origem: computadores em 178 países
Motivação política
Tipo de ataque
→ Distributed Denial of service (DDoS)
→ Botnets
→ Ataque coordenado
→ Ataques aos servidores de Nomes (DNS)-
Domain Name System)
► Sistemas afectados
→ Servidores de instituições governamentais
→ Online banking
→ ISP off-line
→ Alvos privados ao acaso
Caso 2: ENQUADRAMENTO – Lituânia
Data: 28Jun08 a 2 de Jul08.
Origem: Indeterminada (Rússia?)
Motivação política
Tipo de ataque
→ Website defacement
pro-soviético
→ DDoS e e-mail spam
Sistemas afectados
► 300 sites afectados
► (95% privados e 5% gov)
Caso 3: ENQUADRAMENTO – Geórgia
► Data: 08 a 28 Ago08
► Origem: Grupos organizados
de hackers russos
Motivação política
Tipo de ataque
→ SW malícioso
→ DDoS
► Sistemas afectados
→ Governo (Site Presidencial, parlamento, etc)
→ “Media” e Finanças
Botnets:
☛ Uma “botnet” é uma rede de máquinas infectadas (Maquina=robot=bot em rede (net)) . Os “Bots” são softwares maliciosos que se espalham de maneira autónoma, aproveitando vulnerabilidades que podem ser exploradas remotamente – passwords fáceis de adivinhar, ou mesmo utilizadores mal informados que executam inadvertidamente ficheiros recebidos pela Internet. Os “bots” conectam-se normalmente através de IRC (Internet Relay Chat) a um determinado canal de um ou mais servidores IRC. Normalmente, o software usado para gerir estes canais é modificado de forma que sirvam mais “bots” e que não revelem a quantidade de “bots” associados, formando uma “botnet”, que o atacante controla por meio de comandos no canal IRC.
☛ Botnet é controlada por um computador mestre (“Master”), que tem sob seu comando um conjunto alargado (milhares) de computadores (“Zombies”).
DDoS (DDoS-Distributed
Denial of Service):
→ De forma resumida, o ataque consiste em fazer com que os “Zombies” (máquinas infectadas e sob comando do “Master”, acedam a determinado recurso num determinado servidor à mesma data/hora. Como os servidores web possuem um número limitado de ligações em simultâneo “slots”, o grande e repentino número de requisições de acesso esgota o número de “slot”, tornando esse recurso indisponível para os seus utilizadores.