Antonio Augusto/ASCOM/TSE
Ministro Roberto Barroso durante entrevista coletiva para apresentar balanço da votação. Antonio Augusto/ASCOM/TSE

Hackers do STJ e do TSE podem não ser punidos por falta de legislação

Integrantes da Polícia Federal e do Ministério Público Federal afirmam que, a menos que seja possível provar teses de extorsão ou violação da Lei de Segurança Nacional, as punições não passam de um ano de detenção

Vinícius Valfré, O Estado de S.Paulo

08 de janeiro de 2021 | 11h00

BRASÍLIA – Nos primeiros dias de novembro, um ataque hacker interrompeu os trabalhos no Superior Tribunal de Justiça (STJ) e paralisou o julgamento de ao menos 12 mil processos por uma semana. Doze dias depois, foi a vez do Tribunal Superior Eleitoral (TSE) ser o alvo, em pleno primeiro turno das eleições municipais, o que colocou em dúvida o sistema de votação. Passados mais de dois meses, autoridades que investigam os casos temem que os responsáveis fiquem sem punições e continuem a atuar livremente. O motivo é a falta de legislações específicas para estes tipos de crimes virtuais.

Integrantes da Polícia Federal (PF) e do Ministério Público Federal (MPF) afirmam que, a menos que seja possível provar teses de extorsão ou violação da Lei de Segurança Nacional, as punições não passam de um ano de detenção – facilmente convertida em prestação de serviços comunitários.

“Até conseguimos enquadrar as pessoas nos tipos penais que temos. Não temos fraude eletrônica bancária na legislação, por exemplo, mas temos fraude. O problema é que, com crime cibernético, a consequência é muito maior.  Se conseguirmos encontrar o responsável, o tipo penal de ‘invasão’ é detenção de três meses a um ano. Vamos ter que enquadrar a pessoa na Lei de Segurança Nacional porque a resposta penal é ridícula”, afirma a procuradora Fernanda Teixeira Souza Domingos, coordenadora do Grupo de Apoio ao Combate aos Crimes Cibernéticos, do MPF.

O principal dispositivo para punir crimes cibernéticos é o artigo incluído no Código Penal em 2012 pela Lei Carolina Dieckmann. A medida ganhou este nome por ter como base um caso ocorrido com a atriz, que teve arquivos pessoais copiadas de seu computador e divulgados na internet. A legislação considera crime “invadir dispositivo informático alheio”. A punição pode variar de três meses a um ano de detenção.

Conforme as leis brasileiras, em penas de até quatro anos de prisão o cumprimento se dá em regime aberto. Até dois, há a chamada transação penal (no jargão jurídico), na qual o processo acaba substituído por serviços comunitários, por exemplo.

Para especialista em Direito Digital, legislação precisa ser atualizada

O crime previsto nesse artigo foi usado pelo MPF na denúncia oferecida em janeiro de 2020 contra os hackers que acessaram mensagens trocadas por autoridades da República, como as de integrantes da força-tarefa da Lava Jato e do então ministro da Justiça, Sérgio Moro. “É urgente que o Brasil atualize sua legislação, baseada exclusivamente na Lei Carolina Dieckmann e no Marco Civil da Internet, visando criar as condições jurídicas que permitam às autoridades policiais agirem contra os hackers internacionais, como já fazem outros países”, diz o advogado Solano de Camargo, especialista em Direito Digital.

A expectativa dos investigadores para que os responsáveis pelos ataques ao STJ e ao TSE não saiam sem punição à altura é mostrar que as ações resultaram também em outros crimes, secundários, mas que preveem penas mais duras. Nos dois casos, associação criminosa e extorsão, estão no radar.

No caso do TSE, há dúvidas até mesmo se é possível enquadrar os responsáveis na lei que criminaliza a invasão a computadores. Isso porque os indícios coletados até agora apontam para uma técnica diferente usada por eles, em que não há a invasão propriamente dita, mas os chamados ataques de negação de serviço (DDoS), que resultam em lentidão no sistema, sem acesso a dados, por exemplo.

Quando eles foram alvo de mandados de busca e apreensão expedidos pela Justiça Eleitoral, investigadores apontaram suspeita de violação ao Código Eleitoral, no artigo que estabelece detenção de até dois meses para quem “promover desordem que prejudique os trabalhos eleitorais”.

