novembro 30, 2012

[Cyber Cultura] Internet, terra sem respeito nem coração

Ontem, 29 de Novembro, foi um daqueles dias em que seria melhor se a Internet não existisse.

Pelo menos é o que deve ter pensado uma jovem garota chamada Karina Veiga, que se tornou uma dessas "celebridades instantâneas da Internet", e até mesmo virou Trend Topic no Twitter. Mas, infelizmente, a história é triste: após trair o namorado, ele decidiu se vingar publicando na Internet fotos e vídeos de momentos íntimos dos dois, inclusive fotos de partes íntimas dela.

Embora casos como este tem se tornado cada vez mais frequentes, o que me assusta é a proporção em que este caso tomou: rapidamente várias pessoas começaram a fazer piadas e comentários maldosos sobre a garota, sem sequer respeitar a intimidade, a privacidade e a dor dela. Basta uma rápida busca no Twitter para ver o baixo nível das mensagens que surgiram:

Fernanda Endreffy (‏@antesdascinco): Nem o Eike Batista ia conseguir encher o cu da Karina Veiga de dinheiro.
Daniel Alves ‏(@_DANIELs): "#KarinaVeigaPedeJustiça" kkkskdjkkskjd karina veiga pede mais rola isso sim
ofensivo ‏@rivotriu: Eu Ja Comi O Cu Da Karina Veiga (2372 membros)
Ruan Henrique (‏@slashante): karina veiga RT @Tec_Mundo Astrônomos presenciam a maior explosão de um buraco negro já registrada
Jesus (‏@FilhoDoOCriador): Karina Veiga is a famous brazilian black hole. #Amem.
Jesus ‏(@FilhoDoOCriador): Essas piadas com a Karina Veiga estão de cair o cu da bunda. #Amem. OH WAIT!
Jef Monteiro ‏(@webjef): Estou imaginando o pai da Karina Veiga falando pra ela: "Garota e agora onde que eu enfio a cara????"
Fábio Güeré ‏(@FabioGuere): Não vi nada demais no video da karina veiga... Já tinha visto esse documentario sobre buracos negro na discovery.
Bruno (‏@itsflop): quantas horas até a karina veiga se suicidar façam suas apostas


É difícil julgar quem é o menos errado nessa história: a garota que deixou ser fotografada pelo namorado em quem confiava, a garota que traiu o namorado, o namorado que se vingou de uma forma baixa e vil, ou dos usuários da Internet que compartilharam a história de forma sarcástica, prejudicando ainda mais a garota.

Pelo jeito, ontem a sociedade escolheu a quem punir: a garota. Ela foi maldosamente exposta e execrada online. Mas, do ponto de vista legal, o rapaz poderá ter que pagar pelo seu ato, afinal, o que ele fez pode ser enquadrado em diversos crimes (ainda mais se confirmarem o fato da garota ser menor de idade). Mas, será que a nossa sociedade sórdida e machista será punida também? Ou só eles sairão livres dessa história, aguardando a próxima garota a ser execrada online?

Ótimos textos para ler e refletir:

novembro 24, 2012

[Cyber Cultura] Black Friday vira Black FAIL no Brasil

Desesperados para aumentar suas vendas, as empresas brasileiras resolveram se apoderar da tradicional "Black Friday", uma data específica na cultura americana em que as empresas lá nos EUA tradicionalmente fazem grandes promoções e megaliquidações para atrair os consumidores.

Nos EUA, a Black Friday acontece na sexta-feira seguinte ao feriado do Dia de Ação de Graças, que é um dos feriados mais importantes por lá. De uns anos para cá, ela também passoou a ser acompanhada pela Cyber Monday, que são promoções nas lojas online nos EUA.

Aqui no Brasil, as lojas e e-commerce brasileiras começaram a promover liquidações nesta mesma data, que caiu nesta sexta-feira, 23 de novembro. E qual foi o resultado? Consumidores brasileiros correndo para as lojas, para aproveitar grandes promoções e descontos que, frequentemente, excedem os 50%? Isso acontece nos EUA, mas no Brasil, o país dos espertalhões, a coisa foi um pouco diferente.
Os problemas encontrados na "Black Friday Brasileira" ganharam destaque na imprensa e mostrar a imaturidade de alguns lojistas tem e falta de respeito com o consumidor.

Eu não acredito que os empresários brasileiros serão capazes de dar descontos e fazer promoções tão agressivas como as que acontecem nos EUA, aonde os empresários estão mais preocupados em girar o estoque do que explorar os clientes.

novembro 21, 2012

[Segurança] Cartilha Uso Seguro da Internet para toda a Família

Em 2010 a comissão de Direito Eletrônico e Crimes de Alta Tecnologia da OAB-SP, em conjunto com o Mackenzie, lançou uma cartilha de conscientização sobre o "Uso Seguro da Internet para toda a Família".

A cartilha aborda diversos temas relacionados ao uso da Internet de forma simples e didática, incluindo tópicos como a privacidade na Internet, a liberdade de expressão e as principais modalidades de crimes cibernéticos: o preconceito online, o desrespeito ao direito autoral, o cyberbullying (intimidação) e a pornografia infantil.

A cartilha também inclui dicas sobre como denunciar os crimes na Internet e dicas para usar a Internet de forma segura.

A iniciativa é bem interessante e pode ser utilizada para ajudar na conscientização de usuários finais. Obviamente, esta não é a única cartilha existente sobre o uso da Internet: o Cert.br tem uma cartilha bem completa há vários anos, o CAIS também, a Safernet tem a dela, e o Movimento Criança + Segura na Internet tem quatro cartinhas. Isso só para citar as principais iniciativas em nosso país.

