A crescente ameaça do ransomware à Administração Pública
Através da exemplificação de casos concretos em que os criminosos colocaram a Administração e seus dados como reféns, se verá como tal fraude tende a ser mais frequente e a necessidade premente de se voltar os olhos para a segurança da informação.
terça-feira, 26 de novembro de 2019
Atualizado às 09:44
I - Introdução
Através do presente artigo se pretende em breve palavras exortar em especial à Administração Pública ao perigo crescente e presente do ransomware, trazendo suas implicações práticas. Através da exemplificação de casos concretos em que os criminosos colocaram a Administração e seus dados como reféns, se verá como tal fraude tende a ser mais frequente e a necessidade premente de se voltar os olhos para a segurança da informação, mormente tendo em vista os ataques cibernéticos recentes que vieram reforçar esta necessidade.
II - Definição e contornos da ameaça
O ransomware (fusão de ransom = resgate em inglês + malware) nada mais é que um malware ou software malicioso que é introduzido de forma sub-reptícia por criminosos cibernéticos - inclusive via Torrent ou Tor1 - em equipamentos alheios (computadores, tablets, celulares, etc) e que gera a possibilidade de bloqueio remoto.
Ocasiona a criptografia do aparelho em si, muitas vezes através de um pop-up indesejado que aparece na tela (por vezes com possibilidade de chat para negociação dos valores a serem transferidos) em que se exige pagamento de valor para liberação dos dados. Segundo o McAfee Labs, as amostras de ransomware cresceram 169% em 2015 e o total de amostras do malware já somam quase 6 milhões, número extremamente significativo e preocupante.
Nem sempre um resgate em dinheiro é pedido, porém há sempre o elemento "chantagem" presente uma vez que há grupos que se utilizam destes mesmos métodos para pressões sociais, como é o caso do "grupo" Anonymous, que afirmou por sua célula brasileira haver atacado os computadores da ANATEL em junho do ano corrente, exigindo firme posição acerca do fim da franquia de dados na internet fixa. Curiosamente já se detectou ademais uma modalidade de um auto-proclamado ransomware Robin Hood2 haja vista que as pessoas por detrás da fraude afirmam que o dinheiro pago pela chantagem será revertido à caridade e ao cuidado de crianças.
Em termos criminais3 a conduta em questão pode se amoldar tanto ao novel art. 154-A do Código Penal4 (invasão de dispositivo informático) como em extorsão (art. 158) em sua forma consumada e não tentada como se poderia pensar5. Parece-nos, a princípio, não haver possibilidade de se cogitar da consunção entre ambos a despeito da extorsão ser de fato mais grave, uma vez que envolvidos bens jurídicos diversos e inclusive de títulos diversos do referido Código (patrimônio e inviolabilidade dos segredos da pessoa).
De acordo com o especialista da DELL, Erik Scoralick6, o Brasil é o país da América Latina que mais concentra casos de ransomware, reunindo cerca de 92% dos casos relatados. A situação se torna mais grave, pois muitos destes crackers são verdadeiramente financiados por empresas e por vezes até por governos.
Verifica-se que há certa importação dos métodos utilizados pela Rússia e resto do Leste Europeu para o Brasil nos quais este crime está concentrado, podendo se falar inclusive numa venda de know-how, acompanhado de uma tropicalização em terreno pátrio, por vezes até aperfeiçoando as técnicas.
Ultimamente os larápios virtuais resolveram sofisticar a ameaça e passaram a oferecer o "Ransomware as a Service", em outras palavras, seus criadores desenvolvem os malwares e decidem colocá-los à venda na deep web para pessoas que estão dispostas a espalhar a ameaça, todavia não têm ainda o conhecimento técnico necessário para desenvolvê-la. É claro que a facilidade e rapidez no lucro tem disseminado esta modalidade criminosa: já se contabilizaram 325 milhões de dólares de prejuízo aos usuários!
Importante gizar que a evolução da cloud computing permite dar maior visibilidade a crimes como este, no qual pessoas ao redor do globo pagam por ataques como um serviço e ainda compartilham o butim na web. Por isso, esta ameaça - a que queremos dar o devido grito de alerta - estão se popularizando, e se tornando mais cessíveis e perigosas.
Através desta oferta encontrada na indefectível deep web, pessoas de caráter duvidoso acabam por efetuar downloads de verdadeiros kits, proceder aos ataques e por fim chantagear as vítimas em troca de valores. É a verdadeira fraude eletrônica prêt-à-porter.
Na lógica deste esquema criminoso, ao autor efetivo da ameaça cabe uma porcentagem do valor do resgate e quem encomendou o crime ou foi seu autor intelectual como sói dizer, toca a maior parte do dinheiro. Disseminando ameaças em poucas unidades ao dia já garante aos criminosos pequenas fortunas.
Tudo isso eis que na maioria esmagadora das vezes o resgate pedido não tem um valor abusivo, diga-se assim, um valor em que a vítima considera pagar ao comparar os gastos que teria com a recuperação do sistema, especialmente se não detém backup.
É de fato altamente rentável - correntemente o preço dos resgates solicitados pelos golpistas variam entre 300 e 500 dólares, com destaque para ataques direcionados ao consumidor final e às empresas de porte menor (preço também observado em Prefeituras que estiveram na mira do ransomware). Não obstante, os ataques vêm vicejando e tendem a se agravar, em razão até de um balance point atingido por parte dos chantagistas virtuais com relação às quantias solicitadas indevidamente.
O pagamento do assim chamado resgate muitas vezes não é feito em dinheiro, mas em Bitcoins7 ou moedas semelhantes, o que se faz para se dificultar ou mesmo impossibilitar qualquer espécie de rastreamento. Como é sabido a Bitcoin é conhecida por muitos como "moeda do mercado cinza" por conta da possibilidade de anonimato e falta de rastreabilidade.
Justamente em virtude disso há maior desafio às autoridades policiais, acostumadas ao follow the money em suas investigações diuturnas, sendo complexo lidar com o sofisticado modus operandi empreendido.
Em terras norte-americanas já há maior preparação para os incidentes em questão, havendo o FBI recentemente até lançado informativo em seu sítio eletrônico a respeito do tema, valendo dizer que há forte recomendação para o não pagamento de resgate, até para não alimentar esta "indústria", bem como elencando medidas de segurança (prevention efforts e business continuity efforts8).
III-A Administração Pública como vítima
O caso mais emblemático que envolve o ransomware e ataque à Administração Pública, porquanto teve maior estrépito foi sem dúvida o sucedido em Pratânia (SP) no ano de 2015, quando hackers (em verdade crackers9) invadiram e bloquearam totalmente o sistema de dados daquela Prefeitura no interior paulista.
A gravidade foi tamanha que levou à paralisação do pequeno Município, com menos de dez mil habitantes, pois todo o sistema de informação foi corrompido e bloqueado por senha a que apenas os sequestradores virtuais tinham conhecimento, e ofereceram por valor equivalente a três mil dólares americanos, constando no aviso que não haveria espaço para descontos e barganhas.
Como de fato não havia garantia alguma de que os arquivos iriam retornar ao normal mesmo se houvesse o atendimento do resgate requerido e a extorsão poderia continuar, optou-se por chamar uma equipe especializada para tentar a descriptografia de dados.
Dado o insucesso da empreita, foi necessária a contratação sem licitação de empresa especializada para projeto de um novo sistema - embora alguma parte do histórico de dados foi preservada, pois havia um backup mínimo - para possibilitar a prestação de contas aos convênios estaduais e federais e promover a liberação de recursos que estavam congelados.
É fato que o art. 24, IV, da lei de licitações, frente à situação de emergência (quiçá calamidade pública devido à paralisação dos serviços) autorize tais contratações sem licitação, contudo, os administradores que não se cercaram da devida segurança dos dados, podem ter incorrido em condutas omissivas e responderem pela eventual incúria administrativa.
No Mato Grosso do Sul, Japorã - com maioria de população indígena - foi outro Município em que se detectaram ataques sucessivos dos criminosos, direcionados especialmente à Secretaria de Finanças - a prejudicar diretamente cobrança de tributos e pagamento dos salários - de tal maneira que se considerou o pagamento do resgate, de valor próximo a quinze mil reais, alto para o porte dos cofres locais.
Note-se que, como não há rubrica orçamentária disponível para "pagamento de extorsões", não foi possível à Administração justificar o pagamento do aludido resgate, pelo que foi necessário que os próprios fornecedores do Município se cotizassem para bancar a quantia e pudessem "destravar" as contas públicas.
Outros municípios como São Tomé/RN, Guaranésia/MG, Grandes Rios/PR, Santana do Itararé/PR, Rio das Ostras/RJ, Piripiri/PI, Castanheira/MT, Brasnorte/MT, Lages/SC, dentre outros sofreram semelhantes ataques.
