O Brasil e o Ciberespaço: uma análise sobre a atuação brasileira no locus principalis da Atividade de Inteligência neste início de século XXI

UNIVERSIDADE DO SUL DE SANTA CATARINA LUIZ HENRIQUE FILADELFO CARDOSO

O BRASIL E O CIBERESPAÇO: UMA ANÁLISE SOBRE A ATUAÇÃO BRASILEIRA NO LOCUS PRINCIPALIS DA ATIVIDADE DE INTELIGÊNCIA NESSE INÍCIO DE SÉCULO XXI

Palhoça 2014

LUIZ HENRIQUE FILADELFO CARDOSO

O BRASIL E O CIBERESPAÇO: UMA ANÁLISE SOBRE A ATUAÇÃO BRASILEIRA NO LOCUS PRINCIPALIS DA ATIVIDADE DE INTELIGÊNCIA NESSE INÍCIO DE SÉCULO XXI

Monografia apresentada ao Curso de Pósgraduação em Inteligência de Segurança, da Universidade do Sul de Santa Catarina, como requisito parcial para a obtenção do título de Especialista.

Orientador: Prof. Rogério Santos da Costa, Dr.

Palhoça 2014

LUIZ HENRIQUE FILADELFO CARDOSO

O BRASIL E O CIBERESPAÇO: UMA ANÁLISE SOBRE A ATUAÇÃO BRASILEIRA NO LOCUS PRINCIPALIS DA ATIVIDADE DE INTELIGÊNCIA NESSE INÍCIO DE SÉCULO XXI

Esta Monografia foi julgada adequada à obtenção do título de Especialista em Inteligência de Segurança e aprovada em sua forma final pelo Curso de Pós-graduação em Inteligência de Segurança, da Universidade do Sul de Santa Catarina.

Palhoça, 16 de maio de 2014.

___________________________________________ Prof. e Orientador Rogério Santos da Costa, Dr. Universidade do Sul de Santa Catarina

___________________________________________ Prof. Marciel Evangelista Cataneo, Msc. Universidade do Sul de Santa Catarina

“A arte da guerra nos ensina a não confiar na probabilidade do inimigo não estar vindo, mas na nossa própria prontidão para recebê-lo; não na chance de ele não nos atacar, mas sim no fato de que fizemos a nossa posição inatacável.” (SUN TZU, 2000).

RESUMO

Neste “admirável mundo novo” em que estamos inseridos, cada vez mais complexo e permeado exponencialmente por inúmeros sistemas informatizados, permanecer desconectado a tais sistemas deixou de ser uma alternativa plausível a ser adotada. As diferentes formas de ameaças cibernéticas – principalmente aquelas desenvolvidas e instrumentalizadas de maneira intencional por poderosos órgãos de inteligência governamentais com o auxílio de corporações privadas de TIC – assumem um papel perigoso para manutenção da liberdade de expressão e da privacidade nas relações entre nações, empresas e indivíduos em tal lócus assimétrico. Neste sentido, emerge como legítimo o seguinte questionamento: Em quais bases está erigida a relação entre o Brasil e o Ciberespaço – este que vem se consolidando dia a dia como o principal local da Atividade de Inteligência nesse início de século XXI? No objetivo de responder a este questionamento, este trabalho revisa alguns conceitos básicos de Cibernética, Ciberespaço, Segurança e Defesa Cibernética, Atividade de Inteligência, Ciclo de Produção do Conhecimento (CPC) e Inteligência Cibernética, traçando na sequência um panorama dos principais motivantes que vêm consolidando o Ciberespaço como o novo lócus da Atividade de Inteligência. Ao final, será analisada a atuação brasileira no que tange à sua organização institucional e operacional voltada à segurança e defesa de suas infraestruturas críticas passiveis de serem acessadas pela via cibernética, com a finalidade maior de se expandir a consciência situacional em relação às ações delineadas para o referido setor estratégico, bem como para viabilizar a proposição de alternativas para o fortalecimento da proteção dos interesses nacionais neste novo canal dialético.

Palavras-chave: Brasil. Ciberespaço. Inteligência. Inteligência Cibernética. Defesa Cibernética. Segurança Cibernética.

ABSTRACT

In this "brave new world" where we are inserted, ever more complex and exponentially permeated by numerous computerized systems, remain disconnected to such systems stopped being a plausible alternative to be adopted. The different forms of cyber threats - especially those developed anda instrumentalised intentionally by powerful government intelligence agencies with the aid of private corporations TIC - assumes a pernicious role in maintenance of freedom of expression and privacy in relations between nations, companies and individuals in such an asymmetric locus. In this sense, the following emerges as legitimate question: on what basis is erected the relationship between Brazil and Cyberspace - this that has been consolidating day by day as the principal place of Intelligence Activity early this XXI century? In objective to answer this question, this work reviews some basic concepts such as Cybernetic, Cyberspace, Security & Cyber Defence, Intelligence Activity, Cycle of Knowledge Production (CKP) and Cyber intelligence, by tracing in the wake, a panorama with the principal factors that comes consolidating Cyberspace as the new locus of Intelligence Activity. In the end, Brazil's performance will be analyzed in terms of their institutional and operational organization dedicated to security and defense of their critical infrastructures susceptible of being accessed by the via cybernetics, with the greater purpose from expanding situational awareness in relation of the actions delineated for such strategic sector as well as to enable of the proposition alternatives for strengthening the protection of national interests in this new dialectic channel.

Key words: Brazil. Intelligence. Cyberspace. Cyber Intelligence. Cyber Defense. Cybersecurity.

LISTA DE ILUSTRAÇÕES

Figura 1 – Evolução dos Serviços de Informações/Inteligência brasileiros ............................. 21 Figura 2 – CPC adotado pela doutrina brasileira de informações ............................................ 23 Figura 3 – Metodologia PRISM ............................................................................................... 32 Figura 4 – Apresentação ultra-secreta sobre as atividades digitais realizadas pelo XKeyscore e a capacidade do analista para consulta ..................................................................................... 32 Figura 5 – Localização das principais Infraestruturas Críticas Nacionais................................ 36

LISTA DE SIGLAS

ABIN – Agência Brasileira de Inteligência ABNT – Associação Brasileira de Normas Técnicas APF – Administração Pública Federal C2 – Comando & Controle CDCIBER – Centro de Defesa Cibernética CEO – Chief Executive Officer CIA – Central Intelligence Agency COMINT – Communications intelligence CSEC – Communications Security Establishment Canada DNISP – Doutrina Nacional de Inteligência de Segurança Pública. ELINT – Electronics intelligence FA – Forças Armadas GPS – Global Position System HUMINT – Human intelligence IMINT – Imagery intelligence ISP – Inteligência de Segurança Pública MASINT – Measurement and Signature intelligence MD – Ministério da Defesa NSA – National Security Agency ONU – Organização das Nações Unidas OSINT – Open sources Intelligence SIGINT – Signals intelligence SISBIN – Sistema Brasileiro de Inteligência. SMDC – Sistema Militar de Defesa Cibernética. TIC – Tecnologia da Informação e Comunicação. U.S.Cyber Comm – United States Cyber Command

SUMÁRIO

1 INTRODUÇÃO .................................................................................................................. 09 2 CONCEITOS BÁSICOS..................................................................................................... 11 2.1 CIBERESPAÇO, CIBERNÉTICA, E SEUS PRINCIPAIS ATORES .............................. 11 2.2 AMEAÇAS CIBERNÉTICAS ........................................................................................... 13 2.2.1 Ciberguerra .................................................................................................................... 13 2.2.2. Ciberterrorismo ............................................................................................................ 15 2.2.3 Cibercrime...................................................................................................................... 16 2.3 SEGURANÇA E DEFESA CIBERNÉTICA ..................................................................... 17 2.4 ATIVIDADE DE INTELIGÊNCIA ................................................................................... 18 2.4.1 Evolução histórica e definições importantes ............................................................... 18 2.4.2 Ciclo de Produção de Conhecimento (CPC), fontes e meios de obtenção de dados 22 2.5 CIBERINTELIGÊNCIA ....................................................................................................24 3. ANÁLISE DE CENÁRIOS ................................................................................................ 28 3.1 O CIBERSPAÇO COMO LOCUS PRINCIPALIS DA ATIVIDADE DE INTELIGÊNCIA .................................................................................................................................................. 28 3.2 O BRASIL E O CIBERESPAÇO....................................................................................... 35 4. CONCLUSÃO..................................................................................................................... 41 REFERÊNCIAS ..................................................................................................................... 43

9 1 INTRODUÇÃO

A Internet, poderosa e complexa estrutura digital suportada pela exponencial conjunção de dispositivos caracterizadora do Ciberespaço, fomentada inicialmente por meio de pesquisas e projetos militares, descrita por Pierre Lévy (1999, p. 126) como “um dos mais fantásticos exemplos de construção cooperativa internacional”, tem assumido dia a dia um papel determinante para que indivíduos, organizações e países - até então carentes de participação nas esferas política, cultural e econômica – venham a ter uma maior visibilidade e representação, no entanto, a “Grande rede” vem se transformando, paulatinamente, no campo principal de uma guerra silenciosa, tendo como maior objetivo, o acesso e controle dos ativos informacionais passiveis de serem acessados pela via cibernética. Nogueira (2012, p. 26) corrobora com a existência deste paradoxo ao expor que: Se por um lado a informatização dos processos vem se mostrando uma ferramenta ágil e facilitadora na geração do desenvolvimento de um país, na integração de organizações e na interação de pessoas, por outro, evidencia e potencializa a vulnerabilidade desses inúmeros processos informatizados, ampliando a necessidade de mecanismos de proteção e defesa.

Em relação à patente e gradual intensificação das explorações de vulnerabilidades existentes nos inúmeros processos informatizados, Pereira (2013) cita um exemplo desta constatação: Uma unidade secreta do Exército Popular de Libertação da China é um dos "mais prolíficos grupos de ciber-espionagem" internacional [...] A Mandiant [empresa norte-americana de cibersegurança] diz ter indícios de que, em seis anos, a unidade roubou "centenas de terabytes de informação" a pelo menos 141 organizações em 20 países, a grande maioria sediada nos EUA, mas também no Reino Unido e Canadá. A informação pirateada, através de infiltrações que se prolongaram durante meses, vai de planos de negócios e aquisições, a emails de dirigentes das empresas. [E que] o Exército tem um papel chave na multifacetada estratégia de segurança da China, por isso faz todo sentido que os seus recursos sejam usados em ciber-espionagem econômica de relevo para a economia chinesa.

Porém, os indícios de utilização do espaço cibernético para ações de cunho prospectivo e estratégico não se referem apenas ao gigante oriental. Esta constatação se escora principalmente no depreendido da coletânea de arquivos intitulados Spy Files 31, trazidos à tona pela organização WikiLeaks, que descrevem com riqueza de detalhes quais as empresas que comercializam tecnologia capaz de viabilizar vigilância eletrônica massiva, bem como também as suas estreitas relações com órgãos de inteligência de diversas nações, principalmente, com a Agência Nacional de Segurança (NSA, sigla em inglês) e suas agências aliadas. (FABRÍCIO, 2013). É oportuno trazer à baila, o caso globalmente noticiado do vazamento de informações sigilosas de segurança dos EUA protagonizado pelo ex-técnico da Agência Central de 1

Disponível em: < http://wikileaks.org/spyfiles3>. Acesso em 26 fev. 2014.

10 Inteligência norte-americana Edward Snowden, que por meio da divulgação de documentos oficiais sigilosos veio a revelar detalhes sobre o alcance e configuração de alguns programas de vigilância utilizados por seu país na prospecção de dados sensíveis sobre assuntos de interesse – econômicos, segurança, militares – a respeito de outros países, entre eles o Brasil. Conforme foi possível depreender do teor dos expedientes vazados por Snowden, a NSA e outras agências, aparentemente, monitoraram – de maneira intencional e a revelia – as comunicações eletrônicas realizadas entre a Presidente do Brasil Dilma Roussef e o seu alto escalão de assessores, como também, instrumentalizaram específicas operações de espionagem industrial contra as principais empresas estatais brasileiras (G1, 2013). Exposto isto, emerge com profusão e legitimidade o seguinte questionamento: Em quais bases está erigida a relação entre o Brasil e o Ciberespaço – este que vem se consolidando, dia a dia, como o principal local da Atividade de Inteligência nesse início de século XXI? Com o objetivo de responder a este questionamento-problema, durante o desenvolvimento da monografia far-se-á uso das figuras metodológicas estudo de caso e pesquisa bibliográfica no que concerne ao seu aprofundamento e ao método de coleta de dados, respectivamente. Nesse sentido, em um primeiro momento serão definidos e contextualizados os principais conceitos básicos sobre assuntos que fundamentam teoricamente o estudo - ainda que não haja consenso sobre alguns deles –, como Ciberespaço, Cibernética, Ameaça Cibernética, Segurança e Defesa Cibernética, Atividade de Inteligência e Ciberinteligência. Na segunda etapa, será traçado um panorama a respeito do cenário internacional, de forma que sejam expostos e analisados os principais fatores que vem confirmando a patente percepção de perda gradativa da privacidade e liberdade no âmbito cibernético, muito disso intensificado após as revelações de conteúdos sigilosos sobre a existência de estruturas de vigilância e monitoramento massivo no Ciberespaço. Na sequência, também será apresentada e analisada, detalhadamente, a situação nacional no que tange às ações já tomadas e/ou vislumbradas em Defesa e Segurança pelos principais órgãos e atores brasileiros – com ênfase na organização institucional e operacional – para o referido âmbito dialético. Ao final, serão apresentadas algumas conclusões obtidas pós-análise, todas com a finalidade principal de melhor entender o modus operandi e faciendi brasileiro no que tange à sua relação com o Ciberespaço, bem como também se expandir o conhecimento a respeito das ameaças cibernéticas, principalmente àquelas passíveis de serem manipuladas por governos ou corporações de TIC que venham a ter a nociva intenção de se apropriar e/ou corromper os inúmeros ativos informacionais brasileiros alocados ou acessíveis pela via cibernética.

11 2 CONCEITOS BÁSICOS

Nesta seção serão expostos os principais conceitos sobre Ciberespaço, Cibernética e seus principais atores; aos tipos de ameaças e de ataque cibernético; Segurança e Defesa do espaço cibernético; Atividade de Inteligência e ao Ciclo de Produção do Conhecimento (CPC); e por último, sobre Ciberinteligência.