Ou seja, aos usuários finais não podem reclamar que o pessoal não se esforça em fazer cartilhas e mais cartilhas. Pelo jeito, criatividade para fazer cartilha não falta.

Mas vale a pena lembrar que as cartilhas, sozinhas ou em bando, não fazem milagre e nem resolvem o problema de conscientização dos usuários. Antes de mais nada, a cartilha deve ser utilizada como um instrumento de apoio dentro de uma ação específica de conscientização. Por exemplo, quando os pais forem conversar com seus filhos, eles podem usar alguma das cartilhas existentes como apoio para a conversa, talvez lendo juntos, ou discutindo junto com os filhos as dicas que a cartilha apresenta. Podem também ser utilizadas como apoio durante uma conversa ou discussão em sala de aula. Ou, dentro da sua empresa, a cartilha pode ser distribuída como parte de uma campanha que envolva outras atividades adicionais, como uma palestra, debate, dinâmica de grupo ou alguma atividade similar.

novembro 14, 2012

[Segurança] Cyber crime pode dar pena de morte no Brasil

Como todos nós já sabemos, na semana passada a Câmara dos Deputados aprovou os dois principais projetos de lei (PL) sobre crimes cibernéticos que estavam em discussão no congresso: o "PL do Azeredo"(PL 84/99), também conhecido maldosamente como "AI-5 Digital" e o PL do deputado Paulo Teixeira (PT), chamado de "Lei Carolina Dieckmann" (PL 2793/2011).

A imprensa também já divulgou bastante a notícia da aprovação das leis, inclusive falando algumas barbaridades (como a matéria que disse erroneamente que a nova lei estabelece pena de prisão para racismo), mas ninguém deu destaque a uma alteração específica proposta no PL do Azeredo, que inclui o roubo e destruição de dados no código penal militar (negritos colocados por minha conta):

Art. 3º Os incisos II e III do art. 356 do Decreto-Lei nº 1.001, de 21 de outubro de 1969 - Código Penal Militar, passam a vigorar com a seguinte redação:
“Favor ao inimigo
Art. 356. ..............................................................................
II - entregando ao inimigo ou expondo a perigo dessa consequência navio, aeronave, força ou posição, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar;
III - perdendo, destruindo, inutilizando, deteriorando ou expondo a perigo de perda, destruição, inutilização ou deterioração navio, aeronave, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar; ........................................... ”

Aparentemente, a alteração é simples e inofensiva, mas a coisa muda de figura se olharmos como ficará o artigo completo, após a sanção da lei:

Art. 356. Favorecer ou tentar o nacional favorecer o inimigo, prejudicar ou tentar prejudicar o bom êxito das operações militares, comprometer ou tentar comprometer a eficiência militar:
I - empreendendo ou deixando de empreender ação militar;
II - entregando ao inimigo ou expondo a perigo dessa consequência navio, aeronave, força ou posição, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar
III - perdendo, destruindo, inutilizando, deteriorando ou expondo a perigo de perda, destruição, inutilização ou deterioração navio, aeronave, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar;
IV - sacrificando ou expondo a perigo de sacrifício fôrça militar;
V - abandonando posição ou deixando de cumprir missão ou ordem:
Pena - morte, grau máximo; reclusão, de vinte anos, grau mínimo.

Ou seja, este artigo estabelece 20 anos de prisão ou pena de morte para o vazamento ou destruição de dados militares.

Um amigo já se apressou em me dizer que no Brasil não existe pena de morte. Ledo engano, pois a pena de morte existe sim, justamente no código penal militar. Morte por fuzilamento, a propósito (artigo 56).

Neste final de semana eu tive uma excelente conversa com o Ricardo Castro e a Dra Gisele Truzzi (Truzzi Advogados) sobre a aprovação dos dois PLs (que virou um excelente podcast, modéstia a parte) e discutimos bastante esta alteração no código penal militar. Não custa lembrar que diversos sites das forças armadas sofreram ataques de negação de serviços (DDoS), defacement e roubo de dados recentemente. Além do mais, o governo Brasileiro criou o Centro de Defesa Cibernética (CDCiber), que é de responsabilidade do Ministério da Defesa e do Exército Brasileiro. Logo, um ataque ao CDCiber poderia ser enquadrado nesta lei. Não só isso, mas como o CDCiber é responsável por coordenar a segurança de TI para os grandes eventos que teremos no Brasil nos próximos anos (Copa das Confederações em 2013, Copa de 2014 e Olimpíadas no Rio em 2016), os ataques a estes sites que envolvam a destruição ou o roubo de dados do CDCiber também poderão ser enquadrados nesta lei.

Em termos práticos, eu acredito que é muito pouco provável que um ataque cibernético seja punido com a pena de morte. Mas, de qualquer forma, esta nova redação para o artigo 356 do Código Penal Militar dá um suporte legal para as forças armadas processarem autores de ataques cibernéticos direcionados a eles. Além do mais, esta lei fará com que os ataques a dados militares sejam julgados e punidos pela justiça militar, e não por tribunais civis.


