Por uma abordagem multidisciplinar para o Cibercrime

TER, 20 DE SETEMBRO DE 2011 23:50

Ainda que o grande público não se dê conta do tamanho e da importância do problema, é cada vez mais grave a ameaça do crime cibernético (ou cibercrime) às estruturas da sociedade contemporânea. Todos os dias, bilhões de mensagens enganadoras denominadas “phishing emails” atingem os computadores pessoais trazendo malware, programas exploradores de vulnerabilidades em sistemas digitais roubam dados de clientes armazenados em websites de empresas, acusações de ciberespionagem abundam, e diversos países se vêem perplexos diante de eventos de invasão de seus bancos de dados confidenciais às vezes com características de atos de guerra.

No Prefácio do volume “Cybercrimes: A Multidisciplinary Analysis” (Springer, 2011) que publicaram recentemente como organizadores, S. Ghosh & E. Turrini começam indagando o que há de tão importante no cibercrime. Seria apenas mais um tipo de crime tais como os crimes violentos ou financeiros? A resposta, segundo eles, seria tanto sim quanto não. Num certo sentido, o cibercrime é um crime como outro qualquer, pois é uma violação de uma lei criminal. Mas, por outro lado, três seriam as justificativas para não considerá-lo como um crime comum. Primeiramente, um único cibercriminoso de posse de apenas um computador, com o conhecimento apropriado e acesso à Internet, pode causar imenso dano social que antes era considerado imposssível. Depois, o potencial danoso do cibercrime aumenta a cada segundo todo dia, na medida em que as tecnologias de computação se tornam mais ubíquas. E, por último, mas não menos importante, cibercriminosos são frequentemente mais difíceis de apreender do que criminosos tradicionais, tornando a aplicação das leis do cibercrime ainda menos eficaz na prevenção do crime do que a aplicação das leis criminais em geral.

Três são os pilares sobre os quais se fundamentam as contribuições para o livro. O primeiro é que o cibercrime é uma ameaça social severa. A vulnerabilidade endêmica dos sistemas computacionais, as constantes evoluções na tecnologia da computação, a expansão continuada da computação em nossas vidas, e nossos históricos de exagero de conveniência, tudo se reúne num risco grave para a sociedade. Em segundo lugar, a condenação criminal é importante mas, por si só, não é nem de longe uma resposta à altura da ameaça. E, finalmente, precisamos de uma abordagem multidisciplinar, holística para a prevenção e a mitigação do cibercrime com o foco em três vertentes de ação: elevar o custo do ataque; aumentar o risco do ataque; e reduzir a motivação do ataque.

Em seu livro “Principles of Cybercrime” (Cambridge University Press, 2010) J. Clough adota uma classificação do cibercrime em três categorias: (i) crimes por computador; (2) crimes facilitados pelo computador; e (3) crimes apoiados pelo computador. Tal forma de classificação, ou uma variante dela, tem sido utilizada nos países da Commonwealth tais como Austrália, Canadá, e Reino Unido, assim como em nível internacional. A classificação objetiva, no final das contas, buscar uma resposta à questão se o cibercrime é uma forma inteiramente nova de ofensa, sem qualquer análogo no mundo offline, ou se é simplesmente crime antigo cometido de novas maneiras. O próprio autor assume que sua resposta seria: ambos.

Por outro lado, o receio de que as novas formas de crime acarretem em novas formas de policiamento e novas formas de vigilância, e, em última instância, a novas ameaças às liberdades civis, J. Barkin et al. em “Cybercrime: Digital Cops in a Networked World” (New York Univ Press, 2007) apresentam contribuições em cinco categorias conforme: (i) as novas cenas de crime; (ii) as novas formas de crime; (iii) os novos métodos de aplicação da lei; (iv) as novas formas de vigilância digital e prevenção do crime; e (iv) os novos procedimentos que as cortes e as legislaturas terão que adotar para lidar com as ameaças à segurança na Internet.

Em sua apresentação de um curso na New York Law School intitulado “Cybercrime, Cyberterrorism, and Digital Law Enforcement”, K. A. Taipale chama a atenção para o fato de que a emergência de sociedades modernas baseadas na informação nas quais o exercício do poder econômico, politico e social cada vez mais depende das oportunidades para acessar, manipular, e usar a informação e a infraestrutura de informações tem criado oportunidades para novos crimes e novas ameaças à sociedade civil e à segurança global, assim como para novas respostas para as autoridades responsáveis pela aplicação das leis e pela segurança nacional. O fato é que o mundo interconectado tem dado surgimento a novos crimes e novas respostas, e se faz preciso entender como as tecnologias da informação e da comunicação têm se tornado, ao mesmo tempo, uma ferramenta, um alvo, e um local de atividade criminal e de ameaças à segurança nacional, assim como um mecanismo de resposta.

