39 dias após o ataque cibernético ao STJ: reflexões e desafios

Migalhas de IA e Proteção de Dados

Introdução

Não é novidade que a nossa vida cotidiana está intimamente ligada e dependente de recursos tecnológicos e informáticos. No mesmo sentido, já há vários anos, o Judiciário brasileiro está praticamente todo informatizado e também com seu funcionamento baseado em meios eletrônicos. Todo esse cenário foi ainda bastante potencializado pela pandemia da Covid-19, que nos levou ao trabalho remoto e com Poder Judiciário desenvolvendo suas atividades à distância. Desse modo, a notícia do ataque de hackers aos sistemas do Superior Tribunal de Justiça¹ no último dia 3 de novembro aterrorizou a comunidade jurídica e a sociedade como um todo.

Conforme amplamente noticiado², inclusive pelo próprio STJ, os servidores da corte sofreram um ataque cibernético, que levou ao bloqueio dos processos e endereços de e-mails de todo o tribunal. Com o bloqueio do acesso a todos os documentos do STJ, foram necessariamente suspensas todas as sessões de julgamento e prazos processuais. Do mesmo modo, todos os sistemas do STJ foram retirados do ar, a fim de se preservar sua inteireza.

Tratou-se de um ataque por meio de um malware, com uma atuação compatível com ransomware, que tipicamente sequestra o sistema da vítima, bloqueando o seu acesso e criptografando os dados. Por conseguinte, o hacker cobra um valor em dinheiro pelo resgate, geralmente, em criptomoedas, dificultando sobremaneira o rastreamento de quem possa vir a receber o valor. Provavelmente, o vírus em questão é uma versão avançada do RansomExx, aquele que foi responsável em junho de 2020 pela invasão do Departamento de Trânsito do Texas, nos Estados Unidos³.

Um ataque dessas proporções aos sistemas do STJ pode gerar a destruição desses dados processuais, acarretando um caos generalizado na Justiça brasileira, além de possibilitar o acesso a informações confidenciais e de conteúdo sensível.

Entendendo os tipos de ataques cibernéticos

É difícil acompanhar o ritmo relativo ao desenvolvimento de novas formas de explorar as vulnerabilidades existentes no espaço cibernético e nos dispositivos eletrônicos. Com o crescimento da Internet das Coisas, dos serviços de armazenamento nas nuvens, das empresas de digitalização de documentos etc., diversas maneiras de realizar os ataques são desenvolvidas, tornando-se um grande desafio acompanhar a velocidade das mudanças.

Para compreendermos melhor o ataque cibernético na rede de informática do Superior Tribunal de Justiça, é importante sabermos os tipos de ataques cibernéticos possíveis e qual é o objetivo de cada um deles.

Desse modo, cumpre-se mencionar alguns tipos de ciberataques para compreendermos de que maneira as vulnerabilidades em dispositivos podem ser exploradas:

A) Malware: trata-se de um termo genérico relativo a qualquer "software nocivo" desenhado com o objetivo de gerar danos aos dispositivos em que se infiltram sem serem notados. Alguns tipos que se enquadram como malware são: cavalos de Tróia, ransomware, spyware, worms etc. Vejamos, rapidamente, o que faz cada um deles:

A.1) Cavalos de Tróia: visam a realizar ataques ocultos por meio de uma instalação, que aparenta ser legítima, no dispositivo da vítima. Muitas vezes, viabiliza a entrada de malwares adicionais;

A.2) Ransomware: trata-se de um malware que bloqueia ou nega o acesso ao dispositivo ou aos arquivos até que o "resgate" seja pago. De acordo com a Europol, estes ataques são dominantes no âmbito da União Europeia e diversos tipos de ransomware surgiram nos últimos anos⁴;

A.3) Spyware: busca coletar informações sobre a vítima via dispositivo ou rede, transmitindo os respectivos dados ao invasor. Este malware é muito utilizado para se obter informações como dados do cartão de crédito da vítima, login em determinados sites etc.;

A.4) Worms: trata-se de agentes de entrega de instalações para infectar dispositivos com malware adicionais. O objetivo principal dos worms é infectar o maior número possível de dispositivos.

B) Ataques DoS (Denial of Service) e DDoS (Distributed Denial of Service): ataques de DoS (negação de serviço) e de DDoS (negação de serviço distribuída) sobrecarregam o tráfego na internet, inviabilizando a realização de operações normais dos servidores, serviço ou rede. O ataque de DoS é realizado de uma máquina mediante uma inundação de pings (utilitário que emprega o ICMP (Internet Control Message Protocol) para a realização de testes relativos à conectividade entre equipamentos), por exemplo. Já o ataque de DDoS consiste na ação mal-intencionada direcionada contra o tráfego do alvo realizada por diversas máquinas. Em via de regra, os ataques de DDoS ocorrem mediante uma ação do invasor que controla, remotamente, diversas máquinas infectadas por um malware (essas máquinas integram uma botnet). Por outro lado, há ataques de DDoS em que os invasores atuam em conjunto para realizarem o ataque ao tráfego;

