Lei e Cyber Warfare: A jurisdição em um mundo de Subversive Multi-vector Threats

Advogado, mestrando em direito (IMED).
Do ingles Distributed Denial of Service, um ataque que sobrecarrega o sistema alvo de informações derrubando-o.
Do inglês Malicious Software, tratam-se de programas destinados a causar danos ou roubar informações do sistema alvo de forma ilícita. O termo abrange vírus de computador, worms, cavalos de tróia e spywares.
Advanced Persistant Threat
Industrial Control Systems. Sistemas de controle de maquinario industrial, abrangendo tanto sistemas SCADA (supervisionary control and data acquisition) e DCS (distributed control system).
Controlador Lógico Programável, computadores utilizados para o controle de maquinario industrial em sistemas SCADA ou DCS.
Algoritmo matemático que utiliza os dados do disco rígido para produzir um código específico que permite averiguar se os dados foram alterados durante a perícia. Por exemplo, se, após a pericia, for gerado outro hash e este não for identico ao gerado antes dela, houve alteração dos dados e, portanto, contaminação das evidências. Este hash permite a comprovação da autenticidade dos dados para fins judiciais.
Malware que ao ser executado no computador da vitima abre uma porta neste para ataques cibernéticos
Lei e Cyber Warfare: A jurisdição em um mundo
de Subversive Multi-vector Threats
Cassiano Calegari

RESUMO: A internet constitui uma revolução sem precedentes na comunicação humana e capacidade de transmissão de informações, entretanto, conforme a humanidade vem se tornando dependente do ciberespaço, novos atores Estatais e privados passam a utilizar esta dependência para beneficio próprio, visando fins econômicos ou políticos. Neste meio, a evolução dos ataques lógicos vem gerando uma nova gama de ameaças chamadas de Submersive Multi-vector Threats, capazes de afetar sistemas outrora considerados impenetráveis e demonstrando que o ciberespaço está tão sujeito a atos criminosos quanto o mundo físico. O presente estudo visa entender melhor estas novas ameaças, assim como elucidar as ações sendo tomadas por organismos internacionais para regulamentar o ciberespaço compreender a anatomia dos ataques cibernéticos. O método utilizado para tanto é o dedutivo e a técnica de pesquisa é bibliográfica.
Palavras-chave: Cyber Warfare; Subversive Multi-vector threat; malware; direito internacional.

ABSTRACT: The internet constitutes an unprecedented breakthrough in human communication and information transmission capacity, however, as humanity has become dependent on cyberspace, new private ans State sponsored actors begin to use this dependence to their own benefit, seeking economic or political gain. In this environment, the evolution of logical attacks is creating a new range of threats called Submersive Multi-vector Threats, that can affect systems once considered impenetrable, demonstrating that the cyberspace is subject to criminal acts as much as the physical world. This study aims to better understand these new threats, as well as to elucidate the actions being taken by international bodies to regulate cyberspace and understand the anatomy of cyber attacks. The chosen method is deductive and the research technique is bibliographic.
Keywords: Cyber Warfare; Submersive Multi-vector threat; malware; international law.

Introdução
A Era da Informação modificou profundamente as relações humanas tornando a comunicação e a informação acessíveis instantaneamente em qualquer local do mundo. Hoje o homem não apenas utiliza amplamente a internet, mas depende dela para realizar desde as ações cotidianas mais triviais, como fazer compras ou suprir sua necessidade de entretenimento, até atividades mais complexas, como seu exercício profissional e pesquisas acadêmicas.
Esta dependência atrai a atenção de outros atores ao meio cibernético, os criminosos (aqui abrangendo grupos de ciberterrorismo privados e patrocinados por Estados) e as grandes agencias de inteligência governamentais, que perceberam o potencial da rede para uma nova gama de ataques, que incluem desde data mining realizado por agencias Estatais até sequestro de dados e ataques de DDoS por grupos ciberterroristas.
O grande problema destas novas modalidades de crimes e espionagem estatal esta na incapacidade das forças policiais e órgãos responsáveis pela segurança nacional lidarem com ameaças lógicas de alta complexidade. Os meios convencionais de coerção e combate ao crime são incapazes de parar um ataque de DDoS ou recuperar dados criptografados, em meio cibernético de nada adiantam armas de fogo ou uma força policial treinada para realizar prisões quando muitas vezes os criminosos se encontram protegidos por barreiras lógicas como o TOR que impossibilitam sua identificação ou barreiras jurisdicionais que impossibilitam a realização de prisões ou a investigação criminal para auferir a autoria do ato.
Em uma era de Subversive Multi-vector Threats (SMTs) a informação e a rede são monopolizadas por poucos países que possuem o conhecimento técnico e armas lógicas capazes de controlar o ciberespaço. Enquanto na guerra fria houve uma bipolarização do mundo entre as nações com armas nucleares na Era da Informação esta polaridade tem se concentrado entre os países com potencial técnico para desenvolver SMTs (EUA, Israel, Irã, Russia e China) e realizar data mining em grande escala (EUA).
O ciberespaço tem sido romantizado pelos "cyber-filósofos" (se é que este termo existe), tratado como um espaço de igualdade e liberdade de informações, onde o ser humano pode colaborar para a construção de um mundo melhor, nos moldes do otimismo de Pierre Levy (LEVY e LEMOS, 2010). Porém a marcha para uma ciberdemocracia planetária de Levy esbarra na malicia humana e na inercia das organizações internacionais estabelecerem regulamentações eficazes para o fluxo de dados no ciberespaço. Não é possível construir uma democracia enquanto as informações são monopolizadas pela Agência de Segurança Nacional (NSA) americana e empresas privadas tem seus dados sequestrados por grupos ciberterroristas patrocinados por entidades governamentais.
Ha um real potencial no ciberespaço a ser explorado através de práticas de E-Governo, porém deve-se primeiro compreender os perigos que o permeiam, para evitar dar um "passo para frente e dois para traz", virtualizando as atividades estatais ao custo de privacidade e segurança. Compreender a atuação dos hackers (referindo-se àqueles chamados de Black Hat) possibilita traçar um plano de ação efetivo para a virtualização das atividades estatais sem que seja comprometida a segurança da informação envolvida.
Neste período de insegurança lógica entender a real abrangência do domínio do ciberespaço por aqueles que vieram a ser conhecidos pela mídia como hackers constitui o primeiro passo para planejar as medidas a serem tomadas a fim de garantir a segurança dos dados em meios cibernéticos. O presente estudo partirá da análise de grandes incidentes cibernéticos, em especial focados em SMTs, para a partir dai retirar um indicativo da capacidade de ação de grupos ciberterroristas e entidades estatais que realizam atos de guerra em meio cibernético (cyber warfare). Seguirá então para um estudo dos mecanismos legais aplicáveis em crimes cibernéticos e SMTs, assim como dos problemas jurisdicionais associados à investigação e coerção de crimes em meios cibernéticos para concluir analisando a anatomia de um ataque lógico.