Atualização em 04/12: No dia 30 de Novembro, a presidenta Dilma Rousseff sancionou os dois projetos de lei sobre crimes cibernéticos, que foram publicados no Diário Oficial de 03 de Dezembro. O  PL do Azeredo virou a Lei Nº 12.735, mas foi vetado o artigo que propunha a alteração no código penal militar.

novembro 09, 2012

[Segurança] Aprovado o projeto de lei dos crimes cibernéticos

Nota: escrevi uma versão atualizada deste post aqui, após os projetos de lei serem sancionados e virarem lei. 


Nesta semana a Câmara dos Deputados aprovou os dois principais projetos de lei (PL) sobre crimes cibernéticos que estavam em discussão no congresso, dando fim a vários anos de uma tramitação que parecia que não teria fim. Para virarem lei, falta apenas a sanção da presidente Dilma Rousseff.

Os projetos aprovados foram o famoso "PL do Azeredo" (PL 84/99), também conhecido maldosamente como "AI-5 Digital" e o PL do deputado Paulo Teixeira (do PT), chamado de "Lei Carolina Dieckmann" (PL 2793/2011).

Eu já discuti aqui a importância de termos um projeto de lei sobre os crimes cibernéticos e também critiquei a "Lei Carolina Dieckmann", principalmente porque ela corre o sério risco de criminalizar a pesquisa em segurança.

O importante a ser notado é que, no final das contas, o Congresso conseguiu fazer uma baita de uma "lambança": aprovou a lei Carolina Dieckmann às pressas, em cerca de um ano, e aprovou um mini-frankstein do PL do Azeredo, que teve quase todos os artigos originais cortados para retirar todo e qualquer ponto polêmico e, assim, conseguir ser aprovado após tramitar no Congresso por quase 12 anos. Ou seja, discutiu um projeto demais, outro de menos, e acabou aprovando algo que está longe do ideal, embora certamente darão um certo suporte jurídico ao combate ao crime cibernético.

Uma coisa a se notar é que o processo de criação de leis no Brasil é intrisicamente lento e, normalmente, envolve dezenas de discussões. De uma forma geral, um projeto de lei surge em uma das "casas" (a Câmara dos Deputados ou o Senado). Após ser discutido em várias comissões e após ser discutido e aprovado no plenário (o que pode durar várias reuniões), o projeto segue para a avaliação da outra casa. Nesta casa, ele também vai passar por várias comissões e votações, aonde pode ser alterado várias vezes, até ser aprovado pelo plenário. Quando o projeto de lei volta para a casa original, ele segue para a "reta final" aonde não pode mais sofrer alterações: o plenário pode apenas aprovar ou rejeitar as alterações propostas pela outra casa, ou retirar alguma coisa do texto original. Nada mais pode ser alterado ou incluído. Com a aprovação do plenário, aí o PL segue para sanção da Presidência da República, que pode aprovar o projeto integralmente, vetar algum parágrafo específico ou vetar tudo. Ou seja, um projeto proposto por um Deputado Federal, por exemplo, vai tramitar durante um tempão na Câmara, depois vai para o Senado, vai passar por todos os trâmites burocráticos e discussões do Senado, e quando a proposta voltar para a Câmara ela deve ser aprovada para ir para a Presidência, lembrando que a Câmara não poderá mudar nada no projeto após recebê-lo do Senado - só poderá, no máximo, retirar algum artigo ou parágrafo do projeto original ou algo que tenha sido adicionado ou alterado pelo Congresso.

Meio confuso, né? Por isso mesmo que um projeto de lei demora vários anos para ser aprovado, e por isso mesmo dá um frio na espinha ver um projeto aprovado as pressas por todo mundo.

Os dois projetos de lei, em conjunto, incluem no Código Penal crimes como a invasão de computadores, violação de senhas, roubo de dados, ataques de DDoS (Distributed Deny of Service) e até mesmo clonagem de cartão de crédito ou débito. Também criminalizam a criação de código malicioso. Isto certamente é positivo, pois a legislação atual não prevê estes delitos e, por isso, os tribunais eram obrigados a recorrer a boa vontade e interpretação dos juizes para relacionar um crime cibernético a uma modalidade de crime tradicional. E, mesmo assim, somente na esfera cível, pois o Código Penal não permite este tipo de interpretação - somente é julgado um crime que esteja descrito especificamente na lei, sem margem a interpretações.

Mas, cá entre nós, o que foi aprovado? Para responder esta questão, eu resolvi criar a "tabelinha" abaixo, que resume os principais pontos incluídos pela redação final do PL do Azeredo e pela Lei Carolina Dieckmann (quando o projeto incluir algo em uma lei existente, eu marquei o trecho incluído em negrito).


PL Lei Artigo Resultado...
Azeredo Código PenalArt. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro:
Pena - reclusão, de um a cinco anos, e multa.
Parágrafo único. Equipara-se a documento particular o cartão de crédito ou débito.
1 a 5 anos de prisão para falsificação de cartão de crédito ou débito.
Azeredo Código Penal Militar Art. 356. Favorecer ou tentar o nacional favorecer o inimigo, prejudicar ou tentar prejudicar o bom êxito das operações militares, comprometer ou tentar comprometer a eficiência militar:
I - empreendendo ou deixando de empreender ação militar;
II - entregando ao inimigo ou expondo a perigo dessa consequência navio, aeronave, força ou posição, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar;
III - perdendo, destruindo, inutilizando, deteriorando ou expondo a perigo de perda, destruição, inutilização ou deterioração navio, aeronave, engenho de guerra motomecanizado, provisões, dado eletrônico ou qualquer outro elemento de ação militar;

