Pró-Reitoria Acadêmica
Escola Politécnica
Lato Sensu em Perícia Digital
Trabalho de Conclusão de Curso
PERÍCIAS EM AMBIENTES DE CLOUD COMPUTING:
DIFICULDADES, BOAS PRÁTICAS E ASPECTOS LEGAIS
Autor: Henrique Selvero Menezes Cardoso
Orientador: Prof. M. Sc. João Paulo Batista
Botelho
Brasília - DF
2015
HENRIQUE SELVERO MENEZES CARDOSO
PERÍCIAS EM AMBIENTES DE CLOUD COMPUTING: DIFICULDADES, BOAS
PRÁTICAS E ASPECTOS LEGAIS
Artigo apresentado ao curso de especialização
em Perícia Digital da Universidade Católica de
Brasília, como requisito parcial para obtenção
do Título de Especialista em Perícia Digital.
Orientador: Prof. M. Sc. João Paulo Batista
Botelho
Brasília
2015
Artigo de autoria de Henrique Selvero Menezes Cardoso, intitulado “PERÍCIAS EM
AMBIENTES DE CLOUD COMPUTING: DIFICULDADES, BOAS PRÁTICAS E
ASPECTOS LEGAIS”, apresentado como requisito parcial para obtenção do grau de
Especialista em Perícia Digital da Universidade Católica de Brasília, em 27 de Outubro de
2015, defendido e aprovado pela banca examinadora abaixo assinada:
_____________________________________________
Prof. M. Sc. João Paulo Batista Botelho
Orientador
Perícia Digital - UCB
_____________________________________________
Prof. M. Sc. Marcelo Beltrão Caiado
Examinador
Perícia Digital - UCB
Brasília
2015
4
PERÍCIAS EM AMBIENTES DE CLOUD COMPUTING: DIFICULDADES,
BOAS PRÁTICAS E ASPECTOS LEGAIS
HENRIQUE SELVERO MENEZES CARDOSO
Resumo
O artigo em questão visa abordar os aspectos legais da perícia em cenários de Computação em
Nuvem. Como será observado no presente artigo, mudanças na legislação em vigor no Brasil
serão necessárias, levando-se em conta o rápido crescimento tecnológico por qual a sociedade
mundial vem passando. Tais mudanças na lei são urgentes, uma vez que os temas aqui
examinados não são parte de um futuro incerto, mas do cotidiano de inúmeras pessoas.
Palavras-chaves: Computação em Nuvem. Cloud Computing. Direito Digital. Boas Práticas.
Perícia Digital.
1. INTRODUÇÃO
Nos últimos anos, a utilização de recursos de Tecnologia da Informação (TI) vem
crescendo de forma exponencial. Segundo pesquisa realizada pela Folha de São Paulo (2014):
“em 25 de novembro de 2014, o mundo já possuía quase 3 bilhões de usuários na Internet –
cerca de 40% da população mundial”, número que, atualmente, em torno de 3,3 bilhões.
Com isso, pode-se concluir que a Internet é um dos principais recursos de TI, senão o
principal, com crescimento constante desde seu surgimento para o público geral, na década de
90. A história da Internet é "uma rara mistura de estratégia militar, grande cooperação
científica, empreendedorismo tecnológico e inovação contracultural", como resume um dos
maiores estudiosos das transformações sociais e econômicas da atualidade, Castells (1999,
vol.1, p. 375).
Com a evolução da Internet, principalmente no que se diz respeito à velocidade de
download e upload para usuários, tornou-se comum a hospedagem de dados em determinados
sites, como o Megaupload, por exemplo. Nesse contexto, forjou-se a Computação em Nuvem,
que, em suma, representa a possibilidade de utilizar a Internet para acesso a dados,
informações, softwares, dentre outros, sem que os mesmos estejam armazenados no
computador que realiza a comunicação com a rede.
Com a Cloud Computing, apareceram também problemas relativos à segurança da
informação digital, devido às vulnerabilidades aos quais os dados jogados na Nuvem estão
sujeitos.
1.1. JUSTIFICATIVA
Segundo o National Institute of Standards and Technology (NIST) “Cloud Computing
é um modelo que permite, de forma conveniente, o acesso a uma rede sob demanda, para um
conjunto compartilhado de recursos de computação que podem ser configuráveis (como por
exemplo: redes, servidores, armazenamento, aplicativos e serviços) e podem ser rapidamente
fornecidos com um esforço mínimo de gerenciamento ou interação com o prestador de
serviços.”.
Tendo em vista os novos serviços de virtualização proporcionados pela Cloud
Computing e seu crescente uso devido aos seus inúmeros benefícios, abriu-se um “leque” de
5
opções, e, consequentemente, riscos. Estes podem proporcionar transtornos ou prejuízos, tanto
moral como financeiro para suas vítimas.
De acordo com Wendt e Jorge (2012, p. 1):
Nestas situações e existindo previsão penal, surgem os denominados crimes
cibernéticos, que se caracterizam pela prática de delitos no ou por intermédio do
ambiente cibernético, ou seja, da Internet. (WENDT; JORGE, 2012, p. 1).
Com o aumento da utilização de virtualização de dados, principalmente por parte de
empresas, devido as vantagens econômicas (minimizar os altos custos de aquisição de
hardware), fatores relacionados à conveniência e acessibilidade (acesso fácil e em qualquer
local) ou até mesmo por fatores tecnológicos (inovação), fez com que a Cloud Computing se
tornasse um ambiente computacional atrativo. Com isso, criam-se novos desafios e
dificuldades para as análises forenses computacionais.
1.2 CONTEXTUALIZAÇÃO DO PROBLEMA
Este artigo relata as dificuldades encontradas para se fazer uma perícia em ambiente de
Computação em Nuvem, principalmente no Brasil; aponta os riscos inerentes à escassez de
informações sobre perícias envolvendo Cloud Computing, mais precisamente na camada IaaS
– Infrastructure as a Service; e analisa o aumento acentuado dos crimes cibernéticos, o que
faz com que seja pertinente um estudo na área que relate as leis em vigor e as possíveis
mudanças necessárias, de modo a permitir o exame pericial dos dados armazenados numa
Nuvem.