As investigações estão sob sigilo e ainda não foram concluídas. Enquanto isso, os três brasileiros suspeitos de ajudar um hacker português nos ataques no dia das eleições retornaram à ativa. Ainda sem acesso a computadores e celulares apreendidos, eles afirmaram ter conseguido novas máquinas e, nesta semana, reivindicaram a autoria da invasão a servidores da Universidade de São Paulo (USP), de prefeituras e de câmaras municipais.

Propostas para atualizar leis sobre crimes virtuais estão paradas no Congresso

A maior dependência da tecnologia para comunicações e negócios durante a pandemia da covid-19 ampliou a atuação de cibercriminosos no País. No ano passado, foram 24.328 notificações registradas por órgãos públicos, segundo monitoramento do Gabinete de Segurança Institucional (GSI) da Presidência. O número é maior que os 23.674 de 2019. O salto maior foi nas vulnerabilidades efetivamente encontradas nos sistemas brasileiros: 2.519 contra 1.201, de um ano a outro.

Apesar do fenômeno e dos grandes ataques registrados no País, propostas para atualização das leis de crimes cibernéticos e para endurecimento das penas estão paradas no Congresso. Na avaliação de congressistas, os temas obrigatoriamente precisarão ser levados às mesas dos próximos presidentes da Câmara e do Senado, a serem eleitos em fevereiro.

Duas medidas são consideradas por especialistas fundamentais para este ano. A primeira é a aprovação da adesão brasileira à Convenção de Budapeste sobre Cibercriminalidade do Conselho da Europa, único tratado internacional sobre o assunto. O pacto prevê que o Brasil adeque sua legislação e adote medidas para adotar estratégias conjuntas de enfrentamento de crimes praticados na internet. Atualmente, a convenção conta com mais de 60 países signatários.

Uma vez referendada a entrada do País, abre-se a possibilidade de cooperação entre os integrantes. A estratégia é considerada por especialistas como primordial no combate a um tipo de crime que costuma envolver atacantes e tecnologias de países distintos.

O convite ao Brasil, feito após manifestação de interesse do governo brasileiro, ocorreu em dezembro de 2019, com o apoio do então ministro da Justiça, Sérgio Moro. Em julho do ano passado, o presidente Jair Bolsonaro enviou o tratado para deliberação do Congresso, o que ainda não aconteceu.

“O ingresso nesse acordo de cooperação proporcionará às autoridades brasileiras acesso mais ágil a provas eletrônicas sob jurisdição estrangeira, além de mais efetiva cooperação jurídica internacional voltada à persecução penal dos crimes cibernéticos”, dizia nota conjunta dos ministérios da Justiça e das Relações Exteriores, de 2019.

A outra frente é a atualização das leis, uma demanda da própria Convenção de Budapeste. As tipificações de crimes precisam ser semelhantes em todos os países. O principal projeto é de autoria do deputado David Soares (DEM-SP), elaborado a partir de sugestões do MPF. A proposta é baseada nas sugestões apresentadas na discussão sobre o novo Código Penal, estacionada no Senado.

O texto alcança até mesmo os chamados ataques de negação de serviço (DDoS). Esse tipo de ataque foi o responsável por causar lentidão nos serviços do TSE no primeiro turno das eleições de 2020. Como mostrou o Estadão, o DDoS tem crescido de forma exponencial no Brasil e é facilmente contratado na "deep web" - camada da internet não acessível por buscadores e navegadores convencionais.

De acordo com o projeto, quem “interferir sem autorização” e causar interrupção ou perturbação grave na “funcionalidade ou na comunicação de sistema informatizado” comete crime punível com até cinco anos de prisão. A pena é aumentada em até dois terços se o crime for cometido contra a administração pública.

O projeto também torna mais abrangente o dispositivo inserido pela Lei Carolina Dieckmann. O texto atual exige, para sua caracterização, a invasão de dispositivos mediante violação de mecanismo de segurança com a finalidade de obter dados. Segundo especialistas em cibersegurança, nem sempre há “violação de segurança" nos ataques. Por isso, o texto passaria a considerar como crime “acessar indevidamente”, e ampliaria a pena para até cinco anos.

“O Brasil foi inserido junto à Convenção de Budapeste e isso faz com que nosso esforço precise ser mais assertivo nessa área. Qualquer que seja o vencedor da presidência da Casa, as comissões vão voltar. Não vão ter mais essas férias que tivemos em 2020. A partir do momento que voltar, vamos dar foco nisso”, afirmou o deputado David Soares.