2.1 CIBERESPAÇO, CIBERNÉTICA E SEUS PRINCIPAIS ATORES

O termo Ciberespaço foi criado originalmente, tal qual lembrado por Machado (2011), por Willian Gibson em 1984, quando o autor utilizou pela primeira vez o termo em seu romance de ficção cientifica Neuromancer2, clássico da literatura cyberpunk3. Gibson (1984, p. 51 apud KIM, 2004) entendia-o como sendo: Uma alucinação consensual vivida diariamente por bilhões […] Uma representação gráfica dos dados abstraídos dos bancos de dados de cada computador no sistema humano. Complexidade inimaginável. Linhas de luz enfileiradas no não-espaço da mente, agregados e constelações de dados. Como luzes da cidade, retrocedendo…

Ainda que de maneira figurada, Gibson tentou exprimir o que o Ciberespaço já denotava em sua época: um espaço relacional complexo, distribuído e virtual. Cabe destacar que para um correto entendimento da virtualidade inerente ao meio cibernético, jamais se deve sucumbir a vulgar dicotomia “virtual” versus “real”, uma vez que virtual deve ser entendido, de acordo com o exposto por Lévy (1999, p.47), como o “estado [potencial e] anterior a concretização efetiva ou formal, não se opondo em nenhuma hipótese ao real, mas sim ao atual [...].”. Kim (2004) corrobora com esta visão ao afirmar que: “os crimes ‘virtuais’ estão aí para nos mostrar de uma forma bem dura que a ‘virtualidade’ do Ciberespaço possui uma inegável natureza coercitiva de ‘realidade’.”. Ainda em relação à significação do que vem a ser Ciberespaço, é importante citar duas definições basilares, a primeira de Lévy (1999, p. 92), que o interpreta como sendo: o espaço de comunicação aberto pela interconexão mundial dos computadores e das memórias dos computadores. [E que] a perspectiva de digitalização geral das informações provavelmente tornará o ciberespaço o principal canal de comunicação e suporte de memória da humanidade a partir do inicio do próximo século.

2

Neuromancer é o principal livro no qual foi baseado o filme Matrix (1999), pois o termo matrix foi introduzido originalmente no referido romance para se referir ao ciberespaço como uma rede global de simulação (KIM, 2004). 3

“O cyberpunk aglutinou a visão distópica do movimento punk e os estereótipos de seu estilo de vida ao imaginário futurista no qual as gadgets (bugigangas e geringonças) “cibernéticas” e os ciborgues foram amplamente cotidianizados.” (KIM, 2004, p. 212).

12 E a segunda, do Dr. Marco Cepik, que o descreve como “o ‘lugar’ onde interagem computadores, programas, sistemas de comunicações e equipamentos que operam via irradiação de energia eletromagnética” (CEPIK, 2003, p. 69 apud MACHADO, 2011, p. 284). Contudo, a abordagem que melhor se assenta a este estudo – sintonizando Ciberespaço e contemporaneidade – é a exposta por meio do Cyberspace Policy Review (2009 apud MACHADO, 2011, p. 277), que assim o define como: uma rede interdependente de infraestruturas de tecnologia da informação, e inclui a Internet, redes de telecomunicações, sistemas de computador e processadores e controladores pertencentes a indústrias críticas. No uso comum, o termo também se refere ao ambiente virtual de informações e interações entre pessoas.4 (Tradução livre).

Já em relação ao conceito de Cibernética – anterior e determinante para compreensão do termo Ciberespaço –, pode-se afirmar com base no lecionado por Sampaio (2001, p. 02), que tal termo teve sua origem na palavra grega kybernetiké que em sentido estrito significa “a arte do controle, exercida pelo piloto sobre o navio e sua rota”. Ainda de acordo com o mesmo autor, tal conceito foi retomado por Norbert Wiener, no final da década de 1940, em seu livro Cibernética ou controle e comunicação no animal e na máquina, de maneira que a Cibernética era abordada como “uma teoria das mensagens mais ampla que a ‘teoria da transmissão de mensagens da engenharia elétrica’”, […] um campo mais vasto que inclui não apenas o estudo da linguagem, mas também o estudo das mensagens como meios de dirigir a maquinaria e a sociedade, o desenvolvimento de máquinas computadoras e outros autômatos […], certas reflexões acerca da psicologia e do sistema nervoso, e uma nova teoria conjetural do método científico (WIENER, 1984, p. 15 apud KIM, 2004, p. 200).

Já Sampaio (2001 apud MACHADO, 2011, p. 286) define Cibernética como: “a arte de comandar ou controlar, sua forma primordial de agir é pelo comando ou controle de todo o ciclo de informações”. Assim, entre uma miríade de atores cibernéticos que se valem do Ciberespaço na tentativa de agir, comandar e/ou controlar todo o referido ciclo de informações, este aqui compreendido em processos não estanques de coleta/busca, processamento, armazenamento e difusão informacional, estão: Todos que têm acesso ao ciberespaço e atuam nele desde adolescentes a estudantes universitários até criminosos e espiões. Aqueles que, de alguma forma, possam influenciar as relações existentes, sejam elas pessoais, econômicas, políticas sociais, culturais, tecnológicas, públicas ou privadas, nacionais ou transnacionais, ambientais, entre outras [...] Entre tais atores, podemos destacar hackers5, espiões, cibercriminosos, ciberterroristas, governos, instituições privadas, organizações criminosas e religiosas (MACHADO, 2011, p. 277, grifo nosso). 4

Disponível em: . Acesso em 1º jan. 2014. 5

Neste estudo, hackers serão entendidos como especialistas em computação que se infiltram em sistemas sem a permissão de seus responsáveis. (CARDOSO, 2011, p.17)

13 A seguir, em complemento ao já mencionado, serão feitas algumas considerações em relação às ações dos específicos agentes que reúnem diversas capacidades - seja devido ao conhecimento especializado, poder financeiro etc. - para explorar as diversas vulnerabilidades existentes através do Ciberespaço.

2.2 AMEAÇAS CIBERNÉTICAS

Inicialmente, de posse do conceito de ameaça, exposto em ABNT (2005 apud BRASIL, 2010 p. 53) como “a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização”, torna-se possível, por extensão, estimar o que representa uma ameaça cibernética e qual o seu potencial impacto danoso, visto que: As emergentes ameaças cibernéticas mostram o quanto é preciso incrementar tanto a segurança da informação6 quanto a cooperação internacional no sentido de evitar ou reduzir efeitos negativos de operações cibernéticas antagônicas. O tema ameaça cibernética deve ser resolvido em escala mundial, envolvendo o maior número de partes, de leis, e de agências de todas as Nações (HEICKERO, 2010, p. 55 apud BRASIL, 2010, p.51).

Em algumas nações, as ameaças cibernéticas são colocadas ao mesmo nível de ameaças nucleares, com a particularidade de a primeira poder causar consideráveis danos a um oponente real ou potencial sem que seja preciso disparar um só tiro ou causar a morte direta de algum oponente. Tal aspecto atribui um traço de assimetria à ameaça cibernética, uma vez que “nem sempre o ator que pode causar maior dano é o mais capaz tecnologicamente, ou o ator que detém melhores recursos tecnológicos seja o menos vulnerável” (OLIVEIRA, 2011, p. 113). Machado (2011) sugere que as ameaças no Ciberespaço advêm de três vertentes distintas, ainda que interdependentes, quais sejam elas: Ciberguerra, Ciberterrorismo e o Cibercrime.

2.2.1 Ciberguerra

Ciberguerra ou Guerra Cibernética, de acordo com a taxonomia adotada no Glossário das Forças Armadas - MD35-G-01 (2007 apud BRASIL, 2010), é entendida como: Conjunto de ações para uso ofensivo e defensivo de informações e sistemas de informações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informação e redes de computadores. Estas ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil.

E de maneira complementar: 6

Segurança da Informação é uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade (SÊMOLA, 2003, p.43 apud CARDOSO, 2011, p.38).

14 Hackers and other individuals trained in software programming and exploiting the intricacies of computer networks are the primary executors of these attacks. These individuals often operate under the auspices and possibly the support of nation-state actors (CHANG; BILLO, 2004, p.3).

Sampaio (2001) acrescenta, tempestivamente, que “os alvos preferenciais para serem penetrados e desvirtuados [pelos ciberguerreiros] são os programas de computadores que controlam ou gerenciam os seguintes aspectos”: 1 – comando das redes de distribuição de energia elétrica; 2 – comando das redes de distribuição de água potável; 3 – comando das redes de direção das estradas de ferro; 4 – comando das redes de direção do tráfego aéreo; 5 – comando das redes de informação de emergência: a. pronto-socorro; b. polícia; c. bombeiros; 6 – comando das redes bancárias, possibilitando a inabilitação das contas, ou seja, apagando o dinheiro registrado em nome dos cidadãos (o potencial para o caos e a desmoralização de um país embutido neste tipo de ataque é por demais evidente); 7 – comando das redes de comunicações em geral, em particular: a. redes de estações de rádio; b. redes de estações de televisão; 8 – comando dos “links” com sistemas de satélites artificiais: a. fornecedores de sistemas telefônicos; b. fornecedores de sistemas de sinais para TV; c. fornecedores de previsões de tempo; d. fornecedores de sistemas GPS; 9 – comandos das redes dos Ministérios da Defesa e, também: a. Banco Central; b. Outros Ministérios chave (Justiça, Interior) 10 – comandos dos sistemas de ordenamento e recuperação de dados nos sistemas judiciais, incluído os de justiça eleitoral. Podem existir outros alvos, que serão apontados/selecionados, pelos serviços de coleta de informações (inteligência), pelo estudo, por adidos militares, adidos de informações (outros), ou, ainda, agentes implantados no país sob outras coberturas (comércio, serviços, professorados, etc.) (SAMPAIO, 2001, p. 04-05). Conforme também oportunamente salientado por Libicki (1995, apud MANDARINO JR, 2009), a Guerra Cibernética faz parte de um conjunto maior de conflitos denominados Guerra das Informações. Neste tocante, Cepik (2003, p.69) assevera que:

15 O conceito de information warfare (IW) resulta da tentativa de integração e expansão das operações de guerra eletrônica, guerra de comando e controle (C2 warfare) disciplinas defensivas em inteligência. Por analogia com a guerra terrestre ou marítima, a guerra informacional compreende o conjunto de ações ofensivas e defensivas conduzidas no ambiente informacional para controlar o cyberespace.

2.2.2 Ciberterrorismo

Denning (2000 apud WEIMANN, 2004, p.4) cunhou, em maio de 2000, durante depoimento no Comitê de Serviços Armados Norte-americanos, a seguinte definição para Ciberterrorismo: Cyberterrorism is the convergence of cyberspace and terrorism. It refers to unlawful attacks and threats of attacks against computers, networks and the information stored therein when done to intimidate or coerce a government or its people in furtherance of political or social objectives. Further, to qualify as cyberterrorism, an attack should result in violence against persons or property, or at least cause enough harm to generate fear. Attacks that lead to death or bodily injury, explosions, or severe economic loss would be examples. Serious attacks against critical infrastructures could be acts of cyberterorism, depending on their impact. Attack that disrupt nonessential services or that are mainly a cotly nuisance would not.

De forma pontual, Machado (2011, p. 288) observa que para Weimann (2004), é importante estabelecer a distinção entre ciberterrorismo e hacktivismo, uma vez que o principal objetivo dos hacktivistas é protestar e perturbar politicamente a um governo - por exemplo, contra a corrupção ou pela liberdade de informação – por meio do uso de ataques DDoS7, spam’s8, phising9, website defacement10, e também por meio de uma variedade de malwares11 para ganhar acesso e infectar redes de computadores. Em contrapartida, a finalidade liminar dos ciberterroristas é a de matar e/ou impelir pânico e medo generalizado aos seus potenciais alvos através dos recursos e sistemas de TIC. Entretanto, esta distinção pode em alguns momentos tornar-se demasiadamente nebulosa, visto que a internet vem se tornando, cada vez mais, um local fértil para reunião, comunicação, discussão e partilha de opiniões extremistas de cunho político, ideológico e religioso. Da Silva (2011, p.135) também compactua e assevera esta perspectiva, quando expõe que o marroquino Younis Tsouli, um dos ciber-jihadistas mais famosos do mundo, “usa 7 DDoS – Sigla em inglês para ataque de negação de serviço distribuído. Consiste em “bombardear” um site com requisições que superam sua capacidade de processamento até ele cair, ou seja, ficar insdisponível (INFO, 2011, p. 58). 8

Envio massivo, via email, de propaganda e/ou links redirecionadores para sites maliciosos (INFO, 2011).

9

“Tentativa de obter dados com o uso de emails falsos, que fingem vir de empresas ou bancos. Pedem informações ou dão um link com programa malicioso (INFO, 2011, p. 62). 10

Ato de modificar ou danificar o design de uma página web. Só é exequível após a consumação da invasão no site alvo. 11

“De malicious software, ou programa mal intencionado. Termo utilizado para qualquer ameaça digital, de vírus, cavalo de tróia [spywares, keyloggers, rootkits] a vermes [Worm, em inglês]” (INFO, 2011, p. 62).

16 habilidades hackers para invadir e subverter as redes de computadores a fim de distribuir arquivos de vídeo de ataques terroristas e usar o produto da fraude de cartão de crédito comum para configurar sítios de jihadi.12”.

2.2.3 Cibercrime

Em relação ao cibercrime, Da Silva (2011) é pragmático quando argumenta que: A internet tornou-se um ponto central de atividades pessoais, políticas e comerciais, bem como um meio de vital importância para transações financeiras e intelectuais. Não deve surpreender, portanto, o fato de que o interesse criminoso na internet desenvolveu-se na mesma proporção. O mundo cibernético tornou-se um alvo tentador e lucrativo para a moderna empresa do crime.

Machado (2011) com base no presente em Webopedia (2005)13, também em relação a este crescente fenômeno contemporâneo aponta que: O cibercrime engloba qualquer ato criminoso relacionado com computadores e redes (chamados de hacking). Além disso, o crime cibernético também inclui crimes tradicionais realizados através da Internet. Por exemplo, os crimes de ódio, de telemarketing, fraude na Internet, roubo de identidade e de furtos de contas de cartão de crédito são considerados como crimes cibernéticos quando as atividades ilegais são cometidas através do uso de um computador e da Internet (tradução livre).

Sobre isto, INFO (2011) salienta o caráter evolutivo que permeia a cibercriminalidade quando argumenta que: “de uma atividade exibicionista de fundo de quintal, no inicio dos anos 1990, a cibercriminalidade passou a ser um negócio globalizado, com quadrilhas organizadas e funções divididas”. Na mesma publicação, Yevgeny Kaspersky, CEO da Kaspersky Lab – empresa desenvolvedora de softwares antivírus – e graduado no Instituto de Criptografia, Telecomunicações e Ciência da Computação de Moscou, observa que: O cibercrime virou um negócio profissional. [...] As quadrilhas têm funções definidas. Há gente especializada em roubar e vender listas com número de cartões de crédito, em criar programas para infectar máquinas, especialistas que roubam contas bancárias, gente envolvida com lavagem de dinheiro. Os últimos cinco anos foram a época de ouro da cibercriminalidade. [E que a principal questão] é a falta de uma ciberpolícia internacional. Os países precisam ter mais agilidade para combater esse tipo de crime e leis de alcance internacional (INFO, 2011, p. 70).

Wendt (2011, p. 21) ainda ensina que a tênue linha divisória entre um ato lícito e o cibercrime se desfaz “onde a motivação ultrapassa o simples desafio e acarreta algum tipo de dano tutelado penalmente, caracterizando-se, portanto, em um crime” (grifo nosso). Contudo, Damásio de Jesus vai além, quando estabelece uma taxonomia distintiva entre as modalidades de crimes cibernéticos – sustentada no enquadramento do computador como meio ou fim de um ato ilícito. Classificando-os como (MACHADO, 2011, p. 290): 12

Termo árabe para designar o que em português significaria “Guerra santa/Guerra contra os ‘infiéis’ aos preceitos do Islã”.

13

Disponível em: . Acesso em: 03 jan. 2014.

17 1-

Impróprios, comuns ou impuros: o computador é um meio/instrumento. Realizado através do uso de um computador (furto mediante fraude ou como abuso de confiança, estelionato, falsos, crimes contra a honra, etc.).

