Aspectos Jurídicos no Combate e Prevenção ao Ransomware: Uma Análise de Caso do Ataque ao MP-SP e TJSP

Luiza Brito Ling ^[1]

Pedro Henrique Machado da Luz ^[2]

Resumo: O presente artigo trata de investigar temas relacionados ao direito e tecnologia, especialmente a segurança digital. Isso se fez pelo estudo dos ataques de ransomware, um sequestro virtual de dados que atinge a sociedade há um tempo relativamente recente. Em seguida, foi possível propor uma, ou como preferiu-se denominar, um meio de minimizar ataques cibernéticos. O caso paradigmático que norteou a investigação do estudo partiu de um ataque cibernético por ransomware ocorrido em 2017, em órgão administrativos do Estado de São Paulo, no caso o Tribunal de Justiça e o Ministério Público. Pontua-se que os dados armazenados por esses órgãos revestem-se de interesse público, motivo pelo qual a proteção dos processos, denúncias, ofícios, resoluções e demais normatizações do TJ/SP e do MP/SP são um tema sensível a justificar o estudo encampado.

Palavras-chave: Ransomwares, TJSP, MP-SP, Código, Internet, Sociedade, Informação

Abstract: This article tries to investigate themes related to law and technology, especially digital security. This was done by studying the ransomware attacks, a virtual hijacking of data that has hit society relatively recently. Then, it was possible to propose one, or as it was preferred to be called, a means of minimizing cyber attacks. The paradigmatic case that guided the investigation of the study started from a cybernetic attack by ransomware occurred in 2017, in administrative organs of the State of São Paulo, in the case the Court of Justice and the Public Ministry. It is worth noting that the data stored by these bodies are of public interest, which is why the protection of the lawsuits, complaints, orders, resolutions and other norms of the TJ / SP and the MP / SP are a sensitive issue to justify the study taken in.

Keywords: Ransomwares, TJSP, MP-SP, Code, Internet, Society, Information

Sumário: Introdução. 1. A sociedade informacional e a segurança digital. 2. O conceito de ransomware e suas implicações. 3. Estudo de caso: as invasões no MP-SP e TJSP. 4.  Possíveis soluções para a criminalidade cibernética.  6. Considerações finais. Referências Bibliográficas.

Introdução

            A importância do tema escolhido reside em sua relativa novidade. Afirma-se essa novidade pelo fato de que, principalmente quando comparada à experiência temporal do mundo jurídico, enfrentar ataques cibernéticos torna-se algo incontestavelmente recente. Mostra-se neste estudo como os perigos que cercam a nova sociedade informacional,  termo emprestado de Manuel Castells, não são apenas físicos, mas pode-se dizer que alguns ainda mais perigosos escondem-se por trás de redes de internet. O mundo cibernético vem conquistando cada vez mais o seu lugar na rotina popular; contudo, infelizmente, por meio do anonimato e embasados por más intenções, vírus responsáveis por causar grandes estragos, que se expandem à vida real das pessoas, circulam quase que livremente nesse meio, causando prejuízos econômicos e ao interesse público. O exemplo escolhido para concretizar esse novo paradigma e seus perigos foi o dos chamados ransomwares, responsáveis por sequestrar virtualmente os dados do usuário de internet e espalhados por intermédio de anúncios, e-mails, links infectados e etc, eles bloqueiam o computador ou celular do navegador e o liberam apenas mediante pagamento de uma significativa quantia,  pré estipulada pelo hacker por detrás do vírus, normalmente em bitcoin devido à facilidade de circulação da moeda em todo o território mundial.  Como se pode imaginar, os danos causados por esse tipo de ataque podem ser irreversíveis, como no caso de um sequestro de dados que não possuam backup. Um exemplo brasileiro é abordado em um dos tópicos aqui escritos como um estudo de caso; nada menos do que o Tribunal de Justiça de São Paulo e o Ministério Público de São Paulo foram invadidos pelo vírus do ransomware há pouco mais de um ano. Devido à precariedade do direito brasileiro no que diz respeito à punição de crimes cibernéticos, coloca-se o posicionamento de que a incompreensão se deva à tradicionalidade da lei em contraposição à acelerada novidade e repercussão do mundo virtual. Para sanar isso, propõe-se aqui uma alteração no código da própria rede. Longe de aspirar à solução para os crimes cibernético, a ideia em questão tem por base os estudos de Lawrence Lessig, renomado professor de cyberlaws, da escola de direito de Harvard. Lessig propôs em sua obra um alteração no código da internet visando primordialmente solucionar a questão do anonimato em publicações, que serve de aval para o plágio, com a ideia de Creative Commons. A ideia aqui trazida assemelha-se a essa solução, na medida em que ao invés de invocar o direito e seu aparato, busca-se a mudanças na arquitetura da rede a fim de que ela se torne um ambiente mais seguro para os usuários.

