Cyber Crimes – Delegado Mariano

Archive for the ‘Artigos’ Category

Já faz alguns anos que uma enorme quantidade de novas tecnologias estão sendo introduzidas para uso por parte das forças policiais no mundo inteiro.
Esses novos avanços tecnológicos estão levando técnicas de investigação criminal a níveis jamais sonhados pela sociedade, que vê a segurança pública como um tormento nas grandes cidades.
Elas podem variar de simples upgrades instrumentais para melhorias sensoriais que permitem a elucidação de crimes extremamente complexos.
Mas se por um lado os avanços obtidos com o uso destes instrumentos nas investigações permite que mais e mais crimes sejam rapidamente solucionados, algumas dessas novas ferramentas de investigação criminal estão levantando inúmeras preocupações para os cidadãos comuns, principalmente em se tratando de sua privacidade.
Mas independente as mais variadas opiniões a respeito de temas como este, fato é que, as benesses que estas novas ferramentas proporcionam superam em muito eventuais insatisfações que possam ocorrer.
Mas se torna imprescindível que o uso da mais moderna tecnologia por parte dos órgãos de segurança pública e com significativa modernização das investigações criminais seja devidamente adequado aos dispositivos constitucionais que asseguram o direito da população a sua privacidade.
Mas de que forma a privacidade das pessoas pode ser afetada pelo uso de novas tecnologias por parte das forças policiais?
Vamos tomar como exemplo a utilização de Dardos Rastreados por G.P.S. por policias de países desenvolvidos e em desenvolvimento.
Estes Dardos Rastreados por G.P.S. são dispositivos que permitem a um policial disparar um pequeno dardo pegajoso o qual contem em seu interior um micro rastreador G.P.S., cujo monitoramento pode ser realizado a partir do interior de um veículo, o qual pode acompanhar a uma distância segura um veículo suspeito.
Isso permite que o veículo suspeito possa ser acompanhado tanto pelos policiais envolvidos como também remotamente por sua unidade policial, a qual poderá inclusive interagir com seus funcionários no acompanhamento do veículo à distância, tudo isto sem que ninguém perceba a vigilância por parte da Polícia.
Em investigações relacionadas ao furto de veículo, as quais normalmente necessitam do acompanhamento dos furtadores no transporte de automóveis que deverão ser desmanchados, este tipo de equipamento permite uma rápida intervenção, além de impedir o espúrio relacionamento entre as empresas privadas de rastreamento de veículos e as forças policiais.
Importante destacarmos que o rastreamento de pessoas e veículo sem uma justa causa e autorização judicial será fatalmente questionado pela defesa, por constituir-se em infração aos ditames constitucionais.
A utilização deste tipo de equipamento, por parte de órgãos policiais, constituir-se-ia em afronta direta ao direito fundamental à privacidade, constituindo-se assim em ofensa à dignidade da pessoa humana.
O principio da dignidade da pessoa impõe limites ao poder estatal, visando impedir que o poder público venha a violar a dignidade pessoal, mas igualmente implica em que este mesmo Estado venha a promover a proteção e promoção de uma vida com dignidade para todos, sendo certo que o direito à privacidade desdobra-se no direito à intimidade, à vida privada, à honra e à imagem.
Portanto, existe vedação expressa para a utilização de dados ou imagens pessoais para fins sociais não expressamente previstos pelo ordenamento jurídico e sem a competente autorização judicial, quando necessária.
Outra questão que merece uma análise bem mais apurada e a coleta de Indícios e provas em “Websites” por parte de órgãos policiais.
O monitoramento de dados online na internet para fins de prova criminal não é algo exatamente “novo”, sendo certo que abundam notícias da coleta de informações em perfis de usuários ou em comunidades nas redes sociais para contradizer depoimentos de testemunhas ou informações prestadas por vítimas e investigados.
No entanto, o escopo dos sites que a polícia, advogados e juízes podem percorrer para obter informações tem se expandido rapidamente, e inúmeros outros estão sendo acrescidos diariamente a lista daqueles já existentes.
Este tipo de ação por parte de órgãos policiais levanta mais uma vez a questão da privacidade na medida em que será necessária a criação de regras mais claras com relação a este tipo de coleta de provas e indícios.
Mesmo questões importantes como à coleta de provas relacionadas a venda de bens roubados e a comercialização de produtos objeto de descaminho ainda não foram devidamente disciplinadas, havendo uma série de lacunas no que tange as forças policiais cuja atuação é cotidianamente questionada.
Fato é que, este tipo de procedimento por parte dos órgãos policiais pode realmente ajudar na melhoria da segurança e no aumento da eficiência dos órgãos de segurança pública, mas ele realmente precisa ser usado com cuidado.
É indiscutível que a polícia precisa levar em conta as regras que norteiam a busca e apreensão, quando for necessário, sob pena de virem a ser absolutamente desconsideradas todas as provas e evidências que forem coletadas no curso de uma investigação.
Mas podemos ir muito mais longe: a Polícia precisa respeitar todas as regras constitucionalmente estabelecidas com relação a razoáveis expectativas das pessoas com relação a sua privacidade.
Explico: existem limites constitucionais com relação ao uso de alta tecnologia por parte da polícia, o que pode ser exemplificado como nos casos de limitações relacionados ao uso de escutas telefônicas e de imagem térmica infravermelha.
Um dos princípios orientadores legais nestes casos é que as buscas policiais sem mandado através de meios de alta tecnologia são inconstitucionais caso esta tecnologia não esteja disponível para uso público em geral.
Podemos argumentar que se o público tem acesso a dispositivos de alta tecnologia, então, realmente, não existe uma expectativa razoável de privacidade a partir destes dispositivos, pois qualquer um seria capaz de usá-los, não apenas a polícia.
Milita em favor deste nosso posicionamento o fato de que inúmeras provas e indícios existentes nas redes sociais são ilimitamente aceitas pelos Tribunais brasileiros uma vez que este tipo de prova pode ser utilizado pelo público em geral.
Mas há que ser lembrado que a Polícia precisa de uma autorização judicial para o uso de dispositivos que são menos acessíveis ao público, tais como os dardos com rastreamento por G.P.S..
Obviamente que esta situação traz como principal dificuldade a definição do tipo de tecnologia que pode ser amplamente utilizada pelo público em geral e do tipo de tecnologia que estaria apenas acessível às forças de segurança pública.
Sempre ficará pendente a questão de saber se as mais recentes tecnologias utilizadas pelas forças policiais em alguns casos são de uso público em geral ou não.
E este tipo de questionamento pode ser mais tormentoso ainda do que se imagina.
Forças policiais de países desenvolvidos tem se valido intensamente da utilização de veículos de vigilância dotados de equipamentos de Raio-X para a identificação de ameaças a segurança interna e para o monitoramento de locais e pessoas.
Uma das empresas que fabrica veículos equipados com equipamentos de Raio-X declarou ter vendido mais de 500 unidades somente no ano de 2011.
E esta empresa não revela quem seriam seus clientes, ou seja, para quem foram vendidos estes veículos.
Ao mesmo tempo em que este tipo de procedimento pode representar perigo uma vez que grupos criminosos ou terroristas podem estar colocando suas mãos em dispositivos de alta tecnologia, ficamos impedidos de saber se aquela empresa vendeu seus veículos para a polícia ou para pessoas do público em geral, permitindo assim que se possa traçar alguns limites quanto a utilização de novas tecnologias.
Uma coisa é certa, as novas tecnologias disponíveis para forças policiais precisam ser reguladas com relativa urgência antes mesmo de se popularizarem em nosso país, evitando assim que os dispositivos que as empreguem possam cair nas mãos das pessoas erradas.
Isto para não deixarmos de lado o fato de que a falta de diretrizes mais claras sobre a tecnologia por parte da polícia deixa o público no escuro no que diz respeito a seu direito de privacidade.

