ArtigosDireito Digital

Ataques DoS e DDoS: anotações em face do ordenamento jurídico penal brasileiro

 

 

Por Marcelo Crespo

É cada vez mais comum nos depararmos com notícias relatando ataques DoS e DDoS a sites ou servidores na Internet. Não se trata propriamente de assunto novo já que há documento da Internet Engeneering Task Force – IETF – (Força Tarefa de Engenharia da Internet) datado de 1989 relatando que ataques deste tipo “são fáceis”.

Há alguns anos também se falava em ataques aqui no Brasil, sendo que tivemos vítimas como a Receita Federal, a Presidência da República, o Portal Brasil e a Petrobrás. Este episódio de 22 de junho de 2011, segundo se noticiou, teve início em computadores hospedados na Itália e foi reivindicado pelo LulzSecBrazil, mas não teria causado danos aos bancos de dados (em termos de perdas ou vazamento de informações).

Atualmente há até mesmo página onde se pode acompanhar online os ataques DoS e DDoS pelo mundo, o que pode ser visto no Digital Attack Map.

No entanto, com a exceção natural dos profissionais da área de T.I., são poucas as pessoas que sabem o que estas ações significam, como funcionam e quais as consequências. Este texto busca apresentar ao leitor tais respostas.

Visto isso é preciso esclarecer que DoS é uma abreviatura para Denial of Service que, no vernáculo, significa “Negação de Serviço” e que DDoS significa Distributed Denial of Service ou “Negação de serviço distribuída”.

Para melhor compreender o cenário dos ataques é importante lembrar que os sites ficam hospedados em computadores dedicados e de alta capacidade que são chamados de servidores e recebem esse nome porque servem às solicitações efetuadas pelos clientes (usuários comuns, como você, que está lendo esta matéria). Ocorre que os servidores possuem limitações quanto ao processamento de informações e quanto ao envio e recebimento de dados. Isso significa que um servidor não pode enviar dados infinitos e nem mesmo com velocidade capaz de atender ao máximo que um cliente pode requisitar. Além disso, o sistema que gerencia o servidor possui uma limitação de slots (requisições), o que determina o máximo de usuários que podem ser atendidos simultaneamente.

Assim, um ataque DoS ou DDoS tem como objetivo tornar um servidor, um serviço ou uma infraestrutura indisponíveis ao sobrecarregar a largura banda do servidor ou fazendo uso dos seus recursos até que estes se esgotem. Durante um ataque DDoS, vários pedidos são enviados simultaneamente a partir de diversos pontos da Internet e a intensidade desta prática tornará o serviço instável ou indisponível.

Para ilustrar sem contar com exemplos tecnológicos, imagine que diariamente você utilize o metrô para ir ao trabalho e que, em certa ocasião, uma grande quantidade de pessoas ingresse nos vagões de modo que a composição fique tão abarrotada que até mesmo a impeça de prosseguir a viagem por excesso de peso. Pois bem. Este metrô acabou negando o seu serviço de transportá-lo até um determinado local em razão das inúmeras solicitações de transporte recebidas pelo grande número de passageiros. Um número muito maior do que é capaz de suportar.

Vale salientar que essa explicação é apenas um esboço do todo que acontece por trás de um site na Internet. Na realidade, uma página grande da Internet tem múltiplos servidores, os quais conseguem atender milhares ou milhões de usuários simultaneamente. Também quanto aos ataques, há diversas formas de praticá-los tais como inundação SYN, cortina de fumaça, ataques multi-vetoriais, ataques volumétricos, ampliação e reflexão de tráfego, etc.

Os ataques DoS consistem, portanto, em tentativas de fazer com que computadores tenham dificuldade ou sejam impedidos de executar suas tarefas mediante ação destinada a sobrecarregar as máquinas de modo que neguem o serviço e parem de responder. Já os DDoS nada mais são que um tipo de ataque DoS, mas de grandes dimensões, utilizando até milhares de computadores para atacar uma determinada máquina, distribuindo a ação entre elas. Para o sucesso destes ataques é preciso um grande número computadores envolvidos, formando um grandioso exército atacante, o que muitas vezes se consegue pela inserção de vírus em diversas máquinas. O número de máquinas zumbis pode ser realmente grande, como já se noticiou algo em torno de 10.000.

