dezembro 25, 2012

Feliz Natal *<:-)>

Já que o mundo não acabou mesmo, então um Feliz Natal para todos e um excelente 2013.


Neste periodo de festas, em que 2012 chega ao fim, é época de assistirmos as retropectivas do ano e as previsões para o ano que se iniciará. Embora isto sempre soe meio repetitivo, vale a pena para apreendermos com os erros do passado e nos prepararmos para os potenciais acontecimentos futuros  (e, no nosso caso, potenciais riscos e ameaças).

dezembro 19, 2012

O fim do mundo

O Max Gehringer fez um comentário sensacional sobre como as empresas devem anunciar "O fim do mundo" para seus funcionários, que deve acontecer inevitavelmente na próxima sexta-feira, dia 21/12/2012, conforme já previram os sábios Maias.



E a sua empresa, está preparada? Será que ela tem um Plano de Continuidade de Negócios (PCN, ou, em inglês, Business Continuity Plan, ou BCP)?

Se a sua empresa não planejaram nada para esta data, pode ter certeza que o pessoal do Anonymous planejou...



Eu não sei quanto ao fim do mundo, mas se houver um Apocalipse Zumbi, vale a pena também dar uma olhada neste vídeo sobre "5 Maneiras de Sobreviver a um Apocalipse Zumbi":



E, se você quiser curtir o fim do mundo bem acompanhado, assistindo um bom filme e comendo pipoca, eu recomendo muito assistir o "Procura-se um Amigo para o Fim do Mundo".

dezembro 18, 2012

[Segurança] Espionagem no Brasil

Recentemente a revista Veja publicou uma reportagem sobre "O mercado bilionário da espionagem no Brasil" aonde ela descreve algumas características e estatísticas do mercado de espionagem pessoal e empresarial.

A Veja cita uma pesquisa da consultoria RCI - First Security and Intelligence Advising, que estima que o mercado de espionagem no Brasil tenha movimentado cerca de 1,7 bilhão de reais em 2011, incluindo serviços de empresas e de profissionais autônomos (os detetives particulares), formais ou não, e investimentos em equipamentos de espionagem e de contraespionagem. A pesquisa também estima que as empresas perdem com espionagem no Brasil entre 1 bilhão e 1,5 bilhão de reais

As principais estatísticas estão sumarizadas no infográfico abaixo, criado pela revista Veja:



A reportagem termina com um parágrafo interessante:
"Os números da espionagem no Brasil mostram o valor da informação, seja ela pessoal ou empresarial. No mundo dos negócios, a relevância dos dados é refletida nos ganhos e perdas econômicos de uma corporação. Na vida pessoal, o uso de dados fruto de espionagem podem causar desde um divórcio milionário até um crime passional."

Não custa lembrar também que há pouco tempo eu publiquei aqui no blog um post sobre casos recentes de espionagem industrial, que ajuda a ilustrar o problema da espionagem, refletido nas estatísticas acima.

dezembro 14, 2012

[Segurança] Segurança online no Super Pop

No dia 12 de dezembro, o programa Superpop (sim, aquele da Luciana Gimenez na Rede TV!) teve uma reportagem especial sobre segurança online (ou, como eles chamaram, "segurança virtual").

O programa contou com a participação "dos melhores especialistas em segurança virtual" (segundo a Luciana Gimenez), que explicaram quais são as principais ameaças e ofereceram algumas dicas para que as pessoas evitem estes golpes e protejam seus dados na Internet. Também foi discutida a nova legislação contra crimes cibernéticos aprovada no Brasil.

Entre eles estavam o Marcelo Caiado, perito, o Dr. Coriolano Camargo (OAB/SP) e alguns outros especialistas (que eu, particularmente, ainda não tinha ouvido falar, como o Anderson Tamborim, o Deivid Sanches, o Edwar Folli, da Poli/USP).

O programa abordou vários tipos de crimes cibernéticos, incluindo roubo de dados de cartões através de chupa-cabras. Também discutiu a privacidade, não só a privacidade online, mas também as questão das imagens captadas por câmeras de segurança.

O interessante no programa é que a Luciana Gimenez e seus convidados fazem perguntas e questionamentos bem simples e objetivos, típicos dos usuários comuns. Por isto, o programa acaba sendo bem interessante e educativo para o público em geral, embora alguns profissionais que atuam na área possam achar ele massante ou simplista. Mesmo para quem trabalha na área, eu recomendo o trecho do programa sobre fraude em cartões e chupa-cabras, pois mostrou alguns equipamentos bem sofisticados.

A maioria dos vídeos tem cerca de 14 minutos cada um. Veja abaixo a chamada de abertura do programa:


A primeira parte do programa foi focado na questão da privacidade.


segunda parte, sobre tipos de ataques e invasões, teve um "especialista de segurança" entrevistado por eles mostrando como um "hacker" consegue invadir, roubar dados e controlar um computador (hum, o cara não soube nem explicar a diferença entre hacker e cracker...).


Na terceira parte, a discussão foi em torno dos "Chupa-cabras", que são os dispositivos utilizados por criminosos para clonar cartões e roubar senhas bancárias. Esta reportagem mostra, inclusive, um vídeo de segurança de uma agência bancária aonde mostra três criminosos instalando um dispositivo chupa-cabra, que simula a frente inteira de um caixa eletrônico, em menos de um minuto.


Na quarta parte do programa, foi entrevistado um perito criminal para mostrar em como é feito a recuperação de dados para rastreamento de ciber crimes. E falou um tempo sobre paparazzis (só não me pergunte o que isso tem a ver com o tema do programa...).


Em seguida, discutiu-se como é possível roubar dados dos internautas, com a participação de uma pessoa não identificada que mostrou como é fácil fazer isso, roubando a senha de um e-mail da produção e acessando o computador remotamente. O engraçado foi quando perguntaram "E se o computador tivesse desligado, ele também faria isso?" - mais uma amostra de como os usuários leigos ficam em dúvida e com medo quando o assunto é segurança.






[Segurança] Os desafios de usar a internet de forma segura

Recentemente, o Dr. Renato Opice Blum, deu uma entrevista na Rede Record para o jornalista Heródoto Barbeiro, sobre como os internautas podem usar a internet de forma segura.



Em sua entrevista, o Dr. Renato destacou vários aspectos importantes, começando pela necessidade de termos garantias mínimas de proteção da privacidade dos nossos dados pessoais e das informações online, uma vez que estamos totalmente dependente de vários serviços online. Ele também mencionou outros problemas como a guerra cibernética, discutiu a necessidade de legislação e os cuidados com o direito autoral (lei 9.610/98), o problema da difamação através da Internet e a responsabilidade dos provedores de conteúdo frente ao mau uso ou a divulgação de informações ilegais em seu serviço.

O Dr. Renato também destacou a experiência e a capacidade do nosso poder Judiciário em lidar com crimes cibernéticos. Segundo ele, já temos mais de 50 mil decisões judiciais transitadas e julgadas no Brasil referente a diversos tipos de crimes cibernéticos.

dezembro 13, 2012

[Segurança] Quem precisa de antivírus?

A Imperva, em parceria com a Universidade de Tel Aviv, divulgou um estudo chamado "Assessing the Effectiveness of Anti-Virus Solutions" que causou grande furor no mercado, ao dizer que softwares antivírus são ineficazes na detecção de novas ameaças de malware atualmente, e que "o gasto das empresas e consumidores com antivírus não é proporcional a sua eficácia".

De acordo com o relatório a Imperva, as empresas deveriam adquirim produtos gratuitos de antivírus, para que elas pudessem investir em outros modelos de segurança, "investindo em soluções que identifiquem comportamento anormal" (hum, será que ela estaria sugerindo para as empresas usar a verba que gastam com AV para comprar os produtos da Imperva?).

Como não é difícil imaginar, este relatório teve grande repercussão na imprensa e grande reação no mercado, principalmente por parte das empresas de antivírus. Uma das críticas principais diz respeito a metodologia dos testes realizados pela Imperva, que rodou uma coleção de 82 novos tipos de malwares no VirusTotal, que verifica os arquivos em cerca de 40 produtos antivírus diferentes - e a taxa inicial de detecção foi de 5%, ou seja, próxima de zero. Além do mais, os produtos levaram pelo menos quatro semanas para adicionar uma amostra previamente não-detectada em seus bancos de dados. A principal crítica diz respeito justamente ao uso do VirusTutal, pois eles não utilizam uma versão completa dos antivírus (um colega que trabalha em um fabricante me disse, inclusive, que nem utilizam uma versão atualizada das assinaturas, pois os fabricantes sabem que vários ciber criminosos usam o VirusTotal para testar se o código deles está sendo detectado). A ESET é um dos fabricantes que publicou um post no blog deles criticando duramente o relatório da Imperva (vale a leitura!).