Perceptível que as Administrações vítimas são sempre órgãos públicos de recursos mais parcos e que de fato não mantém condições de devido investimento em segurança da informação como possível em empresas privadas - muito embora no campo privado haja prevalência de ataque para empresas de pequeno e médio porte, igualmente com limitações de recursos e investimentos em segurança.
Os próprios criminosos têm a noção de que nos quadros de pessoal destes órgãos não há especialistas ou sequer profissionais de TI para lidar com essa gama de ameaças e que eventual contratação de especialistas para debelar tais crises por parte dos entes públicos não é célere.
Mas não apenas as pequenas Administrações de rincões do país são eleitas para os ataques, eis que, em maio de 2017 o malware WannaCry, em ataque massivo de ransonware, fez grandes estragos em dezenas de países afetando empresas de grande porte, e, no Brasil, ainda foi direcionado para o Ministério Público e para Tribunais do país, dentre outros órgãos públicos.
A situação foi de tal relevo que, no âmbito do Tribunal de Justiça de São Paulo, foi solicitado aos seus usuários que desligassem imediatamente os computadores e aparelhos na data do ataque maciço, e o próprio site acabou ficando fora do ar por alguns momentos.
O ataque em questão demonstrou que mesmo entes de maior porte da Administração ainda não estão devidamente preparados e mesmo alertas para esta ameaça cibernética, uma vez que ainda há espaços de vulnerabilidade e flancos abertos para novos golpes.
A situação ganha maior gravidade uma vez que se dados sensíveis dos cidadãos forem divulgados, escapados da esfera de sigilo a que deviam se manter, é possível a responsabilidade do Estado com inúmeras demandas judiciais em seu desfavor, potencializando os prejuízos. Igualmente o pagamento extemporâneo de servidores também pode gerar responsabilidades, a gerar eventualmente danos materiais e morais a serem suportados pelo ente público.
IV - Medidas de prevenção contra ransomware e outros malwares
Existem diversas medidas de proteção contra ransomware e outros malwares, que são citadas por especialistas, as quais relatamos as seguintes:
a) Atualizações: primordial manter os sistemas operacionais, o software e as aplicações atualizadas. Importante ainda garantir que a atualização automática esteja habilitada para obter todas as últimas atualizações de segurança. As mencionadas atualizações podem ser feitas pelo gerenciamento de patches, diminuindo sistemas obsoletos e, portanto, mais vulneráveis. Do inglês, Patch Management, o gerenciamento de patches é uma área de gerenciamento de sistemas que envolvem aquisição, teste e instalação de correções/atualizações no código para um sistema de computador administrado. Há neste ponto dificuldades pois mesmo no setor público não raro se encontram softwares piratas em utilização, ao total arrepio da lei.
b) Utilização de Firewall, antivírus, antispywares e antimalwares: no varejo atual existem algumas medidas de proteção que podem ser adotadas para dificultar uma "invasão" e proteger o computador contra hackers, sendo a principal delas é a utilização de um firewall, espécie de dispositivo responsável por controlar o tráfego de dados entre computadores e a rede externa. A utilização de antivirus e antimalwares - além de senhas seguras - também é um importante fator para aumentar a segurança dos equipamentos em geral.
Indubitavelmente, a utilização simultânea de mais de um programa da mesma categoria, como dois antivírus, pode causar conflitos entre as ferramentas de proteção e impedir o correto funcionamento da mesma, reduzindo sua eficácia, pelo que se requer um estudo detido para avaliar sua conveniência.
Como já citado, firewall, nome de portas antichamas, é um software responsável por criar diretivas de segurança para o tráfego de dados, criando "barreiras" às ameaças presentes na rede externa, por meio do monitoramento das portas do computador. A não utilização de um firewall deixa o computador desprotegido e vulnerável ao acesso de pessoas e softwares mal-intencionados, deixando as portas (de conexão do computador) livres para que qualquer um acesse, em especial os malfeitores envolvidos com o ransomware.
É importante lembrar que o "firewall adequado" varia de acordo com as características de navegação de cada usuário, assim como suas necessidades (sendo digno de nota que os entes públicos têm necessidades peculiares frente aos demais). O principal motivo para isso é que a maioria dos softwares necessita de configurações iniciais e de um tempo para se adaptar ao sistema e à forma de utilização do internauta. Atualmente há os denominados firewalls de próxima geração (NGFWs) que são tidos como a última palavra na defesa de sistemas, aliando inspeção profunda de pacotes sem afetar o desempenho.