No contexto acima relatado computadores domésticos como os nossos tornam-se importantes alvos de “escravização”, de modo a se tornarem, quase que imperceptivelmente, máquinas a servir práticas ilícitas de DDoS. Essa escravização de milhares de computadores para atuarem (não apenas em) ataques de DDoS é denominada botnet (neologismo derivado de robot + Internet), as máquinas escravizadas podem ser chamadas de “zumbis” e as que as controlam podem ser chamadas de “mestre”, “atacante” ou “líder”. Um computador “mestre” pode ter sob sua responsabilidade até milhares de computadores. Nestes casos as tarefas de ataque DoS são distribuídas a um “exército” de máquinas “escravizadas”, fazendo jus ao nome Distributed Denial of Service (Negação de Serviço Distribuída).

ddos

Imagem retirada e disponível em Infowester.

Mas, afinal, praticar os ataques DoS ou DDoS no Brasil é crime? Depende, haja vista que apenas parte das condutas foram previstas pela lei penal. Explica-se.

Nosso Código Penal tem a previsão do crime de “Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública” cujo §1º foi incluído pela Lei nº 12.737, de 2012 (equivocadamente conhecida como “lei Carolina Dieckman”). Neste sentido, há a tipificação da seguinte conduta:

Art. 266 – Interromper ou perturbar serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento:

Pena – detenção, de um a três anos, e multa.

§1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento.

§2º Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.

Antes da criação do §1º conforme acima descrito, o Código Penal já incriminava a conduta de quem interrompesse ou perturbasse os serviços telegráfico, radiotelegráfico ou telefônico, ou impedisse ou dificultasse-lhes o restabelecimento, nos termos do caput do art. 266, CP. Ao incluir o §1.º pretendeu-se resguardar, ainda, o serviço telemático ou de informação de utilidade pública. No entanto, para que haja fato típico (que a conduta de subsuma ao tipo penal) é fundamental que o serviço afetado seja público, ainda quando exercido por empresa concessionária (autorizatária ou permissionária). Significa dizer, então, que as atividades puramente privadas não estão protegidas pela lei, pelo que, com a tipificação advinda pela inserção do §1.º não se resolve o problema dos ataques contra particulares.

Esta é uma brecha que poderia ter sido fechada pelo legislador ao se editar a lei 12.7373/12, mas que, mais uma vez, foi deixada de lado pelo nosso Legislativo.

O Brasil carece, portanto, de um dispositivo que abranja os ataques DoS e DDoS voltados contra os particulares. Mas é preciso considerar somente isso não se mostra suficiente para impedir tais ataques, haja vista que a responsabilização criminal de pessoas que se encontrem em outros países não é nada simples e dependem, muitas vezes, de tratados entre os países envolvidos.

Enquanto não se muda a lei e enquanto não são feitos os tratados necessários, é importante seguir algumas dicas lembrando que não há fórmula única para impedir os ataques e que, ainda que se atue preventivamente, nada garante eficácia total contra eles. Sugere-se, assim, utilizar um bom antivírus e firewall (inclusive criando regras exclusivas e consistentes), não baixar arquivos de sites suspeitos e nem de anexos de e-mails cujo remetente se desconheça, manter boa vigilância dos pacotes de dados trafegados pela rede além de desligar a máquina quando não a estiver usando.

_Colunistas-MarceloCrespo

 

Autor

Advogado (SP) e Professor
Continue lendo
ArtigosCrime, Arte e Literatura

A Morte de Sócrates: do conhecimento à iniquidade

ArtigosDireito Penal

O Martelo das Feiticeiras e a busca da verdade real no processo penal

ArtigosDireito Penal

Será que os punitivistas são terraplanistas?

ArtigosPolítica Criminal

A relação entre a violência e o racismo

Receba novidades em seu e-mail