4.1: Quem são as vítimas?
Vítimas de ataques de negação de serviço incluem não
só os alvos finais, mas também máquinas usadas como agentes de ataque. Estes últimos
incluem quaisquer máquinas de usuários comuns ao redor do mundo. Os alvos
finais de ataques recentes incluem:
·
Redes de IRC;
·
Sites e servidores de agências americanas de
inteligência e segurança como o FBI, CIA, NASA, NSA (Agência de Segurança
Nacional americana);
·
Sites envolvidos em conflitos políticos (Israel/Palestina,
Índia/Paquistão);
·
Sites ligados a assuntos terroristas;
·
Sites ligados a órgãos de imprensa evidentes nos
grandes conflitos armados e políticos (CNN, New York Times, Al Jazeera);
·
Grandes portais de internet (Yahoo);
·
Sites de pornografia;
·
Sites de apostas e jogos de azar;
·
Servidores de websites;
·
Sites anti-spam e de medidas de segurança na internet;
·
Sites de gigantes do comércio eletrônico como e-Bay e
Amazon;
·
Microsoft.
Tal qual são variadas as motivações para ataques de
negação de serviço, como visto na seção 1.2, as vítimas dos ataques variam de
grandes corporações a sites que apóiam causas políticas.
Assim, embora não seja possível generalizar
potenciais vítimas de negação de serviço, torna-se também bastante difícil
determinar que dado site ou servidor está imune a ataques. Afinal, ainda hoje
há ataques sem nenhuma motivação política ou econômica: Apenas para exibir
capacidades como hacker.
4.2: Providências legais e jurídicas
Embora o Brasil ainda não tenha leis específicas
para a Informática em seu Código Penal, que data de 1940, várias leis
podem se aplicar a conseqüências de ataques de negação de serviço:
·
Extorsão: Art. 158 - Constranger alguém, mediante
violência ou grave ameaça, e com o intuito de obter para si ou para outrem
indevida vantagem econômica, a fazer, tolerar que se faça ou deixar fazer
alguma coisa. A pena é de reclusão de 4 a 10 anos, e multa, e pode ser
acrescida de até metade se o crime for cometido por duas ou mais pessoas.
o Aplicável
a ataques que exigem algum tipo de pagamento por proteção contra ataques ou não
realização destes.
·
Usurpação: Art. 161 - Suprimir ou deslocar tapume,
marco, ou qualquer outro sinal indicativo de linha divisória, para
apropriar-se, no todo ou em parte, de coisa imóvel alheia. A pena é de detenção
de 1 a 6 meses, e multa.
o No
caso, o tapume (terreno) seria a rede de computadores, e este é o caso no qual
um atacante possui uma máquina alheia (o imóvel) para utilizá-la como agente da
negação de serviço.
·
Dano: Art. 163 - Destruir, inutilizar ou deteriorar
coisa alheia. Pena: detenção, de 1 a 6 meses, ou multa. Se contra patrimônio
público, tem-se dano qualificado, e a pena é detenção de 6 meses a 3 anos e
multa.
·
Apropriação indébita: Art. 168 - Apropriar-se de coisa
alheia móvel, de que tem a posse ou a detenção. Pena de reclusão de 1 a 4 anos
e multa; Art. 169 - Apropriar-se alguém de coisa alheia vinda ao seu poder por
erro, caso fortuito ou força da natureza. Pena de detenção de 1 mês a 1 ano e
multa.
o Ambos
aplicáveis também à posse de agentes.
·
Estelionato: Art. 171 - Obter, para si ou para outrem,
vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro,
mediante artifício, ardil, ou qualquer outro meio fraudulento, parágrafo 2º -
Disposição de coisa alheia como própria (vender, permutar, dar em pagamento, em
locação ou em garantia coisa alheia como própria). Pena de reclusão de 1 a 5
anos e multa.
o Posse
de máquinas alheias cujo controle é repassado, vendido, etc; Fornecimento a
atacantes de senhas que possam controlar redes.
4.2.1: Entraves dos processos legais
Quem cometeu o ataque? Onde o cometeu? Onde as
conseqüências foram percebidas? Sob que leis o crime deve ser julgado?
Identificar o atacante é já extremamente complexo.
Ataques de negação de serviço são ataques virtuais. Provas físicas em geral
sequer vão existir, e vimos que dados virtuais podem ser manipulados e forjados
com alguma facilidade, dificultando muito o rastreamento do executor.
Além disso, um ataque pode ser feito com o atacante
em um país, agentes espalhados por vários outros países e a vítima em ainda
outro país (ou até em mais de um). Sob que leis o crime, tão globalizado,
deve ser julgado? Não há um consenso mundial sobre estas práticas de crimes
virtuais, mas parece bem razoável que julgamentos possam ser feitos em todos os
territórios por onde o crime passou.
E uma nova discussão ainda mais preocupante surge:
responsáveis por máquinas que foram usadas como agentes devem ser considerados
cúmplices? Pode-se considerar que foram omissos em não tomar (se é que não
tomaram) todas as providências que poderiam, para evitar que suas máquinas
fossem possuídas por atacantes? Nem todos os usuários de internet são tão
cientes de aspectos de segurança quanto administradores de rede e demais
profissionais de computação. O usuário comum em geral estará mais preocupado
apenas em não contrair um vírus cujo efeito lhe seja diretamente visível, mas
atribuirá conexões lentas e outros sintomas de negação a problemas com o
serviço de internet ou com problemas internos de sua própria máquina, e não
a uma invasão ou ataque.