Os crimes dos hackers

  • Art. 154-A do Código Penal (Lei Carolina Dieckmann) - O que diz: Considera crime "invadir dispositivo informático alheio" mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização. O projeto que resultou na lei ganhou este nome por ter como base um caso ocorrido com a atriz, que teve arquivos pessoais copiados de seu computador e divulgados na internet em 2012. Pena:  detenção, de três meses a um ano, e multa.

     

  • Art. 296 do Código Eleitoral  - O que diz: considera crime eleitoral ações que "promovem desordem que prejudique os trabalhos eleitorais". Pena: detenção de até dois meses e pagamento de multa.

     

  • Art. 158 do Código Penal (Extorsão) - O que diz:  É crime "constranger alguém, mediante violência ou grave ameaça", a fazer ou tolerar algo com vistas à obtenção de vantagem. Pena: reclusão, de quatro a dez anos, e multa.

     

  • Art. 288 do Código Penal (Associação criminosa) - O que diz: associação de três ou mais pessoas para cometer crimes. Pena: reclusão, de um a três anos.

     

  • Lei 7.170/83 (Lei de Segurança Nacional) - O que diz: Define os crimes contra a segurança nacional, a ordem política e social do País. Um dos artigo cita "tentar impedir, com emprego de violência ou grave ameaça, o livre exercício de qualquer dos Poderes". Pena: reclusão, de 2 a 6 anos.

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

Ataque hacker na internet custa a partir de US$ 10

Investidas como a que foi alvo o site do TSE nas eleições são cada vez mais comuns no País; especialistas creditam número de invasões às falhas na segurança digital

Vinícius Valfré, O Estado de S.Paulo

26 de dezembro de 2020 | 05h00

BRASÍLIA - Um ataque de hacker capaz de derrubar o site de uma grande empresa, um tribunal de Justiça ou um órgão do governo é vendido sem restrições na internet. O mercado criminoso oferece serviços de sobrecarregar páginas virtuais em fóruns da Deep Web, uma camada da internet não acessível por navegadores e endereços convencionais. Os preços pelas ações variam conforme o impacto e o tempo da ação cibernética.

A lista de preços médios dos crimes virtuais comercializados na Deep Web é divulgada anualmente pelo Privacy Affairs, um coletivo de profissionais de cibersegurança. Na cotação mais recente, um ataque tipo DDoS com até 50 mil requisições a cada segundo e duração de uma hora sai por US$ 10 dólares. A investida contra o site do Tribunal Superior Eleitoral (TSE), no primeiro turno das eleições, por exemplo, teve 463 mil conexões por segundo e tempo total de ataque de 20 minutos.

Mais conhecido por ataque de negação de serviço, o Distributed Denial of Service, DDoS na sigla em inglês, é o produto do momento no mercado do crime da internet. A partir de vírus introduzidos em computadores em geral, transformados em máquinas “zumbis”, esse ataque envia pedidos de conexões a um site ou servidor, de modo a sobrecarregar o sistema, deixá-lo lento ou derrubá-lo.

No submundo cibernético, o contratante do serviço precisa apenas fazer contato com o hacker, apresentar a demanda e efetuar o pagamento – geralmente, em criptomoedas. O mercado hacker funciona sob demanda contra alvos específicos, mas também com a oferta de ferramentas que exigem de quem paga por elas pouco conhecimento de programação de computadores.

Com cadastros que exigem somente um e-mail e pagamento em criptomoedas, é possível realizar o ataque de negação de serviço por conta própria. Esse modelo “self service” é um dos principais avanços do cibercrime nos últimos anos para vender o serviço. Ele dispensa a necessidade de um hacker coordenar a investida. “Há um marco em 2018, a partir de hackers israelenses que criaram esse mercado”, diz o diretor de tecnologia e especialista em DDoS, Tiago Ayub. “Os cibercriminosos partiram para a linha do eufemismo. Eles oferecem um teste de ‘estresse de IP’”, afirma. “No Brasil, graças à facilidade de fazer ataques, alguns começaram a usar como ação anticompetitiva, para deixar concorrentes fora do ar.”

Em tese, a ferramenta “estresse de IP” funciona para verificar se determinado endereço suporta certo volume de conexões. Na prática, não exige nenhum contrato ou identificação e pode ser usado contra qualquer alvo. Como os pagamentos são em criptomoedas, torna-se difícil a identificação de quem recorre ao serviço para causar prejuízos.