O Javvad fez um vídeo divertido satirizando esta história:



Mas, Imperva a parte, periodicamente este questionamento sobre a eficácia das soluções de Antivírus ressurge. Em Abril deste ano o SANS Institute escreveu um artigo questionando isso, baseado em um experimento que eles criaram aonde o antivírus não foi capaz de detectar um conjunto de malwares. Em Junho a universidade de Cambridge, na Inglaterra, também divulgou um estudo criticando os altos gastos com antivírus no país (US$ 170 milhões), que estariam acima dos gastos com o combate ao crime cibernético (US$ 15 milhões)

Na minha opinião, o principal problema é que as soluções de antivírus são reativas: elas são feitas para detectar malwares conhecidos, baseado em uma base de assinaturas gigantesca e análises de comportamento conhecido dos malwares. Por isso, eles não são capazes de detectar um malware novo ou criado especificamente para atacar uma empresa. Afinal, para um determinado malware ser analisado pelos fabricantes e ter sua assinatura incluída na base deles, é necessário que haja um número significante de infecções, que aí também entra o critério de cada fabricante para decidir quando um malware deve ser analisado ou não.

Ou seja, os antivírus são reativos, não estão preparados para nos defender contra novas ameaças, e muito menos para ameaças bem direcionadas.

O Rodrigo Branco (BSDaemon) fez um estudo muitíssimo interessante sobre o modelo de detecção adotado pelos fabricantes de antivírus, que resultou em uma palestra sensacional que ele já apresentou em vários eventos, incluindo na BlackHat e no SegInfo, no Rio de Janeiro. Resumindo em poucas palavras, ele usou uma base gigantesca de malwares que acumulou em parceria com vários fabricantes de antivírus, e decidiu testar a eficácia da detecção destes códigos maliciosos baseado na identificação se eles usam técnicas de anti-análise de malware (como o uso de obfuscação, packers, anti-debugging, detecção de VMs, etc). A conclusão dele é que a grande maioria dos códigos maliciosos podem ser detectados através disso, em vez de usar o modelo tradicional de análise de assinatura. Ou seja, para saber se um arquivo é malicioso ou não, é mais eficaz analisar se ele usa técnicas de anti-análise de malware em vez de verificar o arquivo frente a uma base gigantesca de assinaturas de vírus conhecidos - que é o que a indústria de antivírus faz até hoje.

A conclusão é que a indústria de antivírus se apegou de tal forma ao modelo de assinaturas que, devido ao enorme crescimento da quantidade de malwares hoje em dia (segundo a Symantec, 1 milhão de novos malwares por dia), acabou tornando a solução ineficiente. E, vez de tentar criar uma nova técnica ou estratégia de análise, o que os fabricantes tem feito atualmente é jogar essa base gigantesca de assinaturas "na nuvem", e centralizar esta análise em uma infra-estrutura mais parruda. E aí cria um novo problema: se o seu computador estiver offline, o seu antivírus não consegue analisar o arquivo para decidir se ele é malicioso ou não.

Enfim, a indústria está sentada em cima de um modelo de detecção arcaico, que pouco mudou desde o surgimento dos primeiros antivírus, e que mostra-se insuficiente para as ameaças atuais. Isto, certamente, dá margem para criticarem a eficiência dos antivírus, ainda mais se compararmos com o gasto que empresas e usuários finais tem com eles.

Enfim, quem precisa de antivírus?

Na minha opinião, infelizmente, todo mundo. É um mal necessário. Mesmo que ele não detecte as ameaças mais recentes, ainda assim ele é capaz de detectar muita coisa, o que é importante para garantirmos um nível mínimo de proteção para os usuários finais. Mas isto não significa que a existência de uma solução de antivírus garanta que o usuário esteja totalmente protegido - na minha opinião, ele está "minimamente protegido".

Usar antivírus no computador é como tomar a vacina da gripe: ela te protege contra alguns vírus da gripe, mas não contra novas mutações, nem contra o vírus da catapora.

Eu conheço gente que não usa antivírus, que não paga seguro no carro, que não usa cinto de segurança e sei que existe gente que não usa camisinha, e são felizes assim. Mas eu, particularmente, não recomendo nenhum destes "comportamentos de risco" para ninguém.

dezembro 10, 2012

[Segurança] BSides ao redor do mundo

O Jack Daniel, um dos fundadores das conferências Security BSides, criou um Google Map indicando todas as cidades aonde já aconteceram eventos BSides. O mapa é bem legal e mostra como o evento tem se espalhado pelo mundo, embora a maioria das edições tenham ocorrido nos EUA:


View Security BSides Venues in a larger map


As Security BSides são eventos organizados pela comunidade de segurança que visam, principalmente, fomentar e incentivar os profissionais locais. Normalmente elas ocorrem junto com um evento principal e relevante na região, e servem como um evento adicional ou alternativo em que as pessoas podem participar.

Aqui no Brasil, a próxima edição da Conferência O Outro Lado - Security BSides São Paulo (Co0L BSidesSP) acontecerá no dia 19 de Maio de 2013.

dezembro 08, 2012

[Cidadania] Basta de tolerar a intolerância

Aconteceu de novo em São Paulo...
De acordo com a Polícia Militar, no dia 3 de dezembro André Cardoso Gomes Baliera voltava de uma farmácia a pé quando foi xingado por dois rapazes que estavam em um carro parado na esquina das ruas Teodoro Sampaio com a Henrique Schaumann. Em seu depoimento prestado na polícia, a vítima diz que foi chamada de "veado, filho da puta e bicha do caralho" ao atravessar a rua.
Após Baliera revidar os insultos de Diego Mosca Lorena de Souza e de Bruno Paulossi Portieri, ambos desceram do carro e lhe deram chutes e socos.

Mas, pelo menos desta vez, foi diferente...
  • As pessoas que presenciaram a agressão ficaram revoltadas, tentaram separar a briga e acionaram a polícia
  • Os PMs que estavam perto do local detiveram os agressores e os levaram ao 91º DP, onde foram autuados em flagrante por tentativa de homicídio e podem ser julgados com base na lei paulista anti-homofobia (10.948/2001).
  • A academia Peralta Fitness, que o Bruno Paulossi Portieri frequentava por ser aluno e comercializar suplementos alimentares na loja da academia, o expulsou.
Infelizmente relatos de preconceito, intolerância e agressão são comuns em São Paulo, a maior cidade do Brasil, em pleno século 21. Algumas pessoas tem dificuldade de aceitar o direito a individualidade de cada um.

A frase abaixo, que eu vi quando visitei o Museu do Holocausto, em Washington DC, define muito bem porque não devemos ficar calados com relação ao preconceito e intolerância:
First they came for the socialists, and I did not speak out because I was not a socialist.
Then they came for the trade unionists, and I did not speak out because I was not a trade unionist.
Then they came for the jews, and I did not speak out because I was not a jew.
Then they came for me, and there was no one left to speak for me.
(Pastor Martin Niemoller)

dezembro 06, 2012

[Cyber Cultura] O estado da Internet

No início deste mês a empresa KPCB publicou uma apresentação com dados interessantes sobre o avanço da Internet no nosso dia-a-dia, chamado "2012 Internet Trends Year-End Update."

A apresentação tem várias estatísticas sobre o uso da Internet e vários exemplos de como estamos cada vez mais usando serviços online em vez de serviços no mundo físico.



Vejam algumas informações interessantes, algumas já destacadas pela reportagem no site VentureBeat:
  • Já existem 2,4 bilhões usuários de Internet em todo o mundo, um número está crescendo cerca de 8% ao ano
  • Existem 1,1 bilhões de assinantes de smartphones em todo o mundo, mas isso ainda é apenas de 17% do mercado de celulares (ou seja, ainda tem muito para crescer)
  • Os dispositivos móveis já representam 13% do tráfego de Internet em todo o mundo
  • 29% dos adultos nos EUA (quase 1/3) possuem um tablet ou e-Reader
  • Nos últimos anos houve uma mudança drástica dos dos computadores e dispositivos pessoais: A Microsoft (Windows) perdeu a liderança para a Apple e o Android
  • Desde o final de 2010 os tablets e smartphones superaram o número de PCs vendidos
  • Desde 2008, há mais smartphones vendidos do que máquinas fotográficas
  • Os desktops/notebooks estão sendo substituídos pelos tablets e smartphones
  • Os teclados e mouses estão sendo substituídos pelas interfaces touch, de voz e gesto (acelerômetro)
  • O lápis e papel estão sendo substituídos pelos programas de escrita digital
  • As salas de aula estão sendo substituídos pelos programas de educação a distância (EAD)


Também vale a pena assistir o vídeo abaixo, de uma apresentação feita recentemente pelo Vinton Cerf, em que ele aborda um pouco da história e o estado atual da Internet.



