Título Original: Combate à pornografia infantojuvenil com aperfeiçoamentos na identificação de suspeitos e na detecção de arquivos de interesse
Este artigo é apresentado pelo Crypto ID em três partes – Esta é a primeira parte.
Autores: Marcelo Caiado e Felipe B. Caiado
Resumo
Nos últimos anos, a tecnologia evoluiu em uma escala inigualável, não apenas melhorando os padrões de vida mundiais, mas também facilitando a criação de um dos crimes mais infames da sociedade moderna, a pornografia infantil, e também facilitando o acesso a ele e a distribuição de material a este relacionado. Nesses novos desafios, hoje suspeitos de pornografia infantil são achados de diversas formas, e a quantidade de conteúdo e tráfico de PI (pornografia infantil) apenas cresce, deixando cada vez mais vítimas.
Para então combater tal problema, é necessário que mais recursos sejam investidos e formas mais eficientes de investigação sejam implementadas, com uma integração de pesquisas e de técnicas, por parte da indústria, da academia e das forças da lei. Somente com uma automatização da detecção de novos arquivos de PI, os quais ainda não tenham sido categorizados em bibliotecas de hash pelas forças da lei, é que poderemos oferecer um futuro mais seguro para as crianças, em que as ocorrências de abuso sexual e seus danos resultantes são consideravelmente diminuídos e os seus criminosos hediondos devidamente encarcerados.
1. Introdução
No mundo moderno, a Tecnologia da Informação e Comunicação (TIC) está cada vez mais presente na rotina das empresas e da maioria da população urbana. Acerca do vertiginoso aumento da importância das TIC, Porter e Millar (1985) definem a sua relevância na cadeia de valor e apontam que elas geram novos negócios inteiros, muitas vezes de dentro das operações existentes na própria empresa, além de criar vantagens competitivas e mudar a estrutura da indústria, alterando as regras de competição. Tais características foram em grande parte as responsáveis pela propagação das novas tecnologias.
Com tal disseminação de uso das TIC, os recursos eletrônicos não estão sendo apenas empregados pelas empresas, mas também sendo mais utilizados na prática de diversos crimes, como estelionato, furto mediante fraude e pornografia infantojuvenil, entre outros.
Não é nenhuma novidade que os computadores, smartphones, tablets, GPS, câmeras digitais, e outros dispositivos eletrônicos são utilizados e estão envolvidos em crimes e ações ilegais. Surge então um diferente modelo, que é direcionado à necessidade de lidar adequadamente com a análise e as investigações que envolvam o uso desses novos recursos tecnológicos utilizados na prática criminosa.
Com esse novo paradigma, é notável que, nos últimos anos, a tecnologia evoluiu em uma escala inigualável, não apenas melhorando os padrões de vida mundiais, mas também facilitando a consecução de diversas modalidades criminosas, entre elas a criação de um dos crimes mais infames da sociedade moderna: a pornografia infantojuvenil, e facilitando também o acesso a ele e a distribuição de material a este relacionado.
Tais crimes tomaram grandes proporções com o advento da sociedade digital e apresentam enormes desafios em seu combate, entre os quais se destacam as devidas identificação e persecução penal, bastante comprometidas pelo conceito de mundo virtual, em que as demarcações de um território em função dos seus recursos físicos e do raio de abrangência de determinada cultura serem rompidos, conforme definido por Pinheiro (2010).
Cumpre observar que a definição de crime inexiste em nosso atual Código Penal, sendo eminentemente doutrinária. Assim, de acordo com Greco (2014), vários doutrinadores, como Assis Toledo e Luiz Regis Prado, consideram que “para que se possa falar em crime é preciso que o agente tenha praticado uma ação típica, ilícita e culpável”. Isso implica em que determinadas imagens e vídeos podem ser considerados de pornografia infantojuvenil em uma jurisdição, mas não em outra, como é o caso de quadrinhos que simulam crianças e adolescentes em situações eróticas e pornográficas.
Outrossim, para Welch (2007, p. 2781-2782) é notório que as mesmas novas tecnologias que “permitiram o avanço e a automação de processos de negócio, também abriram as portas para muitas novas formas de uso indevido de computadores”, sendo que aqui devemos incluir as diversas modalidades de crimes cibernéticos. Ele ainda ressalta a importância da conscientização e da devida preparação para enfrentar uma “miríade de questões tecnológicas e jurídicas que afetam os sistemas e os usuários”.
