top of page
1e9c13_a8a182fe303c43e98ca5270110ea0ff0_mv2.gif

Coluna Alerta Digital - 24/08/2023



Responsabilidade Penal do Provedor à Prova de Balas e a Teoria do Domínio do Fato


No dia 11 de agosto de 2023, a agência europeia de policiamento, Europol (2023) noticiou a prisão de cinco suspeitos de disponibilizarem uma plataforma de serviços de hospedagem na internet com o intuito direto e específico de viabilizar ataques cibernéticos em diferentes partes do mundo. A ação foi executada pela Polícia da Polônia com o apoio do Escritório Federal de Investigação dos EUA (FBI), e, além das prisões, resultou na apreensão de todos os servidores do referido domínio e encerramento de suas operações.

Os suspeitos eram responsáveis por prestar serviços ilícitos a organizações criminosas cibernéticas por meio do domínio LolekHosted.net que foi, assim, considerado como um “bulletproof hosting service” (BPHS), uma infraestrutura na internet que auxilia criminosos cibernéticos a se manterem anônimos enquanto realizam intrusões e outros ataques.

Conforme noticiado pela agência Reuters (Charlish, 2023), a Europol declarou que a complexa investigação teria revelado a forma como o serviço facilitou a distribuição de malwares para furto de informações confidenciais e viabilizou ataques de negação de serviço distribuído (DDoS), criação de lojas falsas na internet, uso de servidor para administração de uma Botnet e a distribuição massiva de Spam por todo o planeta.

Foi verificado que a LolekHosted requeria pagamentos por criptoativos e usava slogans como “você pode hospedar qualquer coisa aqui” e “sem política de log”, a indicar o dolo direto e específico de colaborar com ações ilícitas em troca da devida remuneração.

Esse é apenas o mais recente caso envolvendo ações policiais contra BPHSs, o qual nos remonta ao do Cyberbunker (Kopp, D., Strehle, E., & Hohlfeld, O., 2021). Em 1955, um bunker da OTAN foi construído no meio das florestas da cidade de Kloetinge, sul da Holanda, como um centro de comando militar capaz de resistir a um ataque nuclear de até 20 megatons. Abandonado em 1994 pelo exército holandês, o bunker com seus cinco níveis subterrâneos passou a ser utilizado por um grupo de criminosos cibernéticos como base para ataques cibernéticos globais de DDoS, uso massivo de spam, malware e botnets (Norton, s.d.).

Assim como o LolekHosted, o Cyberbunker afirmava hospedar qualquer tipo de conteúdo, exceto material de abuso infantil e terrorismo, e que garantia a continuidade dos serviços sob quaisquer circunstâncias. Apenas em setembro de 2019 a polícia alemã conseguiu apreender suas instalações e cessar as atividades cibernéticas que eram por lá viabilizadas (Kopp, D., Strehle, E., & Hohlfeld, O., 2021).

Uma interessante analogia pode ajudar a compreender como os serviços de hospedagem à prova de balas (BPHSs) se comportam na internet. Imagine que uma organização criminosa precisa de um local para armazenar os instrumentos, assim como o produto do crime. Nesse caso, poderiam alugar um espaço onde o proprietário fosse bastante discreto e não estivesse muito preocupado com as atividades desenvolvidas no local, desde que o pagamento fosse recebido em dia.

O proprietário eventualmente pode ter ciência das atividades criminosas e, inclusive, investir parte do dinheiro recebido pela organização criminosa para que o local torne-se cada vez mais confortável e adequado aos fins almejados pelos locatários, a exemplo da construção de passagens secretas, instalação de diversas câmeras, uso de drones e outros equipamentos tecnológicos e evasivos.
Os BHPSs desempenham um papel semelhante ao de um esconderijo secreto para organizações criminosas no mundo cibernético, ao viabilizar que cibercriminosos utilizem seus serviços para armazenar ferramentas maliciosas, operar centros de comando de botnets, guardar dados roubados e hospedar sites maliciosos envolvidos em phishing, golpes e conteúdo ilícito.