Atualização (6/12): Aproveitando a carona no assunto, eu também recomendo uma olhada na apresentação "THE FUTURE OF DIGITAL", que também traz várias estatísticas e fatos sobre o crescimento do mundo digital no nosso dia-a-dia.

dezembro 05, 2012

[Segurança] Habemus Legem

Nota: Este post é uma versão atualizada do meu texto sobre a aprovação dos projetos de lei no Congresso.

No dia 3 de Dezembro foram publicados no Diário Oficial os dois projetos de lei sobre crimes cibernéticos devidamente aprovados pelo Congresso e sancionados pela presidenta Dilma Rousseff.

O Projeto de Lei (PL) do deputado Paulo Teixeira (PT), apelidado de "Lei Carolina Dieckmann" (PL 2793/2011) foi aprovado em sua totalidade, como Lei Nº 12.737, e o  "PL do Azeredo" (PL 84/99), também conhecido como "AI-5 Digital", virou a Lei Nº 12.735 - mas metade dele foi vetado pela Dilma, que retirou o artigo que incluia o roubo ou destruição de dados no código penal militar e o artigo sobre falsificação de cartões, que era semelhante a um artigo já existente no PL Dieckmann.

A nova Lei Nº 12.737 inclui no Código Penal alguns crimes cibernéticos bem conhecidos de todos nós, como a invasão de computadores, violação de senhas, roubo ou destruição de dados, os ataques de DDoS (Distributed Deny of Service) e a clonagem de cartão de crédito ou débito. Também criminalizam a criação e distribuição de código malicioso.

O ponto positivo é que antes desta lei os ciber criminosos não podiam ser penalizados na esfera penal (cujas penas envolvem algum tipo de detenção ou prisão), e eram julgados apenas pelo Código Civil, o que resulta normalmente na reparação dos danos - e o bandido acaba continuando livre. Além do mais, quando ocorria algum julgamento na esfera cível, os tribunais eram obrigados a recorrer a boa vontade e interpretação dos juizes para relacionar um crime cibernético a uma modalidade de crime já existente na lei tradicional.

A tabela abaixo resume os principais pontos incluídos na Lei Nº 12.735 (ex-PL do Azeredo) e na Lei Nº 12.737, (ex-PL Carolina Dieckmann). Quando a nova lei incluir algo em uma lei existente, eu coloquei o texto completo da lei com o novo trecho marcado em negrito.


PLLeiArtigoResultado...
AzeredoCódigo PenalArt. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro:
Pena - reclusão, de um a cinco anos, e multa.
Parágrafo único. Equipara-se a documento particular o cartão de crédito ou débito.
Artigo vetado 
AzeredoCódigo Penal MilitarArt. 356. Favorecer ou tentar o nacional favorecer o inimigo, prejudicar ou tentar prejudicar o bom êxito das operações militares, comprometer ou tentar comprometer a eficiência militar:
I - empreendendo ou deixando de empreender ação militar;
II - entregando ao inimigo ou expondo a perigo dessa consequência navio, aeronave, força ou posição, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar;
III - perdendo, destruindo, inutilizando, deteriorando ou expondo a perigo de perda, destruição, inutilização ou deterioração navio, aeronave, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar;

IV - sacrificando ou expondo a perigo de sacrifício fôrça militar;
V - abandonando posição ou deixando de cumprir missão ou ordem:
Pena - morte, grau máximo; reclusão, de vinte anos, grau mínimo.
Artigo vetado.

(A Presidência considerou o tipo penal demasiado abrangente devido a amplitude do conceito de dado eletrônico)
Lei Nº 12.735 (Azeredo)N/AOs órgãos da polícia judiciária estruturarão, nos termos de regulamento, setores e equipes especializadas no combate à ação delituosa em rede de computadores, dispositivo de comunicação ou sistema informatizado.N/A
Lei Nº 12.735 (Azeredo)Lei nº 7.716, de 5 de janeiro de 1989Art. 20. Praticar, induzir ou incitar a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional.
Pena: reclusão de um a três anos e multa.
§ 1º Fabricar, comercializar, distribuir ou veicular símbolos, emblemas, ornamentos, distintivos ou propaganda que utilizem a cruz suástica ou gamada, para fins de divulgação do nazismo.
Pena: reclusão de dois a cinco anos e multa.
§ 2º Se qualquer dos crimes previstos no caput é cometido por intermédio dos meios de comunicação social ou publicação de qualquer natureza:
Pena: reclusão de dois a cinco anos e multa.
§ 3º No caso do parágrafo anterior, o juiz poderá determinar, ouvido o Ministério Público ou a pedido deste, ainda antes do inquérito policial, sob pena de desobediência:
I - o recolhimento imediato ou a busca e apreensão dos exemplares do material respectivo;
II – a cessação das respectivas transmissões radiofônicas, televisivas, eletrônicas ou da publicação por qualquer meio;
III - a interdição das respectivas mensagens ou páginas de informação na rede mundial de computadores.
§ 4º Na hipótese do § 2º, constitui efeito da condenação, após o trânsito em julgado da decisão, a destruição do material apreendido.
Obriga a remoção de conteúdo online associado a discriminação ou preconceito.
Lei Nº 12.737 (Dieckmann)Código PenalArt. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.
§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I – Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.
Mínimo de 3 meses a 1 ano de detenção para invasão de computadores ou criação e distribuição de programas para invasão.

(OBS: a pena aumenta para 6 meses a 2 anos de prisão se envolver acesso a segredos comerciais ou dados sigilosos) 
Lei Nº 12.737 (Dieckmann)Código PenalArt. 266 - Interromper ou perturbar serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento:
Pena - detenção, de um a três anos, e multa.
§ 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento. 
§ 2º Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.
Mínimo de 1 a 3 anos de detenção para ataques de DDoS.
Lei Nº 12.737 (Dieckmann)Código PenalArt. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro:
Pena - reclusão, de um a cinco anos, e multa.
Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito.
1 a 5 anos de prisão para falsificação de cartão de crédito.


É interessante notar que, após mais de 10 anos de discussões no Congresso e muita polêmica, o PL do Azeredo teve quase todos os seus artigos removidos durante as discussões, na tentativa de minimizar as críticas, e acabou sendo reduzido a dois artigos, que definem a estruturação das polícias especializadas em crime cibernético e a remoção de conteúdo online associado a discriminação ou preconceito. Já a lei Carolina Dieckmann, que trata de crimes cibernéticos, atropelou todas as discussões e foi aprovado às pressas por todo mundo.

As duas leis passam a valer 120 dias após a data em que foram publicadas no Diário Oficial (3/12/2012). Com isso, somente os ciber crimes cometidos após Abril de 2013 poderão ser enquadrados nestas leis.


Para saber mais:

dezembro 04, 2012

[Segurança] Relembrando os Malwares em 2011

Todo ano a Symantec produz um relatório muitíssimo completo sobre a evolução dos códigos maliciosos, que inclui uma discussão sobre os Malwares que afetam cada região e os principais países do globo. Este relatório, chamado de Internet Security Threat Report, normalmente é lançado entre abril e maio de cada ano, logo ainda falta um tempinho até conhecermos como foi a evolução das ameaças cibernéticas em 2012.

Entretanto, eu quero destacar que o relatório lançado neste ano, sobre o cenário de ameaças em 2011, contém dois infográficos bem legais: um que resume os principais acontecimentos a cada mês de 2011 e outro, mostrado abaixo, com as principais estatísticas sobre códigos maliciosos.



Entre um dado impressionante e outro, destaca-se o total de 403 milhões de novos malwares que surgiram em 2011, o que significa cerca de 33 milhões de malwares por mês, ou seja, quase 1 milhão de novos códigos maliciosos detectados por dia. É muita coisa...

dezembro 01, 2012

[Cidadania] Dia Mundial de Luta Contra a Aids

Todo o dia 1º de Dezembro é celebrado o Dia Mundial de Luta Contra a Aids, uma data utilizada para conscientizar governos e a sociedade sobre a necessidade de pesquisa, educação e prevenção contra esta doença.