1. A sociedade informacional e a segurança digital

Antes mesmo de abordar o tema deste primeiro ponto, entendo a necessidade de distinguir, com base nos estudos do sociólogo Manuel Castells^[3], a expressão sociedade de informação de sociedade informacional. A primeira delas representa um período histórico caracterizado por uma revolução tecnológica, movida pelas tecnologias digitais de informação e de comunicação. O seu funcionamento advém de uma estrutura social em rede^[4], que envolve todos os âmbitos da atividade humana de forma interligada, que depende dos valores e dos interesses de cada país e organização. Este percurso da história humana gera uma multiplicidade de opções para a vontade se concretizar. Entre essa noção e a de sociedade informacional, existem algumas diferenças, em que a sociedade da informação destaca a importância das dinâmicas sociais, de um modo transversal, em qualquer período do tempo. Por sua vez, o termo informacional qualifica uma organização social, na qual a produção, processamento e transmissão de informação tornam-se cruciais na produtividade e no exercício do poder. Aqui, pode-se ilustrar com a comparação de Castells do novo paradigma tecnológico estadunidense da década de 70, em particular na Califórnia, em que um segmento específico da sociedade concretizou um novo estilo de comunicação e produção, em contato com a economia e geopolítica global^[5]. O desenvolvimento tecnológico surge, nesta sociedade, como a formação das ferramentas de produção e de desenvolvimento de uma dada atividade. A fonte da produtividade situa-se na tecnologia, associada à produção de informação, da criação e interpretação de conhecimento.

Esse novo paradigma, segundo explica Castells, surgiu a partir de invenções tecnológicas ocorridas na Segunda Guerra Mundial. Mas foi na década de 70, especificamente nos Estados Unidos que a “cultura da liberdade” ou “contra-cultura” passou a refletir em movimentos de quebra de valores e padrões convencionais de comportamento social e, em particular, no mundo dos negócios. Isso abriu espaço para que, exatamente no conhecido Vale do Silício, houvesse a introdução no mercado de novas tecnologias; como consequência observava-se a mudança radical de dos comportamentos sociais, organizacionais e mentais; isso porque a tecnologia, a cultura, a ciência, o trabalho e as demais áreas da vida do ser humano, tem estado, desde então, em funcionamento simultâneo para a própria subsistência. Hoje principalmente a informação é a grande base do modelo de negócios das maiores empresas do mundo hoje, como Apple, Microsoft… Essa é a era em que vivemos. O que se passa do outro lado do mundo pode, em questão de segundos e alguns cliques, estar diante de nossos olhos em tempo real; sem falar do poder de interferência que possuímos no presente e no futuro e os possíveis resgates ao passado. A informação além de ser central, é também objeto das próprias invenções tecnológicas, como hard drives e chips. Essa é a chamada sociedade informacional, que é composta por uma “rede de relações produtivas, administrativas, comunicativas e pessoais”, como afirma a professora da Universidade de São Paulo, Maria Cristina Castilho Costa^[6]. “A escrita e a imprensa, a telegrafia, a rádio, a telefonia e a televisão, a internet ofereceram, cada um, novas maneiras de administrar a informação e novas maneiras de comunicá-la.”, escreve Roger Silverston^[7]. A velocidade, a acessibilidade e a facilidade existentes neste mundo tecnológico simplificam o dia a dia de milhares de pessoas ao redor do mundo; e, ao mesmo tempo que as aproximam, tornam cada vez mais afastadas as relações interpessoais, ou seja, tecnologias cujo foco era a globalização acabaram por se mostrar excludentes a uma gama considerável de pessoas principalmente em países periféricos. Bill Gates em 1995 afirmou: “Parece que fomos uma geração inteira, no mundo todo, a arrastar conosco para a maturidade nosso brinquedo predileto. Ao fazê-lo, provocamos uma espécie de revolução – essencialmente pacífica – e agora o computador mora em nossos escritórios e lares”. Pode-se inclusive dizer que tais objetos eletrônicos não apenas moram conosco, mas tornaram-se, praticamente, parte da família e, muitas vezes, recebem mais atenção que os membros de fato. Sem falar do imediatismo gerado pela informação em rede, notícias, muitas vezes sensacionalistas e sem qualquer teor de embasamento e veracidade, espalham-se em uma velocidade inacreditável e prejudicial para diversos setores sociais. Exemplo disso são as chamadas fake news, que não serão objeto deste trabalho, mas revelam o problema da rápida informação descontextualizada.