A reportagem se passou por interessada no serviço de sites que oferecem o “estresse de IP”. A uma pergunta se o sistema poderia ser usado contra sites do governo brasileiro, o responsável de um desses serviços não descartou a possibilidade. “Não lançamos testes de estresse por nossa conta. Por favor, tente por sua conta mesmo”, sugeriu. A um segundo site, a reportagem perguntou se aquilo não era ilegal, e se não poderia haver problemas com as autoridades brasileiras. “Não sou advogado e as leis são diferentes em todos os países. Não saberia te dizer”, foi a resposta.

Consultores da área registram uma escalada robusta dos chamados ataques distribuídos de negação de serviço. O crescimento, afirma, ocorre no momento em que o mundo é obrigado a concentrar comunicações, negócios e serviços em canais digitais, em razão da pandemia. O mecanismo serve para sobrecarregar servidores, derrubar sites, impedir o acesso de usuários e minar a credibilidade de empresas e instituições.

Funciona assim: hackers geram um tráfego artificial a sites e servidores, em escala superior ao que os sistemas suportam. Esses acessos vêm de “botnets”, redes de dispositivos infectados para operar como os atacantes desejam. Podem ser roteadores, celulares e até eletrodomésticos conectados. A sobrecarga derruba o alvo ou deixa a navegação lenta para usuários comuns. E, ainda, pode vir acompanhada de extorsão para cessar as investidas.

Mercado promissor

A expansão do mercado hacker no País se deve à popularização do acesso e ao desleixo dos internautas brasileiros com segurança digital. Levantamento solicitado pelo Estadão à empresa californiana Nexusguard, especializada em cibersegurança e no monitoramento de vulnerabilidades digitais, mostra um salto em ataques DDoS no Brasil, de 58 no terceiro trimestre de 2019 para 24.403 no mesmo período deste ano. Nos últimos três meses do ano passado, foram 4.264, quantidade também bem abaixo dos parâmetros atuais.

O Brasil também cresce como origem de ataques, ou seja, como fonte de dispositivos infectados para sobrecarregar sistemas. Os dados da consultoria apontam que o total de dispositivos usados por hackers para realização de ataques de negação de serviço cresceu de 185 para 6.598 do primeiro ao terceiro trimestre deste ano.

São computadores, roteadores, celulares ou demais dispositivos com conexão à internet que estão contaminados por vírus ou que têm senhas padronizadas facilmente descobertas remotamente. Estes milhares de dispositivos foram capazes de enviar 7,4 milhões de requisições durante ataques a sites. 

No caso do TSE, os ataques partiram de máquinas no Brasil, nos Estados Unidos e na Nova Zelândia. “O uso pesado e a dependência de serviços online em meio à covid-19 levaram ao aumento acentuado dos ataques DDoS. Eles se tornaram um dos tipos mais comuns de ameaças que atualmente assolam o mercado global”, disse à reportagem Tony Miu, gerente de pesquisas da Nexusguard.

“O crescimento no uso da tecnologia geralmente anda de mãos dadas com uma falta de conscientização em segurança cibernética, levando a uma deficiência na segurança de dispositivos que serão explorados por hackers”, afirmou.

Provedores de pequeno porte também viram alvo

No Brasil, ataques de negação de serviço são desafios frequentes para o mercado de provedores de internet de pequeno e médio porte. Uma investida contra empresas do ramo pode deixar offline regiões inteiras.

Empresas desse setor têm uma parcela significativa de clientes no Brasil, especialmente em municípios menores, onde as grandes companhias ainda não atuam. Segundo dados da Associação Brasileira de Provedores de Internet e Telecomunicações (Abrint), a banda larga de empresas regionais está em 12,7 milhões de residências. As grandes operadoras, em 35 milhões.

“Hoje é uma grande preocupação para nós. Se antes era um privilégio das grandes empresas, isso não existe mais. É um problema para as pequenas”, disse Wardner Maia, membro do conselho de administração da Abrint.

Em setembro, uma operação coordenada pela polícia de Goiás levou duas pessoas para a prisão por ataques de negação de serviços contra provedores de pequeno porte. O principal suspeito era o dono de uma empresa do ramo que disputava o mercado em Goiânia. Os ataques chegaram a prejudicar o funcionamento de concorrentes por vários dias, segundo a delegada Sabrina Leles, titular da Delegacia Estadual de Repressão a Crimes Cibernéticos. “As vítimas ficavam uma semana sem conseguir fornecer o serviço, até conseguirem contratar alguém para reverter o ataque. Contratavam uma empresa especializada e, mesmo assim, ele transpunha”, contou.