IV - sacrificando ou expondo a perigo de sacrifício fôrça militar;
V - abandonando posição ou deixando de cumprir missão ou ordem:
Pena - morte, grau máximo; reclusão, de vinte anos, grau mínimo.
20 anos de prisão ou pena de morte para roubo de dados militares.
Azeredo N/A Os órgãos da polícia judiciária estruturarão, nos termos de regulamento, setores e equipes especializadas no combate à ação delituosa em rede de computadores, dispositivo de comunicação ou sistema informatizado. N/A
Azeredo Lei nº 7.716, de 5 de janeiro de 1989 Art. 20. Praticar, induzir ou incitar a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional.
Pena: reclusão de um a três anos e multa.
§ 1º Fabricar, comercializar, distribuir ou veicular símbolos, emblemas, ornamentos, distintivos ou propaganda que utilizem a cruz suástica ou gamada, para fins de divulgação do nazismo.
Pena: reclusão de dois a cinco anos e multa.
§ 2º Se qualquer dos crimes previstos no caput é cometido por intermédio dos meios de comunicação social ou publicação de qualquer natureza:
Pena: reclusão de dois a cinco anos e multa.
§ 3º No caso do parágrafo anterior, o juiz poderá determinar, ouvido o Ministério Público ou a pedido deste, ainda antes do inquérito policial, sob pena de desobediência:
I - o recolhimento imediato ou a busca e apreensão dos exemplares do material respectivo;
II – a cessação das respectivas transmissões radiofônicas, televisivas, eletrônicas ou da publicação por qualquer meio;
III - a interdição das respectivas mensagens ou páginas de informação na rede mundial de computadores.
§ 4º Na hipótese do § 2º, constitui efeito da condenação, após o trânsito em julgado da decisão, a destruição do material apreendido.
Obriga a remoção de conteúdo online associado a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional.
Dieckmann Código Penal Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.
§ 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
§ 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.
§ 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
§ 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I – Presidente da República, governadores e prefeitos;
II - Presidente do Supremo Tribunal Federal;
III - Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.
Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.
Mínimo de 3 meses a 1 ano de prisão detenção para invasão de computadores ou criação e distribuição de programas para invasão.

(OBS: a pena aumenta para 6 meses a 2 anos de prisão se envolver acesso a segredos comerciais ou dados sigilosos) 
Dieckmann Código Penal Art. 266 - Interromper ou perturbar serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento:
Pena - detenção, de um a três anos, e multa.
§ 1º Incorre na mesma pena quem interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento. 
§ 2º Aplicam-se as penas em dobro se o crime é cometido por ocasião de calamidade pública.
Mínimo de 1 a 3 anos de prisão detenção para ataques de DDoS.
Dieckmann Código Penal Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro:
Pena - reclusão, de um a cinco anos, e multa.
Parágrafo único. Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito.
1 a 5 anos de prisão para falsificação de cartão de crédito.


É interessante notar que os dois PLs alteram o artigo 298 do Código Penal, criminalizando a falsificação de cartões de débito e crédito. A redação é ligeiramente diferente, e eu particularmente não sei qual das duas terá precedência e será a redação final, o que não faz tanta diferença assim. Coincidência? Claro que não, tolinho... não se esqueça que estes projetos de lei são resultado do lobby da Febraban e, além do mais, o PL do Deputado Paulo Teixeira foi criado a partir do texto do PL do Azeredo.

Não custa lembrar que o Walter Capanema, da OAB/RJ, fez uma palestra excelente no SegInfo deste ano aonde ele discutiu e criticou muito bem os projetos de lei sobre crimes cibernéticos. Vale a pena dar uma olhada no vídeo.



Para saber mais, além dos vários links citados acima, eu recomendo...

Atualização em 11/11: Após uma excelente conversa com a Dra. Gisele Truzzi e o Ricardo Castro, fiquei sabendo que pena de detenção é diferente de pena de reclusão. Reclusão é o que nós, leigos no direito, chamamos de prisão ou "ver o sol nascer quadrado". A detenção, na verdade, representa uma privação da liberdade em menor grau. O código penal define que a pena de reclusão deve ser cumprida em regime fechado, semi-aberto ou aberto, enquanto a pena de detenção é cumprida em regime semi-aberto ou aberto.

Atualização em 04/12: No dia 30 de Novembro, a presidenta Dilma Rousseff sancionou os dois projetos de lei, foram publicados no Diário Oficial de 03 de Dezembro. O PL Carolina Dieckmann foi aprovado em sua totalidade, como Lei Nº 12.737, enquanto o PL do Azeredo virou a Lei Nº 12.735 e foi cortado pela metade: a Dilma vetou os artigos sobre o código penal militar e o artigo semelhante ao que existia no PL Dieckmann. Com isso, após mais de 10 anos de discussões no Congresso, o PL do Azeredo ficou reduzido aos artigos que definem a estruturação das polícias especializadas em crime cibernético e a remoção de conteúdo online associado a discriminação ou preconceito.

novembro 06, 2012

[Cyber Cultura] Hackers: Magos da Era Digital

Acabei de assistir este documentário super interessante feito em 1984, chamado "Hackers: Wizards of the Electronic Age", e que fala sobre o nascimento da cultura hacker.

O documentário discute o que é ser um hacker, alguém apaixonado por tecnologia e pelos desafios relacionados aos computadores. O filme contém entrevistas bem legais com algumas figurinhas que já eram influentes na época e são bem conhecidas até hoje, como Steve Wozniak, Richard Stallman e o jornalsta Steven Levy. O documentário também mostra várias pessoas que foram os pioneiros responsáveis pelo surgimento dos primeiros computadores pessoais e pelo início da indústria de TI.