Uma investigação feita pela BBC detalhou possíveis deficiências na segurança extra proporcionada por dispositivos bancários de autenticação (tokens), tais como “PINSentry” do Barclays e “SecureKey” do HSBC, ambas com atuação no Reino Unido.
Usar esses dispositivos de autenticação de dois fatores significa que, caso os consumidores entreguem aos hackers suas senhas de login do banco, ainda assim os criminosos não conseguirão invadir suas contas bancárias online.
Mas, apesar de ataques simples de phishing falharem, pode ainda ser possível aos hackers monitorarem e alterarem a comunicação do usuário com o site do banco utilizando malware.
Hackers poderiam criar um site bancário falso e quando os usuários estiverem no “prompt” tentando fazer “logon” em sua conta, eles conseguiriam obter suas credenciais de “login” online e, por exemplo, seu código “PINSentry”, um número pseudoaleatório que muda mais ou menos a cada.
Esta informação permitiria a cibercriminosos realizar “login” no site bancário real, se fazendo passar pelo cliente, podendo autorizar transferências fraudulentas ou outros pagamentos.
Esta variante do clássico ataque “man in the middle” é conhecida nos círculos de segurança como um ataque “man in the browser”.
“Man in the browser” é um ataque de segurança, onde o autor instala um Cavalo de Tróia no computador de uma vítima passando a ser capaz de modificar transações realizadas na “Web” na medida em que são realizadas.
O ataque “man in the browser” é muito mais difícil de ser prevenido e de ser neutralizado, porque em vez de ocorrer numa troca pública de informações, a troca de dados é realizada entre o usuário e os mecanismos de segurança no navegador daquele.
Incidentes isolados deste tipo de fraude surgiram nos últimos anos, o que faz com que este tipo de ataque não seja novo.
Os “phishers” têm aplicado golpes em dispositivos de autenticação de dois fatores, desde 2006, se não muito antes, muito embora clientes de bancos como Citibank e instituições financeiras nórdicas têm sofrido inúmeros ataques ao longo dos anos.
Fato é que este tipo de golpe é perfeitamente assimilado por profissionais de segurança, mas o problema maior está relacionado a ausência de conhecimento deste tipo de fraude por consumidores, justamente o que incentivou a realização da investigação por parte da BBC.
A investigação realizada pela emissora britânica, não destacou novos casos de fraude e nem individualizou vítimas, deixando absolutamente claro que este tipo de golpe não está relacionado a nenhuma tecnologia fornecida por qualquer banco em particular.
Este cenário ilustra muito bem a importância de ser mantida a segurança do computador em dia, bem como utilizar qualquer tipo de segurança adicional que as instituições financeiras possam oferecer.
No que tange a ressarcimento de prejuízos, é importante notar que as disputas sobre saques indevidos estão longe de serem pacíficas e unânimes.
Consumidores provavelmente serão reembolsados por transferências fraudulentas autorizadas usando dispositivos de autenticação de dois fatores, muito embora seja uma tarefa extremamente árdua convencer a instituição financeira sobre a ausência de responsabilidade por parte do cliente.
Muito embora o uso de dispositivos de autenticação bancária não seja uma maneira infalível de se manter em segurança enquanto se está online no internet banking, eles ainda sim devem ser utilizados, uma vez que o malware comum, frequentemente encontrado nos computadores domésticos, não está equipado para lidar com a autenticação adicional necessária para a utilização desses dispositivos.
Também é fato que atacantes avançados têm encontrado maneiras de contornar as medidas de segurança adicionais, infectando o navegador do usuário e monitorando e alterando a comunicação do usuário com o site bancário.
No entanto, o malware precisa trabalhar de forma muito mais difícil, porque o usuário precisa para ser levado a revelar códigos adicionais de “token”, levando-o a agir rapidamente, antes que expirem, geralmente após 60 segundos.
É importante destacar-se que manter o navegador atualizado pode repelir inicialmente infecções, pois os atacantes costumam usar vulnerabilidades conhecidas do browser como método de entrada para o computador, segundo alertaram especialistas.
Os bancos que implantaram a autenticação de dois fatores alegam que foram beneficiados por uma queda substancial nos níveis de fraude, muito embora não estejam disponíveis números concretos sobre este tipo de alegação.
Especialistas em segurança afirmam que os bancos devem contar com várias medidas de segurança para reduzir a possibilidade de fraude, utilizando uma combinação de técnicas, as quais uma complemente a outra.
Qualquer abordagem para combater ataques contra internet banking deve incluir a atualização e implantação de rigorosos projetos de controle de processos antifraude, monitoramento de qualquer transação de clientes e acompanhamento de padrões de navegação que possam indicar um ataque.

No cenário atual, os Estados Unidos e o Reino Unido estão relativamente bem preparados para ataques virtuais em comparação com muitas outras nações desenvolvidas, segundo relatório de cyber segurança produzido pela empresa de segurança “McAfee” e pela “Security & Defence Agenda (SDA)”.
O relatório, que classifica 23 países no que diz respeito à chamada “cyber prontidão de segurança”, não dá a nenhum país a nota mais alta, cinco estrelas.
Israel, Suécia e Finlândia obtiveram quatro estrelas e meia, enquanto oito países, incluindo os Estados Unidos, Reino Unido, França e Alemanha, receberam quatro estrelas.
Índia, Brasil e México aparecem nas últimas posições.
Nenhum país está à frente de atacantes cibernéticos, segundo informou Phyllis Schneck, CTO do setor público da empresa “McAfee”, uma vez que os mesmos estariam agindo “mais rápido e mais rápido” do que os mocinhos.
Ainda segundo Schneck, os cyber criminosos não têm que lutar com informações jurídicas e questões de política, podendo compartilhar livremente uns com os outros sem se preocupar com questões competitivas.
A executiva finalizou dizendo que estamos enfrentando um adversário que não tem limites, enquanto temos de ir a reuniões e escrever relatórios para compartilhar nossos dados, o que nos coloca numa enorme desvantagem.
A “S.D.A.”, um grupo de estudos para segurança cibernética estabelecido em Bruxelas, entrevistou 80 especialistas em segurança cibernética para a elaboração do relatório, além de entrevistar adicionalmente outras 250 pessoas.
57% dos entrevistados disseram acreditar que uma cyber corrida armamentista está acontecendo, e 36% disseram acreditar que a segurança cibernética é mais importante do que defesa antimísseis.
Quase meio por cento dos entrevistados, 45, disseram que cyber segurança é tão importante quanto à segurança de fronteiras.
Um tema comum entre os especialistas em segurança cibernética foi quanto à necessidade da troca global de informações sobre ameaças cibernéticas em tempo real.
Os especialistas também chamaram a atenção para a necessidade de uma melhor partilha de informação entre as próprias empresas e entre empresas privadas e o governo.
Phyllis Schneck afirmou que o relatório abre-se a ideia de novos acordos globais que podem levar à partilha de informações, muito embora ache difícil a sua implantação num curto espaço de tempo.
Ela acrescentou que os países podem trabalhar juntos para estabelecer o compartilhamento de informações, muito embora não seja possível dar livre acesso as mesmas a todos, devendo-se apenas viabilizar uma forma de armazenar as mais importantes e torná-las acessíveis.
Schneck também afirmou que as empresas estão preocupadas com seus clientes em perigo, o que diminui os preços de suas ações, além de inúmeros outros problemas decorrentes do compartilhamento de informações em demasia, salientando que cada pessoa racional do planeta concordaria que colocar todas as informações em conjunto, permitiria que se tivesse uma imagem muito melhor da ameaça.
Ela finalizou dizendo que o compartilhamento de informações em tempo real, é uma forma legítima pela qual grupos podem ganhar uma vantagem sobre os atacantes cibernéticos, uma vez que os adversários não possuem a infraestrutura de rede.
No ranking por países, os peritos em cyber segurança entrevistadas para o relatório elogiaram os esforços dos Estados Unidos, incluindo a criação pela Casa Branca de um “cyber czar” de segurança no ano passado.
Segundo os entrevistados, nos últimos anos, o governo dos Estados Unidos tem se concentrado muito mais em segurança cibernética.
O ranking dos países que se encontram no meio do bloco inclui Japão, China, Rússia e Canadá, enquanto o Brasil, Índia e a Roménia receberam duas estrelas e meia e o México apenas duas estrelas.
Segundo Samuel Cherian, do “Institute for Defence Studies and Analyses”, em Nova Delhi, na Índia a população foi direto do uso de qualquer telefone para os mais recentes em tecnologia móvel, mesmo com computadores conectados à Internet.
As classificações apresentadas no relatório são baseadas no Modelo de Maturidade de Segurança Cibernética desenvolvido por Robert Lentz, presidente de Estratégias de Segurança cibernética e ex-subsecretário adjunto de cyber segurança do Departamento de Defesa dos Estados Unidos.
O modelo de Lentz leva em consideração a resiliência e a capacidades de defesa preditiva em oposição a reativa e manual, bem como as ferramentas disponíveis para defesa.
Uma série de recomendações são feitas pelo Relatório, dentre elas, o trabalho conjunto entre empresas e governos visando a adoção de definições para o compartilhamento de informações confiáveis aos envolvidos, além da implantação de campanhas de educação pública focadas em cyber segurança.
O relatório também apela para que às empresas se concentrem na utilização de smartphones e na segurança da computação em nuvem.

Fonte: Grant Gross para o “IDG News Service”.

O nível de tecnologia na atualidade tem permitido avanços notáveis na área da investigação de crimes, muito embora inúmeras questões estejam sendo levantadas a cada dia com relação ao desrespeito de normais constitucionais.
Questão bastante oportuna e relevante foi levantada nos Estados Unidos com relação à possibilidade do monitoramento de veículos por parte da Polícia.
A Suprema Corte dos Estados Unidos, num caso envolvendo novas tecnologias de vigilância, entendeu que o uso por parte da Polícia de um dispositivo de GPS para monitorar um veículo suspeito, deveria ser considerado como uma busca e consequentemente seria objeto de proteção quanto aos direitos constitucionais de privacidade aplicáveis a espécie.
A sentença proferida por aquela corte teria sido uma derrota para a Polícia, que defendeu o uso de sistemas de posicionamento global, sem mandado e sem conhecimento de uma pessoa, como uma forma jurídica para acompanhar um veículo em vias públicas.
Os juízes mantiveram decisão anterior de um Tribunal de Apelações que indicava que a polícia deveria primeiro obter uma autorização a fim de que pudesse utilizar um dispositivo GPS por um período prolongado de tempo, visando acompanhar secretamente um suspeito.
O Tribunal Superior Norte Americano, por unanimidade, entendeu que a colocação, por parte de um órgão do governo, de um dispositivo GPS no veículo, passando a controlar a movimentação do mesmo, afrontaria proteções asseguradas na Constituição dos Estados Unidos contra buscas e apreensões de provas.
Grupos de liberdades civis estariam preocupados que vastas quantidades de dados pessoais pudessem ser coletadas a partir de dispositivos GPS e que a Polícia pudesse utilizar outras tecnologias, como bips, celulares, computadores, câmeras de vigilância e satélites para monitorar pessoas.
Eles expressaram sua preocupação em dar ao governo prerrogativa ilimitada e sem precedentes de poder controlar as pessoas em público através do uso de dispositivos GPS ou tecnologia de vigilância, sem permissão de um Tribunal.
O caso começou em 2005 quando a polícia teria comparecido no estacionamento de um parque em Maryland e secretamente instalado um dispositivo GPS em um Jeep Grand Cherokee usado por um dono de boate chamado Antoine Jones.
Jones era suspeito de tráfico de drogas e a polícia rastreou sua movimentação por um mês, sendo que as evidências resultantes deste monitoramento desempenharam um papel fundamental na sua condenação por conspiração para distribuir cocaína.
O Tribunal de Apelações havia rejeitado a alegação de que o monitoramento eletrônico prolongado do veículo foi somente a título de “pesquisa”, tendo aquela Corte entendido que a intrusão física da Polícia sobre o Jeep com a finalidade de obtenção de informações constituir-se-ia uma busca.
A Suprema Corte dos Estados Unidos concordou em decidir o caso depois que Tribunais de Apelação do país teriam emitido decisões conflitantes sobre a necessidade de autorização judicial para o rastreamento de um suspeito.
Guardadas as devidas cautelas com relação às diferenças entre o ordenamento jurídico norte americano (Commom Law) e o brasileiro (Civil Law), há que ser indagado se a nossa legislação permitiria a utilização de sistemas de posicionamento global por parte de órgãos policiais para monitoramento de suspeitos.
A resposta evidentemente deve ser no sentido de não ser possível a utilização deste tipo de equipamento por parte da Polícia sem que exista uma autorização judicial anterior.
A utilização deste tipo de equipamento, por parte de órgãos policiais, constituir-se-ia em afronta direta ao direito fundamental à privacidade, constituindo-se assim em ofensa à dignidade da pessoa humana.
O principio da dignidade da pessoa impõe limites ao poder estatal, visando impedir que o poder público venha a violar a dignidade pessoal, mas igualmente implica em que este mesmo Estado venha a promover a proteção e promoção de uma vida com dignidade para todos, sendo certo que o direito à privacidade desdobra-se no direito à intimidade, à vida privada, à honra e à imagem.
Com a Constituição de 1988 surgiu, expressamente, a proteção ao direito à intimidade, mais precisamente no art. 5º, X da Carta Magna:

X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito à indenização pelo dano material ou moral decorrente de sua violação.

Exsurge do dispositivo mencionado, a vedação expressa da utilização de dados ou imagens pessoais para fins sociais não expressamente previstos pelo ordenamento jurídico e sem a competente autorização judicial, quando necessária.
Apenas para esclarecimento, há que ser mencionado que na esfera penal, mesmo não existindo uma proteção expressa da intimidade, existe a possibilidade de se vislumbrar no código penal, mesmo que de forma indireta, o amparo da mesma em alguns delitos: violação de domicílio; violação de correspondência; sonegação ou destruição de correspondência; violação de comunicação telegráfica, radioelétrica ou telefônica e violação de correspondência comercial.
O ilustre Mestre Jónatas Machado, em sua obra “Liberdade de Expressão –Dimensões Constitucionais da Esfera Pública no Sistema Social”, publicada pela Coimbra Editora no ano de 2002, preleciona na página 799 que “o direito à privacidade deve ser protegido, no seu conteúdo essencial, mesmo quando se trate de pessoas extrovertidas e figuras públicas em locais públicos, particularmente num contexto tecnológico de muito fácil captação de imagens e sons.”, ideia esta que certamente vem de encontro a posição ora defendida.
Por tudo quanto restou exposto, identicamente ao decidido pela Suprema Corte Norte Americana, no Brasil o uso de equipamentos de posicionamento global por órgãos policiais deve ser precedido de autorização judicial, sob pena de nulidade de todas as provas que eventualmente venham a ser obtidas através do monitoramento realizado.

Fonte: Corte Suprema dos Estados Unidos no caso Estados Unidos versus Antoine Jones, Nº 10-1259.

Ao longo dos últimos dois anos, ataques “DDoS” não apenas se tornaram muito mais sofisticados como se tornaram uma tendência dominante, chegando ao ponto dos invasores não terem vergonha de usá-los descaradamente, em nome do ativismo social e político.
Mas o pior é que os agressores raramente enfrentam qualquer tipo de punição, isto porque alguns juízes têm considerado este tipo de ataque uma prática legal.
Segundo Neal Quinn, vice-presidente de operações da “Prolexic”, uma empresa especializada na mitigação de ataques “DDoS”, este tipo de ação não é mais escondida, mas sim pública, é bem conhecida.
Neal Quinn acrescentou, ainda, que não se está apenas falando sobre o grupo “Anonymous”, mas de todo tipo de pessoa que usa abertamente “DDoS” para realizar suas ações.
Trata-se de uma tendência dominante, sendo a mais notável mudança nos últimos 18 a 24 meses.
Ataques “DDoS” são muito mais difíceis de serem prevenidos do que outros tipos de ataques.
É fato que, a maioria dos ataques “DDoS” não tiram proveito de uma vulnerabilidade mal codificada, pois são simplesmente o esgotamento de recursos.
A cada ano, mais pessoas têm os seus sites ou serviços comprometidos ao menos alguns dias enquanto lutam contra ataques “DDoS”, sendo que apenas alguns desses ataques acabam por resultar em condenações.
Mas o inadmissível é o fato de que muitos segmentos da sociedade em vários países acabam por apoiar este tipo de ação criminosa por razões sociais e políticas, conforme alerta Neal Quinn.
Grupos de ações políticas muitas vezes se encontram em fóruns públicos, discutem metas, anunciam seus planos para a imprensa e em seguida, atacam, sendo que em alguns casos, as organizações acabam por se tornar bodes expiatórios, tornando-se alvos maiores quando elas tentam tomar medidas legais contra os infratores, em oposição ao silêncio permanente dos ataques.
Um exemplo muito claro disto ocorreu aqui mesmo no Brasil.
Após a série de ataques contra sites governamentais há alguns meses atrás, a Polícia Federal entrou em ação e instaurou um inquérito policial para identificar os responsáveis.
Lamentavelmente, o Poder Judiciário impediu o prosseguimento das investigações e a coleta de informações vitais para o deslinde do caso, sob a alegação de tratar-se de fato atípico.
Certo é que este tipo de ação criminosa pode e deve ser considerado crime com a punição dos infratores, com base no artigo 265 do Código Penal, que pune aquele que atentar contra a segurança ou serviço de utilidade pública, prevendo pena de reclusão de 1 a 5 anos e multa.
Isto para não mencionarmos o fato de que, caso este tipo de conduta ocasione danos a infraestrutura do site ou a rede interna dos sistemas, poderá ser capitulado como crime de dano previsto no artigo 163 do Código Penal, cuja punição será de 1 a 6 meses e multa.
Tecnologicamente falando, ataques “DDoS” continuam a crescer cada vez mais.
Antes ataques de 1Gbps costumavam ser considerados enormes, sendo que na atualidade, já se tornou rotineiro serem vistos ataques acima 20Gbps.
Mas o desafio mais difícil é a sofisticação das técnicas empregadas nos ataques “DDoS”, que aumentaram consideravelmente na medida em que os atacantes mudaram de direcionamento das camadas 3 e 4 (encaminhamento e transporte) para a camada 7 (a camada de aplicação).
Os atacantes aprenderam, por exemplo, como determinar quais os elementos que compõem as páginas Web mais populares a serem atacadas, apurando com precisão quais levam mais tempo para carregar e têm um mínimo de redundância.
Segundo alertou Neal Quinn, os atacantes estão agora passando um período de tempo muito maior na pesquisa de seus objetivos e na descoberta das aplicações que estão rodando, tentando descobrir onde eles podem causar mais estragos em uma determinada aplicação, devendo ser acrescentado que os atacantes fazem um reconhecimento para descobrir como uma página web pode consumir mais recursos de uma URL quando é atualizada.
Ataques “DDoS” mais sofisticados são lançados sucessivamente contra muitos vetores, aumentando assim os estragos.
Essa tática faz com que a defesa seja muito difícil.
Por exemplo, o atacante pode começar com uma técnica simples de “Flood ICMP ou UDP” direcionando o tráfego para tornar muito mais difícil que a vítima o possa manusear.
Mesmo que a vítima consiga o controle do ataque “Flood ICMP ou UDP”, o atacante pode passar para o protocolo TCP.
Quando a vítima se torna alvo de um novo ataque “Flood TCP”, o atacante pode elevar o número de “bots” e o volume de tráfego para ajustar a forma de ataque.
Um número crescente de vítimas de ataque “DDoS” descobriram que os invasores estão usando esta ação múltipla como artifício para desviar a atenção e realizar ataques mais prejudiciais em outros pontos da rede.
Fato é, que quando a empresa vítima é atingida por um ataque “DDoS”, ele normalmente causa pouco pânico, uma vez que aquela corporação usa seus melhores e mais brilhantes recursos para suportar o problema, muito embora isto os leve para longe de suas funções de monitoramento.
As empresas podem se defender de ataques “DDoS” se seguirem algumas instruções bem simples.
Primeiro, como regra geral, devem otimizar seu desempenho, certificando-se que seus “hosts” e dispositivos de rede estejam configurados para um melhor desempenho.
A maioria dos fornecedores tem configurações anti-DDoS que você pode aplicar em ativos que possam ser alvo de ataques.
Em segundo lugar, certifique-se de que nenhum elemento sem redundância possa se tornar um elo fraco em qualquer servidor Web ou serviço, não permitindo que os atacantes sejam os primeiros a analisar seus sites para descobrirem problemas de desempenho e riscos de segurança.
Em terceiro lugar, é aconselhável que as organizações tenham largura de banda suficiente para evitar uma sobrecarga da CPU e para lidar com ataques “DDoS”.
Um bom planejamento da utilização da largura de banda deve incluir como lidar com o aumento excessivo de tráfego.
Determine se você tem uma maneira rápida de lidar com enormes sobrecargas de tráfego, podendo se valer de acordos de “peering” (arranjo de troca de tráfego), uso de serviços em nuvem ou uso de serviços de mitigação de “DDoS”.
Em quarto lugar, e recomendável que as organizações mantenham seus registros de “DNS TTL” (time-to-live) com configurações baixas o suficiente para garantir que eventuais mudanças sejam rapidamente detectadas.
Em quinto lugar, adeque suas configurações para receber alertas de ataques “DDoS” o mais rápido possível.
Dessa forma, você pode rapidamente ser alertado quando seu site estiver sob ataque e deixar de responder.
Certifique-se de ter monitoramento interno e externo funcionais.
Finalmente, certifique-se de que suas ações anti-DDoS sejam parte de seu plano regular de resposta a incidentes.
Saiba de antemão quem você tem de chamar quando estiver sofrendo um ataque e incentive que todos os seus funcionários saibam passo a passo como reagir, evitando que um ataque possa se intensificar e que sua resposta seja muito suave, o que permitirá que você esteja sempre à frente dos atacantes.

Fonte: Roger A. Grimes

Num momento que tem sido encarado pela maioria das empresas como o de adiar a sua implantação, é necessário que se tenha ciência de vulnerabilidades escondidas no protocolo “IPv6”.
A maior e mais iminente ameaça à segurança está no fato de que as redes das empresas já tem toneladas de dispositivos habilitados para “IPv6”, incluindo dispositivos com o Windows Vista ou Windows 7, Mac OS / X e dispositivos Linux e BSD.
Importante se destacar o fato de que, ao contrário de seu antecessor, o “DHCP” do “IPv4”, o “DHCP” do “IPv6” não necessita de configuração manual.
Esta característica de auto-configuração significa que com o “IPv6” habilitado dispositivos estarão apenas esperando por um anúncio único de um roteador para se identificar na rede.
Também é importante se destacar que numa rede apenas com “IPv4” roteadores e switches não reconhecem ou respondem a anúncios de dispositivo “IPv6”, mas um roteador “IPv6” não autorizado pode enviar e interpretar este tráfego.
Pela característica da auto-configuração, o “IPv6” permite que qualquer dispositivo esteja habilitado para se comunicar com outros dispositivos de rede “IPv6” e serviços na mesma LAN.
Para fazer isso, o dispositivo anuncia sua presença e é localizado através do “IPv6 Neighbor Discovery Protocol” (NDP).
O problema é que não gerenciar adequadamente o protocolo NDP pode trazer uma série de problemas, especialmente o de por e expor dispositivos para que atacantes possam colher informações sobre o que está acontecendo dentro da rede, ou até mesmo permitindo que o próprio dispositivo possa ser capturado e transformado em um “zumbi”.
Pesquisadores do mundo todo tem observado que os “bots” estão intensificando o uso do “IPv6” como um canal secreto para se comunicar com seus “botmaster”.
Entre os seus muitos disfarces, malwares habilitados para o “IPv6” podem assumir a forma de uma carga maliciosa encapsulada em uma ou mais mensagens “IPv4”.
Sem medidas de segurança específicas para “IPv6”, tais como inspeção profunda de pacotes, este tipo de carga pode passar pelo perímetro “IPv4” e defesas “DMZ” sem ser detectada.
Uma solução para problemas “IPv6” na camada 2 pode ser o uso do “SEND” (Secure Neighbor Discovery) o que permitiria lidar com ameaças como “RA e NDP spoofing”, equivalentes a ameaças no protocolo “IPv4” do tipo “DHCP spoofing” e “ARP spoofing”.
Alguns fornecedores de sistemas operacionais tem dado seu apoio ao uso do “SEND”, enquanto outros, principalmente a Microsoft e a Apple, não.
Entidades como a empresa “Cisco” e o “IETF” (sigla em inglês de Internet Engineering Task Force) estão em processo de implementação de mecanismos de segurança para “IPv6” que atualmente são utilizados para proteger “IPv4” contra essas ameaças.
O “IETF” está trabalhando num grupo de trabalho denominado SAVI (Source Address Validation), enquanto a “Cisco” está implantando um plano de três fases iniciado em 2010 para atualizar seus sistemas operacionais e que será totalmente adotado em algum momento em 2012, dependendo do tipo de “switch” que deverá ser atualizado.
Também tem sido destacado por pesquisadores que alguns dos riscos de segurança do “IPv6” podem ser acidentalmente criados por dispositivos de rede de usuários final, sendo que uma configuração adequada e medidas de segurança “IPv6” eliminariam muitos desses riscos.
A resposta a este tipo de problema é implantar segurança “IPv6” nativa para proteger o tráfego “IPv6” no mesmo nível e contra os mesmos tipos de ameaças que já são defendidos no “IPv4″.
Também existe uma falsa percepção de que o “IPv6” é nativamente mais seguro do que o “IPv4”, haja vista que o suporte “IPSec” é obrigatório no IPv6.
Além dos desafios práticos associados à implantação em larga escala de “IPSec”, o conteúdo do tráfego “IPSec” encapsulado se torna invisível para dispositivos (roteadores / switches / firewalls), interferindo com suas funções de segurança.
Por esta razão, um grupo de trabalho do “IETF” está considerando uma mudança que faria o suporte “IPSec” apenas “recomendado” e não “necessário” em implementações “IPv6”.
Já a possibilidade de desabilitar o “IPv6” é uma má ideia por duas razões: primeiro porque a Microsoft afirma não ser possível dar suporte a desativação do “IPv6” em seus sistemas operacionais, como ocorre por exemplo no Windows 2008, e segundo porque se trata de uma estratégia no mínimo tola, uma vez que, com ou sem o “IPv6”, dispositivos habilitados vão continuar a aparecer na rede.
Mas ameaças à segurança a parte, existe uma situação de negócios em que a implantação do “IPv6” está cada vez mais difícil de ser ignorada: Bancos e Corretoras que atuam “on-line” já enfrentam o desafio de perder a comunicação com clientes internacionais cujas redes já não suportam o “IPv4”.
Empresas como a “Telefônica” e a “T-Mobile” estão abraçando o “IPv6” intensamente, especialmente em suas bases europeias.
Além disso, o governo dos Estados Unidos tem migrado suas redes para o “IPv6”, e solicitado que provedores e fornecedores ofereçam mais produtos e serviços “IPv6”.
Empresas que se coloquem numa posição de não pode interagir com seus clientes estão fadadas a fracassarem em suas estratégias, muito embora neste momento possa ser observada uma migração gradual para o “IPv6”.
Atualizar por atacado redes na internet para o “IPv6”, não é algo prático e nem eficaz de ser feito, pois as empresas necessitam de uma abordagem muito mais equilibrada.
Provedores de serviço, que consomem endereços mais rápido do que qualquer outro, são os primeiros na fila para upgrades “IPv6”, seguido por provedores de conteúdo e finalmente, os usuários finais, em cuja residência roteadores são ainda 99% baseados no “IPv4”.
Quando for necessário atualizar para “IPv6”, deve ser levado em conta o balanceamento da carga da rede e a transição dos serviços existentes, além de se preservar a conectividade “IPv4” na rede interna.
Ao se construir o próximo conjunto de serviços, a demanda deverá ser “dual-stack”, com plena capacidade para lidar com arquiteturas “IPv4” mais antigas, o que irá permitir a construção de negócios com melhor retorno sobre o investimento.
Além do mais, importante se levar em consideração que qualquer transição deve ser projetada para ser transparente para o usuário final.
A empresa “Juniper Networks” informou que até agora a maioria dos seus clientes solicitando serviços “IPv6” são do setor de educação e governo, especificamente laboratórios de pesquisa universitários e unidades governamentais, uma vez que os mesmos devem atender a demanda por formação de mão de obra para lidar com o “IPv6”.
Enquanto não há uma maneira de se prever com certeza exatamente quanto tempo vai demorar até que todos os endereços “IPv4” estejam esgotados, estatísticas diárias são frequentemente citadas como uma fonte confiável.
O “Modelo de Huston” (Huston’s Dynamic Equilibrium Model), baseado em fontes públicas de dados obtidos a partir de informações divulgadas pela “I.A.N.A.” e por escritórios regionais de registro de internet, prevê o esgotamento completo de todos os endereços “IPv4” ainda não alocados em 2014.
No entanto, é importante notar que o “Modelo de Huston” não é considerado nos endereços que possam ser alocados por organizações privadas para uso futuro ou venda, podendo ser dado como exemplo a aquisição recente de mais de 600.000 endereços “IPv4” pela Microsoft numa compra de ativos da falência da Nortel.
Embora possa ser seguro assumir que endereços “IPv4” suficientes estarão disponíveis no curto prazo, muitos preveem um aumento de custos com a diminuição da oferta.
Sem terem sido estabelecidas as melhores práticas para o “IPv6”, muitos administradores de redes têm relutado em agir.
Porém, com as crescentes ameaças de segurança e preocupações sobre a perda de comunicação com clientes que já estão migrando seus sistemas para o “IPv6”, esperar que os outros mudem primeiro sem fazer nada não é uma posição neutra como pode parecer.
A fase de planejamento é o melhor momento para estabelecer-se ou reestabelecerem-se laços com fornecedores de rede da sua confiança e que possam oferecer arquitetura de segurança e orientação, junto com soluções escaláveis para uma ampla gama de opções de migração.

Fonte: Network World

Fato muito comum na atualidade é verificar-se que na mente de algumas pessoas a perícia seja confundida e tratada como se fosse uma investigação, o que revela no mínimo profundo desconhecimento das habilidades necessárias aos profissionais envolvidos em ambas as áreas.
Ficando adstrito exclusivamente a fase de investigação, pode ser que o Delegado de Polícia, presidente do inquérito policial e consequentemente das investigações necessárias para comprovação da materialidade delitiva e coleta de indícios suficientes de autoria, precise de uma prova pericial, ou seja, de um documento que esclareça um ponto importante da investigação, que somente pode ser feito por pessoa com formação especializada.
A razão de ser da perícia é que seu conteúdo não poderia ser produzido pelos próprios Delegados de Polícia, que são bacharéis em direito, por reclamar outras formações intelectuais, como as de engenheiro civil, médico ou contador, para ficar nas mais comuns.
Na maioria das vezes, o resultado do trabalho realizado pelo Perito é algo único, voltado exclusivamente para o caso ao qual se destina e apresentando um vocabulário que realça um perfil elevado: o produto final obtido é um laudo; perguntas são quesitos; páginas são laudas e assim por diante.
A Perícia é concebida como uma atividade de examinar as coisas e os fatos, reportando sua autenticidade e opinando sobre as causas, essências e efeitos da matéria examinada.
Pode haver em qualquer área, sempre onde existir a controvérsia ou a pendência, inclusive em algumas situações empírica.
O objetivo da Perícia é o estado do fato característico e peculiar, que está sendo objeto de indagação, podendo ocorrer dentro do âmbito de qualquer uma das áreas da ciência.
Por outro lado, uma investigação criminal é um esforço por parte de um agente público para descobrir informações sobre um crime.
Podemos destacar o fato de existirem três formas que permitem que uma pessoa possa ser ser levada à justiça por um ato criminoso.
Primeiro e, provavelmente, o mais incomum, o indivíduo será submetido a ação judicial após ser conduzido por sua própria consciência a confessar uma ação criminosa.
Segundo, um policial pode surpreende-lo numa prática delituosa ou em situação que permita identificá-lo como autor de um delito.
Terceiro, e mais comum, uma investigação criminal pode identificar uma pessoa como suspeito.
Na maioria dos casos, quando um crime é cometido, duas preocupações se tornam o foco principal da atuação das forças policiais: a comprovação do cometimento do crime e quem o cometeu.
Tais indagações somente podem ser devidamente elucidadas por intermédio de uma investigação criminal, que deverá atuar precipuamente na chamada “cena do crime”.
Qualquer cena de crime permite que seja contada uma história, e como na maioria das histórias, cenas de crime têm personagens, um enredo, um começo, um meio, e, espera-se, uma conclusão.
No entanto, em contraste com autores que levam os seus leitores a um final pré-determinado, a disposição final de uma cena de crime depende quase que exclusivamente da atuação dos investigadores designados para o caso.
As habilidades dos investigadores em analisar a cena do crime e determinar como, o que, quem e por que, governam o modo como a história da cena do crime se desenrola.
Em muitos casos, para garantir um final satisfatório, ou seja, a repressão do crime, os investigadores devem ter aguçada percepção para entender que suas conclusões dependem da sua visão sobre a dinâmica do comportamento humano, uma vez que padrões de fala, estilos de escrita, gestos verbais e não verbais, além de outras características e padrões permitem dar forma ao comportamento humano.
Estas características individuais trabalham em conjunto para fazer com que cada pessoa ao agir, reagir, executar uma função o façam de forma única e específica, sendo que este comportamento individualista normalmente permanece consistente, independentemente da atividade que está sendo realizada.
Assim sendo, um investigador atua de forma muito mais ampla que um perito criminal na busca das informações que o levarão ao detalhamento da ação delituosa e a forma como esta teria se desenvolvido.
A investigação criminal permite que se possa olhar para as técnicas utilizadas pelos criminosos ao cometerem um delito, minuciando seus motivos e as suas razões.
É importante que fique claro que a investigação criminal é apenas assistida pelo laboratórios criminais, os quais estão melhor equipados para lidar com uma ampla gama de evidências físicas, como por exemplo numa análise química, sendo importante destacarmos que estas evidências são coletadas pelos investigadores no curso de uma investigação.
As técnicas de identificação, especialmente por impressões digitais, e mais recentemente pela voz ou pelo D.N.A., tornaram-se importantes recursos na investigação moderna.
Análise forense de sangue e urina, identificação de traços de substâncias químicas em órgãos de um corpo, análise fotográfica e fotomicrografia, exame de documentos, balística e outras técnicas científicas também são amplamente utilizadas em investigações modernas como forma de subsidiar trabalhos de investigação.
Neste panorama nunca podemos perder de vista que a investigação científica tem um papel importante no controle dos crimes e na correta identificação dos criminosos.
Com o desenvolvimento da ciência e da tecnologia os padrões das sociedades também têm se transformado e é fato que os criminosos também alteraram as suas técnicas para incorporar avanços tecnológicos na prática de vários crimes.
Isto faz com que se torne necessário o uso intenso de métodos de investigação científica por parte dos órgãos de investigação, mas de forma nenhuma implica na substituição da investigação pela perícia.
Ninguém discute que a ciência forense é a forma mais importante de investigar na atualidade, mas a sua função principal é permitir que os órgãos investigativos possam se beneficiar do uso de procedimentos, métodos e técnicas de ciência básica na análise de várias situações associados à prática de crimes.
Por tudo quando foi anteriormente exposto, forçoso é reconhecer-se que investigador criminal não é perito e vice-versa, muito embora também seja forçoso reconhecer que o trabalho de perícia constitui-se na maioria das vezes num dos mais importantes recursos para o sucesso de uma investigação criminal.
Em se tratando da investigação de cybercrimes no Brasil, sua investigação tem sido relegada exclusivamente ao trabalho desenvolvido por peritos, motivo pelo qual os índices de esclarecimento desta modalidade delitiva no país têm sido absurdamente pífios.
Fato extremamente comum é poderem ser vistas muitas investigações absurdamente paradas porque seus responsáveis ficam exclusivamente aguardando a elaboração de alguma perícia, enquanto preciosos vestígios vão se esvaindo, dada a volatilidade dos mesmos.
Este tipo de procedimento apenas se justifica pelo fato de que a grande maioria dos profissionais envolvidos na investigação de cybercrimes no país não reúne um mínimo de conhecimento técnico para investigá-los, procurando apenas basear suas ações no trabalho realizado por peritos, os quais fulcram suas conclusões em mínima fração do que está sendo investigado, até porque a perícia tem finalidade específica.
A melhoria das investigações de cybercrimes no Brasil passa obrigatoriamente por uma melhor formação dos profissionais envolvidos nesta área, os quais devem ter conhecimento específico para que possam realizar seu trabalho de maneira adequada.
Não investir na qualificação de profissionais é certamente prejudicar a investigação dos cybercrimes no Brasil, o que no mínimo, acabará por reforçar a sensação de impunidade na internet e prejudicará a imagem do país no exterior.
Por fim, é indiscutível que o crime, de forma geral,  se tornou tão complexo como a natureza humana, sendo que os requisitos necessários para investigações eficientes também se diversificaram.
O desenvolvimento tecnológico moderno e os maravilhosos progressos na comunicação têm facilitado com que criminosos de todos os cantos do mundo possam cometer um crime com o uso de equipamentos sofisticados em um território, em seguida, possam fugir para outro lugar.
Isso levanta a necessidade de se ter métodos investigativos mais eficazes, sob pena de uma escalada sem igual na ação dos criminosos em todas as partes do mundo.
A solução está na adoção de métodos de investigação científicos e na criação de padrões de atuação mais eficazes, já que os criminosos acabam por afetar negativamente a sociedade, bem como prejudicam a qualidade de vida, além de ameaçarem os direitos humanos e as liberdades fundamentais na medida em que representam um sério desafio.

Atualizado em 03 de Janeiro de 2012.

Fonte: C R Swanson; N C Chamelin; L Territo in “Criminal Investigation”.

Conheça os bastidores do Departamento de Investigação Criminal do Cantão Suíço, instituição que criou o Serviço de Informática Judiciária, unidade especializada para atuar com a criminalidade praticada pela internet e os crimes relacionados ao uso da tecnologia.

Fonte: SF/swissinfo.ch

O Departamento de Justiça dos EUA tem se mostrado favorável a criação de leis que tornariam em crime o uso um nome falso no Facebook ou uma mentira sobre seu peso num perfil de namoro, tudo com o propósito de defender melhor as pessoas contras os crimes que são praticados na internet.
Num comunicado obtido pela “CNET”, que está programado para ser entregue amanhã, o Departamento de Justiça argumenta que ele deve ser capaz de processar violações dos sites com base nos termos de serviço e políticas de uso, muitas vezes ignorados e quase sempre ininteligíveis.
Segundo o que Richard Downing, chefe adjunto de cybercrimes do Departamento de Justiça, vai dizer junto ao Congresso dos Estados Unidos, a lei deve permitir que seja possível a abertura de processos com base na violação de termos de serviço ou acordo contratual, da mesma forma como ocorre com um empregador ou prestador de serviços.
Sem o necessário escalonamento da lei seria difícil ou impossível deter e endereçar ameaças internas graves através do processo penal, o que colocaria em risco os processos envolvendo furto de identidade, uso indevido de bases de dados do governo e invasões de privacidade, conforme afirmou Downing.
A lei em questão, a “Computer Fraud and Abuse Act”, foi utilizada pelo Departamento de Justiça para processar uma mulher, Lori Drew, que usou uma conta falsa no MySpace para atacar verbalmente uma menina de 13 anos, que depois cometeu suicídio.
Teria sido possível o uso desta lei uma vez que os termos de serviço do MySpace proibiam que seus usuários encenassem outra identidade, motivo pelo qual Drew foi condenada por violar a “C.F.A.A.”, muito embora sua condenação tenha sido posteriormente revista.
O que tornaria possível o escalonamento no uso da lei seria uma seção do “C.F.A.A.” que não seria originalmente destinada a ser utilizado dessa forma: a proibição de uso geral em qualquer ato baseado em computador que possa “exceder o acesso autorizado”.
Para o Departamento de Justiça, isto significa que os termos de uso de um site definem o que é “autorizado” ou não, e ignorá-los pode transformar uma pessoa num criminoso.
Uma carta teria sido enviada ao Senado dos Estados Unidos em agosto por uma coalizão esquerda-direita, que incluiriam organizações como “A.C.L.U., “Americans for Tax Reform”, “Electronic Frontier Foundation” e “FreedomWorks”, a qual alertava exatamente sobre isso. Alegando que se uma pessoa assumisse uma identidade fictícia em uma festa, não praticaria um crime federal, porém, se ela assumisse uma identidade fictícia numa rede social que proíbe pseudônimos, isto poderia ser considerado uma violação ao “C.F.A.A.”, o que para estas organizações seria o mau uso da lei.
Orin Kerr, um ex-promotor do Departamento de Justiça especializado em cybercrimes é atualmente professor de Direito na “George Washington University”, diz que os argumentos do governo são fracos.
Kerr, que também é testemunha diante de um subcomitê Judiciário da Câmara dos Deputados dos Estados Unidos, teria dito que o Departamento de Justiça afirma ter interesse em fazer cumprir os Termos de Uso e políticas de uso de computadores com base na “C.F.A.A.”, mas seus exemplos consistem principalmente em casos nos quais a conduta descrita já teria sido criminalizada por outros estatutos além do “C.F.A.A.”, afirmando ainda que o adequado seria apenas preservar a capacidade do governo em processar nos demais casos, enquanto não aumentassem os problemas de liberdades civis no estatuto atual.
Kerr dá ainda outros exemplos de termos de violações de serviço que se tornariam crime com o pretendido escalonamento proposto pelo Departamento de Justiça.
Se o Google diz que você não pode usar seus serviços caso não tenha a idade legal para assinar um contrato vinculativo, isto iria implicar em que milhões de adolescentes poderiam ser considerados criminosos.
Em outro exemplo, uma pequena mentira a respeito da idade ao realizar cadastro num site de relacionamentos como o “Match.com”, implicaria em prática criminosa, situação que aos olhos de Kerr não deve ser levada a sério para que alguém possa ser considerado criminoso.
Mas o Departamento de Justiça norte americano discorda.
De fato, como parte de um amplo esforço para reescrever as leis de segurança cibernética, a Casa Branca propôs a ampliação do alcance da “C.F.A.A.” não se limitando ao âmbito atual.
Stewart Baker, um advogado que era anteriormente secretário-assistente da Segurança Interna dos Estados Unidos e conselheiro geral da Agência de Segurança Nacional, sugeriu que as propostas do governo para expandir a “C.F.A.A.” são draconianas, argumentando que a atualização por duas vezes de direitos autorais de vídeos do “YouTube” seria um padrão de extorsão com sanções penais muito mais severas, caso a Justiça americana trilhasse este caminho.
Em uma espécie de ataque preventivo contra as correções propostas por Kerr e Downing, o Departamento de Justiça dos Estados Unidos afirma que o “C.F.A.A.” criminaliza corretamente atividades online impróprias.
Mas Downing rebate estes argumentos dizendo que as empresas devem ter confiança de que podem permitir que seus clientes acessem determinadas informações em seus servidores, tais como informações sobre suas próprias ordens e informações de clientes, mas que também possa ter a certeza de que os clientes que intencionalmente excedam essas limitações e obtenham acesso a informações proprietárias do negócio ou informações de outros clientes podem vir a ser processados.

Fonte: Declan McCullagh da CNET.com

O Ciberespaço é um mundo digital criado por redes interconectadas de tecnologia da informação e as informações contidas nessas redes. É um bem comum global, onde mais de 1,8 bilhão de pessoas estão ligadas entre si para trocar ideias, serviços e amizade.
Neste contexto mundial, as empresas brasileiras estão se movendo rapidamente para adotar as aplicações digitais mais modernas, inclusive àquelas da próxima geração e tecnologias móveis.
Nem poderíamos deixar de mencionar, que o governo do Brasil e de inúmeros outros países, também se tornaram cada vez mais dependentes da Internet.
O governo federal só agora oferece mais de uma centena de serviços em tempo real, incluindo interação com a Receita Federal, solicitação de emprego e atendimento às empresas.
Não podemos deixar de reconhecer que o nosso sucesso no ciberespaço é um dos nossos maiores patrimônios nacionais, o que certamente implica em proteger esse sucesso principalmente nossos sistemas cibernéticos contra o uso indevido por pessoas mal-intencionadas e outros ataques destrutivos, o que certamente é um desafio assustador.
Não há uma maneira simples de detectar, identificar e recuperar-se da ação de atacantes que não podem ser vistos ou ouvidos, por não deixarem nenhuma evidência física por trás deles ao esconderem suas trilhas através de uma complexa rede de computadores comprometidos.
Segurança cibernética nos afeta a todos, em parte porque, mesmo os atacantes com apenas habilidades básicas têm o potencial para causar danos reais.
Ataques sofisticados podem atrapalhar os controles eletrônicos de nossas indústrias, estações de tratamento de água e redes de telecomunicações, interferindo na produção e entrega de bens e serviços básicos fornecidos por nosso governo e o setor privado.
Além disto, minam a nossa privacidade, roubando nossas informações pessoais.
Lidar com as ameaças cibernéticas de forma isolada não é suficiente.
O sucesso no combate a estas ameaças somente ocorrerá se o Governo Federal implantar uma estratégia na qual trabalhe em conjunto com os Estados, Municípios e o setor privado em um esforço.
Todos os anos, são detectados mais atacantes do que nos anos anteriores.
E todos os anos, aqueles que procuram se infiltrar, explorar ou atacar nossos sistemas cibernéticos se sofisticam mais e usam muito mais recursos do que nos anos anteriores.
Os criminosos estão investindo em suas capacidades, motivo pelo qual devemos responder, investindo mais ainda na nossa capacitação.
Ataques cibernéticos incluem acesso não intencional ou não, utilização, manipulação, interrupção ou destruição (através de meios electrónicos) de informação eletrônica e/ou infraestrutura eletrônica e física usadas para comunicação de processos, e/ou armazenamento de informações.
A gravidade de um ataque cibernético determina o nível apropriado de resposta e/ou medidas de mitigação, isto é, segurança cibernética.
Neste contexto, o Governo Federal deveria adotar todas as medidas necessárias para monitorar e prestar aconselhamento sobre mitigação de ameaças cibernéticas, e coordenar a resposta nacional a qualquer incidente de segurança cibernética.
Desnecessário falar sobre a necessidade do governo federal de introduzir legislação para modernizar os poderes de investigação e aplicação da lei, e assegurar que inovações tecnológicas não sejam usadas para driblar as intercepções legais de comunicações e nem em apoio à atividade criminosa.
Estas são iniciativas importantes, mas elas não são mais suficientes, pois a ameaça está se tornando mais séria.
Para garantir que nosso uso avançado do ciberespaço continue a ser um ativo estratégico, o Brasil deve antecipar e enfrentar as ameaças cibernéticas emergentes.
Existem várias maneiras de ganhar acesso à informação no ciberespaço. Atacantes podem explorar vulnerabilidades em software e hardware. Eles podem explorar as vulnerabilidades de segurança para enganar as pessoas a fim de que abram e-mails infectados ou visitem sites que seus computadores com software malicioso, ou eles podem tirar proveito de pessoas que não seguem as principais práticas de segurança cibernética, como alterar suas senhas com frequência, atualizar sua proteção antivírus regularmente ou usar apenas redes sem fio protegidas adequadamente.
Depois de terem acesso a um computador, os atacantes podem furtar ou corromper as informações armazenadas nele, adulterar suas operações e programá-lo para atacar outros computadores e os sistemas aos quais eles estão conectados.
Em muitos casos, vítimas podem sofrer o furto de sua identidade e até de seus bens pessoais.
As empresas brasileiras podem perder a corrida para lançar um produto no mercado, ou experimentar outros danos, sem nunca perceber que suas perdas foram causadas por um ataque cibernético.
Estima-se que no período de um ano, 84% das grandes organizações brasileiras podem ter sofrido um ataque cibernético, sendo que no mundo inteiro a perda de propriedade intelectual como resultado desses ataques dobrou entre 2009 e 2010.
Apesar de certas ferramentas de ataque e técnicas utilizadas serem mais caras e sofisticadas do que outras, a maioria dos ataques cibernéticos apresentam quatro características:

São Baratos – Muitas ferramentas de ataque podem ser compradas por um preço modesto ou baixadas gratuitamente a partir da Internet;
São Fáceis – Os atacantes com apenas habilidades básicas podem causar danos significativos;
São Eficaz – Mesmo ataques menores podem causar grandes danos;
Tem baixo risco – Os atacantes podem escapar da detecção e repressão escondendo seus rastros através de uma complexa rede de computadores e explorando lacunas nos regimes jurídicos nacionais e internacionais.