Subversive Multi-vector Threats
A tecnologia vem evoluindo em um ritmo cada vez mais rápido (vide lei de Moore), desde a popularização dos computadores pessoais até a disseminação da internet o mundo vem passando pela revolução da informação e, assim como vários aspectos da sociedade vêm se adaptando a isso, os ataques também tem evoluído e ganhando espaço no meio virtual. Submersive Multi-vector Theat (SMT - não há termo equivalente em português), é um termo utilizado pela indústria de segurança para se referir a ataques cibernéticos extremamente sofisticados que utilizam diversos vetores, ou seja, diversas falhas de segurança, para atingir seu alvo. SMTs são criadas para afetar sistemas com um grande nível de segurança, ao contrario dos malwares comuns, que utilizam a ignorância do usuário quanto a medidas de segurança. STMs tratam-se dos ataques cibernéticos mais avançados hoje conhecidos (GRAGIDO, 2009).
Alguns exemplos de SMTs são os incidentes de Moonlight Maze, Titan Rain e o comprometimento das linhas de energia americanas. Moonlight Maze é o nome dado a um incidente altamente confidencial percebido por especialistas em segurança do governo americano em 1998, constitui-se por uma serie de ataques a bancos de dados do Pentágono, NASA, Departamento de Energia, laboratórios de armas e universidades nos Estados Unidos. Ao analisar os ataques constatou-se se tratarem de atos muito sofisticados e, posteriormente, que estes já́ estavam acontecendo há cerca de 2 anos. Entre as informações comprometidas pelos ataques encontravam-se mapas de instalações militares secretas, configurações de equipamentos militares e localização de tropas americanas. Segundo o diretor do FBI, Michael Vatis, os ataques tiveram origem na Rússia, porem nunca se chegou à sua autoria devido à resistência do governo russo em cooperar com as investigações. O incidente ainda esta sendo investigado pelo governo americano, apesar de já terem se passado mais de 15 anos (GRAGIDO e PIRC, 2011, p. 164)
O incidente de Titan Rain é um dos casos mais famosos da doutrina internacional. Shawn Carpenter, cidadão americano, ex-fuzileiro naval e herói de guerra trabalhava para o Sandia National Laboratory, empresa responsável pelo desenvolvimento de parte razoável do arsenal de armas nucleares americano, entre outros projetos militares. Shawn era responsável por definir a autoria de ataques cibernéticos contra os Estados Unidos e suas empresas, incluindo a em que trabalhava, esta função não lhe havia sido dada apenas pelo Sandia National Laboratory, mas em parceria com o FBI e o Exército Americano. Shawn passou a monitorar as atividades de um grupo chinês de espiões cibernéticos que estava acessando informações de agencias de defesa americanas, ele então percebeu que ataques semelhantes haviam ocorrido em sua empresa, Sandia National Laboratory, e ao comparar seus achados com colegas empregados do FBI, concluiu que se tratavam de diversos ataques cirúrgicos extremamente complexos e sofisticados, de execução impecável. Após meses rastreando os ataques Shawn conseguiu determinar que estes vieram da província chinesa de Guangdong (LEWIS, 2005). Investigações conduzidas pelo governo americano indicam que os ataques foram patrocinados pelo governo chinês, visando roubar informações de agencias de defesa americanas, embora o governo chinês negue as alegações. Titan Rain é tido como o maior caso de espionagem já́ registrado, tendo sido afetados desde laboratórios nucleares a empresas responsáveis por desenvolvimento de equipamento militar, como a Lockheed Martin que desenvolve as aeronaves militares americanas (GRAGIDO e PIRC, 2011, p. 164).
O incidente envolvendo as linhas de energia americana ocorreu em março 2005, quando Patrick H. Wood, então presidente da comissão federal de regulamentação de energia (FERC) americana, alertou a indústria de energia acerca da possibilidade de um ataque cibernético comprometer as redes de transmissão. Anteriormente, ainda naquele mesmo mês, Wood havia presenciado uma simulação realizada pelo Laboratório Nacional de Idaho do que poderia ocorrer se um hacker habilidoso atacasse o sistema responsável pelas redes de transmissão. A simulação demonstrou que o hacker poderia assumir controle de todos os sistemas envolvendo as redes de alimentação, inclusive centrais de geração de energia, controlando completamente suas operações. Posteriormente o invasor poderia, através da invasão do sistema, cortar a alimentação de óleo das turbinas dos geradores que produzem energia, destruindo-o e inutilizando a instalação por dias ou até meses. Segundo o jornal americano Washington Post, Kim Watts, empregado do Laboratório Nacional de Idaho declarou, após presenciar a simulação, que desejava estar usando fraldas (BLUM, 2005).
Posteriormente, em 2007, Scott Lunsford, pesquisador da IBM, foi capaz de comprometer o sistema de uma usina nuclear de geração de energia, controlando a usina por uma semana e, em seguida, enviou um relatório acerca de seu ataque ao governo americano, resultando numa auditoria completa dos sistemas de geração de energia americanos em 2009. Os relatórios da auditoria revelaram a presença de APTs em várias instalações de produção de energia americanas, tendo concluído que entre as nações envolvidas estavam China (através da People's Liberation Army), Rússia, Estônia e outras entidades não reveladas. Posteriormente, ainda em 2009, foi constatado pelo governo americano que as mesmas APTs se encontravam em usinas de distribuição de agua e gás natural (GRAGIDO e PIRC, 2011, p. 170).
Advanced Persistant Threats
Advanced Persistant Threats (APT), assim como as SMTs, constituem ataques bastante sofisticados, porem utilizam falhas de segurança conhecidas e visam alvos de oportunidade, ou seja, sistemas que podem ou não conter aquela falha de segurança, como por exemplo um computador que não possui a ultima versão de um software instalado e que, por isso, esta suscetível a um determinado tipo de ataque em função de uma vulnerabilidade já́ conhecida e corrigida na versão mais atual daquele software. A maior diferença entre SMTs e APTs é que a última não faz uso unicamente de meios tecnológicos para atingir seu alvo, mas utiliza também falhas humanas, o que torna SMTs mais complexas e perigosas que ATPs, uma vez que são criadas para atacar sistemas com altos níveis de segurança (em geral pertencentes a entidades governamentais) (GRAGIDO, 2009).