Como o documentário foi gravado há quase 30 anos atrás, acaba sendo divertido ver também as imagens da tecnologia da época, principalmente os primeiros Macs, os programas utilizados na época e as BBS's. O documentário também discute o licenciamento de software e o surgimento da pirataria de software, dos freewares e sharewares, o surgimento da "democracia eletrônica" e, pasmem, fala até de sobrecarga de informação ("information overload").

novembro 04, 2012

[Cyber Cultura] Anonymous e Guy Fawkes se encontram em 5 de Novembro

No dia 5 de Novembro é celebrado, na Inglaterra, a "Noite da Fogueira" ("Bonfire Night", mas também chamada de "Noite de Guy Fawkes" ou "Dia de Guy Fawkes" - "Guy Fawkes Night" ou "Guy Fawkes Day"), para celebrar que a monarquia escapou da "Conspiração da Pólvora", uma tentativa de atentado em 1605 que imortalizou a figura de um de seus principais personagens, Guy Fawkes.

De traidor em 1605, Guy Fawkes se tornou um símbolo dos cyber ativistas 400 anos depois, e da luta contra governos autoritários.

E é interessante analisar como houve esta mudança.

Guy Fawkes foi um soldado inglês nascido em 13 de abril de 1570, que teve participação chave na chamada "Conspiração da pólvora" ("Gunpowder Plot"), um plano que pretendia criar um levante católico a partir do assassinato do rei Jaimes I da Inglaterra e dos membros do parlamento - o que seria conseguido com a explosão do Parlamento Inglês. Guy Fawkes foi o responsável por posicionar os barris de pólvora abaixo do prédio do Parlamento e iria usá-los para explodir o local durante uma sessão no dia 5 de Novembro de 1605. Entretanto a conspiração foi descoberta e Guy Fawkes foi preso e torturado. Após o julgamento, Guy Fawkes e outros participantes da conspiração foram executados na forca.

Desde então, o fracasso da "Conspiração da pólvora" é celebrado na Inglaterra todo o dia 5 de novembro, na "Noite das Fogueiras". Nesta data é tradição inglesa soltar fogos de artifício e queimar em fogueiras bonecos que representam Fawkes. Algo parecido com a "malhação do Judas", que acontece em várias cidades brasileiras. Ou seja, Guy Fawkes representa, para os britânicos, o mesmo que o Judas representa para os Brasileiros. Não poderia ser diferente, em um país aonde a maioria é protestante e pró-monarquia.

Entretanto, com o passar dos anos a reputação de Fawkes foi sendo revista e, lentamente, reabilitada, a ponto dele ser referido, às vezes, como sendo "o último homem a entrar Parlamento com intenções honestas."

Mas a grande mudança do papel de Guy Fawkes na cultura popular aconteceu graças a graphic novel "V de Vingança" ("V for Vendetta"), criada por Alan Moore com arte de David Lloyd a partir de 1981 (quando a Inglaterra estava sob o governo de Margaret Thatcher). Na história, a Inglaterra está sob o domínio de uma ditatura totalitária facista no "futurístico" ano de 1998 até que surge um "terrorista" que utiliza o codinome V e uma máscara inspirada no rosto de Guy Fawkes, que irá promover uma revolução contra o governo e seus principais líderes, incluindo a explosão do Parlamento para representar o fim do regime opressivo.

Em 2005 o livro foi adaptado para o filme de mesmo nome, V de Vingança, que por sua vez reforçou ainda mais o caráter revolucionário e heróico do personagem V. Além do mais, o filme serviu para difundir universalmente a imagem da máscara estilizada do Guy Fawkes - que posteriormente foi adotada pelo grupo hacktivista Anonymous como símbolo da luta contra os governos, além de permitir aos seus membros realizarem protestos no mundo real escondendo suas identidades.

Embora o uso de uma máscara representando o Guy Fawkes tenha raízes nas antigas celebrações da "Noite da Fogueira", o ilustrador David Lloyd criou uma versão estilizada da máscara na graphic novel V de Vingança, em conjunto com uma vestimenta usada pelo personagem principal formada por roupa preta, capa e chapéu, que foi mantida na sua adaptação para o cinema de 2005. Assim, a máscara estilizada que apareceu no filme passou a representar o sentimento de protesto e de rebelião popular depois que ela foi usada como um elemento importante na trama.

Mas é interessante notar que o próprio Alan Moore foi contra o filme e se recusou a assistí-lo.

E não é para menos: embora a adaptação para o cinema tenha mantido algumas cenas-chave do comic book, ela retirou muito da caracterização facista e controladora do governo imaginado (e criticado) por Alan Moore. Pior ainda, a versão para o cinema alterou bastante o final da história original. Para exemplificar, sem estragar a surpresa para quem não leu o livro, uma das cenas mais emblemáticas do filme, em que a população sai às ruas vestindo máscaras do Guy Fawkes e marchando contra o governo, simplesmente não existe na história original. E, mais interessante ainda, esta é uma cena constantemente utilizada na propaganda visual do Anonymous para representar o caráter coletivo e revolucionário do grupo.