1.2.1 Problema
Tal pesquisa busca responder as seguintes perguntas:
 A legislação brasileira é adequada ao combate dos crimes cibernéticos
associados à Computação em Nuvem?
 Quais as medidas tomadas por países de primeiro mundo no que se diz respeito
à Cloud Computing?
1.3 PRESSUPOSTO DA PESQUISA
As leis não estão acompanhando a evolução da Cloud Computing.
1.4 PROPÓSITOS
1.4.1 Objetivo Geral
Analisar a legislação brasileira aplicável à captação de vestígios deixados numa fraude
da camada IaaS da Nuvem.
1.4.2 Objetivos Específicos
a) Analisar a legislação brasileira relativa ao Direito Digital;
b) Investigar os principais pontos que norteiam as perícias na Nuvem;
c) Analisar o modus operandi dos principais crimes cibernéticos que podem ser
praticados na Nuvem;
6
d) Discutir a responsabilidade pelos danos oriundos de um ataque ou de uma perda de
dados na Nuvem; e
e) Propor a regulamentação da captação de vestígios deixados numa fraude da camada
IaaS da Nuvem.
2. METODOLOGIA
A metodologia usada neste artigo foi a pesquisa bibliográfica, com o intuito de
pesquisar os processos atualmente utilizados na análise forense na Nuvem, relatando os
métodos utilizados e as dificuldades encontradas, além da legislação em vigor aplicável.
Para análise e estudo das leis vigentes, projetos de lei e suas aplicabilidades, foram
realizados estudo de caso, além de pesquisa bibliográfica e análise de processos finalizados no
Brasil.
3. REFERENCIAL TEÓRICO
Neste capítulo, serão expostos os fundamentos teóricos utilizados neste artigo. Serão
abordados o conceito e os princípios da Cloud Computing, os crimes cibernéticos que podem
ser cometidos na Nuvem, os métodos de perícia na Nuvem e as normas brasileiras em vigor
sobre o tema.
3.1 CLOUD COMPUTING
Conhecida no Brasil como Computação em Nuvem, a Cloud Computing baseia-se,
essencialmente, na possibilidade de se utilizar, em qualquer lugar e independentemente de
plataforma, as mais variadas aplicações, arquivos e mídias digitais armazenadas remotamente,
por meio de Internet, com a mesma facilidade dos dados armazenados localmente.
Segundo Veras (2012, p.34):
Cloud Computing é substituir ativos de TI que precisam ser gerenciados internamente
por funcionalidades e serviços do tipo pague-conforme-crescer a preços de mercado.
Estas funcionalidades e serviços são desenvolvidos utilizando novas tecnologias como
a VIRTUALIZAÇÃO, arquiteturas de aplicação e infraestrutura orientadas a serviço e
tecnologias e protocolos baseados na Internet como meio de reduzir os custos de
hardware e software usados para processamento, armazenamento e rede. (VERAS,
2012, p.34).
A Cloud Computing possui quatro principais modelos de implementação. Tendo
como base a citação de Veras, 2012, p. 37,38 são eles:
• Nuvem privada (Private Cloud) – Refere-se a uma infraestrutura operada e quase
sempre gerenciada pelo cliente. Os serviços são disponibilizados apenas para uma
organização, e não para o público;
• Nuvem pública (Public Cloud) – é um serviço disponível publicamente, oferecido
por organizações públicas ou grandes grupos que possuem capacidade de
processamento ou armazenamento. Este serviço pode adotar o modelo pay per use
(pague pelo uso);
• Nuvem comunitária (Community Cloud) – neste modelo, a infraestrutura é
compartilhada por diversas organizações que suportam uma comunidade que possui
interesses em comum;
• Nuvem híbrida (Hybrid Cloud) – a infraestrutura é uma composição de duas ou mais
Nuvens (privadas, públicas ou comunitárias) que continuam a ser entidades únicas,
porém conectadas através de tecnologias proprietárias ou padronizadas que
proporcionam a portabilidade de dados e aplicações. A Nuvem híbrida impõe uma
coordenação adicional a ser realizada para uso das Nuvens privadas e públicas.
(VERAS, 2012, p. 37, 38).
7
A adoção de uma nova tecnologia dessa magnitude em uma empresa requer altos
investimentos, informações concretas a respeito das suas funcionalidades e benefícios e a
quebra de paradigmas. Atualmente, o setor de TI de uma empresa é um dos segmentos que
merecem mais atenção e destaque.
Devido principalmente às crises financeiras dos últimos anos nos principais países do
mundo, a redução de custos é cada vez mais comum na maior parte das organizações e,
consequentemente, as áreas de TI passaram a buscar novas soluções, justificando assim, o
crescente aumento do interesse pela adoção da Cloud Computing.
O serviço de Cloud Computing pode oferecer uma série de benefícios para as
empresas. Tais benefícios estão associados principalmente aos seguintes aspectos:
• Comodidade e disponibilidade de acesso;
• Custos de manutenção reduzidos;
• Economia com energia, pessoal e segurança devido à extinção ou redução do Data
Center da empresa;
• Fácil integração entre serviços;
• Rápida implementação devido à quantidade de empresas que já oferecem tal
serviço;
• Simplicidade de gerenciamento;
• Possibilidade de pagamento por quantidade de espaço alocado.
Uma das principais propostas da Computação em Nuvem é o consumo de acordo
com a quantidade de espaço demandado, de forma que a empresa não precise pagar por aquilo
que não está sendo usado, mas que será usado um dia. Com isso, não é preciso adquirir um
recurso maior que o necessário para prever um possível crescimento da empresa. A Figura a
seguir exemplifica tal explicação.