Existem diversos tipos de vírus na internet e, graças à constante produção desses "vírus virtuais", muitos ainda não foram identificados ou estão em fase de identificação e preparação de "antídotos". Suas ações variam desde simples modificações no sistema até a liberação do acesso de crackers.
Da mesma forma que os programas antivírus, os antispywares têm a função de impedir o acesso de vírus aos dados, identificando e removendo os que, eventualmente, já tenham sido instalados. A atualização constante dos softwares e a utilização conjunta de um antivírus - alguns vírus contêm spywares - são as melhores formas de aumentar a segurança do seu computador. Podemos citar como exemplo, Spyware, um tipo de programa espião, semelhante ao malware, responsável por invadir computadores e, sem conhecimento ou autorização, transmitir dados confidenciais (como senhas de banco, e-mail ou rede social ou dados constantes em cadastros públicos) para uma rede externa. Com isso, o vírus acaba por tornar o sistema vulnerável e passível de ser utilizado por usuários maliciosos.
c) Password. Criação de senhas10: Normalmente, a criação de senhas é uma tarefa que, de tão simples, não merece atenção e não oferece nenhum perigo - e é exatamente com esse pensamento que usuários mal-intencionados contam, pois, sem muito esforço, conseguem descobrir muitas senhas e ter acesso a todo o conteúdo que elas guardam.
Utilizar datas de nascimento, números de telefone, nomes de animais de estimação, de ex-namorados (as) ou sequências numéricas como senha não é uma atitude recomendada e está longe de ser uma estratégia segura. Estudos já comprovaram e, recentemente, a divulgação de senhas pelo grupo hacker LulzSec confirmou que a senha "123456" continua sendo a mais utilizada, por mais óbvia que seja - o que demonstra a despreocupação de alguns com a segurança da informação (também refletida na Administração Pública).
Portanto, altamente recomendável a utilização de senhas seguras, também chamadas de "senhas fortes". As principais dicas para a criação de senhas desse tipo consistem em utilizar letras e números, maiúsculas e minúsculas, e códigos com, no mínimo, seis caracteres. A combinação desses elementos não impede, mas com certeza dificulta a ação de hackers.
Para além da utilização de senhas seguras, é certo que não se deve compartilhá-la. É inadequado e há quebra de regras de conduta exigidas inclusive quando se assina o Código de Ética de conformidade com a lei estadunidense Sarbanes-Oxley (Public Company Accounting Reform and Investor Protection Act 2002).
d) Backup. Recuperação: O Backup tornou-se um requisito básico para a segurança e continuidade das informações. Dada sua eficiência, o cloud backup tem sido a opção mais buscada como meio de backup, mas meios internos como cópias dos dados em servidor interno, ou até mesmo em HD externo também são utilizadas. As soluções de backup externo e interno podem ser complementares, e não concorrentes. Para a Administração Pública o backup tem sido a maneira mais eficaz de preservação de dados, ainda que em meio físico - porquanto mais barato - pois, ainda que o acesso seja inviabilizado pelo ataque, há uma outra fonte à qual se pode recorrer.
e) Navegação: De nada adianta possuir as melhores ferramentas de proteção do mercado se o usuário não tiver cautela na navegação. Sendo assim, o internauta (bem como o servidor/empregado público) deve estar sempre atento aos sites que frequenta e evitar acessar páginas de procedência desconhecida ou com conteúdo suspeito. Além disso, é importante também ter cuidado com os e-mails e mensagens (spams) presentes em redes sociais e outros sites, pois muitas vezes são enviados links para páginas falsas (phishing) ou mesmo contendo spywares
f) Computador corporativo: Diante das ameaças apresentadas, a melhor maneira de evitar o ransomware e os tipos de malware ainda é por meio da conscientização dos usuários, algo que ainda se vê num horizonte distante no panorama público, o que é de se lamentar.
Importante também, transmitir as medidas de prevenção para os empregados terceirizados (também presentes no cotidiano público), pois possuem acesso a diversos tipos de informação. Tem-se adotado um Código de Conduta do Terceirizado com assinatura do empregado terceirizado e a empresa contratada.
Logo, para combater com maior precisão o ransomware e os tipos de malware é essencial a criação de políticas técnicas e jurídicas, com uso de softwares de monitoramento.
V - ConclusãoAssim como entes da Administração Direta e Indireta (em especial os mais frágeis como se anotou aqui), o próprio Ministério Público, importantes empresas estatais e sociedades de economia mista e outros órgãos detentores de informações públicas confidenciais também podem ser alvos destas fraudes que vem crescendo em número vertiginoso.