Aqui começamos a tratar de segurança digital. Seja ela relacionada à imagem, à questão financeira ou até informacional. Fotos vazadas, perfis fakes, cartões clonados, fake news e informações sequestradas. Esse é um cenário meramente comum na sociedade informacional, em que crianças e jovens são educadas a não acreditar de imediato em tudo que lêem na rede, assim como a não passar informações pessoais em sites não reconhecidos. A questão é que até mesmo sites considerados seguros e páginas oficiais do governo estão sujeitas a ataques cibernéticos e coleta de dados pessoais para fins muitas vezes não democráticos, aumentando potencialmente o risco e a margem de danos ocasionadas por estes.

Em suma, ao mesmo tempo que a sociedade informacional trouxe facilidades às pessoas por propiciar novos meios de acesso à informação e facilidades em geral para suas vidas, como por exemplo computadores mais rápidos, impressões mais fáceis, acesso a livros, músicas e filmes, esse paradigma apresenta problemas novos que o direito e a sociedade em geral parecem não estar prontos para prover uma resposta satisfatória. Dentre tais problemas, escolheu-se a temática do ransomware, espécie de vírus que causou e ainda causa prejuízos financeiros consideráveis a empresas e particulares.

2. O conceito de ransomware e suas implicações

            Um dos ataques cibernéticos que evidencia a questão da falta da segurança integral no mundo online é o ransomware. Ransom é um termo em inglês que significa ‘resgate’. Conhecido por ser um tipo de vírus/software malicioso (malware) que tem o intuito de bloquear/sequestrar dados de certo arquivo ou sistema e só liberá-los mediante pagamento de uma quantia especificada, normalmente em moeda virtual como o bitcoin, justamente pelo fato de possuir fácil circulação e garantir anonimato nas transações, protegendo aqueles que se utilizam desse meio.^[8] O meio utilizado pelo autor do ataque cibernético para o referente sequestro de informações é a decodificação criptográfica, que em linhas gerais significa a utilização de uma chave privada compatível com o acesso à determinada informação, possibilitando ao vírus bloquear a navegação do usuário até que seja efetuado o resgate mediante o aludido pagamento. Apesar de serem vistos como um problema de segurança recente, os ransomwares não são um conceito novo: as primeiras referências a esse tipo de ataque aconteceram no final da década de 1980, antes ainda da expansão da internet aos ambientes domésticos, o que ocorreu a partir de 1995. O primeiro ransomware de que se tem conhecimento foi identificado em 1989, o Trojan AIDS, como foi chamado, era uma malware distribuído por disquete e tentava extorquir dinheiro de algumas vítimas, frequentemente no valor de US$ 189 — em nome da PC Cyborg Corporation, criptografando os discos rígidos dos usuários até que fosse pago tal valor.

A internet, em fins dos anos 80, não era utilizada banalmente e por todos como hoje, e sim apenas por especialistas da área, sendo ainda um empenho público presente quase totalmente apenas em países desenvolvidos, além de não possuir todo aparato sofisticado de segurança cibernética como hoje conhecemos, tais como antivírus e firewalls^[9], fatos que tornavam os pagamentos internacionais de resgate difíceis de se processar, principalmente por lidarem com jurisdições e legislações distintas, visto que muitas vezes os autores desses ataques residem em países de difícil fiscalização. Na era moderna, os ransomwares com poder notável de alcance e destruição surgiram em 2005 com vírus como Krotten, Cryzip e MayArchive, que utilizavam de criptografia RSA – a mais utilizada no mundo, cuja base de funcionamento possui duas chaves, uma pública compartilhável para a criptografia e outra privada mantida em sigilo para descriptografar a mensagem desejada; sendo usadas para bloquear dados ou sistemas e exigir pagamentos como resgate. Esse ransomware já pode ser considerado com um tipo avançado de crypto-ransomware, em que os atacantes criptografavam os arquivos das vítimas e ofereciam descriptografá-los em troca de dinheiro, utilizando esse sistema de duas chaves próprio da tecnologia blockchain.^[10]