São muitas as questões que surgem desse cenário: Como as nações regularão a conduta criminal além das fronteiras geográficas e políticas tradicionais? Quais são as expectativas razoáveis de privacidade no ciberespaço? Como o controle está se deslocando dos mecanismos tradicionais da aplicação da lei para novos regimes regulatórios, incluindo tecnologia?

Em seu relatório “Mobilizing For International Action” do “Second Worldwide Cybersecurity Summit”, realizado em 1 e 2 de Junho de 2011 em Londres, o EastWest Institute (EWI) assim descreve sua visão do desafio da cibersegurança: “À medida em que a inovação tecnológica se popularizou, a economia globalizada tem se tornado cada vez mais digitalizada. A cada dia dependemos mais da web e de sua infraestrutura, desde os cabos submarinos que carregam 99% do tráfego intercontinental da Internet até nossos dispositivos móveis. O cibercrime explorando essas tecnologias está em alta, mas os acordos, padrões, políticas e regulações de que precisamos para prover segurança ao ciberespaço vão ficando cada vez mais para trás. De modo a rastrear cibercriminosos, proteger usuários da Internet e garantir a segurança da infraestrutura crítica, temos que lidar com a crescente lacuna entre a tecnologia e nossos controles sobre ela. Prover segurança ao ciberespaço é um desafio global – desses que não podem ser resolvidos por uma única empresa ou país sozinho.” Foi justamente motivado por esse cenário que o EWI formou o Cyber40, uma coalizão de representantes dos países mais bem servidos em termos de tecnologia digital para trabalhar no sentido de formatar as “regras da estrada” para o tratamento de ciberconflitos e cibercrimes através da cooperação internacional.

Além da participação de representantes de 43 países, entre eles líderes da indústria de tecnologia da informação e da comunicação, embaixadores e autoridades da área de defesa de vários países tanto do Ocidente quanto do Oriente, o encontro de Londres contou com a participação do jornalista inglês Misha Glenny, mais conhecido por seu livro sobre o crime organizado internacional “McMafia: A Journey Through the Global Criminal Underworld” (Vintage, 2008), autor também de um livro a ser publicado sobre o submundo do cibercrime: “DarkMarket: Cyberthieves, Cybercops and You” (Knopf , Outubro 2011). Em sua palestra “The Nexus of Cyber Crime, Espionage and Cyber Warfare”, Glenny argumenta que, apesar dos investimentos multibilionários em cibersegurança, um de seus principais problemas tem sido amplamente ignorado: quem são aquelas pessoas que escrevem os códigos maliciosos? O fato é que, apesar da ampla disponibilidade de kits de “faça você mesmo ataques cibernéticos”, a participação dos especialistas no assunto, isto é, os hackers, é fundamental para o sucesso das operações. Segundo Glenny, o que ocorre, no entanto, é que, apesar do hacker ser elemento absolutamente essencial, eles são apenas um elemento numa empreitada cibercriminosa, e, além de, em grande parte, não terem motivação financeira, não raro se constituem na parte mais vulnerável. Apesar disso, pouco ou nada se faz no sentido de buscar um melhor entendimento sobre o perfil do hacker. Exceção notável, conta Glenny, é o “Hackers Profiling Project” do Institute of Security and Open Methologies (ISECOM) de Torino (Itália) iniciado em Setembro de 2004, com apoio da ONU.

Uma das conclusões até certo ponto surpreendentes a que chega Glenny após um contato direto com diversos personagens marcantes do mundo do cibercrime é a de que há uma alta incidência de hackers com características de autistas ou, em alguns casos, consistentes com a síndrome de Asperger. Segundo  Simon Baron-Cohen, professor de psicopatologia do desenvolvimento na Cambridge University, certas disfunções dos autistas podem se manifestar no universo do hacking e da informática como habilidades espetaculares, tais como ocorre com alguns célebres autistas com excepcionais habilidades matemáticas a exemplo do savant inglês Daniel Tammet. Daí, é preciso encontrar maneiras de oferecer apoio a esses “fuçadores” (significado original de “hackers”) de tanto talento. Como diz Glenny, se confiarmos apenas no sistema jurídico criminal e na ameaça de sentenças punitivas, tal como parece ser a norma no momento, estaremos criando um monstro que não conseguiremos domar.

Ao que tudo indica, a mera aplicação de sanções não vai ser suficiente para minimizar ou mitigar essa ameaça severa que é o cibercrime. É preciso buscar uma melhor fundamentação de uma abordagem multidisciplinar ao problema, e, ao mesmo tempo, desenvolver ferramentas para avaliar a eficácia dos métodos sugeridos no volume organizado por Ghosh & Terrini para cada uma das três vertentes de ação.

Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE