Com o desenvolvimento da Rede Mundial de Computadores e o aperfeiçoamento dos conhecimentos tecnológicos dos hackers, os ataques DDoS (Distributed Denial of Service) tornaram-se mais freqüentes na internet. Os ataques DDoS, mais conhecidos como ataque de negação de serviços distribuídos consistem-se basicamente em impedir o normal funcionamento de determinado serviço na Internet, evitando que os usuários legítimos acessem aquele sistema.
A advogada argentina MARÍA KARINA ARRECHE entende que “este bloqueo, produce un `embotellamiento’ de información con el consecuente agotamiento de las memorias de las máquinas atacadas, afectando así una parte o la totalidad del funcionamiento de la página.”(1)
Sem embargos, os ataques de negação de serviços distribuídos iniciam-se com a invasão de computadores que se encontram desprotegidos, com o auxílio de um cavalo-de-tróia (2) que com isso, instala no equipamento invadido um programa “zumbi”.(3) Assim, com o dia do ataque já predeterminado, o agente envia remotamente pequenos pacotes de dados com orientações para os computadores que foram “escravizados”, que obviamente, são feitos sem o consentimento dos proprietários.
Dessa forma, os “escravos” obedecem aos comandos do agente e passam a solicitar grande quantidade de informações aos servidores. Como os endereços para o retorno destas informações foram falsificados, o sistema tenta enviar a resposta, mas sem sucesso. Esse procedimento evita que os usuários legítimos sejam atendidos pelo servidor e com a sobrecarga de informações, o servidor é paralisado.(4)
Inúmeras são as conseqüências causadas pelos ataques DDoS às empresas de comércio eletrônico. A perda de potenciais negócios e clientes que têm suas tentativas de acesso ao site frustradas é uma delas. Em janeiro de 2000, o hacker canadense Mafiaboy provocou prejuízos na ordem de 1,7 bilhão de dólares aos sites Yahoo!, CNN, ZDNet e Amazon.(5) Não obstante a isso, a empresas também têm a sua imagem pública lesada.
No ordenamento jurídico brasileiro não se verifica nenhuma norma que tipifique expressamente o delito praticado pelos ataques DDoS, mas porém, tramitam no Congresso Nacional alguns Projetos de Lei com essa finalidade.
Todavia, o atual Código Penal, datado de 1941, é possível punir o agente responsável apenas em razão dos prejuízos advindos com o ataque. O art. 163, dispõe que todo aquele que “destruir, inutilizar ou deteriorar coisa alheia”, poderá sofrer uma pena de detenção, de 1 (um) a 6 (seis) meses, mais multa. Assim, uma vez comprovado o dano causado por força da inutilização da network(6), além da responsabilização criminal, poderá o agente também sofrer punições no âmbito cível, tendo que indenizar a vítima por todos os prejuízos causados.
Entretanto, mais importante do que um remédio jurídico que vise minimizar os prejuízos proporcionados por um ataque dessa natureza, é de substancial importância prevenir a realização desses ataques por meio de mecanismos eficazes de segurança, com o objetivo de manter a integridade dos dados e informações disponíveis na network e garantir o normal funcionamento dos serviços.
No ambiente virtual, os atos ilícitos são produzidos com a mesma facilidade que no ambiente real.(7) Ao pretender tutelar o bem jurídico do cidadão, o Direito deve necessariamente acompanhar toda essa evolução, a fim de possibilitar tal garantia. Somente assim, poderá se falar na utilização (com responsabilidade), dos recursos que a Internet em sua totalidade oferece.
Referências Bibliográficas:
(1) Internet y el bloqueo de servicios (o “denial of service attack”). In: ZARICH, Faustina. Derecho Informático. Buenos Aires: Editorial Juris, 2000, p. 60.
(2) Também conhecidos como Trojans.
(3) Os programas escravos mais utilizados são o Tribal Flood Network e o Trinoo que podem ser facilmente obtidos na própria internet.
(4) Internet gratuita facilita ação de hacker. Jornal Folha de S. Paulo, edição de 09.03.2000, p. 02.
(5) GREGO, Maurício. Hackers: como eles atacam. Revista Info Exame, n. 179, fevereiro de 2001, p. 39.
(6) Network é o conjunto formado por dois ou mais computadores ligados de forma a permitir a transmissão de dados entre eles. A internet é a maior delas. Vide BIANCHI, Adriano Smid. E-dictionary. São Paulo: Edicta, 2001, p. 176.
(7) PINHEIRO, Reginaldo César. Os crimes virtuais na esfera jurídica brasileira. Boletim do Instituto Brasileiro de Ciências Criminais, ano 8, n. 101, abril de 2001, p. 19.
Reginaldo César Pinheiro
é pesquisador científico do Instituto de Pesquisa, Estudos e Ambiência Científica na área de Direito de Informática e Internet. Associado do Instituto Brasileiro de Ciências Criminais e do Instituto Brasileiro de Política e Direito de Informática. E-mail: pinheiro@unipar.br