2-

Próprios, autênticos ou puros: o computador/informação é o fim ou o objeto material. Contra os dados ou sistemas informáticos (dano, interceptação ilegítima, acesso ilegítimo, inserção de dados falsos em sistema de informações). A informática é o bem jurídico tutelado, ou seja, a segurança dos sistemas, a titularidade das informações, a integridade dos dados, das máquinas e dos periféricos. De posse do conhecimento supramencionado em relação às potenciais consequên-

cias danosas da ação de ameaças cibernéticas em nosso convívio – aqui reafirmando o seu caráter real, ainda que virtual e independentemente de sua origem –, torna-se ainda necessário se refletir conceitualmente sobre Segurança e Defesa Cibernética, o que será feito a seguir.

2.3 SEGURANÇA E DEFESA CIBERNÉTICA

O termo Defesa pode ser entendido por meio da descrição encontrada no Glossário das Forças Armadas - MD35-G-01 (2007 apud BRASIL, 2010), como “o ato ou conjunto de atos realizados para obter, resguardar ou recompor a condição reconhecida como de segurança, ou ainda, reação contra qualquer ataque ou agressão real ou iminente”. Na tentativa de adaptar tal conceito ao cyberspace, Carvalho (2011a, p. 18) define Defesa Cibernética como: Conjunto de ações defensivas, exploratórias e ofensivas, no contexto de um planejamento militar, realizadas no espaço cibernético, com as finalidades de proteger os nossos sistemas de informação, obter dados para a produção de conhecimento de inteligência e causar prejuízos aos sistemas de informação do oponente. No contexto do preparo e emprego operacional, tais ações caracterizam a Guerra Cibernética. (grifo nosso).

Ou seja, pelo depreendido da definição supra, fica claro que Defesa Cibernética refere-se às ações – ofensivas, defensivas e exploratórias – empregadas por um Estado contra as ameaças advindas do Ciberespaço a fim de assegurar sua soberania. Assim, tais ações podem ser aglutinadas às outras atribuições típicas das Forças Armadas (CRUZ JUNIOR, 2013). Já no que tange à Segurança Cibernética, Brasil (2010) define-a como sendo: “a Arte de assegurar a existência e a continuidade da Sociedade da Informação14 de uma Nação, garantindo e protegendo, no espaço cibernético, seus ativos de informação e suas infraestruturas críticas”. 14

“Sociedade da Informação compreende, portanto, a informação desempenhando um papel cada vez mais relevante na vida econômica, política e social das pessoas, empresas e nações” (MANDARINO JUNIOR, 2009, p.15).

18 Cruz Junior (2013) argumenta que Segurança Cibernética “também abrange a interação com órgãos públicos e privados envolvidos no funcionamento das infraestruturas críticas nacionais, especialmente os órgãos da administração pública federal”, e vai além quando salienta que: O conceito de segurança faz referência a infraestruturas críticas, as quais são definidas como instalações, serviços, bens e sistemas que, caso sejam interrompidos ou destruídos, provocam sério impacto econômico, político e social à segurança do Estado e da sociedade.

E não somente, mas no que tange especificamente o caso brasileiro e a missão complementar existente entre segurança e defesa, ainda que ocorram algumas superposições de atribuições e funções entre as instituições civis e militares, nota-se que: segurança e defesa cibernética buscam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade dos ativos de informações. Estes ativos são entendidos como o valor tangível e intangível que reflete tanto a importância do ativo de informação para o alcance dos objetivos estratégicos de um órgão ou entidade, quanto o quão cada ativo de informação é imprescindível aos interesses da sociedade e do Estado (CRUZ JUNIOR, 2013, p. 11).

Assim, na sequência, serão feitas algumas considerações sobre as técnicas, métodos e recursos inerentes à Atividade de Inteligência, uma vez que estes surgem como natural alternativa assessória para a devida fomentação, configuração e consolidação de robustas e resilientes soluções de segurança e defesa no Ciberespaço.

2.4 ATIVIDADE DE INTELIGÊNCIA

Para o correto entendimento do quem vem a ser a Atividade de Inteligência é preciso antes discorrer sobre os principais aspectos envolvidos em sua evolução histórica, seu Ciclo de Produção de Conhecimento (CPC), bem como também a respeito de suas específicas particularidades, métodos e técnicas empregadas para sua consecução.

2.4.1 Evolução histórica e definições importantes.

Medeiros (2011, p.03) conceitua Atividade de Inteligência como sendo “a atividade especializada, permanentemente exercida, com o objetivo de produzir conhecimentos de interesse da instituição/organização e a sua salvaguarda contra ações adversas”. Assim, após a sua devida definição, cabe lembrar que os primeiros relatos acerca da existência e atuação da Atividade de Inteligência remontam aos primórdios da civilização humana, ainda em tempos bíblicos. Como prova disto, no livro Números, em seu capítulo 13 do Antigo Testamento, é possível encontrar seguinte passagem acerca do uso oportuno dos préstimos da “Atividade”:

19 17 Enviou-os, pois, Moisés a espiar a terra de Canaã; e disse-lhes: Subi por aqui para o lado do sul, e subi à montanha: 18 E vede que terra é, e o povo que nela habita; se é forte ou fraco; se pouco ou muito. 19 E como é a terra em que habita; se boa ou má; e quais são as cidades em que eles habitam; se em arraiais, ou em fortalezas. 20 Também como é a terra, se fértil ou estéril; se nela há árvores, ou não; e esforçaivos, e tomai do fruto da terra.

Ainda na Antiguidade, mais precisamente no território que hoje compreende a República Popular da China, datam vestígios de mais de 2.500 anos da elaboração do primeiro manual/tratado de guerra, intitulado “A Arte da Guerra”, voltado especificamente para fornecer conhecimentos e recomendações doutrinárias sobre ações e estratégias a serem seguidas por generais e por seus subordinados diretos, seja na preparação ou no desenrolar da guerra. Uma das principais recomendações presente no referido tratado militar, atribuída ao General Sun Tzu, consiste no seguinte aforismo: Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece, mas não conhece o inimigo, para cada vitória obtida sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo perderá todas as batalhas.

Krieger (2011, p. 19) afirma que durante a passagem da Idade Média para a Idade Moderna, principalmente após o surgimento e fortalecimento na Europa dos ideais Iluministas15, ocorreram significativas transformações em paradigmas tidos até então como imutáveis. Célebres pensadores – como René Descartes, Immanuel Kant, Jacques Rousseau, François Voltaire, e outros – contribuíram de maneira determinante para que essa revolução intelectual com ênfase na concepção da realidade por meio da razão, do homem e da ciência, conseguisse propiciar o ambiente ideal para que diagnósticos cognitivos sobre o mundo fossem estruturados e difundidos com ênfase na observação e em métodos científicos – métodos estes naturais para Atividade de Inteligência – e não mais por explicações de mundo através de elucubrações metafísicas e/ou baseados em dogmas religiosos. (KRIEGER, 2011). Medeiros (2011) e Krieger (2011) concordam conceitualmente quando afirmam em uníssono que a Primeira, a Segunda Grande Guerra, o extenso período de tensão bipolar denominado Guerra Fria16, bem como o “salto” tecnológico advindo de tais momentos beligerantes, explicam em grande parte o surgimento dos modernos métodos de obtenção/coleta, processamento, armazenamento e difusão de informações, vindo isso a corroborar diretamente para o fortalecimento da Atividade de Inteligência como atividade perene de Estado. 15 O Iluminismo caracterizou -se como um movimento intelectual que correspondia aos interesses daqueles que desejavam mais liberdade política e econômica. Os pensadores iluministas defendiam, além da não intervenção do Estado na economia, a igualdade jurídica entre os homens, a liberdade religiosa e de expressão e outros direitos (COTRIM, 2003, p.266 apud KRIEGER, 2011, p. 19). 16 A Guerra Fria é a designação atribuída ao período histórico de disputas estratégicas e conflitos indiretos entre os Estados Unidos e a União Soviética, compreendendo o período entre o final da Segunda Guerra Mundial (1945) e a extinção da União Soviética (1991) (MEDEIROS, 2011, p. 02).

20 Importante destacar, que a Atividade de Inteligência, pela natureza de seu escopo, também pode ser dividida em distintas categorias, sejam elas: Inteligência de Estado, Business Intelligence, Inteligência Estratégica, Inteligência Militar e de Defesa, Inteligência de Segurança Pública, Inteligência Competitiva, Inteligência policial, Inteligência fiscal, dentre outras; visto que, conforme salientado por Medeiros (2011), “tudo é uma adaptação da atividade de Inteligência ‘clássica [de Estado]’ à atividade de Inteligência específica”. José Manuel Ugarte (2002 apud GONÇALVES, 2011, p. 07), quanto à importância da atuação da Inteligência em todas as esferas da sociedade, assinala que: la información es conocimiento, la información es organzación, [...] la informarción es actividad [e que inteligência] es el conocimiento que nuestros hombres, civiles y militares, que ocupan cargos elevados, deben poseer para salvaguardar el bienestar nacional. No Brasil, a gestação e nascimento da Atividade de Inteligência inicialmente pensada para o assessoramento ao governo e coleta de informações para a “defesa da pátria”, conforme exposto por Figueiredo (2005) e Krieger (2011), ocorre no final da década de 1920 durante o governo de Washington Luís, após a criação do Conselho de Defesa Nacional, mediante o Decreto nº 17.999, de 29 de novembro de 1927, sendo este órgão subordinado diretamente ao Presidente da República e constituído por todos os Ministros de Estado e os Chefes dos Estados-Maiores da Marinha e do Exército – o Ministério da Aeronáutica apenas seria criado em 1941 –, porém com uma perspectiva deformada de busca e controle dos opositores ao sistema e ao regime político-jurídico vigente. Krieger (2011, p.22) continua na referida linha evolutiva, ao observar que: Oficialmente, em nosso país, o primeiro serviço de inteligência foi criado no ano de 1956, no governo do Presidente Juscelino Kubitschek. O órgão criado foi designado como SFICI - Serviço Federal de Informação e Contra -Informação, tendo permanecido em funcionamento até o golpe de 1964. O SFICI foi substituído durante o regime militar pelo SNI - Serviço Nacional de Informações, o qual passou a atuar principalmente no levantamento de dados e informações sobre os movimentos sociais ligados à esquerda no país, visando à repressão.

Durante a década de 1990, no intuito de dissociar a Atividade de Inteligência de Estado à imagem negativa atribuída à “Comunidade de informações17” existente no período de governo militar, ocorreram sucessivas mudanças estruturais para o estabelecimento de uma nova configuração sistêmica capaz de impelir a devida regulação e controle democrático a tal atividade, como a criação e extinção do Departamento de Inteligência (1990-1992); da Subsecretaria de Inteligência (1992-1999); até que se chegasse à configuração atualmente adotada, com a criação do SISBIN, tendo como órgão central coordenador a ABIN (BRASIL, 1999). 17

“é o conjunto de órgãos de informações (civis e militares, federais e estaduais) reunidos durante a ditadura militar com o objetivo para atuar em sinergia – porém de forma independente – contra alvos comuns. A ‘Comunidade’ começou a funcionar, em boa parte, para que alguns dos seus órgãos fizessem aquilo que o SNI não fazia: a repressão direta aos adversários do regime (FIGUEIREDO, 2003, p. 20).

21 Na sequência, na Figura 1, é possível observar o esquema contendo a linha evolutiva dos Serviços de Informações/Inteligência brasileiros. Figura 1 – Evolução dos Serviços de Informações/Inteligência brasileiros.

Fonte: ABIN (2014).

Mais recentemente, já nos termos da Lei n° 9.883, de 07 de dezembro de 1999, que instituiu o Sistema Brasileiro de Inteligência e criou a Agência Brasileira de Inteligência – ABIN, depreendem-se como fundamentos basilares da Atividade de Inteligência brasileira, instrumentalizados pelo SISBIN: a preservação da soberania nacional, a defesa do Estado Democrático de Direito e a dignidade da pessoa humana, devendo ainda cumprir e preservar os direitos e garantias individuais e demais dispositivos da Constituição Federal, os tratados, convenções, acordos e ajustes internacionais em que a República Federativa do Brasil seja parte ou signatário, e a legislação ordinária.

Esta mesma norma, também instituiu a divisão da Atividade de Inteligência em dois ramos distintos, porém interdependentes, denominados Inteligência e Contrainteligência. Neste sentido, em Brasil (1999) define-se Inteligência, como: a atividade que objetiva a obtenção, análise e disseminação de conhecimentos dentro e fora do território nacional sobre fatos e situações de imediata ou potencial influência sobre o processo decisório e a ação governamental e sobre a salvaguarda e a segurança da sociedade e do Estado.

Ainda com base na legislação brasileira supra, é possível encontrar o termo Contrainteligência conceituado sucintamente como “a atividade que objetiva neutralizar a inteligência adversa”. Mas, neste estudo, adota-se a definição mais completa para o referido ramo da Atividade de Inteligência encontrada em Brasil (2002), qual seja: Entende-se como contra-inteligência a atividade que objetiva prevenir, detectar, obstruir e neutralizar a inteligência adversa e ações de qualquer natureza que constituam ameaça à salvaguarda de dados, informações e conhecimentos de interesse da segurança da sociedade e do Estado, bem como das áreas e dos meios que os retenham ou em que transitem.

22 Ainda é relevante discorrer que tais definições podem ser transportadas para a segurança interna, mais especificamente à Segurança Pública, isso fica aparente quando Krieger (2011) com base na DNISP formula a seguinte assertiva: A atividade de ISP organiza-se, portanto, num Sistema de Inteligência de Segurança Pública, que, de modo integrado, desenvolverá o exercício sistemático de ações especializadas, orientadas à produção e salvaguarda de conhecimentos, a fim de assessorar as autoridades governamentais, nos respectivos níveis e áreas de atribuição, na organização, planejamento, execução, controle e acompanhamento da sua Política de Segurança Pública.

E ainda que: A Produção de Conhecimento é a característica da ISP que a qualifica como uma atividade de inteligência, na medida em que busca e coleta dados e, por meio de metodologia específica, transforma-os em conhecimento preciso, com a finalidade de assessorar os usuários para que possam tomar decisões operacionais adequadas. Essa atividade pode ser útil também para investigações preliminares (KRIEGER, 2011, p. 44).

2.4.2 Ciclo de Produção de Conhecimento (CPC), fontes e meios de obtenção de dados

O CPC também é conhecido, de acordo com o descrito por Gonçalves (2011, p.74), como “o processo de inteligência” e refere-se ao processo no qual dados e informações são compilados, analisados e transformados em conhecimento de inteligência, e por fim, disponibilizados aos usuários e tomadores de decisão. O referido autor ainda salienta que não há consenso sobre quantas etapas deve-se ter o ciclo de inteligência ideal. Sobre este assunto, Cepik (2003, p.32) destaca que: As descrições convencionais do ciclo de inteligência chegam a destacar até 10 passos ou etapas principais que caracterizariam a atividade, a saber: 1. Requerimentos informacionais. 2. Planejamento. 3. Gerenciamento dos meios técnicos de coleta. 4. Coleta a partir de fontes singulares. 5. Processamento. 6. Análise das informações obtidas de fontes diversas. 7. Produção de relatórios, informes e estudos. 8. Disseminação dos produtos 9. Consumo pelos usuários. 10. Avaliação.