Segundo estimativas do Ministério da Saúde, entre 490 mil e 530 mil pessoas vivem com HIV no Brasil. Dessas, 135 mil não sabem que têm o vírus. No ano passado, foram registrados 38,8 mil novos casos da doença – a maioria nos grandes centros urbanos.

De acordo com uma pesquisa realizada recentemente pela Caixa Seguros com o acompanhamento do Ministério da Saúde e da Organização Pan-Americana de Saúde (Opas), quatro em cada dez jovens brasileiros acham que não precisam usar camisinha em um relacionamento estável, e três em cada dez ficariam desconfiados da fidelidade do parceiro caso ele (ou ela) propusesse sexo seguro. Ao todo, 91% dos jovens entrevistados já tiveram relação sexual e 36% não usaram preservativo na última vez que tiveram relações sexuais.

A pesquisa também identificou que falta aos jovens brasileiros o conhecimento de algumas informações básicas sobre AIDS e DSTs (Doenças Sexualmente Transmissíveis), algo que deveria ser suprido pela escola, pela família e através da Internet.

Com o objetivo de incentivar os cidadãos a usarem preservativos nas relações sexuais, o Grupo Pela Vidda, uma ONG que luta há vários anos pela valorização, integração e dignidade dos doentes de AIDS, disponibilizou na Internet e nas redes sociais três filmes de conscientização. Os vídeos são curtos, de 19 segundos cada um, bem humorados e comparam a relação sexual humana com as dificuldades que os animais têm em se acasalarem.



O UOL e o pessoal do (RED) publicaram um álbum de fotos das várias manifestações que ocorreram durante o Dia Mundial de Luta Contra a Aids em todo o mundo.

novembro 30, 2012

[Cyber Cultura] Internet, terra sem respeito nem coração

Ontem, 29 de Novembro, foi um daqueles dias em que seria melhor se a Internet não existisse.

Pelo menos é o que deve ter pensado uma jovem garota chamada Karina Veiga, que se tornou uma dessas "celebridades instantâneas da Internet", e até mesmo virou Trend Topic no Twitter. Mas, infelizmente, a história é triste: após trair o namorado, ele decidiu se vingar publicando na Internet fotos e vídeos de momentos íntimos dos dois, inclusive fotos de partes íntimas dela.

Embora casos como este tem se tornado cada vez mais frequentes, o que me assusta é a proporção em que este caso tomou: rapidamente várias pessoas começaram a fazer piadas e comentários maldosos sobre a garota, sem sequer respeitar a intimidade, a privacidade e a dor dela. Basta uma rápida busca no Twitter para ver o baixo nível das mensagens que surgiram:

Fernanda Endreffy (‏@antesdascinco): Nem o Eike Batista ia conseguir encher o cu da Karina Veiga de dinheiro.
Daniel Alves ‏(@_DANIELs): "#KarinaVeigaPedeJustiça" kkkskdjkkskjd karina veiga pede mais rola isso sim
ofensivo ‏@rivotriu: Eu Ja Comi O Cu Da Karina Veiga (2372 membros)
Ruan Henrique (‏@slashante): karina veiga RT @Tec_Mundo Astrônomos presenciam a maior explosão de um buraco negro já registrada
Jesus (‏@FilhoDoOCriador): Karina Veiga is a famous brazilian black hole. #Amem.
Jesus ‏(@FilhoDoOCriador): Essas piadas com a Karina Veiga estão de cair o cu da bunda. #Amem. OH WAIT!
Jef Monteiro ‏(@webjef): Estou imaginando o pai da Karina Veiga falando pra ela: "Garota e agora onde que eu enfio a cara????"
Fábio Güeré ‏(@FabioGuere): Não vi nada demais no video da karina veiga... Já tinha visto esse documentario sobre buracos negro na discovery.
Bruno (‏@itsflop): quantas horas até a karina veiga se suicidar façam suas apostas


É difícil julgar quem é o menos errado nessa história: a garota que deixou ser fotografada pelo namorado em quem confiava, a garota que traiu o namorado, o namorado que se vingou de uma forma baixa e vil, ou dos usuários da Internet que compartilharam a história de forma sarcástica, prejudicando ainda mais a garota.

Pelo jeito, ontem a sociedade escolheu a quem punir: a garota. Ela foi maldosamente exposta e execrada online. Mas, do ponto de vista legal, o rapaz poderá ter que pagar pelo seu ato, afinal, o que ele fez pode ser enquadrado em diversos crimes (ainda mais se confirmarem o fato da garota ser menor de idade). Mas, será que a nossa sociedade sórdida e machista será punida também? Ou só eles sairão livres dessa história, aguardando a próxima garota a ser execrada online?

Ótimos textos para ler e refletir:

novembro 24, 2012

[Cyber Cultura] Black Friday vira Black FAIL no Brasil

Desesperados para aumentar suas vendas, as empresas brasileiras resolveram se apoderar da tradicional "Black Friday", uma data específica na cultura americana em que as empresas lá nos EUA tradicionalmente fazem grandes promoções e megaliquidações para atrair os consumidores.

Nos EUA, a Black Friday acontece na sexta-feira seguinte ao feriado do Dia de Ação de Graças, que é um dos feriados mais importantes por lá. De uns anos para cá, ela também passoou a ser acompanhada pela Cyber Monday, que são promoções nas lojas online nos EUA.

Aqui no Brasil, as lojas e e-commerce brasileiras começaram a promover liquidações nesta mesma data, que caiu nesta sexta-feira, 23 de novembro. E qual foi o resultado? Consumidores brasileiros correndo para as lojas, para aproveitar grandes promoções e descontos que, frequentemente, excedem os 50%? Isso acontece nos EUA, mas no Brasil, o país dos espertalhões, a coisa foi um pouco diferente.
Os problemas encontrados na "Black Friday Brasileira" ganharam destaque na imprensa e mostrar a imaturidade de alguns lojistas tem e falta de respeito com o consumidor.

Eu não acredito que os empresários brasileiros serão capazes de dar descontos e fazer promoções tão agressivas como as que acontecem nos EUA, aonde os empresários estão mais preocupados em girar o estoque do que explorar os clientes.

novembro 21, 2012

[Segurança] Cartilha Uso Seguro da Internet para toda a Família

Em 2010 a comissão de Direito Eletrônico e Crimes de Alta Tecnologia da OAB-SP, em conjunto com o Mackenzie, lançou uma cartilha de conscientização sobre o "Uso Seguro da Internet para toda a Família".

A cartilha aborda diversos temas relacionados ao uso da Internet de forma simples e didática, incluindo tópicos como a privacidade na Internet, a liberdade de expressão e as principais modalidades de crimes cibernéticos: o preconceito online, o desrespeito ao direito autoral, o cyberbullying (intimidação) e a pornografia infantil.

A cartilha também inclui dicas sobre como denunciar os crimes na Internet e dicas para usar a Internet de forma segura.

A iniciativa é bem interessante e pode ser utilizada para ajudar na conscientização de usuários finais. Obviamente, esta não é a única cartilha existente sobre o uso da Internet: o Cert.br tem uma cartilha bem completa há vários anos, o CAIS também, a Safernet tem a dela, e o Movimento Criança + Segura na Internet tem quatro cartinhas. Isso só para citar as principais iniciativas em nosso país.

Ou seja, aos usuários finais não podem reclamar que o pessoal não se esforça em fazer cartilhas e mais cartilhas. Pelo jeito, criatividade para fazer cartilha não falta.

Mas vale a pena lembrar que as cartilhas, sozinhas ou em bando, não fazem milagre e nem resolvem o problema de conscientização dos usuários. Antes de mais nada, a cartilha deve ser utilizada como um instrumento de apoio dentro de uma ação específica de conscientização. Por exemplo, quando os pais forem conversar com seus filhos, eles podem usar alguma das cartilhas existentes como apoio para a conversa, talvez lendo juntos, ou discutindo junto com os filhos as dicas que a cartilha apresenta. Podem também ser utilizadas como apoio durante uma conversa ou discussão em sala de aula. Ou, dentro da sua empresa, a cartilha pode ser distribuída como parte de uma campanha que envolva outras atividades adicionais, como uma palestra, debate, dinâmica de grupo ou alguma atividade similar.

novembro 14, 2012

[Segurança] Cyber crime pode dar pena de morte no Brasil

Como todos nós já sabemos, na semana passada a Câmara dos Deputados aprovou os dois principais projetos de lei (PL) sobre crimes cibernéticos que estavam em discussão no congresso: o "PL do Azeredo"(PL 84/99), também conhecido maldosamente como "AI-5 Digital" e o PL do deputado Paulo Teixeira (PT), chamado de "Lei Carolina Dieckmann" (PL 2793/2011).