Neste dia 5 de Novembro, enquanto os Ingleses comemoram a vitória da monarquia sobre a "conspiração da pólvora", talvez algumas crianças ainda ateiem fogo em bonecos representando Guy Fawkes. Entretanto, graças a versão heróica da imagem de Guy Fawkes criada por Alan Moore e imortalizada por Hollywood, vários integrantes do grupo Anonymous ao redor do mundo também aproveitarão esta data para se manifestar (vide OpJubilee, OP maZYNGA e OpRemember).



Mais informações:

novembro 02, 2012

[Segurança] Espionagem industrial

Estava fazendo uma pesquisa sobre espionagem industrial e comercial e, embora este tipo de crime seja muito comum no Brasil e no mundo, há poucos relatos na imprensa de casos em nosso país de conhecimento público.

A espionagem industrial envolve roubo de dados e segredos por parte de concorrentes, como informações de preços e cotações, além de projetos e fórmulas industriais. Pela minha experiência e conversando com amigos empresários, um dos casos mais comuns é o roubo de informações sobre cotaçoes e listas de preços para que os concorrentes possam obter vantagem comercial facilmente. Normalmente estes casos envolvem funcionários descontente ou ex-funcionários, e com o uso das tecnologias atuais, é muito fácil roubar informações sem ser percebido. Para piorar o cenário, uma prática muito comum no Brasil é que os funcionários façam cópias das informações da empresa, principalmente dos dados que mantém em seus computadores, e levem consigo estas cópias quando saem da empresa.