A prisão foi possível porque, além de causar prejuízo forçando clientes a buscarem outros provedores de internet, o suspeito começou a pedir dinheiro para cessar os ataques. Um comparsa em São Paulo também acabou preso. “O telefone da delegacia ficou tocando por três dias, de vários Estados do Brasil. As pessoas identificaram o suspeito pelo apelido e também se apresentaram como vítimas”, disse Sabrina.

“Descobrimos que tinham um grupo para compartilhar técnicas de invasão e de conseguir. Vimos que tínhamos a necessidade de compartilhar a investigação com outros Estados”, relatou. A operação Attack Mestre envolveu policiais de Goiás, São Paulo e Tocantins, além de técnicos do Laboratório de Operações Cibernéticas da Secretaria de Operações Integradas, do Ministério da Justiça.

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

Brasil se torna alvo de hackers com mais de 20 mil notificações ao ano

Sistema do TRF-1 foi invadido na noite de anteontem; em mensagem enviada ao 'Estadão', hacker negou motivação política e disse ter agido por 'diversão'

Vinícius Valfré, Tânia Monteiro e Patrik Camporez, O Estado de S.Paulo

28 de novembro de 2020 | 05h00

BRASÍLIA - Um ataque hacker ao Tribunal Regional Federal da 1.ª Região tirou do ar ontem o sistema do maior tribunal do País. Foi a quarta grande instituição federal a ser atacada em menos de um mês. Ao todo, foram mais de 20 mil notificações registradas por órgãos públicos em 2020, até este mês, segundo monitoramento do Gabinete de Segurança Institucional (GSI) da Presidência.

Embora a invasão da maior Corte federal de segunda instância não tenha provocado bloqueio ou vazamento de informações sensíveis, ela ajuda a alimentar desconfianças sobre a segurança de dados do Judiciário. No dia 15, data do primeiro turno das eleições municipais, um ataque hacker ao Tribunal Superior Eleitoral (TSE) não chegou a prejudicar o resultado das urnas, mas foi usado por bolsonaristas para impulsionar uma campanha de desinformação.

O TSE reforçou seu sistema de segurança digital para o segundo turno, que ocorre amanhã. Toda a ação até agora, incluindo o uso das redes sociais para divulgar notícias falsas sobre fraudes nas eleições, está sendo investigada pela Polícia Federal e pelo Ministério Público Federal (MPF).

Em mensagem enviada pelo Twitter ao Estadão, o hacker identificado como M1keSecurity, que notificou anteontem à noite a invasão ao próprio TRF-1 e postou a figura de um diabo para comemorar o sucesso da ação, afirmou ser ligado ao CyberTeam. Ele negou motivação política e disse ter agido por “diversão”. Liderado por um jovem de 19 anos conhecido como Zambrius, que está em prisão domiciliar em Portugal, o grupo também reivindicou a investida contra o TSE e o Ministério da Saúde. 

Notificações

A onda de ataques cibernéticos a instituições está confirmada em números. De janeiro até o último dia 11, o núcleo do GSI que monitora questões referentes à cibersegurança registrou 21.963 notificações desse tipo no País, do governo e de fora do governo. Em todo o ano passado, foram 23.674 registros.

Mesmo com a manutenção do ritmo de notificações ao Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo, vinculado ao GSI – gabinete comandado pelo general Augusto Heleno –, o alerta crítico está no crescimento das vulnerabilidades encontradas em sistemas tecnológicos. De um ano a outro, as brechas que permitem a exploração maliciosa nos sistemas e nas redes de computadores saltaram de 1.201 para 2.239.

Nem o Exército conseguiu barrar todas as investidas. Em maio, hackers divulgaram exames médicos feitos pelo presidente Jair Bolsonaro entre junho de 2019 e janeiro deste ano no Hospital das Forças Armadas. O ataque mais grave de que se tem notícia foi contra o Superior Tribunal de Justiça (STJ), no dia 3. Os criminosos criptografaram arquivos e pediram pagamento em criptomoedas para devolvê-los. 

No dia 5, foi a vez do Ministério da Saúde. A publicidade da contagem dos casos de covid-19 ficou provisoriamente prejudicada. Logo depois veio a ação contra a Justiça Eleitoral.

Investigadores envolvidos nas apurações dos ataques ao Judiciário admitem a “onda de invasões” e atribuem o fenômeno a uma tentativa de “testar as instituições”. Observam, porém, que apenas bases de dados antigas e com pouca relevância foram acessadas, fazendo com que núcleos centrais de informação continuem intactos. Na prática, grupos hackers costumam alardear invasões para se mostrar importantes. Muitos querem ser chamados para esse tipo de crime, obtendo para tanto benefícios financeiros.

