Voltar ao site principal
Voltar ao site principal

      Ataques de negação de serviço

      Módulo 2: Ataques digitais e violência de gênero online

      Visão geral

      • Negação de Serviço (DoS)Um ataque DoS é definido como um "ataque cibernético que causa, temporária ou indefinidamente, a falha ou inoperabilidade de um site ou rede, sobrecarregando o sistema com dados."1)
      • Ataque de negação de serviço distribuído (DDoS)Um ataque DDoS envolve o uso malicioso de múltiplos computadores e conexões distribuídos para atacar e interromper o tráfego normal dos dispositivos, serviços ou rede de um jornalista alvo, com uma inundação avassaladora de tráfego de internet, com o objetivo de torná-los inacessíveis.2)

      Ataques DDoS na África

      Em novembro de 2021, a SEACOM, uma provedora de serviços de TIC, relatou que "a África sofreu 382,500 ataques DDoS entre janeiro e julho de 2021". Quênia e África do SulAmbos, fervorosos defensores da digitalização e do acesso à Internet, foram responsáveis ​​por impressionantes 59% desses ataques.3)

      Direito e normas internacionais

      Os ataques DoS e DDoS têm um impacto desproporcional no direito à liberdade de expressão, à liberdade de imprensa e ao direito do público à informação e à privacidade:

      • Liberdade de expressãoEsses ataques intensificam efetivamente a censura e representam obstáculos significativos, pois impedem a disseminação e a visualização de informações, censurando diretamente o conteúdo.4Seja perpetradas por agentes do Estado ou seus representantes, essas ações contradizem o Artigo 19 do Pacto Internacional sobre Direitos Civis e Políticos (PIDCP). Dada a sua natureza clandestina e ilegal, essas ações geralmente violam a exigência legal de restrições à liberdade de expressão.5Elas também interrompem o acesso a plataformas online inteiras, dificultando a disseminação de informações vitais e urgentes. Consequentemente, tais medidas são quase sempre desnecessárias e desproporcionais nos termos do Artigo 19(3).6)
      • Liberdade de imprensa e o direito do público à informação: Segundo o direito internacional, todos os jornalistas têm o direito de trabalhar livres da ameaça de violência, a fim de garantir o direito à liberdade de opinião e expressão para todos.7Esses ataques afetam diretamente a capacidade dos jornalistas e das organizações de notícias de fornecer e disseminar notícias e informações, representando uma restrição à liberdade de imprensa e ao direito dos jornalistas de divulgar informações livremente.8Além disso, esses ataques restringem o direito do público à informação, impedindo que alguns ou todos os usuários da Internet acessem conteúdo e sites específicos.9)
      • Privacidade: O Conselho de Direitos Humanos da ONU, em sua Resolução sobre a Segurança dos Jornalistas, enfatizou que os ataques de negação de serviço (DoS) que “forçam o fechamento de determinados sites ou serviços de mídia constituem uma violação dos direitos dos jornalistas à privacidade e à liberdade de expressão”.10)

      Papel do setor privado

      Segundo os Princípios Orientadores das Nações Unidas sobre Empresas e Direitos Humanos, as empresas têm a “responsabilidade de respeitar a liberdade de expressão [e] devem investir recursos em medidas de segurança e melhorias na infraestrutura que previnam ou atenuem os efeitos de ataques DDoS envolvendo seus produtos ou serviços.”11)

      Leis nacionais

      Normalmente, os ataques DoS e DDoS contra jornalistas e veículos de comunicação podem ser combatidos com base na responsabilidade civil e criminal prevista nas leis nacionais que regulamentam os crimes cibernéticos ou o uso indevido de computadores.12)

      Leis sobre crimes cibernéticos e ataques DoS e DDoS.

      A UNCTAD relata que 39 dos 54 países africanos (72%) promulgaram leis de cibersegurança ou de combate ao cibercrime (13) que normalmente tipificam crimes que podem ser usados ​​para combater ataques DoS e DDoS contra jornalistas e veículos de comunicação. Geralmente, esses crimes estão previstos em disposições que proíbem crimes contra sistemas e dados de computador, incluindo:

      • acesso não autorizado,
      • interferência não autorizada,
      • interceptação não autorizada, ou
      • Acesso com a intenção de cometer outros crimes.  