Urge abrir os olhos para implantação de políticas firmes de Segurança da Informação11 as quais a Administração Pública não pode passar ao largo, ainda que elaboradas em se pensando primordialmente no mundo privado, porém, aplicadas com as devidas adaptações ao ambiente público.
Por óbvio não se está a afirmar que a simples adoção das boas práticas consolidadas e métodos de prevenção - partindo tanto da gestão de pessoas quanto de medidas técnicas - irá eliminar a constante ameaça do ransomware, o que ocorre é que a Administração Pública deverá empreender o máximo de esforços para redução do perigo, a partir do momento em que detém uma caterva de dados sensíveis, cabendo-lhe em contrapartida um dever de zelo muito maior que o atribuído aos sujeitos privados indubitavelmente.
___________________________
1 Estima-se que apenas uma modalidade de ransomware, o Cryptolocker, já tenha infectado mais 234 mil computadores ao redor do globo.
2 "Ao contrário dos ransomwares tradicionais, que atuam com táticas baseadas no medo, um novo tipo de ataque de ransomware CyptMix pede pela sua generosidade. Parte do aviso do ransom diz: "Seu dinheiro vai ser gasto em caridade para crianças. Isso significa que você vai ter uma participação nesse processo também. Muitas crianças vão receber presentes e ajuda médica! E todos nós acreditamos que você é uma pessoa honesta! Muito obrigado! Nós desejamos o melhor para você! Seu nome vai estar na lista principal de doadores e vai ficar na história da caridade!" Eles não só supostamente vão doar parte do valor do resgate para crianças, como também afirmam que vão oferecer suporte técnico por três anos. Mas pensamos que uma inclinação altruísta de um cibercriminoso é altamente improvável. Disponível em: Clique aqui . Acesso em 12/07/16.
3 Veja-se que há mais de dez anos ao menos o Brasil lidera negativamente o ranking de países com maior número de crackers, que sempre se aperfeiçoam em novos crimes e golpes na praça, como anotam os autores a seguir, que também observam que a legislação pátria pode muito bem ser aplicada aos crimes cibernéticos: "O Brasil atravessa uma fase difícil quanto à prática de crimes eletrônicos. Por algumas vezes consecutivas lideramos o ranking dos países com o maior número de crackers (um tipo de hacker) do mundo. (...) Tudo isso apenas vem confirmar que nossa legislação vigente pode ser aplicada aos crimes cibernéticos. O trâmite processual em si permanece o mesmo. Da mesma forma, permanecem os elementos que a Justiça buscará demonstrar ao longo da instrução penal: a certeza da autoria e elementos probatórios que comprovem que o ilícito efetivamente ocorreu, o que chamamos de materialidade delitiva. Uma vez demonstradas, portanto, a autoria e a materialidade, será possível processar o réu pelo crime cometido, seja este praticado por intermédio dos meios eletrônicos ou não." ABRUSIO, Juliana Canha; BLUM, Renato Ópice. Crimes eletrônicos. Disponível em: clique aqui . Acesso em: 09/09/16.