Desde então, outros sequestros digitais foram reportados na história da internet. Como exemplo tem-se o Trojan.Winlock e o Police, ambos datados de 2011 cujos efeitos práticos resultaram no congelamento do desktop dos afetados, sendo solucionados apenas após 1 ano dos ataques iniciais. Mas foi a partir de 2013 que as proporções dos ransomwares tornaram-se assustadoras e causaram montantes enormes de prejuízos para empresas e computadores pessoais. Atualmente, os ransomwares não são uma ameaça apenas aos PCs, porquanto dispositivos móveis como smartphones também estão sujeitos aos vírus. Algo em comum dentre praticamente todos os ataques conhecidos é o aparecimento de alguma tática de engenharia social. Ou seja, a mensagem é acompanhada de um argumento que tenta  convencer o leitor que navega pela web a clicar em um link ou anexo que leva diretamente ao vírus e bloqueia o aparelho, como por exemplo apelos à melhoria na aparência das pessoas ou ainda promessas de recompensa. ou também pode ser que o ransomware se passe por antivírus, jogo ou aplicativo. A pessoa, então, é levada a acreditar que o software é legítimo, contudo, quando o instala, acaba permitindo que o malware contamine o seu dispositivo.

O fato é apenas um. O problema existe, e seus efeitos tornam-se cada vez mais perigosos devido ao aumento da capacidade de estrago proveniente dos vírus no contexto de uma sociedade informacional em que quase todos têm acesso a rede, apesar de o conhecimento acerca dos mecanismos de proteção do usuário e seu acesso ainda serem pouco difundidos ou extremamente custosos para a sociedade em geral; O especialista em tecnologia Marcelo Stopanovski alerta sobre esse despreparo da sociedade com relação à proteção virtual: “Proteger seu banco de dados em um servidor fora do escritório e com forte aparato de segurança digital é um primeiro ponto. Porém, vai além: o advogado tem que entender que seu notebook, seu smartphone, suas ligações e mensagens, tudo faz parte dos ativos da empresa e deve passar por processos de segurança”. Essa realidade preocupante e desafiadora faz com que medidas protetivas e coercitivas tornem-se cada vez mais necessárias e urgentes. O terceiro item trará um exemplo prático de ataque de ransomware no Brasil que se tornou paradigmático no tema.

3. Estudo de caso: as invasões no MP-SP e TJSP

            Ano passado, em maio de 2017, devido ao vazamento da ferramenta de espionagem EternalBlue, desenvolvida pela Agência Nacional de Segurança dos Estados Unidos, o mundo assistiu ao ataque global do ransomware WannaCry. Principalmente por meio de um e-mail infectado, pelo menos 200 mil vítimas espalhadas por 150 países (segundo o diretor do Serviço Europeu de Polícia – Europol, Rob Wainright) sofreram as consequências de não estarem com seus servidores atualizados, principalmente usuários do Windows 7, justamente porque o exploit EternalBlue explora a vulnerabilidade do Microsoft Windows, precisamente na implantação do protocolo Server Message Block, que permite o compartilhamento de arquivos e que dessa forma facilitou então a transmissão do software malicioso. Ressalta-se que tal vulnerabilidade já foi solucionada pela própria empresa.

No Brasil, o caso merecedor^[11] de maior destaque é o que será tratado nesse ponto: as invasões do vírus em questão ao Ministério Público do Estado de São Paulo e ao Tribunal de Justiça de São Paulo e os danos causados pelo ataque. Tal ataque começou no dia 12 de maio de 2017, por volta de 13h20, quando o site do INSS foi inativado e as agências da CAIXA econômica foram paradas por conta de tais sequestros virtuais. 3 horas depois foi a vez dos sites do TJSP e MP-SP saírem do ar e os usuários das instituições se depararem com pedidos de resgate no valor de 300 dólares, em bitcoin, por máquina afetada. Com isso, o Tribunal de Justiça do Estado de São Paulo determinou o desligamento de todas as máquinas do estado, visando evitar maiores perdas informacionais e danos financeiros. O primeiro dos ataques foi identificado em São José do Rio Preto, onde pelo menos 10 máquinas foram travadas. De maneira preventiva, o Tribunal Regional do Trabalho (TRT-2) também determinou que seus computadores fossem retirados do ar. O único órgão que assumiu de fato que teve suas máquinas infectadas foi o TJSP, enquanto todos os outros afirmaram que as medidas de desligamento e suspensão temporária de atividades foram apenas por segurança e precaução. Nas cortes superiores, apenas o Superior Tribunal de Justiça afirmou ter aderido a qualquer providência. O site do STJ funcionou normalmente, apesar de o setor de tecnologia da informação tentar reforçar a segurança do sistema. Na linguagem técnica, segundo a Assessoria de Imprensa do STJ, “foram instalados novos protocolos de segurança” para proteger a rede do tribunal; e como consequência, computadores tiveram seu funcionamento modificado, de forma a ficarem lentos.

