Ataques DDoS às instituições financeiras brasileiras

Ataques DDoS às instituições financeiras brasileiras

Os bancos e instituições financeiras do Brasil sofreram diversos ataques aos seus portais na primeira semana de fevereiro. Devidos aos ataques, suas páginas na Internet ficaram inacessíveis por períodos que variaram entre alguns minutos a algumas horas, impossibilitando os clientes de realizarem transações via internet banking. O movimento foi nomeado pelos responsáveis como #OpWeeksPayment, ou seja, "operação da semana de pagamento", em clara referência a semana em que os salários seriam pagos. A autoria foi reivindicada pelo grupo "Anonymous Brasil", que se autoproclamam hackers com o objetivo de chamar a atenção para injustiças no país. Estes afirmaram que "Os ataques da ultima semana foram apenas para chamar a atenção de todos para nossos reais objetivos, nada além disso."

Importante enaltecer que apesar de quase todas as instituições financeiras brasileiras terem sido atingidas, os sistemas dos bancos não foram invadidos, e nenhum dado de correntista foi copiado ou valores desviados. Tal fato foi destacado pela Federação dos Bancos do Brasil - FEBRABAN. Para corroborar essa afirmação, necessário entender como se deram os ataques. Trata-se basicamente de uma quantidade de acessos demasiada aos portais eletrônicos dos Bancos, além da capacidade por estes suportada. Bombardeia-se a página com milhões de acessos simultâneos até que ela fique lenta e inacessível. Esta metodologia recebe o nome de "Ataque distribuído de negação de serviços", DDoS, na sua sigla em inglês. Para que esses milhares de acessos simultâneos sejam possíveis, necessária a utilização de grandes servidores, ou, como é mais comum, de milhares de computadores individuais. Estes estão infectados por softwares/vírus/trojans/malwares, que podem ter sido instalados das mais diversas maneiras. Estes malwares permitem a tomada de controle do computador por terceiro desconhecido. Ao iniciar o ataque, cada computador irá acessar a página da Internet alvo quando receber tal comando. As ordens partem de uma autoridade central, denominada "Autoridade de Comando e Controle" (Command & Control, CC). A autoridade de comando é controlada por uma entidade, por pessoas, por indivíduos. No presente caso, supostamente, pelo "Anonymous Brasil".

Podemos, desta forma, imaginar o cenário acima descrito como uma rede de soldados que são controlados por um general. Só que os combatentes desconhecem que é o seu comandante, muito menos sabem que irão travar uma batalha e que interesses esta pretende colocar em disputa. Por isso a nomenclatura "redes zumbis", pois os computadores são controlados sem nenhuma ciência do que estão fazendo e do que irão fazer.

Após explicado a forma como se deram os ataques, uma visão sobre o enfoque jurídico. Os atos perpetrados podem, sim, ser considerados ilícitos cíveis e criminais. Algumas premissas, todavia, devem ser colocadas de antemão. A primeira: não houve acesso indevido aos sistemas dos bancos e das instituições financeiras. Talvez tenham havido acessos não autorizados aos computadores de cidadãos. Segunda: Não houve desvio de numerários das contas dos correntistas dos bancos. Terceira: pode ter havido dano pecuniário aos bancos, pois o tempo que seus portais ficaram significam que centenas, milhares de transações deixaram de ser realizadas, e taxas de serviço não foram auferidas pelas instituições. Quarta: os serviços de internet banking não são considerados serviços de utilidade pública para fins penais.

Dito isto, os aspectos legais. Ainda não dispomos no ordenamento jurídico pátrio de tipificação penal para (i) acesso não autorizado a sistema informatizado; (ii) difusão ou inserção de código malicioso; e (iii) interrupção ou perturbação de serviço informático - todos estes tipos previstos nos projetos de lei sobre crimes informáticos. Todavia, condutas existentes podem ser imputadas aos responsáveis pelos ataques. O crime de dano, previsto no art. 163 do Código Penal, de acordo com a jurisprudência dos tribunais superiores, pode ser enquadrado a qualquer atitude que cause um dano a uma propriedade, seja esta material ou imaterial. Entretanto, o dano tem que ser comprovado. No caso em análise, caso os bancos apresentem evidências que houve dano pecuniário devido a impossibilidade de acesso ao seu portal, estaria caracterizada a conduta. E por tratar-se de ação penal privada, caberia a instituição iniciar eventual procedimento criminal. É possível, ainda, caracterizar dano a imagem do banco, um ilícito cível ao qual a reparação pode ser buscada. O artigo 265 do Código Penal, que pune aquele que atentar contra a segurança ou serviço de utilidade pública, não poderia ser aqui utilizado, uma vez que o serviço alvo não preenche os requisitos do tipo penal.

O real problema está na individualização dos responsáveis pelas condutas. Em ilícitos por meios informáticos, o principal meio para auferir os indícios de autoria é através do número IP (Internet Protocol). Toda página da Internet, ao ser acessada, registra em seus sistemas as conexões à Internet (IPs) de seus usuários. Ao se ter acesso a estes números IP, é possível, através de uma demanda judicial, identificar a pessoa responsável por eles. Todavia, caso seja verificado os milhares de acessos das páginas dos bancos, e, em um exercício de elucubração, sejam propostas medidas judicias para todos eles objetivando identificar seus responsáveis, o máximo que teremos são os nomes e endereços dos proprietários dos computadores que receberam as ordens da "Autoridade de Comando e Controle". E qualquer pessoa pode estar com seu computador infectado, controlado por terceiros desconhecidos. Portanto, é necessário averiguar os responsáveis por trás da "C&C". E estes, normalmente, encontram-se protegidos por diversas camadas de conexões, tornando praticamente impossível utilizar números IP para tentar identificá-los. Temos, então, um caso onde outras evidências devem ser utilizadas, como investigações em fóruns de discussão onde normalmente os agentes discutem suas táticas e medidas. Trata-se, portanto, de um caso clássico onde nem sempre o número IP é útil, nem sempre a obrigatoriedade de guarda de logs é tem valia.

Assim, podemos concluir que os ataques de negação de serviço perpetrados contra os bancos tiraram do ar os seus serviços de Internet Banking por curtos períodos. Nenhum numerário foi desviado e nenhum dado copiado. Tratou-se de uma quantidade além do normal de acessos aos seus sites. Referida conduta, quando realizada com dolo pode caracterizar o tipo penal de dano, desde que este seja devidamente provado. Todavia, a real dificuldade se encontra em identificar os responsáveis, uma vez que em casos como este a quebra de sigilo de números IP não são suficientes.

_________