Legislação

As invasões também são desafio para grandes corporações. Para especialistas, no entanto, as vulnerabilidades dos órgãos públicos são explicadas por certo grau de desleixo com sistemas de segurança, lentidão para fazer frente às ameaças e, ainda, por uma legislação passível de avanços.

“Precisamos de uma lei com a política nacional de segurança cibernética. Este projeto está em elaboração e essa nova lei, considerada absolutamente necessária, tem por objetivo, entre outras coisas, atribuir responsabilidades a quem violar a segurança cibernética”, afirmou o diretor do Departamento de Segurança da Informação do GSI, general Antonio Carlos de Oliveira Freitas

Na avaliação da SaferNet Brasil, que colabora com o Ministério Público Federal no monitoramento da desinformação nestas eleições, órgãos públicos costumam falhar no que é elementar: segurança digital. “Geralmente se falha no básico, com falhas de configuração nos servidores, políticas de atualização inexistentes, autenticações falhas e bugs (defeitos) de softwares”, disse o presidente da entidade, Thiago Tavares.

Após a invasão ao STJ, o presidente do Supremo Tribunal Federal, Luiz Fux, determinou a criação de um “comitê cibernético” para preparar medidas de proteção à Justiça. Uma das críticas de especialistas é o fato de o Judiciário não ter um centro permanente, nesse modelo, para monitorar e reagir a incidentes. 

“Estamos todos preocupados. Me parece mais um vandalismo, mas, e se fosse algo mais profissional, para apagar ou inserir dados? Ficamos sem saber qual o grau de vulnerabilidade que o sistema apresenta”, afirmou o advogado Marcelo Bessa, integrante do Instituto de Garantias Penais (IGP).

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

'Não sou um criminoso, sou uma boa pessoa', diz hacker preso por atacar sistemas do TSE

Jovem que se identifica como Zambrius conversou por e-mail com o Estadão antes de ser detido neste sábado em Portugal

Entrevista com

Zambrius, hacker preso em Portugal

Vinícius Valfré, O Estado de S.Paulo

28 de novembro de 2020 | 15h16

BRASÍLIA - O hacker identificado como Zambrius, que atacou os dados da Justiça Eleitoral do Brasil e foi preso neste sábado, 28, em Portugal, é um rapaz de 19 anos, que se diz “viciado” em programação de computador e portador da Síndrome de Asperger, que está dentro do espectro do autismo. Pessoas com Asperger têm certo grau de dificuldade na interação social e contato físico e podem desenvolver muita habilidade em temas de interesse específicos.

O Estadão apurou com fontes ligadas às investigações, tanto no Brasil como em Portugal, que o preso é Zambrius. 

Em conversas com o Estadão feitas por e-mail, nos dias 17 e 18 deste mês, Zambrius, líder do grupo que assumiu a autoria do ataque ao Tribunal Superior Eleitoral (TSE), no primeiro turno das disputas municipais, disse que não tinha a intenção de ajudar a impulsionar teorias conspiratórias contra a urna eletrônica. A troca de mensagens ocorreu num momento em que ele ainda era apenas suspeito de envolvimento nas invasões do site do tribunal.

O hacker é conhecido pelas autoridades de Portugal. A primeira detenção do português foi em 2017, quando ainda tinha 17 anos. A última foi em abril deste ano, sempre por envolvimento com ataques cibernéticos. Até então, as ações haviam lhe rendido medidas cautelares. Zambrius estava sob prisão domiciliar e obrigado a usar uma tornozeleira eletrônica, que aparece nas fotos enviadas à reportagem. O hacker conta que agiu por “diversão” e por ser contra governos.  

Por que atacar a Justiça Eleitoral do Brasil?

O objetivo principal era demonstrar que o TSE (Tribunal Superior Eleitoral) continuava vulnerável mesmo depois de ter sido anunciado que tinham reforçado a segurança. Eu também incluí um pequeno "protesto" exigindo investigações nos estabelecimentos prisionais do Brasil, Portugal, e ao redor do mundo.

O ataque fez com que inúmeros apoiadores do presidente Jair Bolsonaro inundassem as redes sociais com acusações de fraude no sistema eleitoral do Brasil. O ataque não atingiu em nada a contagem de votos. Dar combustível para essa narrativa falsa era um objetivo?