Figura 1 – Infraestrutura padrão VS Computação em Nuvem. Fonte: VERAS, 2012, p.33
O modelo de infraestrutura “A” mostra a aquisição de equipamentos quando a
capacidade da empresa está chegando ao limite, através de compras grandes e padronizadas,
de forma a atender tal empresa de acordo com seu crescimento ao longo do tempo, ficando o
equipamento sobressalente ocioso enquanto tal empresa não atinge seu objetivo de
crescimento, até chegar a um determinado momento em que tal empresa não terá mais espaço
físico para alocar a quantidade de hardware necessária.
No modelo “B”, com o uso da Computação em Nuvem, a infraestrutura da empresa
acompanha sua demanda, tanto nos momentos de alta como nos momentos de baixa, trazendo
assim uma série de benefícios para a empresa contratante.
Segundo Veras (2012, p.32):
8
“Segundo a IBM, 85% da capacidade de computação do mundo está
ociosa (VERAS, 2012, p.32)”.
Por estes motivos, a Computação em Nuvem é vista como uma evolução natural da
TI, que visa melhor utilização da capacidade computacional do mundo.
3.2 ANÁLISE DE RISCOS
Atualmente, um dos maiores desafios dos gestores de TI é o fato de as organizações
conviverem com uma quantidade incalculável de vulnerabilidades e riscos que comprometem
a segurança da informação.
A gerência de TI de uma empresa deve elaborar relatórios e análises de tais riscos
com muito cuidado, pois o nome e a credibilidade da empresa podem estar em jogo.
Por envolver o acesso a informações e documentos dos mais diferentes níveis de
confidencialidade da empresa, desde dados logísticos até dados de clientes, a Cloud
Computing também oferece riscos potenciais.
Os principais riscos são analisados, segundo Chaves (2011), como:
• Riscos operacionais – são aqueles como falta de privacidade, falta de integridade,
suporte inadequado, baixo desempenho do serviço contratado, ataques por saturação não
detectados a tempo, e baixa ou nenhuma interoperabilidade entre aplicativos.
• Riscos de negócio – por exemplo, a indisponibilidade do servidor, mesmo que
temporária, pois o cliente pode ter sido impedido de exercer suas atividades.
• Riscos estruturais – por exemplo, a não conformidade. O provedor pode estar
operando sem obedecer às normas de conformidade e qualidade. O NIST é o órgão que
padronizou a Cloud Computing com o intuito de qualificar o serviço na Nuvem.
Atualmente, as empresas que oferecem o serviço de Cloud Computing, chamadas de
provedores, são contratadas de acordo com sua reputação no mercado. Não há um modelo de
contrato padrão para esse serviço. A contratação é baseada na segurança passada para o
cliente, levando em consideração a análise da história da empresa no mercado.
3.2.1 Modelos de Serviço
As empresas provedoras do serviço de Cloud Computing oferecem diferentes serviços
para atender ao mercado de TI. Tais serviços são classificados, de acordo com Veras (2012. p.
143, 169, 192) em:
• IaaS (Infrastruture as a Service) - oferece infraestrutura como um serviço. Nesta
camada, o provedor oferece uma infraestrutura de processamento e armazenamento de
forma transparente. O cliente, normalmente uma organização, não tem o controle da
infraestrutura física, mas possui controle das máquinas virtuais, do armazenamento e
dos aplicativos instalados, e um controle limitado da rede. Essa infraestrutura pode,
dinamicamente, aumentar ou diminuir os recursos computacionais de acordo com a
necessidade da organização. A camada IaaS dá suporte às demais camadas da Nuvem.
(VERAS, 2012. p. 143)
• PaaS (Platform as a Service): oferece uma plataforma como serviço. Disponibiliza
para os clientes sistema operacional, linguagens de programação e ambientes de
desenvolvimento para as aplicações que serão exploradas pelos desenvolvedores e
lançadas na rede. Há uma mudança de modelo de software baseado em venda de
licença por um modelo baseado no uso do software como serviço. No PaaS, as
configurações de máquinas virtuais já estão feitas, ao contrário da camada IaaS, em
que isso é feito pelo cliente. (VERAS, 2012. p. 169)
• SaaS (Software as a Service) –oferece software como um serviço: O cliente tem
nesta camada serviços de software mediante uma interface que desenvolve uma
atividade semelhante a um navegador Web. O cliente não administra ou controla a
infraestrutura. Isto fica a cargo do provedor, deixando o departamento de TI mais livre
para exercer outras funções. (VERAS, 2012. p. 192)
9
3.3 CRIMES CIBERNÉTICOS
Segundo Wendt e Jorge (2012, p. 230):
Em virtude da constante evolução tecnológica onde cada vez mais informações estão
nas Nuvens, os crimes cibernéticos também acompanham esta evolução, pois os
criminosos virtuais entendem que informação é poder e é justamente o poder que
esses infratores buscam. Nestes termos os crimes cibernéticos evoluem e
desenvolvem ataques sofisticados para burlar a segurança dos sistemas. (WENDT;
JORGE, 2012, p. 230).
Ao utilizar a Cloud Computing, o usuário não sabe onde se encontram seus dados.
Eles podem até estar armazenados fora do país de origem. Com isso, o perito frequentemente
se depara com leis estrangeiras, que podem ser diferentes das leis locais.
Outro problema é a cadeia de custódia, que é o procedimento de manter os vestígios
do crime intactos, para que as provas não sejam mascaradas ou alteradas.
Uma característica da Cloud Computing que oferece atratividade aos ataques e gera
um grande problema para a cadeia de custódia é o desprovisionamento de recursos devido a
elasticidade da Nuvem. Conforme citado por Lublinsky (2009):
Uma infraestrutura de computação dinâmica é crítica para efetivamente suportar a
natureza elástica do provisionamento e desprovisionamento de serviços, conforme
requisitado por usuários, enquanto mantendo altos níveis de confiabilidade e
segurança. (LUBLINSKY. 2009).
Os crackers, pessoas aficcionadas por informática que utilizam seu grande
conhecimento na área para quebrar códigos de segurança, senhas de acesso a redes e códigos
de programas com fins criminosos, conforme definição de Martins (2012), utilizam técnicas
sofisticadas para obter as informações sigilosas e, principalmente, ocultar possíveis vestígios
deixados. Técnicas antiforenses são utilizadas para dificultar o trabalho dos peritos.