      In Etiópia, por exemplo, o Proclamação sobre Crimes Cibernéticos, nº 958/2016 Criminaliza o acesso ilegal a sistemas, dados ou redes informáticas, a intercepção ilegal de dados informáticos não públicos ou de serviços de processamento de dados, a interferência intencional no bom funcionamento de um sistema informático e a provocação de danos em dados informáticos que os tornem inúteis ou inacessíveis.  

      Para os países da África Subsaariana que não possuem leis de cibercrime ou que as possuem de forma inadequada, é possível recorrer a outras vias legais:

      • Para os países da África Subsaariana que não possuem leis de cibercrime ou que as possuem de forma inadequada, o recurso legal alternativo pode ser encontrado em legislação de proteção de dadosPor exemplo, a Seção 72 de Do Quênia A Lei de Proteção de Dados de 2019 proíbe o acesso a dados pessoais sem a autorização prévia do controlador ou processador de dados em determinadas circunstâncias.
      • Os advogados podem confiar em disposições civis, incluindo invasão de propriedade móvel ou quebra de contrato se o ataque violar os termos de uso do proprietário do site ou do provedor de serviços de internet.14)
      • Alternativamente, se um agressor usou ameaças numa tentativa de extorquir um jornalista ou um veículo de comunicação, pode-se potencialmente recorrer a ofensas criminais Nos termos do Código Penal ou Criminal.

      Litigando ataques DDoS: Estados Unidos

      A sentença de um homem nos Estados Unidos, Andrew Rakhshan,(15) para lançar múltiplos ataques DDoS internacionais contra sites de mídia na Austrália, Nova Zelândia e Canadá ilustra o viabilidade de recurso legal contra ataques DDoS onde existe um autor identificável.16)

      Rakhshan foi acusado e condenado por violar o Código dos Estados Unidos § 1030 (a)(5)(A) (causar conscientemente a transmissão de um programa, informação, código ou comando e, como resultado de tal conduta, causar intencionalmente danos, sem autorização, a um computador protegido).17Contudo, em abril de 2019, devido à assistência ineficaz do advogado de defesa, o tribunal ordenou um novo julgamento no qual o estado alegou o crime previsto no artigo 1030(b) do Código Penal dos Estados Unidos (conspiração para violar o artigo 1030(a)).Estados Unidos da América x Kamyar Jahanrakhshan (2018) (acessível em https://www.govinfo.gov/app/details/USCOURTS-txnd-3_17-cr-00414/context).[/footnote]

      Em junho de 2020, Rakhshan, após se declarar culpado da acusação de conspiração, foi condenado a cinco anos de prisão federal e ordenado a pagar mais de US$ 520,000 em restituição.

      Fundamentalmente, este caso ilustra que litigar casos de DoS e DDoS que afetam o jornalismo digital exige perícia técnica e muitas vezes pode exigir o cooperação de múltiplos atores estatais e não estatais, incluindo aqueles de múltiplas jurisdições. Como observado pela Sentinel One, o uso da lei para combater crimes cibernéticos “nem sempre é fácil e os casos frequentemente se arrastam por anos ou são julgados de forma ineficaz devido à falta de conhecimento técnico entre todas as partes envolvidas”.18)

      Garantir a responsabilização por tais ataques geralmente exige estritamente a capacidade de atribuí-los claramente a um perpetrador específico, seja ele estatal ou não estatal.19) No entanto, existem alguns desafios práticos estar ciente de:

      • Identificar com precisão a origem de um ataque e o seu autor é extremamente difícil devido às habilidades técnicas e ao conhecimento especializado necessários, bem como à prevalência de ferramentas de anonimato online, o que torna esses ataques instrumentos eficazes de intimidação.
      • As proteções de anonimato online permitem que os perpetradores permaneçam ocultos, um desafio agravado por ataques de "falsa bandeira" que visam disfarçar o verdadeiro perpetrador e transferir a culpa para terceiros.20)
      Baixar módulo