Embora haja alguma semelhança na forma e nos métodos de atacantes cibernéticos, a natureza da ameaça representada por cada um é diferenciada pelos suas diferentes motivações e intenções.
Existem três tipos de ameaças que podemos mencionar:

Patrocinada pelo Estado para espionagem ou controle de atividades militares: As ameaças cibernéticas mais sofisticadas vêm de serviços de inteligência e militares de outros países.
Na maioria dos casos, estes ataques são bem dotados de recursos, são pacientes e são persistentes.
Sua finalidade é obter vantagens políticas, económicas, comerciais ou militares.
Todos os governos tecnologicamente avançados e empresas privadas são vulneráveis a espionagem cibernética patrocinada por outros países.
Informações colhidas em todo o mundo confirmam que esses ataques tiveram sucesso em roubar segredos industriais e de estado, dados privados e outras informações valiosas.
Alguns países têm declarado publicamente que os ataques cibernéticos são um elemento central de sua estratégia militar, enquanto outros têm sido amplamente acusados de usar ataques cibernéticos para coincidir com – e ampliar os efeitos de suas operações militares.
Estes programas de ataque cibernético são normalmente concebidos para sabotagem de infraestrutura e de comunicações de um, podendo também apoiar ataques eletrônicos a equipamentos militares de um adversário.
Ataques cibernéticos que perturbam respostas a emergências e a sistemas de saúde pública colocariam em risco inúmeras vidas.
Importante chamarmos atenção para o fato de que a resposta a esses riscos requer modernização das nossas doutrinas militares e de nossas forças de segurança interna.
Redes terroristas também estão se movendo para incorporar as operações cibernéticas em suas doutrinas estratégicas. Entre muitas atividades, eles estão usando a Internet para apoiar suas atividades de angariação de fundos, recrutamento e propaganda.
Os terroristas estão cientes do potencial de utilização da dependência do mundo em sistemas cibernéticos como uma vulnerabilidade a ser explorada. Por exemplo, agora há recursos online fornecendo aconselhamento a terroristas sobre a forma de defender seus próprios sites, enquanto promovem ataques cibernéticos contra seus inimigos.
Além disso, um grande número de grupos terroristas, incluindo a Al-Qaeda, exprimiram a sua intenção de lançar ataques cibernéticos contra os países ocidentais.
Embora os especialistas duvidem que os terroristas tenham atualmente a capacidade de causar sérios danos através de ataques cibernéticos, eles reconhecem que essa capacidade provavelmente irá se desenvolver ao longo do tempo.
Da mesma forma que os países têm ampliado suas operações no ciberespaço, também o fez o crime organizado.
O crime organizado tem realizado ataques cibernéticos habilidosos, a fim de sustentar muitas de suas atividades tradicionais, como furto de identidade, lavagem de dinheiro e extorsão.
Criminosos agora vendem informações furtadas em tempo real, tais como dados de cartões de débito e de crédito, senhas de “login” para servidores de computador contendo software malicioso projetado para se infiltrar e causar danos a sistemas alvo.
Mesmo aqueles de nós que são diligentes na proteção de nossas informações pessoais correm o risco de ter nossos dados pessoais furtados por criminosos que irão compartilhá-los entre eles.
Algumas organizações criminosas estão agora desenvolvendo software personalizado para seus ataques e estão usando tecnologias de criptografia avançada para proteger seus próprios ativos e segredos comerciais.
Policiais especializados em cybercrime e membros das comunidades de segurança brasileiros argumentam que as capacidades de alguns criminosos virtuais chegam a rivalizar com a de criminosos de países desenvolvidos.
Traçando uma comparação, bactérias podem desenvolver resistência a antibióticos, sendo que para piorar a situação, vírus de computador e códigos maliciosos estão continuamente sendo desenvolvidos para fugir de nossas defesas e dos softwares antivírus.
A evolução das ferramentas e técnicas de ataque cibernético acelerou perigosamente num passado recente.
As estatísticas compiladas por duas conhecidas empresas de segurança de Internet, Akamai e Symantec, em conjunto mostram que os programas de computador maliciosos agora se originam em mais de 190 países. Mais de 60% de todos os códigos maliciosos já detectados foram introduzidos no ciberespaço, somente em 2008.
Não há dúvida de que a frequência e a gravidade das ameaças cibernética está se acelerando, sendo que proteger os brasileiros no ciberespaço será um desafio em constante evolução.
Para efetivamente enfrentar esse desafio se exigirá uma série de ações e respostas, acompanhadas de investimento contínuo e vigilância a longo prazo.
O Brasil, Estados e Municípios precisam de uma Estratégia Integrada de Segurança Cibernética que deve ser construído sobre três pilares:

1)Segurança dos sistemas de governo: O povo brasileiro precisa ter confiança de que o Governo preservará adequadamente suas informações pessoais e corporativas, e também confiança nos serviços que o mesmo possa lhe prestar.
Também deve existir confiança de que o governo vai agir para defender a soberania cibernética do país e proteger e promover nossa segurança nacional e nossos interesses económicos

2)Parceria para proteger os sistemas cibernéticos vitais fora do governo: A prosperidade econômica do Brasil e dos brasileiros depende do bom funcionamento de muitos sistemas que estão fora do governo.
Em cooperação com estados, municípios e o setor privado, o governo federal deve apoiar iniciativas que visem fortalecer a proteção dos sistemas existentes no Brasil, incluindo a de seus setores de infraestrutura crítica.

3)Ajudar os brasileiros a se tornarem “cyber seguros”: Os governo de todos os níveis devem ajudar os brasileiros a obterem as informações necessárias para proteger a si e suas famílias no uso de tecnologias, fortalecendo a capacidade das forças policiais do país no combate ao cybercrime.