A APT mais conhecida é o incidente Aurora, que constituiu primeiro caso de uma APT envolvendo uma empresa privada. Este foi direcionado à sede do Google na China, tratando-se de um ataque com alto nível de sofisticação utilizando uma vulnerabilidade no navegador Internet Explorer que permitiu que os invasores enviassem pacotes de dados ao servidor do Google. Estes pacotes continham um malware que intercepta as informações transitando na rede. Ao ser detectado o ataque resultou no encerramento das operações do Google na China devido a fortes suspeitas de envolvimento do governo chinês no desenvolvimento da APT (GRAGIDO e PIRC, 2011, p. 173).
Ataques cibernéticos
A doutrina divide ataques cibernéticos em 2 grandes categorias: intencionais e não intencionais. Estas categorias abrangem todas as consequências do ataque, como seu efeito colateral, falha em sistemas de controle (para ataques em ICS), falhas de segurança acidentais (por exemplo testes de sistemas ou modificações em configurações não autorizadas) (REBANE, 2011, p. 51).
Como ataques intencionais pode-se citar o ataque às comunicações do controle de trafego aéreo da cidade americana de Worcester e o ataque à central de tratamento de esgoto do condado de Maroochy, na Austrália. O primeiro incidente ocorreu quando um adolescente, em 1997, desativou parte do sistema público de telefones da cidade utilizando um modem conectado ao sistema, o que resultou na desativação das comunicações da torre de controle de trafego aéreo, corpo de bombeiros e serviço de meteorologia da cidade. A torre de controle também teve desativado seu principal transmissor de radio, utilizado para se comunicar com as aeronaves e o sistema responsável por ligar as luzes da pista de pouso. Colateralmente, o ataque desativou as linhas de telefone de mais de 600 residências e estabelecimentos comerciais na cidade vizinha de Rutland.
O segundo incidente ocorreu na primavera de 2000, no condado de Worcester. Onde um ex-empregado de uma empresa de desenvolvimento especializada em programas de controle industrial inscreveu-se para uma vaga no governo de Maroochy, porem foi recusado. Durante os 2 meses subsequentes o candidato passou a utilizar transmissores de radio para sabotar o sistema da central de tratamento de esgoto como uma forma de vingança por não ter sido contratado, alterando os dados das bombas de esgoto resultando no derramamento de cerca de 1 milhão de litros de esgoto em rios e parques locais (REBANE, 2011, p. 51).
Como ataques não intencionais pode-se citar o incidente com o sistema de sinalização de trens da empresa CSX, o incidente na usina nuclear americana de Davis-Besse, o blackout no noroeste americano e o incidente com a represa americana Taum Sauk. O primeiro ocorreu quando um malware, que não havia sido desenvolvido com esta finalidade, danificou o computador que controla o sistema de sinalização de trens na central da CSX, em Jacksonville deixando cegos todos os trens na costa leste americana, embora não tenham ocorrido acidentes o malware gerou atrasos de 4 a 6 horas no horário de chegada dos trens.
Quanto ao incidente na usina nuclear americana de Davis-Besse, este, conforme a Comissão de Regulamentação Nuclear (NRC) ocorreu em janeiro de 2003, quando um malware infectou a rede de computadores da usina na cidade americana de Oak Harbor. O malware desativou os sistemas de segurança da usina por cerca de 5 horas. Foram necessárias mais 6 horas para reverter os danos causados pelo malware e retira-lo do sistema. Embora o incidente não tenha causado um acidente nuclear, este é um cenário possível uma vez que a usina ficou sem sistemas de segurança por um período razoável de tempo no qual um superaquecimento do reator ou um aumento de pressão nos dutos de vapor poderia resultar em danos à instalação e vazamento de radiação.
O blackout no noroeste americano ocorreu em agosto de 2003, causado por uma falha no sistema de alarmes do sistema SCADA (supervisionary control and data acquisition, modelo de sistemas industriais distribuídos em grandes áreas geográficas com centrais de controle integradas) de distribuição de energia impedindo que os operadores do sistema recebessem as informações corretas sobre o funcionamento do sistema. Neste período uma das linhas de alimentação de energia entrou em contato com arvores, porem, devido ao sistema de segurança estar desativado em razão de um malware, isso gerou um curto-circuito que acabou afetando 508 geradores em um efeito cascata que deixou 5 estados americanos, além de parte do Canada, incluindo sua capital, sem energia. O blackout afetou cerca de 55 milhões de pessoas (ANDRESS e WINTERFELS, 2011, p. 125).
Por fim, o incidente com a represa americana Taum Sauk ocorreu em dezembro de 2005. O sistema de computadores da represa sofreu uma falha catastrófica resultando de um malware, a falha impediu que o sistema da empresa detectasse quando o reservatório desta estava cheio resultando no vazamento de bilhões de litros de agua (REBANE, 2011, p. 52).
Agente nos crimes cibernéticos
Dentro dos crimes cibernéticos seus os agentes são classificados de acordo com seu grau de sofisticação, normalmente divididos em 4 grupos: nenhum, novato, intermediário e expert (GRAGIDO e PIRC, 2011, p. 117). O primeiro grupo abrange usuários comuns, sem conhecimentos específicos acerca de ataques cibernéticos, estes normalmente disseminam malwares sem sequer ter conhecimento que o estão fazendo, tendo sido seu computador infectado por um malware que se propaga automaticamente ou através de malwares que utilizam engenharia social (como ocorria com apresentações de Powerpoint infectadas que eram inocentemente distribuída por usuários através de e-mails nos primórdios da internet ou as famosas "fotos_da_sandy_pelada.exe").
Novatos, também conhecidos como Script KIiddies, assim como os agentes do primeiro grupo, não possuem conhecimentos técnicos significativos, porem utilizam ferramentas prontas (em geral programas disponíveis na internet) para atacar vitimas. Embora este grupo não possua qualquer grau de sofisticação, não representando perigo para sistemas com algum grau de segurança, eles são responsáveis por grande parte dos ataques em usuários comuns devido ao grande número de agentes nessa categoria. Seu modo de operação consiste basicamente em explorar vulnerabilidades amplamente conhecidas em sistemas sem a devida segurança, se aproveitando da ignorância de suas vítimas.
Os agentes de nível Intermediário, entretanto, possuem habilidades especificas representando verdadeiros agentes e mentores no mundo cibernético. Tais agentes normalmente utilizam seus conhecimentos para ganhar dinheiro através da internet. Possuem conhecimentos em programação e são capazes de, através de engenharia reversa, modificar malwares complexos para atingir seus objetivos.
No topo da pirâmide dos criminosos cibernéticos estão os experts, constituindo os agentes mais sofisticados em seu ramo. Estes se encontram normalmente empregados por organismos governamentais, grandes empresas multinacionais, como a Symantec, ou grupos ciberterroristas. Estes agentes possuem conhecimento não apenas de programação, mas de hardware, e são capazes esconder sua identidade em meios virtuais (GRAGIDO e PIRC, 2011, p. 117).