Outro fator que dificulta a investigação do perito são os ataques em conjunto por
crackers de diversas localidades e diferentes países. Estes utilizam a Internet para
comunicação e confecção de estratégias de ataques a determinados servidores, redes ou até
mesmo na comunicação do cliente com um determinado servidor. Ainda não há uma atuação
integrada entre os órgãos responsáveis pela segurança da informação e nem um órgão central
no mundo para combater esses ataques. Apesar de existirem comunidades e órgãos
governamentais que compartilham informações deste segmento entre os interessados em
segurança, como o Centro de Tratamento de Incidentes de Segurança de Redes de
Computadores da Administração Pública Federal - CTIR Gov, não há um órgão específico
visando à perícia computacional dos dados alocados na Internet.
Atualmente, há diversas plataformas que interligam os usuários à Internet, o que
também contribui para o aumento de crimes cibernéticos. Um exemplo de tal vulnerabilidade
são os smartphones, que, segundo relatório do site Gazeta do Povo: “no Brasil, 38% dos
usuários sofreram ameaças por softwares maliciosos. De acordo com os dados, 33% de todos
os malwares móveis rastreiam os usuários e 20% coletam dados dos aparelhos infectados.”
Com isso, dados jogados na Nuvem podem ser rastreados ou até roubados.
Segundo Wendt e Jorge (2012, p. 19):
Os crimes cibernéticos podem ser divididos em 'crimes cibernéticos abertos' e
'crimes exclusivamente cibernéticos'. Os crimes cibernéticos abertos são aqueles
podem ocorrer com ou sem o intermédio do computador. Integram-se nesta
qualificação os crimes de sonegação fiscal, tráfico de influências, jogos ilegais,
dentre outros. Já os crimes exclusivamente cibernéticos são aqueles que somente
podem ser praticados com a utilização de computadores ou de outros recursos
tecnológicos que tenham acesso a Internet. Estão enquadrados nestes tipos de crimes
os Defacement (pichação de páginas na web), pedofilia por meio de redes sociais,
fraudes bancárias, ataques por vírus e worms, dentre outros. A segurança contra
esses crimes envolve toda a corporação pois além da responsabilidades dos gestores
de TI para elaborar a segurança para a rede empresarial, bem como analisar
corretamente as responsabilidades que cabe ao provedor que atende a empresa, há
10
também a engenharia social que deve ser enfatizada e seguida corretamente. Treinar
os funcionários quanto à responsabilidade que lhes cabem quanto à segurança da
informação é um fator que evita ataque e desvios de dados. (WENDT; JORGE,
2012, p. 19).
O mundo cibernético proporciona várias formas de invasão, entre elas: ataques em
servidores, sites, e-mails, vírus em imagens, áudios, caixas eletrônicos e outros tantos em
constante evolução acompanhando o universo da TI. Na Cloud Computing, onde os dados
estão armazenados em Data Centers, o acesso para pericia é determinado de acordo com as
jurisdições locais, devido ao fato de servidores de grandes empresas se encontrarem em
diferentes países.
Nos servidores localizados em solo brasileiro, o acesso as informações depende do
processo judicial, já que algumas informações só podem ser liberadas pelo provedor se o
perito oficial estiver com um mandado judicial em mãos. Há algumas informações que podem
ser obtidas livremente. O cliente fica ciente de quais informações serão disponíveis aos peritos
através do termo de adesão, no ato da assinatura do contrato.
3.4 PERÍCIAS DE INFORMÁTICA
Segundo Queiroz e Vargas (2012, p. 46):
A perícia forense computacional é empregada para entender e investigar os ataques
ocorridos dentro de um ambiente computacional. Estende-se também a metodologias
de investigação bem como suas ferramentas e armazenamento das informações
adquiridas na execução de cada caso. Com esse arquivamento, é possível conhecer e
entender o modus operandi para cada tipo de crime e desta forma obter um caminho
mais próximo do ideal de combatê-lo. (QUEIROZ;
VARGAS, 2012, p. 46).
Ao realizar perícias de informática, o perito se depara com diferentes casos, cada um
com suas particularidades. Este deve estar preparado para identificá-las. Seu objetivo é
preservar e analisar os vestígios, para identificar o responsável pela ação. Atualmente, há no
mercado uma grande quantidade de ferramentas que atendem as mais variadas necessidades
dos peritos, abrangendo os mais diferentes tipos de exames, levando em consideração que tal
perícia pode ser realizada em diferentes tipos e marcas de Hard Disks (HD), mídias (CDs,
pendrives), memórias (DDRs 1,2,3,4,5), entre outros.
Para Queiroz e Vargas (2012, p.86):
Manter íntegro o local onde o suspeito atuou é um fator que auxilia na obtenção de
resultados desejáveis. Mas como fazer isso quando o ambiente é a Nuvem? A
técnica de forense computacional na Cloud Computing requer uma adequada atenção
por apresentar dificuldade por parte dos órgãos que realizam a investigação de
eventuais crimes na rede. (QUEIROZ; VARGAS, 2012, p.86).
3.5 LEGISLAÇÃO BRASILEIRA RELEVANTES À CLOUD COMPUTING
RELACIONADA A CRIMES DIGITAIS
3.5.1 Lei 12.965/2014
Tal lei, conhecida como Marco Civil da Internet, dispõe sobre a proteção à
privacidade dos usuários, de forma que os dados pessoais e a privacidade dos usuários são
garantias estabelecidas por tal lei. A mesma rege também sobre a liberdade de expressão na
Internet e a retirada de conteúdos do ar, mediante ordem judicial ou, em caso de violação da
intimidade, de forma direta.
3.5.2 Decreto 8.135/2013
11
Tal decreto, regulamentado pela Portaria 141/2014, rege sobre a segurança de dados
nos órgãos federais, determinando o armazenamento de dados governamentais por empresas
públicas e em território nacional. O decreto cita também que os softwares utilizados pelo
governo deverão ser auditáveis, ou seja, ter seu completo funcionamento revelado ao governo
federal.