Como esperado dentro desse tipo de ataque cibernético, há sempre a possibilidade de resgate das informações e arquivos que foram sequestrados e/ou bloqueados. Quanto ao caso brasileiro das instituições aqui tratadas, as mensagens que apareciam nas telas dos computadores do Ministério e o Tribunal do Estado de São Paulo fixavam o prazo máximo de três dias para que o depósito do valor de 300 dólares, em bitcoin, fosse feito. Além disso, acompanhado dos dados e informações para que o pagamento fosse realizado com sucesso, seguia a mensagem com a seguinte ameaça: “Depois disso o preço será dobrado. Além de que, se o pagamento não for realizado em 7 dias, o usuário não será capaz de recuperar seus arquivos”, “Ninguém pode recuperar seus arquivos sem o nosso serviço de descriptografia.”. A opção do Tribunal de Justiça de São Paulo foi por não realizar o pagamento exigido pelos hackers, e a justificativa dada ao JOTA pelo juiz Aléssio Martins Gonçalves, assessor da presidência do TJSP para a área da tecnologia da informação, foi a de que, nas palavras dele “As informações de processos e de interesse público não foram afetadas. Elas ficam gravadas em dois datacenters, com backups de todos os dados. Nada disso foi afetado. Os servidores não foram atingidos, apenas algumas estações de trabalho”.

Segundo Gonçalves, o dano foi “mínimo e pontual” e não teria porque pagar um resgate que não apresentava qualquer garantia de recuperação de arquivos e dados, além de que, dentro desse tipo de ataque, os criminosos normalmente não utilizam as informações sequestradas, apenas criptografam e as destroem. Para dar ainda mais peso ao seu argumento do porquê o resgate não deveria ser pago, o magistrado afirma que dentre os 55 mil computadores da rede do Tribunal, menos de 275 foram afetados, o que equivale a aproximadamente 0.5% do total, além disso, dentre essas máquinas, havia computadores de profissionais de 1ª e 2ª instância, tanto no interior quanto na capital e como os datacenters não foram afetados, apenas informações pessoais podem ter sido perdidas. Portanto a medida de precaução e eliminação do malware foi somente o desligamento das demais máquinas e a suspensão das atividades durante aquele dia. Quanto à segurança da informação do TJSP, Gonçalves esclareceu que por ano são investidos por volta de 100 milhões de reais na área, justamente com o intuito de proteger as informações jurisdicionais dos malfeitores. A falha foi de fato do software da Microsoft, que prontamente se dispôs a adicionar uma função de detecção e proteção contra novos possíveis vírus e garantiu que todos aqueles que estiverem usando o antivírus gratuito da empresa e tenham habilitado o Windows Update estão devidamente protegidos.

Embora não tenha havido prejuízo substantivo para os órgãos públicos em questão, esse ataque serve como alerta para as possíveis consequências da falta de cibersegurança. Caso o TJSP e o MPSP não tivessem os backups dos arquivos criptografados, as possíveis consequências desse ataque poderiam ter sido devastadores. Por exemplo, com a perda de processos, provas, ofícios e demais documentos importantes para a administração da Justiça. Dessa forma, o próximo item, em tom conclusivo, trará propostas de soluções parciais que visem a sanar ou minimizar o alcance de tais ataques.

4. Possíveis soluções para a criminalidade cibernética

            Apresentadas as principais informações, aspectos e consequências referentes aos ataques cibernéticos ocorridos aos órgãos de justiça brasileira em 2017, cujo prejuízo, apesar de ter sido mínimo, poderia ter sido substantivo, mormente pelo fato de que os dados afetados detinham interesse público e, alguns, caráter sigiloso, passar-se-á, agora, a apresentação de propostas que ao menos minimizem a possibilidade de ocorrência de novos ataques.

