junho 15, 2012

[Segurança] A Lei Carolina pode acabar com a pesquisa em segurança?

No mês passado a Câmara dos Deputados aprovou e encaminhou ao Senado o Projeto de Lei (PL) 2793/2011 do Deputado Federal Paulo Teixeira (PT/SP), que aborda "a tipificação criminal de delitos informáticos" - também chamado de "Lei Carolina" ou "Lei Dieckmann" por ter sido aprovada as pressas e nas coxas no meio do turbilhão de notícias sobre o vazamento das fotos da pobre atriz.

Várias críticas já foram feitas ao projeto, e você pode rever esta discussão ouvindo o mais novo episódio do podcast Para Sua Segurança, do Ricardo Castro). Mas um parágrafo específico tem tirado o sono dos profissionais de segurança:
Art. 154-A, "§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde programa de computador com o intuito de permitir a prática da conduta definida no caput."
A crítica é que este simples parágrafo do artigo 154-A pode penalizar não só os cyber criminosos que criam trojans, vírus e phishing, mas também pode criminalizar quem pesquisa vulnerabilidades e produz ferramentas de segurança, como exploits, scanners, e ferramentas de testes de invasão ("pentest", para usar a palavra da moda) - além de qualquer ferramenta que alguém mal intencionado possa utilizar para cometer uma ação criminosa. Até mesmo a criação de módulos para o famoso Metasploit pode ser considerado crime, pois segundo este texto qualquer desenvolvedor de ferramentas pode ser punido caso elas sejam utilizadas por terceiros com fins maliciosos.

Trazendo para um exemplo do dia-a-dia, isto seria como se a lei criminalizasse qualquer empresa que produz ferramentas que permitam a prática de crimes, tais como fabricantes de armas, facas, pés-de-cabra, etc. Seria o fim da indústria de armas e da indústria bélica - o que, pensando bem, não seria uma má idéia, né?

Com a redação atual do PL, tudo vai depender de como o juiz irá interpretar o texto da lei e como vai interpretar a intenção de quem criou uma ferramenta de segurança. Ou seja, o texto está mal redigido e pode levar a interpretações que criminalizem a pesquisa de vulnerabilidades e a criação de ferramentas de segurança.

Isto não é simples paranóia nem discurso vago: uma lei mal redigida criminalizou a indústria de segurança na Alemanha no ano passado, em um caso de má redação de um parágrafo similar ao caso do projeto brasileiro. O caso da Alemanha surgiu quando o legisladores lá tentaram adaptar as leis locais a Convenção de Budapeste, que estabelece no artigo 6 que os países signatários devem ter uma lei que atenda ao seguinte:

1. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right:
a. the production, sale, procurement for use, import, distribution or otherwise making available of:
I. a device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with Articles 2 through 5;
II. a computer password, access code, or similar data by which the whole or any part of a computer system is capable of being accessed, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5; and
b. the possession of an item referred to in paragraphs a.i or ii above, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5. A Party may require by law that a number of such items be possessed before criminal liability attaches.
2. This article shall not be interpreted as imposing criminal liability where the production, sale, procurement for use, import, distribution or otherwise making available or possession referred to in paragraph 1 of this article is not for the purpose of committing an offence established in accordance with Articles 2 through 5 of this Convention, such as for the authorized testing or protection of a computer system.
Ou, em poucas palavras, a Convenção de Budapeste recomenda que os países tenham uma lei que criminalize "a produção, venda, (...) de dispositivos,incluindo programas de computador, desenhados ou adaptados essencialmente com o objetivo de cometer alguma das ofensas (...)". E o texto da Convenção de Budapeste deixa claro, no parágrafo 2, de que não deve ser criminalizado a produção, uso, etc de ferramentas quando não houver a intenção de cometer um crime.

Quando as autoridades francesas criaram uma lei que atendesse a recomendação acima em 2004, eles usaram uma redação que também deixa nas mãos da interpretação do juiz a criminalização do uso ou a criação de ferramentas. Ao colocar um "good cause" no texto, os franceses ficam dependendo de como um juíz interpreta a intenção do réu:
Article 323-3 - To, without good cause, import, hold, offer, sell or make available any equipment, instrument, computer program or data specifically designed or adapted to commit one or more offenses under Articles 321-1 to 3232-3 is severely punishable by penalties respective to the offense itself or the infraction.
Na Alemanha, a coisa foi pior ainda. O código penal foi reformado em 2007 e criminaliza qualquer programa que permita roubar senhas ou acessar dados de sistemas.
Section 202(c) - It is an offense to create, sell or distribute any computer program, the intent of which is to steal password or other security codes, or access data and systems in any other way.
O resultado é que a pesquisa em segurança na Alemanha e na França foi prejudicada por estas leis, e alguns profissionais de segurança destes países já foram processados com base nelas.

Consequentemente, uma lei mal redigida pode criminalizar os pesquisadores de segurança, em especial aos que se dedicam a descobrir vulnerabilidades e criar novas ferramentas. O mercado brasileiro já é pequeno e nosso país tem pouquíssima tradição de pesquisa em praticamente todas as áreas do conhecimento. Uma lei má redigida, como é o caso do PL 2793/2011, pode significar o golpe de misericórdia para a pesquisa nacional.

Um comentário:

Eric Messias disse...

Até quando teremos políticos, sem o mínimo conhecimento técnico, escrevendo leis para tecnologia?!

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.