Assim, faz-se importante que as forças da lei estejam devidamente preparadas para auxiliar na apuração dos crimes cometidos por meio da internet ou de dispositivos inteligentes conectados em rede, bem como no uso dos vestígios tecnológicos para a elucidação de crimes e dos procedimentos para preservação da evidência digital. Inclusive, deve-se lembrar que a internet é intrinsecamente vulnerável, pois foi concebida utilizando-se de protocolos que não fornecem uma segurança adequada (MIT Sloan Management Review, 2007).
Conforme nos ilustram Farmer e Venema (2007), a perícia computacional é, basicamente, a preservação, aquisição, análise, descoberta, documentação e apresentação de evidência presente em meio digital (equipamentos computacionais e mídias de armazenamento). O intuito é de comprovar a existência de determinados eventos que possam ter levado à consecução de crimes ou atividades não autorizadas, ou que possam provar que o evento não foi realizado conforme pode estar sendo imputado. Ademais, a forense computacional requer a combinação de técnicas de investigação com as exigências das leis e normas de cada país, organização e empresa.
2. Legislação e investigação
Conforme bem apontado por Walls (2011), pesquisadores de segurança digital têm um elevado potencial de fazer mudanças drásticas para as forenses digitais, o que pode permitir melhor eficácia nas investigações. Contudo, eles primeiramente precisam entender as limitações que afetam o contexto de investigações e as diferenças que este possui de modelos de segurança.
Um outro problema também advém da abordagem de serem observadas pesquisas de pouco impacto, pelo fato de os pesquisadores não possuírem contato direto com a indústria. Desafortunadamente, pesquisas que fazem uma abordagem realística para melhorar a situação são raras, sendo que a maioria fica na parte teórica e com impactos mínimos para o mundo prático da segurança.
Além disso, a maioria das políticas ou leis se preocupam também com as motivações existentes por detrás de uma infração, o que normalmente pode ser demonstrado por meio de uma coleta de dados e de evidências. Poderão inclusive haver restrições quanto ao conteúdo coletado, cujo procedimento deverá sempre observar o devido processo legal e a manutenção da cadeia de custódia (WALLS, 2011).
2.1 Ordenamento jurídico brasileiro
O atual ordenamento jurídico brasileiro passou por algumas significativas mudanças nos últimos anos em função da jurisprudência relacionada ao julgamento de crimes cibernéticos, e aqui especialmente se destaca a aprovação do novo Marco Civil da Internet (MCI) brasileira, sancionado em 23 de abril de 2014, pela Lei nº 12.965/2014.
Anunciado por alguns como tendo criado um grande avanço na área de neutralidade da rede, que exige tratamento igualitário a todo conteúdo que trafega na internet, admitidas algumas exceções, o MCI de fato apresentou alguns avanços, diversos dos quais ainda pendem de devida regulamentação. Contudo, foi duramente criticado por peritos em informática e advogados especialistas em direito digital, em diversos aspectos tais como a guarda de registros (logs) de acesso e privacidade de usuários e liberdade de expressão.
Nesse sentido, na subseção I da mencionada lei é estabelecido um período muito exíguo em relação ao prazo mínimo que os provedores de conexão à internet (por exemplo: Net, GVT, Oi etc.) e os provedores de aplicação de internet (por exemplo: Google, Facebook, Uol etc.) deverão manter os seus registros de acessos:
Da Guarda de Registros de Conexão
Art. 13. Na provisão de conexão à Internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento. […]
Art. 15. O provedor de aplicações de Internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de Internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
Os logs oferecem informações essenciais para iniciar adequadamente uma investigação, a qual fica bastante comprometida sem o fornecimento devido de dados que possibilitem a identificação de qual usuário estava vinculado a um endereço IP identificado como origem de um suposto crime.
Para piorar ainda mais esse exíguo prazo de armazenamento definido, o Decreto nº 8.771, de 11 de maio de 2016, que regulamentou a Lei nº 12.965/2014, definiu em seu art. 11 que “o provedor que não coletar dados cadastrais deverá informar tal fato à autoridade solicitante, ficando desobrigado de fornecer tais dados”. Isso é praticamente um convite aos criminosos para utilizarem redes WiFi abertas para o cometimento de delitos.
Ainda em relação ao Decreto nº 8.771/2016, um grande equívoco foi gerado ao definir que os provedores possuem a obrigação de apagarem os dados de logs após o período previsto em lei, conforme estipula o parágrafo 2º do art. 13:
2º Tendo em vista o disposto nos incisos VII a X do caput do art. 7º da Lei nº 12.965, de 2014, os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, os quais deverão ser excluídos:
I – tão logo atingida a finalidade de seu uso; ou
II – se encerrado o prazo determinado por obrigação legal.