4 Inserido pela lei 12.737/12 (a so-called Lei Carolina Dieckmann)
5 Súmula 96 (STJ): O crime de extorsão consuma-se independentemente da obtenção da vantagem indevida
6 Em brilhante palestra proferida na Comissão de Estudos de Tecnologia e Informação do IASP em 06/06/16.
7 "All the main variants take Bitcoins as payment. TeslaCrypt also offers PaySafeCard and Ukash. The standard rate is in the region of $500, though there can be slight variations on this figure, and with some variants the exact amount can be set by the affiliate distributing the sample. The four major variants each allow at least one free file decryption, which seems to be a lesson learnt from early file encrypting Ransomware variants where the ransom was often not paid as the victim had no proof that those demanding the ransom were able to perform the decryption." The current state of ransomware -Disponível em Clique aqui Acesso em 10/07/16
8 Disponível em Clique aqui Acesso em 09/07/16
9 "Originalmente, o termo Hacker é aplicado para aqueles indivíduos que possuem um conhecimento superior aos outros em determinada área e, ao contrário do que muitas pessoas imaginam, utilizam essa virtude para ajudar e não para destruir, como comumente é veiculado nas mídias. Desde o início da década de 90, este termo tem sido utilizado na área tecnológica, mais precisamente na área da informática. Os Crackers, termo utilizado para identificar aqueles indivíduos que também possuem um conhecimento elevado relacionado à tecnologia, mas que não a utilizam de maneira positiva, são os que invadem sistemas e promovem ações com a intenção de prejudicar os outros, como desfigurar páginas da Internet ou promover a invasão de PCs (Computadores Pessoais) de usuários leigos. O problema existente quanto à diferenciação entre os termos é tanta, que existem casos de livros e filmes em que o termo "Cracker" é substituído por "Hacker" pelo tradutor, sem a menor preocupação." (MARQUES FILHO, Glenio Leitao. Hackers e Crackers na internet: as duas faces da moeda. Disponível em clique aqui . Acesso em 11/07/16)
10 Em interessante artigo no Estadão "Senhas e Sanhas", Demi Getschko pontua que a despeito do advento da biometria, a utilização de senhas ainda oferece vantagens dignas de nota:"Elucubremos: um dado biométrico é certamente pessoal. Mas será ele "privado", no sentido de que possa ser mantido em segredo? Ora, as impressões digitais estão em inúmeros cadastros, inclusive o eleitoral, além, claro, dos copos de cerveja usados; a íris é visível em fotos; a voz grava-se com fidelidade, o DNA está num simples fio de cabelo perdido. Pior que isso, nada impede que alguém nos force (conscientemente ou não) a colocar o dedo num sensor, a olhar para uma câmera ou falar num microfone e... eis aí obtida a nossa "identificação pessoal positiva".A senha, porém, mora em uma casa talvez ainda inexpugnável: nossa "cachola"... Claro que há meios, especialmente usando "big data", que podem dar dicas de quais seriam nossas escolhas prováveis de senha. Com capacidade de processamento, um ataque de "força bruta" testando milhões de alternativas, pode quebrar senhas fracas. Pior, se alguém precisa vitalmente saber nossa senha pode recorrer a processos dolorosos para que a revelemos, mas, claro, essa é uma possibilidade remota e terrível, não um prosaico caso de furtos de dados". Disponível em Clique aqui Acesso em 11/07/16
11 "Os principais objetivos da criação da Política da Segurança da Informação são: adequar o sistema de controles à crescente complexidade operacional; b) reduzir os riscos de descontinuidade, parcial ou total, da operação; c) reduzir os riscos de vazamento de segredos do negócio; d) reduzir os riscos de fraudes; e) reduzir os riscos de não cumprimento de obrigações legais; f) atender às recomendações da auditoria externa; g) adequar o sistema de gestão de riscos e TI aos padrões de mercado; i) comunicar formalmente o que é permitido ou proibido em relação à manipulação de informações e uso de sistemas da empresa; j) informar que o não cumprimento da política poderá gerar punições e até mesmo a demissão por justa causa; k) servir como diretriz para que todas as áreas da organização revejam seus procedimentos, sistemas, ativos de informação e serviços prestados com o objetivo de tornarem- se conformes à nova política. Ressaltamos que a Política de Segurança da Informação é um documento jurídico no Modelo da Diretriz que traz todas as regras, padrões e procedimentos obrigatórios para proteção dos ativos e atividades da empresa, cada vez mais dependentes da informática, da Internet, do email" (PINHEIRO, Patricia Peck. Direito Digital. 5ª ed. São Paulo: Saraiva, 2013, pp. 182/183)
____________
ABRUSIO, Juliana Canha; BLUM, Renato Ópice. Crimes eletrônicos. Disponível em: clique aqui.
GETSCHKO, Demi. Senhas e Sanhas. Disponível em Clique aqui;
MARQUES FILHO, Glenio Leitao. Hackers e Crackers na internet: as duas faces da moeda. Disponível em: clique aqui.
PINHEIRO, Patricia Peck. Direito Digital. 5ª ed. São Paulo: Saraiva, 2013.
____________
*Priscila Ungaretti de Godoy Walder é advogada Pública da PRODAM (Empresa Municipal de TIC de São Paulo). Membro da Comissão de Direito e Tecnologia do IASP. Especialista em Direito Constitucional pelo CEU - IICS - Instituto Internacional de Ciências Sociais - Escola de Direito, MBA pela Fundação Instituto de Administração - FIA.
*Vinícius Lobato Couto é advogado Público da PRODAM (Empresa Municipal de TIC de São Paulo). Ex-Procurador do Município de Valinhos (SP). Membro da Comissão de Direito e Tecnologia do IASP. Especialista em Direito Tributário (USP) e Direito Processual Civil (EPM).