Embora, em função do volume de ataques, os agentes novatos representam o maior perigo em meios cibernéticos, em relação ao dano produzido os experts são a categoria mais preocupante, podendo criar APTs e dispondo, muitas vezes, de recursos abundantes em função de patrocínio governamental. Sua atuação pode ser vista no incidente Titan Rain, em que apenas as informações roubadas sobre o projeto do caça americano F-35 Joint Strike Fighter resultaram num prejuízo de cerca de 300 bilhões de dólares, possibilitando que os invasores repliquem sua tecnologia e conheçam suas falhas de projeto (ANDRESS e WINTERFELS, 2011, p. 31).
No tocante aos grupos específicos de agentes, vale salientar dois tipos de hackers, os hacktivists, que tem ganho bastante espaço na mídia em função do grupo Annonymous, e os Patriot Hackers. Os primeiros tratam-se de hackers que utilizam suas habilidades para defender um determinado ponto de vista moral, no tocante ao grupo Annonymous, a liberdade de informação. Porem estes agentes utilizam meios criminosos para realizar suas reinvindicações, como os ataques a diversos websites de instituições bancarias, incluindo o Banco Itaú́, HSBC e Banco Central que ocorreram em 2012 sob autoria do Annonymous (OLIVEIRA, 2012). Já́ Patriot Hackers, como o nome indica, são hackers que agem apoiando um Estado, não necessariamente financiados pelo país, mas seus atos são motivados por ideais nacionalistas. Um exemplo destes hackers foi o incidente ocorrido com na americana University of East Anglia Climatic, atacada por hackers russos que subtraíram diversos e-mails particulares da instituição com o intuito de prejudicar o programa de redução de emissões de carbono realizado pela universidade (ANDRESS e WINTERFELS, 2011, p. 197).
Sofisticação
Para se auferir a autoria de qualquer crime realizado por meios cibernéticos é necessário, antes de tudo, analisar o nível de sofisticação do ataque. Os ataques são divididos em duas categorias (Tier 2 e Tier 1) determinadas por sua complexidade, seu estudo constitui um tópico importante pois os rastros e danos de um ataque realizado por um agente expert são muito diferentes daqueles realizados pelas outras categorias de agentes (GRAGIDO e PIRC, 2011, p. 118)
A primeira, chamada de Tier 2, engloba ataques não cinéticos, ou seja, que ocorrem totalmente em meios virtuais. Um grande exemplo deste tipo de categoria é a Operação Aurora, contra o Google. Os agentes que conduziram o ataque exploraram várias falhas conhecidas para realiza-lo, entre elas a já referida falha de segurança do navegador internet explorer. Ataques Tier 2 normalmente possuem vários vetores de ataque, como foi o caso do Aurora, que além da disseminação inicial pelo navegador utilizou rootkits para escalar a hierarquia de privilégios dos servidores da Google.
A segunda categoria, conhecida como Tier 1, inclui ataques cinéticos e não cinéticos, ou seja, podem ocorrer fisicamente ou por meios cibernéticos. Ataques Tier 1 constituem os ataques cibernéticos mais sofisticados já́ vistos, raramente chegando ao conhecimento da população em geral, são mantidos como segredo por motivos de segurança ou sequer descobertos. Estes normalmente visam redes chamadas de air gapped, redes fisicamente, eletronicamente e eletromagneticamente isoladas do meio externo, ou seja, da internet, ou redes tidas como de alta segurança, como as redes da indústria de energia ou de alguns órgãos do governo federal, como o Banco Central.
Em 2007 o americano Idaho National Laboratory conduziu um experimento chamado de Aurora Test, no qual criaram um código malicioso que, ao ser injetado em um sistema SCADA especialmente criado para o teste, resultou na explosão dos geradores ligados ao sistema. O objetivo do teste foi justamente testar o conceito de arma cibernética, utilizando um malware para realizar ataques cinéticos à infraestrutura crítica, ou seja, causar dano físico a uma instalação.
Os melhores exemplo de ataque Tier 1 são os malwares Stuxnet e Flame, que constituíram um ataque cinético realizado pelo governo americano em parceria com o Serviço de Inteligência israelense (Mossad) na operação Olympic Games que teve inicio em 2008 e durou até 2012, visando causar dano físico às centrifugas de enriquecimento de uranio de Natanz (Irã) através do envio de códigos maliciosos para seus CLPs atrasando o programa nuclear iraniano. (SANGER, 2012).
Em ataques cibernéticos tanto aqueles do tipo Tier 1 quanto os do tipo Tier 2 normalmente consistem no mesmo modus operandi, a criação de um malware, diferenciando-se o ataque apenas pelo grau de sofisticação deste. Muitas vezes o agente que o criou acaba deixando evidencias dentro do código que permitem auferir indícios de sua autoria.
Exemplos dessas evidencias são a data, 09 de maio de 1979 e o diretório chamado MYRTUS contidos no código do Stuxnet, estudado pelos especialistas em segurança da Symantec (FALLIERE, O MURCHU e CHIEN, 2011).
Atribuição
A atribuição da responsabilidade pela criação de um malware consiste na constatação de quem foi seu real autor, trata-se do fator mais difícil de se averiguar em um incidente cibernético. Ao se rastrear o endereço dos ataques cibernéticos, na maioria dos casos, chega-se a endereços de IP da China ou Rússia como sua origem. Isso, entretanto, não indica que os ataques são originários desses países, é muito comum o uso de meios que mascaram a localização do atacante, como proxys ou TOR. Proxys são servidores que atuam como intermediários na comunicação entre dois computadores na internet, repassando as informações recebidas por estes. Se um computador no Brasil utilizar um serviço de proxy russo para atacar um computador na Franca, ao tentar analisar de onde vieram os dados deste ataque, os investigadores seriam remetidos ao endereço do proxy russo e não o real endereço do atacante no Brasil. TOR, do inglês The Onion Router, é uma rede de computadores espalhados pelo mundo todo criada com o intuito de mascarar o trafego de dados na rede. No TOR os dados são enviados entre diversos servidores antes de serem remetidos para o computador alvo da conexão, tornando praticamente impossível (ou inviável) determinar onde este se originou (imagem 1). Conexões dentro do TOR costumam passar por mais de 40 computadores espalhados pelo maior número de países possível antes de chegar ao seu destino (GRAGIDO e PIRC, 2011, p. 121).


Imagem 1 – Comunicação simples através de uma rede TOR.
Fonte: ENGELFRIET, 2006.