A implantação elo Brasil de seu plano de Estratégia Integrada de Segurança Cibernética permitirá o fortalecimento de nossos sistemas cibernéticos e dos setores de infraestrutura crítica, apoiando o crescimento econômico e protegendo os brasileiros que se conectam uns aos outros e ao mundo.
Por outro lado, a colaboração, especialmente a internacional, é essencial para que o ciberespaço brasileiro possa ser protegido, permitindo que o país se beneficie ao ser visto internacionalmente e internamente como um parceiro confiável em tornar o ciberespaço mais seguro.
Importante destacarmos que três potenciais mundiais, os Estados Unidos, o Reino Unido e a Austrália, tem se movimentado intensamente para implantar seus planos de proteção a seu ciberespaço, o que deveria ser um incentivo para o Brasil já que muitos dos princípios orientadores e prioridades operacionais estabelecidas por estes países se assemelham aos nossos.
O Brasil deveria se preocupar com o seu envolvimento em discussões de segurança cibernética existentes nas principais instâncias internacionais, tais como as Nações Unidas, a “O.E.A.” e o “G-20”.
Neste aspecto, o país está tão atrasado que sequer ratificou a Convenção do Conselho da Europa sobre o Cibercrime, e nem mesmo implantou uma legislação que permitisse a ratificação deste tratado.
O Brasil deveria também se preocupar em prestar apoio aos esforços internacionais de desenvolvimento e implantação de um regime de governança global cibernética que permitisse melhorar nossa segurança interna e externa, olvidando seus esforços no sentido de ajudar a construir a capacidade de segurança cibernética de estados menos desenvolvidos e parceiros estrangeiros, o que ajudaria nosso país a evitar que adversários possam explorar elos fracos na defesa cibernética global.
A comunidade acadêmica do Brasil, organizações não governamentais e o setor privado devem se juntar aos governos federal, estaduais e municipais na obtenção de sistemas mais seguros, auxiliando, principalmente, as forças de segurança interna no combate a cyber criminalidade, pois cada uma dessas comunidades tem características únicas e capacidades tecnológicas e analíticas que lhes permite oferecer a capacidade de melhorar a cyber segurança interna e externa.
A colaboração destas comunidades é fundamental para o sucesso do país e para aumentar a nossa produtividade e prosperidade.
É fato que o governo não pode proteger cada um de nós de todas as ameaças que encontramos quando estamos navegando em redes como a internet, mas os brasileiros devem tomar consciência dessas ameaças e das ferramentas disponíveis para reconhecê-las e evitá-las, usando-as para se proteger e a suas famílias.
Como mencionamos anteriormente, a Estratégia Integrada de Segurança Cibernética do Brasil deve ser construída sobre três pilares: Segurança de sistemas de governo, Parceria para proteger os sistemas cibernéticos vitais fora do governo e Auxílio para que os brasileiros se tornem “cyber seguros”.
O mundo cibernético em que os brasileiros vivem, trabalham e jogam não apresenta as regras de lei e ordem que governam nosso mundo físico.
O governo está encarregado de salvaguardar algumas de nossas informações pessoais e mais sensíveis em suas bases de dados eletrônicos, fornecendo ainda diversos serviços para os brasileiros e para o setor privado através de seus websites e sistemas de processamento eletrônico.
E o governo transmite informação extremamente sensível e confidencial e que muitas vezes está relacionada a operações militares de segurança nacional através de seus sistemas de comunicações.
A imprensa constantemente tem divulgado inúmeros ataques cibernéticos que foram dirigidos a sistemas do governo.
Atacantes cibernéticos sondam regularmente estes sistemas, procurando vulnerabilidades.
Proteger nossos “links” não é simplesmente uma questão de eficiência operacional, mas sim uma questão de segurança nacional e soberania, protegendo a vida de nossos militares e policiais, integridade a nossa economia e salvaguardando as informações pessoais dos brasileiros.
Devemos reforçar nossa capacidade de detectar, deter e nos defender contra ataques cibernéticos ao implantar a tecnologia cibernética que promova nossos interesses econômicos e de segurança nacional.
Alcançar a integridade de nossos sistemas exige que os papéis e responsabilidades sejam claros, os sistemas sejam reforçados e os funcionários do governo estejam cientes dos procedimentos adequados.
Também é essencial que se torne muito claro nas diversas esferas de governo que no que diz respeito a um assunto tão importante como a segurança cibernética, não há espaço para ambiguidade no que diz respeito a quem faz o quê.
O Governo Federal deve delinear uma abordagem de todo as esferas de governo para a elaboração de relatórios sobre a implantação da estratégia integrada, além de fornecer coordenação central para avaliar as ameaças emergentes, bem como estabelecendo as abordagens coordenadas para enfrentamento de riscos dentro das esferas de governo e em todo o Brasil.
No que diz respeito à segurança interna, o Governo Federal deve ser o ponto focal para o monitoramento de ameaças, bem como deve fornecer conselhos sobre riscos cibernéticos, dirigindo a resposta nacional a qualquer incidente de segurança.
Seria extremamente desejável que os governos federal, estadual e municipal promovessem, através de campanhas públicas, a conscientização e informação dos brasileiros dos potenciais riscos que enfrentam, além das ações que podem tomar para proteger a si e suas famílias no ciberespaço.
Importante que o Governo Federal reforce a sua capacidade para detectar e descobrir ameaças, fomentando ações de inteligência e promoção de serviços de segurança cibernética, o que lhe permitiria responder às ameaças cibernéticas e ataques contra as redes do governo e sistemas de tecnologia da informação.
A Polícia Federal e as Polícias Civis dos Estados devem ter suas ações integradas, sendo capacitadas para que possam investigar adequadamente atos criminosos dentro e fora do país contra as redes brasileiras e infraestrutura de informação crítica.
Dada à velocidade e complexidade de muitos ataques cibernéticos, as barreiras à cooperação e compartilhamento de informações entre as forças de segurança interna devem ser eliminadas, o que inclui a adoção de medidas para atender a essa necessidade e o fornecimento de recursos financeiros adicionais e pessoal necessário para permitir que os governos, principalmente os estaduais, cumpram com suas obrigações de segurança cibernética.
Mas que ninguém se iluda: para cada nova tecnologia ou prática adotada para melhorar a nossa segurança cibernética, outra é desenvolvida para contorná-la. Assim sendo, seria importante que o país continue a investir na aquisição de conhecimento, para que possa agir com rapidez contra novas ameaças.
Também seria desejável que o Brasil pudesse rever suas opções para aumentar os riscos e consequências para àqueles que atacam nossos sistemas cibernéticos.
A globalização da indústria de tecnologia faz com que seja difícil avaliar fornecedores confiáveis, até porque os atacantes cibernéticos estão bem cientes das oportunidades criadas por eles através de falhas de segurança na cadeia de abastecimento global.
O crime organizado e serviços de inteligência estrangeiros já tiram partido destas vulnerabilidades em um esforço para disseminar tecnologias exploráveis, motivo pelo qual todos os níveis de governo devem reforçar seus processos para reduzir o risco relacionado ao uso de tecnologias comprometidas.
Também é importante frisarmos que o sucesso na garantia de proteção aos sistemas de nosso país é altamente dependente dos funcionários do governo.
Incidentes incontáveis em todos os segmentos da sociedade têm demonstrado que até mesmo os sistemas de segurança mais sofisticados podem ser prejudicados por um simples erro humano.
No governo, como em outros lugares, as pessoas podem deixar de seguir as práticas básicas de segurança cibernética ao não mudar suas senhas regularmente, supor que um sistema de e-mail seja mais seguro do que é, importar códigos maliciosos em computadores do local de trabalho ao visitar sites corrompidos.
Exatamente por tudo o que foi exposto o investimento na capacitação das pessoas é fator essencial em qualquer estratégia de combate a cyber ameaças, isto para não falarmos na importância vital de capacitação de todos aqueles que devem investigar as ameaças internas e externas.
Certo é que o sucesso econômico do setor privado do país depende em grande medida da sua capacidade para garantir pesquisa de ponta e de propriedade intelectual, transações comerciais e dados financeiros.
Deixar de assegurar esses bens conduz inevitavelmente à perda de mercado, menos clientes e colapso da empresa.
Da mesma forma, o bem-estar do povo depende do acesso a serviços seguros e confiáveis de transporte, redes de comunicação e instituições financeiras, sendo cada vez mais importante a proteção a dois dos principais contribuintes para a nossa qualidade de vida: as empresas privadas que dirigem nossa prosperidade econômica e os sistemas de infraestrutura que dão suporte as nossas atividades diárias.
Se isto não acontecer irão ocorrer inúmeros impactos econômicos adversos e toda a confiança do consumidor ficará minada.
Somente um ambiente de negócios seguro e confiável, pode ajudar a promover a produtividade e inovação em direção à prosperidade econômica do Brasil.
O público precisa ser mais consciente das vulnerabilidades inerentes aos sistemas cibernéticos que as indústrias brasileiras utilizam para oferecer seus serviços.
Uma maior conscientização irá alertar os brasileiros no sentido de evitar o furto de identidade e a potencial perda financeira.
Devem ser levadas a cabo parcerias entre o governo federal, os governos estaduais, os municípios e o setor privado a fim de que se possa melhorar a postura de segurança cibernética do país e dos brasileiros.
O reforço das parcerias entre todos os níveis de governo são um componente essencial no fornecimento de uma estratégia de segurança cibernética abrangente para o Brasil e os brasileiros.
Os estados e municípios têm um papel fundamental a desempenhar na promoção da conscientização entre os brasileiros, especialmente os jovens no sistema de ensino, onde a primeira exposição à Internet muitas vezes ocorre. Somente quando todos os níveis de governo estiverem trabalhando juntos poderemos ter certeza de que os brasileiros manterão suas informações privadas e seguras.
Muitos dos riscos e impactos de ataques cibernéticos são compartilhados entre o Governo e o setor privado. Por exemplo, tecnologia não confiável é prejudicial tanto para o governo como para a indústria, motivo pelo qual Identificar esses riscos deve ser feito em parceria.
Cada parceiro deve compartilhar informações de segurança precisas e oportunas sobre ciber ameaças existentes e emergentes, técnicas de defesa e as melhores práticas.
Outra área-chave de colaboração é a segurança dos sistemas de controle de processos.
Esses sistemas atualmente controlam tudo, desde máquinas e fábricas até a infraestrutura crítica do país.
Eles controlam as barragens de nossas hidroelétricas, impedem as nossas redes elétricas de entrar em colapso e impedem o mau funcionamento de nossas redes de transporte.
Assim, a segurança destes sistemas de controle é fundamental para que recebamos de forma segura serviços e produtos dos quais os brasileiros dependem.
Iniciativas conjuntas público/privado devem ser implantadas para que se possa identificar ameaças e compartilhar-se as melhores práticas.
Nossos esforços de segurança cibernética coletiva poderão ser aperfeiçoados através de programas de treinamento e exercício.
O resultado destes exercícios será uma melhor compreensão da dinâmica entre os parceiros em segurança cibernética.
A participação nestes exercícios também apoiará a melhoria dos procedimentos para que possam ser evitadas falhas de segurança cibernética.
A interrupção da infraestrutura e sistemas cibernéticos críticos pode ter impactos diretos sobre as empresas e os países vizinhos, como é o caso dos países do Mercosul, sendo certo que ataques cibernéticos nas redes interconectadas podem ter efeitos em cascata em todos os setores industriais e nas fronteiras nacionais.
Por esta razão, o Brasil precisa ter participação mais ativa em fóruns internacionais ligados à proteção de infraestrutura crítica e segurança cibernética.
O sucesso do Brasil no ciberespaço nos ajuda a atingir níveis de produtividade pessoal e prosperidade sem precedentes.
Mas também permite que criminosos do mundo todo cometam crimes tradicionais com tecnologias do século 21, motivo pelo qual os governos federal e estadual devem tomar medidas para impedir que o ciberespaço se torne um paraíso criminal.
O país precisa urgentemente negar o anonimato que os criminosos estão procurando e, ao mesmo tempo proteger a privacidade dos brasileiros.
Os criminosos brasileiros sabem que o cibercrime tem custo e risco muito baixo e é algo extremamente rentável.
As forças policiais brasileiras não podem combater a transnacionalidade dos crimes cibernéticos com baixa capacidade de investigação e ferramentas adequadas.
Equipar a nossa polícia para nos proteger no ciberespaço exige que lhes seja fornecido novas prerrogativas legais e recursos financeiros.
Seria de extrema importância dotar a Polícia Federal do Brasil dos recursos necessários para estabelecer um sistema centralizado e integrado de Controle de cybercrimes, o que facilitaria sua integração com as Polícias Civis de todos os estados.
O Governo deve se empenhar em aprovar legislação para aumentar a capacidade das forças policiais de investigar crimes cibernéticos, sendo importante mencionarmos que o bem estar coletivo e a proteção da população devem vir em primeiro lugar, motivo pelo qual de nada adiante aprovar-se um “Marco Civil” para estabelecer direitos e deveres dos usuários de internet no Brasil e se esquecer do combate aos crimes.
Exigir que os prestadores de serviços na Internet forneçam para a polícia dados de identificação básica de seus clientes é algo fundamental, pois esta informação é essencial para combater crimes na internet que ocorrem em tempo real, como por exemplo a exploração sexual de crianças.

Conclusão

A cada dia que passa a dependência do ciberespaço pelos brasileiros cresce. Não há volta a um mundo sem Internet. Assim como as gerações anteriores se aproveitaram de métodos cada vez mais complexo e úteis de comunicações, nossa geração tem abraçado a Internet.
Mas assim como nós desfrutamos dos benefícios do ciberespaço, também devemos reconhecer que ele nos ameaça das mais variadas maneiras.
Os países hostis e os criminosos que optam por usar a Internet para praticar seus crimes estão se tornando mais sofisticados e perigosos todos os dias.
Devemos investir agora em cibersegurança para proteger a nossa prosperidade económica, a segurança nacional e a qualidade de vida dos brasileiros.
O Brasil deve combater o cibercrime e proteger os brasileiros no uso do ciberespaço em suas vidas diárias, divulgando informações sobre a necessidade de segurança cibernética, e encorajando os brasileiros individualmente, a indústria e todos os níveis de governo a adaptar o comportamento e as tecnologias necessárias para enfrentar as ameaças cibernéticas em constante evolução.
Se quisermos um Brasil mais forte e protegido já está mais do que na hora de nossos governantes fazerem a sua parte.