A imprensa também já divulgou bastante a notícia da aprovação das leis, inclusive falando algumas barbaridades (como a matéria que disse erroneamente que a nova lei estabelece pena de prisão para racismo), mas ninguém deu destaque a uma alteração específica proposta no PL do Azeredo, que inclui o roubo e destruição de dados no código penal militar (negritos colocados por minha conta):

Art. 3º Os incisos II e III do art. 356 do Decreto-Lei nº 1.001, de 21 de outubro de 1969 - Código Penal Militar, passam a vigorar com a seguinte redação:
“Favor ao inimigo
Art. 356. ..............................................................................
II - entregando ao inimigo ou expondo a perigo dessa consequência navio, aeronave, força ou posição, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar;
III - perdendo, destruindo, inutilizando, deteriorando ou expondo a perigo de perda, destruição, inutilização ou deterioração navio, aeronave, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar; ........................................... ”

Aparentemente, a alteração é simples e inofensiva, mas a coisa muda de figura se olharmos como ficará o artigo completo, após a sanção da lei:

Art. 356. Favorecer ou tentar o nacional favorecer o inimigo, prejudicar ou tentar prejudicar o bom êxito das operações militares, comprometer ou tentar comprometer a eficiência militar:
I - empreendendo ou deixando de empreender ação militar;
II - entregando ao inimigo ou expondo a perigo dessa consequência navio, aeronave, força ou posição, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar
III - perdendo, destruindo, inutilizando, deteriorando ou expondo a perigo de perda, destruição, inutilização ou deterioração navio, aeronave, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar;
IV - sacrificando ou expondo a perigo de sacrifício fôrça militar;
V - abandonando posição ou deixando de cumprir missão ou ordem:
Pena - morte, grau máximo; reclusão, de vinte anos, grau mínimo.

Ou seja, este artigo estabelece 20 anos de prisão ou pena de morte para o vazamento ou destruição de dados militares.

Um amigo já se apressou em me dizer que no Brasil não existe pena de morte. Ledo engano, pois a pena de morte existe sim, justamente no código penal militar. Morte por fuzilamento, a propósito (artigo 56).

Neste final de semana eu tive uma excelente conversa com o Ricardo Castro e a Dra Gisele Truzzi (Truzzi Advogados) sobre a aprovação dos dois PLs (que virou um excelente podcast, modéstia a parte) e discutimos bastante esta alteração no código penal militar. Não custa lembrar que diversos sites das forças armadas sofreram ataques de negação de serviços (DDoS), defacement e roubo de dados recentemente. Além do mais, o governo Brasileiro criou o Centro de Defesa Cibernética (CDCiber), que é de responsabilidade do Ministério da Defesa e do Exército Brasileiro. Logo, um ataque ao CDCiber poderia ser enquadrado nesta lei. Não só isso, mas como o CDCiber é responsável por coordenar a segurança de TI para os grandes eventos que teremos no Brasil nos próximos anos (Copa das Confederações em 2013, Copa de 2014 e Olimpíadas no Rio em 2016), os ataques a estes sites que envolvam a destruição ou o roubo de dados do CDCiber também poderão ser enquadrados nesta lei.

Em termos práticos, eu acredito que é muito pouco provável que um ataque cibernético seja punido com a pena de morte. Mas, de qualquer forma, esta nova redação para o artigo 356 do Código Penal Militar dá um suporte legal para as forças armadas processarem autores de ataques cibernéticos direcionados a eles. Além do mais, esta lei fará com que os ataques a dados militares sejam julgados e punidos pela justiça militar, e não por tribunais civis.


Atualização em 04/12: No dia 30 de Novembro, a presidenta Dilma Rousseff sancionou os dois projetos de lei sobre crimes cibernéticos, que foram publicados no Diário Oficial de 03 de Dezembro. O  PL do Azeredo virou a Lei Nº 12.735, mas foi vetado o artigo que propunha a alteração no código penal militar.

novembro 09, 2012

[Segurança] Aprovado o projeto de lei dos crimes cibernéticos

Nota: escrevi uma versão atualizada deste post aqui, após os projetos de lei serem sancionados e virarem lei. 


Nesta semana a Câmara dos Deputados aprovou os dois principais projetos de lei (PL) sobre crimes cibernéticos que estavam em discussão no congresso, dando fim a vários anos de uma tramitação que parecia que não teria fim. Para virarem lei, falta apenas a sanção da presidente Dilma Rousseff.

Os projetos aprovados foram o famoso "PL do Azeredo" (PL 84/99), também conhecido maldosamente como "AI-5 Digital" e o PL do deputado Paulo Teixeira (do PT), chamado de "Lei Carolina Dieckmann" (PL 2793/2011).

Eu já discuti aqui a importância de termos um projeto de lei sobre os crimes cibernéticos e também critiquei a "Lei Carolina Dieckmann", principalmente porque ela corre o sério risco de criminalizar a pesquisa em segurança.

O importante a ser notado é que, no final das contas, o Congresso conseguiu fazer uma baita de uma "lambança": aprovou a lei Carolina Dieckmann às pressas, em cerca de um ano, e aprovou um mini-frankstein do PL do Azeredo, que teve quase todos os artigos originais cortados para retirar todo e qualquer ponto polêmico e, assim, conseguir ser aprovado após tramitar no Congresso por quase 12 anos. Ou seja, discutiu um projeto demais, outro de menos, e acabou aprovando algo que está longe do ideal, embora certamente darão um certo suporte jurídico ao combate ao crime cibernético.

Uma coisa a se notar é que o processo de criação de leis no Brasil é intrisicamente lento e, normalmente, envolve dezenas de discussões. De uma forma geral, um projeto de lei surge em uma das "casas" (a Câmara dos Deputados ou o Senado). Após ser discutido em várias comissões e após ser discutido e aprovado no plenário (o que pode durar várias reuniões), o projeto segue para a avaliação da outra casa. Nesta casa, ele também vai passar por várias comissões e votações, aonde pode ser alterado várias vezes, até ser aprovado pelo plenário. Quando o projeto de lei volta para a casa original, ele segue para a "reta final" aonde não pode mais sofrer alterações: o plenário pode apenas aprovar ou rejeitar as alterações propostas pela outra casa, ou retirar alguma coisa do texto original. Nada mais pode ser alterado ou incluído. Com a aprovação do plenário, aí o PL segue para sanção da Presidência da República, que pode aprovar o projeto integralmente, vetar algum parágrafo específico ou vetar tudo. Ou seja, um projeto proposto por um Deputado Federal, por exemplo, vai tramitar durante um tempão na Câmara, depois vai para o Senado, vai passar por todos os trâmites burocráticos e discussões do Senado, e quando a proposta voltar para a Câmara ela deve ser aprovada para ir para a Presidência, lembrando que a Câmara não poderá mudar nada no projeto após recebê-lo do Senado - só poderá, no máximo, retirar algum artigo ou parágrafo do projeto original ou algo que tenha sido adicionado ou alterado pelo Congresso.

Meio confuso, né? Por isso mesmo que um projeto de lei demora vários anos para ser aprovado, e por isso mesmo dá um frio na espinha ver um projeto aprovado as pressas por todo mundo.

Os dois projetos de lei, em conjunto, incluem no Código Penal crimes como a invasão de computadores, violação de senhas, roubo de dados, ataques de DDoS (Distributed Deny of Service) e até mesmo clonagem de cartão de crédito ou débito. Também criminalizam a criação de código malicioso. Isto certamente é positivo, pois a legislação atual não prevê estes delitos e, por isso, os tribunais eram obrigados a recorrer a boa vontade e interpretação dos juizes para relacionar um crime cibernético a uma modalidade de crime tradicional. E, mesmo assim, somente na esfera cível, pois o Código Penal não permite este tipo de interpretação - somente é julgado um crime que esteja descrito especificamente na lei, sem margem a interpretações.

Mas, cá entre nós, o que foi aprovado? Para responder esta questão, eu resolvi criar a "tabelinha" abaixo, que resume os principais pontos incluídos pela redação final do PL do Azeredo e pela Lei Carolina Dieckmann (quando o projeto incluir algo em uma lei existente, eu marquei o trecho incluído em negrito).