Krieger (2011, p.45) aponta uma alternativa para a redução do CPC, proposta também por CEPIK (2003), em apenas quatro etapas constantes de um “ciclo básico”: planejamento, reunião de dados, processamento e utilização. Porém, a doutrina brasileira de informações identifica o ciclo de inteligência em três etapas, conforme lecionado por Gonçalves (2011, p.75): 1 - Orientação: são definidas as necessidades de inteligência, ou seja, as demandas por parte do usuário ou cliente de inteligência – o tomador de decisão. 2 - Produção: na etapa de produção de conhecimento, tem-se o ciclo que se inicia com o planejamento, passa pela reunião – procedimento de coleta/busca e registro desses dados – e segue para o processamento – dividido em exame, análise, integração e interpretação.

23 3 - Difusão (ou utilização): O conhecimento produzindo então é difundido aos usuários ou clientes de inteligência a fim de auxiliar no específico processo decisório. Abaixo na Figura 2, observa-se o esquema CPC adotado pela doutrina brasileira de informações. Figura 2 - CPC adotado pela doutrina brasileira de informações.

Fonte: Teixeira (2013).

Já no tocante aos métodos de obtenção de dados que têm por base a natureza das fontes para a produção do conhecimento de Inteligência, conforme classificação proposta por Bruneau (2000 apud GONÇALVES, 2011), emergem como principais: 1- HUMINT: refere-se aos dados ou informações obtidas a partir de fontes humanas. 2- SIGINT: refere-se aos dados ou informações obtidas a partir da interceptação e decodificação de comunicações e sinais eletromagnéticos. Pode ser subdividida em dois ramos, COMINT18e ELINT19. Krieger (2011, p. 84) ainda salienta que “atualmente, a SIGINT constitui a maior fonte de informação dos serviços de inteligência, ao contrário do passado, quando a HUMINT dominava”. 3- IMINT: preocupa-se com as informações obtidas a partir da produção e da interpretação das imagens fotográficas e multiespectrais; muitas das vezes são 18

Obtêm dados ou informações por meio de interceptação das comunicações humanas, ou seja, preocupa-se com o conteúdo das emissões. 19

Obtêm dados ou informações por meio de interceptação das comunicações eletrônicas não-humanas, preocupam-se com os metadados identificáveis nas emissões. Metadados aqui pode ser entendido, como “os dados sobre dados”, ou conforme cunhado por Dempsey e Heery (1997, p. 5), como “dados associados com objetos que desoneram os usuários potenciais de ter conhecimento completo antecipado da existência e características desses objetos [ou seja, o seu conteúdo]”.

24 capturadas por meio de aeronaves de reconhecimento – inclusive por ARP20 – e satélites espaciais. 4- MASINT: refere-se às informações obtidas a partir da mensuração de outros tipos de emanações (sísmicas, nucleares, sonoras, térmicas etc.) e da identificação de “assinaturas”, ou seja, sinais característicos e individualizados de veículos, plataformas e sistema de armas, etc. 5- OSINT: refere-se às informações obtidas a partir de fontes públicas, impressas ou eletrônicas, por exemplo, em jornais, revistas, emissões de TV, meios acadêmicos e mais recentemente por meio também da Internet21. Cabe salientar que as Ações e Operações de Inteligência destinadas à obtenção de dados/informações deverão sempre ser pautadas pela estrita observação das normas vigentes. FARAH (2012, p.21) pontua que: Operações de Inteligência é a realização de um grupo de ações de Inteligência concertadas; direcionadas para obtenção de dados e informações negadas ou não; planejadas, executadas e controladas por pessoal especializado; de forma institucional e realizadas em conformidade com a legislação; com um fim específico de atender à produção de conhecimento de interesse da sociedade e do Estado brasileiro.

Gonçalves (2010, p.52) ainda leciona que: “a função fiscalizadora [parlamentar e não-parlamentar] também é essencial para a economia, eficiência e eficácia da própria atividade de inteligência”.

2.5 CIBERINTELIGÊNCIA Ciberinteligência ou Inteligência Cibernética pode ser inicialmente entendida por meio da definição cunhada por Wendt (2011, p. 23), como: um processo que leva em conta o ciberespaço, objetivando a obtenção, a análise e a capacidade de produção de conhecimentos baseados nas ameaças virtuais e com caráter prospectivo, suficientes para permitir formulações, decisões e ações de defesa e resposta imediatas visando à segurança virtual de uma empresa, organização e/ou Estado.

Não obstante, na visão de Oliveira (2012, p. 29) – postulada com base no entendimento depreendido da atual configuração institucional brasileira, como também das diretrizes existentes para o setor cibernético nacional – Ciberinteligência se consubstancia no “subconjunto da Inteligência Militar que terá como finalidade a produção de conhecimentos específicos para as Operações Cibernéticas”. 20

Termo adotado no âmbito da Força Aérea Brasileira para Aeronaves Remotamente Pilotadas, mas também pode assumir outras designações como Drones e UAV (do inglês, Unmmaned Air Vehicles). 21

Nogueira (2012, p. 29) esboça, de maneira pioneira, a possibilidade se considerar a via cibernética como distinta fonte e meio de obtenção de dados para a atividade de inteligência, podendo assim ser classificada como CYBERINT.

25 Nogueira (2012, p. 35) ainda alerta que “sem a Inteligência Cibernética não haverá como atuar com precisão e oportunidade. No domínio virtual, os intervalos de tempo serão reduzidos ao mínimo. A antecipação e o direcionamento preciso da Inteligência Cibernética serão fatores de desequilíbrio”. Contudo, ao se tentar pesquisar sobre os aspectos afetos a Ciberinteligência, constata-se que por ser uma disciplina ainda incipiente, o acervo de referências e trabalhos científicos sobre tal tema se mostra bastante reduzido, ainda que sejam dignos de destaque os esforços empregados pelos “pioneiros” para se expandir o conhecimento nesta área do conhecimento quase que intocada cientificamente. Nesse movimento, Nogueira (2012) ressalta a necessidade de intensificação dos esforços para se consolidar uma doutrina firme e coesa entre Inteligência e Segurança/Defesa Cibernética, visto que: Saber, conhecer e avaliar os movimentos do oponente cibernético, antes de suas ações, será imprescindível. Haverá sempre intervalo muito pequeno para agir e menos tempo ainda para decidir. Por isso, a atuação da Inteligência surge como fator de grande importância para promover conhecimentos que conduzam a decisões acertadas e a resultados eficazes. [...] A partir desta percepção, justifica-se estudar como levantar, obter e tratar informações sobre ações dos adversários no ambiente cibernético. A pesquisa das formas de emprego da Inteligência no domínio virtual levará a aperfeiçoamentos que adéqüem suas operações para obtenção de informações de valor e relevância para ações cibernéticas. Esses conhecimentos poderão promover desequilíbrio se forem apropriadamente manipulados (NOGUEIRA, 2012, p. 24, grifo nosso).

Oliveira (2011, p.114) também compactua com tal percepção ao afirmar que: A atividade de inteligência exerce papel fundamental nos ambientes de Segurança, Defesa e Guerra Cibernética. Ela é essencial na busca de informações, empregando todas as fontes disponíveis, para identificar e prevenir ameaças cibernéticas e proporcionar respostas adequadas, com oportunidade. Além disso, os profissionais que atuam no Setor Cibernético devem desenvolver atitude arraigada de contrainteligência, a fim de proteger o conhecimento e as informações inerentes às suas atividades.

Wendt (2011, p.16), sobre esta perene necessidade de sinergia de esforços, acrescenta que “vários países, em cujo território há preocupação com atos terroristas, já estão atentos à Segurança Cibernética (Cybersecurity) e, por consequência, à Inteligência Cibernética (Cyber Intelligence)”. No Brasil não poderia ser diferente. Percebe-se, principalmente nos últimos anos, a crescente fomentação de reflexões e soluções sobre tal temática, não somente devido à realização de importantes eventos no país como a Conferência Mundial Sobre o Meio Ambiente “Rio+20” (2012), Copa das Confederações (2013), Copa do Mundo (2014) e as Olimpíadas e Paraolimpíadas (2016), mas também pela intensificação da perene responsabilidade de garantir a segurança e pleno funcionamento da Infraestruturas Críticas Nacionais22 (ICN), uma vez 22

Franco (2012, p. 7) ao citar Mandarino Jr. (2009), afirma que: “ICN é definida pelo Gabinete de Segurança Institucional da Presidência da República (GSI-PR) como sendo o conjunto de instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade.

26 que a automação e o estabelecimento do gerenciamento operacional remoto de tais ICN por meio de tecnologias cibernéticas já se tornaram uma realidade patente em nosso cotidiano (BRASIL, 2010 apud FRANCO, 2012). Nesta direção, no que concerne em específico ao Setor Cibernético, o teor da Estratégia Nacional de Defesa (END) é claro ao salientar a importância do referido setor no contexto estratégico brasileiro, quando se afirma que: No setor cibernético, as capacitações se destinarão ao mais amplo espectro de usos industriais, educativos e militares. Incluirão, como parte prioritária, as tecnologias de comunicação entre todos os contingentes das Forças Armadas, de modo a assegurar sua capacidade para atuar em rede. As prioridades são as seguintes: (a) Fortalecer o Centro de Defesa Cibernética com capacidade de evoluir para o Comando de Defesa Cibernética das Forças Armadas; (b) Aprimorar a Segurança da Informação e Comunicações (SIC), particularmente, no tocante à certificação digital no contexto da Infraestrutura de Chaves-Públicas da Defesa (ICP-Defesa), integrando as ICP das três Forças; (c) Fomentar a pesquisa científica voltada para o Setor Cibernético, envolvendo a comunidade acadêmica nacional e internacional. Nesse contexto, os Ministérios da Defesa, da Fazenda, da Ciência, Tecnologia e Inovação, da Educação, do Planejamento, Orçamento e Gestão, a Secretaria de Assuntos Estratégicos da Presidência da República e o Gabinete de Segurança Institucional da Presidência da República deverão elaborar estudo com vistas à criação da Escola Nacional de Defesa Cibernética; (d) Desenvolver sistemas computacionais de defesa baseados em computação de alto desempenho para emprego no setor cibernético e com possibilidade de uso dual; (e) Desenvolver tecnologias que permitam o planejamento e a execução da Defesa Cibernética no âmbito do Ministério da Defesa e que contribuam com a segurança cibernética nacional, tais como sistema modular de defesa cibernética e sistema de segurança em ambientes computacionais; (f) Desenvolver a capacitação, o preparo e o emprego dos poderes cibernéticos operacional e estratégico, em prol das operações conjuntas e da proteção das infraestruturas estratégicas; (g) Incrementar medidas de apoio tecnológico por meio de laboratórios específicos voltados para as ações cibernéticas; e (h) Estruturar a produção de conhecimento oriundo da fonte cibernética (BRASIL 2008, grifo nosso).

Assim, dentre outras prioridades supramencionadas, depreende-se com destaque e em específico, que: “estruturar a produção de conhecimento oriundo da fonte cibernética”, viabilizando instrumentos para o pleno desempenho das ações e operações atinentes à Inteligência Cibernética tornou-se mais do que uma recomendação, mais sim, uma prioridade estratégica de Estado. Com base no conceito presente também no Manual MD30-M01 que versa sobre a Doutrina de Operações Conjuntas, elaborado pelo Estado-Maior Conjunto das Forças Armadas brasileiras, as ações cibernéticas devem ser entendidas como àquelas que: “englobam a

27 Exploração Cibernética23, para fins de produção de conhecimento de Inteligência, o Ataque Cibernético e a Proteção Cibernética”. Em contrapartida, as Operações de Ciberinteligência podem ser entendidas como a sequência de ações, executadas de maneira concertada e com detalhado planejamento das ações com o controle estrito do que está sendo realizado. Carr (2009, p. 87) complementa afirmando que: “An effective cyber intelligence operation must include the use of espionage and covert surveillance inside the hacker criminal underground as well as nationalistic youth organizations”. Seguindo a recomendação supra de Carr (2009), o General José Carlos dos Santos, comandante do CDCIBER, em entrevista ao jornal O Globo, confirma a realização de monitoramento digital por órgãos governamentais durante a série de manifestações populares ocorridas durante a realização da Copa das Confederações em julho de 2013. Quando ele destaca que: Essa foi a nossa presença nessa imensa praça cibernética. Com filtros, consegue-se focalizar o que interessa. É uma técnica de filtragem que a própria espionagem deve utilizar racionalmente. Os americanos monitoram 2,3 bilhões de e-mails e telefonemas. Se não houver essa técnica, não é possível gerar inteligência sobre isso. O próprio embaixador americano (no Brasil), Thomas Shannon, indica que essa é a técnica utilizada pela NSA. É um processo semelhante. A grande diferença é que nós nos baseamos só em informações de domínio público. [...] Tudo que estava relacionado à segurança pública era mapeado. Era difícil precisar de onde estava partindo a coordenação. Quando era possível, informávamos aos órgãos de segurança (SASSINE, 2013, grifo nosso).

Porquanto, torna-se também oportuno acrescentar que grande parte do monitoramento e mapeamento anteriormente descritos foram realizados por meio de ferramentas de mineração de dados presentes em posts, tuítes, redes sociais, blogs, e também em termos de busca através de ferramentas especificas de filtragem de metadados calibradas de acordo com o grau de abrangência pretendido e palavras-chave de interesse. Já INFO (2011) afirma que algumas destas técnicas já são amplamente utilizadas por grande empresas e anunciantes – principalmente, por meio de cookies24 – e que em um futuro próximo evoluirão e constituirão em métricas especializadas para a previsão e controle de tendências em várias esferas do conhecimento humano. Ao encontro disto, e em sintonia principalmente com as conclusões advindas após o conflito entre Rússia e Geórgia, em 2008, considerada por muitos especialistas como a primeira campanha Cibernética da história, Shakarian (2011, p. 73) ainda acrescenta que: 23

Tal qual exposto no Manual MD30-M01 sobre a Doutrina de Operações Conjuntas, elaborado pelo EstadoMaior Conjunto das Forças Armadas brasileiras, em seu item 4.9.3.2, Exploração cibernética “consiste em ações de busca, nos Sistemas de Tecnologia da Informação de interesse, a fim de obter dados, de forma não autorizada, para a produção de conhecimento e/ou identificar as vulnerabilidades desses sistemas.” 24

Um cookie é um pequeno arquivo, e não um programa executável, que os sites podem enviar aos navegadores, anexado a qualquer conexão, conforme exposto. Nas visitas posteriores o navegador reenvia os dados para o servidor dono do cookie para distinguir usuários e memorizar preferências. É importante destacar que a transmissão de cookies, por padrão é invisível ao usuário sendo transmitidos até que percam sua validade (TANENBAUM, 2003, apud CARDOSO, 2011, p. 41).

28 “Blogueiros” e posts específicos nos sítios de hackers podem fornecer indícios de uma ofensiva cibernética iminente. Os analistas de Inteligência de fonte aberta poderiam monitorá-los. Também deveríamos instruir pessoal de Inteligência de sinais e de Inteligência humana para identificar indícios de ataques cibernéticos que sejam específicos às suas áreas.

3 ANÁLISE DE CENÁRIOS

Nesta seção, inicialmente, serão apresentados e analisados os principais fatores que vêm tornando o Ciberespaço o local principal da Atividade de Inteligência nesse início de século XXI. E na sequência, será traçado um panorama atual sobre a atuação brasileira no referido lócus cibernético – com ênfase na análise de sua configuração institucional e operacional voltada à Defesa e a Segurança em tal meio dialético.

