Carlos Vinícius Cavalcanti Pivotto & Luís Carlos de Souza Pimenta
Denial of Service - Negação de Serviço
 EEL878 - Redes de Computadores I
Profº Otto Carlos Muniz Bandeira Duarte

03. Defesa

4.1: Quem são as vítimas?

4.2: Providências legais e jurídicas
<<03.Defesa | 04.Questões Legais | 05.Conclusão>>
Capítulo 04: Questões Legais

4.1: Quem são as vítimas?

Vítimas de ataques de negação de serviço incluem não só os alvos finais, mas também máquinas usadas como agentes de ataque. Estes últimos incluem quaisquer máquinas de usuários comuns ao redor do mundo. Os alvos finais de ataques recentes incluem:

·        Redes de IRC;

·        Sites e servidores de agências americanas de inteligência e segurança como o FBI, CIA, NASA, NSA (Agência de Segurança Nacional americana);

·        Sites envolvidos em conflitos políticos (Israel/Palestina, Índia/Paquistão);

·        Sites ligados a assuntos terroristas;

·        Sites ligados a órgãos de imprensa evidentes nos grandes conflitos armados e políticos (CNN, New York Times, Al Jazeera);

·        Grandes portais de internet (Yahoo);

·        Sites de pornografia;

·        Sites de apostas e jogos de azar;

·        Servidores de websites;

·        Sites anti-spam e de medidas de segurança na internet;

·        Sites de gigantes do comércio eletrônico como e-Bay e Amazon;

·        Microsoft.

Tal qual são variadas as motivações para ataques de negação de serviço, como visto na seção 1.2, as vítimas dos ataques variam de grandes corporações a sites que apóiam causas políticas.

Assim, embora não seja possível generalizar potenciais vítimas de negação de serviço, torna-se também bastante difícil determinar que dado site ou servidor está imune a ataques. Afinal, ainda hoje há ataques sem nenhuma motivação política ou econômica: Apenas para exibir capacidades como hacker.

 

4.2: Providências legais e jurídicas

Embora o Brasil ainda não tenha leis específicas para a Informática em seu Código Penal, que data de 1940, várias leis podem se aplicar a conseqüências de ataques de negação de serviço:

·        Extorsão: Art. 158 - Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar fazer alguma coisa. A pena é de reclusão de 4 a 10 anos, e multa, e pode ser acrescida de até metade se o crime for cometido por duas ou mais pessoas.

o       Aplicável a ataques que exigem algum tipo de pagamento por proteção contra ataques ou não realização destes.

 

·        Usurpação: Art. 161 - Suprimir ou deslocar tapume, marco, ou qualquer outro sinal indicativo de linha divisória, para apropriar-se, no todo ou em parte, de coisa imóvel alheia. A pena é de detenção de 1 a 6 meses, e multa.

o       No caso, o tapume (terreno) seria a rede de computadores, e este é o caso no qual um atacante possui uma máquina alheia (o imóvel) para utilizá-la como agente da negação de serviço.

 

·        Dano: Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia. Pena: detenção, de 1 a 6 meses, ou multa. Se contra patrimônio público, tem-se dano qualificado, e a pena é detenção de 6 meses a 3 anos e multa.

·        Apropriação indébita: Art. 168 - Apropriar-se de coisa alheia móvel, de que tem a posse ou a detenção. Pena de reclusão de 1 a 4 anos e multa; Art. 169 - Apropriar-se alguém de coisa alheia vinda ao seu poder por erro, caso fortuito ou força da natureza. Pena de detenção de 1 mês a 1 ano e multa.

o       Ambos aplicáveis também à posse de agentes.

 

·        Estelionato: Art. 171 - Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento, parágrafo 2º - Disposição de coisa alheia como própria (vender, permutar, dar em pagamento, em locação ou em garantia coisa alheia como própria). Pena de reclusão de 1 a 5 anos e multa.

o       Posse de máquinas alheias cujo controle é repassado, vendido, etc; Fornecimento a atacantes de senhas que possam controlar redes.

 

4.2.1: Entraves dos processos legais

Quem cometeu o ataque? Onde o cometeu? Onde as conseqüências foram percebidas? Sob que leis o crime deve ser julgado?

Identificar o atacante é já extremamente complexo. Ataques de negação de serviço são ataques virtuais. Provas físicas em geral sequer vão existir, e vimos que dados virtuais podem ser manipulados e forjados com alguma facilidade, dificultando muito o rastreamento do executor.

Além disso, um ataque pode ser feito com o atacante em um país, agentes espalhados por vários outros países e a vítima em ainda outro país (ou até em mais de um). Sob que leis o crime, tão globalizado, deve ser julgado? Não há um consenso mundial sobre estas práticas de crimes virtuais, mas parece bem razoável que julgamentos possam ser feitos em todos os territórios por onde o crime passou.

E uma nova discussão ainda mais preocupante surge: responsáveis por máquinas que foram usadas como agentes devem ser considerados cúmplices? Pode-se considerar que foram omissos em não tomar (se é que não tomaram) todas as providências que poderiam, para evitar que suas máquinas fossem possuídas por atacantes? Nem todos os usuários de internet são tão cientes de aspectos de segurança quanto administradores de rede e demais profissionais de computação. O usuário comum em geral estará mais preocupado apenas em não contrair um vírus cujo efeito lhe seja diretamente visível, mas atribuirá conexões lentas e outros sintomas de negação a problemas com o serviço de internet ou com problemas internos de sua própria máquina, e não a uma invasão ou ataque.