A imagem demonstra, de forma simplificada, uma comunicação entre Alice e Bob dentro de uma rede TOR. Os dados enviados por Alice passam por 3 nódulos da rede (marcados com o símbolo "+"), desta forma se Bob tentar rastrear a origem da informação chegará ao último nódulo. Suponhamos que Bob esteja determinado em rastrear Alice e utilize um mandado judicial para apreender este ultimo nódulo (ou obter os dados de trafego do ISP referentes àquele sistema) e tentar identificar a origem dos dados. Dessa forma, ao realizar a pericia no ultimo nódulo da rede seria possível apenas chegar ao nódulo anterior, necessitando outro mandato e outra apreensão para chegar ao primeiro nódulo e outra apreensão para determinar a localização de Alice. Neste exemplo simplificado a rede contem apenas 3 nódulos enquanto as redes TOR utilizadas para crimes cibernéticos costumam passar por no mínimo 40 nódulos, necessitando de 40 mandatos e 40 apreensões em diversos países distintos para se determinar a origem dos dados (algo completamente inviável com os mecanismos jurídicos atuais).
Para dificultar mais o rastreamento da origem dos dados em redes TOR, o protocolo modifica a rota a cada 10 minutos, passando por nódulos diferentes para chegar ao destinatário. Outra técnica utilizada para dificultar a atribuição dentro do TOR é tornar-se um nódulo da rede, desta forma além do computador de origem dos dados emitir dados, também recebe e remete outros dados enviados de outros nódulos, dificultando que se identifique se aqueles dados tiveram origem no computador ou em outro nódulo, além de aumentar exponencialmente a complexidade de uma pericia devido ao aumento no trafego de dados e ruído a ser analisado (imagem 2).


Imagem 2 – Comunicação complexa através de TOR utilizando nódulos
Fonte: ENGELFRIET, 2006.

Outro exemplo da dificuldade de se realizar a atribuição esta no caso do botnet Mariposa, que se tratava de uma rede envolvendo mais de 13 milhões de computadores espalhados pelo mundo todo infectados por malwares que permitiam serem controlados remotamente por hackers, sendo utilizados para conduzir ações criminosas, impossibilitando a atribuição da autoria pelos crimes (ANDRESS e WINTERFELS, 2011, p. 250).
É comum, para esconder a origem de um ataque cibernético, fazer uso de um computadores infectado para remeter dados a sua vitima. Como Rússia e China são países com altos índices de infecções por malwares, não é anormal que tais computadores se encontrem nessas localidades e, portanto, que os investigadores sejam remetidos a eles. A atribuição é o tópico de importância no estudo de crimes cibernéticos, sendo difícil sua aferição em ataques complexos, em que o agente esconde seus rastros.
Para se auferir a atribuição são feitas pericias especializadas, que incluem a apreensão do sistema suspeito e a análise de seus dados por uma equipe forense. O grande problema nesse ponto é que muitas vezes o relatório do perito seria de difícil entendimento para um juiz ou jurados, devido à falta de empatia com o ramo. Assim como a transitoriedade dos dados de um sistema, embora peritos possuam mecanismos de restaurar arquivos apagados de um computador, estes apenas podem ser feitos em casos específicos, em que o sistema não gravou novas informações no local onde haviam aqueles dados (algo que é assegurado por qualquer hacker minimamente competente).
As pericias em meios cibernéticos seguem 4 passos: Preparação, aquisição, analise e relatório. A fase de preparação envolve os meios que serão utilizados para a perícia. Já́ a fase de aquisição envolve a coleta e preservação das informações em um hash criptográfico. A fase de análise é o momento em que o investigador reconstrói os fatos com base nos dados coletados, dentre os softwares mais comuns para esta análise estão Encase, Forensic Tool Kit (disponível com o Backtrack) e Helix. Por fim o relatório é a maneira do investigador judicializar o ato, transcrevendo-o para uma forma que poderá́ ser utilizada judicialmente (ANDRESS e WINTERFELS, 2011, p. 220)
O perito, antes de iniciar a analise, cria uma cópia criptográfica dos dados a serem analisados, chamado de hash, uma cópia matemática perfeita dos dados contidos em um dispositivo. Desta forma os dados podem ser utilizados judicialmente com a garantia que de sua autenticidade. Posteriormente utiliza-se os já referidos programas forenses desenvolvidos especialmente para investigações (Encase, Forensic Tool Kit e Helix), que permitem que o perito extraia os dados do sistema sem os danificar ou alterar.
Tipos de criminosos cibernéticos
Nos crimes cibernéticos de Tier 1, como o Stuxnet, devido ao nível de conhecimento técnico necessário para realiza-los, seus agentes normalmente pertencem a grandes organizações. Estes podem ser desde simples organizações criminosas ou terroristas até aquelas tidas como subnacionais e nacionais.
Os crimes cibernéticos ganharam grande importância na ultima década, tendo em 2011 ultrapassado o trafico de droga em custos para combatê-lo e prejuízos resultantes de ataques, representando um ônus anual de 418 bilhões de dólares para a sociedade (PARNELL, 2011). Portanto, assim como ocorre no trafico de entorpecentes, não demorou para que grandes organizações criminosas começassem a explorar os crimes cibernéticos, existindo inclusive uma cidade, conhecida como hackerville, que subsiste da receita de crimes cibernéticos (BHATTACHARJEE, 2011). É muito mais fácil para uma organização criminosa conduzir suas atividades online que realizar crimes convencionais, uma vez que, devido aos meios que tais organizações utilizam para esconder seus rastros, as chances de serem apanhados são mínimas e, mesmo se auferida sua atribuição, normalmente as autoridades esbarram em barreiras jurisdicionais intransponíveis, como a soberania do país de onde estas atuam.
Assim como em outras organizações criminosas, em especial aquelas relacionadas ao trafico de entorpecentes, as organizações que atuam na internet possuem uma hierarquia e funções definidas para seus membros. No topo dessa pirâmide estão os coders, ou techies, que são responsáveis por manter os servidores e provedores de internet da organização funcionando. Abaixo dele estão os hackers, responsáveis por buscar vulnerabilidades que possam ser exploradas pela organização para extorquir dinheiro de suas vitimas. Por ultimo estão os mules, os fraudadores propriamente ditos, que fazem uso de engenharia social para enganar suas vitimas (GRAGIDO e PIRC, 2011, p. 123). Um exemplo da atuação destas organizações é o caso do Cavalo de Tróia Zeus, que intercepta as informações bancarias da vitima enquanto esta acessa serviços de online banking. Para recuperar o dinheiro desviado pelo Zeus a organização criminosa utilizava mules com vistos americanos provisórios, que permitem a abertura de contas bancarias americanas sem serem fiscalizadas pela receita local, utilizados para sacar o dinheiro e então deixar o país, retornando à Rússia, tendo resultado no desvio de US$ 900.000,00 por um único mule (GRAGIDO e PIRC, 2011, p. 124).