Embora os exemplos sejam poucos, eu achei algumas histórias interessantes no Brasil e no mundo:
  • Em 1993 um ex-diretor da General Motors na Europa, José Ignacio López de Arriortúa, foi acusado de roubar documentos e planos sigilosos da GM e entregá-los para a concorrente, após ser contratado para um alto cargo na Volkswagen. Uma das informações mais importantes que vazaram da GM foi o projeto de uma fábrica que teria dado origem à unidade de fabricação de caminhões e ônibus da Volks em Resende, no Rio de Janeiro.
  • Em 1994, um técnico de som entregou quatro fitas à Spal, empresa engarrafadora da Coca-Cola em São Paulo, com conversas gravadas na Pepsi sobre um plano estratégico confidencial para ampliar o número de pontos de venda, fábricas e caminhões. As fitas chegaram até a sede da Coca em São Paulo, onde foram transcritas pelo então gerente de operações Antônio Cesar Santos de Azambuja. A história só veio à tona quando o funcionário denunciou o ocorrido, depois de ser demitido sem motivo aparente.
  • Em 2001, a Procter & Gamble (P&G) contratou uma empresa especializada em investigação para ter mais informações sobre os negócios da concorrente Unilever nos Estados Unidos, principalmente os projetos voltados para cuidados com os cabelos. Um dos detetives contratados pela P&G foi surpreendido revirando o lixo da Unilever, em busca de dados secretos da empresa.
  • No final de 2002 a maior empresa de recrutamento de executivos do Brasil, a Catho, foi acusada de roubar curriculos e dados pessoais acessando irregularmente a base de dados de concorrentes, e praticar concorrência desleal. A denúncia partiu de uma das suas maiores concorrentes, a Curriculum, mas ao longo das investigações descobriu-se que outras empresas também tiveram seus arquivos acessados pela Catho, entre elas o Guia OESP e a Embratel.
  • Em um escândalo de grandes proporções no Brasil, em 2004 a Polícia Federal descobriu que a empresa de investigação particular Kroll foi contratada pela Brasil Telecom (controlada pelo Opportunity) para espionar a concorrente Telecom Italia, pois o Opportunity e a Telecom Italia travavam uma batalha judicial sobre o controle da Brasil Telecom. A espionagem acabou atingindo autoridades do governo, como o ministro Luiz Gushiken e o presidente do Banco do Brasil, Cassio Casseb. Em 2012 a Justiça Federal absolveu o banqueiro Daniel Dantas, do Opportunity, e a ex-executiva da Brasil Telecom, Carla Cicco.
  • Em 2005, a Justiça americana acusou o conselho de administração da HP de usar meios ilegais para investigar os autores de vazamentos de informações e documentos sigilosos para a imprensa. A HP grampeou telefones e contratou detetives particulares com identidades falsas. Com o burburinho, Jay Keyworth, um diretor antigo da HP, confessou ter passado documentos da empresa para o The Wall Street Journal.
  • Em 2007, um gerente de qualidade da LG Eletronics foi acusado por quatro funcionários da Philips da Amazônia (Zona Franca de Manaus) de usar uma identidade falsa para entrar na unidade e ter acesso a detalhes sobre um novo produto da concorrente, a TV de LCD de 52 polegadas.
  • Em 2007, um funcionário do Co-Rio (Comitê Organizador do Pan de 2007) foi demitido por copiar sem autorização arquivos da multinacional Event Knowledge Services (EKS)
  • Em junho de 2007, a equipe Ferrari denunciou a McLaren à justiça italiana, acusada de roubo de segredos industriais. A Ferrari suspeitava havia meses que seu engenheiro e ex-chefe dos mecânicos Nigel Stepney teria passado um dossiê com mais de 700 desenhos secretos da Ferrari modelo F2007 a Mike Coughlan, projetista-chefe da McLaren. Coughlan foi demitido pouco tempo depois, mas a suspeita de que a McLaren teria tirado vantagem das informações contidas no dossiê comprometeram a lisura da disputa do campeonato de 2007.
  • Em 2008, o serviço secreto brasileiro investigou o caso de radiotransmissores flutuantes que foram encontrados perto do centro de lançamento de foguetes de Alcântara, que na época tinha um projeto brasileiro–ucraniano para lançamento de satélites usando o míssil ucraniano “Zenit”. A ABIN identificou a existência de equipamentos de telemetria (que podem captar, enviar e processar dados à distância) instalados em bóias apreendidas em praias que cercam a base de Alcântara.
  • Em Setembro de 2008 o ex-engenheiro da Intel, Biswahoman Pani, foi investigado pelo FBI por roubo de informações secretas da empresa. Ele teria roubado documentos com dados e desenhos confidenciais de projetos de processadores da Intel após ter sido contratado pela AMD. Pani se defendeu dizendo que apenas roubou os dados secretos da Intel com a intenção de impressionar os seus novos chefes e que a AMD não estava ciente do roubo de dados. A Intel estimou o valor das informações roubadas entre 200 e 400 milhões de dólares.
  • Em 2010 um grupo liderado pelo empresário chinês Su Bin (com residência no Canadá) conseguiu roubar e exportar documentos secretos referentes aos projetos dos caças F-22 e F-35 e da aeronave de trasporte C-17. Somente os dados do C-17 totalizaram 630,000 arquivos e 65 gigabytes de dados. Segundo as acusações do FBI, formalizadas em Junho de 2014, Su Bin liderava um grupo formado por mais dois indivíduos na china, especializados em ciber ataque e roubo de dados.
  • Em fevereiro de 2010 um ex-funcionário de origem chinesa da Boeing foi condenado a 15 anos de prisão por entregar informações sobre uma nave espacial ao governo chinês. Dongfan “Greg” Chung, um chinês de 74 anos naturalizado americano, espionou para a China durante mais de 30 anos. Quando Chung foi detido, em fevereiro de 2008, agentes federais encontraram em sua casa 250 mil documentos de companhias como Boeing e Rockwell, além de uma série de correspondências com funcionários chineses.
  • Em julho de 2010, veio à tona uma denúncia de espionagem da Motorola contra a empresa chinesa Huawei, acusada pela de roubar informações sigilosas desde 2001, através de 13 empregados da Huawei que usaram a fornecedora Lemko para ter acesso aos dados.
  • Em agosto de 2010, a MGA Entertainment, fabricante das bonecas Bratz, acusou a Mattel, da Barbie, de fazer espionagem industrial há mais de 15 anos. Segundo a MGA, funcionários da Mattel usaram crachás de identificação falsos para burlar a segurança das fábricas e tirar fotos dos novos produtos das marcas.
  • Em novembro de 2010, um funcionário da FORD foi acusado de espionagem industrial e oferecer informações da empresa para companhias chinesas. Mike Yu, um engenheiro de 49 anos, copiou ilegalmente mais de 4 mil documentos confidenciais. As informações eram relacionadas às tecnologias aplicadas em motores, caixas de câmbio, carrocerias e até equipamentos elétricos. Yu se declarou culpado em seu julgamento e incrimou a Baic, fabricante de Pequim, que o contratou pelos dados privilegiados.
  • Em janeiro de 2011, a Renault suspendeu três diretores suspeitos de vazar informações importantes sobre o projeto de um carro elétrico. Os líderes da companhia consideram o caso como “muito grave". Entretanto, alguns meses depois surgiu a suspeita de que as acusações teriam sido inventadas por um agente de segurança da Renault. Embora os funcionários tenham sido inocentados, há uma notícia que diz que eles se suicidaram.
  • No início de 2011, uma decisão judicial considerou a rede de hotelaria Hilton Hotels culpada de roubar dados da rede Starwood Hotels & Resorts. Em abril de 2009, a Starwood acusou a Hilton de roubar seus planos para o conceito de serviços da rede W, chamado The Den Zen. O Hilton, com ajuda de dois executivos da Starwood, roubou as informações e lançou um novo empreendimento com o nome Denizen. A decisão judicial ordenou a Hilton que devolvesse os documentos roubados, além de proibí-los de contratar ex-funcionários da Starwood e de usar qualquer estilo de marca parecido com a da concorrente até janeiro de 2013.
  • Em Abril de 2011 o ex-chefe de vendas da Hewlett-Packard na Ásia, Adrian Jones, foi processado por ter supostamente roubado centenas de documentos e e-mails importantes sobre planos financeiros, dados de vendas e de funcionários da HP. Jones teria copiado as informações em um dispositivo USB antes de pedir demissão da HP para ir trabalhar na rival Oracle.
  • Em março de 2011 a polícia de São Paulo prendeu Giulliano Schincariol Bordieri de Carvalho, acusado de ter chefiado um assalto à casa do empresário Alexandre Nascimento Manoel, com objetivo de roubar três computadores que continham uma fórmula secreta de cosmético para alisar o cabelo. Giulliano Schincariol já estava negociando a fórmula com compradores na França e na África.
  • Em 2012, dois ex-funcionários da Fepsa (Feltros Portugueses SA) foram condenados por espionagem industrial em um caso que envolveu empresas Brasileiras e Portuguesas. O caso remonta a 2008, quando um funcionário da Fepsa, engenheiro têxtil, vendeu a uma concorrente brasileira, Chapéus Cury, informação sobre o processo de feltragem. O engenheiro têxtil foi detido em 2008, quando se encontrava de partida para o estrangeiro, após ter subtraído “documentação à qual não tinha acesso, nem dizia respeito às suas funções”. A empresa brasileira lucrou com as informações transmitidas pelos antigos funcionários da Fepsa, pois conseguiu melhorar sua tecnologia.
  • No início de 2012 surgiu a notícia de que durante quase uma década, hackers chineses tiveram amplo acesso à rede corporativa de computadores da Nortel Networks. Usando sete senhas roubadas de altos executivos da Nortel, incluindo seu diretor-presidente, os hackers começaram a invadir os computadores da Nortel desde pelo menos 2000, e tiveram acesso a relatórios técnicos, de pesquisa e desenvolvimento, planos de negócios, e-mails de funcionários e outros documentos.
  • Em junho de 2012, a empresa ESET divulgou um caso de ataque direcionado de malware na América Latina, com o objetivo de roubar arquivos (projetos, desenhos, etc) de AutoCAD dos computadores infectados. A chamada Operação Medre foi direcionada exclusivamente a um país da região, o Peru, com objetivo de enviar todos os projetos de AutoCAD abertos no sistema infectado para contas de e-mail hospedadas na China.
  • Em setembro de 2012 tivemos o caso de dez funcionários do Comitê Organizador das Olimpíadas e Paralimpíadas de 2016 no Rio de Janeiro que foram demitidos por ter baixado ilegalmente os arquivos de computador das Olimpíadas de Londres. Eles faziam parte de um grupo de 200 funcionários do Comitê Organizador dos Jogos Olímpicos Rio-2016 que foram enviados a Londres a fim de estudar a experiência de organização e realização dos Jogos Olímpicos de 2012. Uma das funcionárias demitidas, Renata Santiago, tentou justificar o caso em carta endereçada ao presidente do comitê, dizendo que todos os dados trazidos por ela ao Brasil eram "abertos".
  • Em novembro de 2012 a Polícia Federal fez a Operação Durkheim para desarticular duas organizações criminosas, uma especializada na venda de informações sigilosas e outra voltada à prática de crimes contra o sistema financeiro nacional. A Polícia Federal descobriu uma grande rede de espionagem ilegal, composta por vendedores de informações sigilosas que se apresentam ao mercado como detetives particulares, e por seus fornecedores, pessoas com acesso aos bancos de dados, como funcionários de empresas de telefonia, bancos e servidores públicos. Dentre as vítimas há políticos, desembargadores, uma emissora de televisão e um banco.
  • Em julho de 2014 um relatório o time de segurança cibernética da Airbus Defense and Space citou uma campanha do tipo APT executada por um grupo aparentemente chinês, que recebeu o nome de Pitty Tiger. O grupo atacou empresas do setor de defesa, energia, telecomunicações e desenvolvimento Web. Especula-se que este grupo estava ativo desde 2008.
  • Em Dezembro de 2015, o FBI prendeu o chinês Xu Jiaqiang, engenheiro de software da IBM na China, acusado de roubar o código fonte de um software e tentar vendê-lo para outras companias e compartilhar com o governo Chinês.
  • Em 2016, um empregado da T-Mobile na República Tcheca roubou uma base de dados de marketing com os dados pessoais de 1,5 milhões de clientes da empresa para revendê-los.
O destaque do Brasil no cenário global, em parte por causa dos bons ventos da economia Brasileira e do país hospedar a Copa de 2014 e a Olimpíada se 2016, podem atrair o interesse de governos e empresas internacionais, e com isso, aumentar os riscos de espionagem industrial no Brasil.

