Só 27 foram condenados por ataques informáticos e a maioria com multa

Cibercrimes são difíceis de investigar e provar. Polícias e MP falam em falta de meios, mas a direcção da Polícia Judiciária garante que estes são adequados. Entre 2007 e 2012 foram constituídos 75 arguidos por pirataria informática.

Foto
Num total de 75 arguidos, 27 foram condenados por pirataria informática Sérgio Azenha

Os crimes de sabotagem informática e de acesso ilegítimo são os únicos, segundo fonte da Polícia Judiciária, previstos na Lei da Criminalidade Informática que se enquadram no conceito de ataques informáticos como aqueles que visaram recentemente a página da Procuradoria-Geral Distrital de Lisboa (PGDL) e que marcam a acção de grupos como os Anonymous.

No caso da sabotagem informática, que prevê uma moldura penal que pode ir até aos 10 anos de prisão se a perturbação causada for “grave ou duradoura” e num sistema público referente a “funções sociais críticas” como “cadeias de abastecimento, saúde e segurança”, a mera tentativa do crime não é punível. Já no caso do crime de acesso ilegítimo, a pena pode chegar até aos cinco anos de prisão.

Porém, fontes policiais e judiciais salientaram ao PÚBLICO que estes crimes, para além de raramente resultarem em penas de prisão também são muito difíceis de provar.

Dificuldades de investigação
“Este tipo de investigação tem dificuldades específicas. Os ataques informáticas costumam recorrer a servidores de cloud, sendo a informação móvel pela sua própria natureza e difícil de localizar. Além disso, este tipo de técnicas criminosas recorre normalmente a software de anonimização e a VPN [conexão encriptada], que tornam a investigação difícil”, sublinhou a Procuradoria-Geral da República (PGR).

As dificuldades parecem, contudo, não explicar tudo. Fonte da PJ garantiu ao PÚBLICO que as duas brigadas que se dedicam a investigar estes crimes há muito tempo que aguardam reforço. Aliás, quando alguém sai destas brigadas para outros serviços, os lugares ficam por ocupar, apontou. O director nacional adjunto da PJ, Pedro do Carmo, fez questão de salientar ao PÚBLICO, porém, que “a falta de meios não está em causa” e que os meios existentes são, neste momento, adequados “face às necessidades”.

Certo é que o mais recente relatório elaborado pelo Gabinete do Cibercrime da PGR deixa algumas críticas à PJ. Para além de realçar diferentes entendimentos sobre a competência para investigar que faz com que a PJ “devolva processos sem investigação por não se achar competente”, o documento aponta ainda que a realização de perícias informáticas pela PJ tem sido “demoradíssima, chegando a haver casos de demora superior a dois anos”. Ao que o PÚBLICO apurou, a PJ já criou normas internas para evitar dificuldades provocadas pelos diferentes entendimentos de competências.

O recente ataque à PGDL chamou a atenção para as debilidades dos sistemas informáticos da Administração Pública que são permanentemente monitorizados pela Rede Nacional de Segurança Interna. A própria procuradora distrital, Francisca Van Dunem, admitiu, então, ao PÚBLICO que o sistema era “débil” e fonte da PJ lembrou que uma directiva do Conselho de Ministros levou a que em 2012 o Estado apostasse em software open source que é mais barato, mas mais frágil.

A mesma fonte garantiu ao PÚBLICO que não tem havido investimento desde então na formação dos funcionários públicos que gerem os sistemas nem na actualização frequente dos mesmos. As vulnerabilidades descobertas, portanto, mantêm-se.

Ataques a sites do Governo são frequentes
O PÚBLICO questionou o gabinete do primeiro-ministro que, contudo, não respondeu ao longo de mais de uma semana. O Ministério da Administração Interna também recusou esclarecimentos sobre eventuais ataques registados ao seu site e sistema informático.

Já o Ministério da Justiça (MJ) adiantou que os ataques ao seu site e sistema informático são “frequentes”. Salientou, porém, que não se registaram intrusões e que “infraestrutura tecnológica do MJ possui mecanismos de detecção e prevenção anti-intrusões a ataques, sendo paralelamente realizadas auditorias internas e externas para garantir os mais elevados padrões e níveis de segurança”.

Também a PSP revelou ao PÚBLICO que foram registados ataques ao seu site “que foram gorados nos últimos dias”. A GNR, o SEF e a PJ não responderam.

Os ataques informáticos têm sido amplamente mediatizados, até porque aquele que visou a PGDL logrou obter os dados e contactos pessoais de quase de 2000 procuradores, assim como as suas palavras-chave de acesso ao Sistema de Informação do Ministério Público (SIMP). O SIMP é usado para envio de comunicações e ofícios que podem ter dados sobre processos. 

Porém, o ataque ao site da PGR não conseguiu obter qualquer informação sensível, garantiu ao PÚBLICO o director executivo da Chief Security Officers, empresa contratada pela procuradoria para prestar serviços de segurança informática e que tem entre os clientes várias outras entidades públicas, como o Banco de Portugal, a Força Aérea e o Ministério da Defesa. Pedro Pinheiro afirmou não poder entrar em detalhes, mas assegurou que se tratou mais de uma questão de imagem da instituição do que de acesso a dados.

Vistos de fora, aos olhos de outras empresas da área, os ataques surgem como tendo sido relativamente pouco elaborados. “Aquilo que estamos habituados a ver nestes ataques é que não são de todo sofisticados. São feitos com ferramentas automatizadas, que estão disponíveis a qualquer pessoa que tenha motivação”, observa o director técnico da AnubisNetworks, João Gouveia, ressalvando não ter informação sobre o caso concreto.

Já Jorge Alcobia, director geral da Multicert, coloca este ataque num segundo nível de uma escala de três. No primeiro nível, refere, encaixam-se a grande maioria dos ataques. “São feitos por estudantes, ou por alguém que não tem nada para fazer à noite” e o que interessa é entrar no site de uma qualquer entidade “para poder contar aos amigos”. No segundo nível, onde estará o caso da PGR, estão os ataques direccionados a um alvo específico e nos quais os atacantes investiram algum tempo para atingirem o objectivo. O terceiro nível, explica, é o das acções que têm consequências sérias e são muitas vezes feitas por alguém que tem informação específica sobre o sistema atacado. “Pode ser alguém que trabalhou na empresa, que foi lá consultor, que trabalhou na montagem do sistema de comunicações. Consegue entrar nos sistemas da empresa e fica lá dormente, à espera do dia em que possa causar mais mossa.”

O ataque ao site da PGR está longe de ser o primeiro feito a instituições do Estado. No final de 2011, alguns ataques, levados a cabo por grupos que adoptaram a denominação Anonymous ou LulzSec (designações associadas a ataques internacionais muito mediatizados) deixaram sites como o do Parlamento e de algumas empresas e entidades públicas inacessíveis. O MP instaurou, segundo a PGR, 11 inquéritos a estes ataques. Seis foram “arquivados por insuficiência indiciária” ou por “inexistência de crime”. Cinco estão ainda pendentes.

Tratou-se então dos chamados ataques de negação de serviço, que são tecnicamente simples. Consistem em usar programas informáticos para bombardear um site com pedidos de acesso até que este se torne lento e, eventualmente, deixe de funcionar. Não implicam qualquer roubo de informação. Também nessa altura, um ataque de outra natureza, que implicou a intrusão num sistema informático, acabou por levar à publicação de um ficheiro com dados de 107 agentes da PSP.