3.1 O CIBERSPAÇO COMO LOCUS PRINCIPALIS DA ATIVIDADE DE INTELIGÊNCIA

Julian Assange, em relação ao futuro da Internet e à peremptória redução da privacidade e liberdade de expressão no Ciberespaço, em seu livro Cypherpunks: liberdade e o futuro da internet, profere a seguinte observação: O mundo não está deslizando, mas avançando a passos largos na direção de uma nova distopia transnacional. Esse fato não tem sido reconhecido de maneira adequada fora dos círculos de segurança nacional. Antes, tem sido encoberto pelo sigilo, pela complexidade e pela escala. A internet, nossa maior ferramenta de emancipação, está sendo transformado no mais perigoso facilitador do totalitarismo que já vimos. [...] Se nada for feito, em poucos anos a civilização global se transformará em uma distopia da vigilância pós-moderna, da qual só os mais habilidosos conseguirão escapar. Na verdade, pode ser que isso já esteja acontecendo (ASSANGE, 2013, p. 25).

Tal alerta feito pelo co-fundador da organização Wikileaks, esta definida por ele próprio como “uma organização que se dedica a publicar documentos secretos revelando a má conduta de governos, empresas e instituições”, nos dá uma idéia de sua visão do futuro, bem como do mote principal das ações e operações realizadas pela referida organização intensamente permeada pelos ideais cypherpunk25e hacktivista (ASSANGE, 2013). Não obstante, o jornalista Steve Kroft faz a seguinte observação sobre o Wikileaks: Desconsiderando todo o resto, o WikiLeaks é a última demonstração de que um pequeno grupo de pessoas com uma poderosa idéia pode se defender com tecnologia e abalar grandes instituições. No caso do WikiLeaks foi a idéia de agregar segredos dos Estados e das corporações ao implementar uma caixa de entregas eletrônica na Internet por onde informantes ao redor do mundo pudessem enviar anonimamente informação sensível e suprimida. Os segredos são armazenados em servidores ao redor do mundo, além do alcance de governos ou execuções legais, e então divulgados por toda a Internet (ASSANGE, 2011).

25

Cypherpunks defendem a utilização da criptografia e de métodos similares como meio para provocar mudanças sociais e políticas. Possuem o seguinte ideal de ação: “privacidade para os fracos, transparência para os poderosos.” (ASSANGE, 2013).

29 Assange (2011) ainda complementa da seguinte forma: Os EUA não têm tecnologia suficiente para interromper as atividades do site. [...] Da forma como a nossa tecnologia foi construída, da forma que a própria Internet foi construída. É bastante difícil evitar que as coisas reapareçam. Portanto, nós temos enfrentado ataques em domínios particulares. Pequenas partes de nossa infraestrutura foram desativadas. Mas agora nós temos algo em torno de 2.000 web sites de toda a forma independentes, onde publicamos informações ao redor do mundo.

Criado no ano de 2006, e formado em sua maioria por voluntários e especialistas em programação espalhados pelo mundo, o Wikileaks passou a gozar de certa notoriedade a partir de abril de 2010 após o vazamento de um vídeo datado do ano de 2007 – intitulado Collateral Murder26 – no qual a tripulação de um helicóptero Apache dos EUA durante uma incursão em Bagdá alvejara civis confudidos, supostamente, com insurgentes iraquianos. A identidade do autor do repasse do vídeo para o Wikileaks foi atribuída pelo governo nortemericano ao ex-analista de inteligência e soldado do Exército Bradley Manning. Porém, seis meses depois ocorreu o que para muitos foi entendido como o maior vazamento de material de acesso restrito até então na história, no que foi denominado “Project Cablegate27”. Tal projeto se refere à exposição deliberada de milhares de comunicados diplomáticos sigilosos provenientes de embaixadas dos EUA espalhadas pelo mundo, expondo o modus faciendi encoberto da política externa norte-americana, como por exemplo, o pedido da então Secretária de Estado Hillary Clinton a 33 embaixadas e consulados para que “diplomatas espionassem representantes de diversos países na ONU”. Em razão destes documentos terem sido publicados de forma coordenada e simultânea por importantes veículos midiáticos de alcance global como o Der Spiegel (Alemanha), The New York Times (EUA), El País (Espanha), Le Monde (França) e The Guardian (Reino Unido), com profundo impacto na opinião pública mundial, muitos especialistas atribuem as revoltas populares ocorridas no Oriente Médio e no Norte da África no final do ano de 2010 – na chamada Primavera Árabe – em grande parte às revelações trazida à luz em tais documentos exfiltrados (ASSANGE, 2013, p.11). Assim, claramente desconfortáveis com os efeitos negativos impelidos à imagem dos EUA, autoridades norte-americanas iniciaram uma série de ações coordenadas em prol da desarticulação do Wikileaks e punição dos envolvidos na referida sucessão de vazamentos, no âmbito jurídico e político internacional. A ação mais contundente realizada refere-se à pressão coercitiva capitaneada pelo Departamento de Estado às corporações transnacionais Paypal, Mastercard e Amazon para que cancelassem os serviços e as contas web ligadas ao Wikileaks e a Julian Assange, com a intenção de tentar asfixiar financeiramente, bem como indisponibilizar o acesso aos recursos da mencionada organização no Ciberespaço (ASSANGE, 2013). 26 27

Collateral Murder. Disponível em: . Acesso em: 09 Jan. 2014. Project Cablegate. Disponível em: < http://wikileaks.org/cablegate.html>. Acesso em 09 Jan. 2014.

30 Nesse ínterim, principalmente após a decretação da prisão domiciliar de Julian Assange por autoridades londrinas em agosto de 2010, destacaram-se pelo ineditismo as ações pró-Wikileaks impetradas coordenadamente pelo coletivo hacktivista Anonymous28, visto que elas consistiram em vários ataques cibernéticos em represália - em sua maioria na modalidade DDoS – a sites web das empresas e de órgãos governamentais que tomaram ou compactuaram com decisões hostis contra o Wikileaks e seus responsáveis (INFO, 2011). Porquanto, a mais recente publicação de informações sigilosas em grade escala refere-se à compilação de arquivos sigilosos denominada Spy Files 3. Fonseca et al. (2013), em relação ao teor da compilação de documentos Spy Files 3, esclarecem que: São 249 documentos de 92 empresas de vigilância, entre brochuras, contratos e metadados referentes a alguns dos principais empresários do ramo. “A publicação Spy Files 3 faz parte do nosso compromisso contínuo de jogar luz nessa indústria obscura de vigilância. E a base de dados do Spy Files continuará a crescer, tornado-se um recurso para jornalistas e cidadãos, detalhando as condições orwellianas sob as quais levamos nossas vidas supostamente privadas”, diz Julian Assange.

E ainda que: Os metadados publicados pelo Wikileaks mostram a intensa movimentação dos executivos da indústria por diversos países, em especial na Europa e no Oriente Médio – principais mercados das gigantes da vigilância global – mas também em países da África e até no Brasil. Os documentos mostram, por exemplo, que empresas como Glimmerglass e Net Optics oferecem tecnologia para “grampear” o tráfego de dados em cabos ultramarinos de fibra ótica. Outras empresas fornecem equipamentos sofisticados de gravação e reconhecimento de voz, além de softwares que analisam diversas gravações ao mesmo tempo; outras permitem analisar diversos materiais (vídeos, fotos, gravações) simultaneamente. Há ainda empresas que se especializam em descobrir falhas em sistemas operacionais e vendem essas “dicas” a governos – eles podem, com essa informação, hackear um computador “alvo”. Outras empresas vendem tecnologias que permitem monitorar a atividade online de ativistas e manifestantes (FONSECA et al., 2013).

De todo o exposto, talvez o fato que emerge de mais comprometedor na vastidão de dados vazados pelo Wikileaks é a comprovação das viagens realizadas por alto-executivos das citadas empresas de vigilância e monitoramento cibernético, não só para nações democráticas, mas principalmente à países com amplo histórico de violações a direitos humanos, dentre eles Guiné Equatorial, Turcomenistão, Malásia, Egito e Qatar e Líbia – provavelmente com a intenção de fornecer os seus serviços e recursos de inteligência cibernética aos citados governos autoritários em franco prejuízo a privacidade e as liberdades civis da população dos referidos países. Fonseca et al. (2013), sobre a intensificação das ações de tais corporações de vigilância, mais especificamente em solo brasileiro, argumentam que: 28

“Originado em 2003, o Anonymous representa o conceito de muitos usuários de comunidades online existindo simultaneamente como um cérebro global. Em outras palavras, um grupo descentralizado que atua de forma anônima. Pelas suas capacidades de descobertas e invasões, os hackivistas são apontados como sucessores dos WikiLeaks. O grupo, em grande parte, é composto por usuários de vários imageboards e fóruns da Internet. Sem um líder definido, e partido político claro, os hackivistas se comunicam por esses meios para coordenar as pró-

31 [...] muitas já têm forte presença no Brasil, seja vendendo tecnologia e serviços para empresas como Vale e Petrobras, seja abocanhando contratos de vigilância para a Copa do Mundo e a Olimpíada. Por conta dos megaeventos – e das manifestações de junho [2013] – o Brasil tem se tornado um mercado prioritário para essas empresas de vigilância.

Neste sentido, o exposto vai ao encontro da perspectiva levantada por outro whistleblower29, o ex-analista de Inteligência Edward Snowden, que ganhou grande notoriedade a partir de junho de 2013 ao exfiltrar informações sigilosas de segurança do EUA que revelavam em detalhe aspectos sobre programas de vigilância massivos utilizados pelo seu país para vigiar a sua própria população e a de outros países – inclusive utilizando dados e metadados alocados em servidores de empresas privadas como Microsoft, Yahoo, Apple, Google e Facebook (G1, 2013). Edward Snowden revela que: A NSA e a comunidade de inteligência norte-americana em geral está focada em obter inteligência em todos os lugares, por todos os meios possíveis. [...] Para fazer isso, a NSA toma por alvo, especificamente, as comunicações de todos. Recolhe tudo, como procedimento padrão. Recolhe as informações em seu sistema, depois filtra as informações e passa a analisar e avaliar e armazena por períodos de tempo, simplesmente porque é esse o meio mais fácil, mais eficiente de atingir aqueles objetivos. [...] Qualquer analista, a qualquer hora, pode apontar qualquer pessoa como alvo, qualquer seletor, em qualquer lugar. Se essas comunicações serão captadas, depende do alcance do sensor da rede e com quais autoridades um analista específico está trabalhando (SNOWDEN, 2013, tradução livre).

Entre os principais métodos e técnicas de SIGINT utilizados pela NSA e seus aliados congêneres no estrangeiro (Five eyes30), trazidos a tona pelos documentos exfiltrados por Snowden, destacam-se os seguintes programas: Prism, XKeyscore, UPStream e o de geolocalização de telefones celulares. Prism é um programa de inteligência de sinais ultra-secreto mantido pela NSA desde 2007. O programa tem como objetivo principal facilitar a vigilância em profundidade das comunicações online por meio do acesso irrestrito a quaisquer mídias eletrônicas, como emails, conversas por áudio, vídeo, fotos, informações armazenadas, transferências de arquivos e dados privados de redes sociais de qualquer pessoa, disponibilizados sem maiores dificuldades pelas principais empresas de TIC mundiais. Importante salientar que atualmente a lei norte-americana não coloca grandes empecilhos ao acesso a dados privados de pessoas estrangeiras e de norte-americanos que se comuniquem com pessoas de fora dos EUA. (GREENWALD; MACASKILL, 2013). ximas ações.”. Disponivel em:< http://www.techtudo.com.br/tudo-sobre/anonymous.html. >. Acesso em: 10 jan. 2014. 29

30

Denunciante, informante (tradução livre).

Five Eyes é uma aliança estabelecida pelos órgãos de Inteligência de cinco países de língua inglesa com o propósito de compartilhar informação útil para a Atividade de Inteligência de tais países, especialmente àquelas advindas por meio de SIGINT. Esta aliança é formada por EUA, Canadá, Reino Unido, Austrália e Nova Zelândia (ASSANGE, 2013).

32 Madsen (2013) reforça tal constatação ao afirmar que “nos EUA, a Agência de Segurança Nacional conta com a cooperação das empresas Microsoft, AT&T, Yahoo, Google, Facebook, Twitter, Apple, Verizon e algumas outras, para levar avante a vigilância massiva do programa Prism, de coleta de metadados”. Figura 3 – Metodologia Prism.

Fonte: BBC BRASIL (2013).

Já o Programa XKeyscore atua em complemento ao Prism, porém, ele permite o monitoramento em tempo real de emails, redes sociais, sites, buscas e histórico de navegação web, por meio da indexação de qualquer atividade online dos usuários-alvo, bastando apenas que o analista efetue requisições específicas por nomes, números de telefone, endereços IP, palavras-chave, dentre outras prospecções por metadados de interesse. Aliado a isto, o referido programa possui ainda a capacidade de identificar e discernir ações “não-rotineiras” de usuários comuns, como por exemplo, a de um usuário brasileiro ao pesquisar por assuntos correlatos ao terrorismo em páginas web em língua árabe. (GREENWALD, 2013). Na sequência, apresenta-se na figura 4, esquema contendo as atividades básicas realizadas pelo XKeyscore e a capacidade do analista para consultar o seu banco de dados. Figura 4 – Apresentação sobre as atividades digitais realizadas pelo XKeyscore e a capacidade do analista para consulta.

Fonte: Greenwald (2013).

33

UPSTREAM é o codinome de uma operação de infiltração direta em cabos de fibra óptica – inclusive submarinos – que consiste na extração massiva de dados e informações sobre o uso da Internet e de telefones correntes em tais meios de tráfego da informação. Quanto a isso, Bamford (2013) expõe que: Como parte desse programa de infiltração nos cabos, a NSA secretamente instalou um grande número de filtros computadorizados nas infraestruturas de telecomunicação por todo o país. De acordo com o relatório geral que foi vazado, a agência tem acordos cooperativos com as três maiores empresas de telefonia do país [AT&T, Verizon e Sprint].

Ainda no tocante à monitoração das infraestruturas de telecomunicações, G1 (2013) esclarece que os EUA também “monitoram diariamente a geolocalização de centenas de milhões de celulares no planeta” e que “o acesso a essa quantidade de dados significa que a NSA pode rastrear os movimentos de praticamente todos os celulares do mundo, mapeando as relações do dono do aparelho.” Bamford (2013) novamente acrescenta: Os filtros estão localizados em pontos de junção chave, conhecidos como “switchers”. Por exemplo, várias comunicações – de telefone e Internet – do e para o Noroeste dos Estados Unidos passa por um prédio de nove andares quase sem janelas na Folsom Street, número 611 em São Francisco. Este é o “switching center” regional da AT&T. Em 2003, a NSA construiu uma sala secreta no local e a preencheu com computadores e softwares de uma companhia chamada Narus. Estabelecida em Israel por israelenses, e agora pertencente à Boeing, a Narus especializou-se em programas de espionagem, equipamentos que examinam tanto metadados – nomes e endereços de pessoas que se comunicam pela Internet – quanto o conteúdo dos tráfegos digitais, como e-mails, sendo capaz de dar zooms sobre o passado na velocidade da luz. A agência também tem acesso aos metadados do telefone – os números chamados e os que fazem a chamada, além de outros detalhes – de todos os cidadãos. Chamadas de números de telefone que foram selecionados como alvos podem ser rastreadas diretamente para serem gravadas. De acordo com William Binney, o ex-alto funcionário da NSA, a agência estabeleceu entre dez e vinte destas salas secretas, próximas ao switchers das companhias de telefone em todo o país.