O Jornal da Band fez uma reportagem sobre o setor de espionagem industrial, que embora seja interessante, focou na espionagem eletrônica e falhou em não abordar também os riscos de roubo de dados através de ex-funcionários e do uso da informática.

Nota: Post atualizado em 04/12/2012, com mais alguns casos. Atualizado novamente em 19/02/2015 e em 19/07/2016.

novembro 01, 2012

[Cyber Cultura] Inauguração do Matehackers

Neste sábado, dia 3/11, o pessoal de Porto Alegre vai fazer um encontro para inaugurar oficialmente o Matehackers, o primeiro hackerspace no Rio Grande do Sul.

Recentemente eles conseguiram um espaço compartilhado no Bunker360, um espaço de co-working localizado na Av. Independência 330, sala 206 (mapa)

Para participar do Matehackers, visite o site deles, a página no Facebook e participe da lista de discussão.

[Segurança] Morris Worm: Quando a Internet parou há 24 anos atrás

Amanhã, 2 de Novembro, fará 24 anos que surgiu o "Morris Worm", a primeira grande infestação por vírus (o correto seria chamar de "verme") da história.

O vírus foi criado por um estudante da Universidade de Cornell, Robert Tappan Morris, em 2 de Novembro de 1988. Embora não tivesse intenção maligna, uma falha em seu código fez com que o vírus se espalhasse por boa parte dos servidores existentes e, como ele infectava o mesmo equipamento várias vezes, tornava o servidor extremamente lento.

Estima-se que o Morris Worm infectou cerca de 6.000 servidores, o que correspondia a 10% dos servidores existentes na "Internet" da época. O esforço conjunto para identificar e limpar o vírus fez com que vários especialistas se juntassem pela primeira vez e isto acabou motivando o surgimento do CERT/CC, o mais importante centro de respostas a incidentes.

Outro aspecto interessante é que Robert Tappan Morris é filho de Robert Morris, um dos co-autores do UNIX e cientista chefe do National Computer Security Center, da National Security Agency (NSA).

O portal CSO Online publicou recentemente uma lista com os 20 virus, vermes e botnets mais famosos, que obviamente inclui a "façanha" do Robert Morris.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.