As organizações criminosas visam essencialmente o lucro, não possuindo razões morais ou politicas para sua atuação. Entre elas estão a russa RBN (Russian Business Network), cujas atividades vão desde roubo de identidade a lavagem de dinheiro e a chinesa Honker Union of China, que possui cerca de 80.000 membros e recentemente publicou uma carta ameaçando os Estados Unidos e os hackers americanos em geral, eles foram os responsáveis pelo ataque ao website da Casa Branca americana (GRAGIDO e PIRC, 2011, p. 126).
Já́ as organizações nacionais, que fazem parte do governo do país que as detém, possuem um alvo bastante distinto. Estas não visam lucro, mas prejudicar outros Estados econômica, politica ou militarmente. Estas organizações tem ganho bastante importância recentemente, em especial pela publicidade sobre a operação Olympic Games. Organizações nacionais costumam ser muito bem financiadas e detém alguns dos especialistas em segurança mais conceituados, costumando estar subordinadas ao Ministério da Defesa ou Inteligência de seu país (GRAGIDO e PIRC, 2011, p. 127).
Por fim, as organizações subnacionais são, em sua maioria, grupos terroristas patrocinados por Estados. Um exemplo é a Hezbollah, que atua fora do Líbano e recebe grande parte de seu treinamento da guarda revolucionaria iraniana. Apesar de ser visto pelos libaneses como uma organização benéfica, tendo realizado diversos serviços sociais para o país o Hezbollah é tido como uma organização terrorista financiada pelo Irã e Síria, estima-se que o Hezbollah recebe anualmente cerca de 60 milhões de dólares para financiar suas atividades (COLEMAN, 2008). Em conflito recente entre Hezbollah e o estado de Israel, ataques cibernéticos realizados por Israel resultaram num corte de todas as comunicações por cabos destinadas ao Líbano. Israel utilizou ataques cibernéticos para enviar mensagens para cerca de 700,000 cidadãos do Líbano através da infraestrutura de telecomunicações libanesa. O Hezbollah respondeu com um ataque de DDoS (distributed denial of service), com o intuito de impedir acesso a websites israelenses (GRAGIDO e PIRC, 2011, p. 128). Outros exemplos destas organizações são a chinesa PLA (Peoples Liberation Army), a russa Russia's 5th-Dimension Cyber Army, responsável por deixar todo o pais da Estônia sem internet com um massivo ataque de DDoS, e a iraniana IRGC (Islamic Revolution Guards Corps) (GRAGIDO e PIRC, 2011, p. 131).
Jurisdição e ciberespaço
Ciberespaço, segundo a definição inicial do Departamento de Defesa americano (DoD) é o meio em que informações digitalizadas são comunicadas através de redes de computadores. Segundo o National Military Strategy for Cyberspace Operations este constitui o domínio caracterizado pelo uso de espectros eletrônicos e eletromagnéticos para armazenar, modificar e transmitir dados através de sistemas de rede e infraestrutura física associada. Mais recentemente, em 22 de março de 2010, o Departamento de Defesa americano passou a definir ciberespaço como o domínio global dentro do meio da informação. Consistindo de redes interdependentes de informações e infraestrutura (incluindo a internet), redes de telecomunicações, sistemas de computadores e processadores e controladores incorporados (ANDRESS e WINTERFELS, 2011, p. 2).
Ao tratar de qualquer incidente ocorrido em meio cibernético deve-se ter em mente que o ciberespaço não possui fronteiras claras. Atos realizados na rede podem repercutir nela como um todo, independente da localização do agente ou daqueles afetados por ele. Um exemplo é o malware "i love you", que danificou diversos sistemas em 2000, embora os investigadores do caso tenham conseguido rastrear o responsável pelos malware, como este estava nas Filipinas, onde não havia legislação criminalizando atos em meios cibernéticos ou qualquer ferramenta para adequá-los aos crimes convencionais, nada pode ser feito.
As fronteiras do ciberespaço são comumente divididas em três áreas: logica, física e organizacional. No mundo físico as fronteiras são legalmente reconhecidas (de jure), como as fronteiras políticas entre países, ou geograficamente (de facto), como uma montanha ou rio dividindo duas regiões distintas. No ciberespaço o mais próximo dessas fronteiras políticas são os domínios, em que endereços terminados em .com.br indicam websites com domínio brasileiro, .gov.br indicam instituições governamentais brasileiras e assim por diante. Entretanto, tal divisão não corresponde necessariamente à realidade, um website com domínio .com.br pode (e é muito comum que esteja) estar hospedado em um servidor estrangeiro, tornando inútil qualquer mandado brasileiro para a coleta de informações contidas nele, tornando necessário um procedimento cooperação internacional.
A indústria de segurança tem esperado ações da Organização das Nações Unidas para resolver este problema jurisdicional, uma vez que esta possui competência para atuar na elaboração de tratados internacionais e, portanto, poderia disciplinar investigações internacionais. Para realizar esta regulamentação sugere-se adaptar as legislações existentes para um meio virtual, fazendo uso de institutos já́ conhecidos em outros ramos, como as leis marítimas e espaciais. No tocante às leis marítimas, assim como em mar aberto, na internet a informação transita livre por áreas de domínio de vários ou de nenhum país, como barcos navegando em aguas internacionais ou mar territorial. Já́ o espaço, regulamentado pela declaração da ONU de 1963, traz a impossibilidade de sua apropriação, sendo este explorável por todos os seres humanos, assim como a proibição de manobras militares espaciais. Da mesma forma também deve ser o ciberespaço, continuo e pertencente à humanidade, não sendo razoável um país se apropriar de uma parcela da internet ou dos dados que trafegam em meios cibernéticos, mesmo que a rota passe por seu território (ANDRESS e WINTERFELS, 2011, p. 211).
Apesar dos empecilhos práticos, há manifestações dentro da ONU para a criação de um tratado acerca de direito cibernético. Proposto inicialmente em 2005, entretanto houve uma discordância entre os Estados Unidos que pretendia utilizar o ciberespaço para suprimir dissidentes e a Rússia que intentava banir quaisquer ações militares no ciberespaço. Como não foi proposta nenhuma solução para o empasse o projeto foi deixado de lado e acabou morrendo. Posteriormente, em 2010, ele ressurgiu em uma versão modificada com o apoio de 15 nações incluindo: Brasil, China, França, Alemanha, Israel, Itália, Coreia do Sul, Rússia, Estados Unidos e África do Sul. O novo projeto esta focado em áreas de mutuo acordo entre os países, como estabelecer comportamentos aceitáveis no ciberespaço, troca de informações acerca de legislações e estratégias e fortalecer a proteção de computadores em países subdesenvolvidos (ANDRESS e WINTERFELS, 2011, p. 8).