Em complemento, CanalTech (2014) ainda expõe que: arquivos revelam que a NSA está construindo um poderoso computador quântico que será capaz de decifrar qualquer código usado atualmente e burlar a segurança até de informações criptografadas. A máquina está avaliada em US$ 80 milhões e os testes sendo conduzidos no Laboratório de Física da Universidade de Maryland.

Contudo, as ações que causaram maior impacto direto nas relações entre nações se deram a partir da divulgação de documentos que denunciavam a espionagem estritamente dirigida a chefes de Estado e autoridades de alto-escalão governamentais pretensamente realizadas pelas agências componentes da aliança Five Eyes, inclusive contra nações consideradas pró-EUA, como Japão, França, Alemanha, México e o Brasil (G1, 2013). Um exemplo disto é o documento intitulado “Filtragem inteligente de dados: estudo de caso entre México e Brasil”, preparado para uma apresentação interna da NSA, que abordava os detalhes da monitoração realizada nas comunicações eletrônicas entre a Presiden-

34 te Dilma Rousseff e seus principais assessores e Ministros de Estado. Neste tocante, Bamford (2013) retorna ao assunto e pontua que: Foi por obra da infiltração clandestina em redes brasileiras, usando uma combinação de meios técnicos de inteligência de sinais (SIGINT) e de inteligência humana (HUMINT), que a Agência de Segurança Nacional dos EUA conseguiu ouvir e ler comunicações da presidenta Dilma Rousseff, de seus principais conselheiros e de ministros do Brasil, inclusive do ministro de Minas e Energia. As operações de grampeamento e escuta clandestina e interceptação de comunicações do ministro de Minas e Energia foram delegadas à canadense CSEC, que batizou de “Projeto OLYMPIA”, o projeto de invasão das comunicações do Ministério de Minas e Energia e da empresa estatal brasileira de Petróleo, PETROBRAS.

No entanto, mesmo após o conhecimento do teor dos documentos exfiltrados, os movimentos mundiais em prol da devida manutenção da privacidade e liberdade de expressão no Ciberespaço ainda se mostram bastante incipientes e morosos. (HYPPONEN, 2013). Conforme sustentado por CanalTech (2014), o Presidente norte-americano Barack Obama, impelido principalmente pelo desgaste político sofrido após o vazamento das práticas da NSA e suas congêneres, expôs publicamente a intenção de adotar a curto prazo algumas medidas sugeridas por líderes da comunidade de inteligência e membros do Conselho de Supervisão da Privacidade e das Liberdades Civis – um grupo independente que auxilia a Casa Branca em questões que envolvam privacidade – na tentativa de uma gradual reformulação do sistema de coleta de dados da NSA, no entanto, nada foi feito de concreto até então. Já em relação às ações tomadas pelos dignitários brasileiros sobre o referido tema, destacam-se a solicitação formal de explicações ao governo norte-americano em relação à veracidade do teor dos documentos vazados, bem como o desaprovo público de tais ações de espionagem perante a ONU, durante a 68ª Assembléia-Geral das Nações Unidas em Nova York, na qual a presidente Dilma Rousseff adotou a seguinte retórica em seu discurso oficial: Quero trazer à consideração das delegações uma questão à qual atribuo a maior relevância e gravidade. Recentes revelações sobre as atividades de uma rede global de espionagem eletrônica provocaram indignação e repúdio em amplos setores da opinião pública mundial.[...] Dados pessoais de cidadãos foram indiscriminadamente objeto de interceptação. Informações empresariais – muitas vezes com alto valor econômico e mesmo estratégico – estiveram na mira da espionagem. Também representações diplomáticas brasileiras, entre elas a Missão Permanente junto às Nações Unidas e a própria Presidência da República do Brasil tiveram suas comunicações interceptadas.

E não somente, mas também a entrega junto a ONU de uma proposta formal para a fomentação de controles mais rígidos e a adoção de eficazes instrumentos coercitivos que permitam a identificação e punição dos agentes envoltos em violações ao direito à privacidade no espaço cibernético, sendo tal proposta defendida em conjunto pela Chefe de Estado brasileira e a Chanceler alemã Angela Merkel – esta última, também apontada como vitima de escutas telefônicas clandestinas realizadas pretensamente pela NSA (G1, 2013).

35 3.2 O BRASIL E O CIBERESPAÇO

Principalmente a partir da primeira década deste século, observou-se o aumento paulatino da influência brasileira no cenário internacional, muito disso se explica pelos resultados crescentes de sua pungente economia, pela intensa internacionalização de empresas nacionais, e também devido a continua consolidação de sua vocação diplomática para a mediação de questões controversas no concerto entre nações. No entanto, esta franca e gradativa ascensão no âmbito internacional não é acompanhada com a mesma velocidade pela necessária envidação de esforços para a proteção de seus ativos passíveis de serem acessados pela via cibernética. Como bem observa Cruz Junior (2013, p. 9): “sistemas de informação e comunicação constituem a base do desenvolvimento econômico e social de um país”, merecendo assim uma condizente atenção e priorização, uma vez que “ataques [cibernéticos] de natureza exploratória, por busca de informações ou obtenção de lucro indevido, já são uma realidade não apenas no Brasil, mas também no restante do mundo”. Cruz Junior (2013, p. 35) ainda leciona que: O conhecimento apropriado por anos de pesquisa na extração do petróleo em águas profundas pela Petrobras, montagem de aeronaves pela Embraer, tecnologias agrícolas na fronteira do conhecimento desenvolvidas pela Embrapa, e tantas outras vantagens comparativas nacionais não podem estar abrigadas em um ambiente vulnerável. Além disso, dados governamentais sensíveis e informações sigilosas são diariamente manipulados por dispositivos eletrônicos ou computacionais e, por consequência, suscetíveis a invasões.

Esta constatação sobre a eventual suscetibilidade brasileira à invasões se acentua com o depreendido de Brasil (2014), em que se percebe, com base em detalhada análise e compilação estatística, o resultado de que as redes da Administração Pública Federal (APF) atualmente recebem mais de 2 mil ataques cibernéticos mensais. INFO (2011, p. 57) torna-se partícipe desta visão ao destacar o impacto da série de ataques cibernéticos ocorridos no ano de 2011 impetrados contra a sites web de órgãos da APF por diversos coletivos hacktivistas, sendo talvez o mais ousado deles, a ação que culminou na coleta de dados do email pessoal da Presidente Dilma Rousseff. Goldstein (2011, tradução livre), sobre a fragilidade das redes computacionais brasileiras, cita que: “recentemente o governo dos Estados Unidos revelou que em setembro de 2008, mais de 3 milhões de pessoas no Estado do Espírito Santo, Brasil, ficaram na escuridão, vítimas de uma chantagem de piratas cibernéticos”. Ainda sobre este assunto, Raza (2013) é incisivo quando afirma que: indivíduos, grupos e órgãos de inteligência, por exemplo, nos EUA, na Rússia e ou na China já podem deter, com algum grau de certeza, informações completas e detalhadas sobre nossos sistemas de decisão e sobre nossos sistemas de controle. Eles podem ter tido acesso a informações críticas sobre os sistemas da Bovespa, Embratel, Nuclebras, Telebras, Petrobras, bem como dentro de companhias de telecomuni-

36 cações privadas que integram o backbone (rede principal) de internet, por meio do qual o Brasil se conecta com o mundo. Também já estiveram em nosso sistema de inteligência estratégico, nas redes telemáticas da Defesa e até na presidência da República.

Também baseado no teor da coleção de arquivos ultra-secretos relativos à espionagem realizada por agências de inteligência tendo como alvo principal a Presidente Dilma Rousseff, seus Ministros e principais assessores, Raza (2013) argumenta oportunamente que Snowden nos mostrou que “para além de um problema diplomático pontual, temos um problema estrutural de segurança nacional e de defesa, que não conhecemos, para o qual não estamos preparados”. Conquanto, apesar do Brasil ainda não possuir uma Política formal que estabeleça claramente e a longo prazo as diretrizes concernentes para uma específica Estratégia Nacional Cibernética, a atual configuração institucional brasileira destinada a prover os meios para a proteção dos ativos informacionais nacionais no Ciberespaço está organizada de maneira dicéfala em Segurança e Defesa Cibernética, repousando tais atividades sob a égide de dois órgãos distintos e independentes entre si, quais sejam, respectivamente: GSI/PR e CDCIBER/EB (CRUZ JUNIOR, 2013). Sobre isto, Franco (2012, p.11) baseado no exposto pelo Livro Verde de Defesa Cibernética, aponta que: “a atuação da Segurança Cibernética poderá compreender aspectos e atitudes, tanto de prevenção, quanto de repressão” e que “de fato, a segurança cibernética remonta à proteção dos ativos de informações estratégicos, principalmente aqueles relacionados com o controle e funcionamento das ICN”. Ou seja, a Segurança Cibernética tem como função lídima a manutenção e preservação das ICN, tais como àquelas ligadas à energia, transporte, abastecimento de águas, finanças e, operadas ou viabilizadas por estruturas baseadas em TIC, públicas ou privadas. Figura 5 – Localização das principais Infraestruturas Críticas Nacionais.

Fonte: Revista Verde-Oliva (2013).

37 É importante citar que este dever de liderar e direcionar as ações para a construção da Estratégia de Segurança Cibernética na APF foi atribuído, por competência legal31, ao Gabinete de Segurança Institucional da Presidência da República – GSI/PR, conforme exposto por Mandarino Jr. (2008, p. 128). Franco (2012, p. 8) assevera a afirmação supra ao dizer que: O Gabinete de Segurança Institucional da Presidência da Republica (GSI/PR) e a Agência Brasileira de Inteligência (ABIN), como órgão central do Sistema Brasileiro de Inteligência (ABIN), tem como uma de suas missões, monitorar o funcionamento seguro das ICN e desenvolver uma mentalidade de segurança nessas corporações, abrangendo também a segurança cibernética.

Cruz Junior (2013, p. 25) ainda leciona, quando afirma que o GSI/PR é desconcentrado, estrategicamente, em cinco outros órgãos, quais sejam: 1) Comitê Gestor de Segurança da Informação (CGSI) – tem a atribuição de assessorar a secretaria-executiva do Conselho de Defesa Nacional na consecução das diretrizes da Política de Segurança da Informação, bem como na avaliação e análise de assuntos relativos aos objetivos estabelecidos no Decreto nº 3.505, de 13 de junho de 2000, que instituiu a Política de Segurança da Informação nos órgãos e entidades da APF. 2) Secretaria de Acompanhamento e Estudos Institucionais (SAEI) – entre suas competências, encontram-se: acompanhar temas com potencial de gerar crises para o Estado, para a sociedade e para o governo; articular órgãos e instituições para prevenir a ocorrência de crises; coordenar o acionamento do Gabinete de Crises em caso de grave e iminente ameaça à estabilidade institucional; e coordenar a realização de estudos sobre assuntos relacionados à segurança institucional; 3) Agência Brasileira de Inteligência (ABIN) – apesar do nome, não se classifica como agência no ordenamento jurídico brasileiro, mas, sim, como órgão central do Sistema Brasileiro de Inteligência (Sisbin). Tem por missão coordenar as ações do Sistema Brasileiro de Inteligência, produzir e salvaguardar conhecimentos sensíveis, atuando em duas frentes: inteligência e contrainteligência. Esta última, entendida como adoção de medidas que protejam os assuntos sigilosos relevantes para o Estado e a sociedade e que neutralizem ações de inteligência executadas em benefício de interesses estrangeiros. A Abin conta, ainda, com o Centro de Pesquisa e Desenvolvimento de Segurança das Comunicações (CEPESC), que busca promover a pesquisa científica e tecnológica aplicada a projetos de segurança das comunicações. 4) Departamento de Segurança da Informação e Comunicações (DSIC) – o DSIC tem como atribuições planejar, implantar e coordenar políticas de segurança da informação e comunicações na APF; regulamentar a segurança de informações e comunicações para toda a 31

Decreto 8.100, de 4 de setembro de 2013. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato20112014/2013/Decreto/D8100.htm#art8>. Acesso em: 15 jan. 2014

38 APF; capacitar os servidores públicos federais, bem como os terceirizados, sobre segurança da informação e comunicações (SIC); realizar acordos internacionais de troca de informações sigilosas; representar o país junto à Organização dos Estados Americanos (OEA) para assuntos de terrorismo cibernético; e manter o Centro de Tratamento e Resposta a Incidentes de Redes da APF (CTIR.Gov). 5) Rede Nacional de Segurança da Informação e Criptografia (RENASIC) – funciona coordenada pela Assessoria de Ciência e Tecnologia do GSI/PR e se constitui em uma rede virtual de troca de informações sobre o tema, na qual participam pesquisadores, profissionais de entidades públicas e privadas, do meio acadêmico, e outros interessados nestas atividades. Conforme o site da RENASIC, a rede tem gerado sinergia na discussão de problemas e soluções práticas de Tecnologia da Informação e Comunicações (TIC) e de SIC (CRUZ JUNIOR, 2013). Mandarino Jr. (2009) salienta o papel destacado e especializado do DSIC na estruturação de uma Estratégia de Segurança Cibernética, uma vez que a sua missão é a mais compatível e especializada para a configuração das necessárias “medidas de proteção, o desenvolvimento de capacidade de dissuasão e um amplo programa de capacitação, que se inicia nas ações de conscientização e tem seu auge no preparo especifico e aprofundado de todos que têm responsabilidade pela gestão da infraestrutura crítica de informações na APF”. Já no que concerne à Defesa Cibernética, esta considerada uma atividade inalienável para a devida manutenção da soberania nacional, o Estado Brasileiro publicou, no ano de 2008, a Estratégia Nacional de Defesa (END) que veio a estabelecer o Setor Cibernético como um dos três pilares de importância estratégica para a Defesa Nacional, delegando a liderança estratégica do referido setor, no campo industrial e militar, ao Exército Brasileiro (EB) (BRASIL, 2008). Em Brasil (2008) ainda se é possível encontrar a expressa recomendação para envidação de esforços, de maneira sinérgica, por todas as instâncias do Estado brasileiro em prol do “aperfeiçoamento dos dispositivos e procedimentos de segurança que reduzam a vulnerabilidade dos sistemas relacionados à Defesa Nacional contra ataques cibernéticos e, se for o caso, que permitam seu pronto restabelecimento”, estando este processo, de maneira complementar e assessória, também a cargo da Casa Civil da Presidência da República, dos Ministérios da Defesa, das Comunicações e da Ciência e Tecnologia e do GSI/PR. Neste caminho, Nogueira (2012) esclarece que após a Diretriz Ministerial MD nº 014/2009 atribuir ao EB a responsabilidade executiva pela integração e coordenação do Setor Cibernético do MD, o Comandante do EB, General Enzo Peri, aprovou em 22 de junho de 2010 a diretriz para a implantação do Setor Cibernético no EB, que conforme descrito por Carvalho (2011b, p. 16) abrange oito projetos-base:

39 1) Organização do Centro de Defesa Cibernética do Exército (CDCiber); 2) Planejamento e Execução da Segurança Cibernética; 3) Estrutura de Apoio Tecnológico e Desenvolvimento de Sistemas; 4) Arcabouço Documental; 5) Estrutura de Capacitação e de Preparo e Emprego Operacional; 6) Estrutura para Produção do Conhecimento oriundo da Fonte Cibernética; 7) Estrutura de Pesquisa Científica na Área Cibernética; e 8) Gestão de Pessoal.