3.5.3 Lei 12.737/2012
Esta lei, também chamada de Lei Carolina Dieckmann, tipifica os crimes de invasão
de dispositivo informático e de interrupção ou perturbação de serviço informático ou
telemático. Em seu artigo 266 § 1o, estabelece penas contra ataques de negação de serviço.
Foi promulgada em 30 de novembro de 2012 e entrou em vigor 120 dias depois de sua
publicação oficial.
3.5.4 Lei 11.829/2008
Tal lei dispõe sobre divulgação de pornografia infantil na Internet, determinando
como crime a empresa que mantém a pornografia em seus servidores, sendo culpadas por tal
se não cortarem o acesso de tal conteúdo após denúncia ou notificação oficial.
3.5.5 Lei 11.101/2005
Tal lei dispõe sobre a declaração de Falência, aonde em seu artigo 169, cita a respeito
de sigilo empresarial, mais especificamente violação, exploração ou divulgação de dados
confidenciais sobre operações ou serviços, indiretamente impactando uma possível análise
forense em uma determinada empresa.
3.5.6 Lei 9.609/1998
Promulgada em 19 de fevereiro de 1998, dispõe sobre a proteção da propriedade
intelectual de programa de computador, sua comercialização no País e outras providências.
3.5.7 Lei 9.504/1997
Tal lei, especificamente em seu art. 72, dispõe a respeito de comandos ou softwares
específicos para destruir, eliminar, alterar, gravar ou transmitir dados do serviço eleitoral,
assim como alterar a apuração ou a contagem de votos.
3.5.8 Lei 9.296/1996
Esta lei regulamenta o inciso XII, parte final, do art. 5° da Constituição Federal,
tipificando crimes de interceptação de comunicações telefônicas, de informática ou
telemática.
3.5.9 Lei 8.137/1990
Esta lei define os crimes contra a Ordem Tributária, econômica e contra as relações
de consumo. Especificamente em seu Art. 2, proíbe a utilização ou divulgação de softwares
que permitam um sujeito passivo possuir informação contábil diversa daquela que é, por lei,
fornecida à Fazenda Pública.
12
4. DESENVOLVIMENTO
4.1 O PROJETO DE LEI (PL) 5.344/2013
No Brasil e no mundo, a adoção da tecnologia Cloud Computing têm crescido a cada
ano e tende a ser a principal forma de movimentação da economia nos próximos anos.
Segundo estimativas da Frost & Sullivan (2013), empresa internacional de consultoria e
inteligência de mercado, apresentadas em 27 de fevereiro de 2013 em um seminário do jornal
Valor Econômico em São Paulo, “os negócios relacionados à Nuvem no Brasil cresceram
cerca de 74% em 2013, em relação a 2012, gerando uma receita, segundo o Computerworld,
naquele ano, de US$ 302 milhões”.
Tendo em vista o crescimento deste negócio, a legislação brasileira vigente vem
apresentando um déficit cada vez mais aparente, já que não regulamenta por lei específica tal
assunto. Atualmente, também não há uma legislação específica regulamentando padrões de
segurança, confidencialidade e disponibilidade, pilares da tecnologia Cloud Computing.
Apresentado em 2013 e arquivado no primeiro semestre de 2015, o projeto de lei
Projeto de Lei (PL) 5.344/2013, de autoria do Deputado Federal Ruy Carneiro, tinha como
finalidade regulamentar a Cloud Computing no Brasil. Tal projeto era visto como base para
um possível avanço legislativo no assunto, mesmo deixando de abordar e sanear problemas
importantes.
O projeto definia o que é Cloud Computing, apresentava diretrizes importantes
relacionadas ao Direito Eletrônico e relatava o que deveria constar no contrato de
armazenamento, guarda e depósito de conteúdo. A partir daí, o projeto perdia sua força
inovadora e regulatória, deixando de agregar novas diretivas ao ordenamento jurídico, no que
se refere à Cloud Computing.
O projeto não resolvia a questão da territorialidade, entendendo que o governo de cada
país deveria firmar tratados internacionais versando sobre o assunto. Levando em
consideração que um dos principais problemas para os peritos digitais quando se trata de
Cloud Computing é a possibilidade de as informações estarem armazenadas em qualquer lugar
do mundo, o projeto perdeu a oportunidade de regulamentar tal questão.
Quanto à responsabilidade pela guarda das informações e sigilo, o projeto estabelece
para a empresa contratada a obrigação de adotar meios de manter a informação em segurança,
evitando perdas. Fazendo uma análise nas leis em vigor no Brasil, nesse ponto o projeto é
redundante, já que essa é a obrigação básica de qualquer empresário: responsabilizar-se pela
atividade desenvolvida e pelos possíveis danos causados.
Tendo como base o Código Civil brasileiro de 2002, o mesmo rege que, 'caso o
depositário não adote medidas mínimas para salvaguardar sua atividade empresarial, ele deve
responder pelo dano causado'. Assim, é possível a utilização do Código Civil para punição da
empresa prestadora de serviço contratada, caso esta não possua backup dos dados
armazenados, responsabilizando-as por possíveis falhas, enquanto não há uma legislação
específica no Brasil.
No artigo 8 do projeto de lei, há uma equiparação da prestação de serviço de Cloud
Computing ao Depósito, previsto no Código Civil, porém estabelece ao prestador de serviço
de Cloud, limite de responsabilidade ao dobro do valor pago nos últimos doze meses.
Levando em consideração que um dos principais objetivos da contratação do serviço
em Nuvem é justamente substituir os grandes Data Centers das empresas contratantes, as
informações armazenadas na Nuvem geralmente são de extrema relevância da empresa e sua
perda pode gerar enormes prejuízos, podendo então ser infinitamente superior ao limite
monetário estabelecido em tal PL.