PL Lei Artigo Resultado...
Azeredo Código PenalArt. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro:
Pena - reclusão, de um a cinco anos, e multa.
Parágrafo único. Equipara-se a documento particular o cartão de crédito ou débito.
1 a 5 anos de prisão para falsificação de cartão de crédito ou débito.
Azeredo Código Penal Militar Art. 356. Favorecer ou tentar o nacional favorecer o inimigo, prejudicar ou tentar prejudicar o bom êxito das operações militares, comprometer ou tentar comprometer a eficiência militar:
I - empreendendo ou deixando de empreender ação militar;
II - entregando ao inimigo ou expondo a perigo dessa consequência navio, aeronave, força ou posição, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar;
III - perdendo, destruindo, inutilizando, deteriorando ou expondo a perigo de perda, destruição, inutilização ou deterioração navio, aeronave, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar;

IV - sacrificando ou expondo a perigo de sacrifício fôrça militar;
V - abandonando posição ou deixando de cumprir missão ou ordem:
Pena - morte, grau máximo; reclusão, de vinte anos, grau mínimo.
20 anos de prisão ou pena de morte para roubo de dados militares.
Azeredo N/A Os órgãos da polícia judiciária estruturarão, nos termos de regulamento, setores e equipes especializadas no combate à ação delituosa em rede de computadores, dispositivo de comunicação ou sistema informatizado. N/A
Azeredo Lei nº 7.716, de 5 de janeiro de 1989 Art. 20. Praticar, induzir ou incitar a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional.
Pena: reclusão de um a três anos e multa.
§ 1º Fabricar, comercializar, distribuir ou veicular símbolos, emblemas, ornamentos, distintivos ou propaganda que utilizem a cruz suástica ou gamada, para fins de divulgação do nazismo.
Pena: reclusão de dois a cinco anos e multa.
§ 2º Se qualquer dos crimes previstos no caput é cometido por intermédio dos meios de comunicação social ou publicação de qualquer natureza:
Pena: reclusão de dois a cinco anos e multa.
§ 3º No caso do parágrafo anterior, o juiz poderá determinar, ouvido o Ministério Público ou a pedido deste, ainda antes do inquérito policial, sob pena de desobediência:
I - o recolhimento imediato ou a busca e apreensão dos exemplares do material respectivo;
II – a cessação das respectivas transmissões radiofônicas, televisivas, eletrônicas ou da publicação por qualquer meio;
III - a interdição das respectivas mensagens ou páginas de informação na rede mundial de computadores.
§ 4º Na hipótese do § 2º, constitui efeito da condenação, após o trânsito em julgado da decisão, a destruição do material apreendido.
Obriga a remoção de conteúdo online associado a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional.
Dieckmann Código Penal Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.
§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I – Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.
Mínimo de 3 meses a 1 ano de prisão detenção para invasão de computadores ou criação e distribuição de programas para invasão.

(OBS: a pena aumenta para 6 meses a 2 anos de prisão se envolver acesso a segredos comerciais ou dados sigilosos) 
Dieckmann Código Penal Art. 266 - Interromper ou perturbar serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento:
Pena - detenção, de um a três anos, e multa.
§ 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento. 
§ 2º Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.
Mínimo de 1 a 3 anos de prisão detenção para ataques de DDoS.
Dieckmann Código Penal Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro:
Pena - reclusão, de um a cinco anos, e multa.
Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito.
1 a 5 anos de prisão para falsificação de cartão de crédito.


É interessante notar que os dois PLs alteram o artigo 298 do Código Penal, criminalizando a falsificação de cartões de débito e crédito. A redação é ligeiramente diferente, e eu particularmente não sei qual das duas terá precedência e será a redação final, o que não faz tanta diferença assim. Coincidência? Claro que não, tolinho... não se esqueça que estes projetos de lei são resultado do lobby da Febraban e, além do mais, o PL do Deputado Paulo Teixeira foi criado a partir do texto do PL do Azeredo.

Não custa lembrar que o Walter Capanema, da OAB/RJ, fez uma palestra excelente no SegInfo deste ano aonde ele discutiu e criticou muito bem os projetos de lei sobre crimes cibernéticos. Vale a pena dar uma olhada no vídeo.



Para saber mais, além dos vários links citados acima, eu recomendo...

Atualização em 11/11: Após uma excelente conversa com a Dra. Gisele Truzzi e o Ricardo Castro, fiquei sabendo que pena de detenção é diferente de pena de reclusão. Reclusão é o que nós, leigos no direito, chamamos de prisão ou "ver o sol nascer quadrado". A detenção, na verdade, representa uma privação da liberdade em menor grau. O código penal define que a pena de reclusão deve ser cumprida em regime fechado, semi-aberto ou aberto, enquanto a pena de detenção é cumprida em regime semi-aberto ou aberto.

Atualização em 04/12: No dia 30 de Novembro, a presidenta Dilma Rousseff sancionou os dois projetos de lei, foram publicados no Diário Oficial de 03 de Dezembro. O PL Carolina Dieckmann foi aprovado em sua totalidade, como Lei Nº 12.737, enquanto o PL do Azeredo virou a Lei Nº 12.735 e foi cortado pela metade: a Dilma vetou os artigos sobre o código penal militar e o artigo semelhante ao que existia no PL Dieckmann. Com isso, após mais de 10 anos de discussões no Congresso, o PL do Azeredo ficou reduzido aos artigos que definem a estruturação das polícias especializadas em crime cibernético e a remoção de conteúdo online associado a discriminação ou preconceito.

novembro 06, 2012

[Cyber Cultura] Hackers: Magos da Era Digital

Acabei de assistir este documentário super interessante feito em 1984, chamado "Hackers: Wizards of the Electronic Age", e que fala sobre o nascimento da cultura hacker.

O documentário discute o que é ser um hacker, alguém apaixonado por tecnologia e pelos desafios relacionados aos computadores. O filme contém entrevistas bem legais com algumas figurinhas que já eram influentes na época e são bem conhecidas até hoje, como Steve Wozniak, Richard Stallman e o jornalsta Steven Levy. O documentário também mostra várias pessoas que foram os pioneiros responsáveis pelo surgimento dos primeiros computadores pessoais e pelo início da indústria de TI.

Como o documentário foi gravado há quase 30 anos atrás, acaba sendo divertido ver também as imagens da tecnologia da época, principalmente os primeiros Macs, os programas utilizados na época e as BBS's. O documentário também discute o licenciamento de software e o surgimento da pirataria de software, dos freewares e sharewares, o surgimento da "democracia eletrônica" e, pasmem, fala até de sobrecarga de informação ("information overload").

novembro 04, 2012

[Cyber Cultura] Anonymous e Guy Fawkes se encontram em 5 de Novembro

No dia 5 de Novembro é celebrado, na Inglaterra, a "Noite da Fogueira" ("Bonfire Night", mas também chamada de "Noite de Guy Fawkes" ou "Dia de Guy Fawkes" - "Guy Fawkes Night" ou "Guy Fawkes Day"), para celebrar que a monarquia escapou da "Conspiração da Pólvora", uma tentativa de atentado em 1605 que imortalizou a figura de um de seus principais personagens, Guy Fawkes.

De traidor em 1605, Guy Fawkes se tornou um símbolo dos cyber ativistas 400 anos depois, e da luta contra governos autoritários.

E é interessante analisar como houve esta mudança.

Guy Fawkes foi um soldado inglês nascido em 13 de abril de 1570, que teve participação chave na chamada "Conspiração da pólvora" ("Gunpowder Plot"), um plano que pretendia criar um levante católico a partir do assassinato do rei Jaimes I da Inglaterra e dos membros do parlamento - o que seria conseguido com a explosão do Parlamento Inglês. Guy Fawkes foi o responsável por posicionar os barris de pólvora abaixo do prédio do Parlamento e iria usá-los para explodir o local durante uma sessão no dia 5 de Novembro de 1605. Entretanto a conspiração foi descoberta e Guy Fawkes foi preso e torturado. Após o julgamento, Guy Fawkes e outros participantes da conspiração foram executados na forca.

Desde então, o fracasso da "Conspiração da pólvora" é celebrado na Inglaterra todo o dia 5 de novembro, na "Noite das Fogueiras". Nesta data é tradição inglesa soltar fogos de artifício e queimar em fogueiras bonecos que representam Fawkes. Algo parecido com a "malhação do Judas", que acontece em várias cidades brasileiras. Ou seja, Guy Fawkes representa, para os britânicos, o mesmo que o Judas representa para os Brasileiros. Não poderia ser diferente, em um país aonde a maioria é protestante e pró-monarquia.

Entretanto, com o passar dos anos a reputação de Fawkes foi sendo revista e, lentamente, reabilitada, a ponto dele ser referido, às vezes, como sendo "o último homem a entrar Parlamento com intenções honestas."