Contudo, a efetiva concretização ocorreu apenas a partir da criação do CDCIBER, através da Portaria nº 666, de 4 de agosto de 2010, tendo este Centro como principal premissa: a integração e coordenação dos esforços dos vetores da Defesa Cibernética nacional (REVISTA VERDE-OLIVA, 2013). Cruz Junior (2013, p. 25), em relação à estrutura disponível ao EB para fomentar e instrumentalizar estratégias viáveis para a área cibernética em conjunto ao CDCIBER, discorre que: Em sua estrutura, para o apoio tecnológico, o Exército conta com o Centro de Desenvolvimento de Sistemas (CDS). Quando se decide pela elaboração de um determinado projeto no âmbito interno, por exemplo, é no CDS que os engenheiros militares vão desenvolver as linhas códigos de acordo com os padrões, requisitos técnicos e operacionais do sistema. Na parte de pesquisa, o Exército conta com o Instituto Militar de Engenharia (IME), com cursos de graduação, mestrado e doutorado.

Não obstante, o CDCIBER como condutor do Setor Cibernético no âmbito da Defesa vem buscando também estabelecer parcerias e acordos com os demais centros acadêmicos e de pesquisa, organizações privadas e órgãos governamentais de segurança, a fim de se valer da capacidade e expertise da indústria nacional para o desenvolvimento em conjunto de ferramentas estratégicas para atendimento ao projeto de segurança nacional proposto pela END. Sobre isto, Pagliusi (2014) é ferrenho defensor da importância da priorização de sistemas nacionais para a defesa e cibersegurança brasileira, uma vez que a seu ver, é urgente a necessidade de se reduzir “o alcance de gigantes estrangeiras de tecnologia ao governo e às grandes empresas nacionais”, pois somente as empresas locais poderão estar “sujeitas às nossas leis, menos suscetível a backdoors e passíveis de sofrer auditoria local”. Destacam-se ainda entre os principais objetivos de curto e médio prazo atualmente do CDCIBER: “a criação de um simulador de guerra cibernética, a elaboração de antivírus nacional, o desenvolvimento de um sistema de criptografia e a capacitação de militares para situações críticas” (CRUZ JUNIOR, 2013). Cruz Junior (2013) ainda salienta que “estes objetivos vêm sendo atingidos com o apoio da iniciativa privada nacional, com alguns sistemas já em operação”, assim, o CDCIBER “pretende atuar como gerente operacional da proteção dos sistemas computacionais [...] nas Olimpíadas, em 2016, [...], e na Copa do Mundo, em 2014”. Carvalho (2011b, p. 15), em relação ao futuro vislumbrado para Defesa Cibernética no Brasil, argumenta que:

40 Visualiza-se a criação do Comando de Defesa Cibernética das FA, o qual poderá realizar a supervisão, a coordenação e a orientação técnica e normativa das atividades do SMDC, particularmente no tocante aos seguintes aspectos: capacitação de talentos humanos; doutrina; operações; inteligência; e ciência, tecnologia e inovação. Poderá, ainda, encarregar-se da interação do MD com o GSI-PR, para fins de participação na Segurança Cibernética e obtenção da indispensável cooperação dos setores público e privado e da comunidade acadêmica no esforço nacional de Defesa Cibernética.

Já o Coronel Luiz Gonçalves, Subchefe do Centro de Defesa Cibernética, sobre a necessidade do governo formar mão de obra especializada nesta área estratégica, afirma que: [...] Sim, é uma realidade a nossa deficiência, tanto no nível técnico, básico, como também na especialização, quer dizer, lato sensu, stricto sensu, mestrados e doutorados. [...] Bem, a Escola Nacional de Defesa Cibernética tem como embrião o Instituto de Defesa Cibernética. Este Instituto nos próximos meses vai ser ativado. [...] O projeto já está definido, que a Escola Nacional de Defesa Cibernética será em Brasília. [...] A Estratégia Nacional de Defesa nos compulsou a trabalhar criando um complexo acadêmico, militar e empresarial. Nós temos para a Escola alguns projetos que já iniciamos, mas desses projetos, vou citar apenas um, que é o projeto da construção civil, projeto de construção da própria Escola, esse projeto executivo fica pronto de vinte e quatro a trinta e seis meses (PORTAL BRASIL, 2014).

Em complemento retórico, cabe ainda apresentar as funções específicas de outros importantes órgãos de Estado e de Governo que com suas particulares contribuições, também influem decisivamente no processo de viabilização de meios para a efetiva Segurança e Defesa Cibernética nacional. Tais órgãos são assim apresentados por Carvalho (2011b, p.10): - CONSELHO DE DEFESA NACIONAL (CDN): Trata-se de um órgão de consulta do Presidente da República nos assuntos relacionados à soberania nacional e à defesa do Estado democrático de direito. Constitui um órgão de Estado e não de Governo, com sua secretaria executiva sendo exercida pelo Ministro-Chefe do GSI/PR; - CÂMARA DE RELAÇÕES EXTERIORES E DEFESA NACIONAL (CREDEN): A CREDEN é um órgão de assessoramento do Presidente da República nos assuntos pertinentes às relações exteriores e à defesa nacional, tratando-se de um órgão de governo. Sua presidência cabe ao Ministro-Chefe do Gabinete de Segurança Institucional da Presidência da República (GSI/PR) e, dentre suas atribuições, encontra-se a Segurança da Informação, atividade essa que se insere no escopo do Setor Cibernético; - CASA CIVIL DA PRESIDÊNCIA DA REPÚBLICA: Dentre as atribuições da Casa Civil da Presidência da República (PR), merece destaque, por sua inequívoca relação com o Setor Cibernético, a relacionada com a execução das políticas de certificados e de normas técnicas e operacionais aprovadas pelo Comitê Gestor da Infraestrutura de Chaves Públicas Brasileiras (ICP-Brasil). Tal atribuição é da competência do Instituto Nacional de Tecnologia da Informação (ITI), que é uma autarquia federal, vinculada à Casa Civil da Presidência da República, com o objetivo de manter a ICP-Brasil, sendo a sua primeira autoridade da cadeia de certificação, ou seja, a Autoridade Certificadora Raiz (AC Raiz).

41 Já no tocante à evolução das normas legais brasileiras frente às demandas e novos problemas sociais emergentes do Ciberespaço, já é possível perceber alguns avanços – ainda que incipientes. Dentre os principais avanços identificados estão: - A sanção pela Presidente Dilma Rousseff das Leis nº 12.735/12 e nº 12.737/12 que preveem diversas mudanças na legislação dos crimes praticados com a utilização dos meios eletrônicos, dentre elas a necessidade das Polícias Civis dos Estados estruturarem setores especializados para “combate à ação delituosa em redes de computadores, dispositivo de comunicação ou sistema informatizado” e, a tipificação de uma série de delitos cibernéticos até então carentes de enquadramento normativo; - A importância atribuída ao tema com a tramitação em caráter de urgência e aprovação no Congresso Nacional do projeto de lei que visa regulamentar o Marco Civil da Internet, uma espécie de Constituição Cibernética, que objetiva principalmente à “neutralidade” nas relações entre os diversos atores no Ciberespaço – empresas, usuários, governo etc. – e a previsão de uma via legal mais célere para retirada de conteúdos inapropriados da web que firam a honra de indivíduos, sem a necessidade de se aguardar uma decisão judicial transitada em julgado (AGÊNCIA BRASIL, 2013). Como mais recente capítulo sobre esta temática, surge como contundente o teor do relatório final da Comissão Parlamentar de Inquérito (CPI), instalada em setembro de 2013 para apurar a série de revelações de espionagem no Brasil pela a NSA, com base nos documentos exfiltrados por Edward Snowden. Sobre isto, Mendes (2014) expõe que: O relatório final da CPI da Espionagem confirma a vulnerabilidade do Brasil e sugere uma lei que determine o fornecimento de dados de cidadãos e empresas nacionais a organismos no exterior apenas mediante autorização judicial, segundo mostra documento obtido com exclusividade pela Reuters. [...] "Os acontecimentos que motivaram esta CPI assinalam... o despreparo do poder público no Brasil para fazer frente às ações de inteligência de outros governos e organizações". [e que] Ao apontar que há "profunda vulnerabilidade do Estado brasileiro e de nossa população a ações de espionagem" e que isso continuará a ocorrer, a CPI conclama que o país "desenvolva mecanismos de proteção do conhecimento e de segurança cibernética".

4 CONCLUSÃO Neste vertiginoso “admirável mundo novo” em que estamos inseridos, cada vez mais complexo e permeado exponencialmente por inúmeros sistemas informatizados, permanecer desconectado a tais sistemas deixou de ser uma alternativa plausível a ser adotada. Porém, as diferentes formas de ameaças cibernéticas, principalmente aquelas instrumentalizadas por poderosos órgãos de inteligência governamentais com auxílio de corporações privadas voltadas à pesquisa e desenvolvimento de soluções para monitoramento e vigilância massiva, assumem um papel potencialmente peremptório para manutenção da liberdade

42 de expressão e da privacidade nas relações entre nações, empresas e indivíduos em tal lócus assimétrico. O Brasil não permanece incólume em tal cenário cibernético. Maior economia da America Latina e sétima do mundo por PIB nominal32, após a realização da pesquisa, foi possível concluir que o “gigante” sul-americano está exposto ciberneticamente, constituído-se assim, um alvo vulnerável e de grande valor para ação de cibercriminosos, mais incisivamente, de órgãos de inteligência governamentais em busca de informações estratégicas para obtenção de vantagens políticas, econômicas e/ou militares. Este estado de vulnerabilidade se acentua muito em decorrência da configuração atual dos meios estruturais e institucionais voltados à Segurança e Defesa Cibernética das ICN que ainda se mostram bastante expostas e carentes de maior atenção por parte dos dignitários brasileiros, ainda que já se perceba algumas ações espaças na direção de se acompanhar a constante mutabilidade tecnológica e de intenções no Ciberespaço. Esta dicotômica situação vivenciada hoje no Brasil, em relação à abordagem adotada para Segurança e Defesa Cibernética, na qual as referidas atividades encontram-se praticamente separadas, sob coordenação estanque do GSI/PR e do CDCIBER, sinaliza claramente um potencial risco negativo para difusão de informações sensíveis interagências, uma vez que tal afastamento pode vir a impelir retardos contraproducentes na definição de medidas tempestivas para o tratamento de acidentes/incidentes cibernéticos eventualmente ocorridos contra as redes da APF. Contudo, uma solução para tentar mitigar os efeitos desta vulnerabilidade coordenativa constatada pode se consubstanciar na alocação das duas atividades sob a coordenaçãogeral de um perene e superior Órgão de Estado capaz de abarcar sob a sua égide ambas as atividades, de maneira similar ao que hoje é encontrado nos EUA, no seu Comando Cibernético (U.S. Cyber Comm). Tal perspectiva também é compartilhada e fortemente defendida por Cruz Junior (2013). Desta forma, poderia melhor se adequar, com sinergia e celeridade, as necessárias e requeridas ações, como o estabelecimento de uma Política Nacional de Segurança e Defesa Cibernética que contemple: os necessários planejamentos estratégicos, táticos e operacionais a fim de se criar e implementar a Doutrina Cibernética brasileira; a perene capacitação dos recursos humanos ligados a segurança e defesa no Ciberespaço; e a constante evolução e adaptação tecnológica dos recursos de TIC nacionais à medida que ocorram o surgimento de novas ameaças cibernéticas. É oportuno também expor o papel preponderante que a Inteligência Cibernética assumirá nos próximos anos devido à intensificação da pesquisa e desenvolvimento de ferra32

Informação disponível em:< http://pt.wikipedia.org/wiki/Brasil#cite_note-16>. Acesso em 20 jan. 2014.

43 mentas destinadas a mineração e filtragem de metadados, bem como também à especialização de recursos humanos e doutrinários, tanto em suporte à exploração e análise de cenários, estruturas e recursos TIC de outras nações, quanto no apoio direto às Forças Armadas no desenrolar de uma campanha militar. Por isso, o domínio de tal especialidade se impõe ainda mais como inadiável para a proteção dos interesses do Estado brasileiro, principalmente após o depreendido do teor dos inúmeros arquivos sigilosos trazidos à tona pela organização Wikileaks e o ex-analista de inteligência Edward Snowden, que como já se sabe publicamente, vieram a revelar detalhes sobre a atuação dos principais métodos/técnicas de vigilância e monitoramento utilizados pelos principais órgãos de inteligência anglófonos no âmbito cibernético, sobretudo aqueles comuns à comunidade de informações norte-americana e suas congêneres (Prism, UPSTREAM, XKeyscore, geolocalização de telefones móveis etc.). Ainda nesta direção, também deverá ser priorizado pelo Estado brasileiro o desenvolvimento de Doutrina específica para o uso da Inteligência no ambiente cibernético, o fomento de parcerias entre empresas privadas, Forças Armadas e Universidades, a fim de se aprofundar a pesquisa e desenvolvimento de soluções de hardware, software e procedimentos que venham a proporcionar a necessária independência tecnológica em Ciberinteligência. Como proposição transversalmente complementar, também é tempestivo citar a necessidade de um maior incremento da participação brasileira em discussões e fóruns no mais alto nível entre nações em assuntos que se relacionem a governança da Internet, a defesa dos direitos civis e da liberdade de expressão, bem como a efetiva e oportuna previsão em normas legais internas dos diversos delitos Cibernéticos. Por último, cabe ressaltar que este trabalho não tem a intenção de estabelecer definições e conclusões dogmáticas e definitivas, mas sim, de contribuir para a obtenção de um entendimento atualizado, claro e coerente sobre o funcionamento dos instrumentos coercitivos e dissuasivos hoje existentes no Brasil no que concerne à Segurança e Defesa Cibernética, e desta forma, estimular o fomento e desenvolvimento de outros estudos mais específicos e aprofundados em tal área disruptiva.

REFERÊNCIAS

ABIN. Agência Brasileira de Inteligência. Disponível em: . Acesso em 05 jan. 2014. ABNT. NBR ISO/IEC 27002:2005: Tecnologia da Informação: Código de Prática para a Gestão da Segurança da Informação. Rio de Janeiro, 2005.