Após o Stuxnet se tornar público, em 2011, as discussões acerca da proibição de manobras militares no ciberespaço voltaram a ser o centro de atenção da ONU. Em setembro de 2011 o governo americano propôs um código de conduta internacional para a segurança da informação (que ele mesmo desrespeitou com a espionagem conduzida pela National Security Agency), na semana seguinte à publicação americana, o governo russo publicou um esboço de uma convenção internacional para a segurança da informação, porém as negociações foram prejudicadas pela confirmação do envolvimento americano no Stuxnet/Flame e pelos atos de espionagem cibernética realizados pela NSA (MAURER, 2011, p. 5).
Nos Estados Unidos os incidentes cibernéticos tem sido tratados sob as legislações civis, penais e de arbitragem, de acordo com as circunstancias envolvidas. Como o sistema americano é essencialmente jurisprudencial, as legislações criminais tem sido adaptadas para servirem aos crimes cibernéticos, porem, no tocante a casos envolvendo relações de origem civil são utilizados os chamados Torts, que indica a violação de uma obrigação cível, como a quebra de um contrato. Entretanto há uma forte discussão na doutrina americana acerca do dever de diligencia, sobre se as empresas que não tomam as medidas necessárias para proteger seus sistemas de ataques cibernéticos podem ser responsabilizadas, civil e penalmente, pela imprudência. Outro ponto em voga trata de incentivos governamentais, como redução de impostos, para empresas que tomem medidas para proteger-se de ataques cibernéticos, assim como a imposição de uma taxação punitiva para empresas imprudentes (ANDRESS e WINTERFELS, 2011, p. 211).
A legislação americana traz vários diplomas legais aplicáveis ao direito cibernético, entre eles estão o Radio Act, que regula comunicações privadas por meios não físicos, o Computer Fraud and Abuse Act, que traz penas de até 20 anos para espionagem cibernética, o Computer Security Act, que obriga servidores privados a fornecerem informações ao governo em casos de crimes cibernéticos sob o principio da boa-fé́ e o Federal Information Security Management Act, que requer que todas as agencias federais americanas implantem programas para a segurança da informação que armazenam em seus sistemas.
Em termos militares, fala-se do Direito dos Conflitos Armados (Law of Armed Conflict), tendo origem no desejo das nações civilizadas em prevenir sofrimento e destruição desnecessários sem impedir as atividades militares. O Direito dos Conflitos Armados é categoria do direito internacional público que regula as condutas dos agentes durante uma guerra, visando proteger civis, prisioneiros de guerra, feridos, doentes e vitimas de naufrágios. Este ramo do direito se aplica a conflitos armados internacionais, operações militares e atividades relacionadas a estas.
Os conflitos armados são divididos em dois momentos: jus ad bellum (direito de ir a guerra) e jus in bello (direito na guerra). O primeiro se refere às normas que disciplinam a possibilidade do uso de força, tratam-se de critérios a serem obedecidos antes de entrar em guerra. enquanto o segundo refere-se às normas que regulam o exercício desse uso de força, ou seja, normas a serem obedecidas durante as manobras de guerra (BARRETO, 2007). O jus in bello é regido por normas da Organização das Nações Unidas, pelas Convenções de Genebra e Convenções de Haia. Entretanto tais convenções não são facilmente aplicáveis ao ciberespaço uma vez que foram criadas para disciplinar ações convencionais de guerra (físicas).
O Ato de Guerra é aquele determinado pelo Presidente de um país. Já Uso de Força, no sentido militar, consiste de uma ação tomada para obrigar alguém a fazer algo, sendo normalmente graduado em escalas dependendo de sua severidade. Este ato deve ser executado por um combatente legitimo, autorizado por seu país. Em meios cibernéticos é pacífico que a sabotagem de sistemas de controle industrial SCADA integrantes da infraestrutura de um país são tidos como Uso de Força, e, portanto, Atos de Guerra (ANDRESS e WINTERFELS, 2011, p. 226). Existem, entretanto, combatentes ilegítimos ou terroristas em um campo de batalhas, que não representam Estado algum. Tais combatentes podem ser facilmente identificados em um campo de batalhas convencional, porem em meios cibernéticos pode ser difícil identificar se o ato foi tomado por ordem de uma Nação ou consiste em um crime ou ato terrorista.
As convenções de Haia acerca do direito de guerra constituem acordos focados nas condutas de guerra, enquanto as convenções de Viena tratam dos fatores humanitários envolvendo a guerra. A primeira convenção de Haia a tratar este assunto ocorreu em 1899 que gerou 3 declarações relativas à conduta de guerra e aos tipos projeteis permitidos em campos de batalha. A segunda convenção ocorreu em 1907, tendo o Brasil representado por Rui Barbosa, e envolveu arbitragem em casos de guerra, convenções acerca de débitos de guerra, regras da guerra e direitos e obrigações dos países neutros.
Já as convenções de Genebra acerca do direito dos conflitos armados são compostas por 4 convenções e 3 protocolos, realizados entre 1864 e 1949 que disciplinam os padrões de guerra para o tratamento humanitário de vitimas da guerra, envolvendo a assistência de doentes e feridos, prisioneiros de guerra, civis, e equipes médicas e religiosas (ANDRESS e WINTERFELS, 2011, p. 228).
Há diretrizes que regem os conflitos armados que devem ser aplicadas aos conflitos cibernéticos, como a diligencia, evitando que sistemas sejam mantidos desprotegidos, da mesma forma como deve-se evitar deixar uma arma desprotegida ou assumir as consequências de seu mau uso. Nesse sentido há entendimentos doutrinários acerca da responsabilização do usuário que age com negligencia quanto à segurança do seu computador caso este venha a ser utilizado, por um terceiro, para fins delituosos (como ocorrem nas botnets) (ANDRESS e WINTERFELS, 2011, p. 208).
Vale salientar que o direito dos conflitos armados disciplina as relações militares entre Estados enquanto em relação a ataques cibernéticos é possível que que o agente esteja agindo de forma independente. Não se aplicando portanto, nessas situações, as diretrizes previstas pelo direito dos conflitos armados, uma vez que a única entidade com autoridade para iniciar uma guerra é o Estado, sendo qualquer outro agente que realize uma ação típica de um ato de guerra considerado um combatente ilegítimo e, portanto, não estando abrangido pelas legislações de guerra, mas pela legislação criminal local ou pelos tratados internacionais de combate ao terrorismo.