13
O projeto de lei determina que, no ato da contratação do serviço, a empresa contratante
e a contratada devem firmar um “acordo de nível de serviço”. Levando em consideração a
limitação da responsabilidade a um determinado valor, não haveria interesse do prestador em
cumprir rigorosamente tal acordo.
O projeto previa a devolução do conteúdo armazenado na Nuvem caso houvesse o
descumprimento do contrato por parte do contratante, o que já está previsto no Código Civil,
capítulo VII, artigo 373, inciso II e III, que proíbe a compensação de débitos provenientes de
depósito, não cabendo a empresa contratada rejeitar-se a restituir a coisa depositada, uma vez
que tal coisa não é suscetível de penhora.
Para Luciana Vasco Silva, após a análise do Projeto de Lei 5.344/2013, pode-se
concluir que a solução para a contratação de Cloud Computing está no próprio contrato de
prestação de serviços, solução esta que já ocorre atualmente. O projeto de lei não apresenta
novidades, imputando ao Código Civil Brasileiro a responsabilidade de reger tal atividade,
além de falhar veementemente ao limitar a responsabilidade do prestador de serviços.
4.2 LEIS VIGENTES NO BRASIL E CLOUD COMPUTING NO MUNDO
Hoje em dia, a maioria das instituições, empresas e, principalmente, órgãos da
administração pública elegem como principal preocupação a Segurança da Informação.
Discussões sobre políticas, normas, regulamentos e tecnologias são abordadas em diversos
níveis organizacionais.
Sobre tal tema, o Brasil precisa de novas leis que determinem guarda mínima de
dados, logs, IPs e metadados, já que são as provas originais e, por muitas vezes, as únicas
“testemunhas” dos fatos ocorridos. Como é possível notar nas leis supracitadas, a legislação
brasileira caminha a passos lentos e a ausência de uma legislação específica se torna cada vez
mais evidente, deixando claro que o Direito não acompanha questões relacionadas ao tema.
Por se tratar de uma tecnologia relativamente nova, ainda em maturação, a segurança
da computação em Nuvem precisa de uma maior clareza para impulsionar sua disseminação, e
assim, aumentar a confiança dos profissionais em relação a ela. Uma possível dificuldade está
na variedade dos serviços ofertados. Dependendo do tipo de serviço, os controles de
segurança vão se perdendo lentamente, uma vez que as responsabilidades desses “controles”
podem ser repassadas a terceiros.
Na perspectiva supracitada surge o maior paradigma da computação em Nuvem:
“manter os dados dos clientes protegidos”. Em decorrência da ausência de leis específicas que
criminalizem ilícitos virtuais relativos à Cloud Computing, surge a dificuldade em se punir os
autores de atos praticados através da Internet.
Contudo, além da Lei Carolina Dieckmann, criada com intuito de tipificar e punir
infrações relacionadas ao meio eletrônico que viole normas de segurança, no Brasil, leva-se
em consideração que a Internet é apenas um meio utilizado para práticas de crimes e, assim
sendo, as diretrizes do Direito Penal são igualmente aplicáveis, bastando apenas adequá-las e
modernizá-las.
O Código de Processo Penal brasileiro possui artigos que ditam como as perícias
devem ser realizadas, entre eles o artigo 158, porém, não há uma padronização ou
regulamentação de perícia em Cloud Computing. Deste modo, não há garantia dos dados para
a realização de uma perícia. O artigo 167 do Código de Processo Penal cita: “Não sendo
possível o exame de corpo de delito (...), a prova testemunhal poderá suprir-lhe a falta”.
Fazendo uma analogia com os meios digitais, torna-se difícil devido principalmente à falta de
conhecimento geral na área e à volatilidade das informações, o que em Cloud Computing é
um grande problema devido ao grande volume de informações e à rotatividade na rede.
O artigo 169 do Código de Processo Penal dispõe que: “para o efeito de exame do
local onde houver sido praticada a infração, a autoridade providenciará imediatamente para
14
que não se altere o estado das coisas até a chegada dos peritos”. Em Cloud Computing, tal
preservação não é garantida, pois a Nuvem é utilizada por um grande número de pessoas ao
redor do mundo e, dependendo do crime, nem sempre é possível determinar o momento exato
em que ele foi cometido, devido ao fuso horário do país onde se encontra o servidor e ao
horário da máquina, que não é confiável.
Atualmente, métodos e técnicas tradicionais da perícia podem se mostrar pouco
eficientes. Assim, conforme Heiser (2009):
“Serviços de Cloud são especialmente difíceis de investigar, porque os logs e dados
de vários clientes podem estar localizados conjuntamente e também estar
distribuídos com uma constante mudança no conjunto de máquinas e Data Centers.”
(HEISER, 2009).
Para a realização de uma perícia, é importante haver logs íntegros e confiáveis. A
maneira como tais logs são adquiridos e armazenados se torna um fator de extrema relevância,
pois estes podem ser usados para identificação do usuário por meio de informações contidas
nele, como endereços IP, login, últimos acessos, entre outros.
Por não haver previsão legal de armazenamento dos logs, os prestadores de serviços de
Cloud Computing podem ou não de armazenar seus logs fora da Nuvem, gerando possíveis
riscos. Caso armazenem na Nuvem e haja paralisação serviço, tais logs não poderão ser
acessados remotamente ou até mesmo fisicamente, caso não haja um controle de dados em
cada servidor. Em uma possível invasão, o invasor pode ter acesso aos logs, podendo eliminar
possíveis provas, encobrir rastros ou até mesmo roubá-los para ter acesso aos dados dos
usuários, e, assim, a chance de descobrir qual foi a vulnerabilidade que possibilitou a invasão
ou ataque passa a ser mínima.
Na segurança o log é primordial, pois é onde ficam armazenados, entre outros, os
dados para recuperação do sistema em caso de falhas, a origem de um determinado problema
ou erro do sistema, os usuários conectados ao servidor e os possíveis rastros de navegação de
autores de crimes cibernéticos. O armazenamento correto e padronizado dos logs de dados é
um dos principais tópicos a serem abordados na hora de regulamentar a Cloud Computing.