      Notas de rodapé

      1. PEN America, acessível em https://onlineharassmentfieldmanual.pen.org/defining-online-harassment-a-glossary-of-terms/. Voltar
      2. Id. Veja também: Cloudflare, 'O que é um ataque DDoS?', (acessível em https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/); UNESCO, 'Construindo Segurança Digital para o Jornalismo – Uma Pesquisa sobre Questões Selecionadas' (2015) (acessível em https://unesdoc.unesco.org/ark:/48223/pf0000232358). Voltar
      3. SEACOM, 'Pesquisa recente mostra que os ataques DDoS aumentaram 300% na África desde 2019' (2021) (acessível em https://seacom.com/media-centre/latest-research-shows-ddos-attacks-300-africa-2019/). Voltar
      4. UNESCO, 'Construindo Segurança Digital para o Jornalismo – Um Levantamento de Questões Selecionadas' (2015) (acessível em https://unesdoc.unesco.org/ark:/48223/pf0000232358). Voltar
      5. UNSR, 'Documento de Pesquisa 1/2019: Liberdade de Expressão e Eleições na Era Digital' (2019) (acessível em https://www.ohchr.org/sites/default/files/Documents/Issues/Opinion/ElectionsReportDigitalAge.pdf). Voltar
      6. Id. Voltar
      7. UNESCO, 'Liberdade de expressão: um direito humano fundamental que sustenta todas as liberdades civis' (acessível em https://en.unesco.org/70years/freedom_of_expression). Voltar
      8. AlterMidya, 'Ataques DDoS: Uma ameaça ao direito do povo de saber' (2021) (acessível em https://www.altermidya.net/ddos-attacks-a-menace-to-the-peoples-right-to-know/). Voltar
      9. Susan McGregor, 'Por que os ataques DDoS são importantes para os jornalistas' (2016) (acessível em https://www.cjr.org/tow_center/journalists_ddos_hack_passwords.php). Voltar
      10. Resolução do Conselho de Direitos Humanos da ONU sobre a segurança dos jornalistas (2020) (acessível em https://ap.ohchr.org/documents/dpage_e.aspx?si=A/HRC/45/L.42/Rev.1) (Resolução do Conselho de Direitos Humanos da ONU sobre a segurança dos jornalistas). Voltar
      11. Id. Voltar
      12. Thomson Reuters, 'Ataque de Negação de Serviço Distribuído (DDoS)' (2022) (acessível em https://uk.practicallaw.thomsonreuters.com/7-516-9293). Voltar
      13. UNCTAD, 'Legislação sobre crimes cibernéticos em todo o mundo' (acessível em https://unctad.org/page/cybercrime-legislation-worldwide). Voltar
      14. Thomson Reuters acima n 117. Voltar
      15. Departamento de Justiça, 'Homem recebe pena máxima por ataque DDoS contra notícias jurídicas' (2020) (acessível em https://www.justice.gov/usao-ndtx/pr/man-receives-maximum-sentence-ddos-attack-legal-news-aggregator); Departamento de Justiça, 'Homem de Seattle preso por tentativa de extorsão contra Leagle.com e diversas outras empresas de mídia' (2017) (acessível em https://www.justice.gov/usao-ndtx/pr/seattle-man-arrested-attempted-extortion-leaglecom-and-several-other-media-companies). Voltar
      16. Estados Unidos x Kamyar Jahanrakhshan também conhecido como “Kamyar Jahan Rakhshan, Andy ou Andrew Rakhshan”, “Andy ou Andrew Kamyar” e “Kamiar ou Kamier Rakhshan (acessível em https://cdn.arstechnica.net/wp-content/uploads/2017/08/jahanrakhshanchargingdoc.pdf). Voltar
      17. 18 US Code § 1030 – Fraude e atividades relacionadas com computadores (acessível em https://www.law.cornell.edu/uscode/text/18/1030#e_2). Voltar
      18. Sentinel One, 'O bom, o mau e o feio na cibersegurança – Semana 25' (2020) (acessível em https://www.sentinelone.com/blog/the-good-the-bad-and-the-ugly-in-cybersecurity-week-25/). Voltar
      19. Dimitar Kostadinov, 'O problema da atribuição em ataques cibernéticos', (2013) (acessível em https://resources.infosecinstitute.com/topic/attribution-problem-in-cyber-attacks/). Voltar
      20. David Trilling, 'Hacking: O que os jornalistas precisam saber. Uma conversa com Bruce Schneier', (2016) (acessível em https://journalistsresource.org/economics/hacking-bruce-schneier-journalists-cyberattacks-ddos/). Voltar