Mas a grande mudança do papel de Guy Fawkes na cultura popular aconteceu graças a graphic novel "V de Vingança" ("V for Vendetta"), criada por Alan Moore com arte de David Lloyd a partir de 1981 (quando a Inglaterra estava sob o governo de Margaret Thatcher). Na história, a Inglaterra está sob o domínio de uma ditatura totalitária facista no "futurístico" ano de 1998 até que surge um "terrorista" que utiliza o codinome V e uma máscara inspirada no rosto de Guy Fawkes, que irá promover uma revolução contra o governo e seus principais líderes, incluindo a explosão do Parlamento para representar o fim do regime opressivo.

Em 2005 o livro foi adaptado para o filme de mesmo nome, V de Vingança, que por sua vez reforçou ainda mais o caráter revolucionário e heróico do personagem V. Além do mais, o filme serviu para difundir universalmente a imagem da máscara estilizada do Guy Fawkes - que posteriormente foi adotada pelo grupo hacktivista Anonymous como símbolo da luta contra os governos, além de permitir aos seus membros realizarem protestos no mundo real escondendo suas identidades.

Embora o uso de uma máscara representando o Guy Fawkes tenha raízes nas antigas celebrações da "Noite da Fogueira", o ilustrador David Lloyd criou uma versão estilizada da máscara na graphic novel V de Vingança, em conjunto com uma vestimenta usada pelo personagem principal formada por roupa preta, capa e chapéu, que foi mantida na sua adaptação para o cinema de 2005. Assim, a máscara estilizada que apareceu no filme passou a representar o sentimento de protesto e de rebelião popular depois que ela foi usada como um elemento importante na trama.

Mas é interessante notar que o próprio Alan Moore foi contra o filme e se recusou a assistí-lo.

E não é para menos: embora a adaptação para o cinema tenha mantido algumas cenas-chave do comic book, ela retirou muito da caracterização facista e controladora do governo imaginado (e criticado) por Alan Moore. Pior ainda, a versão para o cinema alterou bastante o final da história original. Para exemplificar, sem estragar a surpresa para quem não leu o livro, uma das cenas mais emblemáticas do filme, em que a população sai às ruas vestindo máscaras do Guy Fawkes e marchando contra o governo, simplesmente não existe na história original. E, mais interessante ainda, esta é uma cena constantemente utilizada na propaganda visual do Anonymous para representar o caráter coletivo e revolucionário do grupo.

Neste dia 5 de Novembro, enquanto os Ingleses comemoram a vitória da monarquia sobre a "conspiração da pólvora", talvez algumas crianças ainda ateiem fogo em bonecos representando Guy Fawkes. Entretanto, graças a versão heróica da imagem de Guy Fawkes criada por Alan Moore e imortalizada por Hollywood, vários integrantes do grupo Anonymous ao redor do mundo também aproveitarão esta data para se manifestar (vide OpJubilee, OP maZYNGA e OpRemember).



Mais informações:

novembro 02, 2012

[Segurança] Espionagem industrial

Estava fazendo uma pesquisa sobre espionagem industrial e comercial e, embora este tipo de crime seja muito comum no Brasil e no mundo, há poucos relatos na imprensa de casos em nosso país de conhecimento público.

A espionagem industrial envolve roubo de dados e segredos por parte de concorrentes, como informações de preços e cotações, além de projetos e fórmulas industriais. Pela minha experiência e conversando com amigos empresários, um dos casos mais comuns é o roubo de informações sobre cotaçoes e listas de preços para que os concorrentes possam obter vantagem comercial facilmente. Normalmente estes casos envolvem funcionários descontente ou ex-funcionários, e com o uso das tecnologias atuais, é muito fácil roubar informações sem ser percebido. Para piorar o cenário, uma prática muito comum no Brasil é que os funcionários façam cópias das informações da empresa, principalmente dos dados que mantém em seus computadores, e levem consigo estas cópias quando saem da empresa.