A nossa intenção não era propulsionar essa "desinformação" de fraudes.

Você já esteve preso e é monitorado por autoridades portuguesas. O ataque fez com que fosse aberta uma investigação pela Polícia Federal, que possivelmente terá repercussões para você. Valeu a pena?

Sou apaixonado por "hacking" e sou considerado por muitos um 'hacker vicioso', um indivíduo que fica 24 horas estudando sistemas e procurando por novos conhecimentos. Tenho também a Síndrome de Asperger, que faz ser a pessoa que eu sou, um pouco diferente das outras. Mas eu não temo a diferença, eu gosto de ser diferente. Eu não sou um criminoso, sou uma boa pessoa que se preocupa com todas as outras, principalmente com o bem estar do mundo. Enfim, eu não temo ir preso.

Algum brasileiro pediu ou sugeriu a Justiça Eleitoral do Brasil como alvo?

Não, não recebemos nenhum pedido para realizar o ataque ao TSE.

Por que você fala no plural? Teve a ajuda de mais gente?

Eu realizei tudo sozinho, apenas pedi ajuda a um elemento para que me enviasse uma imagem do doxbin [site usado para compartilhamento de informações privadas hackeadas] e dos arquivos para que eu pudesse ter uma noção como ficaria em uma tela de um computador.

Ok, você acessou dados do TSE. Qual o impacto dessa invasão à segurança da eleição?

Bem, a minha invasão ao TSE não afeta ou causa fraudes nas eleições, mas possivelmente exista algum documento que comprometa o TSE, é uma questão de explorar o banco de dados.

Você garante que não tem contato com nenhum grupo ligado a apoiadores do presidente Bolsonaro?

Eu não tenho envolvimento em atos políticos, tenho apenas em protestos antigoverno, nunca apoiei partidos, governos ou o quer que seja relacionado ao governo. #antigov

Você diz que usou uma "botnet" (controle de uma rede de dispositivos com internet) para o ataque DDoS (que gerou instabilidade no site) contra o TSE. Essas coisas precisam ser pagas, não? Usou bitcoin?

Eu nunca paguei ou fui financiado para obter ferramentas. A máquina de ataque (botnet) que o CyberTeam possui é pertencente ao Lizard Squad (grupo hacker que já prejudicou serviços de Microsoft e SOny).

Paga suas contas como? Seus pais? Tem 19 anos, certo?

Sim, mas se eu não posso sair de casa, como é que eu vou trabalhar para receber dinheiro? Roubar pela internet? Eu pratico hacking por gosto, não o levo por dinheiro, mas acesso a bancos não me faltam. Eu nunca paguei ou fui financiado para obter ferramentas, a máquina de ataque (botnet) que o CyberTeam possui é pertencente ao Lizard Squad.

Você pode sair de casa ou vive em prisão domiciliar?

Eu não tenho autorização de sair de casa.

Com o que ganha dinheiro para se sustentar?

Eu não ganho dinheiro.

 

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

Grupo hacker suspeito de invadir TSE reivindica ataque a 61 sites no País em 2020

Lista inclui investida contra Ministério da Saúde durante pandemia do coronavírus

Vinícius Valfré, O Estado de S.Paulo

24 de novembro de 2020 | 17h53

BRASÍLIA – O grupo do hacker português que assumiu publicamente a autoria do vazamento de dados privados e do ataque cibernético ao Tribunal Superior Eleitoral (TSE) durante o primeiro turno das eleições municipais, dia 15, tem um histórico de atuação contra sites brasileiros. Apenas ao longo deste ano, o CyberTeam – liderado pelo hacker conhecido como Zambrius – diz ter atacado ao menos outras 61 páginas com o domínio “.br”. De 2017 para cá, foram 140. 

A invasão de sites do Ministério da Saúde, que prejudicou a divulgação de dados sobre covid-19, também é reivindicada pelo grupo. Na lista dos alvos estão, ainda, Prefeituras, Câmaras e um departamento de trânsito. Pequenas empresas e escritórios de advocacia figuram entre as vítimas.

O histórico do CyberTeam alimenta a suspeita, não descartada por investigadores, de que a ação contra o TSE pode ter sido realizada não por um hacker ativista, mas por um grupo de cibercriminosos. Como mostrou o Estadão, uma das linhas de investigação indica a possibilidade de envolvimento de radicais ligados a núcleos bolsonaristas. Zambrius está em prisão domiciliar, em Portugal, e diz ter agido sozinho, munido apenas de um celular.