Parte-se da premissa de que o direito, em sua função reguladora e, por vezes, coercitiva, tem o papel de disciplinar as relações sociais; bem como definido por Miguel Reale “o direito é a ordenação ética coercível, heterônoma e bilateral atributiva das relações sociais, na medida do bem comum.”. Contudo, a mítica moderna de um direito centrado no Estado e capaz de regular todas as relações, sob o dogma da completude, mostra-se insuficiente frente à realidade vivida nos dias atuais, principalmente ante aos novos avanços tecnológicos que desafiam essa lógica totalizante. A premissa, portanto, é de que, lidando com novas tecnologias, o direito encontra dificuldades de regulação e então de  aplicação dessa regulação, principalmente porque seus operadores não estão prontos ou não têm conhecimento suficiente para apresentar respostas satisfatórias. Condição que talvez exista pela novidade relativa que o mundo tecnológico representa, em conflito, muitas vezes, com a tradicionalidade do mundo jurídico.

Tal premissa afasta, portanto, a tentativa de solução dos ataque por ransomwares com o aporte de leis escritas, especialmente aquelas de cunho penal ou criminal, cuja eficácia é debatível. O que se propõe aqui, de outra lógica, é uma mudança estrutural no código que sustenta a internet e especialmente as redes públicas. Há uma crença cultivada por ciber-tecnólogos e cidadãos virtuais de todo o mundo de que o ciberespaço é fundamentalmente impossível de ser regulamentado, justamente devido ao fato de que o mundo cibernético é inteira e artificialmente construído pelo homem, portanto, o modo como este existe perante à realidade virtual, suas capacidades e as limitações de suas capacidades são artificiais. Um dos adeptos dessa tese é Lawrence Lessig, professor de cyberlaws na faculdade de direito de Harvard, que escreveu a emblemática obra “Code and Other Laws of Cyberspace”.^[12]

Lessig afirma que o código é a lei e nós, particularmente os programadores de computador, somos como deuses. As informações sobre os estudos e propostas do professor que seguem nas próximas linhas serviram de base para a sugestão da implementação da mesma ideia de alteração de código voltada ao tema central do artigo, os ransomwares. Seguindo a teoria do code, uma das mais importantes constatações é a de que a artificialidade do ciberespaço, com sua notável potencialidade, pode ser passível de uma regulamentação que beira a perfeição. Seria possível codificar o ciberespaço de tal modo que tudo que for feito dentro do mundo virtual esteja cuidadosamente circunscrito e limitado ao que os “donos” do ciberespaço permitem fazer. Lessig entende que deve-se pensar em um código do ciberespaço, ou seja, o software e o hardware que fazem o ciberespaço ser o que é, como uma espécie de lei. Este código, como as leis,  fixa certos valores ao ciberespaço; ele torna possível certas liberdades. O código que determina o ciberespaço é determinado por quem escreveu o programa, até mesmo o plano físico. Ou seja, por meio de simples cliques em “sim”, “não”, “enviar dados” e etc, o usuário é direcionado ao que quer desde que seus dados apresentem-se devidamente preenchidos; é um tipo de controle pelo código, algo implícito e sutil, em que os codificadores e programadores escolhem como as ações devem ser direcionadas, visto que cada espaço virtual tem um código embutido. A direção que o ciberespaço está tomando hoje é no sentido de criar uma situação para acomodar uma codificação e legislação locais. Como o espaço se apresenta atualmente, torna-se muito difícil para qualquer governo controlar o que quer que seja nesse ambiente virtual. Isto porque é difícil saber quem vem de onde, e o que se está fazendo. Mas as tecnologias estão vagarosamente sendo integradas com o ciberespaço, e poderão tornar mais fácil saber de onde alguém está vindo e em alguns casos, o que ele ou ela está fazendo. Quando isso efetivamente acontecer, os governantes locais poderão, então, determinar quais os comportamentos que podem ser adotados, regulando-os localmente.

Lawrence Lessig cita que inicialmente a arquitetura da internet obstava saber quem, o que e de onde vinham os pacotes, ocasião que dificultava sobremaneira a responsabilização de determinados agentes. Ademais, o ciberespaço foi capaz de aferir um alcance mais amplo e um anonimato de alguma forma relativizável. Esse anonimato da rede acabou por criar uma aporia entre o real e o virtual, uma dualidade que exige a reação de determinados “agentes reguladores” no mundo externo. Em suma, tudo é passível de ser regulado pelo Código, e será ele que vai balizar os níveis de liberdade/privacidade da rede.