Embora os exemplos sejam poucos, eu achei algumas histórias interessantes no Brasil e no mundo:
  • Em 1993 um ex-diretor da General Motors na Europa, José Ignacio López de Arriortúa, foi acusado de roubar documentos e planos sigilosos da GM e entregá-los para a concorrente, após ser contratado para um alto cargo na Volkswagen. Uma das informações mais importantes que vazaram da GM foi o projeto de uma fábrica que teria dado origem à unidade de fabricação de caminhões e ônibus da Volks em Resende, no Rio de Janeiro.
  • Em 1994, um técnico de som entregou quatro fitas à Spal, empresa engarrafadora da Coca-Cola em São Paulo, com conversas gravadas na Pepsi sobre um plano estratégico confidencial para ampliar o número de pontos de venda, fábricas e caminhões. As fitas chegaram até a sede da Coca em São Paulo, onde foram transcritas pelo então gerente de operações Antônio Cesar Santos de Azambuja. A história só veio à tona quando o funcionário denunciou o ocorrido, depois de ser demitido sem motivo aparente.
  • Em 2001, a Procter & Gamble (P&G) contratou uma empresa especializada em investigação para ter mais informações sobre os negócios da concorrente Unilever nos Estados Unidos, principalmente os projetos voltados para cuidados com os cabelos. Um dos detetives contratados pela P&G foi surpreendido revirando o lixo da Unilever, em busca de dados secretos da empresa.
  • No final de 2002 a maior empresa de recrutamento de executivos do Brasil, a Catho, foi acusada de roubar curriculos e dados pessoais acessando irregularmente a base de dados de concorrentes, e praticar concorrência desleal. A denúncia partiu de uma das suas maiores concorrentes, a Curriculum, mas ao longo das investigações descobriu-se que outras empresas também tiveram seus arquivos acessados pela Catho, entre elas o Guia OESP e a Embratel.
  • Em um escândalo de grandes proporções no Brasil, em 2004 a Polícia Federal descobriu que a empresa de investigação particular Kroll foi contratada pela Brasil Telecom (controlada pelo Opportunity) para espionar a concorrente Telecom Italia, pois o Opportunity e a Telecom Italia travavam uma batalha judicial sobre o controle da Brasil Telecom. A espionagem acabou atingindo autoridades do governo, como o ministro Luiz Gushiken e o presidente do Banco do Brasil, Cassio Casseb. Em 2012 a Justiça Federal absolveu o banqueiro Daniel Dantas, do Opportunity, e a ex-executiva da Brasil Telecom, Carla Cicco.
  • Em 2005, a Justiça americana acusou o conselho de administração da HP de usar meios ilegais para investigar os autores de vazamentos de informações e documentos sigilosos para a imprensa. A HP grampeou telefones e contratou detetives particulares com identidades falsas. Com o burburinho, Jay Keyworth, um diretor antigo da HP, confessou ter passado documentos da empresa para o The Wall Street Journal.
  • Em 2007, um gerente de qualidade da LG Eletronics foi acusado por quatro funcionários da Philips da Amazônia (Zona Franca de Manaus) de usar uma identidade falsa para entrar na unidade e ter acesso a detalhes sobre um novo produto da concorrente, a TV de LCD de 52 polegadas.
  • Em 2007, um funcionário do Co-Rio (Comitê Organizador do Pan de 2007) foi demitido por copiar sem autorização arquivos da multinacional Event Knowledge Services (EKS)
  • Em junho de 2007, a equipe Ferrari denunciou a McLaren à justiça italiana, acusada de roubo de segredos industriais. A Ferrari suspeitava havia meses que seu engenheiro e ex-chefe dos mecânicos Nigel Stepney teria passado um dossiê com mais de 700 desenhos secretos da Ferrari modelo F2007 a Mike Coughlan, projetista-chefe da McLaren. Coughlan foi demitido pouco tempo depois, mas a suspeita de que a McLaren teria tirado vantagem das informações contidas no dossiê comprometeram a lisura da disputa do campeonato de 2007.
  • Em 2008, o serviço secreto brasileiro investigou o caso de radiotransmissores flutuantes que foram encontrados perto do centro de lançamento de foguetes de Alcântara, que na época tinha um projeto brasileiro–ucraniano para lançamento de satélites usando o míssil ucraniano “Zenit”. A ABIN identificou a existência de equipamentos de telemetria (que podem captar, enviar e processar dados à distância) instalados em bóias apreendidas em praias que cercam a base de Alcântara.
  • Em Setembro de 2008 o ex-engenheiro da Intel, Biswahoman Pani, foi investigado pelo FBI por roubo de informações secretas da empresa. Ele teria roubado documentos com dados e desenhos confidenciais de projetos de processadores da Intel após ter sido contratado pela AMD. Pani se defendeu dizendo que apenas roubou os dados secretos da Intel com a intenção de impressionar os seus novos chefes e que a AMD não estava ciente do roubo de dados. A Intel estimou o valor das informações roubadas entre 200 e 400 milhões de dólares.
  • Em 2010 um grupo liderado pelo empresário chinês Su Bin (com residência no Canadá) conseguiu roubar e exportar documentos secretos referentes aos projetos dos caças F-22 e F-35 e da aeronave de trasporte C-17. Somente os dados do C-17 totalizaram 630,000 arquivos e 65 gigabytes de dados. Segundo as acusações do FBI, formalizadas em Junho de 2014, Su Bin liderava um grupo formado por mais dois indivíduos na china, especializados em ciber ataque e roubo de dados.
  • Em fevereiro de 2010 um ex-funcionário de origem chinesa da Boeing foi condenado a 15 anos de prisão por entregar informações sobre uma nave espacial ao governo chinês. Dongfan “Greg” Chung, um chinês de 74 anos naturalizado americano, espionou para a China durante mais de 30 anos. Quando Chung foi detido, em fevereiro de 2008, agentes federais encontraram em sua casa 250 mil documentos de companhias como Boeing e Rockwell, além de uma série de correspondências com funcionários chineses.
  • Em julho de 2010, veio à tona uma denúncia de espionagem da Motorola contra a empresa chinesa Huawei, acusada pela de roubar informações sigilosas desde 2001, através de 13 empregados da Huawei que usaram a fornecedora Lemko para ter acesso aos dados.
  • Em agosto de 2010, a MGA Entertainment, fabricante das bonecas Bratz, acusou a Mattel, da Barbie, de fazer espionagem industrial há mais de 15 anos. Segundo a MGA, funcionários da Mattel usaram crachás de identificação falsos para burlar a segurança das fábricas e tirar fotos dos novos produtos das marcas.
  • Em novembro de 2010, um funcionário da FORD foi acusado de espionagem industrial e oferecer informações da empresa para companhias chinesas. Mike Yu, um engenheiro de 49 anos, copiou ilegalmente mais de 4 mil documentos confidenciais. As informações eram relacionadas às tecnologias aplicadas em motores, caixas de câmbio, carrocerias e até equipamentos elétricos. Yu se declarou culpado em seu julgamento e incrimou a Baic, fabricante de Pequim, que o contratou pelos dados privilegiados.
  • Em janeiro de 2011, a Renault suspendeu três diretores suspeitos de vazar informações importantes sobre o projeto de um carro elétrico. Os líderes da companhia consideram o caso como “muito grave". Entretanto, alguns meses depois surgiu a suspeita de que as acusações teriam sido inventadas por um agente de segurança da Renault. Embora os funcionários tenham sido inocentados, há uma notícia que diz que eles se suicidaram.
  • No início de 2011, uma decisão judicial considerou a rede de hotelaria Hilton Hotels culpada de roubar dados da rede Starwood Hotels & Resorts. Em abril de 2009, a Starwood acusou a Hilton de roubar seus planos para o conceito de serviços da rede W, chamado The Den Zen. O Hilton, com ajuda de dois executivos da Starwood, roubou as informações e lançou um novo empreendimento com o nome Denizen. A decisão judicial ordenou a Hilton que devolvesse os documentos roubados, além de proibí-los de contratar ex-funcionários da Starwood e de usar qualquer estilo de marca parecido com a da concorrente até janeiro de 2013.
  • Em Abril de 2011 o ex-chefe de vendas da Hewlett-Packard na Ásia, Adrian Jones, foi processado por ter supostamente roubado centenas de documentos e e-mails importantes sobre planos financeiros, dados de vendas e de funcionários da HP. Jones teria copiado as informações em um dispositivo USB antes de pedir demissão da HP para ir trabalhar na rival Oracle.
  • Em março de 2011 a polícia de São Paulo prendeu Giulliano Schincariol Bordieri de Carvalho, acusado de ter chefiado um assalto à casa do empresário Alexandre Nascimento Manoel, com objetivo de roubar três computadores que continham uma fórmula secreta de cosmético para alisar o cabelo. Giulliano Schincariol já estava negociando a fórmula com compradores na França e na África.
  • Em 2012, dois ex-funcionários da Fepsa (Feltros Portugueses SA) foram condenados por espionagem industrial em um caso que envolveu empresas Brasileiras e Portuguesas. O caso remonta a 2008, quando um funcionário da Fepsa, engenheiro têxtil, vendeu a uma concorrente brasileira, Chapéus Cury, informação sobre o processo de feltragem. O engenheiro têxtil foi detido em 2008, quando se encontrava de partida para o estrangeiro, após ter subtraído “documentação à qual não tinha acesso, nem dizia respeito às suas funções”. A empresa brasileira lucrou com as informações transmitidas pelos antigos funcionários da Fepsa, pois conseguiu melhorar sua tecnologia.
  • No início de 2012 surgiu a notícia de que durante quase uma década, hackers chineses tiveram amplo acesso à rede corporativa de computadores da Nortel Networks. Usando sete senhas roubadas de altos executivos da Nortel, incluindo seu diretor-presidente, os hackers começaram a invadir os computadores da Nortel desde pelo menos 2000, e tiveram acesso a relatórios técnicos, de pesquisa e desenvolvimento, planos de negócios, e-mails de funcionários e outros documentos.
  • Em junho de 2012, a empresa ESET divulgou um caso de ataque direcionado de malware na América Latina, com o objetivo de roubar arquivos (projetos, desenhos, etc) de AutoCAD dos computadores infectados. A chamada Operação Medre foi direcionada exclusivamente a um país da região, o Peru, com objetivo de enviar todos os projetos de AutoCAD abertos no sistema infectado para contas de e-mail hospedadas na China.
  • Em setembro de 2012 tivemos o caso de dez funcionários do Comitê Organizador das Olimpíadas e Paralimpíadas de 2016 no Rio de Janeiro que foram demitidos por ter baixado ilegalmente os arquivos de computador das Olimpíadas de Londres. Eles faziam parte de um grupo de 200 funcionários do Comitê Organizador dos Jogos Olímpicos Rio-2016 que foram enviados a Londres a fim de estudar a experiência de organização e realização dos Jogos Olímpicos de 2012. Uma das funcionárias demitidas, Renata Santiago, tentou justificar o caso em carta endereçada ao presidente do comitê, dizendo que todos os dados trazidos por ela ao Brasil eram "abertos".
  • Em novembro de 2012 a Polícia Federal fez a Operação Durkheim para desarticular duas organizações criminosas, uma especializada na venda de informações sigilosas e outra voltada à prática de crimes contra o sistema financeiro nacional. A Polícia Federal descobriu uma grande rede de espionagem ilegal, composta por vendedores de informações sigilosas que se apresentam ao mercado como detetives particulares, e por seus fornecedores, pessoas com acesso aos bancos de dados, como funcionários de empresas de telefonia, bancos e servidores públicos. Dentre as vítimas há políticos, desembargadores, uma emissora de televisão e um banco.
  • Em julho de 2014 um relatório o time de segurança cibernética da Airbus Defense and Space citou uma campanha do tipo APT executada por um grupo aparentemente chinês, que recebeu o nome de Pitty Tiger. O grupo atacou empresas do setor de defesa, energia, telecomunicações e desenvolvimento Web. Especula-se que este grupo estava ativo desde 2008.
  • Em Dezembro de 2015, o FBI prendeu o chinês Xu Jiaqiang, engenheiro de software da IBM na China, acusado de roubar o código fonte de um software e tentar vendê-lo para outras companias e compartilhar com o governo Chinês.
  • Em 2016, um empregado da T-Mobile na República Tcheca roubou uma base de dados de marketing com os dados pessoais de 1,5 milhões de clientes da empresa para revendê-los.
O destaque do Brasil no cenário global, em parte por causa dos bons ventos da economia Brasileira e do país hospedar a Copa de 2014 e a Olimpíada se 2016, podem atrair o interesse de governos e empresas internacionais, e com isso, aumentar os riscos de espionagem industrial no Brasil.

O Jornal da Band fez uma reportagem sobre o setor de espionagem industrial, que embora seja interessante, focou na espionagem eletrônica e falhou em não abordar também os riscos de roubo de dados através de ex-funcionários e do uso da informática.

Nota: Post atualizado em 04/12/2012, com mais alguns casos. Atualizado novamente em 19/02/2015 e em 19/07/2016.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.