As apurações estão sendo conduzidas pelo Ministério Público Federal e pelo próprio TSE. Há também um inquérito aberto pela Polícia Federal. Todas as informações sobre os ataques do grupo hacker ficam em um arquivo na internet no qual os invasores anexam, anonimamente, “provas” de seus feitos. Trata-se do Zone-H, que afirma não ser responsável pelos crimes cibernéticos registrados.

A plataforma, porém, só aponta investidas que produziram mudanças no conteúdo dos sites. Dessa forma, não pode ser usada como referencial absoluto para as atividades de grupos hackers. Há modalidades de invasões perigosas, nas quais atacantes permanecem discretamente com acesso a dados sensíveis, sem que sejam notados.

Ao Estadão, Zambrius disse que não contou com a ajuda de ninguém na invasão às páginas do TSE. Em ataques anteriores do CyberTeam, no entanto, há listas com assinaturas de grupos inteiros. Em outubro, por exemplo, o alvo foi o Detran de Tocantins. O grupo acessou subpáginas do departamento de trânsito em uma ação que, segundo especialistas, pode ter dado acesso a dados privados de servidores e cidadãos comuns.

Na mensagem inserida para se sobrepor às informações oficiais aparece o nome de nove invasores e uma referência à atuação de “portuguese and brazilian hackers”. Em nota, a Agência de Tecnologia da Informação do Tocantins (ATI-TO) informou que o ataque ao site do Detran alterou momentaneamente o conteúdo da página exibida ao usuário, mas não resultou em perda de dados, acesso a informações ou suborno. “Fizemos os ajustes de segurança necessários e reativamos o serviço”, disse a agência.

O CyberTeam afirma que age com um propósito ideológico, faz ativismo contra governos, sem preocupação com ganhos financeiros. Mas entre suas vítimas também estão sites de pequenos comércios e empresas. Especialistas em cibersegurança consultados pelo Estadão disseram que hackers costumam mudar os alvos e praticar extorsão. Pedem dinheiro para não vazar informações sensíveis.

Zambrius negou que seu grupo faça extorsões. “Não, o CyberTeam nunca esteve envolvido em ataque de ransomware (que pede pagamento para devolver dados sequestrados) ou ao Superior Tribunal de Justiça. Mas somos responsáveis pela invasão ao Ministério da Saúde e a alguns tribunais de Justiça”, afirmou ele, por e-mail.

Em janeiro, Zambrius e mais 12 hackers “assinaram” o ataque ao site de uma empresa de softwares de Juiz de Fora (MG). Na mensagem deixada ali, incluíram foto aleatória de uma adolescente e escreveram que haviam feito aquilo apenas por diversão. 

O dono da empresa contou à reportagem ter recebido um e-mail anônimo em que criminosos ameaçavam vazar informações pessoais, a menos que ele fizesse um pagamento em bitcoins. “Recebi e-mail falando que tinham hackeado minhas contas pessoais. Troquei minhas senhas, não paguei”.

Com um site de comércio de produtos importados, outra vítima, de São Paulo, afirmou que também já recebeu e-mail anônimo com pedido de pagamento. “O pessoal manda, mas não temos tempo de ficar dando atenção para certas coisas. É importante, mas temos muitas outras coisas para verificar. Nós nos preocupamos com os clientes. Nosso banco de dados é seguro. Houve acessos no passado, mas nada que fosse devastador. Temos backup de tudo”.

Os pequenos empresários pediram para não ter os nomes divulgados para que suas firmas não fossem consideradas vulneráveis. Além disso, temem virar alvo de retaliações. Outras vítimas ouvidas pelo Estadão disseram não ter tomado conhecimento das derrubadas dos sites de seus negócios por integrantes do CyberTeam.

Para o especialista em cibersegurança da Midri, Vinícius Camacho, é comum que desenvolvedores de sites guardem para eles informações sobre esses eventos. “Muitas vezes, o dono da empresa não é quem cuida do site. E o desenvolvedor tende a abafar a invasão. Muitos donos de empresas não sabem que seu site foi invadido, a não ser quando sai na mídia ou quando há essa relação de transparência entre o desenvolvedor e o dono, que nem sempre tem perfil técnico”, afirmou Camacho. 

Encontrou algum erro? Entre em contato

Comentários

Os comentários são exclusivos para assinantes do Estadão.

O Estadão deixou de dar suporte ao Internet Explorer 9 ou anterior. Clique aqui e saiba mais.