44 AGÊNCIA BRASIL. Decisão sobre Marco Civil da Internet é empurrada para 2014. 2013. Terra Tecnologia. Disponível em: < http://tecnologia.terra.com.br/internet/decisaosobre-marco-civil-da-internet-e-empurrada-para2014,e498190631633410VgnCLD2000000ec6eb0aRCRD.html>. Acesso em: 19 jan. 2014. APPELBAUM, Jacob et al. Agência de espionagem dos EUA usou pen drives grampeados e erro do Windows. 2013. Disponível em http://noticias.uol.com.br/internacional/ultimasnoticias/derspiegel/2013/12/31/agencia-de-espionagem-dos-eua-usou-pen-drives-grampeadose-erros-do-windows.htm>. Acesso em: 31 dez. 2013. ASSANGE, Julian. Interview with Julian Assange – The Man behind Wikileaks (legendado em português). Entrevistador: Steve Kroft. Grã-Bretanha, 60 Minutes, 2011. Disponível em: . Acesso em: 09 jan. 2014. ASSANGE, Julian et al. Cypherpunks: liberdade e o futuro da internet. São Paulo: Boitempo, 2013. BALZA, Guilherme. “Brasil é o grande alvo dos EUA”, diz jornalista que obteve documentos de Snowden. 2013. Disponível em: < http://noticias.uol.com.br/internacional/ultimasnoticias/2013/09/04/brasil-e-o-grande-alvo-dos-eua-diz-jornalista-que-obteve-documentos-desnowden.htm>. Acesso em: 21 dez. 2013. BAMFORD, James. O mundo orwelliano da NSA. 2013. Disponível em: . Acesso em: 21 dez. 2013. BRUNEAU, Thomas. Intelligence and democratization: the chalenge of control in new democracies: ocasional paper #5. Monterey/California: The Center for Civil-Military Relations – Naval Postgraduate School, March, 2000. BBC BRASIL. Espionagem: como as agências de inteligência coletam dados?. 2013. Disponível em: . Acesso em: 20 dez. 2013. BRASIL. Lei n. 9.883, de 7 de dezembro de 1999. Institui o Sistema Brasileiro de Inteligência, cria a Agência de Inteligência – ABIN, e dá outras providências. Disponível em: . Acesso em: 03 dez. 2013. __________. Decreto n. 4.376, de 13 de setembro de 2002. Dispõe sobre a organização e o funcionamento do Sistema Brasileiro de Inteligência, instituído pela Lei n. 9.883, de 7 de dezembro de 1999, e dá outras providências. Disponível em: . Acesso em: 04 jan. 2013. ____________. Ministério da Defesa. Estratégia Nacional de Defesa – END, Brasília, 2008, 59 p. __________. CANOGIA, Claudia (Org.); MANDARINO JUNIOR, Raphael (Org.). Livro Verde: segurança cibernética no Brasil. Brasília: GSIPR/SE/DSIC, 2010. ___________Gabinete de Segurança Institucional da Presidência da República – GSI/PR. Estatísticas de incidentes de rede na APF: 4º trimestre/2013. Brasil: CTIR/DSIC/GSI/PR, 2014. Disponível em: < http://www.ctir.gov.br/arquivos/estatisticas/2013/Estatisticas_CTIR_Gov_4o_Trimestre_2013 .pdf>. Acesso em: 14 jan. 2014.

45 CANALTECH. NSA instalou programa de espionagem em milhares de computadores no mundo todo. 2014. Disponível em: < http://www.modulo.com.br/comunidade/noticias/3630nsa-instalou-programa-de-espionagem-em-milhares-de-computadores-no-mundo-todo>. Acesso em: 17 jan. 2014. CARDOSO, Luiz Henrique Filadelfo. Metodologia de atuação hacker empregada para a invasão de sistemas web: um estudo de caso para a Faculdade Porto Velho. 2011. 93 f. Monografia (Graduação em Sistema de Informação) – Faculdade Porto Velho, Porto Velho, 2011. CARR, Jeffrey. Inside Cyber Warfare. California: O’Reilly, 2009. CARVALHO, Paulo Sergio Melo de. Tendência O setor cibernético nas forças armadas brasileiras. In: REUNIÃO TÉCNICA SOBRE SEGURANÇA E DEFESA CIBERNÉTICA. 2011a, Brasília. Desafios estratégicos para a segurança e defesa cibernética. Brasília: Secretaria de Assuntos Estratégicos da Presidência da República, 2011a. p. 13-34. Disponível em: . Acesso em: 13 jan. 2014. CARVALHO, Paulo Sergio de Melo de. A Defesa Cibernética e as Infraestruturas Críticas Nacionais. Artigo Cientifico. Brasília, 2011b, 20 f. Disponível em: < http://www.eceme.ensino.eb.br/ciclodeestudosestrategicos/index.php/CEE/XCEE/paper/view File/5/7>. Acesso em: 16 jan. 2014. CEPIK, Marco A. C. Espionagem e Democracia. Rio de Janeiro: Editora FGV, 2003. CHANG, Welton; BILLO, Charles. Cyber Warfare: an analysis of the means anda motivatinos of selected nation states. Institute for Security Technology Studies at Dartmouth College, 2004, 142 f. COTRIM, Gilberto. História Global: Brasil e Geral. 7. ed. São Paulo: Saraiva, 2003 CRUZ JUNIOR, Samuel Cesar da. A segurança e defesa cibernética no Brasil e um revisão das estratégias dos Estados Unidos, Rússia e Índia para o espaço virtual. 2013. 58 f. Texto Técnico para discussão – IPEA, Brasília, 2013. DA SILVA, Otávio Carlos Cunha. A segurança e as ameaças cibernéticas: uma visão holística. In: REUNIÃO TÉCNICA SOBRE SEGURANÇA E DEFESA CIBERNÉTICA. 2011, Brasília. Desafios estratégicos para a segurança e defesa cibernética. Brasília: Secretaria de Assuntos Estratégicos da Presidência da República, 2011. p. 129-143. Disponível em:. Acesso em: 02 dez. 2013. DEMPSEY, L; HEERY, R. A review of metadata: survey of current resource description formats. Work Package 3 of Telematics for Research Project DESIRE (RE1004), 1997. FARAH, Camel André de Godoy. Logística, ações e operações de inteligência: livro digital. 1. ed. Palhoça: UnisulVirtual, 2012. FIGUEIREDO, Lucas. Ministério do Silêncio. Rio de Janeiro: Record, 2005. FONSECA, Bruno et al. Wikileaks: quem lucra com a espionagem digital. 2013. Disponível em: < http://www.apublica.org/2013/09/wikileaks-quem-lucra-espionagem-digital/>. Acesso em: 02 dez. 2013.

46 FRANCO, Luis Henrique Santos. A atividade de inteligência na segurança cibernética às infraestruturas críticas nacionais do setor de energia elétrica. Revista A Lucerna: Escola de Inteligência Militar do Exército, Brasília, Ano I, n. 2, p. 07-22, dez 2012. G1. Entenda o caso de Edward Snowden, que revelou espionagem dos EUA. 2013. Disponível em: < http://g1.globo.com/mundo/noticia/2013/07/entenda-o-caso-de-edwardsnowden-que-revelou-espionagem-dos-eua.html>. Acesso em: 04 dez. 2013. GOLDSTEIN, Guy-Philippe. How cyberattacks threaten real-world peace: Guy-Philippe Goldstein on TED.com. 2011. Disponível em: < http://blog.ted.com/2011/10/19/howcyberattacks-threaten-real-world-peace-guy-philippe-goldstein-on-ted-com/>. Acesso em: 17 jan. 2014. GONÇALVES, Joanisval Brito. Políticos e espiões: o controle da atividade de inteligência. Niterói: Impetus, 2010. __________. Atividade de Inteligência e legislação correlata. 2. ed. Niterói: Impetus, 2011. GREENWALD, Gleen. XKeyscore: NSA tool collects ‘nearly everything a user does on the internet’. The Guardian, 2013. Disponível em: < http://www.theguardian.com/world/2013/jul/31/nsa-top-secret-program-online-data>. Acesso em: 11 jan. 2014. GREENWALD, Gleen; MACASKILL, Ewen. NSA Prism program taps in to user data of Apple, Google and others. The Guardian, 2013. Disponível em: . Acesso em: 11 jan. 2014. HEICKERO, Roland. Emerging Cyber Threats and Russian Views on Information Warfare and Information Operations. Relatório FOI-R-2970-SE, 2010. HYPPONEN, Mikko. How the NSA betrayed the world’s trust – time to act. Bruxelas, TED, 2013. Disponível em: . Acesso em: 19 jan. 2014. INFO. Revista INFO EXAME: para uma nova realidade, São Paulo: Abril, ago. 2011. KIM, Joon Ho. Cibernética, Ciborgues e Ciberespaço: notas sobre as origens da cibernética e sua reinvenção cultural. Horizontes Antropológicos, Porto Alegre, ano 10, n. 21, p. 199-219, jan./jun. 2004. KRIEGER, César Amorim (Org.) et al. Inteligência de Segurança – Estratégia de Segurança: livro digital. 2. ed. Palhoça: UnisulVirtual, 2011. LÉVY, Pierre. Cibercultura. Trad. Carlos Irineu da Costa. São Paulo: Ed. 34, 1999. LIBICKI, Martin C. What is information warfare? ACIS Paper 3. Washington D.C. National Defense University Press, 1995. MACHADO, Jussara de Oliveira. Inteligência e Ciberespaço: desafios do século XXI. In: CEPIK, Marco (Org.). Inteligência Governamental: contextos nacionais e desafios contemporâneos. Niterói: Impetus, 2011. p. 271-317.

47 MADSEN, Wayne. Como os EUA invadiram as redes mundo afora. 2013. Disponível em: http://www.publico.pt/mundo/noticia/unidade-secreta-do-exercito-chines-acusada-deciberespionagem-1585008>. Acesso em: 22 dez. 2013. MANDARINO JR., Raphael. Um Estudo sobre a segurança e a defesa do espaço cobernético. 2009. 156 f. Monografia (Especialização em Ciência da Computação: Gestão da Segurança da Informação e Comunicações) – Universidade de Brasilia (UnB), Brasília, 2009. MEDEIROS, Francisco José Fonseca de. A Atividade de Inteligência no mundo atual. 2011. Disponível em: . Acesso em: 01 jan. 2014. MENDES, Karla. CPI da Espionagem aponta Brasil vulnerável e propõe nova legislação. Reuters Brasil. Brasília, 2014. Disponível em: < http://br.reuters.com/article/internetNews/idBRSPEA3304820140404?sp=true>. Acesso em 15 abr. 2014. NOGUEIRA, Alexandre Fernandes Lobo. A Inteligência militar na defesa cibernética: um estudo sobre as possibilidades de apoio da inteligência aos planejamentos das ações de defesa cibernética. Revista A Lucerna: Escola de Inteligência Militar do Exército, Brasília, Ano I, n. 2, p. 23-36, dez 2012. OLIVEIRA, João Roberto. Sistema de segurança e defesa cibernética nacional: abordagem com foco nas atividades relacionadas à defesa nacional. In: REUNIÃO TÉCNICA SOBRE SEGURANÇA E DEFESA CIBERNÉTICA. 2011, Brasília. Desafios estratégicos para a segurança e defesa cibernética. Brasília: Secretaria de Assuntos Estratégicos da Presidência da República, 2011. p. 105-128. Disponível em:. Acesso em: 02 dez. 2013. PAGLIUSI, Paulo. A importância de priorizar sistemas nacionais para cibersegurança brasileira. 2014. Disponível em: < http://segurancadainformacao.modulo.com.br/aimportancia-de-priorizar-sistemas-nacionais-para-a-ciberseguranca-brasileira>. Acesso em: 14 jan. 2014. PEREIRA, Ana Fonseca. Unidade secreta do exército chinês acusada de ciberespionagem. 2013. Disponível em: . Acesso em: 04 dez. 2013. PORTAL BRASIL. NBR Entrevista conversa com o subchefe do Centro de Defesa Cibernética, Coronel Luiz Gonçalves. 2014. Disponível em: < http://www.brasil.gov.br/defesa-e-seguranca/2014/02/brasil-tera-escola-nacional-de-defesacibernetica>. Acesso em 15 abr. 2014 RAZA, Salvador Ghelfi. A Cassandra cibernética ou porque estamos na contramão da tecnologia e ninguém quer acreditar. 2013. Disponível em: . Acesso em 14 jan. 2014. REVISTA VERDE-OLIVA: Projetos estratégicos indutores da transformação do Exército. Brasília: Centro de Comunicação Social do Exército, 3 Ed., n. 217, ago. 2013. Disponível em: < http://www.epex.eb.mil.br/doc-interesse.php>. Acesso em: 15 jan. 2014.

48 SAMPAIO, Fernando G. Sampaio. Ciberguerra, guerra eletrônica e informacional: um novo desafio estratégico. Escola Superior de Geopolítica e Estratégia (ESGE). 2001, 21 p. Disponível em: http://www.defesanet.com.br/esge/ciberguerra.pdf>. Acesso em: 02 jan. 2014. SASSINE, Vinicius. Exército monitorou líderes de atos pelas redes sociais. 2013. Disponível em: . Acesso em: 02 dez. 2013. SÊMOLA, Marcos. Gestão da Segurança da Informação: visão executiva da segurança da informação – Security Officer. Rio de janeiro: Elsevier, 2003. SHAKARIAN, Paulo. Análise da campanha cibernética da Rússia contra Geórgia, em 2008. Military Review, EUA, p. 67-73, nov./dez. 2011. Disponível em: < http://usacac.army.mil/CAC2/MilitaryReview/Archives/Portuguese/MilitaryReview_2011123 1_art011POR.pdf>. Acesso em: 11 jan. 2014. SNOWDEN, Edward. Entrevista para o The Guardian (legendado em português). Entrevistador: Glenn Greenwald. Hong Kong, The Guardian, 2013. Disponível em: . Acesso em: 02 jan. 2014. SOUZA, Josias. Serviço de Inteligência do Brasil é “pobre”, afirma assessor da Casa Branca. 2013. Disponível em: < http://josiasdesouza.blogosfera.uol.com.br/2013/12/20/servico-de-inteligencia-do-brasil-epobre-declara-assessor-da-casa-banca/>. Acesso em: 30 dez. 2013. TANENBAUM, Andrew S. Redes de Computadores. Rio de Janeiro: Elsevier, 2003. TEIXEIRA, Carlos Augusto Ramires. O Combatente e o Ciclo de Inteligência. 2013. Disponível em: < http://www.defesanet.com.br/inteligencia/noticia/11441/O-Combatente-e-o-Ciclode-Inteligencia/>. Acesso em: 05 jan. 2014. TZU, Sun. A Arte da Guerra. Porto Alegre: L&PM, 2000. UGARTE, Jóse Manuel. Control Público de la actividad de Inteligencia:Europa y América Latina, uma vision comparativa. (Trabalho apresentado no Congresso Internacional “PostGlobalización: Redefinición de la Seguridad y Defensa Regional el Cono Sur”), Buenos Aires, 2002. WEIMANN, Gabriel. Cyberterrorism: how real is the threat? Special report 119 written to the United States Institute of Peace. 2004. Disponível em: < http://dspace.cigilibrary.org/jspui/bitstream/123456789/15033/1/Cyberterrorism%20How%20 Real%20Is%20the%20Threat.pdf?1>. Acesso em: 03 jan. 2014. WENDT, Emerson. Ciberguerra, inteligência cibernética e segurança virtual: alguns aspectos. Revista Brasileira de Inteligência: ABIN, Brasília, n. 6, p. 15-26, abr. 2011. ZUCCARO, Paulo Martino. Tendência Global em segurança e defesa cibernética – reflexões sobre a proteção dos interesses brasileiros no ciberespaço In: REUNIÃO TÉCNICA SOBRE SEGURANÇA E DEFESA CIBERNÉTICA. 2011, Brasília. Desafios estratégicos para a segurança e defesa cibernética. Brasília: Secretaria de Assuntos Estratégicos da Presidência da República, 2011. p. 49-78. Disponível em: . Acesso em: 03 dez. 2013.