No tocante aos atos de guerra e ao Uso de Força, o entendimento majoritário ainda é no sentido de que, mesmo havendo um ataque cibernético realizado por um Estado, se este não causar danos físicos, não pode ser considerado Uso de Força e, portanto, um Ato de Guerra. Desta forma Estados podem realizar atos cibernéticos menores contra outros estados sem ferir o jus ad bellum, esta brecha vem sendo explorada pelos Estados Unidos para espionar cidadãos e governantes de outras Nações sem que se caracterize uma manobra militar (ANDRESS e WINTERFELS, 2011, p. 231).
É comum criminosos cibernéticos escolherem Países sem legislação específica ou com pouco interesse em combater crimes cibernéticos para sua base de operação, como é o caso da Bolívia, que não esta sequer vinculada às leis de guerra, nem possui grandes interesses em coibir crimes cibernéticos.
No ciberespaço, apesar de não existirem barreiras definidas, as informações trafegam por cabos, pulando entre ISPs (Internet Service Provider) normalmente passando por diversos países antes de chegar ao seu destino. Nesse caso não há a possibilidade de responsabilizar Nações neutras caso um determinado ataque cibernético entre países em guerra passe pelos cabos contidos em seu território, não constituindo isso uma violação das leis de guerra nem da neutralidade do Estado. O mesmo não se aplica se o país neutro estiver deliberadamente fornecendo sua rede como rota para os ataques, uma vez que estaria interferindo diretamente na guerra (ANDRESS e WINTERFELS, 2011, p. 232).
Outro problema envolvendo ataques cibernéticos é seu efeito colateral. Em casos como o Stuxnet, que se espalharam muito além de seu alvo há a possibilidade que estes malwares causem dano a instalações civis, como um hospital ou uma represa resultando na destruição de uma cidade e, assim, violando as convenções de Genebra.
Considerações finais
Um dos maiores erros do sistema jurídico no tocante a crimes cibernéticos é ver o criminoso com os mesmos olhos daqueles que realizam os crimes "convencionais". Os ataques lógicos são, em geral, realizados por agentes muito bem treinados e com alto nível de conhecimento técnico. O presente estudo permite que se vislumbre uma pequena parcela do mundo de atuação deste novo tipo de agente, elucidando alguns dos problemas que impossibilitam a aplicação do direito no ciberespaço.
Ao se entender quais são as novas "cyber-tendências" criminosas, constituindo estas as Subversive Multi-vector Threats e as Advanced persistant Theats é possível projetar um futuro em que o ciberespaço será, ainda mais, dominado pelas grandes superpotências lógicas ao menos que se criem formas efetivas de regulamentar o trafego de informação e os atos de guerra no mundo virtual.
Desta forma, conclui-se que uma legislação local é incapaz de, efetivamente, combater crimes em meio cibernético ou a espionagem de organizações nacionais. Os rastros podem ser escondidos facilmente utilizando TOR e Rootkits avançados permitem a invasão de sistemas altamente sofisticados, incluindo redes Air Gapped como ocorreu com o Stuxnet.
Em uma era de Subversive Multi-vector Threats o direito determinante não é aquele ditado pelos Estados, restritos à sua jurisdição nacional, mas aquele das organizações internacionais. Regulamentar o ciberespaço em nível mundial é necessário para que seja possível a efetiva persecução criminal e acabar com a impunidade neste meio onde um agente não está restrito à atuação em seu país, mas pode cometer atos criminosos em diversos locais similtaneamente.
Da mesma forma, é de imperativa importância a regulamentação dos atos de guerra em meio cibernético, para evitar a espionagem e sabotagens lógicas pelas potencias da internet. Do contrario corre-se o risco de se incorrer em uma nova forma de dominação onde as superpotências lógicas controlam a economia das Nações "menos sofisticadas" através de seu aparato lógico, da mesma forma como no período colonialista.
Referências
ANDRESS, J.; WINTERFELS, S. Cyber Warfare. Waltham: Syngress, 2011.
BARRETO, R. N. A guerra como meio de solucionar conflitos internacionais. Âmbito Jurídico, 2007. Disponivel em: . Acesso em: 31 jul. 2014.
BHATTACHARJEE, Y. How a Remote Town in Romania Has Become Cybercrime Central. Wired, 2011. Disponivel em: . Acesso em: 31 jul. 2014.
BLUM, J. Hackers Target U.S. Power Grid. The Washington Post, 2005. Disponivel em: . Acesso em: 31 jul. 2014.
COLEMAN, K. Hezbollah's Cyber Warfare Program. Defense Tech, 2008. Disponivel em: . Acesso em: 31 jul. 2014.
ENGEBRETSON, P. The Basics of Hacking and Penetration Testing. Waltham: Syngress, 2011.
ENGELFRIET, A. TOR: The Onion Router. Ius mentis, 2006. Disponivel em: . Acesso em: 31 jul. 2014.
FALLIERE, N.; O MURCHU, L.; CHIEN, R. W32.Stuxnet Dossier. Symantec, 2011. Disponivel em: . Acesso em: 31 jul. 2014.
GRAGIDO, W. Suversive Multi-Vector Threats. Cassandra Security, 2009. Disponivel em: . Acesso em: 2 jul. 2012.
GRAGIDO, W.; PIRC, J. Cybercrime and Espionage. Waltham: Syngress, 2011.
LEVY, P.; LEMOS, A. O futuro da internet: em direção a uma ciberdemocracia planetária. São Paulo: Paulus, 2010.
LEWIS, J. A. Computer Espionage, Titan Rain and China. CSIS, 2005. Disponivel em: . Acesso em: 31 jul. 2014.
MAURER, T. Cyber norm emergence at the United Nations. Cambridge: Harvard Press, 2011.
OLIVEIRA, K. Anonymous assume autoria de ataque a site do Banco Central. Exame, 2012. Disponivel em: . Acesso em: 31 jul. 2014.
PARNELL, B.-A. Cyber crime now bigger than the drug trade. The Register, 2011. Disponivel em: . Acesso em: 31 jul. 2014.
PRITCHETT, W.; SMET, D. D. Backtrack 5 Cookbook. Birmingham: Packt, 2012.
RAMACHANDRAN, V. BackTrack 5 Wireless Penetration Testing. Birmingham: Packt, 2011.
REBANE, F. The Stuxnet Computer Worm and Industrial Control System Security. New York: Nova, 2011.
SANGER, D. E. Confront and Conceal: Obama's Secret Wars and Surprising Use of American Power. New York: Broadway, 2012.
WILHELM, T.; ADRESS, J. Ninja Hacking: Unconventional Penetration Testing Tactics and Techniques. Burlington: Syngress, 2011.