Não obstante, a Lei nº 12.737/2012 (conhecida na mídia como Lei Carolina Dieckmann, que havia sido vítima recente de uma divulgação indevida de fotos íntimas, pouco tempo antes da votação da lei) já havia finalmente trazido para o ordenamento jurídico criminal o crime de “invasão de dispositivo informático”, alterando o Decreto-Lei nº 2.848, de 7 dezembro de 1940, em que foram incluídos os arts. 154-A e 154-B.
Aqui cabe a ressalva de que ainda não está pacificado nos tribunais o que é necessário que ocorra para caracterizar a violação indevida de mecanismo de segurança, conforme é definido no dispositivo legal, visto que nem sempre o usuário possui qualquer nível de segurança implementado ou que talvez seja inviável comprovar tal violação.
Um outro fato bastante significativo foi o relatório da CPI de Crimes Cibernéticos (2016), o qual ratificou a necessidade urgente de investimentos na área de perícia com a apresentação de vários projetos de lei, os quais buscam melhor tipificação para alguns crimes, além de auxiliar tanto na investigação de tais crimes como em uma melhor capacidade dos entes públicos para lidar com esse problema. Os investimentos nessa capacidade serão auxiliados com recursos oriundos do Fistel, conforme proposto no projeto de lei que visa à alteração da Lei nº 5.070, de 7 de julho 1966.
Entre as justificativas apresentadas nos projetos de lei mencionados no relatório da CPI de Crimes Cibernéticos (2016), algumas constatam claramente o fato de que é essencial uma melhor tipificação de alguns crimes, quando dizem que: “conforme apurado por esta Comissão Parlamentar de Inquérito, a legislação brasileira ainda é muito incipiente no que diz respeito aos crimes cibernéticos”.
Isso também observado em outras duas distintas justificativas, que comentam a aprovação da Lei nº 12.737/2012, e as quais afirmam que:
em que pese essa disposição legal, os trabalhos da Comissão Parlamentar de Inquérito dos Crimes Cibernéticos evidenciaram a falta de estrutura dos Estados no combate a esses tipos de crimes” e também “que não há dúvida que a legislação precisa ser aprimorada.
Essa questão de legislação adequada é muito bem ilustrada por Capanema (2009), o qual afirma que o importante em uma solução legislativa efetiva “não é impor um regime autoritário na internet, mas mostrar que, mesmo no mundo dos bits e bytes, deve haver uma presença efetiva da Lei, da Ordem e da Justiça”.
Além disso, legislações anteriores ao advento da internet também são utilizadas na tipificação de crimes, pois a conduta já era prevista como criminosa, como é o caso de, por exemplo, criar uma comunidade para se expressar contra grupos étnicos (este sendo inclusive um crime investigado pelo MPF), segundo dispõe o art. 20, da Lei nº 7.716/1989:
Art. 20. Praticar, induzir ou incitar a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional. (Redação dada pela Lei nº 9.459, de 15 de maio de 1997)
Pena: reclusão de um a três anos e multa. (Redação dada pela Lei nº 9.459, de 15 de maio de1997).
Continua na Parte II… Publicação em 30 de maio.
Combate à pornografia infantojuvenil com aperfeiçoamentos na identificação de suspeitos – Parte II
Autores
Marcelo Caiado é Chefe da Assessoria Nacional de Perícia em TIC da Secretaria de Perícia, Pesquisa e Análise do MPF, professor, palestrante, certificado GCFA, GCIH, CISSP e EnCE, possui vasta experiência nacional e internacional em perícia e segurança da informação e é diretor executivo da HTCIA Capítulo Brasil.
Felipe Caiado é estudante do 3º ano do Bacharelado em Ciências da Computação da University of British Columbia (UBC), empreendedor aspirante, desenvolvedor em várias linguagens de programação, apaixonado por tecnologia e por idiomas – fala fluentemente Inglês, Francês, Alemão, Espanhol e Português.
Referências
CAPANEMA, Walter Aranha. O Spam e as Pragas Digitais: uma visão jurídico-tecnológica. São Paulo: Ltr, 2009.
CHILD RESCUE COALTION. The Solution. Disponível em: <https://childrescuecoalition.org/the-solution/>. Acesso em: 15 jan. 2018.
CRESPO, Marcelo. Crimes Digitais: do que estamos falando?. Disponível em: <http://canalcienciascriminais.com.br/artigo/crimes-digitais-do-que-estamos-falando/>. Acesso em: 17 set. 2017.