A legislação referente a crimes cibernéticos é específica de cada país. Alguns países
possuem leis e normas que visam à proteção de dados digitais. O Brasil não trata
especificamente do assunto, utilizando-se de leis existentes para solucionar possíveis
implicações jurídicas. Fazendo uma análise nas leis brasileiras correlatas ao assunto, a
legislação em vigor pode ser aplicada à computação em Nuvem em crimes relacionados às
camadas SaaS, PaaS ou IaaS, havendo apenas a necessidade de regulamentação de alguns
aspectos com relação à parte técnica.
Devido à interligação proporcionada pela Internet, perde-se a noção de territorialidade,
e, com isso, pode não ser possível identificar o país em que um contrato foi firmado, gerandose dúvidas sobre qual legislação é aplicável para resolução de possíveis litígios. Doutrinadores
de Direito Internacional acreditam que a legislação aplicável e o foro competente deveriam ser
previstos em cláusulas contratuais, já que, tendo como base o Brasil, a Lei de Introdução às
Normas do Direito Brasileiro – LINDB prevê a aplicação da legislação de onde o contrato foi
assinado.
Em contradição ao exposto no parágrafo anterior, o Superior Tribunal de Justiça (STJ)
definiu que, mesmo que o contrato determine o foro estrangeiro, tal contrato não pode violar a
legislação brasileira. Com base nos serviços ofertados, o STJ, interpretando o Código de
Defesa do Consumidor, determinou que empresas prestadoras de serviço devem não só se
beneficiar do bônus de suas atividades, como também arcar com os ônus. A lei brasileira
considera nula cláusula abusiva e qualquer limitação da responsabilidade do prestador.
Destaca-se trecho do Agravo de Instrumento n. 498.507-4/7 - São Paulo, do
Desembargador Caetano Lagrasta, do Tribunal de Justiça do Estado de São Paulo:
[...] Deve-se ressaltar que a empresa que pretende trazer para o Brasil serviço
estruturado de novas tecnologias e com alcance que possui a Internet deve se
preocupar em garantir a segurança de referido sistema, não podendo alegar um Bill
15
de indenidade, driblando suas responsabilidades no escudo de empresas
internacionais.
[...] Nesse sentido não pode imputar ao consumidor o ônus de buscar, no estrangeiro,
e em legislação alienígena, as garantias para a proteção dos seus direitos, devendo a
empresa responsável pelo serviço no Brasil assumir total responsabilidade.
(e-STJ, fls. 1.007-1.013, p. 3596)
A existência de um acordo internacional é inevitável em alguns casos, principalmente
tratando-se de empresas globais, como no caso da Google, que, segundo matéria da Editora
Abril, de 3 de fevereiro de 2009: “registrou patente no Trademark Office, órgão responsável
por patentes nos Estados Unidos, da criação de Data Center em alto mar, com objetivo de
reduzir custos com energia, já que a mesma é gerada através do movimento das ondas e do
ar”. Por estar em mar aberto, não seria possível a aplicação de uma legislação específica,
inutilizando o citado no Código de Defesa do Consumidor.
Levando em consideração o exemplo citado acima, a perícia em Cloud Computing,
além de leis específicas no Brasil, necessita também de uma normatização internacional, visto
o possível conflito com leis de países estrangeiros. Países mais desenvolvidos, onde o uso de
computação em Nuvem já se tornou primordial, como Estados Unidos e Japão, possuem
legislação vigente que proíbe que dados públicos estejam localizados fora do país, inibindo
assim, possíveis problemas quanto à privacidade desses dados.
Levando tal fato em consideração, a União Europeia também se resguardou,
elaborando e aprovando a Diretiva 95/46/CE, de 24 de outubro de 1995, que faz referência aos
direitos fundamentais de proteção aos dados pessoais e à livre circulação desses dados entre
estados-membros, que estejam protegidos pela diretiva.
Principalmente devido ao atentado de 11 de setembro, o Congresso norte-americano
criou uma lei que obriga os prestadores de serviços a reterem os logs de suas atividades por
pelo menos dois anos para fins de investigação criminal, tendo acesso a tais informações para
perícia digital com amparo legal previsto em lei.
Já na Europa, foi criada em 10 de março de 2004, através da regulamentação 460/2004
do Parlamento Europeu, a European Network and Information Security Agency - a ENISA,
com intuito de atingir um nível elevado e eficaz de segurança da informação digital na União
Europeia, desenvolvendo a cultura e rede e segurança da informação para benefício dos
cidadãos, consumidores, empresas e setor público.
A ENISA foi uma das pioneiras a criar um relatório padrão e específico de perícia em
Computação em Nuvem, o “Cloud Computing Risk Assessment”, que avalia e cita as
principais estratégias e riscos da tecnologia, permitindo aos políticos europeus criarem
medidas legislativas que amparem tudo relacionado a ela.
Percebe-se então, que os Estados Unidos e a União Europeia estão infinitamente à
frente do Brasil, no que se refere à preocupação e à criação de medidas legais específicas que
tangem a perícia, uma vez que as estratégias econômicas das principais potências mundiais
consideram a Cloud Computing como fundamental para obtenção de vantagem competitiva e
consideram-na como principal evolução funcional da Internet nos tempos modernos.
5. CONCLUSÕES
Apesar de a Internet ser uma tecnologia presente no Brasil a longa data (e por
consequência, os crimes por ela viabilizados), o ordenamento jurídico do Brasil não vem
evoluindo na mesma velocidade para punir tais crimes, apesar da Lei 12737/2012, que não
ampara todas as possibilidades de crimes presentes na Internet, em especial os delitos
relacionados à Cloud Computing. Um projeto de lei sobre o tema chegou a tramitar no
Congresso Nacional, porém, a burocracia e a falta de informação a respeito de sua
importância impediram sua aprovação.
16
O Projeto de Lei 5.344/2013, relacionado a crimes digitais, mais especificamente à
Cloud Computing, do Deputado Federal Ruy Carneiro, errava, segundo especialistas, ao
limitar a responsabilidade dos prestadores de serviços e ao determinar uma multa limitada a
um determinado valor, desestimulando o interesse do prestador em cumprir rigorosamente o
acordo.