A localização desses provedores é considerada estratégica de modo a dificultar sua apreensão e primam pela discrição. Costumam ser estabelecidos em países em que a legislação de cibersegurança é inexistente ou frágil, o que abre uma brecha para que possam hospedar conteúdo questionável.
Uma vez identificado o “paraíso cibernético”, o passo seguinte é a utilização de uma infraestrutura de médio para grande porte, na qual seus servidores ficam distribuídos em diferentes locais, usar redes privadas virtuais (VPNs) e redes de entrega de conteúdo (CDNs) capazes (e com o objetivo) de mascarar a localização real, além de distribuir o tráfego.

Sob a “defesa da privacidade”, o anonimato é elevado ao grau de princípio absoluto, o que justifica a permissão de registros sem identificação e priorização de pagamentos em criptomoedas. Possuem políticas internas bastante flexíveis, estruturam-se de modo a impedir eventuais tentativas de derrubadas, inclusive contra determinação de agências governamentais, buscam manter relações estratégicas com ISPs e implementam medidas de segurança avançadas.

No Brasil, não há notícia de ações policiais que tenham obtido êxito em apreender BHPSs. Uma das hipóteses para essa lacuna é o fato de, em geral, estarem baseadas em “paraísos cibernéticos”; outra, é uma possível omissão legislativa na tipificação de suas atividades. Apesar de não ser comum notícias envolvendo BHPSs na mídia, trata-se de um equívoco subestimar suas capacidades, uma vez que muitas organizações criminosas cibernéticas cessariam a atuação nas sombras sem o envolvimento direto desses “provedores à prova de balas”.

Uma vez que uma notícia dessa natureza aporte no país, quiçá por meio de pedido de cooperação internacional, suponho que um dos caminhos para a responsabilização dos administradores da infraestrutura, em face da ausência de tipo penal específico fora do concurso de pessoas ou da participação em organização criminosa, venha a residir na teoria do domínio do fato, desenvolvida originalmente por Claus Roxin em sua tese publicada em 1963 (Greco et. al., 2014).
Ao buscar estabelecer critérios mais precisos para diferenciar a autoria e a participação em um crime, em especial no contexto do concurso de agentes, a teoria do domínio do fato pode ser uma solução na esfera da responsabilização penal a obstar que o país venha a ser visto como um paraíso cibernético para provedores à prova de bala.



Fontes consultadas:


Charlish, A. (2023, August 11). Polish police arrrest five in swoop on cyber crime site. Reuters. https://www.reuters.com/world/europe/polish-police-arrrest-five-swoop-cyber-crime-site-2023-08-11/

Europol (2023). 5 arrested in Poland for running bulletproof hosting service for cybercrime gangs. https://www.europol.europa.eu/media-press/newsroom/news/5-arrested-in-poland-for-running-bulletproof-hosting-service-for-cybercrime-gangs

Goncharov, M. (2015). Criminal Hideouts for Lease: Bulletproof Hosting Services. Trendmicro. https://web.archive.org/web/20170314195218/http://housecall.trendmicro.com/media/wp/wp-criminal-hideouts-for-lease-en.pdf

Greco, L, Leite, A., Teixeira, A & Assis, A. (2014). Autoria como domínio do fato: estudos introdutórios sobre o concurso de pessoas no direito penal brasileiro. Marcial Pons: São Paulo.

Kopp, D., Strehle, E., & Hohlfeld, O. (2021). CyberBunker 2.0 - A Domain and Traffic Perspective on a Bulletproof Hoster. https://arxiv.org/pdf/2109.06858.pdf

Norton. (s.d.). CyberBunker: The Most Dangerous Town on the Internet. Recuperado de http://us.norton.com/mostdangeroustown2

Tehrani, P. F., Osterweil, E., Schiller, J. H., Schmidt, T. C., & Wählisch, M. (2021). Security of Alerting Authorities in the WWW: Measuring Namespaces, DNSSEC, and Web PKI. In Proceedings of the Web Conference 2021 (WWW’21). ACM, New York, NY, USA. https://doi.org/10.1145/3442381.3450033. https://arxiv.org/pdf/2008.10497.pdf


Comentários


bottom of page