C) Phishing: ataque que corresponde à captação fraudulenta da identidade digital da vítima. O ataque corresponde ao envio de mensagens por e-mail, por SMS ou por WhatsApp, por exemplo, em que há um link, que ao ser clicado, infecta o dispositivo, coletando dados e informações da vítima, sendo que, em alguns casos, difunde-se o vírus à lista de contatos presente nas redes sociais ou do celular;

D) Advanced Persistent Threats (APTs): empregando, geralmente, engenharia social, este tipo de ataque é um dos mais nefastos, pois, ele busca monitorar e coletar o máximo de dados e informações possíveis, sendo que o seu maior objetivo é permanecer no dispositivo, sem ser detectado, por um longo tempo. Este tipo de ataque visa a setores estratégicos, como tecnologia, defesa, infraestrutura etc.

Entendendo o ataque ao STJ

No dia 3 de novembro de 2020, o Superior Tribunal de Justiça identificou o ataque cibernético a sua rede e sistemas. As atividades do STJ foram suspensas e, apenas em 18 de novembro de 2020, o tribunal comunicou que a Secretaria de Tecnologia e Informação e Comunicação concluiu o restabelecimento do sistema.

O STJ não confirmou se houve o pedido de resgate por parte dos invasores; portanto, não se pode afirmar com segurança que se trata de um malware do tipo ransomware. Alguns jornais⁵ afirmaram que foi deixada uma mensagem, em formato txt, em uma das pastas do STJ, pedindo o resgate pelo "sequestro digital"; porém, não houve confirmação do STJ.

Provavelmente, caso o STJ não tivesse o backup para restabelecer o sistema, sairia mais barato pagar o resgate do que "quebrar" a criptografia e recuperar os arquivos "sequestrados". Como o STJ possuía uma cópia de segurança, foi mais fácil restabelecer o sistema. No entanto, se realizarmos um exercício especulativo, cumpre-se indagar: seria possível o STJ pagar pelo "resgate"? Por não existir esta hipótese no ordenamento jurídico, é provável que a resposta seja tendente a se considerar inviável o pagamento por um "resgate" em situações similares.

A pedido do Presidente do STJ, Ministro Humberto Martins, foi instaurando um inquérito policial pela Polícia Federal para investigar o ataque cibernético. Ademais, passou-se a investigar se existe uma conexão entre o ataque ao STJ e os ataques ao Ministério da Saúde e à Secretaria da Economia do Distrito Federal; todavia, até o presente momento, não há confirmação.

No dia 18 de novembro, os inscritos no curso A eficiência dos precedentes judiciais no STJ, que contava com 500 vagas, receberam um e-mail oficial do STJ em que se comunicava que os dados relativos às atividades realizadas pelos inscritos no mencionado curso não puderam ser recuperados, logo, os certificados não poderiam ser emitidos⁶.

O Presidente do STJ, em entrevista, declarou que "os dados do acervo do STJ estão integralmente preservados no backup"⁷. Diante desta declaração, surge a dúvida acerca do sentido relativo à integralidade do acervo do STJ mencionado pelo Ministro Humberto Martins, pois, como se pode notar, os dados pessoais sensíveis⁸ concernentes aos cursos on-line não foram preservados no backup. Será que esta é a única exceção? Será que há processos que não foram estabelecidos na integralidade? Estas são algumas dúvidas que surgem diante do que verificamos com os cursos ofertados pela Escola Corporativa do STJ (Ecorp).

Outra dúvida ainda não respondida é relacionada à entrada do malware, ou seja, como o sistema do STJ foi infectado? Foi um servidor público, um ministro, um estagiário etc. que clicaram em um link que permitiu a invasão. Assim, torna-se relevante compreender qual foi a abertura para a ocorrência do ataque cibernético.

O restabelecimento do sistema do tribunal não minimiza o impacto do ataque cibernético, já que o acesso a processos sigilosos do STJ ocorreu. Além disso, os dados sensíveis dos cursos on-line foram coletados pelos invasores. Diante dos riscos decorrentes deste ataque cibernético, deve-se indagar se houve realmente o cumprimento da Resolução do STJ referente à política de segurança da informação (IN STJ/GP n. 11/2015). O Presidente do STJ, em entrevista, mencionou que se estava estudando a realização de melhorias no que se refere à prevenção de ataques; contudo, nada foi realizado a tempo⁹.

Em suma, ainda há muitas dúvidas relativas a um dos maiores ataques cibernéticos ocorridos no Brasil, sendo que deveremos acompanhar não apenas os desdobramentos decorrentes desta invasão ao sistema do STJ, mas também as ações adotadas para inviabilizar novos ataques, como, por exemplo, treinamento dos servidores públicos, ministros, estagiários etc para que não pressionem, por exemplo, links, que possam gerar uma abertura para a entrada de malwares, por meio do emprego de engenharia social.