Algumas organizações unem esforços para padronizar o andamento de uma perícia,
porém no Brasil ainda não há normas e leis específicas e padronizadas a serem seguidas. Cada
órgão pericial acaba por adotar diretrizes e padrões próprios a serem utilizados. Em
contrapartida, existem hoje várias ferramentas de apoio aos processos de perícia, contudo a
perícia ainda exige muito dos conhecimentos do perito no que diz respeito à análise e
verificação dos dados coletados.
6. RESUMO EM LÍNGUA ESTRANGEIRA
FORENSIC IN ENVIRONMENTS CLOUD COMPUTING: DIFFICULTIES , GOOD
PRACTICES AND LEGAL ASPECTS
HENRIQUE SELVERO MENEZES CARDOSO
Abstract
The article in question aims to address the legal aspects of expertise in Computer scenarios
Cloud. As will be noted in this article, changes in legislation in Brazil will be needed, taking
into account the rapid technological growth by which the world society comes through. Such
changes in the law are urgent, since the issues examined here are not part of an uncertain
future, but of countless people everyday.
Keywords: Cloud Computing. Forensic. Digital rights. Good habits. Digital expertise.
7. REFERÊNCIAS
CASTELLS, Manuel . A Sociedade em Rede. A era da informação: economia, sociedade e
cultura. Editora Paz e Terra. 1999 v1;
CHAVES, Sidney. A questão dos Riscos em Ambientes de Computação em Nuvem.
Dissertação
de
mestrado
na
FEA
–
USP.
2011.
Disponível
em:
https://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=
8&ved=0CBwQFjAAahUKEwj3wPGd19HIAhWFF5AKHTtbCUQ&url=http%3A%2F%2F
www.teses.usp.br%2Fteses%2Fdisponiveis%2F12%2F12139%2Ftde-01022012183255%2Fpublico%2FSidneyChavesVC.pdf&usg=AFQjCNGqgCjsHRk40gIvpm8vm_Iz7m
D--A . Acesso em: 14/06/2015;
COMPUTERWORLD. Matéria: Receita de Cloud deverá crescer 74% no Brasil em 2013.
Disponível em: http://computerworld.com.br/tecnologia/2013/02/27/receita-de-cloud-deveracrescer-74-no-brasil-em-2013 Acesso em: 25/08/2015;
17
DIRETIVA 95/46/CE do Parlamento Europeu e do Conselho. Disponível em: http://eurlex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:31995L0046&from=EN. Acesso em:
10/09/2015;
ENISA - European Network and Information Security Agency.
https://www.enisa.europa.eu/about-enisa. Acesso em: 10/09/2015;
Disponível em:
FOLHAPRESS. Matéria: Brasil é o oitavo país no ranking de ataques cibernéticos. Disponível
em:
http://www.gazetadopovo.com.br/tecnologia/brasil-e-o-oitavo-pais-no-ranking-deataques-ciberneticos-8t6fbz1v4lapgya7yl5fjjfbi Acesso em: 23/08/2015;
FOLHA UOL. Matéria: Internet já tem quase 3 bilhões de usuários no mundo, diz ONU.
Disponível em: http://www1.folha.uol.com.br/tec/2014/11/1553088-Internet-ja-tem-quase-3bilhoes-de-usuarios-no-mundo-diz-onu.shtml Acesso em: 01/06/2015;
HEISER, Jay. What You Need to Know About Cloud Computing Security and Compliance.
Disponível em: https://www.gartner.com/doc/1071415 Acesso em: 12/08/2015;
JIMENE, Camilla do Vale; BLUM, Renato Opice. Cloud Computing e Aspectos Legais.
Revista Fonte. Minas Gerais, Ano 6, n° 9, p. 51-52, dez. 2009;
KOJO, Milena Repizo Rodrigues. Juíza. Responsabilidade civil. Ofensas proferidas em site da
Internet. Manutenção de dados após a notificação de conteúdo ofensivo e determinação
judicial. Provedor de Internet. Responsabilidade pelos danos. Valor da indenização mantido.
Recursos improvidos. Disponível em: http://tj-sp.jusbrasil.com.br/jurisprudencia/116091625/
apelacao-apl-554832420098260576-sp-0055483-2420098260576/inteiro-teor-116091635.
Acesso em: 10/09/2015;
LAGRASTA, Caetano, Desembargador do Tribunal de Justiça do Estado de São Paulo.
Trecho
do
Agravo
de
Instrumento.
Disponível
em:
http://www.jusbrasil.com.br/diarios/97627051/stj-12-08-2015-pg-3596.
Acesso
em:
10/09/2015;
LUBLINSKY, Boris. Os cinco pilares do Cloud Computing.
http://www.infoq.com/br/news/2009/04/Pillars Acesso em: 29/10/2015;
Disponível
em:
MARTINS, Elaine. O que é cracker? Disponível em: http://www.tecmundo.com.br/o-quee/744-o-que-e-cracker-.htm Acesso em: 18/08/2015;
QUEIROZ, Claudemir; VARGAS, Rafael. Investigação e Perícia Forense Computacional.
Editora Brasport, 2012;
SILVA,
Luciana
Vasco.
Negócios
na
Nuvem.
Disponível
em:
http://www.conjur.com.br/2013-nov-04/luciana-vasco-legislacao-brasileira-nao-regulamentaassunto Acesso em: 25/08/2015
VERAS, Manoel. Cloud Computing: nova Arquitetura da TI. Editora Brasport, 2012;
WENDT, Emerson; JORGE, Higor. Crimes Cibernéticos – Ameaças e Procedimentos de
Investigação. Editora Brasport, 2012;
18
ZMOGINSKI, Felipe. INFO Online - Google prepara Data Center em alto mar. Disponível
em: http://info.abril.com.br/ti-verde/google-prepara-data-center-em.shtml. Acesso em:
10/09/2015.