Em sua arquitetura inicial, todos eram invisíveis na internet. Contudo, para Lessig, qualquer que seja a configuração da internet, ela é suscetível de mudanças, pois a natureza da internet não é pré-estabelecida, mas construída pelos seus usuários. Isso serviria também para os ransomwares, pois eles não são atributos da natureza e sim construções da rede. O nível de proteção conferido ao usuário pode ser maior ou menor a depender de como o código está construído.^[13]

Cita-se como exemplo concreto de um produto que serviria a esse combate o IProtectYou. Esse sistema permite verificar o conteúdo dos pacotes mas apenas em uma máquina específica; pode ser usado, a título exemplificativo, para o controle parental. Tem-se

também a criação do nmap e do packet filtering, tecnologias aptas a revelar o conteúdo do que trafega nos pacotes da rede, filtrando assim os ransomwares ou demais conteúdos lesivos e preservando a privacidade dos usuários.

A alteração do código, assim, não passaria propriamente pelo direito, mas sim pelos agentes que primordialmente devem conferir segurança aos usuários das redes, como a própria Microsoft que, por intermédio do antivírus Defender, confere a sociedade no geral e aos órgão públicos em especial a proteção requerida para o desempenho de suas atividades. A alteração do código foi a proposta escolhida justamente pelo fato de que a lei brasileira concede poucas garantias contra ataques virtuais globais, como bem postulou o advogado Omar Kaminski, especialista em Direito Digital, “embora a internet não tenha fronteiras, temos os limites de jurisdição e competência, então fica muito difícil responsabilizar um agente danoso que esteja situado no exterior.”, ele também afirma que o ideal seria o Brasil ter uma legislação mais uniforme, via tratados e convenções internacionais, perto disso está a contribuição aqui sugerida como auxílio no combate dos ransomwares, visto que a trazida alteração no código seria, de certa forma, um tipo de convenção internacional que traçaria os limites do mundo virtual. Atualmente, no Brasil, existem poucas leis para punir ataques cibernéticos; são elas: o artigo 226 do Código Penal, modificado pela lei 12.737, apelidada de Lei Carolina Dieckmann, cuja pena é aquém da desejável^[14]

Considerações Finais

Feita a exploração do tema referente à sociedade informacional e os novos desafios trazidos por esse paradigma, com o aporte de Manuel Castells, em sua relação com a segurança digital e os ransomware, o presente artigo visou a demonstrar a complexidade e incompletude do tema, trazendo ainda problemas práticos encontrados nos casos de invasão dos computadores do Tribunal de Justiça de São Paulo e Ministério Público de São Paulo.

Almejou-se, também, suscitar a dificuldade de restringir essa questão apenas a seara jurídica, eis que, para Lessig, seria o Código ou a arquitetura da rede o lócus por excelência de quaisquer mudanças que solucionem problemas de segurança digital. Bem por isso, o que se propõe é justamente uma recolocação da discussão, a fim de que ela saia exclusivamente do ponto de vista jurídico e abraça sua interrelação com outros saberes, tais como a informática e a ciência da computação.

Com isso, as potencialidades do tema encontram-se em locais outros que não no direito. Portanto, a conclusão que se chega é de que o tempo do direito e o tempo da tecnologia são distintos e, sendo necessárias respostas para o problema dos ransomwares, essa necessidade precisa de operadores do direito capazes de ultrapassar o pensamento meramente jurídico e abraçar a interdisciplinaridade do tema. Em suma, o jurista precisa compreender que a sociedade informacional traz desafios que exigem uma formação mais plural e atenta aos limites do direito.

Referências Bibliográficas

CARTILHA CERT. Você sabe o que é ransomware?. 2012. Disponível em: <https://cartilha.cert.br/ransomware/>. Acesso em 22/10/2018.

CASTELLS, Manuel; MAJER,  Roneide Venâncio; GERHARDT, Klauss Brandini. A sociedade em rede. Fundação Calouste Gulbenkian, 2002.

CISCO. What is a firewall. Disponível em: <https://www.cisco.com/c/pt_br/products/security/firewalls/what-is-a-firewall.html. Acesso em 22/10/2018.

CONJUR. Lei brasileira garantias ataques virtuais globais. 2017. Disponível em: <https://www.conjur.com.br/2017-mai-13/lei-brasileira-garantias-ataques-virtuais-globais>. Acesso em: 15/11/2018.

COSTA, Maria Cristina Castilho. Sociedade informacional. Comunicação & Educação, São Paulo, n. 15, p. 15-20, aug. 1999. ISSN 2316-9125. Disponível em: <http://www.revistas.usp.br/comueduc/article/view/36858/39580>. Acesso em: 18 may 2018

JOTA. Hackers atacam TJSP e MP-SP e pedem resgate. Maio/2017. Disponível em: <https://www.jota.info/justica/hackers-atacam-tj-sp-e-mp-sp-e-pedem-resgate-12052017>. Acesso em 29/10/2018.

______. TJSP não vai pagar resgate de dados a hackers. Maio/2017. Disponível em: <https://www.jota.info/justica/tj-sp-nao-vai-pagar-resgate-de-dados-a-hackers-12052017>. Acesso em 29/10/2018.

JUS. Regulamentação da internet. Disponível em: <https://jus.com.br/artigos/1768/a-regulamentacao-da-internet>. Acesso em: 12/11/2018.

LESSIG, Lawrence. Code: And other laws of cyberspace. ReadHowYouWant. com, 2009

SILVERSTONE, Roger. Introduction. In: Media, technology and everyday life in Europe. Routletge, 2017.

^[1] Graduanda em Direito pela Universidade Federal do Paraná. Email: <[email protected]>.

^[2] Mestrando em Direito do Estado pela Universidade Federal do Paraná. Especialista em Direito Constitucional pela Academia Brasileira de Direito Constitucional. Pesquisador do GEDAI. Email: <[email protected]>.

^[3] A obra que será utilizada neste trabalho é: CASTELLS, Manuel. A sociedade em rede. Fundação …  São Paulo: Editora Terra, 1999.

^[4] Em alguns obras, Castells opta pelo termo sociedade em rede em detrimento de sociedade informacional. Contudo, não há oposição entre essas duas designações de sociedade, mas ligação e até mesmo atualização por parte do autor. Ou seja, o que ocorre, observando-se a obra do sociológico, não é um abandono do termo “informacional”; mas sim uma adaptação dessa nossa sociedade ao novo veículo de circulação informacional, as redes.

^[5] CASTELLS, Manuel. A sociedade em rede. Fundação …  São Paulo: Editora Terra, 1999. p. 43

^[6] COSTA, Maria Cristina Castilho. Sociedade informacional. Comunicação & Educação, São Paulo, n. 15, p. 15-20, aug. 1999. ISSN 2316-9125. Disponível em: <http://www.revistas.usp.br/comueduc/article/view/36858/39580>. Acesso em: 18 may 2018.

^[7] SILVERSTONE, Roger. Consumo. Por que estudar a mídia(1999).

^[8] Para maiores informações, consultar a seguinte matéria: CARTILHA CERT. Você sabe o que é ransomware?. 2012. Disponível em: <https://cartilha.cert.br/ransomware/>. Acesso em 22/10/2018.

^[9] A definição de firewall é trazida como: “Um firewall é um dispositivo de segurança da rede que monitora o tráfego de rede de entrada e saída e decide permitir ou bloquear tráfegos específicos de acordo com um conjunto definido de regras de segurança. Os firewalls têm sido a linha de frente da defesa na segurança de rede há mais de 25 anos. Eles colocam uma barreira entre redes internas protegidas e controladas que podem ser redes externas confiáveis ou não, como a Internet. Um firewall pode ser um hardware, software ou ambos.” Disponível em: <https://www.cisco.com/c/pt_br/products/security/firewalls/what-is-a-firewall.html. Acesso em 22/10/2018.

^[10] Blockchain é uma tecnologia de registro disperso que visa a descentralização como medida de segurança. São bases de registros e dados distribuídos e compartilhados que têm a função de criar um índice global para todas as transações que ocorrem em um determinado mercado.

^[11] As informações aqui trazidas foram coletadas dos seguintes websites: JOTA. Hackers atacam TJSP e MP-SP e pedem resgate. Maio/2017. Disponível em: <https://www.jota.info/justica/hackers-atacam-tj-sp-e-mp-sp-e-pedem-resgate-12052017>. Acesso em 29/10/2018; JOTA. TJSP não vai pagar resgate de dados a hackers. Maio/2017. Disponível em: <https://www.jota.info/justica/tj-sp-nao-vai-pagar-resgate-de-dados-a-hackers-12052017>. Acesso em 29/10/2018.

^[12] Para mais: LESSIG, Lawrence. Code: And other laws of cyberspace. ReadHowYouWant. com, 2009.

^[13] Para mais: LESSIG, Lawrence. Code: And other laws of cyberspace. ReadHowYouWant. com, 2009. p. 26.

^[14] CONJUR. Lei brasileira garantias ataques virtuais globais. 2017. Disponível em: <https://www.conjur.com.br/2017-mai-13/lei-brasileira-garantias-ataques-virtuais-globais>. Acesso em: 15/11/2018.