ELEUTÉRIO, Pedro Monteiro da Silva; MACHADO, Marcio Pereira. Desvendando a Computação Forense. São Paulo: Novatec, 2011.
EUROPOL. The European Union (EU) Serious and Organized Crime Threat Assessment (SOCTA) 2017 – Crime in the age of technology. Disponível em: <https://www.europol.europa.eu/sites/default/files/documents/report_socta2017_1.pdf>. Acesso em: 15 set. 2017.
FARMER, Dan; VENEMA, Wietse. Perícia Forense Computacional – teoria e prática aplicada. São Paulo: Pearson, 2007.
GRECO, Rogério. Curso de Direito Penal – parte geral. 16. ed. Rio de Janeiro: Editora Impetus, 2014. v. I.
Harvard Law Review. Child Pornography, The Internet, and The Challenge of Updating Statutory Terms. Disponível em: <http://cdn.harvardlawreview.org/wp-content/uploads/pdfs/vol_122_child_ pornograph_ the_Internet.pdf>. Acesso em: 16 set. 2017.
HOLMES, O.; BANKS, M.; FARID, H. Assessing and Improving the Identification of Computer-Generated Portraits. ACM Trans. Appl. Percept 13, 2, Article 7 (February 2016), 12 pages. ACM 1544-3558/2016/02-ART7.
HURLEY, Ryan et al. Measurement and Analysis of Child Pornography Trafficking on P2P Networks. INTERNATIONAL WORLD WIDE WEB CONFERENCE 2013. May 13-17. Rio de Janeiro, Brazil. ACM 978-1-4503-2035-1/13/05.
LIBERATORE, M.; LEVINE, N.; SHIELDS, C. Strengthening Forensic Investigations of Child Pornography on P2P Networks. ACM CoNEXT 2010, November 30 Dec. 2010. Philadelphia, USA. ACM 1-4503-0448-1/10/11.
MIT Sloan Management Review. How Secure Is the Internet? Spring 2007 – v. 48, Issue # 3. Disponível em: <https://sloanreview.mit.edu/article/how-secure-is-the-Internet/>. Acesso em: 11 jan. 2018.
PINHEIRO, Patrícia Peck. Direito Digital. 4. ed. rev., atual. e ampl. São Paulo: Saraiva, 2010.
PORTER, Michael; MILLAR, Victor. How Information Gives You Competitive Advantage. Disponível em: <https://hbr.org/1985/07/how-information-gives-you-competitive-advantage/ar/1>. Acesso em: 16 set. 2017.
SCHULZE, C., HENTER, D., BORTH, D., DENGEL, A. Automatic Detection of CSA Media by Multi-modal Feature Fusion for Law Enforcement Support. In: INTERNATIONAL CONFERENCE ON MULTIMEDIA RETRIEVAL. Glasglow, United Kingdom, 2014. ACM 353.
SHIMABUKURO, Adriana; SILVA, Melissa G. Internet, Deep Web e Dark Web. In: SILVA, Ângelo (Org.). Crimes Cibernéticos: racismo, cyberbullying, deep web, pedofilia e pornografia infantojuvenil, infiltração de agentes por meio virtual, obtenção de provas digitais, nova lei antiterrorismo, outros temas. Porto Alegre: Livraria do Advogado, 2017.
SILVA, Ângelo Roberto Ilha. Pedofilia, pornografia infantojuvenil e os tipos penais previstos no Estatuto da Criança e do Adolescente. In: SILVA, Ângelo (Org.). Crimes Cibernéticos: racismo, cyberbullying, deep web, pedofilia e pornografia infantojuvenil, infiltração de agentes por meio virtual, obtenção de provas digitais, nova lei antiterrorismo, outros temas. Porto Alegre: Livraria do Advogado, 2017.
WALLS, Robert J. et al. Effective Digital Forensics Research is Investigator-Centric. HOTSEC’11 PROCEEDINGS OF THE 6TH USENIX CONFERENCE ON HOT TOPICS IN SECURITY. San Francisco, 2011.
WELCH, Thomas. Computer Crime Investigation and Computer Forensics. In: TIPTON, Harold; KRAUSE, Micki (Org.). Information Security Management Handbook. 6th ed. Florida: Auerbach Publications, 2007.
WORLD HEALTH ORGANIZATION – WHO. The ICD-10 Classification of Mental and Behavioural Disorders – Diagnostic criteria for research. 1993. Disponível em: <http://www.who.int/classifications/icd/en/ GRNBOOK.pdf>.