Conclusões

Esse ataque revela um grande temor da comunidade jurídica e confirma o que se sabe desde os tempos mais remotos da humanidade: a necessidade de confiança e de segurança jurídica. Desde as fontes escritas mais antigas que conhecemos, provenientes da Mesopotâmia¹⁰, a confiança na autoridade que aplicaria as regras regentes da sociedade, ou seja, o direito, é fundamental para o funcionamento dessa comunidade. A estrutura das legislações de escrita cuneiforme, por exemplo, o famoso Código de Hammurabi, revela a presença de três partes distintas: um prólogo, o texto normativo e o epílogo¹¹. Assim, o prólogo tinha a função de legitimar a autoridade real, enaltecendo as características do soberano e revelando que ele tinha sido escolhido pelos deuses para governar sobre os povos, criando as normas a serem seguidas por todos. O texto normativo trazia as regras a serem aplicadas, com o mais variado conteúdo, típico para a sociedade da época. Por fim, o epílogo trazia maldições e consequências nefastas, estabelecidas pelo soberano, para aqueles que não cumprissem suas normas.

Desse modo, não diferentemente do que temos em períodos posteriores, já na origem conhecida do direito o elemento da confiança no sistema era decisivo. Era preciso que a autoridade fosse considerada competente e legítima para criar e aplicar o direito. Por sua vez, a autoridade impunha a obediência a esse direito, obrigando a sua aplicação.

Apenas assim é possível vislumbrar um sistema funcionante. Quando ataques ao seu funcionamento, como aqueles sofridos pelo STJ, revelam uma fragilidade desse sistema, a confiança depositada também é abalada. Para que se continue a acreditar no sistema jurídico é imprescindível que o nível de segurança seja o mais elevado possível, elemento fundamento para que ele produza seus melhores efeitos.

*Alessandro Hirata é professor associado da Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo (desde 2008). Visiting professor da Universitá degli studi di Sassari (2017 e 2019). Livre-docente pela Faculdade de Direito da USP (2008). Doutor pela Ludwig-Maximilians-Universität München (2004-2007).

Cristina Godoy Bernardo de Oliveira é professora Doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da Universidade de São Paulo (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Associada fundadora do Instituto Avançado de Proteção de Dados - IAPD.

__________

1 Vd., VALENTE, Fernanda; VITAL, Danilo. STJ sofre ataque hacker e suspende prazos processuais até segunda (9/11). In Conjur, 4 de novembro de 2020. Disponível aqui. Acesso em: 08 de dezembro de 2020.

2 Vd., ALVES, Paulo. Ataque hacker ao STJ: seis coisas que você precisa saber sobre o caso. In: Techtudo, 7 de novembro de 2020. Disponível aqui. Acesso em: 08 de dezembro de 2020.

3 Vd., GATLAN, Sergiu. Brazil's court system under massive RansomExx ransomware attack. In: Bleeping Computer, 5 de novembro de 2020. Disponível aqui. Acesso em: 08 de dezembro de 2020.

4 Vd., EUROPEAN COURT AUDITORS. Challenges to effective EU cybersecurity policy. Bruxelas: EU, 2019, p. 08. Disponível aqui. Acesso em: 08 de dezembro de 2020.

5 Vd., ESCOSTEGUY, Diego. Hacker do STJ segue na ativa e cobra resgate mais uma vez. In O Bastidor, 06 de novembro de 2020. Disponível aqui. Acesso em: 08 de dezembro de 2020.

6 Vd., CAMPOREZ, Patrik. Após ataque hacker ao STJ, notas de cursos somem e alunos ficam sem certificados. In UOL, São Paulo, 20 de novembro de 2020. Disponível aqui. Acesso em 08 de dezembro de 2020.

7 Vd., MOTTA, Rayssa; MACEDO, Fausto. Presidente do STJ diz que foi alertado sobre possibilidade de novo ataque hacker. In ESBRASIL, 11 de novembro de 2020. Disponível aqui. Acesso em 08 de dezembro de 2020.

8 PEROLI, Kelvin. O que são dados pessoais sensíveis? In IAPD, Ribeirão Preto, 03 de novembro de 2019. Disponível aqui. Acesso em: 08 de dezembro de 2020.

9 Vd., MOTTA, Rayssa; MACEDO, Fausto. Presidente do STJ diz que foi alertado sobre possibilidade de novo ataque hacker. In ESBRASIL, 11 de novembro de 2020. Disponível aqui. Acesso em 08 de dezembro de 2020.

10 Vd., HIRATA, Alessandro, A responsabilidade do nauta sob perspectiva de direito histórico comparado no Código de Hammurabi, in Interpretatio Prudentium, v.2 n.2 (2017), p.155-164.

11 Vd., RIES, Gerhard, Prolog und Epilog in Gesetzen des Altertums. München: C. H. Beck, 1983.

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES